Auditoría de riesgos eficaz para la gestión gubernamental óptima de los ceticos (página 4)
2.3.9.1.2 Indicadores Cuantitativos
Dichos Indicadores se han construido de acuerdo a las
Normas y Directivas Internas que aplica el Céticos Paita
para el adecuado control y administración del Sistema de
Gestión de Seguridad de la Información
(SGSI):
Ítem | Indicadores | Nivel de Cumplimiento y Nivel de | Nivel de Riesgo | Nivel de Madurez | ||||||||||||
1 | Alcance y Limites del | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | ||||||||||||
2 | Política SGSI. | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | ||||||||||||
3 | Enfoque de evaluación de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | ||||||||||||
4 | Identificación, | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | ||||||||||||
Ítem | Descripción | Nivel de Cumplimiento y Nivel de | Nivel de Riesgo | Nivel de Madurez | |||||||||||
5 | Identificación y | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
6 | Objetivos y Controles para el Plan de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
7 | Aprobación de Gerencia General | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
8 | Autorización de Gerencia para | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
9 | Enunciado de Aplicabilidad. | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
Ítem | Descripción | Nivel de Cumplimiento y Nivel de | Nivel de Riesgo | Nivel de Madurez | |||||||||||
10 | Formulación del Plan de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
11 | Implementación del Plan de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
12 | Implementación de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
13 | Medición de efectividad de los | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
14 | Programas de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
Ítem | Descripción | Nivel de Cumplimiento y Nivel de | Nivel de Riesgo | Nivel de Madurez | |||||||||||
15 | Operaciones y recursos. | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
16 | Programa de calendarización | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
17 | Adecuado Uso de Recursos | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
18 | Adecuado uso de correo corporativo | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
19 | Evaluaciones al Sistema de | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
Ítem | Descripción | Nivel de Cumplimiento y Nivel de | Nivel de Riesgo | Nivel de Madurez | |||||||||||
20 | Acciones Correctivas y | Cumplimiento: > = 90% y < = 100% Incumplimiento: Medio: > = 60% y < Incumplimiento Alto: >= 0% y < | Entre 0% y 25% = 4 Extremo. > 25% y < 50% = 3 Alto. > 50% y < 75% = 2 Moderado. > 75% = 1 Aceptable | 0% = 0 = No existe. >0 y < =20% = 1 = Inicial. >20% y <40% = 2 = Repetible. >40% y <60% = 3= Definido. >60% y <90% = 4 Administrado. >91% y < =100% Optimizado. | |||||||||||
Identificados los Indicadores el Auditor deberá
de calificar el nivel de cumplimiento efectividad, riesgo y
madurez del sistema de Gestión de Seguridad de la
Información del Céticos Paita en función a
los criterios cuantitativos establecidos en el Estándar
Neozelandés ANZS 4360, ISO 31:000-2009 e ISO 31010, que a
continuación se detallan:
Incumplimiento Alto: Significa que el elemento
muestra un limitado desarrollo, y su funcionamiento causa
problemas para la normal ejecución de la gestión.
Si bien no impide el logro de los resultados, los retrasa de
manera importante y sólo se obtienen de manera
parcial.
Incumplimiento Mediano: Significa que el elemento
analizado muestra un mediano grado de desarrollo. Su aporte al
logro de los objetivos no es sustancial y presenta dificultades
operativas que retrasan la ejecución de las metas
previstas.
Cumplimiento: Significa que el elemento analizado
muestra un grado de desarrollo importante y aporta de manera
sustancial al logro de los objetivos. De manera no significativa,
presenta algunas dificultades, pero los resultados finales se
obtienen sin mayor contratiempo.
Obtención del resultado del Nivel de
Riesgo
Descripción de los niveles de
riesgo
Obtención del resultado del Nivel de
Madurez
Descripción de los niveles de
madurez:
El Auditor traslada a estos indicadores en un enunciado
de aplicabilidad en donde llevará a cabo la
calificación de los mismos de acuerdo a los criterios
cuantitativos establecidos en el Estándar
Neozelandés ANZS 4360, ISO 31:000-2009 e ISO 31010:2009, a
nivel micro y macro, por ejemplo:
A nivel Micro el Proceso A Posee un control uno que
tiene un nivel de Cumplimiento y efectividad del 75 y 85%
respectivamente denominado Incumplimiento Medio, este control
mitiga a un nivel de Riesgo 1 Aceptable y posee un nivel de
madurez de 4 Administrado, es decir dicho proceso opera en
condiciones aceptables.
A nivel Micro el Proceso B Posee un control dos que
tiene un nivel de Cumplimiento y efectividad del 76 y 86%
respectivamente denominado Incumplimiento Medio, este control
mitiga a un nivel de Riesgo 1 Aceptable y posee un nivel de
madurez de 4 Administrado, es decir dentro del Proceso B se
están dando mejoras y buenas prácticas.
A nivel Macro dentro del Proceso A y B se han encontrado
dos fortalezas poseen en su conjunto 2 controles que en promedio
poseen un nivel de cumplimiento y efectividad del 76 y 86
respectivamente además dichos controles mitigan a niveles
de riesgo 1 Aceptable y poseen un nivel de madurez 4
Administrado, es decir dichos procesos presentan un mediano y
grado de desarrollo y se encuentran en mejora continua. Estos
mismos resultados serán procesados en histogramas de
frecuencia y diagramas radar para establecer las comparaciones
pertinentes. Por ejemplo en el siguiente histograma de frecuencia
se refleja el análisis del nivel de cumplimiento y
efectividad de los controles a nivel micro.
Así mismo en el Siguiente diagrama radar
reflejamos a que nivel de riesgo mitigan tales controles y
cuál es su nivel de madurez, en función a los
resultados trabajados en el enunciado de
aplicabilidad:
Cuando hacemos la explicación Macro / promedio
dentro de los gráficos se registra la cantidad promedio
obtenida por los controles y se llevan a cabo las evaluaciones
pertinentes.
Conocidos los resultados de estos indicadores
determinaremos:
El Nivel de Implementación, Efectividad,
Riesgo y Madurez del Sistema de Gestión de Seguridad
de la Información.Adecuada Administración y Control del Sistema
de Gestión de Seguridad de la Información de la
Entidad.Mejoras Gubernamentales que ha experimentado dicho
sistema en un espacio de tiempo delimitado por la
Auditoría de Riesgos.
2.3.9.2 Indicadores para determinar la Adecuada
Atención a las Recomendaciones de Auditoría Interna
de parte de la Gerencia General
2.3.9.2.1 Indicadores
Cuantitativos
En la siguiente tabla enfaticé en
los Indicadores Cuantitativos que me determinaron el nivel de
atención de parte del Gerente General en atender las
recomendaciones de las Auditorías de Riesgos efectuadas
por mi persona, así como la mejora en la Gestión
Gubernamental.
