Auditoría de riesgos eficaz para la gestión gubernamental óptima de los ceticos (página 5)
El Gerente General y su grupo de colaboradores, dentro
de sus procesos, actividades y tareas vienen cumpliendo en lo
posible y de acuerdo con su capacidad operativa con los
requerimientos establecidos en: Los manuales del Uso adecuado de
los recursos informáticos y del correo electrónico
corporativo.
Se evidenciaron 2 riesgos los mismos que fueron
mitigados.
La Auditoría proporcionó 10 Acciones de
Mejora.
III RECOMENDACIONES
Continuar con la labor de trabajar dentro de la entidad
con una Adecuada Gestión de Riesgos dentro del Sistema de
Gestión de Seguridad de la Información.
El Gerente General y su grupo de colaboradores, dentro
de sus procesos, actividades y tareas sigan cumpliendo en lo
posible y de acuerdo con su capacidad operativa con los
requerimientos establecidos en: Los manuales del Uso adecuado de
los recursos informáticos y del correo electrónico
corporativo.
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa
MG.
Resultado del Objetivo Específico 2: Es
indispensable puntualizar que luego de poner en práctica
la Auditoría de Riesgos Eficaz he demostrado que esta
Auditoría Evalúa el nivel de efectividad,
implementación, riesgo y madurez del sistema de
Gestión de Seguridad de la Información del Ceticos
Paita bajo el enfoque de gestión integral de riesgos,
generando de esta manera valor agregado en la Gestión
Organizacional y Gubernamental de la Entidad. Prueba de ello es
que el Ceticos Paita ha experimentado 2 mejoras en aspectos de
Administración y Control de Activos de Información
que son de propiedad de la entidad, del estado y de la
colectividad.
La Auditoría de Riesgos Determina el Estado
Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las
evaluaciones efectuadas a las actividades de almacenes,
industrias, talleres, Sistema de Control Interno y Sistema de
Gestión de la Seguridad de la Información,
durante los ejercicios 2007, 2008, 2009, 2010 y
2011.
A continuación mostraré el
Estado Situacional de las Recomendaciones como resultado de las
evaluaciones practicadas:
ESTADO SITUACIONAL DE LAS
RECOMENDACIONES FORMULADAS EN LOS INFORMES DE AUDITORÍA DE
RIESGOS PERIODO 2007 AL 2011 TRABAJADAS EN MI
INVESTIGACIÓN
De un total de 106 Recomendaciones emitidas de Enero del
2007 al 30 de Marzo del 2011, podemos concluir que a la fecha han
sido atendidas todas y cada una de las recomendaciones formuladas
por mi persona en Calidad de Auditor Interno del Ceticos Paita
como consecuencia de la Aplicación de Auditorías de
Riesgos en los Procesos Críticos del Negocio. (Ver Anexo 9
PT 8).
Resultado del Objetivo Específico 3:
Refleja el compromiso responsable y solidario que ha tenido el
Gerente General del Ceticos Paita en Atender las Recomendaciones
formuladas en los Informes de Auditoría de Riesgos en un
100%, las mismas que han mejorado Gestión Gubernamental
del Ceticos Paita, dentro de las actividades de almacenes,
talleres e industrias, Sistema de Control Interno y Sistema de
Gestión de la Seguridad de la Información del
Ceticos Paita.
CAPÍTULO IV:
Presentación
de resultados
4.1 Contrastación de
Hipótesis
La Hipótesis General es la
siguiente: La Auditoría de Riesgos eficaz facilita la
gestión gubernamental óptima del Ceticos
Paita.
Resultados de la Investigación con respecto a la
Hipótesis General:
Los resultados me permiten afirmar que la
Auditoría de Riesgos Eficaz si facilita la Gestión
Gubernamental Optima del Centro de Exportación,
Transformación, Industria, Comercio y Servicios Generales
de Paita (CETICOS PAITA). Esta confirmación de
Hipótesis se sustenta en que luego de aplicar la
Auditoría de Riesgos a las actividades de almacenes,
talleres e industrias y al haber implementado el Titular de la
Entidad todos y cada uno de los planes de tratamiento de riesgos
/ recomendaciones sugeridos por mi persona durante los ejercicios
2007, 2008, 2009 y 2010, la Gestión Gubernamental
experimentó las siguientes mejoras:
Del 2007 al 2011 los 32 Controles evaluados mejoraron su
performance, es decir ahora poseen niveles de cumplimiento,
efectividad, riesgo y madurez aceptables y en proceso de mejora
continua. La empresa viene cumpliendo en lo posible y de acuerdo
a su disponibilidad financiera y presupuestal con los
requerimientos establecidos en el procedimiento de calidad Inta
Pg 22, Directiva 002-2008/CETICOS PAITA "Directiva de
Procedimientos de Ingreso y Salida de Mercancías para
Almacenes de Ceticos Paita", Directiva 001-2008/CETICOS PAITA
"Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Talleres de Ceticos Paita" y "Directiva de
Procedimientos de Ingreso y Salida de la Actividad de Industrias
de Ceticos Paita".
Del 2007 al 2011 surgieron las siguientes 32 mejoras
Gubernamentales.
A manera de valor agregado la Auditoría de
Riesgos propuso como acción de mejora al Gerente General
del Ceticos Paita: Habilitar un filtro dentro del Sistema de
Gestión de Ceticos Paita al área de Operaciones,
para que pueda visualizar a manera de estadísticas /
reportes a los usuarios que tienen obligaciones pendientes
por pagar con Ceticos Paita. El cual a la fecha se encuentra
implementado.
Resultados de la Investigación con respecto a las
Hipótesis secundarias:
La evaluación de las Hipótesis secundarias
constituye una confirmación de la Hipótesis General
que la respalda y se presenta de la siguiente forma:
CONTRASTACIÓN DE LAS HIPÓTESIS
SECUNDARIAS
HIPÓTESIS ESPECÍFICA Nº 1
La Auditoría de Riesgos Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema
de control interno de la entidad bajo el enfoque de
gestión integral de riesgos.
EVALUACIÓN QUE CONFIRMA LA
HIPÓTESIS
Efectivamente la Auditoría de Riesgos
llegó a determinar el Nivel de implementación,
Efectividad, Riesgo y Madurez del Sistema de Control Interno del
Ceticos Paita, Al 30 de Junio del 2008 dicho sistema operaba en
condiciones inaceptables, poseía en promedio un Indicador
de 35.71% Incumplimiento Alto, sus niveles de riesgo y madurez
eran altos y repetibles. Pero luego de poner en práctica
el plan de tratamiento de riesgos/recomendaciones sugeridas
durante mi evaluación al 06 de Abril del 2011 el indicador
en promedio experimentó una variación de 78.57%
Incumplimiento Medio, sus niveles de riesgo y madurez eran
aceptables y administrados; Es decir el Sistema de Control
Interno de la entidad comenzó a experimentar mejoras
sustanciales en aspectos de gestión organizacional y
gubernamental.
Luego de Aplicar la Auditoría de Riesgos e
Implementar el Titular de la Entidad el Plan de Tratamiento de
Riesgos propuesto por mi persona, El Ceticos Paita
experimentó 72 Mejoras en materia de: Ambiente de Control,
Evaluación de Riesgos, Actividades de Control Gerencial,
Información y Comunicación y Supervisión y
Autoevaluación.
El Sistema de Control Interno de la Entidad se viene
administrando y controlando de una manera ordena y
transparente.
La Auditoría recomendó al mismo tiempo
como acción de mejora al Gerente General de la Entidad,
Continuar en la labor de incrementar el nivel de efectividad e
implementación del sistema de control interno de la
entidad, para futuros ejercicios.
HIPÓTESIS ESPECÍFICA Nº 2
La Auditoría de Riesgos Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema
de gestión de seguridad de la información bajo el
enfoque de gestión integral de riesgos.
EVALUACIÓN QUE CONFIRMA LA
HIPÓTESIS
Efectivamente la Auditoría de Riesgos
llegó a determinar el Nivel de implementación,
Efectividad, Riesgo y Madurez del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita, Al 30 de
Marzo del 2010 dicho sistema en promedio poseía un nivel
de Efectividad del 90% (Cumplimiento) y 86% (Incumplimiento
Medio), al mismo tiempo sus niveles de riesgo y madurez eran
aceptables y administrados Respectivamente, Es decir el Sistema
de Gestión de Seguridad de la Información del
Ceticos Paita se encontraba en una etapa de mejora
continua.
Al 06 de Abril del Ejercicio 2011 El Sistema de Control
Interno del Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 90% Cumplimiento, al
mismo tiempo sus niveles de riesgo y madurez eran aceptables y
administrados Respectivamente, Es decir la gestión
gubernamental en materia de seguridad de la información se
viene ordenando de una manera eficiente y transparente, al mismo
tiempo los controles inmersos dentro del sistema de
gestión de seguridad de la información que posee la
entidad están en proceso de mejora continua.
