Auditoriade Riesgos Eficaz para La Gesti PDF

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
ESCUELA UNIVERSITARIA DE POST GRADO
TESIS
“AUDITORÍA DE RIESGOS EFICAZ PARA LA GESTIÓN GUBERNAMENTAL
ÓPTIMA DE LOS CETICOS 2007 AL 2011”
PRESENTADO POR:
NICOLAY ALEXANDER GALECIO SOSA
PARA OPTAR EL GRADO ACADÉMICO DE:
DOCTOR EN CONTABILIDAD
LIMA PERÚ
2013
1
2
3
DEDICATORIA
A mi Padre Rodrigo Galecio Chiroque que con su ejemplo de vida me enseñó a valorar a Dios,
a la familia y a las personas. Al mismo tiempo le agradezco de Corazón por haberme dado uno
de los regalos más lindos de esta vida los cuales son: La Humildad, La Sencillez, La Vocación
de Servicio y el Estudio.
Que Dios y la Virgen Papa Rigo te sigan guardando en su infinita Gloria, gracias de Corazón
por ser un gran Maestro y un verdadero Amigo.
A Mi Madre Bartola por acompañarme en todo el proceso de mi formación profesional y
personal, por enseñarme el camino correcto y por direccionarme siempre por el sendero del
bien y aconsejarme diariamente con sus dulces y bellas palabras recalcándome siempre y en
todo lugar: “Que la persona que estudia con alegría, disciplina y responsabilidad siempre
triunfa”.
A mi dulce y bella Esposa Antonina y a Jhosep por acompañarme en todo este proceso de la
Confección de mi Tesis Doctoral, Gracias linda y angelical Antonina por los consejos, charlas
y reuniones en donde me animabas y me dabas la fortaleza necesaria para arribar a la
consecución de mi Objetivo. Gracias de Corazón por acompañarme con tu trabajo, dedicación
y esfuerzo de tu ejercicio profesional, mientras yo redactaba mi Tesis Doctoral a tu lado en la
madrugada de cada noche silenciosa, pero siempre con el resplandor de tu luz y brillo angelical.
4
AGRADECIMIENTO
A Dios por darme la Sabiduría, Fortaleza, Voluntad, Optimismo, Paciencia, Entrega y
Dedicación en la realización de Esta Tesis Doctoral.
A mis Hermanos: Oswaldo, Rodrigo y Guisella, gracias de Corazón por incentivarme a mejorar
día a día académica y personalmente.
También Agradezco de Corazón al Dr. Guillermo Cabieses Maggiolo Gerente General de
CETICOS PAITA y a su grupo de Colaboradores por brindarme el apoyo incondicional en la
realización de este trabajo.
Y finalmente agradezco al Dr. Domingo Hernández Celis por darme todo el Apoyo Filosófico,
Moral y Espiritual en el Desarrollo de mi Tesis.
5
RESUMEN
El problema tratado en la investigación efectuada fue de determinar la forma en que la
Auditoría de Riesgos Eficaz facilita la Gestión Gubernamental Óptima de los Centros de
Exportación, Transformación, Industrias, Comercio y Servicios Generales (CETICOS). Por
ello su objetivo fue de demostrar cómo la Auditoría de Riesgos Eficaz facilita la Gestión
Gubernamental Óptima de los Centros de Exportación, Transformación, Industrias, Comercio
y Servicios Generales (CETICOS).
Para resolver el problema con el Objetivo señalado se diseñó la Hipótesis de que la Auditoría
de Riesgos Eficaz facilita la Gestión Gubernamental Óptima de los Centros de Exportación,
Transformación, Industrias, Comercio y Servicios Generales (CETICOS).
Con fines de contrastar la Hipótesis se llevó a cabo un estudio experimental en donde el diseño
seleccionado fue de pos prueba únicamente y grupo de control.
En concordancia con el Objetivo, el resultado de la investigación concluyó en que La Auditoría
de Riesgos Eficaz ha facilitado la Gestión gubernamental Óptima del Ceticos Paita.
En tal sentido la investigación recomienda Para la Gestión Gubernamental Óptima en los
Centros de Exportación, Transformación, Industrias, Comercio y Servicios Generales
(CETICOS), que La Auditoría de Riesgos Eficaz debe de ser aplicada de manera preventiva y
posterior y programada en los Planes Anuales de los Órganos de Control Institucional y estar
sujeta a evaluación permanente por el Sistema Nacional de Control de nuestro País. Así mismo
los Informes de Auditoría deben de contener datos estadísticos e históricos de los controles
evaluados para establecer las comparaciones pertinentes y medir las metas alcanzadas con las
propuestas.
6
ABSTRAC
The problem addressed in the investigation carried out was to try to determine how the Audit
Effective Risk Management provides Optima Government Centers of Export, Transformation,

