cobit
TRANSCRIPT
TEMA: “COBIT ORIENTADO A LA AUDITORÍA”
INTEGRANTES:
• CAYLLAHUA LEON, JOYCER
• CUEVA BARDALES, HENRY
• PRADO MARCA,
FERNANDO
• VARGAS OLIVA, CHARLE
PROFESOR:
• DR. OSCAR MUJICA RUIZ
AUDITORÍA DE SISTEMAS
2011
COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DE INFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LA ESTRATEGIA CORPORATIVA
DEFINICIÓN
Auditores de sistemas de información: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Conjunto de buenas prácticas a través de un marco de trabajo conformado por
dominios y procesos que les permitirá optimizar sus inversiones de TI
DEFINICIÓN
PLANEAR
Y divide los procesos de TI de la empresa en 4 áreas:
CONSTRUIREJECUTARMONITOREAROfreciendo una visión de punta a punta de la TI
MARCO DE TRABAJO DE
COBIT
Monitorear y Evaluar
Entregar y Dar Soporte
Adquirir e Implementar
Recursos de TI
Planear y Organizar
INFORMACIÓN
Objetivos de Negocio
Objetivos de Gobierno
EficienciaEfectividad
CumplimientoConfiabilidad
IntegridadDisponibilidad
Confidencialidad
AplicacionesInformación
InfraestructuraPersonas
MARCO DE TRABAJO DE
COBIT
Descripción del Proceso
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad. Esto permite apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
Adquisición e Implementación
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
AI2.4 Seguridad y disponibilidad de las aplicaciones.
Derechos de acceso y administración de privilegios, protección de información sensible en todas las etapas, autenticación e integridad de las transacciones y recuperación automática.
Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones.
Verificar que ada usuario necesariamente deberá tener un nivel de accesibilidad a las aplicaciones
AI2.7 Desarrollo de software aplicativo
Evaluar que en el desarrollo que se sigan los estándares establecidos
Modelo para creación de formularios
Estándar de programcion.Net Estándar de programación SQL
Descripción del Proceso
Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. Una efectiva administración de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
Entregar y dar Soporte
DS5.1 Administración de la seguridad de TI
Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio.
Seguridad a nivel de Servidor de Base de datos
DS5.3 Administración de identidad
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio.
DS5.4 Administración de cuentas del usuario
Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario.
CASO 1:
MEYCOR COBIT AG
aplicado en WEST FINANCIALS
PRESENTANDO A LOS ACTORES:
La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas en
organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de
tecnología de la información. Desde hace ya 5 años la empresa utiliza el estándar
COBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBIT
AG para automatizar y facilitar la tarea.
La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de
casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupo
importante de condiciones diferentes por lo que el sistema informático de Cuentas a
Cobrar resulta crítico, para alcanzar sus objetivos de negocio.
PLANTEAMIENTO DEL PROBLEMA:
Todo el sistema informático consolida la información en Montevideo. Cuenta con
procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un
grupo de casi 100 cobradores organizados en equipos.
Recientemente se han producido algunos problemas puntuales dados por errores en las
cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo
interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias
del mismo mantienen algunas reservas.
Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe
en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable
por la organización. Los riesgos identificados tienen una valoración significativa y no se
encuentran adecuadamente cubiertos por las actividades de control existentes.
MEYCOR COBIT AG aplicado en WEST FINANCIALS
CASO 2:
Creación de un usuario
Creación de un centro de análisis
En primer lugar, el Administrador
ingresa al software Meycor COBIT
AG y crea un usuario ‘JMartinez’ al
que le define el perfil de supervisor.
Posteriormente se ingresan los otros
integrantes de la auditoria en sus
diversos roles.
Un centro de análisis,
es el objeto de la
auditoría, es el
escenario sobre el
que debe emitirse la
opinión.
Creación del proyecto y definición de su objetivo y alcance.
Organigrama
Para el proyecto especifico se define el
tipo de proyecto, en este caso se trata de
una auditoria de procesos de TI (auditoría
a nivel de los Objetivos de Control de alto
nivel de Cobit).
Se crea el Proyecto de auditoria al cual se
da el nombre de “Sistema de Cuentas a
Cobrar WF”
Consiste en definir primero
los niveles jerárquicos y
posteriormente crear el
organigrama. Esto es creado
por el supervisor. Menú:
Centro de Análisis
Definición de proceso de negocio.
Requerimientos de Información.
Detalle de las columnas: Efectividad o
Eficacia, Eficiencia, Confidencialidad,
Integridad, Disponibilidad, Cumplimiento,
Confiabilidad de la información.
Relación entre procesos de negocio y procesos de COBIT.