A raíz de ese avance el Sistema de Gestión
de Seguridad de la Información Ceticos Paita ha
experimentado 2 mejoras gubernamentales importantes adicionadas a
18 existentes en materia de: Control y Protección de
Activos de Información
El Sistema de Control Interno de Gestión de
Seguridad de la Información se viene administrando y
controlando de una manera ordena y transparente.
A manera de valor agregado la Auditoría propuso
10 acciones de mejora al Gerente General del Ceticos Paita,
Dentro de las cuales las más importantes son: Continuar
con el Avance vinculado con el Plan de Continuidad de Negocios y
Atender las Recomendaciones/Sugerencias que surjan del Test de
Penetración al Sistema de Gestión de Seguridad de
la Información del Ceticos Paita, que elaborará y
ejecutará la Empresa Network Professional Security
Perú SAC. Las cuales a la fecha se encuentran
implementadas.
HIPÓTESIS ESPECÍFICA Nº 3
La Auditoría de Riesgos Determina el Estado
Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres,
sistema de control interno y sistema de gestión de la
seguridad de la información, durante los ejercicios 2007,
2008, 2009, 2010 y 2011.
EVALUACIÓN QUE CONFIRMA LA
HIPÓTESIS
Efectivamente la Auditoría de Riesgos
llegó a determinar que de un total de 106 Recomendaciones
emitidas de Enero del 2007 al 30 de Marzo del 2011, se ha
concluido que a la fecha han sido atendidas todas y cada una de
las recomendaciones formuladas por mi persona en Calidad de
Auditor Interno del Ceticos Paita como consecuencia de la
Aplicación de Auditorías de Riesgos en los Procesos
Críticos del Negocio. Demostrando el Titular de la entidad
un compromiso responsable y solidario en mejorar la
Gestión Gubernamental.
4.1.1 Medición de las Variable con
los Resultados Obtenidos
Las variables que se han definido como unidades de
análisis en el proceso de investigación, para la
comprobación de la Hipótesis y el Logro de los
Objetivos de la Investigación presentan los siguientes
resultados:
VARIABLE
APLICACIÓN DE LA AUDITORÍA
DE RIESGOS AL CETICOS PAITA
Para conocer el Impacto que ha generado la
Auditoría de Riesgos dentro de la Gestión
Gubernamental del Ceticos Paita se tuvo que aplicar toda la
metodología de Auditoría de Riesgos dentro de las
actividades de Almacenes, Industrias y Talleres que son las que
monitorean y controlan el Ingreso y Salida de Mercancías
del Ceticos Paita de acuerdo a requerimientos establecidos por la
Superintendencia Nacional de Aduanas y/o Normas Internas de la
Entidad.
Los Indicadores de la Variable y los resultados producto
de la Información obtenida y procesada son los
siguientes:
INDICADORES:
Nivel de Cumplimiento y Efectividad de parte de la
Entidad del INTA PG 22 y Directiva 002-2008/CETICOS PAITA
"Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Almacenes de Ceticos Paita"
A la fecha el nivel de Cumplimiento y Efectividad del
Céticos Paita en lo que concierne a la Aplicación y
puesta en Práctica del Procedimiento de Calidad INTA PG 22
y y Directiva 002-2008/CETICOS PAITA "Directiva de Procedimientos
de Ingreso y Salida de Mercancías para Almacenes de
Ceticos Paita" por parte del Gerente General y su grupo de
Colaboradores es Aceptable y se encuentra en proceso de mejora
continua prueba de ello es que, dichos indicadores mejoraron en
niveles de cumplimiento y efectividad, es decir Pasaron de un
Incumplimiento Alto con calificación de 0% durante el
ejercicio 2007 a un nivel de Cumplimiento Aceptable con
calificación del 90%, correspondiente al ejercicio
2011.
Nivel de Cumplimiento y Efectividad de parte de la
Entidad de la Directiva 001-2008/CETICOS PAITA "Directiva de
Procedimientos de Ingreso y Salida de Mercancías para
Talleres de Ceticos Paita"
A la fecha el nivel de Cumplimiento y Efectividad del
Céticos Paita en lo que concierne a la Aplicación y
puesta en Práctica de la Directiva 001-2008/CETICOS PAITA
"Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Talleres de Ceticos Paita" por parte del
Gerente General y su grupo de Colaboradores es Aceptable y se
encuentra en proceso de mejora continua prueba de ello es que,
dichos indicadores mejoraron en niveles de cumplimiento y
efectividad, es decir Pasaron de un Incumplimiento Alto con
calificación de 0% durante el ejercicio 2007 a un nivel de
Cumplimiento Aceptable con calificación del 90%,
correspondiente al ejercicio 2011.
Nivel de Cumplimiento y Efectividad de parte de la
Entidad de la Directiva 003-2008/CETICOS PAITA "Directiva de
Procedimientos de Ingreso y Salida de la Actividad de Industrias
de Ceticos Paita"
A la fecha el nivel de Cumplimiento y Efectividad del
Céticos Paita en lo que concierne a la Aplicación y
puesta en Práctica de la Directiva 003-2008/CETICOS PAITA
"Directiva de Procedimientos de Ingreso y Salida de la Actividad
de Industrias de Ceticos Paita" por parte del Gerente General y
su grupo de Colaboradores es Aceptable y se encuentra en proceso
de mejora continua prueba de ello es que, dichos indicadores
mejoraron en niveles de cumplimiento y efectividad, es decir
Pasaron de un Incumplimiento Alto con calificación de 0%
durante el ejercicio 2007 a un nivel de Cumplimiento Aceptable
con calificación del 90%, correspondiente al ejercicio
2011.
A raíz de ese avance las actividades de
Almacenes, Industrias y Talleres experimentaron 32 mejoras
gubernamentales en materia: Organizacional, Responsabilidad de la
Dirección, Supervisión y Monitoreo y Mejora
Continua. (Ver Anexo 7 PT 6.1.1.1)
VARIABLE
ADECUADA ADMINISTRACION Y CONTROL DEL SISTEMA DE
CONTROL INTERNO
Se tuvo que aplicar la Auditoría de Riesgos al
Sistema de Control Interno de la Entidad con la finalidad de
evaluar la adecuada administración control de dicho
Sistema.
INDICADOR
Nivel de Efectividad, Implementación y Niveles
de Riesgo y Madurez del Sistema de Control Interno de la
Entidad.
Al 30 de Junio del Ejercicio 2008 El Sistema de Control
Interno del Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 35.71% Incumplimiento
Alto, dicho sistema mitigaba a Niveles de Riesgo 3 Alto y
poseía un Nivel de Madurez 2 Repetible, es decir dicho
sistema operaba en condiciones inaceptable. Al 06 de Abril del
Ejercicio 2011 el cambio ha sido sorprendente El Sistema de
Control Interno del Ceticos Paita, posee un nivel de
Implementación y Efectividad del 78.57% Incumplimiento
Medio, dicho sistema mitiga a Niveles de Riesgo 1 Aceptable y
posee un Nivel de Madurez 4 Administrado, es decir dicho sistema
se encuentra en proceso de mejora continua y está siendo
administrado y controlado de manera ordenada y
transparente.
A raíz de ese avance el Sistema de Control
Interno del Ceticos Paita ha experimentado 72 mejoras
gubernamentales en materia de: Ambiente de Control,
Evaluación de Riesgos, Actividades de control Gerencia,
Información y Comunicación y Supervisión.
(Ver Anexo 7 PT 6.2.1.1.1)
El resultado de esta evaluación mencionada
anteriormente, fue monitoreado por mi persona en calidad de Jefe
del Órgano de Control Institucional entre Noviembre de
2008 y Noviembre del 2010, la primera revisión que fue
reportada el 19/12/2008 con Oficio Nº 105-2008/OCI-CETICOS
PAITA Informe de Control Preventivo. Vinculado con la:
"Verificación Física del Trabajo de
Implementación de la estructura de Control Interno en
Ceticos Paita". (Acción realizada el 18/12/2008). 1ER
AVANCE y la revisión décima segunda que fue re
reportada el 3 de Noviembre del 2010 con Oficio Nº
512-2010/OCI-CETICOS PAITA vinculada con: "La Verificación
Física del Trabajo de Implementación de la
Estructura de Control Interno en Ceticos Paita". (Acción
realizada los días 27/10/2010, 2 y 3/11/2010).
VARIABLE
ADECUADA ADMINISTRACIÓN Y CONTROL DEL SISTEMA
DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DEL
CETICOS PAITA.
Se tuvo que aplicar la Auditoría de Riesgos al
Sistema de Control Interno de la Entidad con la finalidad de
evaluar la adecuada administración control de dicho
Sistema.
INDICADOR
Nivel de Efectividad, Implementación y Niveles
de Riesgo y Madurez del Sistema de Gestión de Seguridad de
la Información de la Entidad.