Ítem | Descripción del | Índice | Calificación | ||||||
1 | Nº de Recomendaciones | 0% | Gestión Gubernamental | ||||||
2 | Nº de Recomendaciones en | >0% y <100% | Gestión Gubernamental | ||||||
3 | Nº de Recomendaciones | >=100% | Implementado= Gestión | ||||||
2.4 Hipótesis
HIPÓTESIS GENERAL
1. La Auditoría de Riesgos eficaz
facilita la gestión gubernamental óptima del
Ceticos Paita.
HIPÓTESIS SECUNDARIAS.
La Auditoría de Riesgos Evalúa el
nivel de efectividad, implementación, riesgo y madurez
del Sistema de Control Interno de la entidad bajo el enfoque
de gestión integral de riesgos.La Auditoría de Riesgos Evalúa el
nivel de efectividad, implementación, riesgo y madurez
del Sistema de Gestión de Seguridad de la
información bajo el enfoque de gestión integral
de riesgos.La Auditoría de Riesgos Determina el Estado
Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las
evaluaciones efectuadas a las actividades de almacenes,
industrias, talleres y aspectos de seguridad de la
información, durante los ejercicios 2007, 2008, 2009,
2010 y 2011.
CAPÍTULO III:
Método
3.1 Tipo
Esta investigación será del tipo
experimental, en donde se demostrará que la Auditoria de
Riesgos eficaz facilita la Gestión Gubernamental del
Céticos Paita. El Objetivo de esta investigación se
centra en realizar un experimento que permita demostrar
presupuestos e hipótesis explicativas; se trabaja en una
relación causa-efecto inmediata para lo cual requiere la
aplicación del método experimental.
Diseño de
Investigación
El Diseño seleccionado a implementarse en el
presente estudio, es el diseño con pos prueba
únicamente y grupo de control, es decir, la
manipulación de la variable independiente alcanza solo dos
niveles: presencia y ausencia.
3.3 Estrategia de Prueba de
Hipótesis
Como lo mencione anteriormente el diseño de mi
investigación científica será el de pos
prueba únicamente y grupo de control y lo podemos graficar
de la siguiente manera:
GRUPOS DE CONTROL SELECCIONADOS | PRESENCIA (X) O AUSENCIA (-) DE | MEDICIÓN DE LOS SUJETOS | |
RG1 | X | 01 | |
RG2 | – | 02 | |
Simbología del Diseño
Experimental:
RG1= Procesos Críticos del Negocio, Sistema
Control Interno de la Entidad y de Seguridad de la
Información.
RG2= Diagnóstico de los Procesos Críticos
del Negocio, Sistema de Control Interno y de Seguridad de la
Información ejercicios.
X= Auditoria de Riesgos / Variable
Independiente.
O1 y O2= Medición de los Sujetos de un
grupo.
= Ausencia de la Variable Independiente.
Ahora la estrategia para probar la hipótesis de
la investigación radicará en que: aplicaré
la Variable Independiente (Auditoria de Riesgos)
únicamente al Grupo de Control N° 1 seleccionado
aleatoriamente denominado Procesos Críticos del Negocio,
Sistema de Control Interno y de Seguridad de la
Información, que comenzaron a funcionar a partir del mes
de Setiembre del 2007 en adelante.
Los resultados de este experimento, una vez instauradas
las recomendaciones sugeridas por la Auditoria de Riesgos, de
parte de la entidad para incrementar la performance de su Sistema
de Control Interno y demás sistemas internos, serán
comparadas con el Grupo de Control N° 2 denominado
Diagnóstico de los Procesos Críticos del Negocio,
Sistema de Control Interno y de Seguridad de la
Información al 31/12/2007, a quien no se le
administró la variable independiente.
Con la ayuda de este Diseño demostraré que
la Aplicación de la Auditoria de Riesgos Eficaz facilita
la gestión gubernamental óptima del Ceticos
Paita.
3.4 Variables
3.4.1 Variable Independiente.
X= Auditoría de Riesgos
Eficaz.
3.4.2 Variable Dependiente.
Y= Gestión Gubernamental
Óptima.
3.4.3 Variable Interviniente.
Z= Centro de Exportación,
Transformación, Industria, Comercio y Servicios Generales
de Paita CETICOS PAITA.
3.4.4 Operacionalización de
Variables
A Continuación muestro una tabla en
donde se refleja la Operacionalización de Variables de mi
trabajo de Investigación Científica:
3.5 Población
La población según el Sistema Nacional de
Control está conformada por 3 Céticos los cuales se
encuentran en Paita, Matarani e Ilo.
Muestra
La Muestra, será netamente no
probabilística corresponde a la variante de sujeto tipo es
decir, esta muestra que abarca a el Ceticos Paita que representa
a todas los Centros de Exportación, Transformación,
Industria, Comercio y Servicios Generales que tienen
características similares con la unidad de
observación y la he elegido de acuerdo a los siguientes
criterios:
Acceso a la información, porque actualmente
estoy llevando a cabo una serie de acciones de control en tal
entidad.Facilidades, debido al contacto con los servidores y
funcionarios de la entidad puedo acceder a una serie de
informaciones.Importancia de la Empresa, Es una unidad de
Observación que necesita la atención debida ya
que recibe transferencias del gobierno central que deben de
ser manejados de la mejor manera posible.
3.7 Técnicas de
Investigación
3.7.1 Instrumentos de Recolección de
Datos
Programa de Auditoría de Riesgos. (Anexo
1).Diagramas de Procesos. (Anexo 2).
Enunciados de Aplicabilidad. (Anexo 3).
Matriz de Riesgos vs Controles. (Anexo
4).Histogramas de Frecuencia y Diagramas Radar. (Anexo
5).Planes de Tratamiento de Riesgos. (Anexo
6).Análisis Comparativo. (Anexo 7)
Informe Ejecutivo. (Anexo 8).
3.7.2 Procesamiento y Análisis de
Datos.
En este punto he resuelto el Programa de
Auditoría de Riesgos Propuesto (Ver Anexo 1) en
función a los Objetivos Generales y Específicos de
la Investigación El Procesamiento de la Información
se encuentra en todos y cada uno de los enunciados de
aplicabilidad, matriz de riesgos y controles, histogramas de
frecuencia, diagramas de radar, Planes de tratamiento de riesgos
e Informes Ejecutivos que me sirvieron para validar mis
hipótesis así mismo cada objetivo general y
específico se encuentra analizado con su respectivo
Informe de Auditoría de Riesgos.
3.7.2.1 Con respecto al Objetivo General 1: La
Auditoría de Riesgos eficaz facilita la Gestión
Gubernamental Óptima del Ceticos Paita.
Se aplicó la Auditoría de Riesgos al
Proceso de Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias con la finalidad
de demostrar el Objetivo General 1.
Establecer el Contexto: Se elaboró el Diagrama de
Procesos. En donde reflejó el Conocimiento del Proceso de
Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias y los controles que le dan
soporte a dicho proceso. (Ver Anexo 2 PT 1).