Planillas de auditoria.
En esta etapa puede ayudar el conjunto
de planillas que define el
Implementation Tool Set de Cobit para
obtener una información primaria de los
procesos de Cobit preseleccionados
para auditar o incluso agregar algunos
adicionales.
Se ingresa la información de los
diversos recursos de Ti (clasificados
en personas, datos, aplicaciones,
infraestructura tecnológica e
instalaciones).
Mediante la facilidad de seleccionar y
arrastrar los recursos de TI se
relacionan con los requerimientos de
información previamente
identificados.
Ejemplo de la asignación de procesos de COBIT a un revisor.
Se determina sobre que objetivos de control auditar
Se asignan los Procesos de Cobit (o
los Objetivos de Control de bajo
nivel), para la auditoría, al equipo
de evaluadores asignados al
proyecto.
El Revisor Carlos ingresa a Meycor
COBIT AG y RECIBE UN MENSAJE DE
Alerta que le indica que ha sido
asignado a un proyecto de auditoria.
Puede ver la información del mismo
(organigrama, procesos de negocio.
Recursos de Ti, etc.)
Ejemplo de un hallazgo en la etapa de entrevistas
Registro de las tareas efectuadas
Etapa 1: Entrevistas
Vemos que el proceso comienza con
entrevistas, las mismas permiten tener
una primera visión del objeto de la
auditoría.
Etapa 2: Documentación
En este caso se obtienen los
manuales técnicos y de usuarios
de la aplicación.
Evaluación de Controles.
Verificación de controles
Etapa 3: Emisión de una primera
opinión
A partir de las etapas anteriores y de
algunos trabajos de campo puede
determinarse si existen controles
suficientes para los riesgos
involucrados en la aplicación.
Etapa 4: Verificar el cumplimiento
de los controles
Aquí se revisa que esos controles
estén funcionando.
Determinación del muestreo
Se indica si hay o no aseguramiento.
Etapa 5: Realización de muestreos
• Consideraciones del riesgo de
auditoría.
• Si hay medidas de control.
• Si las medidas de control existentes
fueron evaluadas como no suficientes.
Etapa 6: Emisión de una conclusión final
Se emite una conclusión (en este caso es
para los Objetivos de control que forman
un proceso)
CASO 2:Modelo de Auditoría basado en COBIT para Servicios de Internet en el Ambito
Hospitalario
La aparición de nuevas posibilidades de proceso de la información y de
nuevos flujos de información ha provocado la aparición de nuevos riesgos
y amenazas con respecto a la información y a los activos de TI. Por tanto,
es necesario considerar las particularidades de dichas tecnologías y del
contexto hospitalario para construir nuevos enfoques de auditoría de
sistemas de información sanitarios. Se presenta un Modelo General
basado en el marco formal de Auditoría denominado COBIT.
ANTECEDENTES
Criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Los Sistemas de Información Hospitalarios
Areas conceptuales en un Sistema de Información Sanitaria
Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico
Incorporación de Internet e Intranets en el hospital
• Problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática
Planificación Organización Seguridad Adquisición Mantenimiento Servicios
Aspectos gestión y seguridad de las intranets hospitalarias
• Objetivo .- Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT
Descripción del estudio
• El contexto del problema .- El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital.
• El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales
Elementos Planificación Adquisición Mantenimiento Seguridad Servicio
Gerencia 4 4Responsable Informática 4 4Técnicos Informática 4 4 4Webmaster 4 4 4 4Administrador Seguridad 4 4
Personal clínico (med., enfer.) 4
Personal auxiliar (celad., etc.) 4
Pacientes / usuarios 4Tecnologías 4 4 4Mercado 4Marco Legal 4 4 4 4 4Marco Normativo Estándares 4 4 4 4 4
Proveedores 4 4 4Hw base: servidores 4 4 4Hw redes 4 4 4Sw base: sis. op., ser. Web 4 4 4
Sw redes 4 4 4Sw Info: BD, etc. 4 4 4Sw. aplicación 4 4 4
Elementos del sistema en estudio
Elementos
Eficiencia y
Efectividad
Integridad
Confiden-cialidad
Dsiponi-
bilidad
Cumplimiento
Fiabilidad
Gerencia 4 4
Responsable Informática 4 4
Técnicos Informática 4 4 4
Webmaster 4 4 4 4
Administrador Seguridad 4 4 4 4 4 4
Personal clínico (med., enfer.)
4 4 4
Personal auxiliar (celad., etc.)