Al 30 de Marzo del Ejercicio 2010 El Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita, poseía un nivel de Implementación y
Efectividad del 90% y 86% Cumplimiento e Incumplimiento Medio,
dicho sistema mitigaba a Niveles de Riesgo 1 Aceptable y
poseía un Nivel de Madurez 4 Administrado, es decir dicho
sistema experimentaba un mediano grado de desarrollo. Al 30 de
Marzo del Ejercicio 2011 el cambio ha sido sorprendente El
Sistema de Gestión de Seguridad de la Información
del Ceticos Paita, posee un nivel de Implementación y
Efectividad del 90% Cumplimiento, dicho sistema mitiga a Niveles
de Riesgo 1 Aceptable y posee un Nivel de Madurez 4 Administrado,
es decir el sistema de seguridad de la información de la
entidad ha experimentado avances significativos, se encuentra en
proceso de mejora continua y está siendo administrado y
controlado de manera ordenada y transparente.
A raíz de ese avance el Sistema de Gestión
de Seguridad de la Información Ceticos Paita ha
experimentado 2 mejoras gubernamentales importantes adicionadas a
18 existentes en materia de: Control y Protección de
Activos de Información. (Ver Anexo 7 PT
6.3.1.1.1).
VARIABLE
ADECUADA ATENCIÓN A LAS RECOMENDACIONES DE
AUDITORÍA DE PARTE DE LA GERENCIA GENERAL.
Con la Aplicación de la Auditoría de
Riesgos al Ceticos Paita se pudo determinar y evaluar el
número de planes de tratamiento de riesgos /
recomendaciones Implementadas y/o atendidas.
INDICADOR
Nº de Recomendaciones e Informes
Implementadas y/o Atendidos.
De un total de 106 Recomendaciones emitidas de Enero del
2007 al 30 de Marzo del 2011, podemos concluir que a la fecha han
sido atendidas en su totalidad.
4.2 Análisis e
Interpretación
4.2.1 Análisis de los resultados
en función a los OBJETIVOS E
HIPÓTESIS
4.2.1.1 OBJETIVO E HIPÓTESIS
GENERAL
OBJETIVO GENERAL
Determinar si la Auditoría de Riesgos eficaz
facilita la Gestión Gubernamental Optima del Ceticos
Paita.
HIPÓTESIS GENERAL
La Auditoría de Riesgos eficaz
facilita la gestión gubernamental óptima del
Ceticos Paita.
RESULTADOS
Se aplicó la Auditoría de Riesgos en los
procesos que controlan el Ingreso y Salida de Mercancías
de las Actividades de Almacenes, Industrias y Talleres y las
mejoras en la Gestión Gubernamental fueron las
siguientes:
a) La empresa viene cumpliendo en lo posible y
de acuerdo a su disponibilidad financiera y presupuestal con
los requerimientos establecidos en el procedimiento de
calidad Inta Pg 22, Directiva 002-2008/CETICOS PAITA
"Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Almacenes de Ceticos Paita", Directiva
001-2008/CETICOS PAITA "Directiva de Procedimientos de
Ingreso y Salida de Mercancías para Talleres de
Ceticos Paita" y "Directiva de Procedimientos de Ingreso y
Salida de la Actividad de Industrias de Ceticos
Paita".b) Los 32 controles evaluados por parte de la
Auditoría de Riesgos que controlan y administran el
Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias mejoraron en niveles de
Implementación y Efectividad es decir Pasaron de un
Incumplimiento Alto con calificación de 0% durante el
ejercicio 2007 a un nivel de Cumplimiento Aceptable con
calificación del 90%, correspondiente al ejercicio
2011.c) Los 32 controles evaluados por parte de la
Auditoría de Riesgos que controlan y administran el
Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias mejoraron sus niveles de
Riesgo y Madurez.
Para el Ejercicio 2007 dichos controles mitigaban a
niveles de Riesgo 4 Extremo y poseían un nivel de Madurez
0 No existe, es decir estaba en riesgos la continuidad del
negocio, luego de fortalecer estos controles con los planes de
tratamiento de riesgos formulados por Auditoría Interna e
Instaurados por la Gerencia General podemos enfatizar que para el
Ejercicio 2011 tales controles mitigan a niveles de riesgo
aceptable y poseen niveles de madurez administrados , es decir
ahora los riesgos son controlados de una manera ordenada y
preventiva y los controles están en proceso de mejora
continua.
d) Se produjeron 32 mejoras en la
Gestión Gubernamental del Ceticos Paita como
consecuencia de la Aplicación Eficaz de la
Auditoría de Riesgos a las Actividades de Almacenes,
Talleres e Industrias, en materia Organizacional, de
Responsabilidad de la Dirección, Supervisión y
Monitoreo y Aspectos de Mejora Continua.e) A manera de valor agregado la
Auditoría propuso como acción de mejora al
Gerente General del Ceticos Paita: Habilitar un filtro dentro
del Sistema de Gestión de Ceticos Paita al área
de Operaciones, para que pueda visualizar a manera de
estadísticas / reportes a los usuarios que
tienen obligaciones pendientes por pagar con Ceticos Paita.
Con la finalidad de mejorar los controles que administran y
supervisan el Ingreso y Salida de Mercancías de las
actividades de Almacenes, Talleres e Industrias. A la fecha
la entidad ya cuenta con el control tecnológico
propuesto por Auditoría Interna, que de alguna manera
agiliza las operaciones en tiempo real y en
línea.
4.2.1.2 OBJETIVOS E HIPÓTESIS
ESPECÍFICAS
OBJETIVO ESPECÍFICO
1
Evaluar el nivel de efectividad, implementación,
riesgo y madurez del sistema de control interno de la entidad
bajo el enfoque de gestión integral de riesgos.
HIPÓTESIS ESPECÍFICA
1
La Auditoría de Riesgos Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema
de control interno de la entidad bajo el enfoque de
gestión integral de riesgos.
RESULTADOS
a) Al 30 de Junio del Ejercicio 2008 El Sistema
de Control Interno del Ceticos Paita, poseía un nivel
de Implementación y Efectividad del 35.71%
Incumplimiento Alto, Es decir el Sistema de Control Interno
del Ceticos Paita operaba en condiciones inaceptables. Los
112 Controles que se encontraban inmersos dentro del Sistema
de Control Interno de la entidad en promedio mitigaban a
niveles de Riesgo 3 Alto y poseía en promedio niveles
de madurez 2 repetible, es decir la gestión
gubernamental de la empresa no era optima y en los procesos
críticos del negocio se dependían de personas
para solucionar los problemas organizacionales del
negocio.b) Al 06 de Abril del Ejercicio 2011 El Sistema
de Control Interno del Ceticos Paita, poseía un nivel
de Implementación y Efectividad del 78.57%
Incumplimiento Medio, Es decir el Sistema de Control Interno
del Ceticos Paita está experimentando una serie de
cambios favorables para la organización. Los 112
Controles que se encontraban inmersos dentro del Sistema de
Control Interno de la entidad en promedio mitigaban a niveles
de Riesgo 1 Aceptable y poseía en promedio niveles de
madurez 4 administrado, es decir la gestión
gubernamental de la empresa se viene ordenando de una manera
eficiente y transparente, al mismo tiempo los controles
inmersos dentro del sistema de control interno que posee la
entidad están en proceso de mejora
continua.c) Se produjeron 72 mejoras en la
Gestión Gubernamental del Ceticos Paita como
consecuencia de la Aplicación Eficaz de la
Auditoría de Riesgos al Sistema de Control Interno de
la entidad, en materia de: Ambiente de Control,
Evaluación de Riesgos, Actividades de Control
Gerencial, Información y Comunicación y
Supervisión y Autoevaluación.d) A manera de valor agregado la
Auditoría propuso como acción de mejora al
Gerente General del Ceticos Paita: Continuar en la labor de
incrementar el nivel de efectividad e implementación
del sistema de control interno de la entidad, para futuros
ejercicios.
OBJETIVO ESPECÍFICO 2
Evaluar el nivel de efectividad, implementación,
riesgo y madurez del sistema de gestión de seguridad de la
información bajo el enfoque de gestión integral de
riesgos.
HIPÓTESIS ESPECÍFICA 2
La Auditoría de Riesgos Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema
de gestión de seguridad de la información bajo el
enfoque de gestión integral de riesgos.