Identificación de Riesgos: Se identificaron 32
Riesgos con la ayuda del Enunciado de Aplicabilidad. (Ver Anexo 3
PT 2).
Análisis de Riesgos: Los 32 Controles que fueron
evaluados arrojaron resultados desfavorables para la Empresa.
(Ver Anexo 4 PT 3).
Evaluación de Riesgos: El Proceso de Ingreso y
Salida de Mercancías de la actividad de almacenes operaba
en condiciones inaceptables. (Ver Anexo 5 PT 5).
Plan de Tratamiento de Riesgos: En mi Calidad de Jefe
del Órgano de Control Institucional sugerí 32
recomendaciones para mejorar la Gestión Gubernamental del
Ceticos Paita. (Ver Anexo 6 PT 6).
Supervisión y Monitoreo: Luego de Monitorear y
Supervisar la Implantación del Plan de Tratamiento de
Riesgos por parte del Gerente General y su Grupo de
Colaboradores, el Sistema que monitorea el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Talleres e
Industrias experimentó mejoras en aspectos de
Gestión Gubernamental y Gestión de Riesgos. (Ver
Anexo 7 PT 7).
Comunicación y Consulta: Se elaboró el
Informe Final cuya estructura y Resultados alineados al Objetivo
General 1, reporta los siguientes resultados:
INFORME DE AUDITORÍA DE RIESGOS
A LAS ACTIVIDADES DE ALMACENES, TALLERES E INDUSTRIAS EJERCICIO
2007 AL 2010
I. INTRODUCCIÓN
ORÍGEN DEL
EXAMEN
En cumplimiento al Plan Anual de
Auditoría.
OBJETIVOS DEL EXAMEN.
a) Objetivos Generales:
a.1 Con la Aplicación de la Auditoría de
Riesgos: Verificar el Nivel de Cumplimiento y Efectividad de
parte de la Entidad del:
Inta Pg 22 y Directiva 002-2008/CETICOS PAITA
"Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Almacenes de Ceticos
Paita".Directiva 001-2008/CETICOS PAITA "Directiva de
Procedimientos de Ingreso y Salida de Mercancías para
Talleres de Ceticos Paita".Directiva 003-2008/CETICOS PAITA "Directiva de
Procedimientos de Ingreso y Salida de la Actividad de
Industrias de Ceticos Paita".
b) Objetivos
Específicos:
b.1 Determinar el Estado Situacional de los Riesgos
Evidenciados durante la Auditoría.
b.2 Comentar el Impacto que ha generado la
Evaluación dentro del Negocio.
ALCANCE
El alcance Abarca los Periodos 2007, 2008, 2009 y 2010
en donde se revisaron todos y cada uno de los Controles que se
encuentran inmersos en los Procesos de Ingreso y Salida de
Mercancías de las Actividades de: Almacenes, Industrias y
Talleres. Se evaluó al El Personal Ejecutivo y
Administrativo del Ceticos Paita.
METODOLOGÍA.
Se aplicó la Metodología de
la Auditoría de Riesgos.
BASE LEGAL.
• Reglamento de Organización y Funciones del
Céticos Paita.
• Procedimiento de Calidad Inta PG 22.
• Directiva Nº 001-2008 "Directiva de Control
de Ingreso y Salida de Vehículos de la Actividad de
Talleres".
• Directiva de Infracciones y Sanciones del
Céticos Paita.
• Normas de Control Interno Resolución de
Contraloría General 320-2006.
• Reglamento de Seguridad y Salud en el
Trabajo.
• Libro de Seguridad de Montacargas.
• Norma A.130 Requisitos de Seguridad.
• Norma Técnica Peruana
399.010-1-2004.
• Decreto Supremo Nº 005-94-IN Reglamento de
Servicios de Seguridad Privada.
La labor se desarrolló en la sede del CENTRO
DE EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA,
COMERCIALIZACIÓN Y SERVICIOS DE PAITA – CETICOS
PAITA, sito en Carretera Paita Sullana Km 3 Paita –
Perú.
COMENTARIOS.
CONOCIENDO EL PROCESO A
AUDITAR
Se elaboró el Diagrama del Proceso del
Sistema de Gestión de Calidad vinculado con el Ingreso
y Salida de Mercancías de la Actividades Almacenes,
Talleres e Industrias del Ceticos Paita.Se identificaron los Procesos y Controles que operan
en dichos procesos. (Ver Anexo 1 PT 1).
ESTADO SITUACIONAL DE LA ENTIDAD
ANTES DE LA ADOPCIÓN DE MEDIDAS
CORRECTIVAS
PROCESOS | CONTROLES | DESCRIPCION | NIVEL DE | NIVEL DE | NIVEL DE RIESGOS | NIVEL DE MADUREZ | |
4 | 32 | Controles que administran y | 24% | 30% | 4 | 1 | |
En promedio los 32 Controles que se encuentran dentro de
los Procesos que controlan el Ingreso y Salida de
Mercancías de las actividades de Almacenes, Talleres e
Industrias poseen un Nivel de Implementación y Efectividad
del 24 y 30% Incumplimiento Alto respectivamente, mitigan a
niveles de Riesgo 4 Extremo y Poseen un Nivel de Madurez 1
Inicial, es decir dichos controles y procesos están
operando en condiciones Inaceptables y es de vital importancia
que el Gerente General tome Medidas con carácter de
urgencia. (Ver Anexo 4 PT3).
RIESGOS /
OBSERVACIONES.
Los Riesgos han sido redactados en función al
Criterio Vulnerado, Recomendaciones, Acciones Correctivas y
Estado Situacional del Riesgo Calificando claro está el
Nivel de Implementación (NI), Nivel de Efectividad (NE)
Nivel de Riesgo (NR) y Madurez (NM) de los Controles evaluados,
El Detalle se refleja en la Siguiente Tabla.
ESTADO SITUACIONAL DE LOS PLANES DE TRATAMIENTO
DE RIESGOS FORMULADAS EN EL PRESENTE INFORME
De un Total de 32 Planes de Tratamiento de Riesgos que
fueron formuladas durante la evaluación y comunicadas
formalmente al Gerente General del Ceticos Paita durante los
años 2007, 2008, 2009 y 2010, se ha podido constatar con
la documentación sustentatoria pertinente (Informes de
Acción Correctivas 2007,2008, 2009 y 2010 emitidos por el
Gerente General y su Grupo de Colaboradores) que al 06/04/2011
los 32 planes de tratamiento de riesgos emitidos por mi persona a
partir del ejercicio 2007 al 2010 fueron atendidos en su
totalidad. (Anexo 6 PT 5).
LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA LABOR DE
AUDITORÍA
LOGROS:
9.1 ACTIVIDAD DE ALMACENES EJERCICIO 2008
Así mismo, cabe recalcar que en el periodo 2007,
durante los meses de Agosto y Octubre, La Empresa Golden
American Company (Usuario de Ceticos Paita) cometió
una serie de Infracciones, siendo Sancionada por la
Administración del Ceticos Paita en los lapsos de tiempo
establecidos, de acuerdo a lo estipulado en la "Directiva de
Infracciones y Sanciones para los Usuarios del Ceticos Paita",
aprobada con Resolución de la Gerencia General Nº
016-2007-CETICOS PAITA del 13 de agosto del 2007.
