• Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
8,130
On Slideshare
0
From Embeds
0
Number of Embeds
4

Actions

Shares
Downloads
324
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 2011 AUDITORÍA DE SISTEMAS TEMA: “COBIT ORIENTADO A LA AUDITORÍA” INTEGRANTES: • CAYLLAHUA LEON, JOYCER • CUEVA BARDALES, HENRY • PRADO MARCA, FERNANDO • VARGAS OLIVA, CHARLE PROFESOR: • DR. OSCAR MUJICA RUIZ
  • 2. COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGÍAS DEINFORMACIÓN (TI) QUE GARANTIZA LA ALINEACIÓN CON LAESTRATEGIA CORPORATIVAAuditores de sistemas de información:Para soportar sus opiniones sobre los controles de los proyectos de TI,su impacto en la organización y determinar el control mínimorequerido.
  • 3. Conjunto de buenas prácticas a través de un marco de trabajo conformado por dominios y procesos que les permitirá optimizar sus inversiones de TI
  • 4. Y divide los procesos de TI de la empresa en 4 áreas: CONSTRUIR PLANEAR EJECUTAR Ofreciendo una visión de MONITOREAR punta a punta de la TI
  • 5. Objetivos de Negocio Objetivos de Gobierno INFORMACIÓN Eficiencia Efectividad IntegridadMonitorear Cumplimiento Disponibilidady Evaluar Confiabilidad Confidencialidad Planear y Recursos Organizar de TI Aplicaciones Información Infraestructura Personas Entregar y Adquirir e Dar Soporte Implementar
  • 6. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVODescripción del ProcesoLas aplicaciones deben estar disponibles deacuerdo con los requerimientos del negocio. Esteproceso cubre el diseño de las aplicaciones, lainclusión apropiada de controles aplicativos yrequerimientos de seguridad. Esto permite apoyarla operatividad del negocio de forma apropiada conlas aplicaciones automatizadas correctas.
  • 7. AI2.4 Seguridad y disponibilidad de las aplicaciones.Derechos de acceso y administración de privilegios, protección deinformación sensible en todas las etapas, autenticación e integridad delas transacciones y recuperación automática. Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones
  • 8. AI2.4 Seguridad y disponibilidad de las aplicaciones.Verificar que ada usuario necesariamente deberá tener un nivel deaccesibilidad a las aplicaciones
  • 9. AI2.7 Desarrollo de software aplicativoEvaluar que en el desarrollo que se sigan los estándares establecidos Modelo para creación de formularios
  • 10. Estándar de programcion.NetEstándar de programación SQL
  • 11. Descripción del ProcesoEste proceso incluye el establecimiento ymantenimiento de roles y responsabilidades deseguridad, políticas, estándares y procedimientosde TI. Una efectiva administración de la seguridadprotege todos los activos de TI para minimizar elimpacto en el negocio causado por vulnerabilidadeso incidentes de seguridad.
  • 12. DS5.1 Administración de la seguridad de TIAdministrar la seguridad de TI al nivel más apropiado dentro de laorganización, de manera que las acciones de administración de la seguridadestén en línea con los requerimientos del negocio. Seguridad a nivel de Servidor de Base de datos
  • 13. DS5.3 Administración de identidadTodos los usuarios (internos, externos y temporales) y suactividad en sistemas de TI (aplicación de negocio, operacióndel sistema, desarrollo y mantenimiento) deben seridentificables de manera única. Los derechos de acceso delusuario a sistemas y datos deben estar alineados connecesidades de negocio.
  • 14. DS5.4 Administración de cuentas del usuarioGarantizar que la solicitud, establecimiento, emisión, suspensión, modificacióny cierre de cuentas de usuario y de los privilegios relacionados, sean tomadosen cuenta por la gerencia de cuentas de usuario.