RESULTADOS
a) Al 30 de Marzo del Ejercicio 2011 El Sistema
de Gestión de Seguridad de la Información del
Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 90 y 86%
Respectivamente Cumplimiento e Incumplimiento Medio, Es decir
el Sistema de Gestión de Seguridad de la
Información del Ceticos Paita se encontraba en una
etapa de mejora continua. Los 20 Controles evaluados que se
encontraban inmersos dentro del Sistema de Gestión de
Seguridad de la Información de la entidad en promedio
mitigaban a niveles de Riesgo 1 Aceptable y poseía en
promedio niveles de madurez 4 administrado, es decir la
gestión en materia de protección de activos de
Información estaba experimentando una serie de mejoras
favorables para la organización.
b) Al 06 de Abril del Ejercicio 2011 El Sistema
de Control Interno del Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 90% Cumplimiento, Es
decir el Sistema de Gestión de Seguridad de la
Información había mejorado y perfeccionado los
controles en materia de protección de activos de
información. Los 20 Controles que se encontraban inmersos
dentro del Sistema de Gestión de Seguridad de la
Información mitigaban a niveles de Riesgo 1 Aceptable y
poseía en promedio niveles de madurez 4 administrado, es
decir la gestión gubernamental en materia de seguridad de
la información se viene ordenando de una manera eficiente
y transparente, al mismo tiempo los controles inmersos dentro del
sistema de gestión de seguridad de la información
que posee la entidad están en proceso de mejora
continua.
c) Se produjeron 2 mejoras en materia de
Protección de Activos de Información del Ceticos
Paita como consecuencia de la Aplicación Eficaz de la
Auditoría de Riesgos al Sistema de Gestión de
Seguridad de la Información de la entidad.
d) A manera de valor agregado la Auditoría
propuso 10 acciones de mejora al Gerente General del Ceticos
Paita, Dentro de las cuales las más importantes son:
Continuar con el Avance vinculado con el Plan de Continuidad de
Negocios y Atender las Recomendaciones/Sugerencias que surjan del
Test de Penetración al Sistema de Gestión de
Seguridad de la Información del Ceticos Paita, que
elaborará y ejecutará la Empresa Network
Professional Security Perú SAC.
OBJETIVO ESPECÍFICO 3
Determinar el Estado Situacional de las Recomendaciones
formuladas por el Órgano de Control Interno, con respecto
a las evaluaciones efectuadas a las actividades de almacenes,
industrias, talleres y aspectos de seguridad de la
información, durante los ejercicios 2007, 2008, 2009, 2010
y 2011.
HIPÓTESIS ESPECÍFICA
3
La Auditoría de Riesgos Determina el Estado
Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres y
aspectos de seguridad de la información, durante los
ejercicios 2007, 2008, 2009, 2010 y 2011.
RESULTADOS
De un total de 106 Recomendaciones emitidas de Enero del
2007 al 30 de Marzo del 2011, podemos concluir que a la fecha han
sido atendidas todas y cada una de las recomendaciones formuladas
por mi persona en Calidad de Auditor Interno del Ceticos Paita
como consecuencia de la Aplicación de Auditorías de
Riesgos en los Procesos Críticos del Negocio.
El Resultado refleja el compromiso responsable y
solidario que ha tenido el Gerente General del Ceticos Paita en
Atender las Recomendaciones formuladas en los Informes de
Auditoría de Riesgos, las mismas que han mejorado
Gestión Gubernamental del Ceticos Paita, dentro de las
actividades de almacenes, talleres e industrias, sistema de
control interno y sistema de gestión de la Seguridad de la
Información del Ceticos Paita.
4.2.2 INTERPRETACIÓN DE LOS
RESULTADOS
La Auditoría de Riesgos Eficaz ha facilitado la
Gestión gubernamental Optima del Ceticos Paita, prueba de
ello es que: Se aplicó la Auditoría de Riesgos en
los procesos que controlan el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Industrias y
Talleres durante los ejercicios 2007 al 2010 y las mejoras en la
Gestión Gubernamental fueron las siguientes:
El Ceticos Paita Del 2007 al 2011 viene cumpliendo
en lo posible y de acuerdo a su disponibilidad financiera y
presupuestal con los requerimientos establecidos en el
procedimiento de calidad Inta Pg 22, Directiva
002-2008/CETICOS PAITA "Directiva de Procedimientos de
Ingreso y Salida de Mercancías para Almacenes de
Ceticos Paita", Directiva 001-2008/CETICOS PAITA "Directiva
de Procedimientos de Ingreso y Salida de Mercancías
para Talleres de Ceticos Paita" y "Directiva de
Procedimientos de Ingreso y Salida de la Actividad de
Industrias de Ceticos Paita".
Mejora en el Comportamiento y Performance de los
Controles,Se produjeron 32 mejoras en la Gestión
Gubernamental del Ceticos Paita, en materia en materia
Organizacional, de Responsabilidad de la Dirección,
Supervisión y Monitoreo y Aspectos de Mejora
Continua.A la fecha la entidad ya cuenta con un filtro dentro
del Sistema de Gestión de Ceticos Paita en donde el
área de Operaciones, ahora ya puede visualizar a
manera de estadísticas / reportes de los
usuarios que tienen obligaciones pendientes por pagar con
Ceticos Paita
La Auditoría de Riesgos ha determinado el nivel
de implementación, efectividad, riesgo y madurez del
Sistema de Control Interno del Ceticos Paita, prueba de ello es
que: Se aplicó la Auditoría de Riesgos Al Sistema
de Control Interno de la Entidad durante los ejercicios 2008 y
2010 y las mejoras en la Gestión Gubernamental fueron las
siguientes:
Mejora en el Comportamiento y Performance de los
Controles, al 06 de Abril del Ejercicio 2011 los 112
controles que se encuentran inmersos dentro del Sistema de
Control interno poseen niveles de efectividad e
implementación del 78.57%, mitigan a niveles de riesgo
1 Aceptable y poseen niveles de madurez administrado es decir
La Estructura de Control Interno de la Entidad opera de una
manera ordenada y transparente.Adecuada administración y Control del Sistema
de Control Interno.Se produjeron 72 mejoras en la Gestión
Gubernamental del Ceticos Paita, en materia en materia de
Ambiente de Control, Evaluación de Riesgos,
Actividades de Control Gerencial, Información y
Comunicación y Supervisión y
Autoevaluación.A la fecha la entidad viene trabajando en mejorar
los niveles de implementación, efectividad, riesgo y
madurez de los 112 controles que se encuentran inmersos
dentro del sistema de control interno.
La Auditoría de Riesgos ha determinado el nivel
de implementación, efectividad, riesgo y madurez del
Sistema de Gestión de Seguridad de la Información
del Ceticos Paita, prueba de ello es que: Se aplicó la
Auditoría de Riesgos Al Sistema de Gestión de
Seguridad de la Información de la entidad durante el
ejercicio 2011 y las mejoras en la Gestión Gubernamental
fueron las siguientes:
Mejora en el Comportamiento y Performance de los
Controles, al 06 de Abril del Ejercicio 2011 los 20 controles
evaluados que se encuentran inmersos dentro del Sistema de
Gestión de Seguridad de la Información del
Ceticos Paita poseen niveles de efectividad e
implementación del 90%, mitigan a niveles de riesgo 1
Aceptable y poseen niveles de madurez administrado es decir
El Sistema de Gestión de la Seguridad de la
Información de la Entidad opera de una manera ordenada
y transparente.
Adecuada Administración y Control del Sistema
de Gestión de Seguridad de la
Información.Se incorporaron Dos mejoras en materia de
Protección de Activos de Información del
Ceticos Paita a 18 mejoras ya existentes, como consecuencia
de la Aplicación Eficaz de la Auditoría de
Riesgos al Sistema de Gestión de Seguridad de la
Información de la entidad.A la fecha la entidad ya cuenta con un Plan de
Continuidad de Negocios y ha Atendido las
Recomendaciones/Sugerencias que han surjido del Test de
Penetración al Sistema de Gestión de Seguridad
de la Información del Ceticos Paita, que
elaboró y ejecutó la Empresa Network
Professional Security Perú SAC.
La Auditoria de Riesgos ha Determinado el Estado
Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres y
aspectos de seguridad de la información, durante los
ejercicios 2007, 2008, 2009, 2010 y 2011, prueba de ello es que
se evidenciaron los siguientes resultados: De un total de 106
Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del
2011, podemos concluir que a la fecha han sido atendidas todas y
cada una de las recomendaciones formuladas por mi persona en
Calidad de Auditor Interno del Ceticos Paita como consecuencia de
la Aplicación de Auditorías de Riesgos en los
Procesos Críticos del Negocio.
CAPÍTULO V:
Discusión
5.1 Discusión
Se aplicó la Auditoría de Riesgos en
los procesos que controlan el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Industrias y
Talleres y las mejoras en la Gestión Gubernamental fueron
las siguientes:
El Ceticos Paita Del 2007 al 2011 viene cumpliendo en lo
posible y de acuerdo a su disponibilidad financiera y
presupuestal con los requerimientos establecidos en el
procedimiento de calidad Inta Pg 22, Directiva 002-2008/CETICOS
PAITA "Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Almacenes de Ceticos Paita", Directiva
001-2008/CETICOS PAITA "Directiva de Procedimientos de Ingreso y
Salida de Mercancías para Talleres de Ceticos Paita" y
"Directiva de Procedimientos de Ingreso y Salida de la Actividad
de Industrias de Ceticos Paita".