4 4 4
Pacientes / usuarios 4
Tecnologías 4 4 4 4 4
Mercado
Marco Legal
Marco Normativo Estándares
4 4 4 4 4 4
Proveedores 4 4 4 4 4
Hw base: servidores 4 4 4
Hw redes 4 4 4
Sw base: sis. op., ser. Web 4 4 4 4
Sw redes 4 4 4
Sw Info: BD, etc. 4 4 4 4
Sw. aplicación 4 4 4 4Riesgos Asociados
• Resultados
Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos.
En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000).
A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000):
• P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización.
• ......
• P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
ESTRUCTURA DE COBIT INCORPORACIÓN INTRANET
DOMINIO PROCESO DENOMINACIÓN PROCESO Planificación Adquisición Mantenimiento Seguridad Servicios
Planeacióny
Organiza-ción
PO1 Definir un plan estratégico de sistema
P
PO2 Definir la arquitectura de información
P P
PO3 Determinar la dirección tecnológica
S P
PO4 Definir la organización y sus relaciones
S P
PO5 Administrar las inversiones (en TI)
P P P S
PO6 Comunicar la dirección y objetivos de la gerencia
S P P
PO7 Administrar los recursos humanos
P S P
PO8 Asegurar el apego a disposiciones externas
P P P P
PO9 Evaluar riesgo S P P P
PO10 Administrar proyecto S P P
PO11 Administrar calidad S P P P
Adquisición eImplemen-tación
AI1 Identificar soluciones de automatización
P P
AI2 Adquirir y mantener software de aplicación
P P S S
AI3 Adquirir y mantener la arquitectura tecnológica
P P S S
DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO
AI4 Desarrollar y mantener procedimiento P P S S
AI5 Instalar y acreditar sistemas de información P P
AI6 Administrar cambio P P S S
Entrega deservicios y
Soporte
DS1 Definir niveles de servicio P
DS2 Administrar servicios de tercero
DS3 Administrar desempeño y capacidad
DS4 Asegurar continuidad de servicio P P P
DS5 Garantizar la seguridad de sistema P
DS6 Identificar y asignar costo P
DS7 Educar y capacitar a usuario P P S
DS8 Apoyar y orientar a clientes S
DS9 Administrar la configuración P P
DS10 Administrar problemas e incidente P P P
DS11 Administrar la información S P P
DS12 Administrar las instalaciones P
DS13 Administrar la operación P P
Monitoreo
M1 Monitorear el proceso P
M2 Evaluar lo adecuado del control interno P S S P P
M3 Obtener aseguramiento independiente P P P
M4 Proporcionar auditoría independiente S S P P P
II.- CARACTERISTICAS DEL GRUPO COLOMBIA
El Grupo Bancolombia ya contaba con políticas y procedimientos de control interno y riesgos mucho antes de que los escándalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran.
El Grupo adoptó e implementó un esquema de administración de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la información contable.
El Grupo Bancolombia adoptó los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compañías que hacen parte del Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema de control interno.
I.- FUNCIONES DEL GRUPO BANCOLOMBIA
A través de la Fundación Bancolombia se materializa el compromiso social y comunitario del Grupo Bancolombia.Trabajamos por el desarrollo integral de las comunidades.
Desarrollamos líneas de trabajo que buscan minimizar el impacto directo e indirecto de nuestras actividades en el medio ambiente
Acercamos las actividades financieras a diferentes poblaciones, generando cada vez mayor crecimiento y posibilidades de inversión para los grupos de interés.
III.- ÓRGANO DE CONTROL INTERNO (SCI)
LA SCI
Todas las personas que hacen parte del Grupo Bancolombia (empleados, miembros de junta, comités, proveedores, outsourcing, entre otros) son responsables por el adecuado funcionamiento del Sistema de Control Interno. No obstante, se muestran a continuación unos roles clave y fundamentales que aportan de manera directa a la efectividad del SCI
El Sistema de Control Interno es el encargado de ejercer el control general, interno posterior a los actos y operaciones del grupo Bancolombia.
El Sistema de Control Interno cuenta con el área de auditoria en la cual cuenta con independencia funcional y técnica respecto de la administración de GBC, dentro del ámbito del grupo. Este órgano mantiene una vinculación de dependencia funcional con la Gerencia general.
ADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia y que se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación de los procedimientos de control y revelación, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo.
DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable del establecimiento y mantenimiento de adecuados sistemas de revelación y control de la información financiera y contable.
GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativo apoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de la normatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelos y recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo.
VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo del Grupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos.
DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y que estos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo es responsable de la administración de los controles.
VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno para procesos de tecnología bajo el marco de referencia COBIT.