  • 15. CASO 1: MEYCOR COBIT AG aplicado en WEST FINANCIALSPRESENTANDO A LOS ACTORES:La firma de auditoría ABC AUDIT se dedica a realizar auditorias externas enorganizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas detecnología de la información. Desde hace ya 5 años la empresa utiliza el estándarCOBIT para realizar su trabajo y últimamente incorporó el software MEYCOR COBITAG para automatizar y facilitar la tarea.La empresa WEST FINANCIALS es una empresa de servicios que tiene una carterade casi 20.000 clientes. Sus operaciones de venta se realizan a crédito, con un grupoimportante de condiciones diferentes por lo que el sistema informático de Cuentas aCobrar resulta crítico, para alcanzar sus objetivos de negocio.
  • 16. CASO 2:MEYCOR COBIT AG aplicado en WEST FINANCIALS PLANTEAMIENTO DEL PROBLEMA: Todo el sistema informático consolida la información en Montevideo. Cuenta con procedimientos de cobro vía electrónica y bancaria, por tarjetas de crédito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informático de desarrollo interno, se afirma que se encuentra correctamente diseñado, si bien las áreas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodología del Informe COSO, determinó que existe en el proceso Cuentas a Cobrar una exposición al riesgo superior a lo aceptable por la organización. Los riesgos identificados tienen una valoración significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.
  • 17. En primer lugar, el Administrador ingresa al software Meycor COBIT AG y crea un usuario „JMartinez‟ al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles. Creación de un usuarioUn centro deanálisis, es el objetode la auditoría, es elescenario sobre elque debe emitirse laopinión. Creación de un centro de análisis
  • 18. Para el proyecto especifico se define el tipo de proyecto, en este caso se trata de una auditoria de procesos de TI (auditoría a nivel de los Objetivos de Control de alto nivel de Cobit). Se crea el Proyecto de auditoria al cual se da el nombre de “Sistema de Cuentas a Cobrar WF”Creación del proyecto y definición de su objetivo y alcance.Consiste en definir primerolos niveles jerárquicos yposteriormente crear elorganigrama. Esto escreado por el supervisor.Menú: Centro de Análisis Organigrama
  • 19. Definición de proceso de negocio.Detalle de las columnas: Efectividad oEficacia, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad de la información. Requerimientos de Información.
  • 20. Se ingresa la información de los diversos recursos de Ti (clasificados en personas, datos, aplicaciones, infraestructura tecnológica e instalaciones). Mediante la facilidad de seleccionar y arrastrar los recursos de TI se relacionan con los requerimientos de información previamente identificados.Relación entre procesos de negocio y procesos de COBIT.En esta etapa puede ayudar el conjuntode planillas que define elImplementation Tool Set de Cobit paraobtener una información primaria de losprocesos de Cobit preseleccionadospara auditar o incluso agregar algunosadicionales. Planillas de auditoria.
  • 21. Se asignan los Procesos de Cobit (o los Objetivos de Control de bajo nivel), para la auditoría, al equipo de evaluadores asignados al proyecto. Ejemplo de la asignación deprocesos de COBIT a un revisor.El Revisor Carlos ingresa a MeycorCOBIT AG y RECIBE UN MENSAJE DEAlerta que le indica que ha sidoasignado a un proyecto de auditoria.Puede ver la información del mismo(organigrama, procesos de negocio.Recursos de Ti, etc.) Se determina sobre que objetivos de control auditar
  • 22. Etapa 1: Entrevistas Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visión del objeto de la auditoría.Ejemplo de un hallazgo en la etapa de entrevistas Etapa 2: Documentación En este caso se obtienen los manuales técnicos y de usuarios de la aplicación. Registro de las tareas efectuadas
  • 23. Etapa 3: Emisión de una primera opinión A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación. Evaluación de Controles.Etapa 4: Verificar el cumplimiento de los controlesAquí se revisa que esos controlesestén funcionando. Verificación de controles
  • 24. Etapa 5: Realización de muestreos • Consideraciones del riesgo de auditoría. • Si hay medidas de control. • Si las medidas de control existentes fueron evaluadas como no suficientes. Determinación del muestreoEtapa 6: Emisión de una conclusión finalSe emite una conclusión (en este caso espara los Objetivos de control que formanun proceso) Se indica si hay o no aseguramiento.