Los 32 controles evaluados por parte de la
Auditoría de Riesgos que controlan y administran el
Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias mejoraron en niveles de
Implementación y Efectividad es decir Pasaron de un
Incumplimiento Alto con calificación de 0% durante el
ejercicio 2007 a un nivel de Cumplimiento Aceptable con
calificación del 90%, correspondiente al ejercicio
2011.
Los 32 controles evaluados por parte de la
Auditoría de Riesgos que controlan y administran el
Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias mejoraron sus niveles de Riesgo
y Madurez.
Para el Ejercicio 2007 dichos controles mitigaban a
niveles de Riesgo 4 Extremo y poseían un nivel de Madurez
0 No existe, es decir estaba en riesgos la continuidad del
negocio, luego de fortalecer estos controles con los planes de
tratamiento de riesgos formulados por Auditoría Interna e
Instaurados por la Gerencia General podemos enfatizar que para el
Ejercicio 2011 tales controles mitigan a niveles de riesgo
aceptable y poseen niveles de madurez administrados , es decir
ahora los riesgos son controlados de una manera ordenada y
preventiva y los controles están en proceso de mejora
continua.
Se produjeron 32 mejoras en la Gestión
Gubernamental del Ceticos Paita como consecuencia de la
Aplicación Eficaz de la Auditoría de Riesgos a las
Actividades de Almacenes, Talleres e Industrias, en materia
Organizacional, de Responsabilidad de la Dirección,
Supervisión y Monitoreo y Aspectos de Mejora Continua. (
Ver Anexo 7 PT 6.1.1).
A manera de valor agregado la Auditoría propuso
como acción de mejora al Gerente General del Ceticos
Paita: Habilitar un filtro dentro del Sistema de Gestión
de Ceticos Paita al área de Operaciones, para que pueda
visualizar a manera de estadísticas / reportes a los
usuarios que tienen obligaciones pendientes por pagar con Ceticos
Paita. Con la finalidad de mejorar los controles que administran
y supervisan el Ingreso y Salida de Mercancías de las
actividades de Almacenes, Talleres e Industrias. A la fecha la
entidad ya cuenta con el control tecnológico propuesto por
Auditoría Interna, que de alguna manera agiliza las
operaciones en tiempo real y en línea.
La Auditoría de Riesgos Evalúa el nivel
de efectividad, implementación, riesgo y madurez del
sistema de control interno de la entidad bajo el enfoque de
gestión integral de riesgos y ha confirmado los siguientes
resultados:
Al 30 de Junio del Ejercicio 2008 El Sistema de Control
Interno del Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 35.71% Incumplimiento
Alto, Es decir el Sistema de Control Interno del Ceticos Paita
operaba en condiciones inaceptables. Los 112 Controles que se
encontraban inmersos dentro del Sistema de Control Interno de la
entidad en promedio mitigaban a niveles de Riesgo 3 Alto y
poseía en promedio niveles de madurez 2 repetible, es
decir la gestión gubernamental de la empresa no era optima
y en los procesos críticos del negocio se dependían
de personas para solucionar los problemas organizacionales del
negocio.
Al 06 de Abril del Ejercicio 2011 El Sistema de Control
Interno del Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 78.57% Incumplimiento
Medio, Es decir el Sistema de Control Interno del Ceticos Paita
está experimentando una serie de cambios favorables para
la organización. Los 112 Controles que se encontraban
inmersos dentro del Sistema de Control Interno de la entidad en
promedio mitigaban a niveles de Riesgo 1 Aceptable y
poseía en promedio niveles de madurez 4 administrado, es
decir la gestión gubernamental de la empresa se viene
ordenando de una manera eficiente y transparente, al mismo tiempo
los controles inmersos dentro del sistema de control interno que
posee la entidad están en proceso de mejora
continua.
El Sistema de Control Interno de la Entidad de manera
progresiva se viene administrando y controlando de una manera
ordenada y transparente.
Se produjeron 72 mejoras en la Gestión
Gubernamental del Ceticos Paita como consecuencia de la
Aplicación Eficaz de la Auditoría de Riesgos al
Sistema de Control Interno de la entidad, en materia de: Ambiente
de Control, Evaluación de Riesgos, Actividades de Control
Gerencial, Información y Comunicación y
Supervisión y Autoevaluación. (Ver Anexo 7 PT
6.2.1.1.1).
A manera de valor agregado la Auditoría propuso
como acción de mejora al Gerente General del Ceticos
Paita: Continuar en la labor de incrementar el nivel de
efectividad e implementación del sistema de control
interno de la entidad, para futuros ejercicios.
La Auditoría de Riesgos Evalúa el nivel
de efectividad, implementación, riesgo y madurez del
sistema de gestión de seguridad de la información
bajo el enfoque de gestión integral de riesgos y ha
confirmado los siguientes resultados:
Al 30 de Marzo del Ejercicio 2011 El Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita, poseía un nivel de Implementación y
Efectividad del 90 y 86% Respectivamente Cumplimiento e
Incumplimiento Medio, Es decir el Sistema de Gestión de
Seguridad de la Información del Ceticos Paita se
encontraba en una etapa de mejora continua. Los 20 Controles
evaluados que se encontraban inmersos dentro del Sistema de
Gestión de Seguridad de la Información de la
entidad en promedio mitigaban a niveles de Riesgo 1 Aceptable y
poseía en promedio niveles de madurez 4 administrado, es
decir la gestión en materia de protección de
activos de Información estaba experimentando una serie de
mejoras favorables para la organización.
Al 06 de Abril del Ejercicio 2011 El Sistema de Control
Interno del Ceticos Paita, poseía un nivel de
Implementación y Efectividad del 90% Cumplimiento, Es
decir el Sistema de Gestión de Seguridad de la
Información había mejorado y perfeccionado los
controles en materia de protección de activos de
información. Los 20 Controles que se encontraban inmersos
dentro del Sistema de Gestión de Seguridad de la
Información mitigaban a niveles de Riesgo 1 Aceptable y
poseía en promedio niveles de madurez 4 administrado, es
decir la gestión gubernamental en materia de seguridad de
la información se viene ordenando de una manera eficiente
y transparente, al mismo tiempo los controles inmersos dentro del
sistema de gestión de seguridad de la información
que posee la entidad están en proceso de mejora
continua.
El sistema de Gestión de Seguridad
de la Información del Ceticos Paita viene siendo
administrado y controlado progresivamente de una manera ordenada
y transparente.
Se Incorporaron 2 mejoras en materia de
Protección de Activos de Información del Ceticos
Paita dentro de 18 mejoras ya existentes, como consecuencia de la
Aplicación Eficaz de la Auditoría de Riesgos al
Sistema de Gestión de Seguridad de la Información
de la entidad. (Ver Anexo 7 PT 6.3.1.1).
A manera de valor agregado la Auditoría propuso
10 acciones de mejora al Gerente General del Ceticos Paita,
Dentro de las cuales las más importantes son: Continuar
con el Avance vinculado con el Plan de Continuidad de Negocios y
Atender las Recomendaciones/Sugerencias que surjan del Test de
Penetración al Sistema de Gestión de Seguridad de
la Información del Ceticos Paita, que elaborará y
ejecutará la Empresa Network Professional Security
Perú SAC.
La Auditoría de Riesgos Determina el Estado
Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres y
aspectos de seguridad de la información, durante los
ejercicios 2007, 2008, 2009, 2010 y 2011, y ha confirmado los
siguientes resultados:
De un total de 106 Recomendaciones emitidas de Enero del
2007 al 30 de Marzo del 2011, podemos concluir que a la fecha han
sido atendidas todas y cada una de las recomendaciones formuladas
por mi persona en Calidad de Auditor Interno del Ceticos Paita
como consecuencia de la Aplicación de Auditorías de
Riesgos en los Procesos Críticos del Negocio. (Ver Anexo 9
PT 8).
El Resultado refleja el compromiso responsable y
solidario que ha tenido el Gerente General del Ceticos Paita en
Atender las Recomendaciones formuladas en los Informes de
Auditoría de Riesgos, las mismas que han mejorado
Gestión Gubernamental del Ceticos Paita, dentro de las
actividades de almacenes, talleres e industrias, sistema de
control interno y sistema de gestión de la Seguridad de la
Información del Ceticos Paita.