Industry, Commerce and General Services (CETICOS). So his goal was to demonstrate how
easy Effective Audit Risk Management Optima Government Centers of Export,
Transformation, Industry, Commerce and General Services (CETICOS).
To resolve the problem with the stated objective was designed Assumption that Risk Audit
Effective Government Management facilitates Optima Centers of Export, Transformation,
Industry, Commerce and General Services (CETICOS).
For the purpose of confirming the scenario was carried out an experimental study where the
design was selected and post-test only control group.
Consistent with the objective, the outcome of the investigation concluded that the Audit
Effective Risk Management has provided the government Optimal Ceticos Paita.
In this sense, the study recommends Optima for Governmental Management at the Centers of
Export, Transformation, Industry, Commerce and General Services (CETICOS), which
Effective Risk Audit must be applied preventively and later and scheduled the Annual Plans of
Institutional Control Bodies and subject to ongoing evaluation by the National Control System
of our country. Also Audit Reports must contain statistical data and historical controls
evaluated to establish the relevant comparisons to measure the goals achieved with the
proposals.
7
Contenido
................................................................................................................................................................ 1
ÍNDICE DE TABLAS .......................................................................................................................... 8
ÍNDICE DE GRÁFICOS .................................................................................................................... 13
ÍNDICE DE DIAGRAMAS................................................................................................................ 14
ÍNDICE DE IMÁGENES ................................................................................................................... 15
ÍNDICE DE ANEXOS ....................................................................................................................... 16
INTRODUCCIÓN .............................................................................................................................. 17
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA .................................................................... 19
1.1 Antecedentes ................................................................................................................................. 19
1.2 Planteamiento del problema .......................................................................................................... 22
1.3 Objetivos ....................................................................................................................................... 27
1.4 Justificación .................................................................................................................................. 28
1.5 Alcances y Limitaciones ............................................................................................................... 29
1.6 Definición de variables ................................................................................................................. 30
CAPÍTULO II: MARCO TEÓRICO .................................................................................................. 31
2.1 Teorías generales relacionadas con el tema ................................................................................... 31
2.2 Bases Teóricas especializadas sobre el Tema ................................................................................ 40
2.3 Marco Conceptual ......................................................................................................................... 45
2.4 Hipótesis ..................................................................................................................................... 109
CAPÍTULO III: MÉTODO............................................................................................................... 110
3.1 Tipo ............................................................................................................................................ 110
3.2 Diseño de Investigación .............................................................................................................. 110
3.3 Estrategia de Prueba de Hipótesis ............................................................................................... 110
3.4 Variables ..................................................................................................................................... 111
3.5 Población .................................................................................................................................... 112
3.6 Muestra ....................................................................................................................................... 112
3.7 Técnicas de Investigación ........................................................................................................... 113
3.7.1 Instrumentos de Recolección de Datos ..................................................................................... 113
3.7.2 Procesamiento y Análisis de Datos .......................................................................................... 113
CAPÍTULO IV: PRESENTACIÓN DE RESULTADOS ................................................................. 168
4.1 Contrastación de Hipótesis .......................................................................................................... 168
4.1.1 Medición de las Variables con los Resultados Obtenidos ........................................................ 172
4.2 Análisis e Interpretación ............................................................................................................. 178
CAPÍTULO V: DISCUSIÓN ............................................................................................................ 190
5.1 Discusión .................................................................................................................................... 190
8
5.2 Conclusiones ............................................................................................................................... 196
5.2.1 Conclusiones Presentadas ........................................................................................................ 196
5.3 Recomendaciones ....................................................................................................................... 200
5.3.1 Recomendaciones Presentadas ................................................................................................. 200
5.4 Referencias Bibliográficas Estilo APA 5ta Edición .................................................................... 202
ANEXOS .......................................................................................................................................... 208
9
ÍNDICE DE TABLAS
Tabla 1: Fases de la Auditoría de Riesgos ........................................................................................... 46
Tabla 2: Indicadores para evaluar las Políticas del Sistema de Gestión de calidad ítem 1 y 2 e
Indicadores para Evaluar la Gestión de Recursos ítem 3. .................................................................... 64
Tabla 3: Indicadores para evaluar la Gestión de Recursos ítem 4 e Indicadores para evaluar el Ingreso
y Salida de mercancías de las actividades de Almacenes, Industrias y Talleres ítem 5 a 7.................. 65
Tabla 4: Indicadores para evaluar el Ingreso y Salida de mercancías de las actividades de Almacenes,
Industrias y Talleres ítem 8 a 11. ........................................................................................................ 66
Tabla 5: Indicadores para evaluar el Ingreso y salida de Mercancías de las actividades de Almacenes,
Industrias yTtalleres ítem 12 e Indicadores para evaluar el Control de Usuarios ítem 13, 14 y 15. ..... 67
Tabla 6: Indicadores para evaluar los Controles de Soporte ítem 16 a 19. .......................................... 68
Tabla 7: indicadores para evaluar los Controles de Soporte ítem 20, los controles de Análisis y
Evaluación ítem 21 y los controles de Mejora Continua ítem 23. ....................................................... 69
Tabla 8: Indicadores para evaluar los Controles de Mejora Continua ítem 24 a 27. ............................ 70
Tabla 9: Indicadores para evaluar los controles de mejora continua ítem 28 a 31. .............................. 71
Tabla 10: Indicadores para evaluar los controles de mejora continua ítem 32. ................................... 72
Tabla 11: Criterios Cuantitativos establecidos en el Estándar de Gestión de Riesgos ISO 31000 e ISO
31010:2009. ........................................................................................................................................ 72
Tabla 12: Obtención del resultado del nivel de riesgo. ........................................................................ 73
Tabla 13: Descripción de los niveles de riesgo.................................................................................... 73
Tabla 14: Obtención del resultado del nivel de madurez ..................................................................... 73
Tabla 15: Descripción de los niveles de madurez ............................................................................... 74
Tabla 16: Modelo Nº 1 de Enunciado de Aplicabilidad ...................................................................... 74
Tabla 17: Indicadores para evaluar la Filosofía de la Dirección, la Integridad y Valores Éticos y la
Administración Estratégica. ................................................................................................................ 84
Tabla 18: Indicadores para evaluar la Estructura Organizacional, la Administración de Recursos
Humanos, la Competencia Profesional, la Asignación de Autoridad y Responsabilidad. ................... 85
Tabla 19: Indicadores para evaluar el Órgano de Control Institucional, el Planeamiento de la
Administración de riesgos, la Identificación de riesgos y la Valoración de riesgos. ............................ 86
Tabla 20: Indicadores para evaluar la Respuesta al Riesgo, los Procedimientos de Autorización y
Aprobación, la Segregación de Funciones y la Evaluación Costo Beneficio. ...................................... 87
Tabla 21: Indicadores para evaluar los Controles sobre el Acceso a Recursos y Archivos, las
Verificaciones y Conciliaciones, las Evaluaciones de Desempeño y las Rendiciones de Cuentas ...... 88
Tabla 22: Indicadores para evaluar la Documentación de Procesos, Actividades y Tareas, la Revisión
de Procesos Actividades y Tareas, los Controles para las Tecnologías de Información y Comunicaciones
y las Funciones y características de la Información. ............................................................................ 89
Tabla 23: Indicadores para evaluar la Información y la Responsabilidad, la Calidad y Suficiencia de la
Información, los Sistemas de Información y la Flexibilidad al Cambio. ............................................. 90
Tabla 24: Indicadores para evaluar el Archivo Institucional, la Comunicación Interna, la
Comunicación Externa y los Canales de Comunicación ..................................................................... 91
Tabla 25: Indicadores para evaluar las Actividades de Prevención y Monitoreo, Seguimiento de
Resultados y los Compromisos de Mejoramiento. .............................................................................. 92
Tabla 26: Criterios Cuantitativos para evaluar el Control Interno Organizacional en función al
Estándar ISO31000 e ISO 31010: 2009. ............................................................................................. 92
Tabla 27: Obtención del resultado del nivel de riesgo para el sistema de control interno
organizacional ..................................................................................................................................... 93
Tabla 28: Descripción de los niveles de riesgo para el sistema de control interno organizacional ...... 93
10
Tabla 29: Obtención del resultado del nivel de madurez del sistema de control interno organizacional.
.............................................................................................................................................................. 94
Tabla 30: Descripción de los niveles de madurez del sistema de control interno organizacional 94
Tabla 31: Enunciado de Aplicabilidad modelo Nº 2. .......................................................................... 94
Tabla 32: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de
la Información ítem 1 a 4. ................................................................................................................... 99
la Información ítem 5 a 8. ................................................................................................................. 100
la Información ítem 9 e Indicadores para evaluar el nivel de implementación del Sistema de Gestión de
Seguridad de la Información ítem 10 a 13......................................................................................... 101
Tabla 35: Indicadores para evaluar el nivel de implementación del Sistema de Gestión de Seguridad de
la Información ítem 14 a 15 e indicadores para evaluar el proceso de supervisión y monitoreo al Sistema
de Gestión de Seguridad de la Información ítem 16 a 18. ................................................................. 102
Tabla 36: Indicadores para evaluar el proceso de supervisión y monitoreo al Sistema de Gestión de
Seguridad de la Información ítem 19 e Indicadores para evaluar el proceso de mejora continua al
Sistema de Gestión de seguridad de la Información ítem 20. ............................................................ 103
Tabla 37: Criterios cuantitativos para evaluar el Sistema de Gestión de Seguridad de la Información en
función al estándar ISO 31000 e ISO 31010: 2009. ........................................................................ 103
Tabla 38: Obtención del resultado del nivel de riesgo para el sistema de gestión de seguridad de la
información. ...................................................................................................................................... 104
Tabla 39: Descripción de los niveles de riesgo para el sistema de gestión de seguridad de la información.
.......................................................................................................................................................... 104
Tabla 40: Obtención del resultado del nivel de madurez para el sistema de gestión de seguridad de la
información. ...................................................................................................................................... 104
Tabla 41: Descripción de los niveles de madurez para el sistema de gestión de seguridad de la
información. ...................................................................................................................................... 105
Tabla 42: Enunciado de Aplicabilidad Modelo Nº 3. ........................................................................ 105
Tabla 43: Indicadores cuantitativos para determinar el nivel de atención de parte de la Gerencia general
en atender Recomendaciones de Auditoría Interna. .......................................................................... 108
Tabla 44: Diseño de Investigación: Post Prueba únicamente y Grupo de Control ............................. 110
Tabla 45: Operacionalización de las Variables ................................................................................. 112
Tabla 46: Estado Situacional de la entidad antes de la Adopción de Medidas Correctivas vinculada con
la Evaluación a las Actividades de Almacenes, Industrias y Talleres. ............................................... 118
Tabla 47: Riesgos evidenciados del Nº1 al Nº4, vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 120
Tabla 48: Riesgos Evidenciados del Nº 5 al Nº 11 vinculados con la Evaluación a las Actividades de
Tabla 49: Riesgos evidenciados del Nº 12 al Nº 17, vinculados con la Evaluación a las Actividades de
Tabla 53: Riesgo evidenciado Nº 32, vinculado con la Evaluación a las Actividades de Almacenes,
Industrias y Talleres. ......................................................................................................................... 126
11
Tabla 54: Estado Situacional de la Entidad antes de la adopción de medidas correctivas al 30/06/2008,
vinculada con la evaluación Al Sistema de Control Interno COSO ERM. ........................................ 137
Tabla 55: Riesgos Evidenciados del Nº 1 AL Nº 10, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 138
Tabla 56: Riesgos evidenciados del Nº 11 al Nº 20, vinculados con la evaluación Al Sistema de
Tabla 59: Riesgos evidenciados del Nº 38 al Nº46, vinculados con la evaluación Al Sistema de
Tabla 60: Riesgos evidenciados del Nº 47 al Nº55, vinculados con la evaluación Al Sistema de
Tabla 63: Riesgo evidenciado Nº 72, vinculado con la evaluación Al Sistema de Control Interno
COSO ERM. ..................................................................................................................................... 146
Tabla 64: Estado Situacional de la entidad antes de la adopción de medidas correctivas al 01 de Enero
del Ejercicio 2011, Vinculada con la evaluación al Sistema de Gestión de Seguridad de la Información.
.......................................................................................................................................................... 157
Tabla 65: Riesgos evidenciados del Nº 1 al Nº 2 Vinculada con la evaluación al Sistema de Gestión de
Seguridad de la Información. ............................................................................................................ 158
Tabla 66: Estado Situacional de las Recomendaciones formuladas en los Informes de Auditoría de
Riesgos periodo 2007 al 2011 trabajadas en mi Investigación. ......................................................... 166
Tabla 67: Programa de Auditoría: Objetivo General Nº1. ................................................................. 208
Tabla 68: Programa de Auditoría: Objetivo Específico Nº 1. ............................................................ 209
Tabla 69: Programa de Auditoría: Objetivo Específico Nº 2. ............................................................ 210
Tabla 70: Programa de Auditoría: Procedimiento Específico Nº 3.................................................... 211
Tabla 71: PT 2: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Preguntas 1 a 20) ........................ 220
Tabla 72: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de mercancías de
la actividad de Almacenes, Industrias y Talleres. (Preguntas 21 a 32) .............................................. 221
Tabla 73: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 1 a 17) .......................................................................................... 222
enfoque COSO ERM (Preguntas 18 a 34)......................................................................................... 223
enfoque COSO ERM (Preguntas 92 a 106) ....................................................................................... 227
12
enfoque COS ERM (Preguntas 107 a 112)....................................................................................... 228
Tabla 80: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad
de la Información. (Preguntas 1 a 15) ............................................................................................... 229
Tabla 81: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad
de la Información. (Preguntas 16 a 20) ............................................................................................ 230
Tabla 82: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Análisis a los controles: Nº 1 al Nº
15)..................................................................................................................................................... 231
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Análisis a los controles Nº 16 al Nº
26)..................................................................................................................................................... 232
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Análisis a los controles Nº 27 al Nº
32)..................................................................................................................................................... 233
Tabla 85: PT 3.1: Matriz de riesgos vs controles que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM. (Análisis a los procesos 1 a 34 que engloban a 112 controles) ...................... 234
Tabla 86: PT 3.1.1: Matriz de riesgos vs controles que se ejecutó Sistema de Gestión de la Seguridad
de la Información. (Análisis a los controles Nº 1 a Nº 19) ................................................................ 235
Tabla 87: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 1 al Nº
12. ..................................................................................................................................................... 242
Tabla 88: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 13 al Nº
29. ..................................................................................................................................................... 243
Tabla 89: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías
de la Actividad de Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 30 al Nº 32. 244
Tabla 90: PT 5.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Control Interno del
Ceticos Paita con respecto a los 72 riesgos evidenciados. ................................................................. 245
Tabla 91: PT 5.1.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Gestión de
Seguridad de la Información, con respecto a los 2 riesgos evidenciados. .......................................... 245
Tabla 92: PT 6: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias,
luego de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº
1 al Nº 15 al 06/04/2011.................................................................................................................... 246
Tabla 93: Supervisión y Monitoreo al proceso de Actividades Almacenes, Talleres e Industrias, luego
de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº 16 al
Nº 26 al 06/04/2011. ......................................................................................................................... 247
Tabla 94: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias, luego
de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº 27 al
Nº 32 al 06/04/2011. ......................................................................................................................... 248
Tabla 95: PT 6.1.1: Evolución del nivel implementación, efectividad, riesgo y madurez de los controles
del proceso de ingreso y salida de mercancías de las Actividades de Almacenes, Industrias y Talleres,
sujetos a evaluación del 01/01/2007 al 06/04/2011, a nivel macro. ................................................... 252
Tabla 96: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora
Nº 1 a Nº 20) ..................................................................................................................................... 253
13
Tabla 97: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora
Nº 21 a Nº 32) ................................................................................................................................... 254
Tabla 98: PT 6.2: Supervisión y Monitoreo al sistema de control interno del Ceticos Paita, luego de
implementar el plan de tratamiento de riesgos. Cambios en la performance de los 112 controles al
30/11/2010. ....................................................................................................................................... 255
Tabla 99: PT 6.2.1.1 Evolución en el nivel de implementación, efectividad, riesgo y madurez del sistema
de control interno bajo el enfoque COSO ERM del Ceticos Paita del 30/06/2008 al 30/11/2010 a nivel
macro. ............................................................................................................................................... 258
Tabla 100: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 1 a Nº 4) .......... 259
Tabla 101: PT 6.2.1.1.1 con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 2 a Nº 21) 260
Tabla 103: PT 6.2.1.1.1 con la Aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM Se produjeron 72 mejoras (Mejora Nº 70 a Nº 72) 264
Tabla 106: PT 6.3 Supervisión y Monitoreo al Sistema de Gestión de Seguridad de la Información,
luego de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº
1 al Nº 20 al 06/04/2011 ................................................................................................................... 265
Tabla 107: PT 6.3.1 Evolución del nivel implementación, efectividad, riesgo y madurez de los controles
sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del Ceticos Paita del
30/03/2010 al 06/04/2011. A nivel macro. ........................................................................................ 268
Tabla 108: Mejoras dentro del Sistema de Gestión de Seguridad de la información del Ceticos Paita
luego de la aplicación de la auditoría de riesgos (Mejora Nº 1 a Nº 9) .............................................. 270
Tabla 109: Mejoras dentro del Sistema de Gestión de Seguridad de la Información del Ceticos Paita
luego de la aplicación de la auditoría de riesgos (Mejora Nº 9 a Nº 20) ............................................ 271
14
ÍNDICE DE GRÁFICOS
Gráfico Nº 1: Nivel de Cumplimiento y Efectividad de los controles evaluados Modelo Nº 1. ......... 75
Gráfico Nº 2:Niveles de riesgo y madurez de los controles evaluados modelo Nº 1 ........................... 76
Gráfico Nº 3: Nivel de cumplimiento y efectividad de los controles Modelo Nº 3. ............................. 95
Gráfico Nº 4: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 2. ............................ 96
Gráfico Nº 5: Nivel de cumplimiento y efectividad de los controles evaluados Modelo Nº 3. .......... 106
Gráfico Nº 6: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 3. .......................... 107
Gráfico Nº 7: Nivel de Implementación de los controles sujetos a evaluación del proceso de ingreso y
salida de mercancías de la Actividad de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.... 236
Gráfico Nº 8: Niveles de Efectividad de los controles sujetos a evaluación del proceso de ingreso y
salida de mercancías de las Actividades de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
............................................................................................................................................................ 236
Gráfico Nº 9: Nivel de Riesgo de los controles sujetos a evaluación del proceso de ingreso y salida de
mercancías de las Actividades, de Almacenes, Industrias y Talleres ejercicio 2007 al 2010............. 237
Gráfico Nº 10: Nivel de Madurez de los controles sujetos a evaluación del proceso de ingreso y
salida de mercancías de las Actividades de Almacenes, Industrias y Talleres, ejercicio 2007 al 2010.
............................................................................................................................................................ 237
Gráfico Nº 11: Situación actual del Sistema de Control Interno del Ceticos Paita bajo el enfoque
COSO ERM al 30/06/2008, nivel de Implementación y Efectividad. ............................................... 238
Gráfico Nº 12: Nivel de Riesgo del Sistema de Control Interno del Ceticos Paita bajo el enfoque COS
ERM al 30/06/2008. .......................................................................................................................... 238
Gráfico Nº 13: Nivel de Madurez del Sistema de Control interno del Ceticos Paita bajo el enfoque
COSO ERM al 30/06/2008 .............................................................................................................. 239
Gráfico Nº 14: Nivel de Implementación de los controles sujetos a evaluación del Sistema de Gestión
de Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011. ........................ 240
Gráfico Nº 15: Nivel de Efectividad de los controles sujetos a evaluación del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011.............................. 240
Gráfico Nº 16: Nivel de Riesgo de los controles sujetos a evaluación del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011. ............................ 241
Gráfico Nº 17: Nivel de Madurez de los controles sujetos a evaluación del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011. ............................. 241
Gráfico Nº 18: Análisis del nivel de implementación de los controles del proceso de ingreso y salida
de mercancías de las Actividades de Almacenes, Talleres e Industrias antes y después de instaurar el
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de abril del ejercicio 2011. . 249
Gráficos 19 : Análisis del nivel de madurez de los controles del proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Talleres e Industrias antes y después de instaurar el
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril del ejercicio 2011. 249
Gráficos 20: Análisis del nivel de riesgo de los controles del proceso de ingreso y salida de
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril del Ejercicio 2011. 250
Gráficos 21:Análisis del nivel de madurez de los controles del proceso de ingreso y salida de
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril del Ejercicio 2011.251
Gráfico Nº 22: Nivel de Implementación y Efectividad de los controles del Sistema de Control Interno
bajo el enfoque COSO ERM antes y después de la instauración del plan de tratamiento de medidas
correctivas al 30 de noviembre del ejercicio 2010. ........................................................................... 256
15
Gráfico Nº 23: Nivel de Riesgo de los controles del Sistema de Control Interno bajo el enfoque COSO
ERM antes y después de la instauración del plan de tratamiento de medidas correctivas al 30 de
noviembre del ejercicio 2010. ........................................................................................................... 256
Gráfico Nº 24: Nivel de Madurez de los controles del Sistema de Control Interno bajo el enfoque
COSO ERM antes y después de la instauración del plan de tratamiento de medidas correctivas al 30
de noviembre del ejercicio 2010. ...................................................................................................... 257
Gráfico Nº 25: Análisis del nivel de Implementación de los controles del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de
riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011. ..................................... 266
Gráfico Nº 26: Análisis del nivel de Efectividad de los controles del Sistema de Gestión de Seguridad
de la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de riesgos del
01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011. ....................................................... 266
Gráfico Nº 27: Análisis del Nivel de Riesgo de los controles del Sistema de Gestión de Seguridad de
la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de riesgos del 01
de enero del ejercicio 2011 al 06 de abril del ejercicio 2011............................................................. 267
Gráfico Nº 28: Análisis del Nivel de Madurez de los controles del Sistema de Gestión de Seguridad de
la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de riesgos del 01
de enero del ejercicio 2011 al 06 de abril del ejercicio 2011............................................................. 268
Gráfico Nº 29: Estado situacional de las recomendaciones emitidas en los informes de Auditoría de
Riesgos del ejercicio 2007 al ejercicio 2011. .................................................................................... 275
16
ÍNDICE DE DIAGRAMAS
Diagrama Nº 1: Diagrama de procesos PDCA del ingreso y salida de mercancías de la actividad de
Almacenes, Industrias y Talleres...................................................................................................... 212
Diagrama Nº 2: Diagrama de procesos del Sistema de Control Interno bajo el enfoque COSO ERM.
............................................................................................................................................................ 214
Diagrama Nº 3: Diagrama de procesos del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita. .................................................................................................................................... 217
17
ÍNDICE DE IMÁGENES
Imagen 1: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió elaborar las marcas de auditoría. ......................................................................................... 276
permitió elaborar el programa de auditoría. ...................................................................................... 277
permitió elaborar el diagrama de los procesos a auditar .................................................................... 277
permitió elaborar el enunciado de aplicabilidad. ............................................................................... 278
permitió evaluar el nivel de implementación, riesgo y madurez de los controles sujetos a auditoría. 278
permitió elaborar los histogramas de frecuencia y diagramas radar .................................................. 279
permitió confeccionar los planes de tratamiento de riesgos............................................................... 280
permitió procesar los resultados de la puesta en práctica de los planes de tratamiento de riesgos por
parte de los auditados, enfatizando sustancialmente en las mejoras en el comportamiento de los
controles ........................................................................................................................................... 281
parte de los auditados, enfatizando sustancialmente en las evolución de los niveles de implementación
, efectividad, riesgo y madurez de los controles evaluados. .............................................................. 281
parte de los auditados, enfatizando sustancialmente en las evolución de los controles evaluados a nivel
macro. ............................................................................................................................................... 282
parte de los auditados, enfatizando sustancialmente en las mejoras alcanzadas por la entidad. ......... 282
permitió procesar el informe ejecutivo de la evaluación de auditoría de riesgos. .............................. 283
18
ÍNDICE DE ANEXOS
Anexo Nº 1: Programa de Auditoría ................................................................................................. 208
Anexo Nº 2: Fase Nº 1: Conociendo el Proceso a Auditar ................................................................ 212
Anexo Nº 3: Fase Nº 2: Identificación de Riesgos ............................................................................ 220
Anexo Nº 4: Fase Nº3: Análisis de Riesgos ...................................................................................... 231
Anexo Nº 5: Fase Nº 4: Evaluación de Riesgos ................................................................................ 236
Anexo Nº 6: Fase Nº 5: Plan de Tratamiento de Riesgos .................................................................. 242
Anexo Nº 7: Fase Nº 6: Supervisión y Monitoreo ............................................................................. 246
Anexo Nº 8: Fase Nº 7: Comunicación y Consulta ........................................................................... 272
Anexo Nº 9: Fase 8: Estado Situacional de las Recomendaciones de Auditorías de Riesgos ............ 275
Anexo Nº 10: Herramienta Automatizada Creada por el Investigador para la Realización de la
Auditoría de Riesgos ......................................................................................................................... 276
Anexo Nº 11: Definición de Términos ....................................................................................... 284-284
19
INTRODUCCIÓN
La Investigación titulada Auditoría de Riesgos Eficaz para la Gestión Gubernamental Óptima
de los Centros de Exportación, Transformación, Industria, Comercio y Servicios Generales
(CETICOS), cuyo objetivo es: “Determinar si la Auditoría de Riesgos eficaz facilita la Gestión
Gubernamental Óptima del Ceticos Paita”.
La Auditoría de Riesgos se constituye en una herramienta que genera valor y mejora continua
a las Organizaciones Actuales, sean estas públicas y privadas alertan a los Ejecutivos, Gerentes
y Directores de posibles riesgos financieros, tecnológicos, operacionales, económicos, sociales,
industriales, ambientales, entre otros que pudieran poner en peligro la continuidad del negocio,
con la finalidad de que los actores organizacionales instauren los planes de tratamiento de
riesgos sugeridos por la Auditoría de Riesgos, y de esta manera Mejorar la Gestión
Gubernamental y Organizacional de las empresas.
Para el desarrollo de este trabajo se ha aplicado la metodología, las técnicas e instrumentos
necesarios para una adecuada investigación, en el marco de las normas de la Escuela de Post
Grado de nuestra Universidad Nacional Federico Villarreal.
Para llegar a contrastar los objetivos y las hipótesis planteadas, se ha desarrollado el trabajo de
investigación en los siguientes capítulos:
En el Capítulo I se expone el Planteamiento del Problema que abarca: Antecedentes,
Planteamiento del Problema, Objetivos, Justificación, Alcances y Limitaciones, Definición y
Variables.
20
En el Capítulo II se muestra el Marco Teórico que comprende: Teorías Generales relacionadas
con el Tema, Bases Teóricas especializadas sobre el tema, Marco Conceptual y finalmente la
Hipótesis.
En el Capítulo III se expone el Método que abarca: Tipo, Diseño de Investigación, Estrategia
de Prueba de Hipótesis, Variables, Población Muestra, Técnicas de Investigación, Instrumentos
de recolección de Datos y Procesamiento y Análisis de Datos.
En el Capítulo IV Se puntualiza en el Análisis de Resultados enfatizando en la Contrastación
de Hipótesis, Análisis e Interpretación.
En el Capítulo V se enfatiza en la Discusión de los resultados para finalmente arribar a las
Conclusiones y Recomendaciones de la Investigación.
Finalmente se presenta la bibliografía y los Anexos del trabajo de investigación.
21
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA
1.1 Antecedentes
Se ha determinado la existencia de los siguientes antecedentes bibliográficos:
Libro: “Introducción al Análisis de Riesgos” (2002), presentado por: Jesús G Martínez
Ponce de León. “En este trabajo el autor propone una metodología de análisis de
riesgos indispensable para Ejecutivos y Auditores con la finalidad de mitigar y
monitorear los riesgos medio ambientales, de higiene y de seguridad industrial, así
como las actividades de manejo de presupuestos, inventario, mantenimiento,
administración de energía y gestión de la seguridad, e igualmente con otras ramas del
conocimiento entre las que se incluyen las sociales y económicas”. Desde mi
perspectiva: “Me parece muy interesante la existencia de una auditoria de riesgos que le
permita al Auditor y Ejecutivo conocer, evaluar y mitigar los posibles riesgos sociales
ambientales y financieros que ponen en peligro la continuidad del negocio”.
Tesis: “Incidencia de los riesgos profesionales en la productividad de empresas
afiliadas a una administradora de riesgos profesionales, sectores económico, químico
y metalmecánico”, presentado por: Ana Patricia Pérez Carrero el 2 de Junio del 2005 para
optar por el Grado de Magister en Ingeniería Industrial Área Dirección y Gestión
Organizacional, en la Universidad de los Andes Santa Fe de Bogotá Colombia. “En este
trabajo la autora dio a conocer de manera más tangible la importancia que tiene la
prevención de los riesgos profesionales para aumentar o por lo menos conservar el
nivel de productividad de una empresa. De esta manera, su objetivo general era de
observar y dar a conocer la incidencia de los Riesgos Profesionales (accidente de
trabajo y enfermedad profesional- ATEP) en la productividad de empresas afiliadas
a una Administradora de Riesgos Profesionales - ARP a través de una metodología
que permita la recolección y análisis de los datos pertinentes al estudio”. Coincido
22
rotundamente con el Autor: “Hoy en día es de vital importancia que los auditores expertos
en aspectos de seguridad y salud en el trabajo alerten a los ejecutivos y a la misma
colectividad de los daños y perjuicios que podrían causar los despidos arbitrarios, los
accidentes laborales, las enfermedades que sufran los colaboradores o los posibles daños
colaterales que puedan causar las empresas industriales a la colectividad y medio
ambiente”.
Tesis: “Control de riesgos financieros mediante Asset Liability Management (ALM)
aplicado a la Industria de Seguros”, presentado por: Martha Fernández Flores Torres el
21 de Junio del 2005 para optar por el Grado de Magister en Ingeniería Industrial Área
Dirección y Gestión Organizacional, en la Universidad de los Andes Santa Fe de Bogotá
Colombia. “En este trabajo se propone un modelo analítico basado en la aplicación de
Asset Liability Management para controlar tanto los riesgos financieros, como los
inherentes a la actividad, de la industria de seguros. La metodología propuesta se basa
en un modelo de programación estocástica dinámica multietapa el cual tiene como
datos de entrada, los resultados de los modelajes de las series financieras implicadas,
los cuales se desarrollaron mediante la aplicación de la teoría del cálculo de momentos
y comomentos de Movimientos Brownianos Geométricos, y la generación de un árbol
de escenarios utilizando Split variables. La metodología incluye la consideración del
Valor en Riesgo (VaR) y el Valor Condicional en Riesgo (CVaR) como una medida
del riesgo que afronta la organización y para la construcción de una frontera eficiente
que le permita a ésta determinar qué tan asertiva está siendo al decidir qué nivel de
riesgo está dispuesta a asumir”. Efectivamente la reflexión que yo también añadiría a
esta investigación es que no todas las empresas actuales dentro de sus planes estratégicos
están considerando el apetito del riesgo, es decir el riesgo que están dispuestos a asumir
como empresa para la
23
consecución de sus objetivos misionales y es allí en donde los auditores y consultores con
conocimientos en gestión integral de riesgos deberían de enfatizar en este aspecto, el cual
es fundamental para la organización”
1.2 Planteamiento del problema
El problema más resaltante en los Ceticos radica en la inadecuada gestión
gubernamental, es decir los Centros de Exportación, Transformación, Industria,
Comercio y Servicios Generales no cuentan con eficientes sistemas de control interno,
de gestión de ambiental e industrial y de seguridad de la información que les permitan
arribar a la consecución de sus objetivos misionales y al mismo tiempo proteger sus
recursos y activos de información.
El problema radica en mejorar la gestión gubernamental de los CETICOS. En este sentido,
he seleccionado como unidad de análisis a CETICOS PAITA en donde aplicaré una
Auditoría de Riesgos, con la finalidad de apoyar a la empresa a incrementar la
competitividad de sus sistemas de control interno, de seguridad industrial, de seguridad
ambiental y de seguridad de la información, y de esta manera mejorar su gestión
gubernamental.
1.2.1 Descripción
1.2.1.1 Síntomas
Los Controles Internos no garantizan una seguridad razonable del
cumplimiento de metas y objetivos organizacionales, las evaluaciones
realizadas durante el ejercicio 2008 arrojaron las siguientes debilidades de
control interno entre las más importantes destacan:
24
La Gerencia no ha instaurado un sistema de control interno que ayude a
mejorar la gestión gubernamental del negocio.
El personal de Operaciones de la entidad no se encontraba capacitado en temas
de comercio exterior.
El Sistema de Gestión de Ceticos no colmaba las expectativas de los usuarios
de operaciones, las transacciones más importantes como a) El control de
ingreso y salida de contenedores, b) El monitoreo de usuarios importadores,
c) El análisis de los empleos Indirectos y d) Control de reexpediciones con
destino a Ecuador no se encontraban instauradas en dicho sistema, tales
controles eran administrados de manera manual y en hojas de cálculo Excel, el
sistema no se encontraba alineado a las expectativas del negocio el cual radica
en el control de ingreso y salida de mercancías.
No se cuenta con sistemas de gestión ambiental y de seguridad industrial para
monitorear y generar acciones de mejora contra la seguridad e integridad de
los trabajadores, así como de preservar el medio ambiente dentro del cual
labora la empresa. Es así que durante el ejercicio 2008 se evidenciaron las
siguientes debilidades, entre las más importantes destacan:
El Personal que labora en las instalaciones de las Bombas de Agua dulce y
Aguas Hervidas no cuenta con el siguiente equipo de protección personal para
llevar a cabo el mantenimiento de los equipos como: Mameluco,
25
Guantes de Algodón y Borceguíes. Su integridad física se encuentra expuesta
a agentes tóxicos y contaminantes que atentan contra su vida.
De las dos garitas contra incendios que se encuentran instaladas en las Oficinas
administrativas y en el directorio del Ceticos Paita, una se encuentra habilitada
al 100% para contrarrestar un siniestro. La Otra se encuentra completamente
sellada e inoperativa.
Los usuarios del Ceticos Paita no están llevando un adecuado control de los
desechos y desperdicios, los mismos que se encuentran desparramados y mal
administrados dentro de su jurisdicción.
No se cuentan con políticas para monitorear y proteger los activos de
información y recursos informáticos que son de propiedad del gobierno
central. Es así que durante el ejercicio 2008 se evidenciaron las siguientes
debilidades, entre las más importantes destacan:
Se evidenció que algunas licencias de software instauradas en las PCS de los
Usuarios no eran legales.
El Sistema de Gestión de Ceticos Paita carecía de documentación Sustentatoria
que evidencie el trabajo de diseño, implementación y de mejora continua, de
tal sistema integrado de gestión.
26
Se evidenció que la entidad no contaba con planes de contingencia informática,
de continuidad de negocio, de seguridad de la información, ni mucho menos
poseía un plan estratégico y operativo de tecnologías de información y
comunicaciones alineado al plan estratégico del negocio.
Los usuarios no contaban con políticas para el adecuado manejo de los recursos
informáticos y activos de información, es así que usaban el Messenger como
una herramienta de distracción mas no como una herramienta informática para
agilizar sus operaciones. Entendiéndose que con políticas instauradas el uso de
las tecnologías debe de ser única y exclusivamente para labores del negocio.
1.2.1.2 Causas
La entidad carece de un sólido sistema de control interno que le permita
monitorear el desempeño de la Gestión Gubernamental en su conjunto.
La entidad carece de eficientes y adecuados sistemas de seguridad ambiental e
industrial, que le permita detectar errores en materia de accidentes laborales y
atentados contra el medio ambiente.
La entidad carece de sistemas de seguridad de la información óptimos para
monitorear y proteger los activos de información del negocio.
1.2.1.3 Pronósticos
La entidad a futuro tendrá una serie de sanciones e infracciones de parte de
organismos reguladores y fiscalizadores.
27
La entidad no podrá cumplir a futuro con la Misión del Negocio la cual es la
es generar polos de desarrollo a través del incremento de la mano de obra
directa e indirecta, los niveles de consumo en las zonas de influencia, el nivel
de exportaciones en general y la consolidación del desarrollo socio económico
regional.
Fuga de inversionistas y de usuarios a Futuro al ser Ceticos Paita una entidad
llena de demandas y procesos judiciales que no dan confianza a los
inversionistas nacionales y extranjeros.
1.2.1.4 Control de Pronósticos
Las acciones por las cuales es posible anticiparse y controlar las situaciones
identificadas son las siguientes:
Aplicar Auditorías de Riesgos en Ceticos Paita, cuyas recomendaciones tengan
como finalidad la de controlar y mejorar su gestión gubernamental.
1.2.1.5 Formulación del Problema
PROBLEMA GENERAL
1. ¿De qué manera la Auditoría de Riesgos eficaz facilita la Gestión
Gubernamental Óptima del Ceticos Paita?
PROBLEMAS ESPECÍFICOS
1. ¿De qué modo el Ceticos Paita ha implementado y medido el nivel de
28
efectividad, riesgo y madurez del sistema de control interno
organizacional bajo el enfoque de gestión integral de riesgos?.
2. ¿De qué modo el Ceticos ha implementado y medido el nivel de
efectividad, riesgo y madurez del sistema de gestión de seguridad de la
Información?
3. ¿De qué modo Ceticos Paita ha atendido las recomendaciones formuladas
por el Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres, sistema de
control interno y aspectos de seguridad de la información, durante los
ejercicios 2007, 2008, 2009, 2010 y 2011?
1.3 Objetivos
1.3.1 Objetivo General
Determinar si la Auditoría de Riesgos eficaz facilita la Gestión Gubernamental
Optima del Ceticos Paita.
1.3.2 Objetivos Específicos
Evaluar el nivel de efectividad, implementación, riesgo y madurez del sistema de
control interno de la entidad bajo el enfoque de gestión integral de riesgos.
Evaluar el nivel de efectividad, implementación, riesgo y madurez del sistema de
gestión de seguridad de la información bajo el enfoque de gestión integral de riesgos.
29
Determinar el Estado Situacional de las Recomendaciones formuladas por el Órgano
de Control Interno, con respecto a las evaluaciones efectuadas a las actividades de
almacenes, industrias, talleres y aspectos de seguridad de la información, durante los
ejercicios 2007, 2008, 2009, 2010 y 2011.
1.4 Justificación
1.4.1 Justificación Metodológica
Este trabajo se desarrollará mediante la aplicación del método científico. El mismo
que tiene su base en la identificación de la problemática, en la formulación de
soluciones; identificación de los propósitos; así como en la aplicación de una
metodología adecuada.
Este trabajo, se enfocará en explicar la metodología científica que utilizará la
Auditoría Interna basada en Administración de Riesgos para identificar los
problemas vinculados con la inadecuada gestión gubernamental y propondrá
alternativas de solución, para mejorar sus sistemas de control interno, de seguridad
industrial, medio ambiente y de seguridad de la información de la empresa, con la
finalidad de ayudar a la organización a incrementar la efectividad de su gestión
gubernamental.
1.4.2 Justificación Teórica
El Auditor Interno / Externo que implanta esta tendencia dentro de la Organización
alerta a los Directivos y al mismo Órgano Máximo de Control sobre posibles
problemas vinculados con: perjuicios económicos, mala utilización de recursos y
fondos otorgados por el Gobierno, inadecuada administración de riesgos y controles
de los procesos más importantes del Negocio, atentados contra el medio
30
ambiente, la seguridad industrial, la seguridad de la información y sobre todo contra
la responsabilidad social empresarial.
1.4.3 Justificación Práctica
La Aplicación de la Auditoría Interna Basada en la Administración de Riesgos en la
Organización, permitirá que el ejecutivo y sus colaboradores administren y controlen
de una mejor manera la gestión gubernamental de la entidad.
1.4.4 Importancia de la Investigación
Este trabajo es una contribución adicional que garantiza una gestión gubernamental
transparente, ordenada y comprometida con el desarrollo integral del País en la lucha
por disminuir los Niveles de Corrupción y Fraude que actualmente se encuentra
inmerso en las Instancias de Gobierno.
1.5 Alcances y Limitaciones
1.5.1 Alcance
La meta que se pretende lograr con este trabajo es la de demostrar que actualmente
en el mundo existe una herramienta de control y prevención denominada Auditoría
de Riesgos que va a ayudar a Organizar, Administrar y Controlar la Gestión
Gubernamental Óptima de los Centros de Exportación, Transformación, Industria,
Comercio y Servicios Generales (CETICOS). La Tesis Doctoral de mi investigación
se constituye en una herramienta de valor agregado y control que ayuda a disminuir
los niveles de Fraude y Corrupción en el Sector Gubernamental, de esta manera
estaré aportando desde mi profesión y con mi experiencia en Auditoría en el
Desarrollo Integral del País.
31
1.5.2 Limitaciones
Lo que es de vital importancia puntualizar es que esta investigación la vengo
realizando desde el Año 2008 en el Centro de Exportación, Transformación,
Industria, Comercio y Servicios Generales de Paita (CETICOS PAITA), para lo cual
no he tenido ningún inconveniente a la hora de poner en práctica la Metodología de
la Auditoría de Riesgos, en mi calidad de Auditor Interno de la Institución he tenido
acceso la Información, Procesos Críticos del Negocio, Así como también he
sostenido charlas y procesos de autoevaluación con todos y cada uno de los
colaboradores de la Entidad quienes me brindaron el apoyo y la información
requerida durante mis evaluaciones.
1.6 Definición de variables
1.6.1 Variable Independiente
X= Auditoría de Riesgos Eficaz: Evaluación Independiente y multidisciplinaria
llevada a cargo de profesionales competitivos, con la finalidad de alertar y generar
mejora continua en todos y cada uno de los procesos y controles instaurados en las
Organizaciones. Así mismo este tipo de examen alerta a la Empresa ante futuros
perjuicios económicos ocasionados por la inadecuada gestión financiera, social,
operativa, ambiental, control de tecnologías de Información etc., llevada a cabo por
determinados actores organizacionales o agentes externos.
1.6.2 Variable Dependiente
Y= Gestión Gubernamental Óptima: Gestión encargada de la Adecuada
Administración y Control de los controles Instaurados en: a) Los Procesos Críticos
del Negocio, b) Sistemas de Control Interno, c) Gobierno de Tecnologías de
32
Información y Comunicaciones, d) Sistema de Gestión de Seguridad de la
Información, etc. Así como del Adecuado Compromiso Responsable y Solidario de
Parte de los Actores Organizacionales en Atender las Recomendaciones de Auditoría
Interna y Externa.
1.6.3 Variable Interviniente
Z= Centro de Exportación, Transformación, Industria, Comercio y Servicios
Generales de Paita CETICOS PAITA: Organismo Público Descentralizado adscrito
al Gobierno Regional de Piura, de acuerdo a la Ley 29014, que tiene personería
jurídica de Derecho Público, con Autonomía Administrativa, Técnica, Económica,
Financiera y Operativa. zona primaria aduanera de tratamiento especial, generador
de polos de desarrollo, promotor de la inversión privada nacional y extranjera
orientada a actividades productivas y exportadoras, cuyo objetivo social estratégico
es el de incrementar la mano de obra directa e indirecta, niveles de consumo en sus
zonas de influencia y la consolidación del desarrollo económico regional.
33
CAPÍTULO II: MARCO TEÓRICO
2.1 Teorías generales relacionadas con el tema
2.1.1 Reseña Histórica de la Auditoría Interna
Oswaldo Fonseca Luna en su libro: Auditoría Gubernamental Moderna. (2007).
Refiere: “Los inicios de la Auditoría en América del Sur se remontan al 14 de
Febrero de 1607 con la creación del Tribunal de Cuentas de Lima y la Aparición
de los Primeros Contadores Mayores de Cuentas quienes velaban por la
legalidad en la formación de las cuentas. Según Scholosser la Auditoría como
profesión se reconoce por primera vez en la ley Británica de Sociedades
Anónimas de 1862, que establecía “que es de aceptación general la necesidad de
efectuar una revisión independiente de las cuentas de pequeñas y grandes
empresas”. Debido al rápido crecimiento de las empresas en Estados Unidos y
Gran Bretaña las funciones de los auditores fueron variando en el tiempo. En
1932 la Bolsa de Valores de Nueva York estableció como requisito para cotizar
acciones en Bolsa la Auditoría de los Estados Financieros de las empresas. El
Comité de Procedimientos de Auditoría AICPA (Instituto Americano de
Contadores Públicos Certificados) creado en 1887, inicio sus operaciones en
Enero de 1939 emitiendo una serie de declaraciones sobre procedimientos de
Auditoría. En 1978 La Junta de Normas de Auditoría ASB (Auditing Standars
Boards) se convirtió en el Órgano Técnico facultado para publicar las normas
de Auditoría y Procedimientos. La Auditoría está en constante evolución es una
ciencia dinámica”. “Como investigador debo enfatizar en lo siguiente para
complementar las ideas del Autor: A medida que el Fraude y la Corrupción
evolucionan aparecen nuevas técnicas y procedimientos de auditoría y control para
contrarrestarlos, en la Década de los Noventa surge el
34
Estándar COSO, posteriormente el Estándar SOX y finalmente nos encontramos con
el Estándar ISO 31010. Que son buenas prácticas en Auditoría para controlar a las
empresas que cotizan en bolsa, mejorar sus controles internos y para alertar a los
ejecutivos ante posibles riesgos financieros, sociales, tecnológicos, operacionales,
etc. que podrían paralizar al negocio”.
2.1.2 Definición de Auditoría
Luis Couto Lorenzo en su libro: Auditoría del Sistema APPCC: Como verificar los
sistemas de Gestión de Inocuidad Alimentaria HACP. (2008). Refiere: “La
auditoría es un examen independiente y sistemático realizado para determinar
si las actividades y resultados cumplen con lo establecido en el procedimiento
documental y también para determinar si esos procedimientos han sido
implantados eficazmente y son adecuados para alcanzar los objetivos”.
“Coincido con la definición pero es indispensable enfatizar que La Auditoría aparte
de verificar el cumplimiento de estándares y regulaciones por parte de los actores
organizacionales también ayuda a ordenar a la organización y genera valor
agregado”.
2.1.3 Objetivos de la Auditoría Interna
Florentino Fernández Zapico, En su libro: Manual para la formación del Auditor en
Prevención de Riesgos Laborales. (2010). Refiere: “El fin de la Auditoría es que
la empresa defina las medidas preventivas para corregir las situaciones de
riesgo. La Auditoría debe de contribuir a la mejora continua de la Empresa”.
Un aspecto vital que me gustaría agregar es que desde mi perspectiva ahora las
Auditorías deben de tener que puntualizar dentro de sus objetivos generales y
35
específicos que los resultados de sus evaluaciones ayudaran a la gestión
organizacional de la empresa generando recomendaciones de impacto en los
procesos críticos del negocio.
2.1.4 Fases de la Auditoría
El Equipo Vértice en su Obra: Auditor PRL. (2010). Refiere: Toda Auditoría tiene
una metodología claramente marcada y definida y sus fases son las siguientes: “Fase
1: Pre Auditoría, en donde se constituye el equipo auditor, se solicita y analiza
la documentación, se elabora el Plan y Programa de Auditoría. Fase 2:
Auditoría in Situ: En esta Fase se recoge evidencia, Se documentan los
resultados, se discuten los resultados en una reunión final y finalmente la Fase
3: Informe Final: Donde se entrega y distribuye el Informe Final”. “Como
investigador me gustaría agregar a esta definición que también es indispensable
cotejar una fase en donde llevamos a cabo una autoevaluación de nuestra Auditoría,
es decir en donde nosotros como auditores reflexionamos sobre el impacto positivo
o negativo que causó en la Organización nuestro informe de Auditoría”.
2.1.5 Importancia de la Auditoría
K. H. Spencer Pickett en su obra: The Essential Guide to Internal Auditing / La Guía
Esencial para la Auditoría Interna. (2011). Refiere: “Los Auditores internos de las
empresas deben de sentirse orgullosos del trabajo que realizan en las empresas
debido a que su Auditoría aporta a mejorar los controles internos de las
organizaciones, ordena la gestión organizacional y contribuye en la gestión de
riesgos corporativos. La importancia de la Auditoría también radica en que
36
el Auditor educa a su cliente aconsejándole sobre la importancia de gestionar
con orden y transparencia”. “Como investigador algo más que me encantaría
agregar a esta definición es que la importancia de la Auditoría radica también en
asesorar a nuestros clientes en que instauren sistemas antifraudes y anticorrupción
que contribuyan a mejorar la gestión de la empresa y coadyuven a proteger los
recursos y fondos que administran”.
2.1.6 Gestión de Riesgos
Sim Segal en su Libro: Corporate Value of Enterprise Risk Management / Valor
Corporativo de Gestión de Riesgo Empresarial. (2011). Refiere: “Para poder
entender la Gestión de Riesgos debemos de tener en cuenta las siguientes
nociones elementales:
Aceptación de riesgo: Una decisión informada de aceptar las consecuencias y
probabilidad de un riesgo en particular.
Administración de riesgos: La cultura, procesos y estructuras que están dirigidas
hacia la administración efectiva de oportunidades potenciales y efectos adversos.
Análisis de riesgo: Un uso sistemático de la información disponible para
determinar cuan frecuentemente pueden ocurrir eventos especificados y la
magnitud de sus consecuencias.
Análisis de sensibilidad: Examina cómo varían los resultados de un cálculo o
modelo a medida que se cambian los supuestos o hipótesis individuales.
Azar de riesgo: Una fuente de daño potencial o una situación con potencial para
causar pérdidas.
37
Consecuencia: El producto de un evento expresado cualitativa o cuantitativamente,
sea este una pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de
productos posibles asociados a un evento.
Control de riesgos: La parte de administración de riesgos que involucra la
implementación de políticas, estándares, procedimientos y cambios físicos para
eliminar o minimizar los riesgos adversos.
Costo: De las actividades, tanto directas como indirectas, involucrando cualquier
impacto negativo, incluyendo pérdidas de dinero, de tiempo, de mano de obra,
interrupciones, problemas de relaciones, políticas e intangibles.
Evaluación de riesgos: El proceso utilizado para determinar las prioridades de
Administración de riesgos comparando el nivel de riesgo respecto de estándares
Predeterminados, niveles de riesgo objetivos u otro criterio.
Evento: Un incidente o situación, que ocurre en un lugar particular durante un
intervalo de tiempo particular.
Evitar un riesgo: Una decisión informada de no verse involucrado en una situación
de riesgo.
Financiamiento de riesgos: Los métodos aplicados para fondear el tratamiento de
riesgos y las consecuencias financieras de los riesgos.
Frecuencia: Una medida del coeficiente de ocurrencia de un evento expresado
como la cantidad de ocurrencias de un evento en un tiempo dado. Ver también
Probabilidad.
Identificación de riesgos: El proceso de determinar qué puede suceder, por qué y
cómo.
Ingeniería de riesgos: La aplicación de principios y métodos de ingeniería a la
Administración de riesgos.
38
Interesados: Aquella gente y organizaciones que pueden afectar, ser afectados por,
o Percibir ellos mismos ser afectados, por una decisión o actividad.
Monitoreo: Comprobar, supervisar, observar críticamente, o registrar el progreso
de una actividad, acción o sistema en forma sistemática para identificar cambios.
Organización: Una compañía, firma, empresa o asociación, u otra entidad legal o
parte de ella, sea o no incorporada, pública o privada, que tiene sus propias
funciones y administración.
Pérdida: Cualquier consecuencia negativa, financiera o de otro tipo.
Probabilidad: La probabilidad de un evento específico o resultado, medido por el
coeficiente de eventos o resultados específicos en relación a la cantidad total de
posibles eventos o resultados. La probabilidad se expresa como un número entre 0 y
1, donde 0 indica un evento o resultado imposible y 1 indica un evento o resultado
cierto.
Probabilidad: Utilizado como una descripción cualitativa de probabilidad o
frecuencia.
Proceso de administración de riesgos: La aplicación sistemática de políticas,
Procedimientos y prácticas de administración a las tareas de establecer el contexto,
identificar, analizar, evaluar, tratar, monitorear y comunicar riesgos.
Reducción de riesgos: Una aplicación selectiva de técnicas apropiadas y principios
de administración para reducir las probabilidades de una ocurrencia, o sus
consecuencias, o ambas.
Retención de riesgos: Intencionalmente o sin intención retener la responsabilidad
por las pérdidas, o la carga financiera de las pérdidas dentro de la organización.
Riesgo residual: El nivel restante de riesgo luego de tomar medidas de tratamiento
del riesgo.
39
Riesgo: La posibilidad de que suceda algo que tendrá un impacto sobre los
objetivos. Se lo mide en términos de consecuencias y probabilidades.
Transferir riesgos: Cambiar la responsabilidad o carga por las pérdidas a una
tercera parte mediante legislación, contrato, seguros u otros medios. Transferir
riesgos también se puede referir a cambiar un riesgo físico, o parte el mismo a otro
sitio.
Tratamiento de riesgos: Selección e implementación de opciones apropiadas para
tratar el riesgo.
Ahora bien luego de profundizar en estos conceptos concluimos que: La
administración de riesgos es reconocida como una parte integral de las buenas
prácticas gerenciales. Es un proceso iterativo que consta de pasos, los cuales,
cuando son ejecutados en secuencia, posibilitan una mejora continua en el
proceso de toma de decisiones. Administración de riesgos es el término aplicado
a un método lógico y sistemático de establecer el contexto, identificar, analizar,
evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad,
función o proceso de una forma que permita a las organizaciones minimizar
pérdidas y maximizar oportunidades. Administración de riesgos es tanto
identificar oportunidades como evitar o mitigar pérdidas”. “Coincido con el
Autor pero debo de agregar algo más a su exposición magistral en su Obra y es que
la Gestión de Riesgos engloba a todos y cada uno de los actores organizacionales
en asumir un compromiso social y solidario en establecer el contexto, identificar,
analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados, con la
finalidad de generar alternativas de solución para contrarrestar tales eventos y
generar valor agregado en las empresas”.
40
2.1.7 Control Interno bajo el Enfoque COSO ERM
Andrew Hiles en su Libro: The Definitive Handbook of Business Continuity
Management / El Manual Definitivo de Gestión de Continuidad de Negocio. (2011).
Refiere: “En el Año 2004 nace un nuevo enfoque de Control Interno denominado
Gestión de Riesgo Empresarial (COSO ERM), el cual contiene 8 elementos
claramente marcados y definidos que son: Ambiente de Control, Objetivos
Estratégicos, Identificación de Riesgos, Evaluación de Riesgos, Valoración de
Riesgos, Actividades de Control Gerencial, Información y Comunicación y
Supervisión y Monitoreo. Dichos elementos instaurados en la Organización y
administrados eficientemente permitirán que la Organización: Arribe a las
metas misionales, gestione adecuadamente los riesgos, Administre los recursos
con eficiencia, eficacia, transparencia y economía y lo más importante sea
socialmente responsable con los actores organizacionales internos y externos”.
“En lo que a mí me compete como investigador me gustaría enfatizar que El Control
Interno bajo el Enfoque de Gestión Integral de Riesgos le permite a las empresas
actuales a gestionar los riesgos inmersos dentro de sus estrategias, objetivos y
procesos críticos de una manera más eficiente y ordenada, debido a que se les obliga
a los ejecutivos a crear un manual de riesgos operacionales en donde se consignan
los riesgos que ponen en peligro al negocio acompañados de los controles que
mitigan tales eventos”.
2.1.8 Sistemas de Gestión de Seguridad de la Información
Purificación Aguilera López en su libro: Seguridad Informática. (2010). Refiere:
“La Seguridad Informática es la disciplina que se encarga de diseñar las
normas, procedimientos, métodos y técnicas destinados a conseguir un sistema
41
de información seguro y confiable. Un sistema de Información, no obstante las
medidas de seguridad que se le apliquen, no deja de tener siempre un margen
de riesgo. Para afrontar el establecimiento de un sistema de seguridad es
necesario conocer: Cuales son los elementos que componen el sistema, Cuales
son los peligros que afectan al sistema, accidentales o provocados y finalmente
cuales son las medidas que deberían de adoptarse para conocer, prevenir,
impedir, reducir o controlar los riesgos potenciales”. “Estoy de acuerdo con la
definición pero es indispensable que no solamente nuestro sistema de gestión de
seguridad de la información solo va a proteger a los sistemas, sino también los
actores organizacionales con la asesoría del personal de tecnologías de información
tienen la obligación de dictaminar normas para proteger a los activos de
información intangibles”.
2.2 Bases Teóricas especializadas sobre el Tema
Dentro de las bases teóricas de mi investigación científica he considerado a las
siguientes:
2.2.1 Auditoría de Riesgos Organizacional
Daniel Halpern en su libro “Gestión de Crisis. Teoría y práctica de un modelo
comunicacional”. (2010). Refiere: “El principal objetivo que tiene todo plan de
auditoria de crisis es sistematizar los riesgos a los que se ve enfrentada una
organización. Sin embargo dado que los potenciales conflictos son ciertos y en
algunos casos miles, la metodología por excelencia que la literatura establece es
primero identificar los principales riesgos, para luego agruparlos por categorías
y de esta forma desarrollar alternativas para evitarlos o saber cómo reaccionar
en caso de que uno de ellos se materialice”. “Estoy de acuerdo con el
42
Autor y afirmo que el Auditor dentro de su trabajo al evaluar procesos y controles
de la empresa debe de identificar los riesgos que pongan en peligro la continuidad
del negocio y generar planes de tratamiento de riesgo para mitigar dichos eventos”.
Palencia Lefler, en su libro: “90 Técnicas de Comunicación y Relaciones Públicas”
(2011). Refiere: “Con una Auditoría de Riesgos se pretende: Identificar los
riesgos potenciales, elaborar una base de datos de esos riesgos potenciales y los
escenarios en que puedan desarrollarse, evaluar la gravedad de cada uno de
esos riesgos potenciales, y analizar los procedimientos y la operativa prevista en
el Manual de crisis”. “Como investigador quisiera agregar algo más a partir de
esta definición y concluir que la auditoria de riesgos es una investigación social que
identifica y valora las posibles opciones de riesgo que aparecen y se dan en el
negocio para ser comunicados finalmente a nuestro cliente. Entre estas opciones
hay que diferenciar a las que pueden afectar al corto plazo la operatividad del
negocio”.
Equipo Vértice en su libro: “Gestión Ambiental en Empresas de Limpieza”. (2011).
Refiere: “La Auditoría de riesgos se desarrolla con la finalidad de conocer y
reducir determinados riesgos en la organización”. “Como investigador quisiera
agregar algo más a partir de esta definición y concluir que nos encontramos con
una auditoría de carácter preventivo y correctivo”.
Miguel Túñez López, José Manuel Velasco Guardado en su libro: Comunicación
Preventiva: Planificación y Ejecución de Estrategias de Información Interna y
43
Externa ante situaciones de Crisis. (2007). Refiere: “La Auditoría de Riesgos suele
desatacarse como técnica para identificar situaciones negativas que puedan
llegar a producirse”. “Como investigador quisiera agregar algo más a partir de
esta definición y concluir que nos encontramos con una auditoría que aparte de
identificar eventos negativos los analiza, evalúa, valora y genera planes de
tratamiento para disminuir y contrarrestar el impacto que pudiera causar un evento
negativo a la organización”.
2.2.2 Fases de una Auditoría de Riesgos
Darril Gibson en su Libro: Managing Risk in Information Systems / Gestión de
Riesgos en Sistemas de Información. (2011) refiere: “Que la Auditoría de Riesgos
para su aplicación se apoya en el Estándar Internacional de Gestión de Riesgos
ISO 31010, ISO 31,000:2009 y Estándar Australiano 4360:2004, por tanto sus
fases están demarcadas de la siguiente manera: Fase 1: Establecer el Contexto
Estratégico y Organizacional; Fase 2: Identificación de Riesgos; Fase 3: Análisis
de Riesgos. Fase 4: Evaluación de Riesgos; Fase 5: Tratamiento de Riesgos; Fase
6: Supervisión y Monitoreo y Fase 7: Comunicación y Consulta”. “Desde mi
perspectiva las fases de la Auditoría de Riesgos me parecen muy interesantes y un
aspecto en el cual debo de ahondar es que aparecen nuevas técnicas de auditoría
para poder desarrollar una auditoría de calidad y acorde a las exigencias de
nuestros clientes”.
2.2.3 Base Legal
La Base Legal que he utilizado en mi Investigación ha sido la siguiente:
Reglamento de Organización y Funciones del Ceticos Paita.
44
Procedimiento de Calidad Inta PG 22.
Directiva Nº 001-2008 “Directiva de Control de Ingreso y Salida de Vehículos
de la Actividad de Talleres”.
Directiva de Infracciones y Sanciones del Ceticos Paita.
Normas de Control Interno Resolución de Contraloría General 320-2006.
Reglamento de Seguridad y Salud en el Trabajo.
Libro de Seguridad de Montacargas.
Norma A.130 Requisitos de Seguridad.
Norma Técnica Peruana 399.010-1-2004.
Decreto Supremo Nº 005-94-IN Reglamento de Servicios de Seguridad
Privada.
Manual de Uso Adecuado de Recursos Informáticos del Ceticos Paita.
Manual de Uso Adecuado de Correo Corporativo Institucional del Ceticos
Paita.
2.2.4 Coso II ERM / Enterprise Risk Management
José Vinicio Zapata Chancusig en su libro: Auditoría con Enfoque de Riesgos.
(2009). Refiere: “El Enterprise Risk Management se define como la
Administración de Riesgos Corporativos es un proceso efectuado por el
Directorio, Administración y las personas de la Organización, es aplicado desde
la definición estratégica hasta las actividades del día a día, diseñado para
identificar eventos potenciales que pueden afectar a la organización y
administrar los riesgos dentro de su apetito, a efectos de proveer una seguridad
razonable respecto del logro de los objetivos de la organización”. “Como
investigador me gustaría agregar a esta definición que toda empresa para llegar a
su objetivo está dispuesta a asumir un riesgo el cual debe de ser
45
administrado eficientemente por toda la organización para arribar al objetivo
misional (apetito de riesgo)”.
Gabriel Hernández Morales en su libro: Auditoría Interna Basada en Riesgos. (2010).
Refiere: “EL COSO ERM Es un proceso efectuado por el consejo de
administración, la dirección y el resto de personal de una entidad, diseñado con
el propósito de proporcionar una grado de seguridad razonable en cuanto a la
consecución de objetivos dentro de las siguientes categorías: eficacia y eficiencia
de las operaciones fiabilidad de la información financiera y cumplimiento de
leyes y normas aplicables”. Coincido con el Autor y concluyo que las
Organizaciones Modernas en General siempre estarán dispuestas a asumir un
apetito de riesgo.
2.2.5 Seguridad de la Información
Javier Areitio Bertolín en su libro: Seguridad de la Información. (2008). Refiere:
“La seguridad de los sistemas de información es una disciplina en continua
evolución. La meta final de la seguridad es permitir que una organización
cumpla con todos sus objetivos de negocio o misión, implementando sistemas
que tengan un especial cuidado y consideración hacia los riesgos relativos a las
Tecnologías de Información y Comunicaciones de la organización, a sus socios
comerciales, clientes, administración pública, suministradores, etc. “Coincido
con el autor y al mismo tiempo concluyo que con esta tendencia la organización
trata de proteger sus activos de información tangibles e intangibles ante amenazas
y debilidades que atenten contra la continuidad del negocio”.
46
2.3 Marco Conceptual
Dentro del marco Teórico de mi investigación científica se han considerado a los siguientes
autores, con lo cuales he coincido y en algunas ocasiones he aportado un aspecto relevante
a las investigaciones realizadas:
2.3.1 Auditoría de Riesgos
Interpretando a Rodrigo Estupiñan Gaitán, en su libro “Administración o Gestión de
Riesgos ERM y la Auditoria Interna” (2007) refiere: “La Auditoría de Riesgos es
un examen independiente, profesional y especializado que consiste en evaluar
los procesos críticos del negocio de manera integral con la finalidad de reportar
al ejecutivo eventos de cualquier índole: financieros, operacionales,
tecnológicos, laborales y de responsabilidad social empresarial que podrían
perjudicar a la organización en su conjunto, para que dicha organización en su
conjunto tenga en cuenta las recomendaciones formuladas por la Auditoría de
Riesgos e implemente las medidas correctivas pertinentes”, “Coincido
rotundamente en sus definiciones en que la Auditoría de Riesgos implica en llevar a
cabo una evaluación integral del negocio con la finalidad de alertar al ejecutivo de
posibles perjuicios económicos, financieros, tecnológicos y ambientales que pueden
poner en peligro a la organización en su conjunto, con la finalidad de que los altos
niveles gerenciales con la ayuda de sus colaboradores tomen las medidas
correctivas y preventivas pertinentes para mitigar tales sucesos”.
47
2.3.2 Metodología de la Auditoría Interna Basada en la Administración de Riesgos
Interpretando a Darril Gibson en su Libro: Managing Risk in Information Systems
/ Gestión de Riesgos en Sistemas de Información (2011), al ISO 31010:2009, ISO
31,000:2009, Estándar Australiano 4360:2004 La metodología de la auditoría de
riesgos se refleja en la siguiente tabla:
Tabla 1: Fases de la Auditoría de Riesgos
AUDITORÍA DE RIESGOS
Fase 1: Establecer el Contexto Fase Planificación.
Estratégico y Organizacional. Programa de Auditoría.
Conocer el Negocio.
Conocer los Proceso Críticos del Negocio.
Conocer la Gestión de Riesgos que maneja la Empresa.
Fase 2: Identificación de Riesgos. Fase de Ejecución: Elaboración de Enunciado de
Aplicabilidad e Identificación de Observaciones.
Fase 3: Análisis de Riesgos. Calificar el Nivel de Efectividad, Implementación, Riesgo y
Madurez de los Controles y Riesgos sujetos a evaluación.
Fase 4: Evaluación de Riesgos. Interpretar los resultados.
Fase 5: Tratamiento de Riesgos. Formular las recomendaciones.
Identificar las personas que instauraran los controles que
mitigaran los riesgos.
Identificar a las personas que supervisaran a las personas
encargadas de mitigar los riesgos.
Fase 6: Supervisión y Monitoreo. Fase de Seguimiento de Medidas Correctivas instaurados por
los auditados.
Auditor debe de llevar a cabo una Autoevaluación del
impacto que ha generado la Auditoría de Riesgos en el
negocio.
Fase 7: Comunicación y Consulta. Presentar a los Ejecutivos el Informe Final de la Auditoría de
Riesgos.
48
A continuación explicaré las Fases de esta Auditoría de Riesgos:
Fase 1: Establecer el Contexto Estratégico y Organizacional
El Auditor Conoce a la Organización en su conjunto y a los procesos críticos que
van a ser sujetos a examen con la ayuda de diagramas de proceso bajo el enfoque de
planeación, responsabilidad de la dirección, supervisión y monitoreo y mejora
continua (PDCA). Identificando, Procesos y Controles que mitigan a riesgos
organizacionales.
El Auditor conoce la Misión, Visión, Estrategias y metas a largo plazo de la
Organización.
Identifica sus Procesos Misionales y de Soporte.
Se formula una Opinión sobre la gestión de riesgos que maneja la entidad.
Fase 2: Identificación de Riesgos.
Elaboración de Enunciado de Aplicabilidad e Identificación de Observaciones.
Luego de Conocer el Negocio y los procesos críticos del mismo el auditor elabora
un enunciado de aplicabilidad de todos y cada uno de los procesos que va a auditar
y lleva a cabo un sinceramiento de controles identificando fortalezas y posibles
riesgos. Con la finalidad de identificar el número de observaciones y/o riesgos luego
de haber sincerado a los controles en su totalidad.
Fase 3: Análisis de Riesgos
Luego de haber identificado los riesgos en su enunciado de aplicabilidad el Auditor
procede a Calificar el Nivel de Efectividad, Implementación, Riesgo y Madurez de
los Controles y Riesgos sujetos a evaluación. De acuerdo a los requerimientos
establecidos en los estándar: Australiano Neozelandés, ISO 31:000:2009 e ISO
31010.
Fase 4: Evaluación de Riesgos
49
Calificados los Controles y Riesgos se procede a llevar a cabo la interpretación de
los mismos y se forman las primeras conclusiones sobre el número de riesgos
identificados, el nivel de implementación y efectividad que poseen los controles
evaluados, a qué nivel de riesgo mitigan y en qué nivel de madurez se encuentran.
Los resultados de estas evaluaciones oscilan de muy malo a aceptable.
Fase 5: Tratamiento de Riesgos
Los resultados de la evaluación que suelen ser malos o buenos se comunican al
gerente General junto con el Plan de Tratamiento de Medida Correctivas, en donde:
Se Formulan recomendaciones para mejorar la gestión organizacional o
gubernamental. Se Identifican a las personas que instauraran los controles que
mitigaran los riesgos y finalmente se Identificaran a las personas que supervisaran a
las personas encargadas de mitigar los riesgos.
Fase 6: Supervisión y Monitoreo
Esta es la Fase de Seguimiento de Medidas Correctivas instaurados por los auditados.
En donde el auditor evalúa los descargos y aclaraciones de los correctivos
instaurados por los auditados y determina el estado situacional de los riesgos que va
desde atendido, en proceso de atención y pendiente de implementación.
Finalmente el Auditor debe de llevar a cabo una Autoevaluación del impacto que ha
generado la Auditoría de Riesgos en el negocio.
Fase 7: Comunicación y Consulta
Presentar a los Ejecutivos el Informe Final de la Auditoría de Riesgos. En donde se
refleja los resultados de cómo se viene manejando la empresa a nivel de gestión
gubernamental y a nivel de gestión de riesgos.
50
“Dichos planteamientos serán utilizados en el trabajo de investigación con la
finalidad de conocer los procesos críticos del negocio que serán auditables en mi
investigación como por ejemplo: El control de Ingreso y Salida de Mercancías de
las Actividades de Almacenes, Industrias y Talleres, El Sistema de Control Interno
y de Seguridad de la Información del Ceticos Paita. Los cuáles serán abordados en
la Fase de Planeación de la Auditoría. Luego al Poner en práctica los
procedimientos y técnicas de auditoria de riesgos determinaré los posibles riesgos
/ observaciones que afectan a los procesos críticos de la entidad, recomendaré
acciones de mejora que mitiguen tales eventos y monitorearé el seguimiento de
correctivos instaurados por los ejecutivos para finalmente llegar a concluir cual ha
sido el impacto que ha generado la recomendación propuesta por la Auditoría de
Riesgos dentro del Ceticos Paita. Con estos pasos habremos cubierto las fase de
ejecución, análisis, recomendación y seguimiento de la Auditoría de Riesgos”.
Los Instrumentos de Recolección de Datos que utiliza la Auditoría de las fases 1 a
la 7 las explicó cuantitativa y cualitativamente en el punto 2.3.4 y 3.7 de mi
investigación.
2.3.3 Unidad de Análisis sujeta a Evaluación
El Centro de Exportación, Transformación, Industria, Comercialización, y Servicios
de Paita - CETICOS PAITA, es un Organismo Público Descentralizado adscrito al
Gobierno Regional de Piura, de acuerdo a la Ley 29014, que tiene personería jurídica
de Derecho Público, con Autonomía Administrativa, Técnica, Económica,
Financiera y Operativa.
51
La finalidad de CETICOS PAITA, es generar polos de desarrollo a través del
incremento de la mano de obra directa e indirecta, los niveles de consumo en las
zonas de influencia, el nivel de exportaciones en general y la consolidación del
desarrollo socio económico regional.
Las expectativas de largo Plazo de CETICOS PAITA, radica en convertirse en una
herramienta fundamental del desarrollo económico regional y del país, impulsor de
una cultura exportadora y de internacionalización de nuestra economía, sobre la base
de eficiencia, eficacia y competitividad.
Actualmente la organización es una zona primaria aduanera de tratamiento especial,
generador de polos de desarrollo, promotor de la inversión privada nacional y
extranjera orientada a actividades productivas y exportadoras, cuyo objetivo social
estratégico es el de incrementar la mano de obra directa e indirecta, niveles de
consumo en sus zonas de influencia y la consolidación del desarrollo económico
regional.
Entre sus principales regulaciones destacan: Decreto Legislativo Nº 864, Decreto
Supremo Nº 010-2006-MINCETUR, Decreto Supremo Nº 013-2006-MINCETUR.
La actividad principal del Ceticos Paita, es el otorgamiento de lotes en cesión en uso
(figura similar a un alquiler) que se efectúa a título oneroso y mediante subasta
pública, conforme a lo dispuesto por la Resolución Ministerial Nº 063-97-EF/15.
52
2.3.4 Indicadores para evaluar nivel de cumplimiento y efectividad del CETICOS
PAITA en la aplicación de los procedimientos de calidad y directivas internas
para el adecuado control y administración del ingreso y salida de mercancías
de las actividades de Almacenes, Talleres e Industrias
2.3.4.1 Indicadores Legales Cualitativos
2.3.4.1.1 Reglamento de Organización y Funciones del Ceticos Paita
El Reglamento de Organización y Funciones del Ceticos Paita,
aprobado con Decreto Supremo Nº 013-2006 MINCETUR, del
20/10/2006, en su TITULO PRIMERO, DE LAS
DISPOSICIONES GENERALES, Artículo Nº 2 Jurisdicción,
manifiesta: “CETICOS PAITA ejerce su competencia en el
ámbito comprendido por el área cercada denominada
ciudadela, el área contigua y los terrenos adyacentes registrados
a nombre del CETICOS PAITA”.
2.3.4.1.2 Procedimiento de Calidad Inta PG 22
El Procedimiento General INTA PG 22, referido al Ingreso de
Mercancías del Exterior arribadas por el Puerto de Paita, en su
CAPITULO VII DESCRIPCION, APARTADO A.3) TRASLADO
DE MERCANCIA DESDE EL PUESTO DE CONTROL
FRONTERIZO DE SANTA ROSA AL CETICOS,
NUMERAL 3. Manifiesta: “Tratándose de bultos en mala
condición exterior o exista indicios de violación de los sellos y
precintos de seguridad, se efectúa el reconocimiento físico en el
puesto de control debiéndose formular el Acta de Inventario”.
53
2.3.4.1.3 Directiva Nº 001-2008 “Directiva de Control de Ingreso y Salida
de Vehículos de la Actividad de Talleres”
La Directiva Nº 001-2008 CETICOS PAITA, Aprobada con
Resolución de Gerencia General Nº 012-2008-CETICOS PAITA
del 10/04/2008, en su CAPITULO VII, INGRESO DE
VEHICULOS Y SUS REPUESTOS ARRIBADOS POR EL
PUERTO DE PAITA, en su Procedimiento 1, manifiesta: “El
Usuario de Ceticos debidamente acreditado y/o su representante
y/o transportista, solicita ante la Administración de Ceticos Paita,
el ingreso de los vehículos y/o repuestos, acompañando en la
documentación declarada en la Solicitud de Traslado.
Para el Ingreso de Vehículos
Solicitud de Traslado.
Revisa 1 (original y copias).
Documento de Embarque.
Factura Comercial.
Manifiesto de Carga.
Ticket de Peso del Terminal de Almacenamiento.
Para el Ingreso de Repuestos
Solicitud de Traslado.
Documento de Embarque.
Factura Comercial.
Manifiesto de Carga.
 Ticket de Peso del Terminal de Almacenamiento”.
54
del 10/04/2008, en su CAPITULO VIII, ORDEN DE SALIDA
DE PARTES Y PIEZAS, en su Procedimiento 3, manifiesta: “El
Inspector de operaciones deberá de corroborar con los
Registros, la Documentación amparada en la Orden de Salida
de Partes y Piezas”.
del 10/04/2008, en su CAPITULO VIII, SALIDA DE
VEHICULOS DE CETICOS PARA EXPORTACION, en su
Procedimiento 3, manifiesta: “El Inspector de Operaciones deberá
de revisar los Datos de la DUA – provisional la documentación,
Los detalles a tener en cuenta en la revisión son:
 Número de DUA.
Firmas de la Agencia de Aduana.
 El importador del Vehículo haya regularizado su
Inscripción como Usuario.
 Número de Certirec no sea repetido.
 La Orden de Salida del Vehículo tenga la firma y fecha
del Taller.
 Declaración de Salida.
55
del 10/04/2008, en su CAPITULO VIII, SALIDA DE
MERCANCIAS DE LOS TALLERES DE REPARACION Y
REACONDICIONAMIENTO DE VEHICULOS
SINIESTRADOS, AL RESTO DEL TERRITORIO
NACIONAL, en su Procedimiento 12, manifiesta: “El Inspector de
Operaciones deberá de revisar la documentación la misma que
debe tener en cuenta los siguientes detalles:
 Número de DUA y el Canal.
 Firmas de Especialista de Aduana, del Agente de Aduana y el
Sello de Cancelación de la Póliza.
 El importador del Vehículo haya regularizado su Inscripción
como Usuario.
Levante Autorizado para el retiro de la Carga.
 Número de Certirec no sea repetido.
 La Orden de Salida del Vehículo tenga la firma del Taller”.
2.3.4.1.4 Directiva de Infracciones y Sanciones del Ceticos Paita
Artículo 11 de la Directiva de Infracciones y Sanciones del Ceticos
Paita, que a la letra dice: “Son infracciones cometidas por los
usuarios sancionados con multa: a) aplicables a todas las
actividades desarrolladas por los usuarios: Punto Nº 3:
Incumplir las normas vigentes sobre protección y seguridad,
conservación del medio ambiente, áreas verdes, flora y fauna
así como las demás disposiciones que se dicten al respecto”.
56
2.3.4.1.5 Normas de Control Interno Resolución de Contraloría General
320-2006
Las NORMAS de Control Interno, aprobadas con Resolución de
Contraloría General Nº 320-2006-CG del 30 de Octubre del 2006,
en su Capítulo III Literal 1 NORMA GENERAL PARA EL
AMBIENTE DE CONTROL en el Punto 1.5.
Administración de Recursos Humanos, manifiesta: Es
necesario que el titular o funcionario designado establezca
políticas y procedimientos necesarios para asegurar una
apropiada planificación y administración de los recursos
humanos de la entidad, de manera que se garantice el
desarrollo profesional y asegure la transparencia, eficacia y
vocación de servicio a la comunidad.
en su Capítulo III Literal I NORMAS BÁSICAS PARA EL
AMBIENTE DE CONTROL en el Punto 1.7. Asignación de
Autoridad y Responsabilidad, manifiesta: “Es necesario
asignar claramente al personal sus deberes y
responsabilidades, así como establecer relaciones de
información, niveles y reglas de autorización, así como los
límites de su autoridad”.
Contraloría General Nº 320-2006-CG del 30 de Octubre del
57
2006, en su Capítulo III Literal II NORMA GENERAL PARA LA
EVALUACION DE RIESGOS en el Punto 2.3. Valoración de los
riesgos; manifiesta: “El análisis o valoración del riesgo le
permite a la entidad considerar cómo los riesgos potenciales
pueden afectar el logro de sus objetivos. Se inicia con un
estudio detallado de los temas puntuales sobre riesgos que se
hayan decidido evaluar. El propósito es obtener la suficiente
información acerca de las situaciones de riesgo para estimar su
probabilidad de ocurrencia, tiempo, respuesta y
consecuencias”.
en su Capítulo III Literal III NORMAS BÁSICAS PARA LAS
ACTIVIDADES DE CONTROL GERENCIAL en el Punto
3.2. Segregación de Funciones, manifiesta: “La segregación de
funciones en los cargos o equipos de trabajo debe contribuir a
reducir los riesgos de error o fraude en los procesos,
actividades o tareas. Es decir, un solo cargo o equipo de trabajo
no debe tener el control de todas las etapas clave en un proceso,
actividad o tarea”.
58
3.4. Controles sobre el Acceso a los recursos o archivos,
manifiesta: “El acceso a los recursos o archivos debe limitarse
al personal autorizado que sea responsable por la utilización o
custodia de los mismos. La responsabilidad en cuanto a la
utilización y custodia debe evidenciarse a través del registro en
recibos, inventarios o cualquier otro documento o medio que
permita llevar un control efectivo sobre los recursos o
archivos”.
3.5 Verificaciones y Conciliaciones, que manifiesta: “Los
procesos, actividades o tareas significativos deben ser
verificados antes y después de realizarse, así como también
deben ser finalmente registrados y clasificados para su revisión
posterior”.
en su Capítulo III Literal 3 NORMAS BÁSICAS PARA LAS
3.8. Documentación de procesos, actividades y tareas,
manifiesta: “Los procesos, actividades y tareas deben estar
debidamente documentados para asegurar su adecuado
59
desarrollo de acuerdo con los estándares establecidos, facilitar
la correcta revisión de los mismos y garantizar la trazabilidad
de los productos o servicios generados”·
en su Capítulo III Literal IV NORMAS BÁSICAS PARA LAS
4.3. Calidad y suficiencia de la información, manifiesta: “El
titular o funcionario designado debe asegurar la confiabilidad,
calidad, suficiencia, pertinencia y oportunidad de la
información que se genere y comunique. Para ello se debe
diseñar, evaluar e implementar mecanismos necesarios que
aseguren las características con las que debe contar toda
información útil como parte del sistema de control interno”.
en su Capítulo III Literal IV NORMAS BÁSICAS PARA LAS
4.4. Sistemas de información, manifiesta: “Los sistemas de
información diseñados e implementados por la entidad
constituyen un instrumento para el establecimiento de las
estrategias organizacionales y, por ende, para el logro de los
objetivos y las metas. Por ello deberá ajustarse a las
60
características, necesidades y naturaleza de la entidad. De este
modo, el sistema de información provee la información como
insumo para la toma de decisiones, facilitando y garantizando
la Transparencia en la Rendición de Cuentas”.
2.3.4.1.6 Reglamento de Seguridad y Salud en el Trabajo
DECRETO SUPREMO Nº 009-2005-TR REGLAMENTO DE
SEGURIDAD Y SALUD EN EL TRABAJO, en su Artículo 6),
literal f) que a la letra dice: “Velar por el cumplimiento de la
normativa sobre prevención de riesgos laborales mediante las
actuaciones de vigilancia y control. Para estos efectos,
prestarán el asesoramiento y la asistencia técnica necesarios
para el mejor cumplimiento de dicha normativa y
desarrollarán programas específicos dirigidos a lograr una
mayor eficacia en el control”·
EL REGLAMENTO DE SEGURIDAD Y SALUD EN EL
TRABAJO DECRETO SUPREMO Nº 009-2005-TR, del 28 de
Setiembre del año 2005, TÍTULO IV DERECHOS Y
OBLIGACIONES CAPÍTULO I DERECHOS Y
OBLIGACIONES DE LOS EMPLEADORES en su Artículo 37,
manifiesta: “El empleador debe ejercer un firme liderazgo y
manifestar su respaldo a las actividades de su empresa en
materia de seguridad y salud en el trabajo; asimismo, debe
estar comprometido a fin de proveer y mantener un ambiente
de trabajo seguro y saludable en concordancia con las
61
mejores prácticas y con el cumplimiento de las normas de
seguridad y salud en el trabajo”.
El Reglamento de Seguridad y Salud en el Trabajo, Aprobado con
Decreto Supremo Nº 009-2005-TRL, en su TÍTULO IV
DERECHOS Y OBLIGACIONES, Capítulo I DERECHOS Y
OBLIGACIONES DE LOS EMPLEADORES, Artículo 39,
literal a manifiesta: “Garantizar la seguridad y la salud de los
trabajadores en el desempeño de todos los aspectos
relacionados con su labor, en el centro de trabajo o con ocasión
del mismo”.
2.3.4.1.7 Libro de Seguridad de Montacargas
El libro de Seguridad con los Montacargas, de acuerdo a Estándar
OSHA CFR 29 de la sección 1910.178, que regula el uso seguro
de los montacargas y otros “vehículos industriales motorizados”
En su folios 16 y 17, manifiesta: “Procedimientos de Seguridad
para maniobrar un montacarga de manera segura.”
El libro de Seguridad con los Montacargas, de acuerdo a Estándar
OSHA CFR 29 de la sección 1910.178, que regula el uso seguro
de los montacargas y otros “vehículos industriales motorizados”
En su folios 02 al 37, manifiesta: Los siguientes procesos
documentarios que deberá de tener en cuenta el operador de un
montacarga como: “a) Clases de Montacargas, b)
62
Adiestramiento, c) Como funciona un montacargas, d)
Características de Seguridad con los Montacargas, e) Como
acarrean y levantan los montacargas, f) Maniobrando un
montacargas y g) Mantenimiento”.
2.3.4.1.8 Norma A.130 Requisitos de Seguridad
NORMA A.130 REQUISITOS DE SEGURIDAD, publicada en
el Diario Oficial el Peruano del 09/06/2006, en su CAPITULO II
SEÑALIZACIÓN DE SEGURIDAD artículo 37º manifiesta: “La
cantidad de señales, los tamaños, deben tener una proporción
lógica con el tipo de riesgo que protegen y la arquitectura de la
misma. Las dimensiones de las señales deberán estar acordes
con la NTP 399.010-1 y estar en función de la distancia de
observación”.
2.3.4.1.9 Norma Técnica Peruana 399.010-1-2004
LA NORMA TECNICA PERUANA NTP 399.010-1-2004, del
12/02/2004, en su Punto 3 CAMPO DE APLICACIÓN, Párrafo 1
Manifiesta: “ Esta norma técnica peruana se aplica a las señales
de seguridad que se deben utilizar en todos los locales públicos,
privados, turísticos, recreacionales, locales de trabajo,
industriales, comerciales, centros de reunión, locales de
espectáculos, hospitalarios, locales educacionales, así como
lugares residenciales; con la finalidad de orientar, prevenir y
reducir accidentes, riesgos a la salud y facilitar el control de
63
las emergencias, a través de colores, formas, símbolos y
dimensiones.”
2.3.4.1.10 Decreto Supremo Nº 005-94-IN Reglamento de Servicios de
Seguridad Privada
Decreto Supremo Nº 005-94-IN Reglamento de Servicios de
Seguridad privada aprobado el 12/05/1994, en sus Capítulos IX, X
y XI manifiesta:
CAPÍTULO IX DEL UNIFORME DISTINTIVOS Y
ARMAS, Art 61: “El personal que presta servicios de seguridad
privada sólo podrá usar armas, uniformes y distintivos durante
el ejercicio de sus funciones e inmediatamente después de
cumplida la jornada laboral; el arma deberá ser entregada a la
persona autorizada para su custodia o seguridad, en su mismo
centro de trabajo”.
CAPÍTULO X INSTRUCCIÓN Y CAPACITACIÓN, Art 64:
“Las actividades de formación, capacitación y reentrenamiento
del personal que desempeña actividades de vigilancia privada se
efectuará por el ``Centro de Instrucción'' dependiente de la
Subdirección de Servicios de Seguridad – DICSCAMEC”.
CAPÍTULO XI DE LAS OBLIGACIONES DE LA
EMPRESA, Art 67: “Todas las Empresas o personas naturales
64
que prestan servicios de seguridad privada en cualquiera de las
modalidades a que se refiere el artículo 10o. del presente
Reglamento, bajo responsabilidad de sus Representantes Legales
debidamente reconocidos por el Órgano Competente, deberán
cumplir con las siguientes obligaciones:
a) Contar con el Reglamento Interno aprobado por el Ministerio
de Trabajo y Visado por la DICSCAMEC.
b) Seleccionar y contratar personal idóneo de nacionalidad
peruana, ejecutivo y/o funcionario y específicamente de
vigilancia, el mismo que debe ser evaluado física y
psicológicamente”…
65
2.3.4.2 Indicadores Cuantitativos que serán evaluados por la Auditoría de Riesgos
Dichos Indicadores se han construido de acuerdo a las Normas y Directivas
Internas que aplica el Ceticos Paita para el adecuado control del Ingreso y
Salida de mercancías dentro de las actividades de almacenes Industrias y
Talleres
Tabla 2: Indicadores para evaluar las Políticas del Sistema de Gestión de calidad ítem 1 y 2 e Indicadores para Evaluar la Gestión
de Recursos ítem 3.
Ítem Descripción Nivel de Cumplimiento y Nivel de Riesgo Nivel de Madurez
Nivel de Efectividad
1 Nº de Directivas emitidas para Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
controlar el Ingreso y Salida de 100% Extremo. >0 y < =20% = 1 = Inicial.
Mercancías de las Actividades de Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Almacenes, Industrias y Talleres 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
< 60%. > 75% = 1 Aceptable Administrado.
>91% y < =100% Optimizado.
2 Nº de Manuales de procedimientos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
emitidos para el adecuado control y 100% Extremo. >0 y < =20% = 1 = Inicial.
administración del Ingreso y Salida de Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Mercancías de las Actividades de 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Almacenes Industrias y Talleres. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
3 Nº de Capacitaciones y/o Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Entrenamiento al personal de 100% Extremo. >0 y < =20% = 1 = Inicial.
Operaciones. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
66
Tabla 3: Indicadores para evaluar la Gestión de Recursos ítem 4 e Indicadores para evaluar el Ingreso y Salida de mercancías de las
actividades de Almacenes, Industrias y Talleres ítem 5 a 7.
Ítem Descripción Nivel de Cumplimiento y Nivel de Nivel de Riesgo Nivel de Madurez
Efectividad
4 Nº de equipos de Protección Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
Personal Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
adquiridos. 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Incumplimiento Alto: >= 0% y < 60%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Moderado. >60% y <90% = 4 Administrado.
> 75% = 1 Aceptable. >91% y < =100% Optimizado.
5 Nº de Información por Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
regularizar en Operaciones Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
de Importación Definitiva. 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
6 Nº de tickets de Peso y Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
manifiestos de carga Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
vigentes. 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
7 Diferencias entre los Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
reportes elaborados por el Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
Sistema de Gestión contra 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
los Archivos de Ingresos de Incumplimiento Alto: >= 0% y < 60%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Vehículos y sus repuestos Moderado. >60% y <90% = 4 Administrado.
arribados por el puerto de > 75% = 1 Aceptable. >91% y < =100% Optimizado.
Paita, de la
actividad de Talleres.
67
Tabla 4: Indicadores para evaluar el Ingreso y Salida de mercancías de las actividades de Almacenes, Industrias y Talleres ítem 8 a
11.
8 Reportes de salida de Nacionalización Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
de Vehículos que consignen el Valor 100% Extremo. >0 y < =20% = 1 = Inicial.
CIF y Datos del Revisa Nº 2. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
9 Nº de Formatos de Partes y Piezas que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
consignen la fecha, hora y firma de los 100% Extremo. >0 y < =20% = 1 = Inicial.
responsables que intervinieron en el Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
proceso de salida de partes y piezas del 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Ceticos Paita. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
10 Nº de levantes Autorizados que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
autorizan la salida de vehículos. 100% Extremo. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
11 Nº de Órdenes de Salida de Vehículos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
para exportación que carecen de la 100% Extremo. >0 y < =20% = 1 = Inicial.
Firma y Fecha del Taller. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
68
Tabla 5: Indicadores para evaluar el Ingreso y salida de Mercancías de las actividades de Almacenes, Industrias yTtalleres ítem 12 e
Indicadores para evaluar el Control de Usuarios ítem 13, 14 y 15.
12 Nº de Formatos de Órdenes de Salida Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
que consignan datos erróneos. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
13 Nº de Informes elaborados por el Área Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
de Operaciones, en lo concerniente al 100% Extremo. >0 y < =20% = 1 = Inicial.
avance de las reparaciones realizadas Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
por los almacenes Golden American 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Company y Sur Impex. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
14 Nº Cables de Teléfono y/o Energía que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
atentan contra la integridad de los 100% Extremo. >0 y < =20% = 1 = Inicial.
colaboradores y usuarios del Ceticos Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Paita. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
15 Nº de Industrias usuarias del Ceticos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Paita que vienen cometiendo atentados 100% Extremo. >0 y < =20% = 1 = Inicial.
contra el medio ambiente. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
69
Tabla 6: Indicadores para evaluar los Controles de Soporte ítem 16 a 19.
16 Nº de documentos pendientes y por Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
regularizar en lo concerniente a 100% Extremo. >0 y < =20% = 1 = Inicial.
aspectos de aforo previo realizados por Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
la Empresa Golden American 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Company. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
17 Autorización por escrito para manejar Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
el Montacarga. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
18 N° de Reparaciones Técnicas que ha Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
sufrido el Montacarga de la Empresa. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
19 N° de Normas de seguridad de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Montacarga con las cuales cuenta el 100% Extremo. >0 y < =20% = 1 = Inicial.
Técnico Administrativo III. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
70
Tabla 7: indicadores para evaluar los Controles de Soporte ítem 20, los controles de Análisis y Evaluación ítem 21 y los controles de
Mejora Continua ítem 23.
20 N° de Problemas de Segregación de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Funciones por parte del Técnico 100% Extremo. >0 y < =20% = 1 = Inicial.
Administrativo III que opera el Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Montacarga del Ceticos Paita. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
21 Diferencias entre información que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
maneja el Sistema y la Documentación 100% Extremo. >0 y < =20% = 1 = Inicial.
Sustentatoria del archivo de la Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
actividad de Almacenes. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
22 Implementación del Módulo: Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Impuestos Generados por Importación 100% Extremo. >0 y < =20% = 1 = Inicial.
Definitiva. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
23 Nº de campos Obligatorios que debe de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
consignar el sistema de gestión del 100% Extremo. >0 y < =20% = 1 = Inicial.
Ceticos Paita para el adecuado control Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
del Ingreso y Salida de Mercancías de 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
la Actividad de Almacenes. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
71
Tabla 8: Indicadores para evaluar los Controles de Mejora Continua ítem 24 a 27.
la Actividad de Industrias. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
la Actividad de Talleres. Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
26 Nº de Actualizaciones de las actas de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
apertura del Contenedor. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
27 Nº de Nuevos Módulos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Implementados dentro del Sistema de 100% Extremo. >0 y < =20% = 1 = Inicial.
Gestión de la entidad para controlar y Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
administrar adecuadamente el ingreso 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
y salida de mercancías de las Incumplimiento Alto: >= 0% y Moderado. >60% y <90% = 4
actividades de almacenes, industrias y < 60%. > 75% = 1 Aceptable Administrado.
talleres. >91% y < =100% Optimizado.
72
Tabla 9: Indicadores para evaluar los controles de mejora continua ítem 28 a 31.
28 Nº de actualizaciones dentro del Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
control semiautomatizados que 100% Extremo. >0 y < =20% = 1 = Inicial.
monitorea el trabajo y operatividad del Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
montacarga. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
29 Nª de señales de seguridad instauradas Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
en la entidad. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
30 Nº de empresas usuarias del Ceticos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Paita desprotegidas. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
31 Nº de deficiencias encontradas por Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
parte de la empresa seguridad omega 100% Extremo. >0 y < =20% = 1 = Inicial.
que brinda servicios de protección y Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
seguridad al Ceticos Paita. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
73
Tabla 10: Indicadores para evaluar los controles de mejora continua ítem 32.
32 Personas que habitan en los Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
alrededores de las lagunas de 100% Extremo. >0 y < =20% = 1 = Inicial.
oxidación. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Identificados los Indicadores el Auditor deberá de calificar el nivel de
cumplimiento efectividad, riesgo y madurez en función a los criterios
cuantitativos establecidos en el Estándar Neozelandés ANZS 4360, ISO
31:000-2009 e ISO 31010:2009, que a continuación se detallan:
Tabla 11: Criterios Cuantitativos establecidos en el Estándar de Gestión de Riesgos ISO 31000 e ISO
31010:2009.
Incumplimiento Alto: Significa que el elemento muestra un limitado
desarrollo, y su funcionamiento causa problemas para la normal ejecución de
la gestión. Si bien no impide el logro de los resultados, los retrasa de manera
importante y sólo se obtienen de manera parcial.
Incumplimiento Mediano: Significa que el elemento analizado muestra un
mediano grado de desarrollo. Su aporte al logro de los objetivos no es
sustancial y presenta dificultades operativas que retrasan la ejecución de las
metas previstas.
74
Cumplimiento: Significa que el elemento analizado muestra un grado de
desarrollo importante y aporta de manera sustancial al logro de los objetivos.
De manera no significativa, presenta algunas dificultades, pero los resultados
finales se obtienen sin mayor contratiempo.
Tabla 12: Obtención del resultado del nivel de riesgo.
Si el nivel de implementación es entre 0 % y el 25 % el nivel de riesgo es Extremo
Si el nivel de implementación es superior a 25 % y es menor o igual 50 % el nivel de riesgo es Alto
Si el nivel de implementación es superior a 50 % y es menor o igual 75 % el nivel de riesgo es Moderado
Si el nivel de implementación es superior al 75 % el nivel de riesgo es Aceptable
Tabla 13: Descripción de los niveles de riesgo.
Indicador Riesgo Descripción
1 Aceptable El Ceticos Paita dentro de las actividades de almacenes, talleres e industrias Interno
posee controles que mitigan a un nivel de riesgo. Si hay deficiencias, éstas son de
naturaleza menor y pueden ser fácilmente administradas.
2 Moderado La Gestión Gubernamental está experimentando una combinación de factores