  • 25. CASO 2: Modelo de Auditoría basado en COBIT para Servicios de Internet en el Ambito HospitalarioLa aparición de nuevas posibilidades de proceso de la información y denuevos flujos de información ha provocado la aparición de nuevos riesgosy amenazas con respecto a la información y a los activos de TI. Por tanto,es necesario considerar las particularidades de dichas tecnologías y delcontexto hospitalario para construir nuevos enfoques de auditoría desistemas de información sanitarios. Se presenta un Modelo Generalbasado en el marco formal de Auditoría denominado COBIT.
  • 26. ANTECEDENTESCriterios rigurosos de eficiencia, robustez,operatividad y seguridad.Los Sistemas de Información Hospitalarios Areas conceptuales en un Sistema de Información Sanitaria
  • 27. Arquitectura y tipos de Sistemas de Información hospitalarios según el enfoque clásico
  • 28. Incorporación de Internet e Intranets en el hospital
  • 29. Aspectos gestión y seguridad de las intranets hospitalarias• Problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática  Planificación  Organización  Seguridad  Adquisición  Mantenimiento  Servicios
  • 30. • Objetivo .- Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT Descripción del estudio• El contexto del problema .- El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital.• El alcance del estudio.- consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales
  • 31. Elementos Planificación Adquisición Mantenimiento Seguridad ServicioGerencia 4 4Responsable Informática 4 4Técnicos Informática 4 4 4Webmaster 4 4 4 4Administrador Seguridad 4 4Personal clínico (med., enfer.) 4Personal auxiliar (celad., etc.) 4Pacientes / usuarios 4Tecnologías 4 4 4Mercado 4Marco Legal 4 4 4 4 4Marco Normativo Estándares 4 4 4 4 4Proveedores 4 4 4Hw base: servidores 4 4 4Hw redes 4 4 4Sw base: sis. op., ser. Web 4 4 4Sw redes 4 4 4Sw Info: BD, etc. 4 4 4Sw. aplicación 4 4 4 Elementos del sistema en estudio
  • 32. Eficiencia y Confiden- Dsiponi- Elementos Integridad Cumplimiento Fiabilidad Efectividad cialidad bilidadGerencia 4 4Responsable Informática 4 4Técnicos Informática 4 4 4Webmaster 4 4 4 4Administrador Seguridad 4 4 4 4 4 4Personal clínico (med., enfer.) 4 4 4Personal auxiliar (celad., etc.) 4 4 4Pacientes / usuarios 4Tecnologías 4 4 4 4 4MercadoMarco LegalMarco Normativo Estándares 4 4 4 4 4 4Proveedores 4 4 4 4 4Hw base: servidores 4 4 4Hw redes 4 4 4Sw base: sis. op., ser. Web 4 4 4 4Sw redes 4 4 4Sw Info: BD, etc. 4 4 4 4Sw. aplicación 4 4 4 4 Riesgos Asociados
  • 33. • ResultadosSe presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos.En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000).A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000):• P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización.• ......• P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.