5.2 Conclusiones
5.2.1 Conclusiones Presentadas
Conclusión
General
a) La Auditoría de Riesgos Eficaz ha
facilitado la Gestión gubernamental Optima del Ceticos
Paita, prueba de ello es que: Se aplicó la
Auditoría de Riesgos en los procesos que controlan el
Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Industrias y Talleres durante los ejercicios 2007
al 2010 y las mejoras en la Gestión Gubernamental
fueron las siguientes:
Mejora en el Comportamiento y Performance de los
Controles,Se produjeron 32 mejoras en la Gestión
Gubernamental del Ceticos Paita, en materia en materia
Organizacional, de Responsabilidad de la Dirección,
Supervisión y Monitoreo y Aspectos de Mejora
Continua.A la fecha la entidad ya cuenta con un filtro dentro
del Sistema de Gestión de Ceticos Paita en donde el
área de Operaciones, ahora ya puede visualizar a
manera de estadísticas / reportes de los
usuarios que tienen obligaciones pendientes por pagar con
Ceticos Paita.Conclusiones
Específicas
b) La Auditoría de Riesgos ha
determinado el nivel de implementación, efectividad,
riesgo y madurez del Sistema de Control Interno del Ceticos
Paita, prueba de ello es que: Se aplicó la
Auditoría de Riesgos Al Sistema de Control Interno de
la Entidad durante los ejercicios 2008 y 2010 y las mejoras
en la Gestión Gubernamental fueron las
siguientes:
Mejora en el Comportamiento y Performance de los
Controles, al 06 de Abril del Ejercicio 2011 los 112
controles que se encuentran inmersos dentro del Sistema de
Control interno poseen niveles de efectividad e
implementación del 78.57%, mitigan a niveles de riesgo
1 Aceptable y poseen niveles de madurez administrado es decir
La Estructura de Control Interno de la Entidad opera de una
manera ordenada y transparente.Se produjeron 72 mejoras en la Gestión
Gubernamental del Ceticos Paita, en materia en materia de
Ambiente de Control, Evaluación de Riesgos,
Actividades de Control Gerencial, Información y
Comunicación y Supervisión y
Autoevaluación.A la fecha la entidad viene trabajando en mejorar
los niveles de implementación, efectividad, riesgo y
madurez de los 112 controles que se encuentran inmersos
dentro del sistema de control interno.
c) La Auditoría de Riesgos ha
determinado el nivel de implementación, efectividad,
riesgo y madurez del Sistema de Gestión de Seguridad
de la Información del Ceticos Paita, prueba de ello es
que: Se aplicó la Auditoría de Riesgos Al
Sistema de Gestión de Seguridad de la
Información de la entidad durante el ejercicio 2011 y
las mejoras en la Gestión Gubernamental fueron las
siguientes:
Mejora en el Comportamiento y Performance de los
Controles, al 06 de Abril del Ejercicio 2011 los 20 controles
evaluados que se encuentran inmersos dentro del Sistema de
Gestión de Seguridad de la Información del
Ceticos Paita poseen niveles de efectividad e
implementación del 90%, mitigan a niveles de riesgo 1
Aceptable y poseen niveles de madurez administrado es decir
El Sistema de Gestión de la Seguridad de la
Información de la Entidad opera de una manera ordenada
y transparente.
2 mejoras en materia de Protección de Activos
de Información del Ceticos Paita como consecuencia de
la Aplicación Eficaz de la Auditoría de Riesgos
al Sistema de Gestión de Seguridad de la
Información de la entidad.A la fecha la entidad ya cuenta con un Plan de
Continuidad de Negocios y ha Atendido las
Recomendaciones/Sugerencias que han surjido del Test de
Penetración al Sistema de Gestión de Seguridad
de la Información del Ceticos Paita, que
elaboró y ejecutó la Empresa Network
Professional Security Perú SAC.
d) La Auditoría de Riesgos ha
Determinado el Estado Situacional de las Recomendaciones
formuladas por el Órgano de Control Interno, con
respecto a las evaluaciones efectuadas a las actividades de
almacenes, industrias, talleres y aspectos de seguridad de la
información, durante los ejercicios 2007, 2008, 2009,
2010 y 2011, prueba de ello es que se evidenciaron los
siguientes resultados: De un total de 106 Recomendaciones
emitidas de Enero del 2007 al 30 de Marzo del 2011, podemos
concluir que a la fecha han sido atendidas todas y cada una
de las recomendaciones formuladas por mi persona en Calidad
de Auditor Interno del Ceticos Paita como consecuencia de la
Aplicación de Auditorías de Riesgos en los
Procesos Críticos del Negocio.
5.3 Recomendaciones
5.2.1 Recomendaciones
Presentadas
Recomendación
General
a) Para la Gestión Gubernamental
Óptima en los Centros de Exportación,
Transformación, Industrias, Comercio y Servicios
Generales (CETICOS), La Auditoría de Riesgos Eficaz
debe de ser aplicada de manera preventiva y posterior y
programada en los Planes Anuales de los Órganos de
Control Institucional y estar sujeta a evaluación
permanente por el Sistema Nacional de Control de nuestro
País. Así mismo los Informes de
Auditoría deben de contener datos estadísticos
e históricos de los controles evaluados para
establecer las comparaciones pertinentes medir las metas
alcanzadas con las propuestas.
Recomendaciones
Específicas
b) Para determinar el nivel de
implementación, efectividad, riesgo y madurez del
Sistema de Control Interno en los Centros de
Exportación, Transformación, Industrias,
Comercio y Servicios Generales (CETICOS), es necesario que
los Auditores de Gobierno tengan en cuenta la
metodología planteada en el presente trabajo de
investigación y las variaciones que pudieran
experimentar los estándares de gestión de
riesgos a partir del año 2012 en adelante.
.c) Para determinar el nivel de implementación,
efectividad, riesgo y madurez del Sistema de Gestión de
Seguridad de la Información en los Centros de
Exportación, Transformación, Industrias, Comercio y
Servicios Generales (CETICOS), es necesario que los Auditores de
Gobierno tengan en cuenta la metodología planteada en el
presente trabajo de investigación y las variaciones que
pudieran experimentar los estándares de gestión de
riesgos a partir del año 2012 en adelante.
e) Es necesario que los Auditores de los
Centros de Exportación, Transformación,
Industrias, Comercio y Servicios Generales (CETICOS), Que
instauren esta metodología en sus negocios
deberán de llevar a cabo un análisis del
impacto que han generado las recomendaciones dentro del
negocio
Referencias
Bibliográficas (En función al Estándar APA
5ta Edición)
1. AGUILERA LÓPEZ, P.
(2010). Seguridad Informática (Vol. I).
Madrid, España: Editex.2. AREITIO BERTOLÍN, J.
(2008). Seguridad de la Información (1 era
Edición ed., Vol. I). Madrid, España:
Paninfo.3. BALLALAH, M., PRIGENT, J.,
SAHUT, J., & PARIENTE, G. y. (2008). Risk Management
and Value (1ea ed., Vol. I). London, United Kingdom:
World Scientific Pub Co Inc.4. CENDROWSKI, H. y. (2009).
Enterprise Risk Management and COSO / Gestión de
Riesgos Corporativos y COSO (1era ed., Vol. I). Estados
Unidos: John Wiley & Sons Inc.5. CETICOS PAITA. (2007).
Directiva de Infracciones y Sanciones (1era ed.,
Vol. I). Paita: Ceticos Paita.6. CETICOS PAITA. (2008).
Directiva para el Control del Ingreso y Salida de
Mercancías de la Actividad de Talleres (1era ed.,
Vol. I). Paita, Perú: Ceticos Paita.7. CETICOS PAITA. (2009).
Manual de Uso de Correo Electrónico del Ceticos
Paita (1era ed., Vol. I). Paita, Perú: Ceticos
Paita.8. CETICOS PAITA. (2009).
Manual de Uso de Recursos Informáticos del Ceticos
Paita (2d ed., Vol. II). Paita, Perú: Ceticos
Paita.9. CETICOS PAITA. (2010). Plan
Estratégico Insitucional 2010 al 2022 (1 era ed.,
Vol. I). Paita, Perú: Ceticos Paita.10. CONTRALORÍA GENERAL DE
LA REPÚBLICA. (2006). Normas de Control
Interno (1era ed., Vol. I). Lima, Perú:
Contraloría General de la República.11. COUTO LORENZO, L. (2008).
Auditoría del Sistema APPCC Cómo verificar
los sistemas de gestión de Inocuiidad Alimentaria
HACP (1era ed., Vol. I). Ediciones Diaz
Santos.12. DICSCAMEN. (1994).
Reglamento de Servicios de Seguridad Privada (1era
ed., Vol. I). Lima: Dicscamen.13. EQUIPO VÉRTICE. (2010).
Auditor PRL (1era ed., Vol. I). Málaga:
Vértice.14. EQUIPO VÉRTICE. (2011).
Gestión Ambiental en Empresas de Limpieza
(1era ed., Vol. I). Málaga, España:
Vértice.15. ESTÁNDAR AUSTRALIANO
NEOZELANDEZ. (1999). Administración de
Riesgos (1era ed., Vol. I). Australia.16. ESTUPIÑAN
GAITÁN, ,. R. (2007). Administración o
Gestión de Riesgos ERM y la Auditoría
Interna (1 era Edición ed., Vol. I).