adversos que requiere acciones correctivas de relativa urgencia. Los problemas
están identificados y requieren preocupación y monitoreo superior a lo normal.
3 Alto La Gestión Gubernamental opera en condiciones inaceptables en cuanto al riesgo

que asumen. Está presente una gran probabilidad de falla operacional y/o
información financiera pero las debilidades no son tan severas como para
comprometer una inmediata falla del área de sistemas informáticos. Es necesario
que se promueva acciones correctivas de urgencia.
4 Extremo La Gestión Gubernamental experimenta una combinación de debilidades y

tendencias adversas que están en un punto en que la continuidad del negocio está
en duda. Es necesario que se promueva acciones correctivas y se ejerza seguimiento
continuo.
Tabla 14: Obtención del resultado del nivel de madurez.
Si el nivel de implementación es 0 % el nivel de Madurez se califica como que No Existe
Si el nivel de implementación es superior a 0 % y es menor o igual 20 % el nivel de madurez es Inicial
Si el nivel de implementación es superior a 20 % y es menor o igual 40 % el nivel de madurez es Repetible
Si el nivel de implementación es superior a 40 % y es menor o igual 60 % el nivel de madurez es Definido
Si el nivel de implementación es superior a 60 % y es menor o igual 90 % el nivel de madurez es Administrado
Si el nivel de implementación es superior a 91 % y es menor o igual 100 % el nivel de madurez es Optimizado
75
Tabla 15: Descripción de los niveles de madurez.
Nivel de Madurez Descripción
0= No existe
Carencia total de cualquier proceso reconocible. La organización no ha reconocido siquiera
que hay un asunto que atender.
1= Inicial
Hay evidencia de que la organización ha reconocido que existe una situación a ser atendida. No
hay, sin embargo, procesos estandarizados sino enfoques ad hoc que tienden a ser aplicados en
casos individuales.
2= Repetible
Hay un alto grado de confianza en el conocimiento de un individuo y por lo tanto la
posibilidad de errores.
3= Definido
Se han estandarizado y documentado procedimientos y comunicado a través de entrenamiento.
Sin embargo no se realizan procesos de autoevaluación, y es probable que las desviaciones no
sean detectadas.
4= Administrado
Es posible monitorear y medir el cumplimiento con procedimientos y tomar acción donde los
procesos parecen no estar funcionando efectivamente. Los procesos se encuentran bajo mejora
constante y proporcionan una buena práctica. Automatización y herramientas se utilizan en
forma limitada y fragmentada.
5= Optimizado
Los procesos han sido refinados a un nivel de mejores prácticas, basados en los resultados de
mejoras continuas y modelos de madurez con otras organizaciones. TI es utilizada en una forma
integrada para automatizar el flujo de trabajo, proporcionando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte rápidamente.
El Auditor traslada a estos indicadores en un enunciado de aplicabilidad en
donde llevará a cabo la calificación de los mismos de acuerdo a los criterios
31:000-2009 e ISO 31010:2009, a nivel micro y macro, por ejemplo:
Tabla 16: Modelo Nº 1 de Enunciado de Aplicabilidad.
PROCESOS CONTROLES QUE DESCRIPCION F D Nivel de Nivel de Nivel de Nivel de
FUERON SUJETOS A DEL CONTROL Cumplimiento Efectividad Riesgo Madurez
EVALUACION
A C1 CONTROL 1 X 10% 15% 4 0
B C2 CONTROL 2 X 20% 30% 3 1
REULTADO MACRO / PROMEDIO 2 15% 22.5% 4 1
A nivel Micro el Proceso A Posee un control uno (C1) que tiene un nivel de
Cumplimiento y efectividad del 10 y 15% respectivamente denominado
Incumplimiento Alto, este control mitiga a un nivel de Riesgo 4 Extremo y
76
posee un nivel de madurez de 0 No existe, es decir dicho proceso opera en
condiciones inaceptables.
A nivel Micro el Proceso B Posee un control dos (C2) que tiene un nivel de
Incumplimiento Alto, este control mitiga a un nivel de Riesgo 3 Alto y posee
un nivel de madurez de 1 Inicial, es decir dentro del Proceso B se deben de
tomar medidas correctivas con carácter de urgencia.
A nivel Macro dentro del Proceso A y B se han encontrado dos debilidades
poseen en su conjunto 2 controles que en promedio poseen un nivel de
cumplimiento y efectividad del 15 y 22.5% respectivamente además dichos
controles mitigan a niveles de riesgo 4 Extremo y poseen un nivel de madurez
inicial, es decir dichos procesos operan en condiciones inaceptables y hay que
tomar medidas urgentes para solucionar las debilidades encontradas. Estos
mismos resultados serán procesados en histogramas de frecuencia y diagramas
radar para establecer las comparaciones pertinentes. Por ejemplo en el
siguiente histograma de frecuencia se refleja el análisis del nivel de
cumplimiento y efectividad de los controles a nivel micro.
Gráfico Nº 1: Nivel de Cumplimiento y Efectividad de los controles evaluados Modelo Nº 1.
NIVEL DE CUMPLIMIENTO Y EFECTIVIDAD DE LOS CONTROLES

EVALUADOS
Nivel de Cump Nivel de Efect

30%
15% 20%
10%
77
Así mismo en el Siguiente diagrama radar reflejo a que nivel de riesgo mitigan
tales controles y cuál es su nivel de madurez, en función a los resultados
trabajados en el enunciado de aplicabilidad:
Gráfico Nº 2:Niveles de riesgo y madurez de los controles evaluados modelo Nº 1.
NIVEL DE RIESGO Y MADUREZ DE LOS CONTROLES EVALUADOS
N RIESGO
N MADUREZ
Cuando hago la explicación Macro / promedio dentro de los gráficos se registra
la cantidad promedio obtenida por los controles y se llevan a cabo las
evaluaciones pertinentes.
Conocidos los resultados de estos indicadores determinaré:
El Nivel de Cumplimiento y Efectividad de parte de la Entidad del