  • 34. DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO ESTRUCTURA DE COBIT INCORPORACIÓN INTRANETDOMINIO PROCESO DENOMINACIÓN Planificación Adquisición Mantenimiento Seguridad Servicios PROCESO PO1 Definir un plan estratégico P de sistema PO2 Definir la arquitectura de P P información PO3 Determinar la dirección S P tecnológica PO4 Definir la organización y S P sus relacionesPlaneación PO5 Administrar las P P P S y inversiones (en TI)Organiza- PO6 Comunicar la dirección y S P P ción objetivos de la gerencia PO7 Administrar los recursos P S P humanos PO8 Asegurar el apego a P P P P disposiciones externas PO9 Evaluar riesgo S P P P PO10 Administrar proyecto S P P PO11 Administrar calidad S P P PAdquisició AI1 Identificar soluciones de P Pne automatizaciónImplemen- AI2 Adquirir y mantener P P S Stación software de aplicación AI3 Adquirir y mantener la P P S S arquitectura tecnológica
  • 35. AI4 Desarrollar y mantener procedimiento P P S S AI5 Instalar y acreditar sistemas de información P P AI6 Administrar cambio P P S S DS1 Definir niveles de servicio P DS2 Administrar servicios de tercero DS3 Administrar desempeño y capacidad DS4 Asegurar continuidad de servicio P P P DS5 Garantizar la seguridad de sistema P DS6 Identificar y asignar costo PEntrega deservicios y DS7 Educar y capacitar a usuario P P S Soporte DS8 Apoyar y orientar a clientes S DS9 Administrar la configuración P P DS10 Administrar problemas e incidente P P P DS11 Administrar la información S P P DS12 Administrar las instalaciones P DS13 Administrar la operación P P M1 Monitorear el proceso P M2 Evaluar lo adecuado del control interno P S S P PMonitoreo M3 Obtener aseguramiento independiente P P P M4 Proporcionar auditoría independiente S S P P P
  • 36. II.- CARACTERISTICAS DEL GRUPO COLOMBIA El Grupo Bancolombia ya contaba con políticas y procedimientos de control interno y riesgos mucho antes de que los escándalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran. El Grupo adoptó e implementó un esquema de administración de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la información contable. El Grupo Bancolombia adoptó los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compañías que hacen parte del Grupo, con el propósito de aplicarlos en el diseño y valoración del sistema de control interno.
  • 37. I.- FUNCIONES DEL GRUPO BANCOLOMBIAA través de la FundaciónBancolombia se materializa elcompromiso social y comunitariodel Grupo Bancolombia.Trabajamos por el desarrollointegral de las comunidades.Desarrollamos líneas de trabajoque buscan minimizar el impactodirecto e indirecto de nuestrasactividades en el medio ambienteAcercamos las actividades financierasa diferentes poblaciones, generandocada vez mayor crecimiento yposibilidades de inversión para losgrupos de interés.
  • 38. III.- ÓRGANO DE CONTROL INTERNO (SCI)
  • 39. LA SCITodas las personas que hacen parte del GrupoBancolombia (empleados, miembros de junta,comités, proveedores, outsourcing, entre otros)son responsables por el adecuadofuncionamiento del Sistema de Control Interno.No obstante, se muestran a continuación unosroles clave y fundamentales que aportan demanera directa a la efectividad del SCIEl Sistema de Control Interno es el encargado deejercer el control general, interno posterior a losactos y operaciones del grupo Bancolombia.El Sistema de Control Interno cuenta con el área deauditoria en la cual cuenta con independenciafuncional y técnica respecto de la administración deGBC, dentro del ámbito del grupo. Este órganomantiene una vinculación de dependencia funcionalcon la Gerencia general.