Colombia.17. ESTUPIÑAN GAITAN, R.
(2006). Control Interno y Fraude con Base en los Ciclos
Transaccionales. Informe COSO I y COSO II. (2da ed.,
Vol. II). Colombia.18. FERNÁNDEZ ZAPICO, F.
(2010). Manual para la formación del auditor en
Prevensión de Riesgos Laborales (3era ed., Vol.
III). Valladolid, España: Lex Nova.19. FLORES TORRES, A. (2005).
Control de Riesgos Financieros mediante AssetLiability
Management (ALM) aplicado a la Industria de Seguros
(1era ed., Vol. I). Santa Fe de Bogota, Colomabia:
Universidad de los Andes Santa Fe de Bogota.20. FONSECA LUNA, O. (2007).
Auditoría Gubernamental Moderna (1era ed.,
Vol. I). Lima, Perú: Enlace Gubernamental
S.A.C.21. GIBSON, D. (2011).
Managing Risk in Information Systems / Gestión de
Riesgos en Sistemas de Información (1era ed.,
Vol. I). London, United Kingdom: Jones and Bartlett
Learning.22. GONZÁLES MUÑIS,
R. (2003). Prevención de Riesgos Laborales
(1era ed., Vol. I). España: Paraninfo.23. HALPERG, D. (2010).
Gestión de Crisis. Teoría y Práctica
de un modelos Comunicacional (1era ed., Vol. I).
Santiago, Chile: RH Editores.24. HERNÁNDEZ MORALES, G.
(2010). Auditoría Interna Basada en Riesgos
(1era ed., Vol. I). Guatemala: Universidad de Carlos
Guatemala.25. HERNÁNDEZ SAMPIERI, R.,
& FERNÁNDEZ COLLADO, C. y. (2010).
Metodología de la Investigación (5ta
ed., Vol. I). México: Mc Graw Hill.26. HEWITTEN, R. (1999). ISO
14001 Manual de Sistemas de Gestión Ambiental
(1era ed., Vol. I). España: Paraninfo.27. HILES, A. (2011). The
Definitive Handbook of Business Continuity Management / El
Manual Defnitivo de Gestión de Continuidad de
Negocio (3era ed., Vol. III). London, United Kingdom:
John Wiley & Sons Ltd.28. INSTITUTO NACIONAL DE DEFENSA
CIVIL. (2004). Norma Técnica Peruana NTP
399.010-1-2004 Reglas para el Diseño de señales
de Seguridad (2da ed., Vol. II). Lima, Perú:
Indeci.29. INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION. (2009). ISO 31000: 2009 Gestión
de Riesgos Principios y Prácticas (1era ed., Vol.
I). Geneva, Suiza.30. INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION. (2009). ISO 31010:2009 Gestión de
Riesgos y Técnicas de Gestión de Riesgos
(1era ed., Vol. I). Geneva, Suiza.31. LAVIN, J. (2009).
Seguridad con los Montacargas (1era ed., Vol. I).
Washington, Estados Unidos: Illinois.32. MARTÍNEZ PONCE DE
LEÒN, J. (2002). Introducción al
Análisis de Riesgos (1era ed., Vol. I). Mexico:
Limusa.33. MINISTERIO DE COMERCIO
EXTERIOR Y TURISMO. (2002). Reglamento de
Organización y Funciones del Ceticos Paita (1era
ed., Vol. I). Lima, Perú: Mincetur.34. MINISTERIO DE TRABAJO Y
PROMOCIÓN Y EMPLEO. (2005). Reglamento de
Seguridad y Salud en el Trabajo (1era ed., Vol. I).
Lima, Perú: Mintra.35. MINISTERIO DE VIVIENDA.
(2006). Norma A.130 Requisitos de Seguridad (1era
ed., Vol. I). Lima, Perú: Vivienda.36. MOELLER ROBERT, R. (2007).
COSO Enterprise Risk Management / Gestión de
Riesgos Corporativos (1era ed., Vol. I). Estados Unidos:
John Wiley & Sons Inc.37. OLSON, D. y. (2008).
Enterprise Risk Management / Gestión de Riesgos
Corporativos (1era ed., Vol. I). London, United Kingdom:
World Scientific Pub Co Inc.38. PALENCIA LEFLER, M. (2010).
90 Técnicas de Comunicación y Relaciones
Públicas (1era ed., Vol. I). Barcelona,
España: Profit.39. PÉREZ CARRERO, A. P.
(2005). Incidencia de Riesgos Profesionales en la
Productividad de Empresas Afiliadas a una Administradora de
Riesgos Profesionales, sectores económico,
químico, y metálmecánico (1era ed.,
Vol. I). Santa Fe de Bogotá, Colombia: Universidad de
los Andes.40. RIBAGORDA GARNACHO, A. y.
(2004). Avances en Criptología y Seguridad de la
Información (1era ed., Vol. I). Madrid,
España: Diaz Santos.41. RUIZ, G., & TORRES, J. y.
(2000). La Gestión del Riesgo Financiero
(1era ed., Vol. I). Madrid, España.42. SANCHEZ CARLESSI, H. y.
(2006). Metodología y Diseños de la
Investigación Científica (1era ed., Vol.
I). Lima, Perú: Visión
Universitaria.43. SEGAL, S. (2011).
Corporate Value of Enterprise Risk Management / Valor
Corporativo de Gestión de Riesgo Empresarial
(1era ed., Vol. I). Canada: Lybrary of Congress.44. SPRENCER PICKETT, K. (2011).
The Esential Guide to Internal Auditing / La Guía
Esencial para la Auditoría interna (3era ed.,
Vol. III). London, United Kingdom: British
Library.45. SUPERINTENDENCIA NACIONAL DE
ADUANAS. (2000). Procedimiento General INTA PG 22
(1era ed., Vol. I). Lima, Perú: SUNAT
ADUANAS.46. TUÑEZ LÓPEZ, M.
y. (2007). Comunicación Preventiva:
Planificación y Ejecución de Estrategias de
Información Interna y Externa ante Situaciones de
Crisis (1era ed., Vol. I). España:
Gesbiblo.47. ZAPATA CHANCUSIG, J. (2009).
Auditoría con Enfoque de Riesgos (1era ed.,
Vol. I). Sangolqui: Escuela Politécnica del
Ejercito.
Anexos
Anexo N° 1: Programa de
Auditoría
Programa de | Nivel de | Hecho por | Fecha | Referencia | ||||||||||||||
1 | Con la ayuda de un histograma de Frecuencias | Alta | NGS | 2011 | PT 8 | |||||||||||||
2 | Comentar el nivel de responsabilidad solidaria de | Alta | NGS | 2011 | PT 8 |
Anexo 2: Conociendo el Proceso a
Auditar
PT1: Diagrama de Proceso de Ingreso y Salida de
Mercancías de la Actividad de Almacenes, Industrias y
Talleres.
El Proceso vinculado con el ingreso, transito, traspaso,
traslado y salida de mercancías de la Actividad de
Almacenes, Talleres e Industrias al interior de Céticos
Paita o con destino al Puerto de Paita o a otra
jurisdicción Aduanera, apoya en el modelo PDCA, que
consiste en:
Planificar: establecer los objetivos y procesos
necesarios para conseguir resultados de acuerdo con los
requisitos del cliente y las políticas de la
organización.
Hacer: Implementar los procesos.
Verificar: Realizar el seguimiento y la
medición de los procesos y los productos respecto a las
políticas, los objetivos y los requisitos para el
producto, e informar sobre los resultados.
Actuar: Tomar acciones para mejorar continuamente
el desempeño de los procesos.
Este Sistema de Gestión de Calidad, se apoya en
los siguientes controles:
Política del Sistema de Gestión de
Calidad.Responsabilidad de la Dirección.
Gestión de Recursos.
Controles de Ingreso y Salida de Mercancías
de la Actividad de Almacenes.Control de Usuarios.
Soporte.
Mejora Continua.
Dichos controles (que se encuentran inmersos en los
procesos de organización, responsabilidad de la
dirección, supervisión y monitoreo y mejora
continua) son los encargados de Mitigar los riesgos que
atentan contra la buena administración y
fiscalización que ejerce el Ceticos Paita, garantizando
así la continuidad del Negocio y el compromiso social que
la entidad tiene con los usuarios, sus colaboradores, el medio
ambiente y la colectividad en su conjunto.
PT 1.1 Diagrama de Proceso del Sistema de
Control Interno Bajo el Enfoque COSO ERM.
El proceso del Sistema de Control Interno del Ceticos
Paita se apoya en el modelo PDCA, que consiste
en:
Planificar: establecer los objetivos y procesos
necesarios para conseguir resultados de acuerdo con los
requisitos del cliente y las políticas de la
organización.
Hacer: Implementar los procesos.