9.2 ACTIVIDAD DE TALLERES EJERCICIO 2009
El Valor Agregado que está incorporando el Sub
Director de Operaciones, al Instaurar Nuevos Controles con la
finalidad de convivir con niveles de riesgos aceptables,
fáciles de manejar y corregir.
Que el Actual Sub Director de Operaciones viene
trabajando en la elaboración de una Nueva Directiva para
el Control del Ingreso y Salida de Vehículos del
Céticos Paita.
9.3 ACTIVIDAD DE INDUSTRIAS EJERCICIO 2010
Buena Administración de Riesgos y Controles
(Calificación Optima) que se encuentran inmersos dentro
del SISTEMA DE GESTION DE CALIDAD vinculado con el Ingreso y
salida de mercancías de la actividad de industrias del
Céticos Paita, de todos y cada uno de los colaboradores de
la Entidad que organizan, implementan, regulan, monitorean y
generan valor y mejora continua a la Actividad de
Industrias.
9.4 BUEN NIVEL DE ATENCION DE PARTE DE LA ENTIDAD EN EL
PLAN DE TRATAMIENTO DE MEDIDAS CORRECTIVAS PROPUESTOS POR EL
AUDITOR INTERNO
Del 2007 al 2010 se ha podido evidenciar el adecuado
compromiso responsable y solidario de parte del Gerente General y
su grupo de colaboradores en atender los planes de tratamiento de
medidas correctivas propuestos por mi persona en calidad de
Auditor de Interno.
RIESGOS:
Durante la evaluación efectuada durante los
ejercicios 2007, 2008, 2009 y 2010 a las actividades de
almacenes, talleres e industrias se evidenciaron 32 riesgos los
mismos que fueron mitigados por el Gerente General de la Entidad
y su Grupo de Colaboradores al 100%.
ACCIONES DE MEJORA Y ESTADO
SITUACIONAL DE LAS ACCIONES DE MEJORA
Acción de Mejora propuesta en el Ejercicio
2010: Habilitar un filtro dentro del Sistema de
Gestión de Ceticos Paita al área de Operaciones,
para que pueda visualizar a manera de estadísticas /
reportes a los usuarios que tienen obligaciones pendientes
por pagar con Ceticos Paita ((Incorporación de un nuevo
Control Tecnológico de Seguimiento contractual a los
Usuarios del Ceticos Paita).
Estado Situacional de la Acción de Mejora:
Con informe IE ESAM Nº 001-2011 / OCI – CP, denominado
Estado Situacional de las Acciones de Mejorado al Gerente General
de la Empresa el día 05/04/2011 se ha logrado evidenciar
lo siguiente: se ha procedido a implementar dentro del sistema de
gestión del CETICOS PAITA, una opción de consulta
de deudas de los Usuarios del Ceticos Paita dentro del Sistema de
Gestión. (Acción de Mejora Implementada al
100%).
IMPACTO QUE HA GENERADO LA EVALUACION DENTRO DE
LA GESTION GUBERNAMENTAL DEL CETICOS PAITA
11.1 Cambios en el Comportamiento de los Controles
Evaluados
Al 06 de Abril del 2011, luego de haber implementado en
su totalidad los planes de tratamiento de Riesgos, El resultado
ha sido el Siguiente: En promedio los 32 Controles que se
encuentran dentro de los Procesos que controlan el Ingreso y
Salida de Mercancías de las actividades de Almacenes,
Talleres e Industrias poseen un Nivel de Implementación y
Efectividad del 90% Cumplimiento, mitigan a niveles de Riesgo 1
Aceptable y Poseen un Nivel de Madurez 4 Administrado, es decir
dichos controles y procesos están operando en condiciones
Aceptables y se han experimentado mejoras sustanciales en la
Gestión Gubernamental de la Empresa. (Ver Anexo 7 PT
6)
11.2 Evolución del Nivel Implementación,
Efectividad, Riesgo y Madurez de los Controles Sujetos a
Evaluación del 01/01/2007 al 06/04/2011.
La evolución que ha experimentado la
Organización luego de Instaurar los planes de tratamiento
de Riesgos propuestos por Auditoría ha sido sustancial. En
el Ejercicio 2007 los indicadores eran negativos: El Nivel de
Implementación y Efectividad de los Controles Instaurados
en el Proceso de Ingreso y Salida de Mercancías de la
Actividad de Almacenes, Talleres e Industrias Poseían
índices de Incumplimiento Alto 24 y 30% respectivamente,
mitigaban a niveles de riesgo 4 Extremo y poseían niveles
de madurez 1 Inicial, es decir se estaba trabajando de una manera
desordenada y existía caos en la Gestión
Organizacional.
A partir del 06 de Abril del 2011 El Ceticos Paita tiene
resultados positivos, El Nivel de Implementación y
Efectividad de los Controles Instaurados en el Proceso de Ingreso
y Salida de Mercancías de la Actividad de Almacenes,
Talleres e Industrias Poseían índices de
Cumplimiento ambos del 90% , mitigan niveles de riesgo 1
Aceptable y poseen niveles de madurez 4 Administrado, es decir se
está trabajando de una manera ordenada y transparente los
controles se encuentran evolucionando y en proceso de mejora
continua. (Ver Anexo 7 PT 6.1 y PT 6.1.1).
11. 3 Mejoras en La Gestión Gubernamental del
Ceticos Paita
Se produjeron 32 mejoras en aspectos de Gestión
gubernamental Vinculados con aspectos Organizacionales, de
Responsabilidad de la Dirección, Supervisión y
Monitoreo y Mejora Continua. (Ver Anexo 7 PT 6.1.1.1).
II CONCLUSIONES.
Adecuada Gestión de Riesgos de parte de la
Entidad:
32 Controles que poseen tendencias aceptables nivel de
implementación y efectividad del 90% respectivamente,
así mismo dichos controles mitigan en promedio a niveles
de Riesgo Aceptable y poseen niveles de Madurez
Administrado.
Adecuada Gestión Gubernamental:
La Gerencia viene cumpliendo en lo posible con las
Normas Internas y de Gobierno para el Adecuado Control del
Ingreso y Salida de Mercancías de las actividades de
Almacenes, Talleres e Industrias.
Al 06/04/2011 los 32 planes de tratamiento de riesgos
emitidos por mi persona a partir del ejercicio 2007 al 2010
fueron atendidos en su totalidad. Produciendo mejoras
sustanciales en el Ceticos Paita.
Se vienen sancionando a Usuarios que Infringen los
controles internos instaurados por la Entidad.
Se viene trabajando en nuevas regulaciones para
controlar los procesos de las actividades de almacenes, talleres
e industrias.