  • 40. AREAS DE APOYO AL CONTROL INTERNO EN EL GRUPO BANCOLOMBIAADMINISTRACIÓN: En cabeza del representante legal de cada compañía del Grupo Bancolombia yque se apoya en los líderes de procesos de negocio, es la responsable de dirigir la implementación delos procedimientos de control y revelación, verificar su operatividad al interior de la correspondienteentidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo.DIRECCIÓN DE CONTABILIDAD: Es el área que lidera el tema de SOX y SCI responsable delestablecimiento y mantenimiento de adecuados sistemas de revelación y control de la informaciónfinanciera y contable.GERENCIA DE GESTIÓN DE CONTROL INTERNO: Es el área que fomenta el Gobierno Corporativoapoyando el diseño y aplicación del Sistema de Control Interno bajos los lineamientos de lanormatividad local e internacional. Capacita, asesora y acompaña a la Administración en estos modelosy recopila las evidencias que sustentan la evaluación periódica para su certificación a nivel de Grupo.VICEPRESIDENCIA DE RIESGOS: Es el área especializada en la administración integral del riesgo delGrupo Bancolombia, encargada de la identificación, medición y mitigación de riesgos.DIRECCIÓN INGENERÍA DE PROCESOS: Es el área responsable del diseño de los procesos y queestos contemplen los lineamientos estratégicos del Grupo y la normatividad aplicable. Así mismo esresponsable de la administración de los controles.VICEPRESIDENCIA DE TECNOLOGÍA: Es el área de apoyar el modelo de control interno paraprocesos de tecnología bajo el marco de referencia COBIT.
  • 41. FUNCIONES DEL SCILas Empresas del Grupo Bancolombia deberán contar con un SCIintegrado por principios, políticas, normas y procedimientosencaminados a proporcionar transparencia y seguridad a losdiferentes Grupos de Interés de cada empresa.La adopción del SCI, debe contemplar la necesidad de que la altadirección de cada empresa y el resto de la organización, comprendancabalmente la trascendencia del control interno y la incidencia delmismo sobre los resultados de la gestión, considerándolo como unconjunto de actividades integradas a los procesos operativos de lasempresas.Se entiende por SCI el conjunto de políticas, principios, normas,procedimientos y mecanismos de verificación y evaluaciónestablecidos por la junta directiva, la alta dirección y demásfuncionarios de una organización de forma periodica paraproporcionar un grado de seguridad razonable en cuanto a laconsecución de los objetivos.
  • 42. INFORME DEL SISTEMA DE CONTROL INTERNO DE BANCOLOMBIA La Junta Directiva y el Representante Legal presentan a los señores accionistas, el siguiente informe sobre el funcionamiento del Sistema de Control Interno del Banco, el cual incluye las gestiones adelantadas por el Comité de Auditoría:El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en losestándares internacionales del Comitee of Sponsoring Organizations of theTreadway Commission, Coso, y en el marco de referencia Control Objectives forinformation and related technology, Cobit, este último aplicado a los procesos detecnología de información.Estos estándares, aplicados de tiempo atrás por el Banco, se continuaron aplicandoen el año 2010 en el diseño y la valoración del Sistema de Control Interno.La revisión de la efectividad del Sistema de Control Interno del Banco comprendió lassiguientes actividades:
  • 43. 1. EVALUACIÓN DE LA ADMINISTRACIÓN:Ambiente de control: Realizamos la evaluación a los empleados sobre el contenido yla aplicación de los Códigos de Ética y Buen Gobierno, del Manual de Aspectos deConducta de la Tesorería y del Reglamento Interno de Trabajo. Aseguramos el correctofuncionamiento de la Línea Ética como el canal de denuncia de actos incorrectos.Evaluación de riesgos: Desarrollamos toda la administración y la gestión de losriesgos a que está expuesta la entidad, por medio de la emisión de políticas, metodologías,herramientas de control y matrices de autoevaluación de riesgo operacional.Actividades de control: Actualizamos la documentación de procesos y las matrices decontrol que permitieron identificar los riesgos relevantes para efectuar la evaluación decontroles clave en los procesos y su verificación por parte de la Auditoría Interna.Información y comunicación: En 2010 continuamos con el programa de divulgacióndel Sistema de Control Interno y capacitaciones presenciales a un gran número decolaboradores y, para ello, se utilizaron medios internos como Intranet, comunicacionescorporativas, la página web de la entidad y otros medios como círculos de comunicación ygrupos primarios.Monitoreo: Los jefes o líderes de procesos ejecutaron una supervisión continua a lacorrecta aplicación de los controles existentes. Además, realizamos actividades deretroalimentación en áreas como reclamos, procesos contables y seguridad bancaria, entreotras, que permiten detectar debilidades de control en forma temprana y, por consiguiente,implementar soluciones oportunas en el diseño de los procesos y matrices de control.