INTA PG 22 y Directiva 002-2008/CETICOS PAITA “Directiva de
Procedimientos de Ingreso y Salida de Mercancías para Almacenes de
Ceticos Paita”
El Nivel de Cumplimiento y Efectividad de parte de la Entidad de la
Directiva 001-2008/CETICOS PAITA “Directiva de Procedimientos
de Ingreso y Salida de Mercancías para Talleres de Ceticos Paita”
El Nivel de Cumplimiento y Efectividad de parte de la Entidad de la
Directiva 003-2008/CETICOS PAITA “Directiva de Procedimientos
de Ingreso y Salida de la Actividad de Industrias de Ceticos Paita”
Las Mejoras en el comportamiento de los controles evaluados.
Las Mejoras en aspectos de gestión gubernamental.
78
2.3.5 Gestión Gubernamental
2.3.5.1 Indicadores para determinar la Adecuada Administración y Control del
Sistema de Control Interno de la Entidad
2.3.5.1.1 Indicadores Cualitativos
2.3.5.1.1.1 Filosofía de la Dirección
Interpretando a Robert R Moeller en su obra Coso
Enterprise Risk Management / Gestión de Riesgos
Coporativos (2007), refiere: “La filosofía y estilo
de la Dirección comprende la conducta y
actitudes que deben caracterizar a la gestión de
la entidad con respecto del control interno. Debe
tender a establecer un ambiente de confianza
positivo y de apoyo hacia el control interno, por
medio de una actitud abierta hacia el
aprendizaje y las innovaciones, la transparencia
en la toma de decisiones, una conducta orientada
hacia los valores y la ética, así como una clara
determinación hacia la medición objetiva del
desempeño, entre otros”. Al respecto: “He
llegado a la conclusión que dentro de una gestión
gubernamental transparente la filosofía de la
Dirección que instauran los ejecutivos de las
organizaciones consiste exclusivamente en
formular normas y o políticas en donde se
comprometen a instaurar sistemas y
79
controles para proteger los recursos y activos de
información del negocio y en lo posible mejorar
cada cierto tiempo dichos controles y sistemas con
la implementación de recomendaciones
provenientes de los informes de auditoría interna,
externa y hasta las mismas recomendaciones
preventivas y correctivas claramente marcadas y
definidas en las revisiones de gerencia general”.
2.3.5.1.1.2 Gestión Integral de Riesgos
Interpretando a Gumersindo Ruiz y José Ignacio
Jiménez y Juan José Pirámide Torres. En su obra La
Gestión del Riesgo Financiero (2000), refieren: “El
componente evaluación de riesgos abarca el
proceso de identificación y análisis de los riesgos
a los que está expuesta la entidad para el logro
de sus objetivos y la elaboración de una
respuesta apropiada a los mismos. La evaluación
de riesgos es parte del proceso de administración
de riesgos, e incluye: planeamiento,
identificación, valoración o análisis, manejo o
respuesta y el monitoreo de los riesgos de la
entidad. Al igual que ellos concluyo: “Que La
Gestión Integral de Riesgos radica
fundamentalmente en como las
80
organizaciones, definen la metodología que van a
implantar a nivel organizacional para: a) Planear
el riesgo: En donde se documenta la estrategia para
afrontar los riesgos, b) Identificar el riesgo: En
donde se identifican los riesgos potenciales que
pueden poner en peligro la continuidad del
negocio, c) Valorar el Riesgo: En donde se califica
el riesgo en función a la probabilidad e impacto que
puede ocasionar a la organización y
d) mitigar el riesgo: En donde la organización
como política sana instaura los controles riesgos
que serán capaces de mitigar los riesgos
identificados por la organización”.
Interpretando a David L Olson y Deshen Dash Wu,
En su obra Enterprise Risk Management / Gestión
de Riesgos Corporativos (2008). Refieren: “La
administración de riesgos debe formar parte de
la cultura de una entidad. Debe estar
incorporada en la filosofía, prácticas y procesos
de negocio de la entidad, más que ser vista o
practicada como una actividad separada.
Cuando esto se logra, todos en la entidad pasan
a estar involucrados en la administración de
riesgos”. Al igual que ellos concluyo: “Que la
81
gestión integral de riesgos consiste en como la
empresa y administra los riesgos estratégicos,
financieros, tecnológicos, de seguridad industrial y
medio ambiente y los mitiga con la instauración de
controles óptimos con la finalidad de que estos
eventos no puedan poner en peligro la continuidad
del negocio. Para lo cual todos y cada uno de los
actores organizacionales deben de tomar
conciencia de la importancia, probabilidad e
impacto de tales riesgos y ver la consecuencia de
estos sucesos al no instaurar dichos actores los
controles que le fueron proporcionados por la
entidad para mitigar tales eventos”.
2.3.5.1.1.3 Actividades de Control Gerencial
Interpretando a Rodrigo Estupiñan Gaitán en su
obra Control Interno y Fraudes con Base en los
Ciclos Transaccionales. Informe Coso I y Coso II
(2006), Refiere: “El componente actividades de
control gerencial comprende políticas y
procedimientos establecidos para asegurar que
se están llevando a cabo las acciones necesarias
en la administración de los riesgos que pueden
afectar los objetivos de la entidad,
contribuyendo a asegurar el cumplimiento de
82
estos”. Al respecto llego a concluir que: “Las
actividades de control gerencial son el conjunto de
Actividades que se desarrollan en la empresa bajo
el cumplimiento de ciertas políticas y estándares
que deben de tener en cuenta los actores
organizacionales para la buena marcha de
procesos operativos, la confiabilidad de la
información financiera, adecuado manejo de la
tecnología de la información y calidad y suficiencia
de la información que maneja la organización”.
2.3.5.1.1.4 Información y Comunicación
Según Bellalah, Mondher; Prigent, Jean ; Sahut,
Jean ; Pariente, Georges; Levyne, Olivier , en su
obra: Risk Management And Value / Gestion de
Riesgos y Valor ( 2008), refieren: “Se entiende por
el componente de información y comunicación,
los métodos, procesos, canales, medios y acciones
que, con enfoque sistémico y regular, aseguren el
flujo de información en todas las direcciones con
calidad y oportunidad. Esto permite cumplir con
las responsabilidades individuales y grupales. Al
respecto llegó a concluir: “Que en este proceso se
transmite información apropiada, de calidad y
oportuna a
83
los niveles directivos, así como a los interesados
externos tales como: clientes, socios, supervisores,
reguladores entre otros”.
2.3.5.1.1.5 Supervisión y Autoevaluación
Según Harry Cendrowski and William C Mair en su
obra Enterprise Risk Management and Coso /
Gestión de Riesgos Corporativos y Coso (2009),
refieren: “El sistema de control interno debe ser
objeto de supervisión para valorar la eficacia y
calidad de su funcionamiento en el tiempo y
permitir su retroalimentación. Para ello la
supervisión, identificada también como
seguimiento, comprende un conjunto de
actividades de autocontrol incorporadas a los
procesos y operaciones de la entidad, con fines
de mejora y evaluación. Dichas actividades se
llevan a cabo mediante la prevención y
monitoreo, el seguimiento de resultados y los
compromisos de mejoramiento. Coincido con los
autores en la medida: “Que este proceso para una
adecuada gestión gubernamental consiste en como
la empresa se compromete a mejorar
continuamente sus sistemas de control interno con
las recomendaciones formuladas por la misma
84
organización, auditores internos y auditores
externos. Se instauran todas y cada una de las
medidas correctivas y preventivas con la finalidad
de incrementar la competitividad de la empresa y
la eficacia y efectividad de los controles internos y
sistemas de calidad instaurados en la
organización”.
85
2.3.5.1.2 Indicadores Cuantitativos
En función a los 5 componentes que se constituyen en los pilares
del sistema de control interno, Se identificaron los Siguientes
Indicadores que velan por la adecuada administración y control
del sistema de control interno del Ceticos Paita, los cuales traigo
a colación y que serán evaluados:
Tabla 17: Indicadores para evaluar la Filosofía de la Dirección, la Integridad y Valores Éticos y la Administración Estratégica.
1 Filosofía de la Dirección. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Nº de Controles a evaluar: 6 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
2 Integridad y Valores Éticos. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
3 Administración Estratégica. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
86
Tabla 18: Indicadores para evaluar la Estructura Organizacional, la Administración de Recursos Humanos, la Competencia
Profesional, la Asignación de Autoridad y Responsabilidad.
4 Estructura Organizacional. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
5 Administración de los Recursos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Humanos. 100% Extremo. >0 y < =20% = 1 = Inicial.
Nº de Controles a evaluar: 5 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
6 Competencia Profesional. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
7 Asignación de Autoridad y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Responsabilidad. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
87
Tabla 19: Indicadores para evaluar el Órgano de Control Institucional, el Planeamiento de la Administración de riesgos, la
Identificación de riesgos y la Valoración de riesgos.
8 Órgano de Control Institucional. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
9 Planeamiento de la Administración de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Riesgos. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
10 Identificación de Riesgos. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
11 Valoración de Riesgos. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
88
Tabla 20: Indicadores para evaluar la Respuesta al Riesgo, los Procedimientos de Autorización y Aprobación, la Segregación de
Funciones y la Evaluación Costo Beneficio.
12 Respuesta al Riesgo. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
13 Procedimiento de Autorización y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Aprobación. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
14 Segregación de Funciones. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
15 Evaluación Costo Beneficio. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
89
Tabla 21: Indicadores para evaluar los Controles sobre el Acceso a Recursos y Archivos, las Verificaciones y Conciliaciones, las
Evaluaciones de Desempeño y las Rendiciones de Cuentas.
16 Controles sobre el acceso a los Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
recursos y archivos. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
17 Verificaciones y Conciliaciones. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
18 Evaluaciones de Desempeño. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
19 Rendición de Cuentas. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
90
Tabla 22: Indicadores para evaluar la Documentación de Procesos, Actividades y Tareas, la Revisión de Procesos Actividades y
Tareas, los Controles para las Tecnologías de Información y Comunicaciones y las Funciones y características de la Información.
20 Documentación de Procesos, Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Actividades y Tareas. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
21 Revisión de Procesos Actividades y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Tareas. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
22 Control para las Tecnologías de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Información y Comunicaciones. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
23 Funciones y Características de la Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Información. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
91
Tabla 23: Indicadores para evaluar la Información y la Responsabilidad, la Calidad y Suficiencia de la Información, los Sistemas de
Información y la Flexibilidad al Cambio.
24 Información y Responsabilidad. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
25 Calidad y suficiencia de la Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Información. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
26 Sistemas de Información. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
27 Flexibilidad al Cambio. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
92
Tabla 24: Indicadores para evaluar el Archivo Institucional, la Comunicación Interna, la Comunicación Externa y los Canales de
Comunicación.
28 Archivo Institucional. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
29 Comunicación Interna. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
30 Comunicación Externa. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
31 Canales de Comunicación. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
93
Tabla 25: Indicadores para evaluar las Actividades de Prevención y Monitoreo, Seguimiento de Resultados y los Compromisos de
Mejoramiento.
32 Actividades de Prevención y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Monitoreo. 100% Extremo. >0 y < =20% = 1 = Inicial.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
33 Seguimiento de Resultados. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
34 Compromiso de Mejoramiento. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
cumplimiento efectividad, riesgo y madurez del sistema de control interno en
función a los criterios cuantitativos establecidos en el Estándar Neozelandés
ANZS 4360, ISO 31:000-2009 e ISO 31010:2009, que a
continuación se detallan:
Tabla 26: Criterios Cuantitativos para evaluar el Control Interno Organizacional en función al Estándar
ISO31000 e ISO 31010: 2009.
94
metas previstas.
Tabla 27: Obtención del resultado del nivel de riesgo para el sistema de control interno organizacional.
Tabla 28: Descripción de los niveles de riesgo para el sistema de control interno organizacional.
1 Aceptable La Estructura de Control Interno posee controles que mitigan a un nivel de riesgo. Si hay
deficiencias, éstas son de naturaleza menor y pueden ser fácilmente administradas.
2 Moderado La Estructura de Control Interno está experimentando una combinación de factores adversos
que requiere acciones correctivas de relativa urgencia. Los problemas están identificados y
requieren preocupación y monitoreo superior a lo normal.
3 Alto La Estructura de Control Interno opera en condiciones inaceptables en cuanto al riesgo que
asumen. Está presente una gran probabilidad de falla operacional y/o información financiera
pero las debilidades no son tan severas como para comprometer una inmediata falla del área de
sistemas informáticos. Es necesario que se promueva acciones correctivas de urgencia.
4 Extremo La Estructura de Control Interno experimenta una combinación de debilidades y tendencias

adversas que están en un punto en que la continuidad del negocio está en duda. Es necesario
que se promueva acciones correctivas y se ejerza seguimiento continuo.
95
Tabla 29: Obtención del resultado del nivel de madurez del sistema de control interno organizacional.
Tabla 30: Descripción de los niveles de madurez del sistema de control interno organizacional.
0= No existe
Carencia total de cualquier proceso reconocible. La organización no ha reconocido siquiera que hay un
asunto que atender.
1= Inicial
Hay evidencia de que la organización ha reconocido que existe una situación a ser atendida. No hay, sin
embargo, procesos estandarizados sino enfoques ad hoc que tienden a ser aplicados en casos individuales.
2= Repetible
Hay un alto grado de confianza en el conocimiento de un individuo y por lo tanto la posibilidad de errores.
3= Definido
Se han estandarizado y documentado procedimientos y comunicado a través de entrenamiento. Sin
embargo no se realizan procesos de autoevaluación, y es probable que las desviaciones no sean detectadas.
4= Administrado
Es posible monitorear y medir el cumplimiento con procedimientos y tomar acción donde los procesos
parecen no estar funcionando efectivamente. Los procesos se encuentran bajo mejora constante y
proporcionan una buena práctica. Automatización y herramientas se utilizan en forma limitada y
fragmentada.
5= Optimizado
Los procesos han sido refinados a un nivel de mejores prácticas, basados en los resultados de mejoras
continuas y modelos de madurez con otras organizaciones. TI es utilizada en una forma integrada para
automatizar el flujo de trabajo, proporcionando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte rápidamente.
31:000-2009 e ISO 31010:2009 a nivel micro y macro, por ejemplo:
Tabla 31: Enunciado de Aplicabilidad modelo Nº 2.
EVALUACION
A C1 CONTROL 1 X 20% 15% 4 0
B C2 CONTROL 2 X 20% 20% 3 1
REULTADO MACRO / PROMEDIO 2 20% 17.5% 4 1
96
Incumplimiento Alto, este control mitiga a un nivel de Riesgo 4 Extremo y
posee un nivel de madurez de 0 No existe, es decir dicho proceso opera en
condiciones inaceptables.
Incumplimiento Alto, este control mitiga a un nivel de Riesgo 3 Alto y posee
un nivel de madurez de 1 Inicial, es decir dentro del Proceso B se deben de
tomar medidas correctivas con carácter de urgencia.
A nivel Macro dentro del Proceso A y B se han encontrado dos debilidades
cumplimiento y efectividad del 20 y 17.5% respectivamente además dichos
controles mitigan a niveles de riesgo 4 Extremo y poseen un nivel de madurez
inicial, es decir dichos procesos operan en condiciones inaceptables y hay que
tomar medidas urgentes para solucionar las debilidades encontradas. Estos
mismos resultados serán procesados en histogramas de frecuencia y diagramas
radar para establecer las comparaciones pertinentes. Por ejemplo en el
siguiente histograma de frecuencia se refleja el análisis del nivel de
cumplimiento y efectividad de los controles a nivel micro.
Gráfico Nº 3: Nivel de cumplimiento y efectividad de los controles Modelo Nº 3.

EVALUADOS

20% 15% 20% 20%
97
Gráfico Nº 4: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 2.
N RIESGO
N MADUREZ
El Nivel de Implementación, Efectividad, Riesgo y Madurez del

Sistema de Control Interno del Ceticos Paita.
La Adecuada Administración del Sistema de Control Interno de la
Entidad.
Las Mejoras Gubernamentales que ha experimentado dicho sistema
en un espacio de tiempo delimitado por la Auditoría de Riesgos.
98
2.3.6 Seguridad de la Información
Según Arturo, Ribagorda Garnacho y Benjamín Ramos Álvarez, en su Obra Avances
en Criptologia y Seguridad de la Información (2004), refiere: “Se entiende por
seguridad de la información a todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistemas tecnológicos que permitan
resguardar y proteger la información buscando mantener la confidencialidad, la
disponibilidad e Integridad de la misma”. Coincido rotundamente con los autores y
al mismo tiempo afirmo: “Que hoy en día las empresas manejan innumerables activos
de información (documentos, reportes, activos fijos del negocio, unidades de
hardware en donde se almacena información inclusive el mismo factor humano) los
mismos que deben de estar protegidos por sistemas de gestión de seguridad de la
información que deben de instaurar las empresas con la finalidad de administrar y
proteger los activos de información contra practicas mal intencionadas de agentes
internos y externos que puedan poner en peligro a la continuidad del negocio”.
2.3.6.1 Indicadores para determinar la Adecuada Administración y Control del
Sistema de Gestión de Seguridad de la Información
2.3.6.1.1 Indicadores Cualitativos
2.3.6.1.1.1 Manual de Uso de Recursos Informáticos
El Manual de uso de los recursos informáticos
aprobado con Resolución de Gerencia General Nº
010-2009-CETICOS PAITA, del 17/04/2009, en
su punto 6.1 Administración de los Recursos
Informáticos literal f manifiesta: “Está prohibido
99
almacenar en los equipos asignados archivos no
vinculados con el trabajo de CETICOS PAITA.
Todo tipo de información contenida en los
recursos informáticos (computadoras,
servidores, documentos digitalizados e impresos,
etc.) y referidos a la Institución es únicamente
propiedad de CETICOS PAITA, por lo que los
usuarios deberán conservarlo y resguardarlo
bajo su responsabilidad”.
2.3.6.1.1.2 Manual de Uso de Correo Corporativo Institucional
Los Manuales de uso de los recursos informáticos y
del correo electrónico corporativo aprobados con
Resoluciones de Gerencia General Nº 010 y 013-
2009-CETICOS PAITA, del 17 y 23/04/2009, en
su punto 6.3 Uso de Correos Electrónicos e Internet
literal e párrafo 2, y en su Capítulo III en su punto
3.1 Uso Correcto del correo electrónico
manifiestan: “Queda prohibido el uso de Internet y
correo electrónico para: Acceder, almacenar y
transmitir comunicaciones e imágenes ofensivas
con relación a los ámbitos sexual, raza,
nacionalidad, creencias religiosas o políticas y de
pornografía en cualquier modalidad”.
10
0
Dichos Indicadores se han construido de acuerdo a las Normas
y Directivas Internas que aplica el Ceticos Paita para el
adecuado control y administración del Sistema de Gestión de
Seguridad de la Información (SGSI):
Tabla 32: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de la Información ítem 1 a 4.
Ítem Indicadores Nivel de Cumplimiento y Nivel Nivel de Riesgo Nivel de Madurez
de Efectividad
1 Alcance y Limites del Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
SGSI. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
y < 90%. > 75% = 1 Aceptable >40% y <60% = 3= Definido.
Incumplimiento Alto: >= 0% y < >60% y <90% = 4 Administrado.
60%. >91% y < =100% Optimizado.
2 Política SGSI. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
3 Enfoque de evaluación de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
4 Identificación, Análisis y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Evaluación de Riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
10
1
Tabla 33: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de la Información
ítem 5 a 8.
de Efectividad
5 Identificación y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Evaluación para el plan de 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
tratamiento de riesgos. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
60%. >91% y < =100% Optimizado.
6 Objetivos y Controles para Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
el Plan de Tratamiento de 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
riesgos. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
60%. >91% y < =100% Optimizado.
7 Aprobación de Gerencia Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
General para asumir el 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Riesgo Residual. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
60%. >91% y < =100% Optimizado.
8 Autorización de Gerencia Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
para implementar y 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
aprobar el Sistema de Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
Gestión de Seguridad de la y < 90%. > 75% = 1 Aceptable >40% y <60% = 3= Definido.
Información. Incumplimiento Alto: >= 0% y < >60% y <90% = 4 Administrado.
60%. >91% y < =100% Optimizado.
100
Tabla 34: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de la Información ítem 9 e
Indicadores para evaluar el nivel de implementación del Sistema de Gestión de Seguridad de la Información ítem 10 a 13.
de Efectividad
9 Enunciado de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Aplicabilidad. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
10 Formulación del Plan de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Tratamiento de riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
11 Implementación del Plan Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
de Tratamiento de Riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
12 Implementación de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Controles. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
13 Medición de efectividad de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
los controles. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
101
Tabla 35: Indicadores para evaluar el nivel de implementación del Sistema de Gestión de Seguridad de la Información ítem 14 a 15
e indicadores para evaluar el proceso de supervisión y monitoreo al Sistema de Gestión de Seguridad de la Información ítem 16 a 18.
de Efectividad
14 Programas de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
capacitación. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
15 Operaciones y recursos. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
16 Programa de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
calendarización para 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
acciones de prevención y Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
monitoreo. y < 90%. > 75% = 1 Aceptable >40% y <60% = 3= Definido.
60%. >91% y < =100% Optimizado.
17 Adecuado Uso de Recursos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Informáticos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
18 Adecuado uso de correo Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
corporativo institucional. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
102
Tabla 36: Indicadores para evaluar el proceso de supervisión y monitoreo al Sistema de Gestión de Seguridad de la Información
ítem 19 e Indicadores para evaluar el proceso de mejora continua al Sistema de Gestión de seguridad de la Información ítem 20.
de Efectividad
19 Evaluaciones al Sistema de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Gestión de Seguridad de la 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Información. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
60%. >91% y < =100% Optimizado.
20 Acciones Correctivas y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Preventivas. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
60%. >91% y < =100% Optimizado.
cumplimiento efectividad, riesgo y madurez del sistema de Gestión de
Seguridad de la Información del Ceticos Paita en función a los criterios
31:000-2009 e ISO 31010, que a continuación se detallan:
Tabla 37: Criterios cuantitativos para evaluar el Sistema de Gestión de Seguridad de la Información en
función al estándar ISO 31000 e ISO 31010: 2009.
103
metas previstas.
Tabla 38: Obtención del resultado del nivel de riesgo para el sistema de gestión de seguridad de la
información.
Tabla 39: Descripción de los niveles de riesgo para el sistema de gestión de seguridad de la información.
1 Aceptable El Sistema de Gestión de Seguridad de la Información del Ceticos Paita posee controles que
mitigan a un nivel de riesgo. Si hay deficiencias, éstas son de naturaleza menor y pueden ser
fácilmente administradas.
2 Moderado El Sistema de Gestión de Seguridad de la Información está experimentando una combinación
de factores adversos que requiere acciones correctivas de relativa urgencia. Los problemas están
identificados y requieren preocupación y monitoreo superior a lo normal.
3 Alto El Sistema de Gestión de Seguridad de la Información opera en condiciones inaceptables en

cuanto al riesgo que asumen. Está presente una gran probabilidad de falla operacional y/o
información financiera pero las debilidades no son tan severas como para comprometer una
inmediata falla del área de sistemas informáticos. Es necesario que se promueva acciones
correctivas de urgencia.
4 Extremo El Sistema de Gestión de Seguridad de la Información experimenta una combinación de

debilidades y tendencias adversas que están en un punto en que la continuidad del negocio está
en duda. Es necesario que se promueva acciones correctivas y se ejerza seguimiento continuo.
Tabla 40: Obtención del resultado del nivel de madurez para el sistema de gestión de seguridad de la información.
104
Tabla 41: Descripción de los niveles de madurez para el sistema de gestión de seguridad de la información.
0= No existe
Carencia total de cualquier proceso reconocible. La organización no ha reconocido siquiera que hay un
asunto que atender.
1= Inicial
Hay evidencia de que la organización ha reconocido que existe una situación a ser atendida. No hay, sin
embargo, procesos estandarizados sino enfoques ad hoc que tienden a ser aplicados en casos individuales.
2= Repetible
Hay un alto grado de confianza en el conocimiento de un individuo y por lo tanto la posibilidad de errores.
3= Definido
Se han estandarizado y documentado procedimientos y comunicado a través de entrenamiento. Sin
embargo no se realizan procesos de autoevaluación, y es probable que las desviaciones no sean detectadas.
4= Administrado
Es posible monitorear y medir el cumplimiento con procedimientos y tomar acción donde los procesos
parecen no estar funcionando efectivamente. Los procesos se encuentran bajo mejora constante y
proporcionan una buena práctica. Automatización y herramientas se utilizan en forma limitada y
fragmentada.
5= Optimizado
Los procesos han sido refinados a un nivel de mejores prácticas, basados en los resultados de mejoras
continuas y modelos de madurez con otras organizaciones. TI es utilizada en una forma integrada para
automatizar el flujo de trabajo, proporcionando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte rápidamente.
31:000-2009 e ISO 31010:2009, a nivel micro y macro, por ejemplo:
Tabla 42: Enunciado de Aplicabilidad Modelo Nº 3.
EVALUACION
A C1 CONTROL 1 x 75% 85% 1 4
B C2 CONTROL 2 x 76% 86% 1 4
REULTADO MACRO / PROMEDIO 2 76% 86% 1 4
Incumplimiento Medio, este control mitiga a un nivel de Riesgo 1 Aceptable
y posee un nivel de madurez de 4 Administrado, es decir dicho proceso opera
en condiciones aceptables.
105
Incumplimiento Medio, este control mitiga a un nivel de Riesgo 1 Aceptable
y posee un nivel de madurez de 4 Administrado, es decir dentro del Proceso B
se están dando mejoras y buenas prácticas.
A nivel Macro dentro del Proceso A y B se han encontrado dos fortalezas
cumplimiento y efectividad del 76 y 86 respectivamente además dichos
controles mitigan a niveles de riesgo 1 Aceptable y poseen un nivel de madurez
4 Administrado, es decir dichos procesos presentan un mediano y grado de
desarrollo y se encuentran en mejora continua. Estos mismos resultados serán
procesados en histogramas de frecuencia y diagramas radar para establecer las
comparaciones pertinentes. Por ejemplo en el siguiente histograma de
frecuencia se refleja el análisis del nivel de cumplimiento y efectividad de los
controles a nivel micro.
Gráfico Nº 5: Nivel de cumplimiento y efectividad de los controles evaluados Modelo Nº 3.

EVALUADOS

85% 86%
75% 76%
106
Gráfico Nº 6: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 3.
N RIESGO
N MADUREZ
El Nivel de Implementación, Efectividad, Riesgo y Madurez del
Sistema de Gestión de Seguridad de la Información.
La Adecuada Administración y Control del Sistema de Gestión de
Seguridad de la Información de la Entidad.
Las Mejoras Gubernamentales que ha experimentado dicho sistema
en un espacio de tiempo delimitado por la Auditoría de Riesgos.
2.3.6.2 Indicadores para determinar la Adecuada Atención a las
Recomendaciones de Auditoría Interna de parte de la Gerencia General
En la siguiente tabla enfaticé en los Indicadores Cuantitativos
que me determinaron el nivel de atención de parte del Gerente
General en atender las recomendaciones de las Auditorías de
Riesgos efectuadas por mi persona, así como la mejora en la
Gestión Gubernamental.
107
Tabla 43: Indicadores cuantitativos para determinar el nivel de atención de parte de la Gerencia
general en atender Recomendaciones de Auditoría Interna.
Ítem Descripción del Indicador Índice Calificación

1 Nº de Recomendaciones Pendientes 0% Gestión Gubernamental
Ineficiente
2 Nº de Recomendaciones en Proceso >0% y <100% Gestión Gubernamental
Moderadamente eficiente
3 Nº de Recomendaciones Atendidas >=100% Implementado= Gestión
Gubernamental eficiente.
108
2.4 Hipótesis
HIPÓTESIS GENERAL
1. La Auditoría de Riesgos eficaz facilita la gestión gubernamental óptima del Ceticos
Paita.
HIPÓTESIS SECUNDARIAS
1. La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y
madurez del Sistema de Control Interno de la entidad bajo el enfoque de gestión
integral de riesgos.
2. La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y
madurez del Sistema de Gestión de Seguridad de la información bajo el enfoque de
gestión integral de riesgos.
3. La Auditoría de Riesgos Determina el Estado Situacional de las Recomendaciones
formuladas por el Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres y aspectos de seguridad
de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011.
109
CAPÍTULO III: MÉTODO
3.1 Tipo
Esta investigación será del tipo experimental, en donde demostraré que la Auditoria de
Riesgos eficaz facilita la Gestión Gubernamental del Ceticos Paita. El Objetivo de esta
investigación se centra en realizar un experimento que permita demostrar presupuestos e
hipótesis explicativas; se trabaja en una relación causa-efecto inmediata para lo cual
requiere la aplicación del método experimental.
3.2 Diseño de Investigación
El Diseño seleccionado a implementarse en el presente estudio, es el diseño con pos prueba
únicamente y grupo de control, es decir, la manipulación de la variable independiente
alcanza solo dos niveles: presencia y ausencia.
3.3 Estrategia de Prueba de Hipótesis
Como lo mencione anteriormente el diseño de mi investigación científica será el de pos
prueba únicamente y grupo de control y lo podemos graficar de la siguiente manera:
Tabla 44: Diseño de Investigación: Post Prueba únicamente y Grupo de Control.
GRUPOS DE PRESENCIA (X) O AUSENCIA (-) DE LA MEDICIÓN DE LOS

CONTROL VARIABLE INDEPENDIENTE SUJETOS DE UN
SELECCIONADOS GRUPO
DE MANERA
ALEATORIA
RG1 X 01
RG2 - 02
Simbología del Diseño Experimental:
RG1= Procesos Críticos del Negocio, Sistema Control Interno de la Entidad y de
Seguridad de la Información.
RG2= Diagnóstico de los Procesos Críticos del Negocio, Sistema de Control Interno y de
Seguridad de la Información ejercicios.
110
X= Auditoría de Riesgos / Variable Independiente.
O1 y O2= Medición de los Sujetos de un grupo.
- = Ausencia de la Variable Independiente.
Ahora la estrategia para probar la hipótesis de la investigación radicará en que: aplicaré la
Variable Independiente (Auditoria de Riesgos) únicamente al Grupo de Control N° 1
seleccionado aleatoriamente denominado Procesos Críticos del Negocio, Sistema de
Control Interno y de Seguridad de la Información, que comenzaron a funcionar a partir del
mes de Setiembre del 2007 en adelante.
Los resultados de este experimento, una vez instauradas las recomendaciones sugeridas
por la Auditoría de Riesgos, de parte de la entidad para incrementar la performance de su
Sistema de Control Interno y demás sistemas internos, serán comparadas con el Grupo de
Control N° 2 denominado Diagnóstico de los Procesos Críticos del Negocio, Sistema de
Control Interno y de Seguridad de la Información al 31/12/2007, a quien no se le administró
la variable independiente.
Con la ayuda de este Diseño demostraré que la Aplicación de la Auditoría de Riesgos
Eficaz facilita la gestión gubernamental óptima del Ceticos Paita.
3.4 Variables
3.4.1 Variable Independiente
X= Auditoría de Riesgos Eficaz.
3.4.2 Variable Dependiente
Y= Gestión Gubernamental Óptima.
3.4.3 Variable Interviniente.
111
Z= Centro de Exportación, Transformación, Industria, Comercio y Servicios
Generales de Paita CETICOS PAITA.
3.4.4 Operacionalización de Variables
A Continuación muestro una tabla en donde se refleja la Operacionalización de
Variables de mi trabajo de Investigación Científica:
Tabla 45: Operacionalización de las Variables.
VARIABLE SUB-VARIABLES INDICADORES RELACIONES
X1. Aplicación de la Auditoria de Riesgos al Ceticos Paita. Nivel de Cumplimiento y Efectividad de parte de la Entidad del Inta Pg 22 y
Directiva 002-2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y
Salida de Mercancías para Almacenes de Ceticos Paita”
Variable Independiente: Nivel de Cumplimiento y Efectividad de parte de la Entidad de la Directiva 001-

2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y Salida de
X. Auditoría de Riesgos Eficaz Mercancías para Talleres de Ceticos Paita” X-Y-Z
Nivel de Cumplimiento y Efectividad de parte de la Entidad de la Directiva 003-

2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y Salida de la
Actividad de Industrias de Ceticos Paita” X1-Y1-Z
X1-Y2-Z
Variable Dependiente: Y.1. Adecuada Administración y Control del Sistema de Nivel de Efectividad, Implementación y Niveles de Riesgo y Madurez del Sistema X1-Y3-Z
Control Interno de la Entidad. de Control Interno de la Entidad.

Y. Gestión Gubernamental X1-Y4-Z
Óptima. Y2. Adecuada Administración y Control del Sistema de Nivel de Efectividad, Implementación y Niveles de Riesgo y Madurez del Sistema
Gestión de Seguridad de la Información del Ceticos Paita. de Gestión de Seguridad de la Información de la Entidad. X1-Y5-Z
Y3. Adecuada Atención a las Recomendaciones de

Auditoría de parte de la Gerencia General.
Nº de Recomendaciones e Informes Implementadas y/o Atendidos.
Variable Interviniente: Z. Ceticos Paita.
3.5 Población
La población según el Sistema Nacional de Control está conformada por tres (3) Ceticos
los cuales se encuentran en Paita, Matarani e Ilo.
3.6 Muestra
La Muestra, será netamente no probabilística corresponde a la variante de sujeto tipo es
decir, esta muestra que abarca a el Ceticos Paita que representa a todas los Centros de
112
Exportación, Transformación, Industria, Comercio y Servicios Generales que tienen
características similares con la unidad de observación y la he elegido de acuerdo a los
siguientes criterios:
Acceso a la información, porque actualmente estoy llevando a cabo una serie de
acciones de control en tal entidad.
Facilidades, debido al contacto con los servidores y funcionarios de la entidad puedo
acceder a una serie de informaciones.
Importancia de la Empresa, Es una unidad de Observación que necesita la atención
debida ya que recibe transferencias del gobierno central que deben de ser manejados de
la mejor manera posible.
3.7 Técnicas de Investigación
3.7.1 Instrumentos de Recolección de Datos
 Programa de Auditoría de Riesgos. (Anexo 1).
Diagramas de Procesos. (Anexo 2).
Enunciados de Aplicabilidad. (Anexo 3).
Matriz de Riesgos vs Controles. (Anexo 4).
Histogramas de Frecuencia y Diagramas Radar. (Anexo 5).
Planes de Tratamiento de Riesgos. (Anexo 6).
Análisis Comparativo. (Anexo 7)
Informe Ejecutivo. (Anexo 8).
3.7.2 Procesamiento y Análisis de Datos
En este punto he resuelto el Programa de Auditoría de Riesgos Propuesto (Ver Anexo
1) en función a los Objetivos Generales y Específicos de la Investigación El
Procesamiento de la Información se encuentra en todos y cada uno de los enunciados
de aplicabilidad, matriz de riesgos y controles, histogramas de
113
frecuencia, diagramas de radar, Planes de tratamiento de riesgos e Informes
Ejecutivos que me sirvieron para validar mis hipótesis así mismo cada objetivo
general y específico se encuentra analizado con su respectivo Informe de Auditoría
de Riesgos.
3.7.2.1 Con respecto al Objetivo General 1: La Auditoría de Riesgos eficaz facilita
la Gestión Gubernamental Óptima del Ceticos Paita
Se aplicó la Auditoría de Riesgos al Proceso de Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Talleres e Industrias con la
finalidad de demostrar el Objetivo General 1.
Establecer el Contexto: Se elaboró el Diagrama de Procesos. En donde reflejó
el Conocimiento del Proceso de Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias y los controles que le dan
soporte a dicho proceso. (Ver Anexo 2 PT 1).
Identificación de Riesgos: Se identificaron 32 Riesgos con la ayuda del
Enunciado de Aplicabilidad. (Ver Anexo 3 PT 2).
Análisis de Riesgos: Los 32 Controles que fueron evaluados arrojaron
resultados desfavorables para la Empresa. (Ver Anexo 4 PT 3).
114
Evaluación de Riesgos: El Proceso de Ingreso y Salida de Mercancías de la
actividad de almacenes operaba en condiciones inaceptables. (Ver Anexo 5
PT 5).
Plan de Tratamiento de Riesgos: En mi Calidad de Jefe del Órgano de Control
Institucional sugerí 32 recomendaciones para mejorar la Gestión
Gubernamental del Ceticos Paita. (Ver Anexo 6 PT 6).
Supervisión y Monitoreo: Luego de Monitorear y Supervisar la Implantación
del Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo
de Colaboradores, el Sistema que monitorea el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Talleres e Industrias
experimentó mejoras en aspectos de Gestión Gubernamental y Gestión de
Riesgos. (Ver Anexo 7 PT 7).
Comunicación y Consulta: Se elaboró el Informe Final cuya estructura y
Resultados alineados al Objetivo General 1, reporta los siguientes resultados:
115
INFORME DE AUDITORÍA DE RIESGOS A LAS ACTIVIDADES DE
ALMACENES, TALLERES E INDUSTRIAS EJERCICIO 2007 AL 2010
I. INTRODUCCIÓN
1. ORÍGEN DEL EXAMEN
En cumplimiento al Plan Anual de Auditoría.
2. OBJETIVOS DEL EXAMEN
a) Objetivos Generales:
a.1 Con la Aplicación de la Auditoría de Riesgos:

Verificar el Nivel de Cumplimiento y Efectividad de
parte de la Entidad del:
 Inta Pg 22 y Directiva 002-2008/CETICOS

PAITA “Directiva de Procedimientos de Ingreso
y Salida de Mercancías para Almacenes de
Ceticos Paita”.
 Directiva Nº 001-2008/CETICOS PAITA
“Directiva de Procedimientos de Ingreso y Salida
de Mercancías para Talleres de Ceticos Paita”.
 Directiva Nº 003-2008/CETICOS PAITA
“Directiva de Procedimientos de Ingreso y Salida
de la Actividad de Industrias de Ceticos Paita”.
b) Objetivos Específicos:
b.1 Determinar el Estado Situacional de los Riesgos

Evidenciados durante la Auditoría.
116
b.2 Comentar el Impacto que ha generado la Evaluación
dentro del Negocio.
3. ALCANCE
El alcance Abarca los Periodos 2007, 2008, 2009 y 2010 en
donde se revisaron todos y cada uno de los Controles que se
encuentran inmersos en los Procesos de Ingreso y Salida de
Mercancías de las Actividades de: Almacenes, Industrias y
Talleres. Se evaluó al El Personal Ejecutivo y Administrativo del
Ceticos Paita.
4. METODOLOGÍA
Se aplicó la Metodología de la Auditoría de Riesgos.
5. BASE LEGAL
• Reglamento de Organización y Funciones del Ceticos
Paita.
• Procedimiento de Calidad Inta PG 22.
• Directiva Nº 001-2008 “Directiva de Control de Ingreso
y Salida de Vehículos de la Actividad de Talleres”.
• Directiva de Infracciones y Sanciones del Ceticos Paita.
• Normas de Control Interno Resolución de Contraloría
General 320-2006.
• Reglamento de Seguridad y Salud en el Trabajo.
• Libro de Seguridad de Montacargas.
• Norma A.130 Requisitos de Seguridad.
117
• Norma Técnica Peruana 399.010-1-2004.
• Decreto Supremo Nº 005-94-IN Reglamento de
Servicios de Seguridad Privada.
La labor se desarrolló en la sede del CENTRO DE
EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA,
COMERCIALIZACIÓN Y SERVICIOS DE PAITA –
CETICOS PAITA, sito en Carretera Paita Sullana Km 3 Paita
- Perú.
6. COMENTARIOS
6.1 CONOCIENDO EL PROCESO A AUDITAR
 Se elaboró el Diagrama del Proceso del Sistema de Gestión
de Calidad vinculado con el Ingreso y Salida de Mercancías
de la Actividades Almacenes, Talleres e Industrias del
Ceticos Paita.
 Se identificaron los Procesos y Controles que operan en
dichos procesos. (Ver Anexo 1 PT 1).
6.2 ESTADO SITUACIONAL DE LA ENTIDAD ANTES
DE LA ADOPCIÓN DE MEDIDAS CORRECTIVAS

Tabla 46: Estado Situacional de la entidad antes de la Adopción de Medidas Correctivas vinculada con la Evaluación a las Actividades
de Almacenes, Industrias y Talleres.
PROCESOS CONTROLES DESCRIPCIÓN NIVEL DE NIVEL DE NIVEL DE NIVEL DE
EVALUADOS EVALUADOS IMPLEMENTACIÓN EFECTIVIDAD RIESGOS MADUREZ
4 32 Controles que administran y 24% 30% 4 1
supervisan el Ingreso y Salida de
Mercancías de las Actividades de
Almacenes, Industrias y Talleres.
118
En promedio los 32 Controles que se encuentran dentro de los
Procesos que controlan el Ingreso y Salida de Mercancías de las
actividades de Almacenes, Talleres e Industrias poseen un Nivel
de Implementación y Efectividad del 24 y 30% Incumplimiento
Alto respectivamente, mitigan a niveles de Riesgo 4 Extremo y
Poseen un Nivel de Madurez 1 Inicial, es decir dichos controles
y procesos están operando en condiciones Inaceptables y es de
vital importancia que el Gerente General tome Medidas con
carácter de urgencia. (Ver Anexo 4 PT3).
7. RIESGOS / OBSERVACIONES
Los Riesgos han sido redactados en función al Criterio
Vulnerado, Recomendaciones, Acciones Correctivas y Estado
Situacional del Riesgo Calificando claro está el Nivel de
Implementación (NI), Nivel de Efectividad (NE) Nivel de Riesgo
(NR) y Madurez (NM) de los Controles evaluados, El Detalle se
refleja en la Siguiente Tabla:
119
Tabla 47: Riesgos evidenciados del Nº1 al Nº4, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
.Nº Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Estado del Riesgo
Correctiva
Riesgo
PROCESO DE EVALUACIÓN
Control Evaluado: Sistema de Gestión de Calidad
1 La Entidad no ha instaurado Directivas para 0% 0% 4 0 Norma de Control Interno Instaurar Directivas. Proceder a la Atendido.
monitorear el Control de Ingreso y Salida de 320-2006-CG. Instauración de
Mercancías de las Actividades de Almacenes, Punto 3.8 Documentación las Directivas.
Industrias y Talleres del Ceticos Paita. de Procesos Actividades y
Tareas.
PROCESO DE IMPLEMENTACIÓN
Control Evaluado: Responsabilidad de la Dirección.
2 La entidad no ha instaurado manuales de 0% 0% 4 0 Instaurar Manuales de Proceder a la Atendido.
procedimientos en donde se reflejen todos y Procedimientos. Instauración de
cada uno de los lineamientos y políticas a Manuales de
considerar para la adecuada administración y Procedimientos.
control del Ingreso y Salida de Mercancías de
las Actividades de Almacenes, Industrias y
Talleres del Ceticos Paita.
PROCESO DE SUPERVISIÓN Y MONITOREO
Control Evaluado: Gestión de Recursos.
3 No Se provee Entrenamiento y capacitación al 10% 15% 4 1 Norma de Control Interno Incrementar el nivel de Proceder a Atendido.
personal de operaciones. 320-2006-CG. competencias con Capacitar al
Punto 1.5 Administración capacitación. Personal de
de Recursos Humanos. operaciones.
4 No Se provee Apoyo Logístico al personal de 0% 10% 4 1 Reglamento de Seguridad y Proporcionar los Proceder a la Atendido.
Operaciones. Salud en el Trabajo Titulo Equipos de Protección Compra de los
IV Capítulo I art 37 y 50. Personal Idóneos. Equipos de
Protección
Personal.
120
Tabla 48: Riesgos Evidenciados del Nº 5 al Nº 11 vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Nº Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Correctiva Estado del Riesgo
Riesgo
Control Evaluado: Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias.
5 No Se lleva un adecuado control de las 39% 40% 3 2 Inta Pg. 22. Mejorar Fortalecer los Mitigados.
Operaciones de Importación Definitiva y Controles. Controles.
Simplificada.
6 No Se lleva un adecuado Control de Ingreso de 60% 60% 2 3 Mejorar Fortalecer los Mitigados.
Vehículos actividad de Talleres. Carencia de Directiva 001-2008 CP Capítulo Controles. Controles.
Tickets de Peso y Manifiestos de Carga. VII Procedimiento1.
7 No Se efectúan Conciliaciones y Verificaciones 55% 55% 2 3 Norma de Control Interno 320- Mejorar Fortalecer los Mitigados.
actividad de talleres. Evidenciándose 2006-CG. Punto 3.5 Controles. Controles.
Diferencias entre el Sistema de Gestión y Conciliaciones y Verificaciones.
Documentación Sustentatoria por
$3,390 Dólares Americanos. Norma de Control Interno 320-
8 No se lleva a cabo un adecuado Control de 60% 60% 2 3 2006-CG. Punto 4.3. Calidad de Mejorar Fortalecer los Mitigados.
salida de vehículos actividad de talleres. (En los Información 4.4 Sist. De Controles. Controles.
reportes no se consigna el Valor CIF ni datos del Información y 3.5 Conciliaciones y
REVISA 2). Verificaciones.
Directiva 001-2008 CP Capítulo
VIII Procedimiento12.
VII Procedimiento12.