Verificar: Realizar el seguimiento y la
medición de los procesos y los productos respecto a las
políticas, los objetivos y los requisitos para el
producto, e informar sobre los resultados.
Actuar: Tomar acciones para mejorar continuamente
el desempeño de los procesos.
Este Sistema de Control Interno se apoya en los
siguientes controles:
Filosofía de la
Dirección.Integridad y valores
éticos.Administración
Estratégica.Estructura organizacional.
Administración de los Recursos
Humanos.Competencia profesional.
Asignación de autoridad y
responsabilidad.Órgano de Control
Institucional.Planeamiento de la
Administración de RiesgosIdentificación de
RiesgosValoración de riesgos
Respuesta al riesgo
Procedimiento de Autorización y
Aprobación*Segregación de
funciones*Evaluación
Costo-Beneficio*Controles sobre el acceso a los
recursos o archivos*Verificaciones y
conciliaciones*Evaluación de desempeño
*Rendición de cuentas
Documentación de procesos,
actividades y tareas *Revisión de procesos,
actividades y tareas*Controles para las tecnologías
de Información y comunicacionesFunciones y características de
la informaciónInformación y
responsabilidadCalidad y suficiencia de la
informaciónSistemas de
informaciónFlexibilidad al cambio
Archivo institucional
Comunicación interna
Comunicación externa
Canales de
comunicaciónActividades de Prevención y
MonitoreoSeguimiento de Resultados
Compromiso de Mejoramiento.
Dichos controles (que se encuentran inmersos en los
procesos de Ambiente de Control, organización,
responsabilidad de la dirección, supervisión y
monitoreo y mejora continua) son los encargados de Mitigar
los riesgos que atentan contra la buena administración y
fiscalización que ejerce el Ceticos Paita, garantizando
así la continuidad del Negocio y el compromiso social que
la entidad tiene con los usuarios, sus colaboradores, el medio
ambiente y la colectividad en su conjunto.
PT 1.1.1 Diagrama de Proceso del Sistema de
Gestión de la Seguridad de la
Información.
Se elaboró el Diagrama del Proceso del Sistema de
Gestión de Seguridad de la Información del Ceticos
Paita, con la finalidad de determinar, los objetivos de control,
controles, procesos y procedimientos que se trabajan en dicho
Sistema y que fueron sujetos a Evaluación por parte del
Jefe de Oci del Ceticos Paita.
El proceso del Sistema de Gestión de Seguridad de
la Información del Ceticos Paita se apoya en el modelo
PDCA, que consiste en:
Planear: Referido al Establecimiento del Sistema
de Gestión de Seguridad de la Información, con la
ayuda de políticas, objetivos y procedimientos relevantes
para manejar el riesgo y mejorar la seguridad de la
Información para entregar resultados en concordancia con
las políticas y objetivos generales de la
organización.
Hacer: Referido a la Implementación y
operatividad del Sistema de Gestión de la Seguridad de la
Información del Ceticos Paita.
Chequear: Referido al Monitoreo y revisión
de los riesgos y la evaluación de la efectividad de los
controles alineados al giro del negocio reportados a la Gerencia
General.
Actuar: Referido al Mantenimiento y mejora
Continua del Sistema de Gestión de la Seguridad de la
Información, en donde la organización toma acciones
correctivas y preventivas, basadas en los resultados de la
auditoría interna al Sistema de Gestión de la
Seguridad de la Información y la Revisión General u
otra información relevante, para lograr el mejoramiento
continuo de dicho Sistema.
Este Sistema de Gestión de Seguridad de la
Información del Ceticos Paita, se apoya en los siguientes
controles:
??Políticas de Seguridad.
??Organización de la Seguridad de la
Información.
??Gestión de Activos.
??Seguridad de los Recursos Humanos.
??Seguridad Física y Ambiental.
??Gestión de las Comunicaciones y
Operaciones.
??Control de Acceso.
??Adquisición, desarrollo y mantenimiento de los
sistemas de información.
??Gestión de incidentes en la seguridad de la
información.
??Gestión de la continuidad comercial.
??Cumplimiento.
Dichos controles son los encargados de mitigar los
riesgos que atentan contra la disponibilidad, integridad,
confidencialidad, no repudio y trazabilidad de la
Información y de los Activos y Recursos
Tecnológicos del Céticos Paita que son los que
garantizan la continuidad del Negocio.
Anexo 3: Fase de Identificación
de Riesgos
PT 2: Enunciado de Aplicabilidad que se ejecutó
al Proceso de Ingreso y Salida de Mercancías de la
Actividad de Almacenes, Industrias y Talleres.
PT 2.1: Enunciado de Aplicabilidad que se
ejecutó al Sistema de Control Interno Bajo el Enfoque COSO
ERM.
PT 2.1.1: Enunciado de Aplicabilidad que se
ejecutó al Sistema de Gestión de la Seguridad de la
Información.
Anexo 4: Fase 3: Análisis de
Riesgos
PT 3: Matriz de Riesgos vs Controles que se
ejecutó al Proceso de Ingreso y Salida de
Mercancías de la Actividad de Almacenes, Industrias y
Talleres.
PT 3.1: Matriz de Riesgos vs Controles que
se ejecutó al Sistema de Control Interno Bajo el Enfoque
COSO ERM.
PT 3.1.1: Matriz de Riesgos vs Controles
que se ejecutó Sistema de Gestión de la Seguridad
de la Información.
Anexo Nº 5: Fase 4:
Evaluación de Riesgos.
PT 4: Histogramas de Frecuencia y Diagramas Radar que se
ejecutaron al Proceso de Ingreso y Salida de Mercancías de
la Actividad de Almacenes, Industrias y Talleres.
El Gráfico nos muestra que del Ejercicio 2007 al
2010 los 32 Controles evaluados inmersos en los sistemas que
controlaban el Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias poseían
niveles de Implementación que oscilaban entre 0% y 60% y
en promedio tenían un nivel de Implementación del
24%. Incumplimiento Alto.
El Gráfico nos muestra que del Ejercicio 2007 al
2010 los 32 Controles evaluados inmersos en los sistemas que
controlaban el Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias poseían
niveles de Efectividad del que oscilaban entre 0% y 60% y en
promedio tenían un nivel de Efectividad del 30%.
Incumplimiento Alto.
El Diagrama Radar nos muestra que del Ejercicio 2007 al
2010 los 32 Controles evaluados inmersos en los sistemas que
controlaban el Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias mitigaban a
niveles de Riesgos que oscilaban entre 2 (Moderado), 3 (Alto) y 4
(Extremo) y en promedio mitigaban a un nivel de Riesgo 4.
Extremo.
El Diagrama Radar nos muestra que del Ejercicio 2007 al
2010 los 32 Controles evaluados inmersos en los sistemas que
controlaban el Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias poseían
niveles de Madurez que oscilaban entre 0 (No Existe), 1
(Inicial), 2 (Repetible) y 3 (Definido) y en promedio
poseían un nivel de Madurez 1. Inicial.
PT 4.1: Histogramas de Frecuencia y Diagramas Radar que
se ejecutaron al Sistema de Control Interno Bajo el Enfoque COSO
ERM.
El Gráfico nos muestra que al 30 de Junio del
Ejercicio 2008 El Sistema de Control Interno del Ceticos Paita
bajo el Enfoque Coso Erm poseían niveles de Efectividad e
Implementación dentro de sus 5 componentes de control
interno que oscilaban entre 35.14% y 62.50% y en promedio
tenían un nivel de Implementación y Efectividad del
35.71%. Incumplimiento Alto.
El Diagrama Radar nos muestra que al 30 de Junio del
Ejercicio 2008 los 5 Componentes del Sistema de Control Interno
del Ceticos Paita bajo el Enfoque COSO ERM mitigaban a niveles de
Riesgos que oscilaban entre 2 (Moderado), 3 (Alto) y 4 (Extremo)
y en promedio mitigaban a un nivel de Riesgo 4.
Extremo.
El Diagrama Radar nos muestra que al 30 de Junio del
Ejercicio 2008 los 5 Componentes del Sistema de Control Interno
del Ceticos Paita bajo el Enfoque COSO ERM poseían un
nivel de madurez que oscilaban entre 0 (No Existe), 1 (Inicial),
2 (Repetible), 3 (Definido) y 4 (Extremo) y en promedio
poseían un Nivel de Madurez 1 Inicial.
PT 4.1.1: Histogramas de Frecuencia y Diagramas Radar
que se ejecutaron al Sistema de Gestión de la Seguridad de
la Información.
El Gráfico nos muestra que al 01 de Enero del
Ejercicio 2011 los 20 Controles evaluados inmersos en el Sistema
de Gestión de Seguridad de la Información que
controlaban a los Activos de Información del Ceticos Paita
poseían niveles de Implementación del 90% y en
promedio tenían un nivel de Implementación del 90%.
Cumplimiento.
Página anterior | Volver al principio del trabajo | Página siguiente |