La Auditoría propuso una Acción de
Mejora.
III RECOMENDACIONES.
Al Gerente General del Ceticos Paita:
Continuar en la Labor de Mejorar la Gestión de
Riesgos dentro del Ceticos Paita.
Continuar en la labor de seguir mejorando la
Gestión Gubernamental del Ceticos Paita.
Continuar con la labor de seguir cumpliendo las
Directivas Internas y Regulaciones de Gobierno para el Adecuado
Control del Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Industrias y Talleres.
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa
MG.
Resultado del Objetivo General 1: Es
indispensable puntualizar que luego de poner en práctica
la Auditoría de Riesgos Eficaz he demostrado que esta
Auditoría facilita la Gestión Gubernamental
Óptima de los Centros de Exportación,
Transformación, Industrias y Servicios
Generales.
3.7.2.2 Con respecto al Objetivo Específico 1: La
Auditoría de Riesgos Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema
de control interno de la entidad bajo el enfoque de
gestión integral de riesgos.
Establecer el Contexto: Se elaboró el Diagrama de
Procesos. En donde reflejó el Conocimiento del Sistema de
Control Interno bajo el Enfoque COSO ERM y los controles que le
dan soporte a dicho proceso. (Ver Anexo 2 PT 1.1).
Identificación de Riesgos: Se identificaron 72
Riesgos con la ayuda del Enunciado de Aplicabilidad. (Ver Anexo 3
PT 2.1).
Análisis de Riesgos: Los 72 Controles que fueron
evaluados arrojaron resultados desfavorables para la Empresa.
(Ver Anexo 4 PT 3.1).
Evaluación de Riesgos: El Sistema de Control
Interno bajo el Enfoque COSO ERM operaba en condiciones
inaceptables. (Ver Anexo 5 PT 4.1).
Plan de Tratamiento de Riesgos: En mi Calidad de Jefe
del Órgano de Control Institucional sugerí 72
recomendaciones para mejorar la Gestión Gubernamental del
Ceticos Paita. (Ver Anexo 6 PT 5.1).
Supervisión y Monitoreo: Luego de Monitorear y
Supervisar la Implantación del Plan de Tratamiento de
Riesgos por parte del Gerente General y su Grupo de
Colaboradores, el Sistema de Control Interno bajo el Enfoque COSO
ERM experimentó mejoras en aspectos de Ambiente de
Control, Evaluación de Riesgos, Actividades de Control
Gerencial, Información y Comunicación y
Supervisión y Autoevaluación. (Ver Anexo 7 PT 6.2,
PT 6.2.1, PT 6.2.1.1 y 6.2.1.1.1).
Comunicación y Consulta: Se elaboró el
Informe Final cuya estructura y Resultados alineados al Objetivo
Específico 1, reporta los siguientes
resultados:
INFORME DE AUDITORÍA DE RIESGOS
AL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA DEL 30 DE JUNIO
DEL 2008 AL 10 DE OCTURE DEL EJERCICIO 2010.
I. INTRODUCCIÓN.
1. ORIGEN DEL
EXAMEN
En cumplimiento al Plan Anual de
Auditoría.
2. OBJETIVOS DEL
EXAMENa) Objetivos Generales:
a.1 Con la Aplicación de la Auditoría de
Riesgos: Evaluar el nivel de efectividad, implementación,
riesgo y madurez del sistema de control interno de la entidad
bajo el enfoque de gestión integral de riesgos.
b) Objetivo
Específicos:
b.1 Determinar el Estado Situacional de los Riesgos
Evidenciados durante la Auditoría.
b.2 Comentar el Impacto que ha generado la
Evaluación dentro del Negocio.
3. ALCANCE
El alcance Abarca los Periodos 2008, 2009 y 2010 en
donde se revisaron todos y cada uno de los Controles que se
encuentran inmersos en el Sistema de Control Interno del Ceticos
Paita.
Se evaluó al Personal Ejecutivo y Administrativo
del Ceticos Paita.
4. METODOLOGÍA
Se Aplicó la Metodología de la
Auditoría de Riesgos.
5. BASE LEGAL
NORMAS de Control Interno, aprobadas con
Resolución de Contraloría General Nº
320-2006-CG del 30 de Octubre del 2006, instauradas en
Ceticos Paita, con Resolución de Gerencia General
Nº 009-2009-Ceticos Paita, del 14/04/2009.Resolución de Contraloría General
Nº 458-2008-CG Contralor General autoriza aprobar la
"Guía para la Implementación del Sistema de
Control Interno de las entidades del Estado", del 28 de
octubre de 2008.
La labor se desarrolló en la sede del CENTRO
DE EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA,
COMERCIALIZACIÓN Y SERVICIOS DE PAITA – CETICOS
PAITA, sito en Carretera Paita Sullana Km 3 Paita –
Perú.
6. COMENTARIOS
CONOCIENDO EL PROCESO A
AUDITAR
Se elaboró el Diagrama del Proceso del Sistema de
Control Interno bajo el Enfoque Coso ERM. Con la finalidad de
determinar, los objetivos de control, controles, procesos y
procedimientos que se trabajan en dicho Sistema y que fueron
sujetos a Evaluación por parte de mi persona en calidad de
Jefe de Oci del Ceticos Paita. (Ver Anexo 2 PT 1.1).
ESTADO SITUACIONAL DE LA ENTIDAD ANTES DE LA
ADOPCION DE MEDIDAS CORRECTIVAS AL 30 DE JUNIO DEL
2008
PROCESOS | CONTROLES | NIVEL DE IMPLEMENTACIÓN / | NR | NM | |||
5 | 112 | 35.71% | 3 | 2 | |||
El Sistema de Control interno del Ceticos Paita posee un
nivel de Implementación y efectividad en Promedio de
35.71% Incumplimiento Alto, sus controles en Promedio mitigan a
Niveles de Riesgo 3 Alto y poseen niveles de madurez en promedio
2 Repetible. Es decir el Sistema de Control Interno Opera en
condiciones inaceptables y es de vital importancia que se tomen
medidas correctivas con carácter de urgencia. (Ver Anexo 4
PT 3.1).
7. RIESGOS / OBSERVACIONES
Los Riesgos han sido redactados en función al
Criterio Vulnerado, Recomendaciones, Acciones Correctivas y
Estado Situacional del Riesgo Calificando claro está el
Nivel Implementación (NI) / Efectividad (NE), Nivel de
Riesgo (NR) y Madurez (NM) de los Controles evaluados, El Detalle
se refleja en la Siguiente Tabla.
8. ESTADO SITUACIONAL DE LOS PLANES DE
TRATAMIENTO DE RIESGOS FORMULADAS EN EL PRESNTE
INFORME.
Al 30/06/2008 Se evidenciaron 72 Riesgos/Observaciones
los mismos que al 30/10/2010 fueron mitigados y atendidos en su
totalidad del 18 de Octubre del 2008 al 30 de Noviembre del 2010.
(Ver Anexo 6 PT 5.1).
9. LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA
LABOR DE AUDITORÍA
LOGROS:
REMISION DE INFORMES DE AUTOEVALUACION AL SISTEMA
NACIONAL DE CONTROL CON RESPECTO AL NIVEL DE IMPLEMENTACION
DEL SISTEMA DE CONTROL INTERNO DEL CETICOS
PAITA
Con Oficio Nº 1221-A-2010/GG-CETICOS PAITA del
29/10/2010, el Titular de la Entidad remite al Jefe de Oci de
Ceticos Paita el Segundo del Informe de Implementación de
la Estructura de Control Interno de Ceticos Paita, realizado
entre los meses de Noviembre del 2008 a Octubre del 2010 Es
importante recalcar que la entidad ha dado cumplimiento a lo
establecido en el Artículo 2 y 3 de la Resolución
de Contraloría General de la República Nº
458-2008-CG del 28/10/2008: "Guía para la
Implementación del Sistema de Control Interno de las
entidades del Estado".
REUNIONES DE VALOR AGREGADO DEL COMITÉ DE
IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO
El Comité encargado del Proceso de
Implementación del Sistema de Control Interno viene
llevando a cabo reuniones de Coordinación con la finalidad
de generar alternativas de solución para crear a Mediano /
Largo plazo la Gerencia de Tecnologías de
Información y Comunicaciones en Ceticos Paita.
DOCUMENTACION DE LOS PROCESOS MÁS
IMPORTANTES DEL NEGOCIO
A la fecha la entidad cuenta con los siguientes Manuales
de Procedimientos aprobados con resoluciones de Gerencia General
Nº 040, 041, 042, 043, 044, 045 y 046-2010-CETICOS PAITA del
09/11/2010, que a continuación se detallan: Manual de
Procedimientos de la Oficina General de Administración –
Contabilidad; Manual de Procedimientos de Tecnologías de
Información y Comunicaciones; Manual de Procedimientos de
la Oficina General de Administración – Recursos Humanos;
Manual de Procedimientos de la Oficina General de
Administración – Tesorería; Manual de
Procedimientos de la Oficina General de Administración –
Logística; Manual de Procedimientos de la Oficina de
Asesoría Legal y Manual de Procedimientos del
Órgano de Control Institucional.
RIESGOS:
Durante la evaluación efectuada el 30 de Junio
del 2008 al Sistema de Control Interno se evidenciaron 72 riesgos
los mismos que fueron mitigados por el Gerente General de la
Entidad y su Grupo de Colaboradores al 100%, del 18 de Octubre
del 2008 al 30 de Noviembre del 2010.
ACCIONES DE MEJORA Y ESTADO
SITUACIONAL DE LAS ACCIONES DE MEJORA
INCREMENTAR EL NIVEL DE EFECTIVIDAD E
IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO DE LA
ENTIDAD
A Manera de valor agregado se sugiere continuar
generando avances a los componentes del Sistema de Control
Interno que se encuentran pendientes de Implementar.
Estado Situacional de la Acción de mejora: Con
Informe N° 2-4391-2010-006 del 30 de Noviembre del 2010,
denominado Evaluación del Control Interno, se ha logrado
evidenciar que el Comité encargado de Implementar y
mejorar el Sistema de Control Interno de la Entidad se vienen
reuniendo de manera reiterada con la finalidad de atender los
componentes de dicho sistema que se encuentran pendientes por
implementar.
IMPACTO QUE HA GENERADO LA EVALUACION DENTRO DE
LA GESTION GUBERNAMENTAL DEL CETICOS PAITA
Cambios en la Performance de los Controles al
30/11/2010.
Al 30/11/2010 los Controles poseen un nivel de
implementación y efectividad del 78.57%, mitigan a niveles
de riesgo 1 Aceptable y se encuentran en un nivel de madurez
aceptable, la Organización viene experimentando cambios
aceptables para el logro de los Objetivos Misionales. (Ver Anexo
7 PT 6.2)
Evolución en el Nivel de
Implementación, Efectividad, Riesgo y Madurez del
Sistema de Control Interno del CETICOS PAITA del 30/06/2008
al 30/11/2010.
La evolución que ha experimentado el Sistema de
Control Interno del Ceticos Paita luego de Instaurar los planes
de tratamiento de Riesgos propuestos por Auditoría ha sido
sustancial. En El 2008 los indicadores eran negativos: El Nivel
de Implementación y Efectividad de los Controles
Instaurados en el Sistema de Control Interno Poseían
índices de Incumplimiento Alto 35.71% respectivamente,
mitigaban a niveles de riesgo 4 Extremo y poseían niveles
de madurez 1 Inicial, es decir El Sistema de Control Interno
operaba en condiciones Inaceptables y no aportaba al logro de los
Objetivos Institucionales
A partir del 30 de Noviembre del 2010 El Sistema de
Control Interno del Ceticos Paita tiene resultados positivos, El
Nivel de Implementación y Efectividad de los Controles
Instaurados en dicho sistema Poseían índices de
Incumplimiento Medio ambos del 78.57%, mitigan a niveles de
riesgo 1 Aceptable y poseen niveles de madurez 4 Administrado, es
decir El Sistema de Control Interno del Ceticos Paita experimenta
un mediano grado de desarrollo y viene contribuyendo al logro de
los objetivos institucionales de manera progresiva. (Ver Anexo 7
PT 6.2.1 y 6.2.1.1)
12.3 Mejoras en Aspectos Gubernamentales
El Sistema de Control Interno del Ceticos Paita ha
experimentado 72 mejoras en aspectos vinculados con: Ambiente de
Control, Evaluación de Riesgos, Actividades de Control
Gerencial, Información y Comunicación y
Supervisión y Autoevaluación. (Ver Anexo 7 PT
6.2.1.1.1)
II CONCLUSIONES
Adecuada Gestión de Riesgos
A la fecha el Sistema de Control Interno de la Entidad
posee en promedio Niveles de Implementación y efectividad
del 78.57%, así mismo mitiga a niveles de riesgo 1
Aceptable y Posee niveles de Madurez 4 Administrado. Dicho
sistema viene evolucionando paulatinamente y aporta al logro
misional de la empresa.
Adecuada Gestión Gubernamental
El Ceticos Paita viene cumpliendo de manera gradual Las
Normas de Control Interno emitidas por la Contraloría
General de la República para el Adecuado Manejo, Control y
Administración de los Recursos y Fondos que son de
Propiedad del Estado.
Se evidenciaron 72 riesgos los mismos que fueron
atendidos.
Se derivó al Sistema Nacional de Control el
Informe 1 y 2 de Autoevaluación al Sistema de Control
Interno del Ceticos Paita con fechas 23/10/2009 y
23/10/2010.
El Comité de Control Interno del Ceticos Paita
viene realizando reuniones de coordinación para Mejorar El
Sistema de Control Interno de la Entidad.
Se reportó una Acción de mejora para
mejorar la Gestión Gubernamental del Ceticos
Paita.