AREAS DE APOYO AL CONTROL INTERNO EN EL GRUPO BANCOLOMBIA
FUNCIONES DEL SCI
Las Empresas del Grupo Bancolombia deberán contar con un SCI integrado por principios, políticas, normas y procedimientos encaminados a proporcionar transparencia y seguridad a los diferentes Grupos de Interés de cada empresa.
La adopción del SCI, debe contemplar la necesidad de que la alta dirección de cada empresa y el resto de la organización, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestión, considerándolo como un conjunto de actividades integradas a los procesos operativos de las empresas.
Se entiende por SCI el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la junta directiva, la alta dirección y demás funcionarios de una organización de forma periodica para proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos.
INFORME DEL SISTEMA DE CONTROL INTERNO DE BANCOLOMBIA
La Junta Directiva y el Representante Legal presentan a los señores accionistas, el siguiente informe sobre el funcionamiento del Sistema de Control Interno del Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría:
El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los estándares internacionales del Comitee of Sponsoring Organizations of the Treadway Commission, Coso, y en el marco de referencia Control Objectives for information and related technology, Cobit, este último aplicado a los procesos de tecnología de información.
Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicando en el año 2010 en el diseño y la valoración del Sistema de Control Interno.La revisión de la efectividad del Sistema de Control Interno del Banco comprendió las siguientes actividades:
1. EVALUACIÓN DE LA ADMINISTRACIÓN:
Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido y la aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos de Conducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correcto funcionamiento de la Línea Ética como el canal de denuncia de actos incorrectos.
Evaluación de riesgos: Desarrollamos toda la administración y la gestión de los riesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías, herramientas de control y matrices de autoevaluación de riesgo operacional.
Actividades de control: Actualizamos la documentación de procesos y las matrices de control que permitieron identificar los riesgos relevantes para efectuar la evaluación de controles clave en los procesos y su verificación por parte de la Auditoría Interna.
Información y comunicación: En 2010 continuamos con el programa de divulgación del Sistema de Control Interno y capacitaciones presenciales a un gran número de colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones corporativas, la página web de la entidad y otros medios como círculos de comunicación y grupos primarios.
Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a la correcta aplicación de los controles existentes. Además, realizamos actividades de retroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entre otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente, implementar soluciones oportunas en el diseño de los procesos y matrices de control.
Auditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoque de la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizo con fundamento en las normas para la práctica profesional de Auditoría Interna.
Los resultados de esta evaluación al sistema y de los riesgos relacionados con el funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles fueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficiencias materiales o significativas en el diseño y operación de los controles asociados al proceso y registro de la información financiera de Bancolombia.
El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y a la información necesaria para la ejecución de las actividades de control.
2. EVALUACIÓN DE LA AUDITORÍA INTERNA
El Comité de Auditoría por medio de reuniones mensuales y con una metodología previamente establecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de la entidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestión de la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de los estados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema de control interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos, reportándole en forma periódica el desarrollo de sus actividades.
Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacan aquellos relacionados con la administración de los riesgos de la entidad en lo que no es de competencia de la Junta Directiva, las metodologías y procesos, las políticas contables, la preparación de la información financiera que se presenta a las autoridades en Colombia y ante la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos presentados por los entes de control.
De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puede concluir que :(i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su información financiera, (ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado,(iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones con independencia, (iv) la administración ha adelantado los planes de acción definidos para subsanar aquellos aspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridas respecto de los actos incorrectos o violaciones al Código de Ética que le son reportados a través de la Línea Ética.
3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL COMITÉ DE AUDITORÍA
Al cierre del año 2010, ni la Administración ni los órganos de control internos y externos del Banco ni el Comité de Auditoría detectaron debilidades materiales o significativas relacionadas con el Sistema de Control Interno, que pongan en riesgo la efectividad del mismo. Tampoco se tuvo conocimiento de fraudes, errores malintencionados o manipulaciones en la información financiera preparada y revelada por el Banco.
CONCLUSIONES
• Claramente COBIT es un marco de referencia para
profesionalizar el área informática de una compañía, ya que
tiene una compleja estructura de 34 procesos de alto nivel y
210 objetivos de control.
• Los procesos de negocio son la base por la que COBIT
existe y no lo es el simple hecho de implementar la
tecnología de punta.
RECOMENDACIONES
• Si el área informática de la organización es pequeña COBIT puede
resultar muy cara en su implementación y por tanto no se justifica.
En cambio si está en juego grandes sumas de dinero respaldadas en
las tecnologías de la información, su uso es obligatorio.
• Contar con personal altamente especializado para la implantación de
COBIT en la organización, considerando que domine el enfoque de
negocios y la tecnología relacionada a cumplir objetivos de los
mismos.