9 No se lleva a cabo un adecuado Control de 50% 50% 3 3 VII Procedimiento3. Mejorar Fortalecer los Mitigados.
salida de partes y piezas actividad de talleres. Controles. Controles.

Norma de Control Interno 320-
10 No se lleva a cabo un adecuado Control de 56% 57% 3 3 2006-CG. Punto 3.5 Mejorar Fortalecer los Mitigados.
Levante autorizado en la salida de vehículos. Conciliaciones y Verificaciones. Controles. Controles.
11 No Se lleva a cabo un adecuado Control de 50% 58% 3 3 Mejorar Fortalecer los Mitigados.
Salida de Vehículos para exportación. Controles. Controles.
121
Tabla 49: Riesgos evidenciados del Nº 12 al Nº 17, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres
Nº Riesgo Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Estado del
Correctiva Riesgo
12 No Se lleva a cabo un 50% 58% 3 3 Norma de Control Mejorar Controles. Fortalecer Mitigados.
adecuado Control a los Interno 320-2006-CG. los
formatos de Órdenes de Salida Punto 3.5 Controles.
de Vehículos. Conciliaciones y
Verificaciones.
Directiva 001-2008
CP Capítulo VIII
Procedimiento3.
Control Evaluado: Control de Usuarios del Ceticos Paita.
13 No Se lleva a cabo un 19% 20% 4 1 Reglamento de Mejorar Controles. Fortalecer Mitigados.
adecuado Control de Riesgos Seguridad y Salud en los
Industriales en aspectos de el Trabajo Titulo IV Controles.
reparaciones de Capítulo I art 37.
Infraestructuras.
14 No Se lleva a cabo un 50% 50% 3 3 Reglamento de Mejorar Controles. Fortalecer Mitigados.
adecuado control de seguridad Seguridad y Salud en los
En el Cableado Eléctrico. el Trabajo Art 6, Controles.
Literal f).
15 No Se lleva a cabo un 50% 40% 3 3 Artículo 11 de la Mejorar Controles. Fortalecer Mitigados.
adecuado Control de Directiva de los
Atentados contra al Medio Infracciones y Controles.
Ambiente. Sanciones del Ceticos
Paita.
Control Evaluado: Control de Soporte.
16 No Se lleva a cabo el sustento 20% 25% 4 1 Procedimiento Incorporar el Se Procedió Mitigado.
del Aforo Previo que realizan General INTA PG 22, Sustento de Aforo a incorporar
algunos usuarios del Ceticos CAPITULO VII, Previo. el Sustento
Paita. apartado A.3). de Aforo
Previo.
17 No Se lleva a cabo un 0% 15% 4 0 Norma de Control Mejorar Controles. Fortalecer Mitigados.
adecuado control a la Interno 320-2006-CG. los
Operatividad de Montacarga. Punto 1.7 Asignación Controles.
de Autoridad y
Responsabilidad.
Punto 3.4 Controles
sobre accesos,
recursos y archivos.
Punto 3.8
Documentación de
procesos actividades y
tareas.
122
Tabla 50: Riesgos evidenciados del Nº 18 al Nº 22, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Nº Riesgo Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Estado del Riesgo
Correctiva
18 No Se lleva a cabo el Mantenimiento Preventivo de 45% 35% 3 3 Reglamento de Efectuar el Se llevó a Mitigado.
Montacarga. Seguridad y Salud en Mantenimiento cabo el
el Trabajo Titulo IV Preventivo. mantenimient
Capítulo I art 37. o preventivo.
19 La entidad no ha instaurado Regulaciones en 0% 15% 4 0 Norma de Control Instaurar Nuevas Los Mitigado.
Materia de Seguridad el Montacarga. Interno 320-2006-CG. Regulaciones en Operadores ya
Punto 3.8 materia de Seguridad cuentan con
Documentación de de Montacarga. manual de
Procesos Actividades seguridad de
y Tareas. montacarga.
El libro de Seguridad
con los Montacargas,
de acuerdo a Estándar
OSHA CFR 29 de la
sección 1910.178, en
su Folio 2 al 37.
20 Hay problemas de Segregación de Funciones, para 0% 16% 4 0 Norma de Control Evitar problemas de Se han Mitigado.
la Operatividad del Montacarga (Una sola persona Interno 320-2006-CG. segregación de designado a
opera el Montacarga y al mismo tiempo hace labores Punto 3.2 Segregación funciones para operar un operador
de seguridad en su trabajo diario). de Funciones. el montacarga. para que
Reglamento de maneje el
Seguridad y Salud en montacarga y
el Trabajo Titulo IV otro para que
Capítulo I art 39. El lo supervise y
libro de Seguridad con haga las veces
los Montacargas, de de Oficial de
acuerdo a Estándar Seguridad.
OSHA CFR 29 de la
sección 1910.178, en
su Folio 16al 17.
PROCESO DE MEJORA CONTINUA
Control Evaluado: Análisis y Evaluación.
21 No Se llevan a cabo Conciliaciones y Validación 38% 39% 3 2 Norma de Control Efectuar Se llevaron a Mitigado.
de Datos de la Actividad de Almacenes. Interno 320-2006-CG. Conciliaciones. cabo las
Punto 3.5 conciliaciones
Verificaciones y para validar
Conciliaciones. datos.
Control Evaluado: Mejora Continua.
22 El Sistema de Gestión de la Entidad. No cuenta 34% 35% 3 2 Norma de Control Interno 320-2006- Incorporar Modulo Mitigado.
con un módulo de Impuestos Generados por CG. En su punto 4.4 Sistemas de módulo. incorpora
Importación Definitiva. Información. do.
123
Correctiva
23 No Se han Incorporado Controles Automatizados 0% 10% 4 0 Norma de Control Incorporar controles Controles Mitigado.
en el Sistema de Gestión de la Entidad para Interno 320-2006-CG. automatizados. Incorporados.
monitorear en línea el ingreso y salida de En su punto 4.4
mercancías de la actividad de almacenes. Sistemas de
Información.
24 No Se han Incorporado Controles Automatizados 0% 10% 4 0 Norma de Control Incorporar controles Se Mitigado.
para monitorear el Ingreso de Mercancías en la Interno 320-2006-CG. automatizados. incorporaron
actividad de Industrias. En su punto 4.4 los controles
Sistemas de automatizad
Información. os.
25 No Se han Incorporado Controles Automatizados 0% 10% 4 0% Norma de Control Incorporar controles Se Mitigado.
para monitorear el Ingreso de Vehículos en la Interno 320-2006-CG. automatizados. incorporaron
actividad de Talleres. En su punto 4.4 los controles
Información. os.
26 No Se han Incorporado Controles Automatizados 15% 20% 4 1 Norma de Control Incorporar controles Se Mitigado.
para monitorear el proceso de apertura y cierre de Interno 320-2006-CG. automatizados. incorporaron
contenedores. En su punto 4.3 los controles
Calidad y Suficiencia automatizad
de la Información. os.
27 No Se han Incorporado controles automatizados y 0% 0% 4 0 Norma de Control Incorporar controles Se Mitigado.
novedosos en el ingreso y salida de mercancías. Interno 320-2006-CG. automatizados. incorporaron
En su punto 4.4 los controles
Información. os.
28 El Reporte Semiautomatizado del control del 50% 55% 3 3 Norma de Control Incorporar controles Se Mitigado.
montacarga es deficiente. Interno 320-2006-CG. automatizados. incorporaron
En su punto los controles
3.8Documentación de automatizad
Procesos, Actividades os.
y Tareas.
124
Correctiva
29 No Se ha llevado a cabo la Delimitación y 0% 0% 4 0 Norma de Control Delimitar y señalar Se Mitigado.
señalización de áreas de riesgo del Ceticos Paita Interno 320-2006-CG. las Zonas de Riesgo. delimitaron y
En su punto 2.3 señalaron las
Valoración de zonas de
Riesgos. riesgo.
NORMA A.130
REQUISITOS D
CAPITULO II
SEÑALIZACIÓN DE
SEGURIDAD
artículo 37º E
SEGURIDAD.
LA NORMA
TECNICA
PERUANA NTP
399.010-1-2004, del
12/02/2004, en su
Punto 3 CAMPO DE
APLICACIÓN,
Párrafo 1.
30 No Se lleva a cabo un control de Protección 10% 60% 4 1 Artículo 11 de la Coordinar con los Se ha Mitigado.
Organizacional. (Empresas Usuarias no cuentan Directiva de Usuarios para mejorar incrementad
con Seguridad Propia Adecuada). Infracciones y la seguridad. o la
Sanciones del Ceticos seguridad en
Paita. la entidad.
31 No se monitorea a la Empresa que brinda Servicios 0% 30% 4 0 Decreto Supremo Nº Monitorear a las Se han Mitigado.
de Seguridad al Ceticos Paita, en calidad de 005-94-IN empresas de consignado
Outsorsing. Reglamento de seguridad. penalidades.
Servicios de
Seguridad privada
aprobado el
12/05/1994,
Capítulos IX, X y XI.
125
Tabla 53: Riesgo evidenciado Nº 32, vinculado con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Correctiva
32 No Se lleva a cabo un adecuado Control de 0% 0% 4 0 El Reglamento de Proteger los terrenos. Instauración Mitigado.
Protección a los Terrenos de la Entidad. Organización y de políticas
Funciones del Ceticos de
Paita, aprobado con prevención.
Decreto Supremo Nº
013-2006
MINCETUR, del
20/10/2006, en su
TITULO PRIMERO,
DE LAS
DISPOSICIONES
GENERALES,
Artículo Nº 2
Jurisdicción.
8. ESTADO SITUACIONAL DE LOS PLANES DE
TRATAMIENTO DE RIESGOS FORMULADOS EN EL
PRESENTE INFORME
De un Total de 32 Planes de Tratamiento de Riesgos que fueron
formuladas durante la evaluación y comunicadas formalmente al
Gerente General del Ceticos Paita durante los años 2007, 2008,
2009 y 2010, se ha podido constatar con la documentación
Sustentatoria pertinente (Informes de Acción Correctivas
2007,2008, 2009 y 2010 emitidos por el Gerente General y su
Grupo de Colaboradores) que al 06/04/2011 los 32 planes de
tratamiento de riesgos emitidos por mi persona a partir del
ejercicio 2007 al 2010 fueron atendidos en su totalidad. (Anexo
6 PT 5).
126
9. LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA
LABOR DE AUDITORÍA
LOGROS:
9.1 ACTIVIDAD DE ALMACENES EJERCICIO 2008
Así mismo, cabe recalcar que en el periodo 2007, durante los
meses de Agosto y Octubre, La Empresa Golden American
Company (Usuario de Ceticos Paita) cometió una serie de
Infracciones, siendo Sancionada por la Administración del
Ceticos Paita en los lapsos de tiempo establecidos, de acuerdo
a lo estipulado en la “Directiva de Infracciones y Sanciones
para los Usuarios del Ceticos Paita”, aprobada con Resolución
de la Gerencia General Nº 016-2007-CETICOS PAITA del 13
de agosto del 2007.
9.2 ACTIVIDAD DE TALLERES EJERCICIO 2009
El Valor Agregado que está incorporando el Sub Director de
Operaciones, al Instaurar Nuevos Controles con la finalidad
de convivir con niveles de riesgos aceptables, fáciles de
manejar y corregir.
Que el Actual Sub Director de Operaciones viene trabajando
en la elaboración de una Nueva Directiva para el Control del
Ingreso y Salida de Vehículos del Ceticos Paita.
127
9.3 ACTIVIDAD DE INDUSTRIAS EJERCICIO 2010
Buena Administración de Riesgos y Controles (Calificación
Optima) que se encuentran inmersos dentro del SISTEMA DE
GESTION DE CALIDAD vinculado con el Ingreso y salida
de mercancías de la actividad de industrias del Ceticos Paita,
de todos y cada uno de los colaboradores de la Entidad que
organizan, implementan, regulan, monitorean y generan valor
y mejora continua a la Actividad de Industrias.
9.4 BUEN NIVEL DE ATENCIÓN DE PARTE DE LA
ENTIDAD EN EL PLAN DE TRATAMIENTO DE
MEDIDAS CORRECTIVAS PROPUESTOS POR EL
AUDITOR INTERNO
Del 2007 al 2010 se ha podido evidenciar el adecuado
compromiso responsable y solidario de parte del Gerente
General y su grupo de colaboradores en atender los planes de
tratamiento de medidas correctivas propuestos por mi persona
en calidad de Auditor de Interno.
RIESGOS:
Durante la evaluación efectuada durante los ejercicios 2007,
2008, 2009 y 2010 a las actividades de almacenes, talleres e
industrias se evidenciaron 32 riesgos los mismos que fueron
mitigados por el Gerente General de la Entidad y su Grupo de
Colaboradores al 100%.
128
10. ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE
LAS ACCIONES DE MEJORA
Acción de Mejora propuesta en el Ejercicio 2010: Habilitar un
filtro dentro del Sistema de Gestión de Ceticos Paita al área de
Operaciones, para que pueda visualizar a manera de estadísticas
/ reportes a los usuarios que tienen obligaciones
pendientes por pagar con Ceticos Paita ((Incorporación de un
nuevo Control Tecnológico de Seguimiento contractual a los
Usuarios del Ceticos Paita).
Estado Situacional de la Acción de Mejora: Con informe IE
ESAM Nº 001-2011 / OCI – CP, denominado Estado Situacional
de las Acciones de Mejora al 05/04/2011 se ha logrado evidenciar
lo siguiente: se ha procedido a implementar dentro del sistema de
gestión del CETICOS PAITA, una opción de consulta de deudas
de los Usuarios del Ceticos Paita. (Acción de Mejora
Implementada al 100%).
11. IMPACTO QUE HA GENERADO LA EVALUACIÓN
DENTRO DE LA GESTIÓN GUBERNAMENTAL DEL
CETICOS PAITA
11.1 Cambios en el Comportamiento de los Controles
Evaluados:
129
Al 06 de Abril del 2011, luego de haber implementado en
su totalidad los planes de tratamiento de Riesgos, El
resultado ha sido el Siguiente: En promedio los 32
Controles que se encuentran dentro de los Procesos que
controlan el Ingreso y Salida de Mercancías de las
actividades de Almacenes, Talleres e Industrias poseen un
Nivel de Implementación y Efectividad del 90%
Cumplimiento, mitigan a niveles de Riesgo 1 Aceptable y
Poseen un Nivel de Madurez 4 Administrado, es decir
dichos controles y procesos están operando en
condiciones Aceptables y se han experimentado mejoras
sustanciales en la Gestión Gubernamental de la Empresa.
(Ver Anexo 7 PT 6)
11.2 Evolución del Nivel Implementación, Efectividad, Riesgo y
Madurez de los Controles Sujetos a Evaluación del
01/01/2007 al 06/04/2011:
La evolución que ha experimentado la Organización
luego de Instaurar los planes de tratamiento de Riesgos
propuestos por Auditoría ha sido sustancial. En el
Ejercicio 2007 los indicadores eran negativos: El Nivel de
Implementación y Efectividad de los Controles
Instaurados en el Proceso de Ingreso y Salida de
Mercancías de la Actividad de Almacenes, Talleres e
Industrias Poseían índices de Incumplimiento Alto 24 y
130
30% respectivamente, mitigaban a niveles de riesgo 4
Extremo y poseían niveles de madurez 1 Inicial, es decir
se estaba trabajando de una manera desordenada y existía
caos en la Gestión Organizacional.
A partir del 06 de Abril del 2011 El Ceticos Paita tiene
resultados positivos, El Nivel de Implementación y
Efectividad de los Controles Instaurados en el Proceso de
Ingreso y Salida de Mercancías de la Actividad de
Almacenes, Talleres e Industrias Poseían índices de
Cumplimiento ambos del 90% , mitigan niveles de riesgo
1 Aceptable y poseen niveles de madurez 4 Administrado,
es decir se está trabajando de una manera ordenada y
transparente los controles se encuentran evolucionando y
en proceso de mejora continua. (Ver Anexo 7 PT 6.1 y PT
6.1.1).
11. 3 Mejoras en La Gestión Gubernamental del Ceticos Paita: Se
produjeron 32 mejoras en aspectos de Gestión
gubernamental Vinculados con aspectos
Organizacionales, de Responsabilidad de la Dirección,
Supervisión y Monitoreo y Mejora Continua. (Ver Anexo
7 PT 6.1.1.1).
131
II CONCLUSIONES
Adecuada Gestión de Riesgos de parte de la Entidad:
32 Controles que poseen tendencias aceptables nivel de implementación y efectividad del 90%
respectivamente, así mismo dichos controles mitigan en promedio a niveles de Riesgo
Aceptable y poseen niveles de Madurez Administrado.
Adecuada Gestión Gubernamental:
La Gerencia viene cumpliendo en lo posible con las Normas Internas y de Gobierno para el
Adecuado Control del Ingreso y Salida de Mercancías de las actividades de Almacenes,
Talleres e Industrias.
Al 06/04/2011 los 32 planes de tratamiento de riesgos emitidos por mi persona a partir del
ejercicio 2007 al 2010 fueron atendidos en su totalidad. Produciendo mejoras sustanciales en
el Ceticos Paita.
Se vienen sancionando a Usuarios que Infringen los controles internos instaurados por la
Entidad.
Se viene trabajando en nuevas regulaciones para controlar los procesos de las actividades de
almacenes, talleres e industrias.
La Auditoría propuso una Acción de Mejora.
132
III RECOMENDACIONES
Al Gerente General del Ceticos Paita:
Continuar en la Labor de Mejorar la Gestión de Riesgos dentro del Ceticos Paita.
Continuar en la labor de seguir mejorando la Gestión Gubernamental del Ceticos Paita.
Continuar con la labor de seguir cumpliendo las Directivas Internas y Regulaciones de
Gobierno para el Adecuado Control del Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Industrias y Talleres.
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa MG.
Jefe de Órgano de Control Institucional del Ceticos Paita.
Resultado del Objetivo General 1: Es indispensable puntualizar que luego de poner en
práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría facilita la Gestión
Gubernamental Óptima de los Centros de Exportación, Transformación, Industrias y Servicios
Generales.
133
3.7.2.2 Con respecto al Objetivo Específico 1: La Auditoría de Riesgos Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema de control interno de la
entidad bajo el enfoque de gestión integral de riesgos
Establecer el Contexto: Se elaboró el Diagrama de Procesos. En donde reflejó el
Conocimiento del Sistema de Control Interno bajo el Enfoque COSO ERM y los
controles que le dan soporte a dicho proceso. (Ver Anexo 2 PT 1.1).
Identificación de Riesgos: Se identificaron 72 Riesgos con la ayuda del
Enunciado de Aplicabilidad. (Ver Anexo 3 PT 2.1).
Análisis de Riesgos: Los 72 Controles que fueron evaluados arrojaron resultados
desfavorables para la Empresa. (Ver Anexo 4 PT 3.1).
Evaluación de Riesgos: El Sistema de Control Interno bajo el Enfoque COSO
ERM operaba en condiciones inaceptables. (Ver Anexo 5 PT 4.1).
Institucional sugerí 72 recomendaciones para mejorar la Gestión Gubernamental
del Ceticos Paita. (Ver Anexo 6 PT 5.1).
Supervisión y Monitoreo: Luego de Monitorear y Supervisar la Implantación del
Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo de
Colaboradores, el Sistema de Control Interno bajo el Enfoque COSO ERM
experimentó mejoras en aspectos de Ambiente de Control, Evaluación de
Riesgos, Actividades de Control Gerencial, Información y Comunicación y
Supervisión y Autoevaluación. (Ver Anexo 7 PT 6.2, PT 6.2.1, PT 6.2.1.1 y
6.2.1.1.1).
Resultados alineados al Objetivo Específico 1, reporta los siguientes resultados:
134
INFORME DE AUDITORÍA DE RIESGOS AL SISTEMA DE CONTROL
INTERNO DEL CETICOS PAITA DEL 30 DE JUNIO DEL 2008 AL 10 DE
OCTURE DEL EJERCICIO 2010
I. INTRODUCCIÓN
En cumplimiento al Plan Anual de Auditoría.
a.1 Con la Aplicación de la Auditoría de Riesgos:
Evaluar el nivel de efectividad, implementación,
riesgo y madurez del sistema de control interno de la
entidad bajo el enfoque de gestión integral de riesgos.
b) Objetivo Específicos:
b.2 Comentar el Impacto que ha generado la Evaluación
dentro del Negocio.
3. ALCANCE
El alcance Abarca los Periodos 2008, 2009 y 2010 en donde se
revisaron todos y cada uno de los Controles que se encuentran
inmersos en el Sistema de Control Interno del Ceticos Paita.
Se evaluó al Personal Ejecutivo y Administrativo del Ceticos
Paita.
135
4. METODOLOGÍA
Se Aplicó la Metodología de la Auditoría de Riesgos.
5. BASE LEGAL
NORMAS de Control Interno, aprobadas con Resolución
de Contraloría General Nº 320-2006-CG del 30 de
Octubre del 2006, instauradas en Ceticos Paita, con
Resolución de Gerencia General Nº 009-2009- Ceticos
Paita, del 14/04/2009.
Resolución de Contraloría General Nº 458-2008-CG
Contralor General autoriza aprobar la “Guía para la
Implementación del Sistema de Control Interno de las
entidades del Estado”, del 28 de octubre de 2008.
EXPORTACIÓN, TRANSFORMACIÓN,
INDUSTRIA, COMERCIALIZACIÓN Y
SERVICIOS DE PAITA – CETICOS PAITA, sito en
Carretera Paita Sullana Km 3 Paita - Perú.
6. COMENTARIOS
Se elaboró el Diagrama del Proceso del Sistema de
Control Interno bajo el Enfoque Coso ERM. Con la
finalidad de determinar, los objetivos de control,
controles, procesos y procedimientos que se trabajan en
136
dicho Sistema y que fueron sujetos a Evaluación por parte
de mi persona en calidad de Jefe de Oci del Ceticos Paita.
(Ver Anexo 2 PT 1.1).
6.2 ESTADO SITUACIONAL DE LA ENTIDAD ANTES DE
LA ADOPCIÓN DE MEDIDAS CORRECTIVAS AL 30 DE
JUNIO DEL 2008
Tabla 54: Estado Situacional de la Entidad antes de la adopción de medidas correctivas al