III RECOMENDACIONES
Continuar con la Adecuada Gestión de Riesgos de
la Entidad dentro del Sistema de Control Interno del Ceticos
Paita, es decir que sus niveles de implementación y
efectividad oscilen entre 60% y 100% y sus niveles de riesgo y
madurez posean índices de1 Aceptable y de 4 Administrado,
que son los resultados que reflejan un gestión de riesgos
ordenada y transparente.
Continuar con la Adecuada Gestión Gubernamental
dentro del Sistema de Control Interno del Ceticos Paita para ello
se deberá de seguir cumpliendo con las Normas del Sistema
Nacional de Control para el Adecuado manejo y
administración del Sistema de Control Interno.
La Gerencia deberá de seguir en la labor de
atender las recomendaciones de Auditoría
Interna.
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa
MG.
Resultado del Objetivo Específico 1: Es
indispensable puntualizar que luego de poner en práctica
la Auditoría de Riesgos Eficaz he demostrado que esta
Auditoría Evalúa el nivel de efectividad,
implementación, riesgo y madurez del sistema de control
interno de la entidad bajo el enfoque de gestión integral
de riesgos, generando de esta manera valor agregado en la
Gestión Organizacional y Gubernamental de la Entidad.
Prueba de ello es que el Ceticos Paita ha experimentado 72
mejoras en aspectos de Ambiente de Control, Gestión de
Riesgos, Actividades de Control Gerencial, Información y
Comunicación y Supervisión y
Autoevaluación.
3.7.2.3 Con respecto al Objetivo Específico
Nº 2: La Auditoría de Riesgos Evalúa el nivel
de efectividad, implementación, riesgo y madurez del
sistema de gestión de seguridad de la información
bajo el enfoque de gestión integral de riesgos.
Establecer el Contexto: Se elaboró el Diagrama de
Procesos. En donde reflejó el Conocimiento del Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita y los controles que le dan soporte a dicho proceso. (Ver
Anexo 2 PT 1.1.1).
Identificación de Riesgos: Se identificaron 2
Riesgos con la ayuda del Enunciado de Aplicabilidad. (Ver Anexo 3
PT 2.1.1).
Análisis de Riesgos: Los 2 Controles que fueron
evaluados arrojaron resultados desfavorables para la Empresa.
(Ver Anexo 4 PT 3.1.1).
Evaluación de Riesgos: El Sistema de Control
Interno bajo el Enfoque COSO ERM operaba en condiciones
relativamente aceptables. (Ver Anexo 5 PT 4.1.1).
Plan de Tratamiento de Riesgos: En mi Calidad de Jefe
del Órgano de Control Institucional sugerí 2
recomendaciones para mejorar la Gestión Gubernamental del
Ceticos Paita. (Ver Anexo 6 PT 5.1.1).
Supervisión y Monitoreo: Luego de Monitorear y
Supervisar la Implantación del Plan de Tratamiento de
Riesgos por parte del Gerente General y su Grupo de
Colaboradores, el Sistema de Gestión de Seguridad de la
Información experimentó mejoras en aspectos de
Adecuado manejo de recursos informáticos. (Ver Anexo 7 PT
6.3, PT 6.3.1, PT 6.3.1.1 y 6.3.1.1.1).
Comunicación y Consulta: Se elaboró el
Informe Final cuya estructura y Resultados alineados al Objetivo
Específico 2, reporta los siguientes
resultados:
AUDITORÍA DE RIESGOS AL SISTEMA
DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DEL 01 DE
ENERO DEL 2011 AL 30 DE MARZO DEL 2011
I INTRODUCCIÓN
1. ORIGEN DEL EXAMEN
En cumplimiento al plan Anual de
Auditoría.
OBJETIVOS DEL EXAMEN.
a) Objetivos Generales:
a.1 Con la Aplicación de la Auditoría de
Riesgos: Evaluar el nivel de efectividad, implementación,
riesgo y madurez del sistema de Gestión de Seguridad de la
Información del Ceticos Paita.
b) Objetivos
Específicos:
b.1 Determinar el Estado Situacional de los Riesgos
Evidenciados durante la Auditoría.
b.2 Comentar el Impacto que ha generado la
Evaluación dentro del Negocio.
ALCANCE
El alcance Abarca el Ejercicio 2011 en donde se
revisaron todos y cada uno de los Controles que se encuentran
inmersos en el Sistema de Gestión de Seguridad de la
Información del Ceticos Paita. Se evaluaron a todos y cada
uno de los colaboradores del Ceticos Paita personal Directivo y
Ejecutivo.
METODOLOGÍA
Se Aplicó la Metodología de la
Auditoría de Riesgos.
BASE LEGAL
Manual de Uso de Recursos Informáticos
Versión 2009.Manual de Uso de Correo Corporativo Institucional
Versión 2009.
La labor se desarrolló en la sede del CENTRO
DE EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA,
COMERCIALIZACIÓN Y SERVICIOS DE PAITA – CETICOS
PAITA, sito en Carretera Paita Sullana Km 3 Paita –
Perú.
COMENTARIOS
CONOCIENDO EL PROCESO A
AUDITAR
Se elaboró el Diagrama del Proceso del Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita, con la finalidad de determinar, los objetivos de control,
controles, procesos y procedimientos que se trabajan en dicho
Sistema y que fueron sujetos a Evaluación por parte del
Jefe de Oci del Ceticos Paita. (Ver Anexo 2 PT1.1.1).
ESTADO SITUACIONAL DE LA ENTIDAD ANTES DE LA
ADOPCION DE MEDIDAS CORRECTIVAS AL 01 DE ENERO DEL EJERCICIO
2011
PROCESOS EVALUADOS | CONTROLES | DESCRIPCION | NIVEL DE | NIVEL DE | NIVEL DE RIESGOS | NIVEL DE MADUREZ | ||
4 | 20 | Controles que administran y | 90% | 86% | 1 | 4 | ||
En promedio los 20 Controles que se encuentran dentro de
los Procesos que controlan el Sistema de Gestión de la
Seguridad de la Información poseen un Nivel de
Implementación y Efectividad del 90% y 86% Cumplimiento
respectivamente, mitigan a niveles de Riesgo 1 Aceptable y Poseen
un Nivel de Madurez 4 Administrado. Es decir tiene una buena
práctica y vienen ayudando al logro de los objetivos del
sistema pero se deben tomar medidas correctivas urgentes con
respecto al adecuado uso de recursos informáticos y correo
corporativo institucional. (Ver Anexo 4 PT 4.1.1).
7. RIESGOS /
OBSERVACIONES.
Los Riesgos han sido redactados en función al
Criterio Vulnerado, Recomendaciones, Acciones Correctivas y
Estado Situacional del Riesgo Calificando claro está el
Nivel de Implementación (NI), Efectividad (NE) Riesgo (NR)
y Madurez (NM) de los Controles evaluados, El Detalle se refleja
en la Siguiente Tabla.