  • 44. 2. EVALUACIÓN DE LA AUDITORÍA INTERNAAuditoría Interna efectuó durante 2010 la evaluación del sistema de control interno. El enfoquede la auditoría, la definición del alcance, la selección y la aplicación del tipo de pruebas se hizocon fundamento en las normas para la práctica profesional de Auditoría Interna.Los resultados de esta evaluación al sistema y de los riesgos relacionados con elfuncionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controlesfueron satisfactorios y permitieron a la auditoría concluir que no se identificaron deficienciasmateriales o significativas en el diseño y operación de los controles asociados al proceso yregistro de la información financiera de Bancolombia.El auditor también certificó que no se presentaron limitaciones en el acceso a los registros y ala información necesaria para la ejecución de las actividades de control.
  • 45. 3. ACTIVIDADES MÁS RELEVANTES DESARROLLADAS POR EL COMITÉ DE AUDITORÍAEl Comité de Auditoría por medio de reuniones mensuales y con una metodología previamenteestablecida que incluye evaluaciones de controles y de riesgos de las diferentes áreas de laentidad y las filiales, seguimiento a planes de acción definidos, revisión periódica de la gestiónde la Revisoría Fiscal y de la Auditoría Interna y seguimiento a las principales variables de losestados financieros, entre otros asuntos, veló por el adecuado funcionamiento del sistema decontrol interno de Bancolombia y apoyó a la Junta Directiva en el seguimiento de los asuntos,reportándole en forma periódica el desarrollo de sus actividades.Dentro de los aspectos evaluados y supervisados permanentemente por el Comité, se destacanaquellos relacionados con la administración de los riesgos de la entidad en lo que no es decompetencia de la Junta Directiva, las metodologías y procesos, las políticas contables, lapreparación de la información financiera que se presenta a las autoridades en Colombia y antela Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgospresentados por los entes de control.De acuerdo con la gestión adelantada y la información que le fue presentada, el Comité puedeconcluir que :(i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente suinformación financiera,(ii) la entidad reportó en forma oportuna y suficiente la información relevante al mercado,(iii) la revisoría fiscal y la auditoría interna pudieron adelantar sus evaluaciones conindependencia,(iv) la administración ha adelantado los planes de acción definidos para subsanar aquellosaspectos que así lo requirieron y (iv) la entidad investiga y toma las acciones requeridasrespecto de los actos incorrectos o violaciones al Código de Ética que le son reportados através de la Línea Ética.
  • 46. Al cierre del año 2010, ni la Administración ni los órganos de controlinternos y externos del Banco ni el Comité de Auditoría detectarondebilidades materiales o significativas relacionadas con el Sistema deControl Interno, que pongan en riesgo la efectividad del mismo.Tampoco se tuvo conocimiento de fraudes, errores malintencionados omanipulaciones en la información financiera preparada y revelada porel Banco.
  • 47. CONCLUSIONES• Claramente COBIT es un marco de referencia paraprofesionalizar el área informática de una compañía, ya quetiene una compleja estructura de 34 procesos de alto nivel y210 objetivos de control.• Los procesos de negocio son la base por la que COBITexiste y no lo es el simple hecho de implementar la tecnologíade punta.
  • 48. RECOMENDACIONES•Si el área informática de la organización es pequeña COBIT puederesultar muy cara en su implementación y por tanto no se justifica. Encambio si está en juego grandes sumas de dinero respaldadas en lastecnologías de la información, su uso es obligatorio.•Contar con personal altamente especializado para la implantación deCOBIT en la organización, considerando que domine el enfoque denegocios y la tecnología relacionada a cumplir objetivos de losmismos.