30/06/2008, vinculada con la evaluación Al Sistema de Control Interno COSO ERM.
PROCESOS CONTROLES DESCRIPCIÓN DE LOS NIVEL DE NR NM
EVALUADOS EVALUADOS CONTROLES IMPLEMENTACIÓN /
EFECTIVIDAD
5 112 Controles que administran 35.71% 3 2
y supervisan el Sistema de
Control Interno.
El Sistema de Control interno del Ceticos Paita posee un nivel de
Implementación y efectividad en Promedio de 35.71%
Incumplimiento Alto, sus controles en Promedio mitigan a
Niveles de Riesgo 3 Alto y poseen niveles de madurez en
promedio 2 Repetible. Es decir el Sistema de Control Interno
Opera en condiciones inaceptables y es de vital importancia que
se tomen medidas correctivas con carácter de urgencia. (Ver
Anexo 4 PT 3.1).
Situacional del Riesgo Calificando claro está el Nivel
Implementación (NI) / Efectividad (NE), Nivel de Riesgo (NR) y
Madurez (NM) de los Controles evaluados, El Detalle se refleja
en la Siguiente Tabla.
137
Tabla 55: Riesgos Evidenciados del Nº 1 AL Nº 10, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Nº Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Estado del Riesgo
Riesgo Correctiva
AMBIENTE DE CONTROL
Filosofía de la Dirección.
1 La Dirección no reconoce ni promueve los aportes del 83% 83% 1 4 Norma de Control Elaborar directiva de Se elaboró Atendido.
personal que mejoran el desarrollo de las actividades Interno 320-2006-CG. Incentivos. Directiva.
laborales. Punto 1.1 Filosofía de la
Dirección.
Integridad y Valores Éticos.
2 La entidad no cuenta con un código de Ética 40% 40% 3 2 Norma de Control Instaurar Código de Se instauró Código Atendido.
debidamente aprobado, y difundido mediante talleres o Interno 320-2006-CG. Ética. de Ética.
reuniones. Punto 1.2 Integridad y
3 La administración no ha difundido la "Ley del Código de 40% 40% 3 2 Valores Éticos. Difundir la ley de Se difundió la Ley Atendido.
Ética de la Función Pública" Código de Ética. Código de Ética.
4 No se comunican debidamente dentro de la entidad las 40% 40% 3 2 Comunicar las acciones A la fecha se han Atendido.
acciones disciplinarias que se toman sobre violaciones disciplinarias sobre comunicado 2
éticas violaciones éticas. acciones
disciplinarias.
Administración Estratégica.
5 La Dirección no asegura que todas las Áreas, 16% 16% 4 1 Norma de Control Elaborar planes Se formularon los Atendido.
Departamentos formulen, implementen y evalúen Interno 320-2006-CG. Operativos. planes operativos del
actividades concordantes con su plan operativo Punto 1.3 Integridad y Ceticos Paita
institucional. Valores Éticos.
6 Los planes estratégicos, operativo y de contingencia no 16% 16% 4 1 Elaborar Plan Se elaboró el Plan Atendido.
se elaboran, conservan y actualizan según procedimiento Estratégico Anual. Estratégico 2010 al
documentado. 2022.
7 Todas las unidades orgánicas no evalúan periódicamente 16% 16% 4 1 Evaluar los Planes Se evaluaron los Atendido.
su plan operativo con el fin de conocer los resultados Operativos. planes Operativos
alcanzados y detectar posibles desvíos. del Ejercicio 2010.
8 La entidad no ha formulado el análisis de la situación con 16% 16% 4 1 Elaborar El Análisis de Se llevó a cabo el Atendido.
participación de todas las gerencias para definir su Situación Análisis
direccionamiento y desarrollo de los servicios. Organizacional. Organizacional de la
Empresa al
31/12/2010.
9 Los resultados de las mediciones efectuadas a los planes 16% 16% 4 1 Evaluar los planes Se evaluaron los Atendido.
operativos en los últimos dos semestres no están dentro operativos en los planes operativos
de los niveles esperados. Últimos dos semestres.
Estructura Organizacional
10 La estructura organizacional no se ha desarrollado sobre 0% 0% 4 0 Norma de Control Desarrollar una nueva Se cuenta con una Atendido.
la base de la misión, objetivos y actividades de la entidad Interno 320-2006-CG. estructura Est Org. Nueva.
y se ajusta a la realidad Punto 1.4 Estructura organizacional.
Organizacional.
138
Tabla 56: Riesgos evidenciados del Nº 11 al Nº 20, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
AMBIENTE DE CONTROL
Estructura Organizacional.
11 El Manual de Organización y Funciones (MOF) no 0% 0% 4 0 Norma de Control Elaborar Manual de La entidad ya Atendido.
refleja todas las actividades que se realizan en la entidad Interno 320-2006-CG. Organización y cuenta con MOF.
y están debidamente delimitadas Punto 1.4 Estructura Funciones (MOF).
12 La entidad no cuenta con un Reglamento de Organización 0% 0% 4 0 Organizacional. Elaborar el ROF. Se viene trabajando Atendido.
y Funciones (ROF) debidamente actualizado en el ROF.
13 Todas las personas que laboran en la entidad no ocupan 0% 0% 4 0 Elaborar el PAP y CAP. Se elaboró el CAP y Atendido.
una plaza prevista en el PAP y un cargo incluido en el de PAP de la entidad.
Asignación de Personal (CAP)
14 La Dirección no se asegura de que los trabajadores 0% 0% 4 0 Que la Gerencia divulgue El MOF, ROF Y Atendido.
conozcan los documentos normativos (MOF, ROF, CAP el MOF, ROF Y CAP a CAP han sido
y demás manuales) que regulan las actividades de la los colaboradores del comunicados a los
entidad Ceticos Paita. colaboradores del
Ceticos Paita, para
su conocimiento y
fines.
15 No se han elaborado manuales de procesos con sus 0% 0% 4 0 Elaborar los Manuales Se elaboraron los Atendido.
respectivos flujos de información de Procedimientos. manuales de los
procesos críticos del
negocio.
Administración de Recursos Humanos.
16 La entidad no cuenta con mecanismos, políticas y 0% 0% 4 0 Norma de Control Elaborar directivas para Se elaboraron las Atendido.
procedimientos adecuados para la selección, inducción, Interno 320-2006-CG. los procesos de directivas para los
formación, capacitación, compensación, bienestar social, Punto 1.5 inducción, formación, procesos de
y evaluación de personal Administración de capacitación y inducción,
Recursos y Archivos. evaluación del personal. formación,
capacitación y
evaluación del
personal.
17 No se cuenta con un programa de inducción al personal 0% 0% 4 0 Instaurar programa de Se instauró Atendido.
que ingresa relacionados con el puesto al que ingresa y Inducción. programa de
de los principios éticos. inducción.
18 Las unidades orgánicas no cuentan con la cantidad de 0% 0% 4 0 Incorporar personal Se procedió a Atendido.
personal necesaria para el adecuado desarrollo sus clave en los procesos contratar personal
actividades. críticos del negocio. calificado.
19 La entidad no elabora anualmente un plan de formación 0% 0% 4 0 Elaborar Plan Anual de Se procedió a Atendido.
y capacitación del personal, con la participación de Capacitación.(PAC). elaborar el PAC.
todas las áreas y se da cumplimiento al mismo.
20 La escala remunerativa no está en relación con el cargo, 0% 0% 4 0 Confeccionar una nueva Se elaboró la escala Atendido.
funciones y responsabilidades asignadas. escala remunerativa. remunerativa.
139
Riesgo Correctiva
AMBIENTE DE CONTROL
Competencia Profesional.
21 El personal que ocupa cada cargo de trabajo no cuenta 66% 66% 2 4 Norma de Control Personal que no reúne las Se está contratando Atendido.
con las competencias establecidas en el perfil del cargo. Interno 320-2006-CG. competencias a personal
Punto 1.6 Competencia exigidas en el CAP. competente.
Profesional.
Asignación de Autoridad y Responsabilidad
22 La autoridad y responsabilidad del personal no están 0% 0% 4 0 Norma de Control Delimitar la autoridad y Se delimitaron las Atendido.
claramente definidas en los manuales, reglamentos u Interno 320-2006-CG. responsabilidad del funciones en el
otros documentos normativos. Punto 1.7 Asignación de personal en el MOF. MOF.
23 Estos documentos normativos no son revisados 0% 0% 4 0 Autoridad y Actualizar el MOF, MOF, ROF y MP Atendido.
periódicamente con el fin de ser actualizados o Responsabilidad. ROF y manuales de fueron actualizados.
mejorados. Procedimientos (MP).
24 Todo el personal no conoce sus responsabilidades y 0% 0% 4 0 Delimitar las MOF contempla Atendido.
actúa de acuerdo con los niveles de autoridad que le responsabilidades del responsabilidades
corresponden. Personal en el MOF. del personal.
140
Nº Riesgo Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Estado del
Correctiva Riesgo
EVALUACIÓN DE RIESGOS
Planeamiento de la Administración de Riesgos
25 No Se ha desarrollado un Plan de actividades de 0% 0% 4 0 Norma de Control Elaborar el Manual de El Ceticos Paita a Del Nº 25 al 37
identificación, análisis o valoración, manejo o respuesta Interno 320-2006- Riesgos Operacionales. la fecha cuenta Atendidos.
y monitoreo y documentación de los riesgos. CG. con un Sistema de
26 La Dirección (Directorio, Gerencias y Jefaturas) no ha 0% 0% 4 0 Punto 2.1 Elaborar políticas para la gestión de
establecido y difundido lineamientos y políticas para la Planeamiento de correcta Gestión de Seguridad de la
administración de riesgos Administración de Riesgos. Información en
27 El planeamiento de la administración de riesgos no es 0% 0% 4 0 Riesgos. Confeccionar el donde se han
específico en algunas áreas, como en la asignación de planeamiento de identificado los
responsabilidades y monitoreo de los mismos. administración de riesgos. riesgos
organizacionales y
28 La entidad no cuenta y ha puesto en práctica el Plan de 0% 0% 4 0 Poner en práctica el Plan de operacionales del
Administración de Riesgos. Administración de Riesgos. negocio, sus
Identificación de Riesgos posibilidades de
29 No Están identificados los riesgos significativos por cada 0% 0% 4 0 Norma de Control Identificar Riesgos críticos ocurrencia,
objetivo Interno 320-2006- del negocio. probabilidad e
30 No Se han identificado los eventos negativos (riesgos) 0% 0% 4 0 CG. Identificar los eventos impacto así como
que pueden afectar el desarrollo de las actividades Punto 2.2 críticos del Negocio. también los
0% 0% 4 0 Identificación de controles
31 No Se ha participado en la identificación de los riesgos Identificación de riesgos en
Riesgos. encargados de
de las actividades de las diferentes unidades orgánicas o las áreas críticas del
mitigar tales
procesos. Ceticos Paita.
eventos los
32 En la identificación de riesgos no se ha tomado en 0% 0% 4 0 Identificar los riesgos de
mismos que son
consideración aspectos internos (de la entidad) y externos acuerdo a aspectos internos
monitoreados y
(fuera de la entidad) y externos que ocurren en
supervisados por el
el Ceticos Paita.
Comité SGSI del
Valoración de Riesgos
Ceticos Paita,
33 En el desarrollo de las actividades no se ha determinado y 0% 0% 4 0 Norma de Control Cuantificar la posibilidad de
integrado por el
cuantificado la posibilidad de que ocurran los riesgos Interno 320-2006- que ocurran
Gerente General,
identificados (probabilidad de ocurrencia) CG. determinados riesgos en el
personal de
Punto 2.3 negocio.
Tecnologías de
34 En el desarrollo de las actividades no se ha cuantificado el 0% 0% 4 0 Valoración de Cuantificar el efecto que
Información y
efecto que pueden ocasionar los riesgos identificados Riesgos. ocasionarían los riesgos
Funcionarios del
(impacto) identificados en el Ceticos
Ceticos Paita.
Paita.
Colaborando en la
35 Los riesgos, sus probabilidades de ocurrencia, impacto y 0% 0% 4 0 Registrar los riesgos,
labor de Mejora
cuantificación no han sido registrados por escrito probabilidades e impactos
continua en
de los mismos en un
aspectos de
documento de gestión.
Gestión de
Respuesta al Riesgo
Riesgos el Órgano
36 No se han establecido las acciones necesarias (controles) 0% 0% 4 0 Norma de Control Elaborar matrices de
de Control
para afrontar los riesgos evaluados Interno 320-2006- riesgos vs controles.
Institucional.
37 No se han definido lineamientos para efectuar 0% 0% 4 0 CG. Llevar a cabo evaluaciones
seguimiento periódico a los controles desarrollados con Punto 2.4 Respuesta de gestión de riesgos.
respecto a los riesgos al Riesgo.
141
Tabla 59: Riesgos evidenciados del Nº 38 al Nº46, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Nº Riesgo Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Correctiva Estado del
Riesgo
ACTIVIDADES DE CONTROL GERENCIAL
Procedimientos de Autorización y Aprobación
38 Los procedimientos de autorización y 0% 0% 4 0 Norma de Control Interno Definir los En los Nvos MP se han Atendido.
aprobación para los procesos, actividades y 320-2006-CG. procedimientos de definido los
tareas no están claramente definidos en Punto 3.1 Procedimientos autorización y procedimientos de
manuales o directivas y son realizados para de Autorización y aprobación en los autorización y
todos los procesos y actividades. Aprobación. Manuales de aprobación de los
Procedimientos. (MP). procesos críticos del
39 Los procedimientos de autorización y 0% 0% 4 0 Comunicar los negocio los mismos que Atendido.
aprobación para los procesos, actividades y Procedimientos de fueron comunicados a
tareas no han sido adecuadamente comunicados Autorización y los encargados de
a los responsables. Aprobación a los administrarlos para su
responsables. conocimiento y fines.
Segregación de Funciones
40 Las actividades expuestas a riesgos de error o 0% 0% 4 0 Norma de Control Interno Evitar la concentración Se vienen asignando Atendido.
fraude no han sido asignadas a diferentes 320-2006-CG. de funciones en una sola funciones a diferentes
personas o equipos de trabajo. Punto 3.2 Segregación de persona. personas.
41 No Se efectúa rotación periódica del personal 0% 0% 4 0 Funciones. Llevar a cabo procesos Se viene rotando al Atendido.
asignado en puestos susceptibles a riesgos de de rotación de personal. personal, en puestos
fraude. claves del negocio.
Costo Beneficio
42 El costo de los controles establecidos para sus 0% 0% 4 0 Norma de Control Interno Administrar y Gestionar Se vienen elaborando Atendido.
actividades no está de acuerdo a los resultados 320-2006-CG. adecuadamente los Informes Técnicos en
esperados (beneficios). Punto 3.3 Evaluación Costo controles Tecnológicos donde se refleja el nivel
43 No Se toma en cuenta que el costo de establecer 0% 0% 4 0 Beneficio. que adquiere la de administración y
un control no supere el beneficio que se puede Organización. gestión de los controles
obtener. tecnológicos adquiridos
por el Ceticos Paita.
Controles sobre el Acceso a Recursos y Archivos
44 No Se han establecido políticas y 40% 40% 3 2 Norma de Control Interno Establecer directivas y/ o Los lineamientos fueron Atendido.
procedimientos documentados que se siguen 320-2006-CG. para la utilización y establecidos en el Nvo
para la utilización y protección de los recursos Punto 3.4 Controles sobre el protección de recursos y MOF y MP.
o archivos. acceso a recursos y archivos.
45 El acceso a los recursos o archivos no queda 40% 40% 3 2 archivos. Evidenciar el acceso a Se cuenta con formatos Atendido.
evidenciado en documentos tales como recursos y archivos con que evidencian el acceso
recibos, actas entre otros. documentos. a recursos y archivos.
46 Periódicamente no se comparan los recursos 40% 40% 3 2 Efectuar arqueos y Se llevan a cabo Atendido.
asignados con los registros de la entidad (por conciliaciones conciliaciones técnicas
ejemplo arqueos, inventarios u otros). periódicas. periódicamente.
142
Tabla 60: Riesgos evidenciados del Nº 47 al Nº55, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
Verificaciones y Conciliaciones.
47 Las unidades orgánicas periódicamente no llevan a cabo 0% 0% 4 0 Norma de Control Cumplir con las metas Se elaboró el Atendido.
verificaciones sobre la ejecución de los procesos, Interno 320-2006-CG. del Plan estratégico. Informe de
actividades y tareas. Punto 3.5 Verificaciones Rendición de
48 Periódicamente no se comparan los resultados con los 0% 0% 4 0 y Conciliaciones. Elaborar Informes de Cuentas 2010 en
registros de los procesos, actividades y tareas utilizando Cumplimiento de Metas- donde se detalla las
para ello distintas fuentes. metas cumplidas y
las comparaciones
con el ejercicio 2009.
Evaluación de Desempeño.
49 La entidad no cuenta con indicadores de desempeño para 0% 0% 4 0 Norma de Control Elaborar Indicadores de Se cuenta con Atendido.
los procesos, actividades y tareas. Interno 320-2006-CG. Desempeño de los Indicadores
Punto 3.6 Evaluación de principales procesos. Organizacionales.
50 La evaluación de desempeño no se hace con base en los 0% 0% 4 0 Desempeño. Evaluar el desempeño Se viene evaluando Atendido.
planes organizacionales, disposiciones normativas de acuerdo a plan el desempeño del
vigentes. estratégico. Plan Estratégico.
Documentación de Procesos Actividades y Tareas
51 Los procesos, actividades y tareas de la entidad no se 50% 50% 3 3 Norma de Control Documentar los Los procesos críticos Atendido.
encuentran definidos, establecidos y documentados al Interno 320-2006-CG. principales procesos del fueron
igual que sus modificaciones. Punto 3.8 negocio. documentados en
Documentación de Directivas y MP.
Procesos Actividades y
Tareas.
Revisión de Procesos, Actividades y Tareas
52 No Se implementan las mejoras propuestas y en caso de 50% 50% 3 3 Norma de Control Efectuar correcciones de Se han Atendido.
detectarse deficiencias se efectúan las correcciones Interno 320-2006-CG. los procesos, actividades implementado
necesarias. Punto 3.9 Revisión de y tareas críticas del mejoras en el
Procesos Actividades y negocio. control de ingreso y
Tareas. salida de
mercancías.
Controles para las Tecnologías de Información y Comunicaciones
53 La entidad no cuenta con un Plan Operativo Informático. 75% 75% 2 4 Norma de Control Elaborar el Plan Se elaboró el POI Atendido.
Interno 320-2006-CG. Operativo Informático. ejercicio 2010.
Punto 3.10 Controles (POI)
54 No Se han definido los controles de acceso general 75% 75% 2 4 para las Tecnologías de Definir controles de Se definieron los Atendido.
(seguridad Física y Lógica de los equipos centrales). Información y seguridad Física y controles de
Comunicaciones. Lógica. seguridad física y
lógica en el SGSI del
CP.
55 Los programas informáticos (software) de la entidad no 75% 75% 2 4 Licenciar los Nuevos Se viene trabajando Atendido.
cuentan con licencias y autorizaciones de uso. Programas que usa la con software legales
entidad. y libres.
143
Riesgo Correctiva
INFORMACIÓN Y COMUNICACIÓN
Información y Responsabilidad.
56 No Se cuenta con políticas y procedimientos que 50% 50% 3 3 Norma de Control Elaborar políticas para el Se encuentran Atendido.
garantizan el adecuado suministro de información para el Interno 320-2006-CG. adecuado suministro de consignadas en el
cumplimiento de sus funciones y responsabilidades. Punto 4.2 Información y información. Nuevo MOF y MP.
Responsabilidad.
Calidad y Suficiencia de la Información
57 La información interna y externa que maneja la entidad no 0% 0% 4 0 Norma de Control Procesar Información Se ha reportado Atendido.
es útil, oportuna y confiable en el desarrollo de sus Interno 320-2006-CG. Confiable y Oportuna a Información
actividades. Punto 4.3 Calidad y Directorio y Entes confiable a la CGR
Suficiencia de la reguladores. y Aduanas en
Información. tiempo real.
58 No se han diseñado, evaluado e implementado 0% 0% 4 0 Norma de Control Elaborar políticas para Las Políticas Se Atendido.
mecanismos para asegurar la calidad y suficiencia de la Interno 320-2006-CG. asegurar la calidad y encuentran
información. Punto 4.3 Calidad y suficiencia de la consignadas en el
Suficiencia de la Información. Nuevo MOF y MP.
Información.
Sistemas de Información
59 Periódicamente no se solicita a los usuarios opinión sobre 50% 50% 3 3 Norma de Control Solicitar Información a Se lleva a cabo a Atendido.
el sistema de información registrándose los reclamos e Interno 320-2006-CG. los Usuarios Sobre el través de reportes de
inquietudes para priorizar las mejoras. Punto 4.4 Sistemas de Sistema de Gestión del incidencias.
Información. Ceticos Paita.
Archivo Institucional
60 La entidad no cuenta con una unidad orgánica que se 33% 33% 3 2 Norma de Control Designar a una persona Se ha designado al Atendido.
encarga de administrar la documentación e información Interno 320-2006-CG. que se encargue de profesional
generada por la entidad. Punto 4.6 Archivo administrar el archivo competente.
Institucional. institucional.
61 La administración de los documentos e información no se 33% 33% 3 2 Elaborar políticas para la Las Políticas Se Atendido.
realiza de acuerdo con las políticas y procedimientos correcta preservación y encuentran
establecidos para la preservación y su conservación conservación de consignadas en el
(archivos electrónicos, magnéticos y físicos). documentos. Nuevo MOF y MP.
Comunicación Interna
62 La entidad no ha elaborado y difundido documentos que 0% 0% 4 0 Norma de Control Elaborar una Directiva Reglamento Interno Atendido.
orienten la comunicación interna. Interno 320-2006-CG. para la Correcta de Trabajo (RIT).
Punto 4.7 Comunicación Comunicación Interna.
63 La administración no mantiene actualizado a la Dirección 0% 0% 4 0 Interna. La Administración debe Se vienen Atendido.
respecto al desempeño, desarrollo, riesgos, principales reportar a la Gerencia reportando aspectos
iniciativas y cualquier otros eventos resultantes. General los aspectos financieros.
organizacionales
críticos.
64 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Elaborar políticas para la Contenidas en el Atendido.
para la denuncia de actos indebidos por parte del personal. denuncia de actos RIT.
indebidos por parte del
personal.
144
Riesgo Correctiva
Comunicación Externa
65 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Norma de Control Elaborar directivas para Se viene trabajando Atendido.
adecuados para informar hacia el exterior sobre su gestión Interno 320-2006-CG. la correcta difusión de en el TUPA.
institucional. Punto 4.7 Comunicación información hacia el
Externa. exterior.
66 El portal de transparencia de la entidad no se encuentra 0% 0% 4 0 Actualizar el Portal de Se actualizó el Atendido.
adecuadamente actualizado. Transparencia. portal.
67 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Elaborar directivas para Se viene trabajando Atendido.
para asegurar la adecuada atención de los requerimientos la adecuada atención de en el TUPA.
externos de información (Ley de Transparencia y Acceso requerimientos externos
a la Información Pública). de información.
Canales de Comunicación
68 No Se ha implementado alguna política que estandarice 0% 0% 4 0 Norma de Control Elaborar políticas para Consignadas en el Atendido.
una comunicación interna y externa, considerándose Interno 320-2006-CG. estandarizar la RIT y Nuevo TUPA.
diversos tipos de comunicación: memorando, paneles Punto 4.9 Canales de comunicación interna y
informativos, boletines, revistas. Comunicación. externa en Ceticos Paita.
69 Estos canales de comunicación no permiten que la 0% 0% 4 0 Elaborar políticas para el Se ha elaborado Atendido.
información fluya de manera clara, ordenada y oportuna. adecuado flujo de Directiva para
información. digitalizar la
Información que
maneja la entidad y
comunicar
cualquier evento a
través de correo
institucional.
SUPERVISIÓN Y AUTOEVALUACIÓN
Actividades de Prevención y Monitoreo
70 Las unidades orgánicas no realizan acciones para conocer 50% 50% 3 3 Norma de Control Las unidades Orgánicas Se vienen Atendido.
oportunamente si los procesos en los que interviene se Interno 320-2006-CG. deberán elaborar elaborando
desarrollan de acuerdo con los procedimientos Punto 5.1 Actividades informes preventivos de informes de acuerdo
establecidos (monitoreo). de Prevención y cumplimiento. a requerimientos
Monitoreo. establecidos por:
CPN, CGR y
SUNAT ADUANAS.
Compromiso y Mejoramiento
71 La entidad no efectúa periódicamente autoevaluaciones 33% 33% 3 2 Norma de Control Llevar a cabo Se elaboró el Atendido.
que le permite proponer planes de mejora que son Interno 320-2006-CG. autoevaluaciones en los Informe de
ejecutados posteriormente. Punto 5.3 Compromiso procesos claves del Autoevaluación del
de Mejoramiento. negocio. Sistema de Control
Interno de la
Entidad.
145
Tabla 63: Riesgo evidenciado Nº 72, vinculado con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
Comunicación Externa
72 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Norma de Control Elaborar directivas para Se viene trabajando Atendido.
adecuados para informar hacia el exterior sobre su gestión Interno 320-2006-CG. la correcta difusión de en el TUPA.
institucional. Punto 4.7 Comunicación información hacia el
Externa. exterior.
PRESENTE INFORME
Al 30/06/2008 Se evidenciaron 72 Riesgos/Observaciones los
mismos que al 30/10/2010 fueron mitigados y atendidos en su
totalidad del 18 de Octubre del 2008 al 30 de Noviembre del
2010. (Ver Anexo 6 PT 5.1).
LABOR DE AUDITORÍA
LOGROS:
9.1 REMISIÓN DE INFORMES DE
AUTOEVALUACIÓN AL SISTEMA NACIONAL
DE CONTROL CON RESPECTO AL NIVEL DE
IMPLEMENTACIÓN DEL SISTEMA DE
CONTROL INTERNO DEL CETICOS PAITA
Con Oficio Nº 1221-A-2010/GG-CETICOS PAITA del
29/10/2010, el Titular de la Entidad remite al Jefe de Oci
146
de Ceticos Paita el Segundo del Informe de
Implementación de la Estructura de Control Interno de
Ceticos Paita, realizado entre los meses de Noviembre del
2008 a Octubre del 2010 Es importante recalcar que la
entidad ha dado cumplimiento a lo establecido en el
Artículo 2 y 3 de la Resolución de Contraloría General de
la República Nº 458-2008-CG del 28/10/2008: “Guía
para la Implementación del Sistema de Control
Interno de las entidades del Estado”.
9.2 REUNIONES DE VALOR AGREGADO DEL
COMITÉ DE IMPLEMENTACION DEL SISTEMA
DE CONTROL INTERNO
El Comité encargado del Proceso de Implementación del
Sistema de Control Interno viene llevando a cabo
reuniones de Coordinación con la finalidad de generar
alternativas de solución para crear a Mediano / Largo
plazo la Gerencia de Tecnologías de Información y
Comunicaciones en Ceticos Paita.
9.3 DOCUMENTACIÓN DE LOS PROCESOS MÁS
IMPORTANTES DEL NEGOCIO
A la fecha la entidad cuenta con los siguientes Manuales
de Procedimientos aprobados con resoluciones de
Gerencia General Nº 040, 041, 042, 043, 044, 045 y
147
046-2010-CETICOS PAITA del 09/11/2010, que a
continuación se detallan: Manual de Procedimientos de la
Oficina General de Administración - Contabilidad;
Manual de Procedimientos de Tecnologías de
Información y Comunicaciones; Manual de
Procedimientos de la Oficina General de Administración
- Recursos Humanos; Manual de Procedimientos de la
Oficina General de Administración - Tesorería; Manual
de Procedimientos de la Oficina General de
Administración - Logística; Manual de Procedimientos de
la Oficina de Asesoría Legal y Manual de Procedimientos
del Órgano de Control Institucional.
RIESGOS:
Durante la evaluación efectuada el 30 de Junio del 2008 al
Sistema de Control Interno se evidenciaron 72 riesgos los
mismos que fueron mitigados por el Gerente General de la
Entidad y su Grupo de Colaboradores al 100%, del 18 de Octubre
del 2008 al 30 de Noviembre del 2010.
10 ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE
148
10.1 INCREMENTAR EL NIVEL DE EFECTIVIDAD E
IMPLEMENTACIÓN DEL SISTEMA DE
CONTROL INTERNO DE LA ENTIDAD
A Manera de valor agregado se sugiere continuar
generando avances a los componentes del Sistema de
Control Interno que se encuentran pendientes de
Implementar.
Estado Situacional de la Acción de mejora: Con Informe
N° 2-4391-2010-006 del 30 de Noviembre del 2010,
denominado Evaluación del Control Interno, se ha
logrado evidenciar que el Comité encargado de
Implementar y mejorar el Sistema de Control Interno de
la Entidad se vienen reuniendo de manera reiterada con la
finalidad de atender los componentes de dicho sistema
que se encuentran pendientes por implementar.
11 IMPACTO QUE HA GENERADO LA EVALUACIÓN
DENTRO DE LA GESTIÓN GUBERNAMENTAL DEL
CETICOS PAITA
11.1 Cambios en la Performance de los Controles al
30/11/2010:
149
Al 30/11/2010 los Controles poseen un nivel de
implementación y efectividad del 78.57%, mitigan a
niveles de riesgo 1 Aceptable y se encuentran en un nivel
de madurez aceptable, la Organización viene
experimentando cambios aceptables para el logro de los
Objetivos Misionales. (Ver Anexo 7 PT 6.2)
11.2 Evolución en el Nivel de Implementación, Efectividad,
Riesgo y Madurez del Sistema de Control Interno del
CETICOS PAITA del 30/06/2008 al 30/11/2010:
La evolución que ha experimentado el Sistema de Control
Interno del Ceticos Paita luego de Instaurar los planes de
tratamiento de Riesgos propuestos por Auditoría ha sido
sustancial. En El 2008 los indicadores eran negativos: El
Nivel de Implementación y Efectividad de los Controles
Instaurados en el Sistema de Control Interno Poseían
índices de Incumplimiento Alto 35.71% respectivamente,
mitigaban a niveles de riesgo 4 Extremo y poseían niveles
de madurez 1 Inicial, es decir El Sistema de Control
Interno operaba en condiciones Inaceptables y no
aportaba al logro de los Objetivos Institucionales
A partir del 30 de Noviembre del 2010 El Sistema de
Control Interno del Ceticos Paita tiene resultados
positivos, El Nivel de Implementación y Efectividad de
los Controles Instaurados en dicho sistema Poseían
150
índices de Incumplimiento Medio ambos del 78.57%,
mitigan a niveles de riesgo 1 Aceptable y poseen niveles
de madurez 4 Administrado, es decir El Sistema de
Control Interno del Ceticos Paita experimenta un mediano
grado de desarrollo y viene contribuyendo al logro de los
objetivos institucionales de manera progresiva. (Ver
Anexo 7 PT 6.2.1 y 6.2.1.1)
11.3 Mejoras en Aspectos Gubernamentales:
El Sistema de Control Interno del Ceticos Paita ha
experimentado 72 mejoras en aspectos vinculados con:
Ambiente de Control, Evaluación de Riesgos,
Actividades de Control Gerencial, Información y
Comunicación y Supervisión y Autoevaluación. (Ver
Anexo 7 PT 6.2.1.1.1)
151
II CONCLUSIONES
Adecuada Gestión de Riesgos
A la fecha el Sistema de Control Interno de la Entidad posee en promedio Niveles de
Implementación y efectividad del 78.57%, así mismo mitiga a niveles de riesgo 1 Aceptable
y Posee niveles de Madurez 4 Administrado. Dicho sistema viene evolucionando
paulatinamente y aporta al logro misional de la empresa.
Adecuada Gestión Gubernamental
El Ceticos Paita viene cumpliendo de manera gradual Las Normas de Control Interno emitidas
por la Contraloría General de la República para el Adecuado Manejo, Control y
Administración de los Recursos y Fondos que son de Propiedad del Estado.
Se evidenciaron 72 riesgos los mismos que fueron atendidos.
Se derivó al Sistema Nacional de Control el Informe 1 y 2 de Autoevaluación al Sistema de
Control Interno del Ceticos Paita con fechas 23/10/2009 y 23/10/2010.
El Comité de Control Interno del Ceticos Paita viene realizando reuniones de coordinación
para Mejorar El Sistema de Control Interno de la Entidad.
Se reportó una Acción de mejora para mejorar la Gestión Gubernamental del Ceticos Paita.
152
III RECOMENDACIONES
Continuar con la Adecuada Gestión de Riesgos de la Entidad dentro del Sistema de Control
Interno del Ceticos Paita, es decir que sus niveles de implementación y efectividad oscilen entre
60% y 100% y sus niveles de riesgo y madurez posean índices de1 Aceptable y de 4
Administrado, que son los resultados que reflejan un gestión de riesgos ordenada y
transparente.
Continuar con la Adecuada Gestión Gubernamental dentro del Sistema de Control Interno del
Ceticos Paita para ello se deberá de seguir cumpliendo con las Normas del Sistema Nacional
de Control para el Adecuado manejo y administración del Sistema de Control Interno.
La Gerencia deberá de seguir en la labor de atender las recomendaciones de Auditoría Interna.
Refrendado por;
Resultado del Objetivo Específico 1: Es indispensable puntualizar que luego de poner en
práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema de control interno de la entidad bajo
el enfoque de gestión integral de riesgos, generando de esta manera valor agregado en la
Gestión Organizacional y Gubernamental de la Entidad. Prueba de ello es que el Ceticos Paita
ha experimentado 72 mejoras en aspectos de Ambiente de Control, Gestión de Riesgos,
Actividades de Control Gerencial, Información y Comunicación y Supervisión y
Autoevaluación.
153
3.7.2.3 Con respecto al Objetivo Específico Nº 2: La Auditoría de Riesgos Evalúa el nivel
de efectividad, implementación, riesgo y madurez del sistema de gestión de
seguridad de la información bajo el enfoque de gestión integral de riesgos.
Establecer el Contexto: Se elaboró el Diagrama de Procesos. En donde reflejó el
Conocimiento del Sistema de Gestión de Seguridad de la Información del Ceticos
Paita y los controles que le dan soporte a dicho proceso. (Ver Anexo 2 PT 1.1.1).
Identificación de Riesgos: Se identificaron 2 Riesgos con la ayuda del Enunciado
de Aplicabilidad. (Ver Anexo 3 PT 2.1.1).
Análisis de Riesgos: Los 2 Controles que fueron evaluados arrojaron resultados
desfavorables para la Empresa. (Ver Anexo 4 PT 3.1.1).
Evaluación de Riesgos: El Sistema de Control Interno bajo el Enfoque COSO
ERM operaba en condiciones relativamente aceptables. (Ver Anexo 5 PT 4.1.1).
Institucional sugerí 2 recomendaciones para mejorar la Gestión Gubernamental
del Ceticos Paita. (Ver Anexo 6 PT 5.1.1).
Supervisión y Monitoreo: Luego de Monitorear y Supervisar la Implantación del
Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo de
Colaboradores, el Sistema de Gestión de Seguridad de la Información
experimentó mejoras en aspectos de Adecuado manejo de recursos informáticos.
(Ver Anexo 7 PT 6.3, PT 6.3.1, PT 6.3.1.1 y 6.3.1.1.1).
Resultados alineados al Objetivo Específico 2, reporta los siguientes resultados:
154
AUDITORÍA DE RIESGOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN DEL 01 DE ENERO DEL 2011 AL 30 DE MARZO
DEL 2011
I INTRODUCCIÓN
En cumplimiento al plan Anual de Auditoría.
a.1 Con la Aplicación de la Auditoría de Riesgos: Evaluar el
nivel de efectividad, implementación, riesgo y madurez del
sistema de Gestión de Seguridad de la Información del
Ceticos Paita.
b) Objetivos Específicos:
b.2 Comentar el Impacto que ha generado la Evaluación dentro
del Negocio.
3. ALCANCE
El alcance Abarca el Ejercicio 2011 en donde se revisaron todos
y cada uno de los Controles que se encuentran inmersos en el
Sistema de Gestión de Seguridad de la Información del Ceticos
155
Paita. Se evaluaron a todos y cada uno de los colaboradores del
Ceticos Paita personal Directivo y Ejecutivo.
4. METODOLOGÍA
Se Aplicó la Metodología de la Auditoría de Riesgos.
5. BASE LEGAL
Manual de Uso de Recursos Informáticos Versión 2009.
Manual de Uso de Correo Corporativo Institucional
Versión 2009.
EXPORTACIÓN, TRANSFORMACIÓN, INDUSTRIA,
COMERCIALIZACIÓN Y SERVICIOS DE PAITA –
CETICOS PAITA, sito en Carretera Paita Sullana Km 3 Paita
- Perú.
6. COMENTARIOS
Se elaboró el Diagrama del Proceso del Sistema de
Gestión de Seguridad de la Información del Ceticos Paita,
con la finalidad de determinar, los objetivos de control,
controles, procesos y procedimientos que se trabajan en
dicho Sistema y que fueron sujetos a Evaluación por parte
del Jefe de Oci del Ceticos Paita. (Ver Anexo 2 PT1.1.1).
156
6.2 ESTADO SITUACIONAL DE LA ENTIDAD ANTES
DE LA ADOPCIÓN DE MEDIDAS CORRECTIVAS
AL 01 DE ENERO DEL EJERCICIO 2011
Tabla 64: Estado Situacional de la entidad antes de la adopción de medidas correctivas al 01 de Enero del Ejercicio
2011, Vinculada con la evaluación al Sistema de Gestión de Seguridad de la Información.
PROCESOS CONTROLES DESCRIPCIÓN NIVEL DE NIVEL DE NIVEL DE NIVEL DE
EVALUADOS EVALUADOS IMPLEMENTACIÓN EFECTIVIDAD RIESGOS MADUREZ
4 20 Controles que 90% 86% 1 4
administran y
supervisan el
Sistema de Gestión
de Seguridad de la
Información.
En promedio los 20 Controles que se encuentran dentro de los
Procesos que controlan el Sistema de Gestión de la Seguridad de
la Información poseen un Nivel de Implementación y Efectividad
del 90% y 86% Cumplimiento respectivamente, mitigan a niveles
de Riesgo 1 Aceptable y Poseen un Nivel de Madurez 4
Administrado. Es decir tiene una buena práctica y vienen
ayudando al logro de los objetivos del sistema pero se deben
tomar medidas correctivas urgentes con respecto al adecuado uso
de recursos informáticos y correo corporativo institucional. (Ver
Anexo 4 PT 4.1.1).
Situacional del Riesgo Calificando claro está el Nivel de
Implementación (NI), Efectividad (NE) Riesgo (NR) y Madurez
157
(NM) de los Controles evaluados, El Detalle se refleja en la
Siguiente Tabla.
Tabla 65: Riesgos evidenciados del Nº 1 al Nº 2 Vinculada con la evaluación al Sistema de Gestión de Seguridad de la Información.
Nº Descripción NI NE NR NM Criterio Vulnerado Recomendación Acción Estado del
Riesgo Correctiva Riesgo
Control: Adecuado Uso de Recursos Informáticos.
1 3 Archivos Indebidos que no deberían de estar en 90% 50% 4 3 Manual de Uso de Recursos Borrar Amonestación Mitigado.
la Data 11 que es de Propiedad del Ceticos Paita y Informáticos del Ceticos Paita Archivos de Verbal.
del Estado Peruano. (17/03/2010 17:10 min). Versión 2009 en su punto 6.1 Data 11.
Administración de los Recursos
Informáticos literal f.
Control: Adecuado Uso de Correo Corporativo Institucional.
2 3 Archivos Indebidos que no deberían de estar en 90% 50% 4 3 Manual de Uso de Recursos Borrar Amonestación Mitigado.
la Data Nº 4, propiedad del Ceticos Paita y del Informáticos del Ceticos Paita archivos Data Verbal.
Estado Peruano, que fueron transferidos por el Versión 2009 en su punto 6.3. Uso de 4.
Usuario de la Data Nº 1, desde una estación Correos Electrónicos e Internet
externa ajena a la organización, con la ayuda de literal e párrafo 2, y en su Capítulo III
herramientas de Internet. (18/03/2010 11:25 min). en su punto 3.1 Uso Correcto del
correo electrónico.
PRESENTE INFORME
Al 30/03/2011 Se evidenciaron 2 Riesgos/Observaciones los
mismos que al 06/04/2011 fueron mitigados y atendidos en su
totalidad.
LABOR DE AUDITORÍA
LOGROS: Durante la evaluación se pudieron evidenciar los
siguientes logros:
158
9.1 TEST DE PENETRACIÓN: Con fecha 30/03/2011, la
entidad viene realizando las coordinaciones pertinentes
con la empresa Network Professional Security Perú
SAC, con RUC N° 20518079281, con domicilio legal
para estos efectos en Av. José A. Larco 345 Interior M-
03 Miraflores, representada por su Gerente General Sr.
Miguel Fernando Mayta Flores, con DNI # 42500196,
quien será encargada de llevar a cabo un test de
penetración al sistema de gestión de seguridad de la
información.
9.2 AVANCE DEL PLAN DE CONTINUIDAD DE
NEGOCIOS: Con fecha 30/03/2011 a las 12:19 pm el
Jefe de Oci de la Entidad logra evidenciar que el
porcentaje de avance del Plan de Continuidad de
Negocios del Ceticos Paita se encuentra en un 95 %, a la
fecha la entidad ya cuenta con los documentos de
Introducción (3 folios), Establecimiento y Gestión del
Sistema de Continuidad de Negocios (24 folios),
Aspectos Metodológicos del Sistema de Continuidad de
Negocios (42 folios), Implementación del Sistema de
Continuidad de Negocios (210 folios) y finalmente
Supervisión y revisión del Sistema de Continuidad de
Negocios (12 folios).
9.3 CERTIFICACIONES EN SEGURIDAD DE LA
INFORMACIÓN: A la fecha la entidad en materia de
159
Seguridad de la Información ha obtenido 10
certificaciones distribuidas de la siguiente manera: 2
certificaciones obtenidas por los colaboradores que
realizan labores de Informática, 07 certificaciones
obtenidas por colaboradores que realizan labores
administrativas y una certificación obtenida por el Jefe
del Órgano de Control Institucional en calidad de Veedor
y responsable de Auditar el Sistema de Gestión de
Seguridad de la Información del Ceticos Paita.
RIESGOS: Durante la evaluación efectuada el 30 de
Marzo del Ejercicio 2011 al Sistema de Gestión de
Seguridad de la Información se evidenciaron 2 riesgos los
mismos que fueron mitigados por el Gerente General de
la Entidad y su Grupo de Colaboradores al 100%, del 30
de Marzo del 2011 al 05 de Abril del 2011.
10. ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE
10.1 Fortalecer la seguridad donde se ubica la sala de servidores
con la edificación de una pared.
10.2 Implementar un sensor de aniego.
10.3 Implementar lineamientos de uso de equipos móviles.
10.4 Llevar a cabo la Instalación de un Gabinete de Pared para
protección de equipos informáticos.
10.5 Llevar a cabo el cableado en telecomunicaciones.
160
10.6 Implementar el Firewall Perimetral.
10.7 Definir los niveles de acuerdos y Servicios.
10.8 Desarrollar e implementar políticas y procedimientos para
proteger la información asociada a los sistemas de
información comercial.
10.9 Continuar con el Avance vinculado con el Plan de
Continuidad de Negocios.
10.10 Atender las Recomendaciones/Sugerencias que surjan del
Test de Penetración al Sistema de Gestión de Seguridad de
la Información del Ceticos Paita, que elaborará y ejecutará
la Empresa Network Professional Security Perú SAC.
A La fecha las 10 acciones de mejora a manera de valor
agregado propuestas por mi Persona como una
contribución para mejorar el Sistema de Gestión de
Seguridad de la Información fueron implementadas en su
totalidad.
11. IMPACTO QUE HA GENERADO LA EVALUACIÓN AL
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN DENTRO DE LA GESTIÓN
GUBERNAMENTAL DEL CETICOS PAITA
11.1 Mejoras en la Performance de los Controles Al 06 de Abril
del Ejercicio 2011:
161
En promedio Los Controles poseen un nivel de
implementación y efectividad del 90%, mitigan a niveles
de riesgo 1 Aceptable y se encuentran en niveles de
madurez aceptables. El Sistema de Gestión de Seguridad
de la Información viene contribuyendo con los Objetivos
Misionales del Negocio. (Ver Anexo 7 PT 6.3).
11.2 Evolución en el Nivel de Implementación, Efectividad,
Riesgo y Madurez del Sistema de Gestión de Seguridad
de la Información del 30 de Marzo del 2010 al 06 de Abril
del 2011:
La evolución que ha experimentado el Sistema de Gestión
de Seguridad de la Información del Ceticos Paita luego de
Instaurar los planes de tratamiento de Riesgos propuestos
por Auditoría ha sido sustancial. En el 2010 los
indicadores eran relativamente favorables: El Nivel de
Implementación y Efectividad de los Controles
Instaurados en el Sistema de Gestión de Seguridad de la
Información Poseían índices de Cumplimiento 90% y
86% respectivamente, mitigaban a niveles de riesgo 1
Aceptable y poseían niveles de madurez 4 Administrado,
es decir El Sistema de Control Interno operaba en
condiciones Relativamente Aceptables debido a que se
162
debían de mitigar 2 riesgos vinculados con el adecuado
manejo de recursos informáticos del Ceticos Paita.
A partir del 06 de Abril del 2011 El Sistema de Gestión de
Seguridad de la Información del Ceticos Paita tiene
resultados positivos, El Nivel de Implementación y
Efectividad de los Controles Instaurados en dicho sistema
Poseen índices de Cumplimiento del 90%, mitigan a
niveles de riesgo 1 Aceptable y poseen niveles de madurez
4 Administrado, es decir El Sistema de Gestión de
Seguridad de la Información viene contribuyendo al logro
de los objetivos institucionales de manera progresiva. (Ver
Anexo 7 PT 6.3.1, PT 6.3.1.1).
11.3 Mejoras en la Adecuada Administración y Control del
Sistema de Gestión de Seguridad de la Información:
La Auditoría de Riesgos ha generado 2 Mejoras vinculadas
con el adecuado uso de recursos informáticos y adecuado
uso de Correo Corporativo Institucional, dentro de las 18
mejoras que a la fecha ostenta el Sistema de Gestión de
Seguridad de la Información de la Entidad. (Ver Anexo 7
PT 6.3.1.1.1).
163
II CONCLUSIONES
El Sistema de Gestión de Seguridad de la Información posee en promedio un nivel de
implementación y efectividad del 90% respectivamente, así mismo dichos controles mitigan en
promedio a niveles de Riesgo Aceptable y poseen niveles de Madurez Administrado. Índices
que reflejan que dichos sistema se encuentra contribuyendo al logro de los objetivos misionales.
El Gerente General y su grupo de colaboradores, dentro de sus procesos, actividades y tareas
vienen cumpliendo en lo posible y de acuerdo con su capacidad operativa con los
requerimientos establecidos en: Los manuales del Uso adecuado de los recursos informáticos
y del correo electrónico corporativo.
Se evidenciaron 2 riesgos los mismos que fueron mitigados.
La Auditoría proporcionó 10 Acciones de Mejora.
164
III RECOMENDACIONES
Continuar con la labor de trabajar dentro de la entidad con una Adecuada Gestión de Riesgos
dentro del Sistema de Gestión de Seguridad de la Información.
sigan cumpliendo en lo posible y de acuerdo con su capacidad operativa con los requerimientos
establecidos en: Los manuales del Uso adecuado de los recursos informáticos y del correo
electrónico corporativo.
Refrendado por;
Resultado del Objetivo Específico 2: Es indispensable puntualizar que luego de poner en
práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema de Gestión de Seguridad de la
Información del Ceticos Paita bajo el enfoque de gestión integral de riesgos, generando de esta
manera valor agregado en la Gestión Organizacional y Gubernamental de la Entidad. Prueba
de ello es que el Ceticos Paita ha experimentado 2 mejoras en aspectos de Administración y
Control de Activos de Información que son de propiedad de la entidad, del estado y de la
colectividad.
165
3.7.2.4 La Auditoría de Riesgos Determina el Estado Situacional de las
Recomendaciones formuladas por el Órgano de Control Interno, con respecto
a las evaluaciones efectuadas a las actividades de almacenes, industrias,
talleres, Sistema de Control Interno y Sistema de Gestión de la Seguridad de
la Información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011.
A continuación mostraré el Estado Situacional de las Recomendaciones
como resultado de las evaluaciones practicadas:
Tabla 66: Estado Situacional de las Recomendaciones formuladas en los Informes de Auditoría de Riesgos periodo 2007
al 2011 trabajadas en mi Investigación.
DESCRIPCION PERIODO Nº RECOMEDACIONES ESTADO DE LAS RECOMENDACIONES FORMULADAS NIVEL DE