8. ESTADO SITUACIONAL DE LOS PLANES DE TRATAMIENTO DE
RIESGOS FORMULADAS EN EL PRESENTE INFORME
Al 30/03/2011 Se evidenciaron 2 Riesgos/Observaciones
los mismos que al 06/04/2011 fueron mitigados y atendidos en su
totalidad.
LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA LABOR DE
AUDITORÍA.
LOGROS: Durante la evaluación se pudieron
evidenciar los siguientes logros:
TEST DE PENETRACINÓN: Con fecha
30/03/2011, la entidad viene realizando las coordinaciones
pertinentes con la empresa Network Professional Security
Perú SAC, con RUC N° 20518079281, con
domicilio legal para estos efectos en Av. José A.
Larco 345 Interior M-03 Miraflores, representada por su
Gerente General Sr. Miguel Fernando Mayta Flores, con DNI #
42500196, quien será encargada de llevar a cabo un
test de penetración al sistema de gestión de
seguridad de la información.AVANCE DEL PLAN DE CONTINUIDAD DE NEGOCIOS:
Con fecha 30/03/2011 a las 12:19 pm el Jefe de Oci de la
Entidad logra evidenciar que el porcentaje de avance del Plan
de Continuidad de Negocios del Céticos Paita se
encuentra en un 95 %, a la fecha la entidad ya cuenta con los
documentos de Introducción (3 folios), Establecimiento
y Gestión del Sistema de Continuidad de Negocios (24
folios), Aspectos Metodológicos del Sistema de
Continuidad de Negocios (42 folios), Implementación
del Sistema de Continuidad de Negocios (210 folios) y
finalmente Supervisión y revisión del Sistema
de Continuidad de Negocios (12 folios).CERTIFICACIONES EN SEGURIDAD DE LA
INFORMACIÓN: A la fecha la entidad en materia de
Seguridad de la Información ha obtenido 10
certificaciones distribuidas de la siguiente manera: 2
certificaciones obtenidas por los colaboradores que realizan
labores de Informática, 07 certificaciones obtenidas
por colaboradores que realizan labores administrativas y una
certificación obtenida por el Jefe del Órgano
de Control Institucional en calidad de Veedor y responsable
de Auditar el Sistema de Gestión de Seguridad de la
Información del Céticos Paita.
RIESGOS: Durante la evaluación efectuada
el 30 de Marzo del Ejercicio 2011 al Sistema de Gestión de
Seguridad de la Información se evidenciaron 2 riesgos los
mismos que fueron mitigados por el Gerente General de la Entidad
y su Grupo de Colaboradores al 100%, del 30 de Marzo del 2011 al
05 de Abril del 2011.
ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE LAS
ACCIONES DE MEJORA.
11.1 Fortalecer la seguridad donde se ubica
la sala de servidores con la edificación de una
pared.
11.2 Implementar un sensor de
aniego.
11.3 Implementar lineamientos de uso de
equipos móviles.
11.4 Llevar a cabo la Instalación de
un Gabinete de Pared para protección de equipos
informáticos.
11.5 Llevar a cabo el cableado en
telecomunicaciones.
11.6 Implementar el Firewall
Perimetral.
11.7 Definir los niveles de acuerdos y
Servicios.
11.8 Desarrollar e implementar
políticas y procedimientos para proteger la
información asociada a los sistemas de información
comercial.
11.9 Continuar con el Avance vinculado con
el Plan de Continuidad de Negocios.
11.10 Atender las Recomendaciones/Sugerencias que surjan
del Test de Penetración al Sistema de Gestión de
Seguridad de la Información del Ceticos Paita, que
elaborará y ejecutará la Empresa Network
Professional Security Perú SAC.
A La fecha las 10 acciones de mejora a manera de valor
agregado propuestas por mi Persona como una contribución
para mejorar el Sistema de Gestión de Seguridad de la
Información fueron implementadas en su
totalidad.
IMPACTO QUE HA GENERADO LA EVALUACION AL SISTEMA
DE GESTION DE LA SEGURIDAD DE LA INFORMACION DENTRO DE LA
GESTION GUBERNAMENTAL DEL CETICOS PAITA.
11.1 Mejoras en la Performance de los Controles Al 06 de
Abril del Ejercicio 2011en promedio Los Controles poseen un nivel
de implementación y efectividad del 90%, mitigan a niveles
de riesgo 1 Aceptable y se encuentran en niveles de madurez
aceptables. El Sistema de Gestión de Seguridad de la
Información viene contribuyendo con los Objetivos
Misionales del Negocio. (Ver Anexo 7 PT 6.3).
11.2 Evolución en el Nivel de
Implementación, Efectividad, Riesgo y Madurez del Sistema
de Gestión de Seguridad de la Información del 30 de
Marzo del 2010 al 06 de Abril del 2011
La evolución que ha experimentado el Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita luego de Instaurar los planes de tratamiento de Riesgos
propuestos por Auditoría ha sido sustancial. En El 2010
los indicadores eran relativamente favorables: El Nivel de
Implementación y Efectividad de los Controles Instaurados
en el Sistema de Gestión de Seguridad de la
Información Poseían índices de Cumplimiento
90% y 86% respectivamente, mitigaban a niveles de riesgo 1
Aceptable y poseían niveles de madurez 4 Administrado, es
decir El Sistema de Control Interno operaba en condiciones
Relativamente Aceptables debido a que se debían de mitigar
2 riesgos vinculados con el adecuado manejo de recursos
informáticos del Ceticos Paita.
A partir del 06 de Abril del 2011 El Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita tiene resultados positivos, El Nivel de
Implementación y Efectividad de los Controles Instaurados
en dicho sistema Poseen índices de Cumplimiento del 90%,
mitigan a niveles de riesgo 1 Aceptable y poseen niveles de
madurez 4 Administrado, es decir El Sistema de Gestión de
Seguridad de la Información viene contribuyendo al logro
de los objetivos institucionales de manera progresiva. (Ver Anexo
7 PT 6.3.1, PT 6.3.1.1).
Mejoras en la Adecuada Administración y
Control del Sistema de Gestión de Seguridad de la
Información: Ha generado 2 Mejoras vinculadas con el
adecuado uso de recursos informáticosy adecuado uso de
Correo Corporativo Institucional, dentro de las 18 mejoras
que a la fecha ostenta el Sistema de Gestión de
Seguridad de la Información de la Entidad. (Ver Anexo
7 PT 6.3.1.1.1).
II CONCLUSIONES
Adecuada Gestión de Riesgos
El Sistema de Gestión de Seguridad de la
Información posee en promedio un nivel de
implementación y efectividad del 90% respectivamente,
así mismo dichos controles mitigan en promedio a niveles
de Riesgo Aceptable y poseen niveles de Madurez Administrado.
Índices que reflejan que dichos sistema se encuentra
contribuyendo al logro de los objetivos misionales.
Adecuada Gestión Gubernamental
 Página anterior | Volver al principio del trabajo | Página siguiente  |