SUJETO A FORMULADAS ATENCIÓN
EXAMEN DE PARTE
IMPLEMENTADAS PROCESO PENDIENTES DE LA
ENTIDAD
EVALUACIÓN A 2007 AL 32 32 0 0 100%
LA ACTIVIDAD 2010
DE ALMACENES,
TALLERES E
INDUSTRIAS
EVALUACIÓN AL 2008 AL 72 72 0 0 100%
SISTEMA DE 2010
CONTROL
INTERNO BAJO
EL ENFOQUE
COSO ERM
EVALUACIÓN AL 2011 2 2 0 0 100%
SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
LA
INFORMACIÓN
DEL CETICOS
PAITA
TOTAL 2007 AL 106 106 0 0 100%
2011
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del
2011, puedo concluir que a la fecha han sido atendidas todas y cada una de las
recomendaciones formuladas por mi persona en Calidad de Auditor Interno del
Ceticos Paita como consecuencia de la Aplicación de Auditorías de Riesgos en los
Procesos Críticos del Negocio. (Ver Anexo 9 PT 8).
Resultado del Objetivo Específico 3: Refleja el compromiso responsable y solidario
que ha tenido el Gerente General del Ceticos Paita en Atender las Recomendaciones
formuladas en los Informes de Auditoría de Riesgos en un 100%,
166
las mismas que han mejorado Gestión Gubernamental del Ceticos Paita, dentro de las
Actividades de Almacenes, Talleres e Industrias, Sistema de Control Interno y Sistema
de Gestión de la Seguridad de la Información del Ceticos Paita.
167
CAPÍTULO IV: PRESENTACIÓN DE RESULTADOS
4.1 Contrastación de Hipótesis
La Hipótesis General es la siguiente: La Auditoría de Riesgos eficaz facilita la Gestión
Gubernamental Óptima del Ceticos Paita.
Resultados de la Investigación con respecto a la Hipótesis General:
Los resultados me permiten afirmar que la Auditoría de Riesgos Eficaz si facilita la Gestión
Gubernamental Optima del Centro de Exportación, Transformación, Industria, Comercio
y Servicios Generales de Paita (CETICOS PAITA). Esta confirmación de Hipótesis se
sustenta en que luego de aplicar la Auditoría de Riesgos a las actividades de almacenes,
talleres e industrias y al haber implementado el Titular de la Entidad todos y cada uno de
los planes de tratamiento de riesgos / recomendaciones sugeridos por mi persona durante
los ejercicios 2007, 2008, 2009 y 2010, la Gestión Gubernamental experimentó las
siguientes mejoras:
Del 2007 al 2011 los 32 Controles evaluados mejoraron su performance, es decir ahora
poseen niveles de cumplimiento, efectividad, riesgo y madurez aceptables y en proceso de
mejora continua. La empresa viene cumpliendo en lo posible y de acuerdo a su
disponibilidad financiera y presupuestal con los requerimientos establecidos en el
procedimiento de calidad Inta Pg 22, Directiva 002-2008/CETICOS PAITA “Directiva de
Procedimientos de Ingreso y Salida de Mercancías para Almacenes de Ceticos Paita”,
Directiva 001-2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y Salida
de Mercancías para Talleres de Ceticos Paita” y “Directiva de Procedimientos de Ingreso
y Salida de la Actividad de Industrias de Ceticos Paita”.
168
Del 2007 al 2011 surgieron las siguientes 32 mejoras Gubernamentales.
A manera de valor agregado la Auditoría de Riesgos propuso como acción de mejora al
Gerente General del Ceticos Paita: Habilitar un filtro dentro del Sistema de Gestión de
Ceticos Paita al área de Operaciones, para que pueda visualizar a manera de estadísticas
/ reportes a los usuarios que tienen obligaciones pendientes por pagar con Ceticos Paita.
El cual a la fecha se encuentra implementado.
Resultados de la Investigación con respecto a las Hipótesis secundarias:
La evaluación de las Hipótesis secundarias constituye una confirmación de la Hipótesis
General que la respalda y se presenta de la siguiente forma:
CONTRASTACIÓN DE LAS HIPÓTESIS SECUNDARIAS
HIPÓTESIS ESPECÍFICA Nº 1
La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y madurez
del sistema de control interno de la entidad bajo el enfoque de gestión integral de riesgos.
EVALUACIÓN QUE CONFIRMA LA HIPÓTESIS
Efectivamente la Auditoría de Riesgos llegó a determinar el Nivel de implementación,
Efectividad, Riesgo y Madurez del Sistema de Control Interno del Ceticos Paita, Al 30 de
Junio del 2008 dicho sistema operaba en condiciones inaceptables, poseía en promedio un
Indicador de 35.71% Incumplimiento Alto, sus niveles de riesgo y madurez eran altos y
repetibles. Pero luego de poner en práctica el plan de tratamiento de
riesgos/recomendaciones sugeridas durante mi evaluación al 06 de Abril del 2011 el
169
indicador en promedio experimentó una variación de 78.57% Incumplimiento Medio, sus
niveles de riesgo y madurez eran aceptables y administrados; Es decir el Sistema de
Control Interno de la entidad comenzó a experimentar mejoras sustanciales en aspectos de
gestión organizacional y gubernamental.
Luego de Aplicar la Auditoría de Riesgos e Implementar el Titular de la Entidad el Plan
de Tratamiento de Riesgos propuesto por mi persona, El Ceticos Paita experimentó 72
Mejoras en materia de: Ambiente de Control, Evaluación de Riesgos, Actividades de
Control Gerencial, Información y Comunicación y Supervisión y Autoevaluación.
El Sistema de Control Interno de la Entidad se viene administrando y controlando de una
manera ordena y transparente.
La Auditoría recomendó al mismo tiempo como acción de mejora al Gerente General de
la Entidad, Continuar en la labor de incrementar el nivel de efectividad e implementación
del sistema de control interno de la entidad, para futuros ejercicios.
La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y madurez
del sistema de gestión de seguridad de la información bajo el enfoque de gestión integral
de riesgos.
Efectivamente la Auditoría de Riesgos llegó a determinar el Nivel de implementación,
Efectividad, Riesgo y Madurez del Sistema de Gestión de Seguridad de la Información
170
del Ceticos Paita, Al 30 de Marzo del 2010 dicho sistema en promedio poseía un nivel de
Efectividad del 90% (Cumplimiento) y 86% (Incumplimiento Medio), al mismo tiempo
sus niveles de riesgo y madurez eran aceptables y administrados Respectivamente, Es decir
el Sistema de Gestión de Seguridad de la Información del Ceticos Paita se encontraba en
una etapa de mejora continua.
Al 06 de Abril del Ejercicio 2011 El Sistema de Gestión de Seguridad de la Información
del Ceticos Paita, poseía un nivel de Implementación y Efectividad del 90%
Cumplimiento, al mismo tiempo sus niveles de riesgo y madurez eran aceptables y
administrados Respectivamente, Es decir la gestión gubernamental en materia de
seguridad de la información se viene ordenando de una manera eficiente y transparente, al
mismo tiempo los controles inmersos dentro del sistema de gestión de seguridad de la
información que posee la entidad están en proceso de mejora continua.
A raíz de ese avance el Sistema de Gestión de Seguridad de la Información Ceticos Paita
ha experimentado 2 mejoras gubernamentales importantes adicionadas a 18 existentes en
materia de: Control y Protección de Activos de Información
El Sistema de Control Interno de Gestión de Seguridad de la Información se viene
administrando y controlando de una manera ordena y transparente.
A manera de valor agregado la Auditoría propuso 10 acciones de mejora al Gerente
General del Ceticos Paita, Dentro de las cuales las más importantes son: Continuar con el
Avance vinculado con el Plan de Continuidad de Negocios y Atender las
Recomendaciones/Sugerencias que surjan del Test de Penetración al Sistema de Gestión
171
de Seguridad de la Información del Ceticos Paita, que elaborará y ejecutará la Empresa
Network Professional Security Perú SAC. Las cuales a la fecha se encuentran
implementadas.
La Auditoría de Riesgos Determina el Estado Situacional de las Recomendaciones
formuladas por el Órgano de Control Interno, con respecto a las evaluaciones efectuadas a
las actividades de almacenes, industrias, talleres, sistema de control interno y sistema de
gestión de la seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y
2011.
Efectivamente la Auditoría de Riesgos llegó a determinar que de un total de 106
Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del 2011, se ha concluido
que a la fecha han sido atendidas todas y cada una de las recomendaciones formuladas por
mi persona en Calidad de Auditor Interno del Ceticos Paita como consecuencia de la
Aplicación de Auditorías de Riesgos en los Procesos Críticos del Negocio. Demostrando
el Titular de la entidad un compromiso responsable y solidario en mejorar la Gestión
Gubernamental.
4.1.1 Medición de las Variables con los Resultados Obtenidos
Las variables que se han definido como unidades de análisis en el proceso de
investigación, para la comprobación de la Hipótesis y el Logro de los Objetivos de
la Investigación presentan los siguientes resultados:
172
VARIABLE
APLICACIÓN DE LA AUDITORÍA DE RIESGOS AL CETICOS PAITA
Para conocer el Impacto que ha generado la Auditoría de Riesgos dentro de la
Gestión Gubernamental del Ceticos Paita se tuvo que aplicar toda la metodología de
Auditoría de Riesgos dentro de las actividades de Almacenes, Industrias y Talleres
que son las que monitorean y controlan el Ingreso y Salida de Mercancías del Ceticos
Paita de acuerdo a requerimientos establecidos por la Superintendencia Nacional de
Aduanas y/o Normas Internas de la Entidad.
Los Indicadores de la Variable y los resultados producto de la Información
obtenida y procesada son los siguientes:
INDICADORES:
Nivel de Cumplimiento y Efectividad de parte de la Entidad del INTA PG 22 y
Directiva 002-2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso
y Salida de Mercancías para Almacenes de Ceticos Paita”.
A la fecha el nivel de Cumplimiento y Efectividad del Ceticos Paita en lo que
concierne a la Aplicación y puesta en Práctica del Procedimiento de Calidad INTA
PG 22 y y Directiva 002-2008/CETICOS PAITA “Directiva de Procedimientos de
Ingreso y Salida de Mercancías para Almacenes de Ceticos Paita” por parte del
Gerente General y su grupo de Colaboradores es Aceptable y se encuentra en proceso
de mejora continua prueba de ello es que, dichos indicadores mejoraron en niveles
de cumplimiento y efectividad, es decir Pasaron de un Incumplimiento Alto con
calificación de 0% durante el ejercicio 2007 a un nivel de Cumplimiento Aceptable
con calificación del 90%, correspondiente al ejercicio 2011.
173
2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y Salida de
Mercancías para Talleres de Ceticos Paita”.
concierne a la Aplicación y puesta en Práctica de la Directiva 001-2008/CETICOS
PAITA “Directiva de Procedimientos de Ingreso y Salida de Mercancías para
Talleres de Ceticos Paita” por parte del Gerente General y su grupo de Colaboradores
es Aceptable y se encuentra en proceso de mejora continua prueba de ello es que,
dichos indicadores mejoraron en niveles de cumplimiento y efectividad, es decir
Pasaron de un Incumplimiento Alto con calificación de 0% durante el ejercicio 2007
a un nivel de Cumplimiento Aceptable con calificación del 90%, correspondiente al
ejercicio 2011.
2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y Salida de la
Actividad de Industrias de Ceticos Paita”.
concierne a la Aplicación y puesta en Práctica de la Directiva 003-2008/CETICOS
PAITA “Directiva de Procedimientos de Ingreso y Salida de la Actividad de
Industrias de Ceticos Paita” por parte del Gerente General y su grupo de
Colaboradores es Aceptable y se encuentra en proceso de mejora continua prueba de
ello es que, dichos indicadores mejoraron en niveles de cumplimiento y efectividad,
es decir Pasaron de un Incumplimiento Alto con calificación de 0% durante el
ejercicio 2007 a un nivel de Cumplimiento Aceptable con calificación del 90%,
correspondiente al ejercicio 2011.
174
A raíz de ese avance las actividades de Almacenes, Industrias y Talleres
experimentaron 32 mejoras gubernamentales en materia: Organizacional,
Responsabilidad de la Dirección, Supervisión y Monitoreo y Mejora Continua. (Ver
Anexo 7 PT 6.1.1.1)
VARIABLE
ADECUADA ADMINISTRACIÓN Y CONTROL DEL SISTEMA DE
CONTROL INTERNO
Se tuvo que aplicar la Auditoría de Riesgos al Sistema de Control Interno de la
Entidad con la finalidad de evaluar la adecuada administración control de dicho
Sistema.
INDICADOR
Nivel de Efectividad, Implementación y Niveles de Riesgo y Madurez del

Sistema de Control Interno de la Entidad.
Al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del Ceticos Paita,
poseía un nivel de Implementación y Efectividad del 35.71% Incumplimiento Alto,
dicho sistema mitigaba a Niveles de Riesgo 3 Alto y poseía un Nivel de Madurez 2
Repetible, es decir dicho sistema operaba en condiciones inaceptable. Al 06 de Abril
del Ejercicio 2011 el cambio ha sido sorprendente El Sistema de Control Interno del
Ceticos Paita, posee un nivel de Implementación y Efectividad del 78.57%
Incumplimiento Medio, dicho sistema mitiga a Niveles de Riesgo 1 Aceptable y
posee un Nivel de Madurez 4 Administrado, es decir dicho sistema se encuentra en
proceso de mejora continua y está siendo administrado y controlado de manera
ordenada y transparente.
A raíz de ese avance el Sistema de Control Interno del Ceticos Paita ha
experimentado 72 mejoras gubernamentales en materia de: Ambiente de Control,
175
Evaluación de Riesgos, Actividades de control Gerencia, Información y
Comunicación y Supervisión. (Ver Anexo 7 PT 6.2.1.1.1)
El resultado de esta evaluación mencionada anteriormente, fue monitoreado por mi
persona en calidad de Jefe del Órgano de Control Institucional entre Noviembre de
2008 y Noviembre del 2010, la primera revisión que fue reportada el 19/12/2008 con
Oficio Nº 105-2008/OCI-CETICOS PAITA Informe de Control Preventivo.
Vinculado con la: “Verificación Física del Trabajo de Implementación de la
estructura de Control Interno en Ceticos Paita”. (Acción realizada el 18/12/2008).
1ER AVANCE y la revisión décima segunda que fue re reportada el 3 de Noviembre
del 2010 con Oficio Nº 512-2010/OCI-CETICOS PAITA vinculada con: “La
Verificación Física del Trabajo de Implementación de la Estructura de Control
Interno en Ceticos Paita”. (Acción realizada los días 27/10/2010, 2 y 3/11/2010).
VARIABLE
ADECUADA ADMINISTRACIÓN Y CONTROL DEL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DEL CETICOS PAITA
Se tuvo que aplicar la Auditoría de Riesgos al Sistema de Gestión de Seguridad de
la Información de la Entidad con la finalidad de evaluar la adecuada administración
y control de dicho Sistema.
INDICADOR
Nivel de Efectividad, Implementación y Niveles de Riesgo y Madurez del
Sistema de Gestión de Seguridad de la Información de la Entidad.
176
Al 30 de Marzo del Ejercicio 2010 El Sistema de Gestión de Seguridad de la
Información del Ceticos Paita, poseía un nivel de Implementación y Efectividad del
90% y 86% Cumplimiento e Incumplimiento Medio, dicho sistema mitigaba a
Niveles de Riesgo 1 Aceptable y poseía un Nivel de Madurez 4 Administrado, es
decir dicho sistema experimentaba un mediano grado de desarrollo. Al 30 de Marzo
del Ejercicio 2011 el cambio ha sido sorprendente El Sistema de Gestión de
Seguridad de la Información del Ceticos Paita, posee un nivel de Implementación y
Efectividad del 90% Cumplimiento, dicho sistema mitiga a Niveles de Riesgo 1
Aceptable y posee un Nivel de Madurez 4 Administrado, es decir el sistema de
seguridad de la información de la entidad ha experimentado avances significativos,
se encuentra en proceso de mejora continua y está siendo administrado y controlado
de manera ordenada y transparente.
A raíz de ese avance el Sistema de Gestión de Seguridad de la Información Ceticos
Paita ha experimentado 2 mejoras gubernamentales importantes adicionadas a 18
existentes en materia de: Control y Protección de Activos de Información. (Ver
Anexo 7 PT 6.3.1.1.1).
VARIABLE
ADECUADA ATENCIÓN A LAS RECOMENDACIONES DE AUDITORÍA

DE PARTE DE LA GERENCIA GENERAL
Con la Aplicación de la Auditoría de Riesgos al Ceticos Paita se pudo determinar y
evaluar el número de planes de tratamiento de riesgos / recomendaciones
Implementadas y/o atendidas.
177
INDICADOR
Nº de Recomendaciones e Informes Implementadas y/o Atendidos.
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del
2011, puedo concluir que a la fecha tales recomendaciones han sido atendidas en su
totalidad.
4.2 Análisis e Interpretación
4.2.1 Análisis de los resultados en función a los OBJETIVOS E HIPÓTESIS
4.2.1.1 OBJETIVO E HIPÓTESIS GENERAL
OBJETIVO GENERAL
Determinar si la Auditoría de Riesgos eficaz facilita la Gestión
Gubernamental Optima del Ceticos Paita.
HIPÓTESIS GENERAL
La Auditoría de Riesgos eficaz facilita la gestión gubernamental óptima del
Ceticos Paita.
RESULTADOS
Se aplicó la Auditoría de Riesgos en los procesos que controlan el Ingreso y
Salida de Mercancías de las Actividades de Almacenes, Industrias y Talleres
y las mejoras en la Gestión Gubernamental fueron las siguientes:
a) La empresa viene cumpliendo en lo posible y de acuerdo a su
disponibilidad financiera y presupuestal con los requerimientos
establecidos en el procedimiento de calidad Inta Pg 22, Directiva 002-
178
2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y
Salida de Mercancías para Almacenes de Ceticos Paita”, Directiva 001-
2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y
Salida de Mercancías para Talleres de Ceticos Paita” y “Directiva de
Procedimientos de Ingreso y Salida de la Actividad de Industrias de
Ceticos Paita”.
b) Los 32 controles evaluados por parte de la Auditoría de Riesgos que
controlan y administran el Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias mejoraron en niveles de
Implementación y Efectividad es decir Pasaron de un Incumplimiento
Alto con calificación de 0% durante el ejercicio 2007 a un nivel de
Cumplimiento Aceptable con calificación del 90%, correspondiente al
ejercicio 2011.
c) Los 32 controles evaluados por parte de la Auditoría de Riesgos que
controlan y administran el Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias mejoraron sus niveles
de Riesgo y Madurez.
Para el Ejercicio 2007 dichos controles mitigaban a niveles de Riesgo 4
Extremo y poseían un nivel de Madurez 0 No existe, es decir estaba en
riesgos la continuidad del negocio, luego de fortalecer estos controles
con los planes de tratamiento de riesgos formulados por Auditoría
Interna e Instaurados por la Gerencia General podemos enfatizar que
para el Ejercicio 2011 tales controles mitigan a niveles de riesgo
179
aceptable y poseen niveles de madurez administrados , es decir ahora los
riesgos son controlados de una manera ordenada y preventiva y los
controles están en proceso de mejora continua.
d) Se produjeron 32 mejoras en la Gestión Gubernamental del Ceticos Paita
como consecuencia de la Aplicación Eficaz de la Auditoría de Riesgos a
las Actividades de Almacenes, Talleres e Industrias, en materia
Organizacional, de Responsabilidad de la Dirección, Supervisión y
Monitoreo y Aspectos de Mejora Continua.
e) A manera de valor agregado la Auditoría propuso como acción de mejora
al Gerente General del Ceticos Paita: Habilitar un filtro dentro del
Sistema de Gestión de Ceticos Paita al área de Operaciones, para que
pueda visualizar a manera de estadísticas / reportes a los usuarios
que tienen obligaciones pendientes por pagar con Ceticos Paita. Con la
finalidad de mejorar los controles que administran y supervisan el
Ingreso y Salida de Mercancías de las actividades de Almacenes,
Talleres e Industrias. A la fecha la entidad ya cuenta con el control
tecnológico propuesto por Auditoría Interna, que de alguna manera
agiliza las operaciones en tiempo real y en línea.
4.2.1.2 OBJETIVOS E HIPÓTESIS ESPECÍFICAS
OBJETIVO ESPECÍFICO 1
Evaluar el nivel de efectividad, implementación, riesgo y madurez del
sistema de control interno de la entidad bajo el enfoque de gestión integral
180
de riesgos.
HIPÓTESIS ESPECÍFICA 1
La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación,
riesgo y madurez del sistema de control interno de la entidad bajo el enfoque
de gestión integral de riesgos.
RESULTADOS
a) Al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del
Ceticos Paita, poseía un nivel de Implementación y Efectividad del
35.71% Incumplimiento Alto, Es decir el Sistema de Control Interno del
Ceticos Paita operaba en condiciones inaceptables. Los 112 Controles
que se encontraban inmersos dentro del Sistema de Control Interno de la
entidad en promedio mitigaban a niveles de Riesgo 3 Alto y poseía en
promedio niveles de madurez 2 repetible, es decir la gestión
gubernamental de la empresa no era optima y en los procesos críticos del
negocio se dependían de personas para solucionar los problemas
organizacionales del negocio.
b) Al 06 de Abril del Ejercicio 2011 El Sistema de Control Interno del
Ceticos Paita, poseía un nivel de Implementación y Efectividad del
78.57% Incumplimiento Medio, Es decir el Sistema de Control Interno
del Ceticos Paita está experimentando una serie de cambios favorables
para la organización. Los 112 Controles que se encontraban inmersos
dentro del Sistema de Control Interno de la entidad en promedio
mitigaban a niveles de Riesgo 1 Aceptable y poseía en promedio niveles
181
de madurez 4 administrado, es decir la gestión gubernamental de la
empresa se viene ordenando de una manera eficiente y transparente, al
mismo tiempo los controles inmersos dentro del sistema de control
interno que posee la entidad están en proceso de mejora continua.
c) Se produjeron 72 mejoras en la Gestión Gubernamental del Ceticos Paita
como consecuencia de la Aplicación Eficaz de la Auditoría de Riesgos al
Sistema de Control Interno de la entidad, en materia de: Ambiente de
Control, Evaluación de Riesgos, Actividades de Control Gerencial,
Información y Comunicación y Supervisión y Autoevaluación.
d) A manera de valor agregado la Auditoría propuso como acción de mejora
al Gerente General del Ceticos Paita: Continuar en la labor de
incrementar el nivel de efectividad e implementación del sistema de
control interno de la entidad, para futuros ejercicios.
Evaluar el nivel de efectividad, implementación, riesgo y madurez del
sistema de gestión de seguridad de la información bajo el enfoque de gestión
integral de riesgos.
La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación,
riesgo y madurez del sistema de gestión de seguridad de la información bajo
el enfoque de gestión integral de riesgos.
182
RESULTADOS
a) Al 30 de Marzo del Ejercicio 2011 El Sistema de Gestión de Seguridad
de la Información del Ceticos Paita, poseía un nivel de Implementación
y Efectividad del 90 y 86% Respectivamente Cumplimiento e
Incumplimiento Medio, Es decir el Sistema de Gestión de Seguridad de
la Información del Ceticos Paita se encontraba en una etapa de mejora
continua. Los 20 Controles evaluados que se encontraban inmersos
dentro del Sistema de Gestión de Seguridad de la Información de la
entidad en promedio mitigaban a niveles de Riesgo 1 Aceptable y poseía
en promedio niveles de madurez 4 administrado, es decir la gestión en
materia de protección de activos de Información estaba experimentando
una serie de mejoras favorables para la organización.
b) Al 06 de Abril del Ejercicio 2011 El Sistema de Gestión de Seguridad de
la Información, poseía un nivel de Implementación y Efectividad del
90% Cumplimiento, Es decir el Sistema de Gestión de Seguridad de la
Información había mejorado y perfeccionado los controles en materia de
protección de activos de información. Los 20 Controles que se
encontraban inmersos dentro del Sistema de Gestión de Seguridad de la
Información mitigaban a niveles de Riesgo 1 Aceptable y poseía en
promedio niveles de madurez 4 administrado, es decir la gestión
gubernamental en materia de seguridad de la información se viene
ordenando de una manera eficiente y transparente, al mismo tiempo los
183
controles inmersos dentro del sistema de gestión de seguridad de la
información que posee la entidad están en proceso de mejora continua.
c) Se produjeron 2 mejoras en materia de Protección de Activos de
Información del Ceticos Paita como consecuencia de la Aplicación
Eficaz de la Auditoría de Riesgos al Sistema de Gestión de Seguridad de
la Información de la entidad.
d) A manera de valor agregado la Auditoría propuso 10 acciones de mejora
al Gerente General del Ceticos Paita, Dentro de las cuales las más
importantes son: Continuar con el Avance vinculado con el Plan de
Continuidad de Negocios y Atender las Recomendaciones/Sugerencias
que surjan del Test de Penetración al Sistema de Gestión de Seguridad
de la Información del Ceticos Paita, que elaborará y ejecutará la Empresa
Network Professional Security Perú SAC.
Determinar el Estado Situacional de las Recomendaciones formuladas por el
Órgano de Control Interno, con respecto a las evaluaciones efectuadas a las
actividades de almacenes, industrias, talleres y aspectos de seguridad de la
información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011.
184
La Auditoría de Riesgos Determina el Estado Situacional de las
a las evaluaciones efectuadas a las actividades de almacenes, industrias,
talleres y aspectos de seguridad de la información, durante los ejercicios
2007, 2008, 2009, 2010 y 2011.
RESULTADOS
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de
Marzo del 2011, puedo concluir que a la fecha han sido atendidas todas y
cada una de las recomendaciones formuladas por mi persona en Calidad de
Auditor Interno del Ceticos Paita como consecuencia de la Aplicación de
Auditorías de Riesgos en los Procesos Críticos del Negocio.
El Resultado refleja el compromiso responsable y solidario que ha tenido el
Gerente General del Ceticos Paita en Atender las Recomendaciones
formuladas en los Informes de Auditoría de Riesgos, las mismas que han
mejorado Gestión Gubernamental del Ceticos Paita, dentro de las actividades
de almacenes, talleres e industrias, sistema de control interno y sistema de
gestión de la Seguridad de la Información del Ceticos Paita.
4.2.2 INTERPRETACIÓN DE LOS RESULTADOS
La Auditoría de Riesgos Eficaz ha facilitado la Gestión gubernamental Optima del
Ceticos Paita, prueba de ello es que: Se aplicó la Auditoría de Riesgos en los procesos
que controlan el Ingreso y Salida de Mercancías de las Actividades de Almacenes,
185
Industrias y Talleres durante los ejercicios 2007 al 2010 y las mejoras en la Gestión
Gubernamental fueron las siguientes:
 El Ceticos Paita Del 2007 al 2011 viene cumpliendo en lo posible y de acuerdo a
su disponibilidad financiera y presupuestal con los requerimientos establecidos
en el procedimiento de calidad Inta Pg 22, Directiva 002- 2008/CETICOS PAITA
“Directiva de Procedimientos de Ingreso y Salida de Mercancías para Almacenes
de Ceticos Paita”, Directiva 001-2008/CETICOS PAITA “Directiva de
Procedimientos de Ingreso y Salida de Mercancías para Talleres de Ceticos Paita”
y “Directiva de Procedimientos de Ingreso y Salida de la Actividad de Industrias
de Ceticos Paita”.
 Mejora en el Comportamiento y Performance de los Controles,
 Se produjeron 32 mejoras en la Gestión Gubernamental del Ceticos Paita, en
materia en materia Organizacional, de Responsabilidad de la Dirección,
Supervisión y Monitoreo y Aspectos de Mejora Continua.
 A la fecha la entidad ya cuenta con un filtro dentro del Sistema de Gestión de
Ceticos Paita en donde el área de Operaciones, ahora ya puede visualizar a manera
de estadísticas / reportes de los usuarios que tienen obligaciones
pendientes por pagar con Ceticos Paita
La Auditoría de Riesgos ha determinado el nivel de implementación, efectividad, riesgo
y madurez del Sistema de Control Interno del Ceticos Paita, prueba de ello es que: Se
186
aplicó la Auditoría de Riesgos Al Sistema de Control Interno de la Entidad durante los
ejercicios 2008 y 2010 y las mejoras en la Gestión Gubernamental fueron las siguientes:
 Mejora en el Comportamiento y Performance de los Controles, al 06 de Abril del
Ejercicio 2011 los 112 controles que se encuentran inmersos dentro del Sistema
de Control interno poseen niveles de efectividad e implementación del 78.57%,
mitigan a niveles de riesgo 1 Aceptable y poseen niveles de madurez administrado
es decir La Estructura de Control Interno de la Entidad opera de una manera
 Adecuada administración y Control del Sistema de Control Interno.
 Se produjeron 72 mejoras en la Gestión Gubernamental del Ceticos Paita, en
materia en materia de Ambiente de Control, Evaluación de Riesgos, Actividades
de Control Gerencial, Información y Comunicación y Supervisión y
Autoevaluación.
 A la fecha la entidad viene trabajando en mejorar los niveles de implementación,
efectividad, riesgo y madurez de los 112 controles que se encuentran inmersos
dentro del sistema de control interno.
La Auditoría de Riesgos ha determinado el nivel de implementación, efectividad, riesgo
y madurez del Sistema de Gestión de Seguridad de la Información del Ceticos Paita,
prueba de ello es que: Se aplicó la Auditoría de Riesgos Al Sistema de Gestión de
187
Seguridad de la Información de la entidad durante el ejercicio 2011 y las mejoras en la
Gestión Gubernamental fueron las siguientes:
 Mejora en el Comportamiento y Performance de los Controles, al 06 de Abril del
Ejercicio 2011 los 20 controles evaluados que se encuentran inmersos dentro del
Sistema de Gestión de Seguridad de la Información del Ceticos Paita poseen
niveles de efectividad e implementación del 90%, mitigan a niveles de riesgo 1
Aceptable y poseen niveles de madurez administrado es decir El Sistema de
Gestión de la Seguridad de la Información de la Entidad opera de una manera
 Adecuada Administración y Control del Sistema de Gestión de Seguridad de la
Información.
 Se incorporaron Dos mejoras en materia de Protección de Activos de Información
del Ceticos Paita a 18 mejoras ya existentes, como consecuencia de la Aplicación
Eficaz de la Auditoría de Riesgos al Sistema de Gestión de Seguridad de la
Información de la entidad.
 A la fecha la entidad ya cuenta con un Plan de Continuidad de Negocios y ha
Atendido las Recomendaciones/Sugerencias que han surjido del Test de
Penetración al Sistema de Gestión de Seguridad de la Información del Ceticos
Paita, que elaboró y ejecutó la Empresa Network Professional Security Perú SAC.
188
La Auditoria de Riesgos ha Determinado el Estado Situacional de las
Recomendaciones formuladas por el Órgano de Control Interno, con respecto a las
evaluaciones efectuadas a las actividades de almacenes, industrias, talleres y aspectos
de seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011,
prueba de ello es que se evidenciaron los siguientes resultados: De un total de 106
Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del 2011, puedo
concluir que a la fecha han sido atendidas todas y cada una de las recomendaciones
formuladas por mi persona en Calidad de Auditor Interno del Ceticos Paita como
consecuencia de la Aplicación de Auditorías de Riesgos en los Procesos Críticos del
Negocio.
189
CAPÍTULO V: DISCUSIÓN
5.1 Discusión
Se aplicó la Auditoría de Riesgos en los procesos que controlan el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Industrias y Talleres y las mejoras en
la Gestión Gubernamental fueron las siguientes:
El Ceticos Paita Del 2007 al 2011 viene cumpliendo en lo posible y de acuerdo a su
disponibilidad financiera y presupuestal con los requerimientos establecidos en el
procedimiento de calidad Inta Pg 22, Directiva 002-2008/CETICOS PAITA “Directiva de
Procedimientos de Ingreso y Salida de Mercancías para Almacenes de Ceticos Paita”,
Directiva 001-2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y Salida
de Mercancías para Talleres de Ceticos Paita” y “Directiva de Procedimientos de Ingreso
y Salida de la Actividad de Industrias de Ceticos Paita”.
Los 32 controles evaluados por parte de la Auditoría de Riesgos que controlan y
administran el Ingreso y Salida de Mercancías de las Actividades de Almacenes, Talleres
e Industrias mejoraron en niveles de Implementación y Efectividad es decir Pasaron de un
Incumplimiento Alto con calificación de 0% durante el ejercicio 2007 a un nivel de
Cumplimiento Aceptable con calificación del 90%, correspondiente al ejercicio 2011.
Los 32 controles evaluados por parte de la Auditoría de Riesgos que controlan y
administran el Ingreso y Salida de Mercancías de las Actividades de Almacenes, Talleres
e Industrias mejoraron sus niveles de Riesgo y Madurez.
Para el Ejercicio 2007 dichos controles mitigaban a niveles de Riesgo 4 Extremo y poseían
un nivel de Madurez 0 No existe, es decir estaba en riesgos la continuidad del
190
negocio, luego de fortalecer estos controles con los planes de tratamiento de riesgos
formulados por Auditoría Interna e Instaurados por la Gerencia General podemos enfatizar
que para el Ejercicio 2011 tales controles mitigan a niveles de riesgo aceptable y poseen
niveles de madurez administrados , es decir ahora los riesgos son controlados de una
manera ordenada y preventiva y los controles están en proceso de mejora continua.
Se produjeron 32 mejoras en la Gestión Gubernamental del Ceticos Paita como
consecuencia de la Aplicación Eficaz de la Auditoría de Riesgos a las Actividades de
Almacenes, Talleres e Industrias, en materia Organizacional, de Responsabilidad de la
Dirección, Supervisión y Monitoreo y Aspectos de Mejora Continua. (Ver Anexo 7 PT
6.1.1).
A manera de valor agregado la Auditoría propuso como acción de mejora al Gerente
General del Ceticos Paita: Habilitar un filtro dentro del Sistema de Gestión de Ceticos Paita
al área de Operaciones, para que pueda visualizar a manera de estadísticas / reportes a los
usuarios que tienen obligaciones pendientes por pagar con Ceticos Paita. Con la finalidad
de mejorar los controles que administran y supervisan el Ingreso y Salida de Mercancías
de las actividades de Almacenes, Talleres e Industrias. A la fecha la entidad ya cuenta con
el control tecnológico propuesto por Auditoría Interna, que de alguna manera agiliza las
operaciones en tiempo real y en línea.
La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y
madurez del sistema de control interno de la entidad bajo el enfoque de gestión
integral de riesgos y ha confirmado los siguientes resultados:
191
Al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del Ceticos Paita, poseía
un nivel de Implementación y Efectividad del 35.71% Incumplimiento Alto, Es decir el
Sistema de Control Interno del Ceticos Paita operaba en condiciones inaceptables. Los 112
Controles que se encontraban inmersos dentro del Sistema de Control Interno de la entidad
en promedio mitigaban a niveles de Riesgo 3 Alto y poseía en promedio niveles de
madurez 2 repetible, es decir la gestión gubernamental de la empresa no era optima y en
los procesos críticos del negocio se dependían de personas para solucionar los problemas
organizacionales del negocio.
Al 06 de Abril del Ejercicio 2011 El Sistema de Control Interno del Ceticos Paita, poseía
un nivel de Implementación y Efectividad del 78.57% Incumplimiento Medio, Es decir el
Sistema de Control Interno del Ceticos Paita está experimentando una serie de cambios
favorables para la organización. Los 112 Controles que se encontraban inmersos dentro
del Sistema de Control Interno de la entidad en promedio mitigaban a niveles de Riesgo 1
Aceptable y poseía en promedio niveles de madurez 4 administrado, es decir la gestión
gubernamental de la empresa se viene ordenando de una manera eficiente y transparente,
al mismo tiempo los controles inmersos dentro del sistema de control interno que posee la
entidad están en proceso de mejora continua.
El Sistema de Control Interno de la Entidad de manera progresiva se viene administrando
y controlando de una manera ordenada y transparente.
Se produjeron 72 mejoras en la Gestión Gubernamental del Ceticos Paita como
consecuencia de la Aplicación Eficaz de la Auditoría de Riesgos al Sistema de Control
Interno de la entidad, en materia de: Ambiente de Control, Evaluación de Riesgos,
192
Actividades de Control Gerencial, Información y Comunicación y Supervisión y
Autoevaluación. (Ver Anexo 7 PT 6.2.1.1.1).
A manera de valor agregado la Auditoría propuso como acción de mejora al Gerente
General del Ceticos Paita: Continuar en la labor de incrementar el nivel de efectividad e
implementación del sistema de control interno de la entidad, para futuros ejercicios.
La Auditoría de Riesgos Evalúa el nivel de efectividad, implementación, riesgo y
madurez del sistema de gestión de seguridad de la información bajo el enfoque de
gestión integral de riesgos y ha confirmado los siguientes resultados:
Al 30 de Marzo del Ejercicio 2011 El Sistema de Gestión de Seguridad de la Información
del Ceticos Paita, poseía un nivel de Implementación y Efectividad del 90 y 86%
Respectivamente Cumplimiento e Incumplimiento Medio, Es decir el Sistema de Gestión
de Seguridad de la Información del Ceticos Paita se encontraba en una etapa de mejora
continua. Los 20 Controles evaluados que se encontraban inmersos dentro del Sistema de
Gestión de Seguridad de la Información de la entidad en promedio mitigaban a niveles de
Riesgo 1 Aceptable y poseía en promedio niveles de madurez 4 administrado, es decir la
gestión en materia de protección de activos de Información estaba experimentando una
serie de mejoras favorables para la organización.
Al 06 de Abril del Ejercicio 2011 El Sistema de Control Interno del Ceticos Paita, poseía
un nivel de Implementación y Efectividad del 90% Cumplimiento, Es decir el Sistema de
Gestión de Seguridad de la Información había mejorado y perfeccionado los controles en
materia de protección de activos de información. Los 20 Controles que se encontraban
193
inmersos dentro del Sistema de Gestión de Seguridad de la Información mitigaban a
niveles de Riesgo 1 Aceptable y poseía en promedio niveles de madurez 4 administrado,
es decir la gestión gubernamental en materia de seguridad de la información se viene
ordenando de una manera eficiente y transparente, al mismo tiempo los controles inmersos
dentro del sistema de gestión de seguridad de la información que posee la entidad están en
proceso de mejora continua.
El sistema de Gestión de Seguridad de la Información del Ceticos Paita viene siendo
administrado y controlado progresivamente de una manera ordenada y transparente.
Se Incorporaron 2 mejoras en materia de Protección de Activos de Información del Ceticos
Paita dentro de 18 mejoras ya existentes, como consecuencia de la Aplicación Eficaz de la
Auditoría de Riesgos al Sistema de Gestión de Seguridad de la Información de la entidad.
(Ver Anexo 7 PT 6.3.1.1).
A manera de valor agregado la Auditoría propuso 10 acciones de mejora al Gerente
General del Ceticos Paita, Dentro de las cuales las más importantes son: Continuar con el
Avance vinculado con el Plan de Continuidad de Negocios y Atender las
Recomendaciones/Sugerencias que surjan del Test de Penetración al Sistema de Gestión
de Seguridad de la Información del Ceticos Paita, que elaborará y ejecutará la Empresa
La Auditoría de Riesgos Determina el Estado Situacional de las Recomendaciones
formuladas por el Órgano de Control Interno, con respecto a las evaluaciones
efectuadas a las actividades de almacenes, industrias, talleres y aspectos de
194
seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011, y
ha confirmado los siguientes resultados:
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del 2011,
puedo concluir que a la fecha han sido atendidas todas y cada una de las recomendaciones
consecuencia de la Aplicación de Auditorías de Riesgos en los Procesos Críticos del
Negocio. (Ver Anexo 9 PT 8).
El Resultado refleja el compromiso responsable y solidario que ha tenido el Gerente
General del Ceticos Paita en Atender las Recomendaciones formuladas en los Informes de
Auditoría de Riesgos, las mismas que han mejorado Gestión Gubernamental del Ceticos
Paita, dentro de las actividades de almacenes, talleres e industrias, sistema de control
interno y sistema de gestión de la Seguridad de la Información del Ceticos Paita.
195
5.2 Conclusiones
5.2.1 Conclusiones Presentadas
 Conclusión General
a) La Auditoría de Riesgos Eficaz ha facilitado la Gestión Gubernamental
Óptima del Ceticos Paita, prueba de ello es que: Se aplicó la Auditoría de
Riesgos en los procesos que controlan el Ingreso y Salida de Mercancías de
las Actividades de Almacenes, Industrias y Talleres durante los ejercicios
2007 al 2010 y las mejoras en la Gestión Gubernamental fueron las siguientes:
Mejora en el Comportamiento y Performance de los Controles,
 Se produjeron 32 mejoras en la Gestión Gubernamental del Ceticos
Paita, en materia en materia Organizacional, de Responsabilidad de la
Dirección, Supervisión y Monitoreo y Aspectos de Mejora Continua.
 A la fecha la entidad ya cuenta con un filtro dentro del Sistema de
Gestión de Ceticos Paita en donde el área de Operaciones, ahora ya
puede visualizar a manera de estadísticas / reportes de los usuarios
que tienen obligaciones pendientes por pagar con Ceticos Paita.
 Conclusiones Específicas
b) La Auditoría de Riesgos ha determinado el nivel de implementación,
efectividad, riesgo y madurez del Sistema de Control Interno del Ceticos
196
Paita, prueba de ello es que: Se aplicó la Auditoría de Riesgos Al Sistema de
Control Interno de la Entidad durante los ejercicios 2008 y 2010 y las mejoras
en la Gestión Gubernamental fueron las siguientes:
 Mejora en el Comportamiento y Performance de los Controles, al 06 de
Abril del Ejercicio 2011 los 112 controles que se encuentran inmersos
dentro del Sistema de Control interno poseen niveles de efectividad e
implementación del 78.57%, mitigan a niveles de riesgo 1 Aceptable y
poseen niveles de madurez administrado es decir La Estructura de
Control Interno de la Entidad opera de una manera ordenada y
transparente.
 Se produjeron 72 mejoras en la Gestión Gubernamental del Ceticos
Paita, en materia en materia de Ambiente de Control, Evaluación de
Riesgos, Actividades de Control Gerencial, Información y
Comunicación y Supervisión y Autoevaluación.
 A la fecha la entidad viene trabajando en mejorar los niveles de
implementación, efectividad, riesgo y madurez de los 112 controles que
se encuentran inmersos dentro del sistema de control interno.
c) La Auditoría de Riesgos ha determinado el nivel de implementación,
efectividad, riesgo y madurez del Sistema de Gestión de Seguridad de la
Información del Ceticos Paita, prueba de ello es que: Se aplicó la Auditoría
de Riesgos Al Sistema de Gestión de Seguridad de la Información de la
197
entidad durante el ejercicio 2011 y las mejoras en la Gestión Gubernamental
fueron las siguientes:
 Mejora en el Comportamiento y Performance de los Controles, al 06 de
Abril del Ejercicio 2011 los 20 controles evaluados que se encuentran
inmersos dentro del Sistema de Gestión de Seguridad de la Información
del Ceticos Paita poseen niveles de efectividad e implementación del
90%, mitigan a niveles de riesgo 1 Aceptable y poseen niveles de
madurez administrado es decir El Sistema de Gestión de la Seguridad de
la Información de la Entidad opera de una manera ordenada y
transparente.
 Dos (2) mejoras en materia de Protección de Activos de Información del
Ceticos Paita como consecuencia de la Aplicación Eficaz de la Auditoría
de Riesgos al Sistema de Gestión de Seguridad de la Información de la
entidad.
 A la fecha la entidad ya cuenta con un Plan de Continuidad de Negocios
y ha Atendido las Recomendaciones/Sugerencias que han surgido del
Test de Penetración al Sistema de Gestión de Seguridad de la
Información del Ceticos Paita, que elaboró y ejecutó la Empresa
d) La Auditoría de Riesgos ha Determinado el Estado Situacional de las
a las evaluaciones efectuadas a las actividades de almacenes,
198
industrias, talleres y aspectos de seguridad de la información, durante los
ejercicios 2007, 2008, 2009, 2010 y 2011, prueba de ello es que se
evidenciaron los siguientes resultados: De un total de 106 Recomendaciones
emitidas de Enero del 2007 al 30 de Marzo del 2011, puedo concluir que a la
fecha han sido atendidas todas y cada una de las recomendaciones formuladas
por mi persona en Calidad de Auditor Interno del Ceticos Paita como
consecuencia de la Aplicación de Auditorías de Riesgos en los Procesos
Críticos del Negocio.
199
5.3 Recomendaciones
5.3.1 Recomendaciones Presentadas
 Recomendación General
a) Para la Gestión Gubernamental Óptima en los Centros de Exportación,
Transformación, Industrias, Comercio y Servicios Generales (CETICOS), La
Auditoría de Riesgos Eficaz debe de ser aplicada de manera preventiva y
posterior y programada en los Planes Anuales de los Órganos de Control
Institucional y estar sujeta a evaluación permanente por el Sistema Nacional
de Control de nuestro País. Así mismo los Informes de Auditoría deben de
contener datos estadísticos e históricos de los controles evaluados para
establecer las comparaciones pertinentes medir las metas alcanzadas con las
propuestas.
 Recomendaciones Específicas
b) Para determinar el nivel de implementación, efectividad, riesgo y madurez del
Sistema de Control Interno en los Centros de Exportación, Transformación,
Industrias, Comercio y Servicios Generales (CETICOS), es necesario que los
Auditores de Gobierno tengan en cuenta la metodología planteada en el
presente trabajo de investigación y las variaciones que pudieran experimentar
los estándares de gestión de riesgos a partir del año 2012 en adelante.
c) Para determinar el nivel de implementación, efectividad, riesgo y madurez del
Sistema de Gestión de Seguridad de la Información en los Centros de
Exportación, Transformación, Industrias, Comercio y Servicios Generales
200
(CETICOS), es necesario que los Auditores de Gobierno tengan en cuenta la
metodología planteada en el presente trabajo de investigación y las variaciones
que pudieran experimentar los estándares de gestión de riesgos a partir del año
2012 en adelante.
d) Es necesario que los Auditores de los Centros de Exportación, Transformación,
Industrias, Comercio y Servicios Generales (CETICOS), Que instauren esta
metodología en sus negocios deberán de llevar a cabo un análisis del impacto
que han generado las recomendaciones dentro del negocio.
201
5.4 Referencias Bibliográficas Estilo APA 5ta Edición
1. AGUILERA LÓPEZ, P. (2010). Seguridad Informática (Vol. I). Madrid, España:
Editex.
2. AREITIO BERTOLÍN, J. (2008). Seguridad de la Información (1 era Edición ed.,
Vol. I). Madrid, España: Paninfo.
3. BALLALAH, M., PRIGENT, J., SAHUT, J., & PARIENTE, G. y. (2008). Risk
Management and Value (1ea ed., Vol. I). London, United Kingdom: World Scientific
Pub Co Inc.
4. CENDROWSKI, H. y. (2009). Enterprise Risk Management and COSO / Gestión de
Riesgos Corporativos y COSO (1era ed., Vol. I). Estados Unidos: John Wiley & Sons
Inc.
5. CETICOS PAITA. (2007). Directiva de Infracciones y Sanciones (1era ed., Vol. I).
Paita: Ceticos Paita.
6. CETICOS PAITA. (2008). Directiva para el Control del Ingreso y Salida de
Mercancías de la Actividad de Talleres (1era ed., Vol. I). Paita, Perú: Ceticos Paita.
7. CETICOS PAITA. (2009). Manual de Uso de Correo Electrónico del Ceticos Paita
(1era ed., Vol. I). Paita, Perú: Ceticos Paita.
8. CETICOS PAITA. (2009). Manual de Uso de Recursos Informáticos del Ceticos
Paita (2d ed., Vol. II). Paita, Perú: Ceticos Paita.
9. CETICOS PAITA. (2010). Plan Estratégico Insitucional 2010 al 2022 (1 era ed., Vol.
I). Paita, Perú: Ceticos Paita.
202
10. CONTRALORÍA GENERAL DE LA REPÚBLICA. (2006). Normas de Control
Interno (1era ed., Vol. I). Lima, Perú: Contraloría General de la República.
11. COUTO LORENZO, L. (2008). Auditoría del Sistema APPCC Cómo verificar los
sistemas de gestión de Inocuiidad Alimentaria HACP (1era ed., Vol. I). Ediciones
Diaz Santos.
12. DICSCAMEN. (1994). Reglamento de Servicios de Seguridad Privada (1era ed., Vol.
I). Lima: Dicscamen.
13. EQUIPO VÉRTICE. (2010). Auditor PRL (1era ed., Vol. I). Málaga: Vértice.
14. EQUIPO VÉRTICE. (2011). Gestión Ambiental en Empresas de Limpieza (1era ed.,
Vol. I). Málaga, España: Vértice.
15. ESTÁNDAR AUSTRALIANO NEOZELANDEZ. (1999). Administración de Riesgos
(1era ed., Vol. I). Australia.
16. ESTUPIÑAN GAITÁN, R. (2007). Administración o Gestión de Riesgos ERM y la
Auditoría Interna (1 era Edición ed., Vol. I). Colombia.
17. ESTUPIÑAN GAITAN, R. (2006). Control Interno y Fraude con Base en los Ciclos
Transaccionales. Informe COSO I y COSO II. (2da ed., Vol. II). Colombia.
18. FERNÁNDEZ ZAPICO, F. (2010). Manual para la formación del auditor en
Prevensión de Riesgos Laborales (3era ed., Vol. III). Valladolid, España: Lex Nova.
19. FLORES TORRES, A. (2005). Control de Riesgos Financieros mediante
AssetLiability Management (ALM) aplicado a la Industria de Seguros (1era ed., Vol.
I). Santa Fe de Bogota, Colomabia: Universidad de los Andes Santa Fe de Bogota.
203
20. FONSECA LUNA, O. (2007). Auditoría Gubernamental Moderna (1era ed., Vol. I).
Lima, Perú: Enlace Gubernamental S.A.C.
21. GIBSON, D. (2011). Managing Risk in Information Systems / Gestión de Riesgos en
Sistemas de Información (1era ed., Vol. I). London, United Kingdom: Jones and
Bartlett Learning.
22. GONZÁLES MUÑIS, R. (2003). Prevención de Riesgos Laborales (1era ed., Vol. I).
España: Paraninfo.
23. HALPERG, D. (2010). Gestión de Crisis. Teoría y Práctica de un modelos
Comunicacional (1era ed., Vol. I). Santiago, Chile: RH Editores.
24. HERNÁNDEZ MORALES, G. (2010). Auditoría Interna Basada en Riesgos (1era
ed., Vol. I). Guatemala: Universidad de Carlos Guatemala.
25. HERNÁNDEZ SAMPIERI, R., & FERNÁNDEZ COLLADO, C. y. (2010).
Metodología de la Investigación (5ta ed., Vol. I). México: Mc Graw Hill.
26. HEWITTEN, R. (1999). ISO 14001 Manual de Sistemas de Gestión Ambiental (1era
ed., Vol. I). España: Paraninfo.
27. HILES, A. (2011). The Definitive Handbook of Business Continuity Management / El
Manual Defnitivo de Gestión de Continuidad de Negocio (3era ed., Vol. III). London,
United Kingdom: John Wiley & Sons Ltd.
28. INSTITUTO NACIONAL DE DEFENSA CIVIL. (2004). Norma Técnica Peruana
NTP 399.010-1-2004 Reglas para el Diseño de señales de Seguridad (2da ed., Vol.
II). Lima, Perú: Indeci.
204
29. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. (2009). ISO
31000: 2009 Gestión de Riesgos Principios y Prácticas (1era ed., Vol. I). Geneva,
Suiza.
30. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. (2009). ISO
31010:2009 Gestión de Riesgos y Técnicas de Gestión de Riesgos (1era ed., Vol. I).
Geneva, Suiza.
31. LAVIN, J. (2009). Seguridad con los Montacargas (1era ed., Vol. I). Washington,
Estados Unidos: Illinois.
32. MARTÍNEZ PONCE DE LEÒN, J. (2002). Introducción al Análisis de Riesgos (1era
ed., Vol. I). Mexico: Limusa.
33. MINISTERIO DE COMERCIO EXTERIOR Y TURISMO. (2002). Reglamento de
Organización y Funciones del Ceticos Paita (1era ed., Vol. I). Lima, Perú: Mincetur.
34. MINISTERIO DE TRABAJO Y PROMOCIÓN Y EMPLEO. (2005). Reglamento de
Seguridad y Salud en el Trabajo (1era ed., Vol. I). Lima, Perú: Mintra.
35. MINISTERIO DE VIVIENDA. (2006). Norma A.130 Requisitos de Seguridad (1era
ed., Vol. I). Lima, Perú: Vivienda.
36. MOELLER ROBERT, R. (2007). COSO Enterprise Risk Management / Gestión de
Riesgos Corporativos (1era ed., Vol. I). Estados Unidos: John Wiley & Sons Inc.
37. OLSON, D. y. (2008). Enterprise Risk Management / Gestión de Riesgos
Corporativos (1era ed., Vol. I). London, United Kingdom: World Scientific Pub Co
Inc.
205
38. PALENCIA LEFLER, M. (2010). 90 Técnicas de Comunicación y Relaciones
Públicas (1era ed., Vol. I). Barcelona, España: Profit.
39. PÉREZ CARRERO, A. P. (2005). Incidencia de Riesgos Profesionales en la
Productividad de Empresas Afiliadas a una Administradora de Riesgos Profesionales,
sectores económico, químico, y metálmecánico (1era ed., Vol. I). Santa Fe de Bogotá,
Colombia: Universidad de los Andes.
40. PSYCOLOGICAL, A. A. (2009). Publication Manual of The American Psycological
Association / Guía para la Elaboración y Presentación de Trabajos de Investigación
según el Estilo APA. (5ta Edición ed., Vol. V). Standford, ESTADOS UNIDOS:
APA.
41. RIBAGORDA GARNACHO, A. y. (2004). Avances en Criptología y Seguridad de la
Información (1era ed., Vol. I). Madrid, España: Diaz Santos.
42. RUIZ, G., & TORRES, J. y. (2000). La Gestión del Riesgo Financiero (1era ed., Vol.
I). Madrid, España.
43. SANCHEZ CARLESSI, H. y. (2006). Metodología y Diseños de la Investigación
Científica (1era ed., Vol. I). Lima, Perú: Visión Universitaria.
44. SEGAL, S. (2011). Corporate Value of Enterprise Risk Management / Valor
Corporativo de Gestión de Riesgo Empresarial (1era ed., Vol. I). Canada: Lybrary of
Congress.
45. SPRENCER PICKETT, K. (2011). The Esential Guide to Internal Auditing / La Guía
Esencial para la Auditoría interna (3era ed., Vol. III). London, United Kingdom:
British Library.
206
46. SUPERINTENDENCIA NACIONAL DE ADUANAS. (2000). Procedimiento
General INTA PG 22 (1era ed., Vol. I). Lima, Perú: SUNAT ADUANAS.
47. TUÑEZ LÓPEZ, M. y. (2007). Comunicación Preventiva: Planificación y Ejecución
de Estrategias de Información Interna y Externa ante Situaciones de Crisis (1era ed.,
Vol. I). España: Gesbiblo.
48. ZAPATA CHANCUSIG, J. (2009). Auditoría con Enfoque de Riesgos (1era ed., Vol.
I). Sangolqui: Escuela Politécnica del Ejercito.
207
ANEXOS
Anexo Nº 1: Programa de Auditoría

Tabla 67: Programa de Auditoría: Objetivo General Nº1.
Programa de Auditoría Nivel de Hecho por Fecha Referencia
Frecuencia
Objetivo General Nº1: Determinar si la Auditoría de Riesgos Alta NGS 2007 PT1 A PT 7
Facilita la Gestión Gubernamental Optima del Ceticos /2010
Paita.
Procedimientos para el Logro del Objetivo General Nº 1
1 Conocer el Proceso de Ingreso y Salida de Mercancías de Alta NGS 2007 / PT1
las Actividades de Almacenes Industrias y Talleres. 2010
Incidiendo en los controles que monitorean a dicho
proceso.
2 Elaborar el Enunciado de Aplicabilidad correspondiente, Alta NGS 2007 / PT 2
en donde se identifiquen los Riesgos como resultado de la 2010
aplicación de la Auditoría.
3 Elaborar un enunciado de aplicabilidad en donde se Alta NGS 2007 / PT 3
efectúe el Análisis de Riesgos de los Procesos y Controles 2010
Sujetos a Evaluación.
4 Con la Ayuda de Histogramas de Frecuencia y Diagramas Alta NGS 2007 / PT 4
Radar evaluar el Comportamiento de los Controles 2010
examinados antes de la Instauración del Plan de
tratamiento de Riesgos.
5 Elaborar la Matriz del Plan de Tratamiento de Riesgos, Alta NGS 2007 / PT 5
por cada una de las deficiencias encontradas en los 2010
Procesos sujetos a Auditoría.
6 Monitorear y Revisar el Estado de los Controles Alta NGS 2007 / PT 6
Evaluados antes y después de la Instauración del Plan de 2010 PT 6.1
Tratamiento de Riesgos con la Ayuda de Histogramas de PT 6.1.1
Frecuencia y Diagramas radar, emitiendo los análisis PT 6.1.1.1
pertinentes.
7 Comunicar los Resultados. Alta NGS 2007 / PT 7
2010
208
Tabla 68: Programa de Auditoría: Objetivo Específico Nº 1.
Frecuencia
Objetivo Específico Nº 1: Evaluar el Nivel de Efectividad, Alta NGS 2008 PT1 A PT
Implementación, Riesgo y Madurez del Sistema de Control /2010 1.1 A PT 7.1
Interno bajo el Enfoque de Gestión Integral de Riesgos.
Procedimientos para el logro del Objetivo Especifico Nº 1
1 Conocer el Sistema de Control Interno del Ceticos Paita Alta NGS 2008 PT 1.1
y los controles que monitorean a dicho sistema. /2010
2 Elaborar el Enunciado de Aplicabilidad Alta NGS 2008 PT 2.1
correspondiente, en donde se identifiquen los Riesgos /2010
como resultado de la aplicación de la Auditoría.
3 Elaborar un enunciado de aplicabilidad en donde se Alta NGS 2008 PT 3.1
efectúe el Análisis de Riesgos de los Procesos y /2010
Controles Sujetos a Evaluación.
4 Con la Ayuda de Histogramas de Frecuencia y Alta NGS 2008 PT 4.1
Diagramas Radar evaluar el Comportamiento de los /2010
Controles examinados antes de la Instauración del Plan
de tratamiento de Riesgos.
5 Elaborar la Matriz del Plan de Tratamiento de Riesgos, Alta NGS 2008 PT 5.1
por cada una de las deficiencias encontradas en los /2010
6 Monitorear y Revisar el Estado de los Controles Alta NGS 2008 PT 6.2
Evaluados antes y después de la Instauración del Plan /2010 PT 6.2.1
de Tratamiento de Riesgos con la Ayuda de PT 6.2.1.1
Histogramas de Frecuencia y Diagramas radar, PT 6.2.1.1.1
emitiendo los análisis pertinentes.
7 Comunicar los Resultados. Alta NGS 2008 PT 7.1
/2010
209
Tabla 69: Programa de Auditoría: Objetivo Específico Nº 2.
Frecuencia
Objetivo Específico Nº 2: Evaluar el Nivel de Efectividad, Alta NGS 2010 PT 1.1.1 A
Implementación, Riesgo y Madurez del Sistema de Gestión de /2011 PT 7.1.1
Seguridad de la Información del Ceticos Paita.
Procedimientos para el logro del Objetivo Especifico Nº 2
1 Conocer el Sistema de Gestión de Seguridad de la Alta NGS 2010 PT 1.1.1
Información y los controles que monitorean a dicho /2011
sistema.
2 Elaborar el Enunciado de Aplicabilidad correspondiente, Alta NGS 2010 PT 2.1.1
en donde se identifiquen los Riesgos como resultado de la /2011
aplicación de la Auditoría.
3 Elaborar un enunciado de aplicabilidad en donde se Alta NGS 2010 PT 3.1.1
efectúe el Análisis de Riesgos de los Procesos y Controles /2011
Sujetos a Evaluación.
4 Con la Ayuda de Histogramas de Frecuencia y Diagramas Alta NGS 2010 PT 4.1.1
Radar evaluar el Comportamiento de los Controles /2011
examinados antes de la Instauración del Plan de
tratamiento de Riesgos.
5 Elaborar la Matriz del Plan de Tratamiento de Riesgos, Alta NGS 2010 PT 5.1.1
por cada una de las deficiencias encontradas en los /2011
6 Monitorear y Revisar el Estado de los Controles Alta NGS 2010 PT 6.3
Evaluados antes y después de la Instauración del Plan de /2011 PT 6.3.1
Tratamiento de Riesgos con la Ayuda de Histogramas de PT 6.3.1.1
Frecuencia y Diagramas radar, emitiendo los análisis PT 6.3.1.1.1
pertinentes.
7 Comunicar los Resultados. PT 7.1.1
210
Tabla 70: Programa de Auditoría: Procedimiento Específico Nº 3.
Frecuencia
Objetivo Específico Nº 3:Determinar Alta NGS 2011 PT 8
el Estado Situacional de las
Recomendaciones formuladas por el
Órgano de Control Interno, con
respecto a las evaluaciones efectuadas
a las actividades de almacenes,
industrias, talleres, control interno y
aspectos de seguridad de la
información, durante los ejercicios
2007, 2008, 2009, 2010
y 2011.
Procedimiento para el Logro del
Objetivo Específico Nº 3
1 Con la ayuda de un histograma de Alta NGS 2011 PT 8
Frecuencias elaborar el Estado
Situacional de las
Recomendaciones como
resultado de las evaluaciones
efectuadas.
2 Comentar el nivel de Alta NGS 2011 PT 8
responsabilidad solidaria de parte
del Titular de la Entidad como
resultado de la Instauración de
Medidas Correctivas.
211
Anexo Nº 2: Fase Nº 1: Conociendo el Proceso a Auditar
PT1: Diagrama de Proceso de Ingreso y Salida de Mercancías de la Actividad de Almacenes,
Industrias y Talleres
El Proceso vinculado con el ingreso, transito, traspaso, traslado y salida de mercancías de la
Actividad de Almacenes, Talleres e Industrias al interior de Ceticos Paita o con destino al
Puerto de Paita o a otra jurisdicción Aduanera, apoya en el modelo PDCA, que consiste en:
Diagrama Nº 1: Diagrama de procesos PDCA del ingreso y salida de mercancías de la actividad de Almacenes, Industrias y
Talleres.
PLANIFICAR
MEJORA INGRESO Y
SALIDA DE HACER
VERIFICAR
Planificar: establecer los objetivos y procesos necesarios para conseguir resultados de
acuerdo con los requisitos del cliente y las políticas de la organización.
Hacer: Implementar los procesos.
Verificar: Realizar el seguimiento y la medición de los procesos y los productos respecto a
las políticas, los objetivos y los requisitos para el producto, e informar sobre los resultados.
Actuar: Tomar acciones para mejorar continuamente el desempeño de los procesos.
Este Sistema de Gestión de Calidad, se apoya en los siguientes controles:
 Política del Sistema de Gestión de Calidad.
 Responsabilidad de la Dirección.
 Gestión de Recursos.
212
 Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes,
 Control de Usuarios.
 Soporte.
 Mejora Continua.
Dichos controles (que se encuentran inmersos en los procesos de organización,
responsabilidad de la dirección, supervisión y monitoreo y mejora continua) son los
encargados de Mitigar los riesgos que atentan contra la buena administración y fiscalización
que ejerce el Ceticos Paita, garantizando así la continuidad del Negocio y el compromiso social
que la entidad tiene con los usuarios, sus colaboradores, el medio ambiente y la colectividad
en su conjunto.
213
PT 1.1 Diagrama de Proceso del Sistema de Control Interno Bajo el Enfoque COSO ERM
Diagrama Nº 2: Diagrama de procesos del Sistema de Control Interno bajo el enfoque COSO ERM.
Usuarios Nivel de Satisfacción

de los Usuarios.
Internos y
Externos Contar con un Sistema
de Control Interno
Requisitos del
Antifraude y
Sistema
Anticorrupción.
Salidas
Entradas
El proceso del Sistema de Control Interno del Ceticos Paita se apoya en el modelo PDCA,
que consiste en:
Planificar: establecer los objetivos y procesos necesarios para conseguir resultados de
acuerdo con los requisitos del cliente y las políticas de la organización.
Hacer: Implementar los procesos.
Verificar: Realizar el seguimiento y la medición de los procesos y los productos respecto a
las políticas, los objetivos y los requisitos para el producto, e informar sobre los resultados.
Actuar: Tomar acciones para mejorar continuamente el desempeño de los procesos.
Este Sistema de Control Interno se apoya en los siguientes controles:
 Filosofía de la Dirección.
 Integridad y valores éticos.
 Administración Estratégica.
 Estructura organizacional.
 Administración de los Recursos Humanos.
 Competencia profesional.
214
 Asignación de autoridad y responsabilidad.
 Órgano de Control Institucional.
 Planeamiento de la Administración de Riesgos
 Identificación de Riesgos
 Valoración de riesgos
 Respuesta al riesgo
 Procedimiento de Autorización y Aprobación*
 Segregación de funciones*
 Evaluación Costo-Beneficio*
 Controles sobre el acceso a los recursos o archivos*
 Verificaciones y conciliaciones*
 Evaluación de desempeño *
 Rendición de cuentas
 Documentación de procesos, actividades y tareas *
 Revisión de procesos, actividades y tareas*
 Controles para las tecnologías de Información y comunicaciones
 Funciones y características de la información
 Información y responsabilidad
 Calidad y suficiencia de la información
 Sistemas de información
 Flexibilidad al cambio
 Archivo institucional
 Comunicación interna
 Comunicación externa
 Canales de comunicación
215
 Actividades de Prevención y Monitoreo
 Seguimiento de Resultados
 Compromiso de Mejoramiento.
Dichos controles (que se encuentran inmersos en los procesos de Ambiente de Control,
organización, responsabilidad de la dirección, supervisión y monitoreo y mejora
continua) son los encargados de Mitigar los riesgos que atentan contra la buena
administración y fiscalización que ejerce el Ceticos Paita, garantizando así la continuidad del
Negocio y el compromiso social que la entidad tiene con los usuarios, sus colaboradores, el
medio ambiente y la colectividad en su conjunto.
216
PT 1.1.1 Diagrama de Proceso del Sistema de Gestión de la Seguridad de la Información
Se elaboró el Diagrama del Proceso del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita, con la finalidad de determinar, los objetivos de control, controles, procesos y
procedimientos que se trabajan en dicho Sistema y que fueron sujetos a Evaluación por parte
del Jefe de Oci del Ceticos Paita.
Diagrama Nº 3: Diagrama de procesos del Sistema de Gestión de Seguridad de la Información del Ceticos Paita.
Partes interesadas:
Partes interesadas:
Stakeholders.
NTO (1)
Clientes.
Stakeholders.
Proveedores.
Clientes. N (2)
Usuarios.
Proveedores.
Accionistas.
Socios.
El proceso del Sistema de Gestión de Seguridad de la Información del Ceticos Paita se apoya
en el modelo PDCA, que consiste en:
Planear: Referido al Establecimiento del Sistema de Gestión de Seguridad de la Información,
con la ayuda de políticas, objetivos y procedimientos relevantes para manejar el riesgo y
mejorar la seguridad de la Información para entregar resultados en concordancia con las
políticas y objetivos generales de la organización.
Hacer: Referido a la Implementación y operatividad del Sistema de Gestión de la Seguridad
de la Información del Ceticos Paita.
Chequear: Referido al Monitoreo y revisión de los riesgos y la evaluación de la efectividad de
los controles alineados al giro del negocio reportados a la Gerencia General.
217
Actuar: Referido al Mantenimiento y mejora Continua del Sistema de Gestión de la Seguridad
de la Información, en donde la organización toma acciones correctivas y preventivas, basadas
en los resultados de la auditoría interna al Sistema de Gestión de la Seguridad de la Información
y la Revisión General u otra información relevante, para lograr el mejoramiento continuo de
dicho Sistema.
Este Sistema de Gestión de Seguridad de la Información del Ceticos Paita, se apoya en los
siguientes controles:
Organización de la Seguridad de la Información.
Gestión de Activos.
Seguridad de los Recursos Humanos.
Seguridad Física y Ambiental.
Gestión de las Comunicaciones y Operaciones.
Control de Acceso.
Adquisición, desarrollo y mantenimiento de los sistemas de información.
Gestión de incidentes en la seguridad de la información.
Gestión de la continuidad comercial.
Cumplimiento.
Dichos controles son los encargados de mitigar los riesgos que atentan contra la
disponibilidad, integridad, confidencialidad, no repudio y trazabilidad de la Información y de
218
los Activos y Recursos Tecnológicos del Ceticos Paita que son los que garantizan la
continuidad del Negocio.
219
Anexo Nº 3: Fase Nº 2: Identificación de Riesgos
Tabla 71: PT 2: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres. (Preguntas 1 a 20).
PROCESO DE PLANEACION
Control Evaluado: Política del Sistema de Gestión de Calidad
Ítem Descripción Fortaleza Debilidad
1 La Entidad ha instaurado Directivas para monitorear el Control de Ingreso y Salida de Mercancías de las X
Actividades de Almacenes, Industrias y Talleres del Ceticos Paita.
IMPLEMENTACION
Control Evaluado: Responsabilidad de la Dirección
2 La entidad ha instaurado manuales de procedimientos en donde se reflejen todos y cada uno de los X
lineamientos y políticas a considerar para la adecuada administración y control del Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Industrias y Talleres del Ceticos Paita.
SUPERVISION Y MONITOREO
3 Se provee Entrenamiento y capacitación al personal de operaciones. X
4 Se provee Apoyo Logístico al personal de Operaciones. X
5 Se lleva un adecuado control de las Operaciones de Importación Definitiva y Simplificada. X
6 Se lleva un adecuado Control de Ingreso de Vehículos actividad de Talleres. X
7 Se efectúan Conciliaciones y Verificaciones actividad de talleres. X
8 Se lleva a cabo un adecuado Control de salida de vehículos actividad de talleres. X
9 Se lleva a cabo un adecuado Control de salida de partes y piezas actividad de talleres. X
10 Se lleva a cabo un adecuado Control de Levante autorizado en la salida de vehículos. X
11 Se lleva a cabo un adecuado Control de Salida de Vehículos para exportación. X
12 Se lleva a cabo un adecuado Control a los formatos de Órdenes de Salida de Vehículos. X
Control Evaluado: Control de Usuarios
13 Los Usuarios del Ceticos Paita respectan aspectos de Seguridad Industrial y Medio Ambiente. X
14 Se lleva a cabo un adecuado control de seguridad En el Cableado Eléctrico. X
15 Se lleva a cabo un adecuado Control de Atentados contra al Medio Ambiente. X
SUPERVISION Y MONITOREO
Control Evaluado: Soporte
16 Se lleva a cabo el sustento del Aforo Previo que realizan algunos usuarios del Ceticos Paita. X
17 Se lleva a cabo un adecuado control a la Operatividad de Montacarga. X
18 Se lleva a cabo el Mantenimiento Preventivo de Montacarga. X
19 La entidad ha instaurado Regulaciones en Materia de Seguridad el Montacarga. X
20 Hay problemas de Segregación de Funciones. X
220
Tabla 72: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de mercancías de la actividad de Almacenes,
Industrias y Talleres. (Preguntas 21 a 32).
MEJORA CONTINUA
Ítem Descripción Fortaleza Debilidad
21 Se llevan a cabo Conciliaciones y Validación de Datos. X
22 Se Mejora en el Sistema de Gestión de la Entidad. X
23 Se han Incorporado Controles Automatizados en el Sistema de Gestión de la Entidad para monitorear en X
línea el ingreso y salida de mercancías de la actividad de almacenes.
24 Se han Incorporado Controles Automatizados para monitorear el Ingreso de Mercancías en la actividad de X
Industrias.
25 Se han Incorporado Controles Automatizados para monitorear el Ingreso de Vehículos en la actividad de X
Talleres.
26 Se han Incorporado Controles Automatizados para monitorear el proceso de apertura y cierre de X
contenedores.
27 Se han Incorporado controles automatizados y novedosos en el ingreso y salida de mercancías. X
28 El Reporte Semiautomatizado del control del montacarga es deficiente. X
29 Se ha llevado a cabo la Delimitación y señalización de áreas de riesgo. X
30 Se lleva a cabo un control de Protección Organizacional. X
31 Se toman Medidas de Seguridad contra los Outsorsing. X
32 Se lleva a cabo un Control de Protección de Terrenos de la Entidad. X
221
Tabla 73: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
1 a 17).
Ambiente de Control
Elementos N/A
Debilidades
Fortalezas
Filosofía de la Dirección
1 1 La Dirección muestra interés de apoyar al establecimiento y mantenimiento x
del control interno en la entidad a través de políticas, documentos, reuniones, charlas y otros medios.
2 2 La Dirección reconoce y promueve los aportes del personal que mejoran el x

desarrollo de las actividades laborales.
3 3 La Dirección incentiva el desarrollo transparente de las actividades de la entidad. x

4 4 Se toman decisiones frente a desviaciones de indicadores, variaciones frente a x
los resultados contables, dejándose evidencia mediante actas.
5 5 La Dirección proporciona el apoyo logístico y de personal para un adecuado x

desarrollo de las labores de control.
6 6 La Dirección demuestra una actitud positiva para implementar las recomendaciones x

de auditoria externa.
Integridad y valores éticos 5 1

7 7 La entidad cuenta con un código de Ética debidamente aprobado, y difundido x
mediante talleres o reuniones.
8 8 La administración ha difundido la "Ley del Código de Ética de la Función Pública". x

9 9 Se comunican debidamente dentro de la entidad las acciones disciplinarias que se x
toman sobre violaciones éticas.
10 10 La Dirección demuestra un comportamiento ético, poniendo en práctica los x

lineamientos de conducta de la entidad.
11 11 Se sanciona a los responsables de actos ilegales de acuerdo con las políticas x

definidas por la Dirección.
Administración Estratégica 2 3
12 12 La Dirección ha difundido y es de conocimiento general la visión, misión, metas y x
objetivos estratégicos de la entidad.
13 13 La Dirección asegura que todas las Áreas, Departamentos formulen, implementen x

y evalúen actividades concordantes con su plan operativo institucional.
14 14 Los planes estratégicos, operativo y de contingencia se elaboran, conservan y x

actualizan según procedimiento documentado.
15 15 Todas las unidades orgánicas evalúan periódicamente su plan operativo con el fin x
de conocer los resultados alcanzados y detectar posibles desvíos.
16 16 La entidad ha formulado el análisis de la situación con participación de todas las x

gerencias para definir su direccionamiento y desarrollo de los servicios.
17 17 Los resultados de las mediciones efectuadas a los planes operativos en los últimos x
dos semestres están dentro de los niveles esperados.
222
18 a 34).
Estructura organizacional 1 5
18 18 La estructura organizacional se ha desarrollado sobre la base de la misión, objetivos x
y actividades de la entidad y se ajusta a la realidad
19 19 El Manual de Organización y Funciones (MOF) refleja todas las actividades que se x

realizan en la entidad y están debidamente delimitadas.
20 20 La entidad cuenta con un Reglamento de Organización y Funciones (ROF) x

debidamente actualizado.
21 21 Todas las personas que laboran en la entidad ocupan una plaza prevista en el PAP x
y un cargo incluido en el de Asignación de Personal (CAP).
22 22 La Dirección se asegura de que los trabajadores conozcan los documentos x

normativos (MOF, ROF, CAP y demás manuales) que regulan las actividades de la entidad.
23 23 Se han elaborado manuales de procesos con sus respectivos flujos de información. x

Administración de los Recursos Humanos 0 6
24 24 La entidad cuenta con mecanismos, políticas y procedimientos adecuados para la selección, x
inducción, formación, capacitación, compensación, bienestar social, y evaluación de personal.
25 25 Se cuenta con un programa de inducción al personal que ingresa relacionados con el x

puesto al que ingresa y de los principios éticos.
26 26 Las unidades orgánicas cuentan con la cantidad de personal necesaria para el adecuado desarrollo sus x
actividades
27 27 La entidad elabora anualmente un plan de formación y capacitación del personal, x

con la participación de todas las áreas y se da cumplimiento al mismo
28 28 La escala remunerativa está en relación con el cargo, funciones y responsabilidades x

asignadas.
Competencia profesional 0 5
29 29 Se han identificado las competencias necesarias para cada cargo previsto en el CAP x
y han sido plasmadas en un documento normativo (perfil del cargo).
30 30 El personal que ocupa cada cargo de trabajo cuenta con las competencias establecidas en el perfil del x
cargo.
31 31 El titular, funcionarios y demás servidores son conocedores de la importancia del desarrollo, x

implantación y mantenimiento del control interno.
Asignación de autoridad y responsabilidad 2 1

32 32 La autoridad y responsabilidad del personal están claramente definidas en los manuales, reglamentos u x
otros documentos normativos.
33 33 Estos documentos normativos son revisados periódicamente con el fin de ser actualizados o mejorados. x
34 34 Todo el personal conoce sus responsabilidades y actúa de acuerdo con los niveles de autoridad que le x
corresponden.
Auditoría Interna 0 3
35 35 El Auditor Interno evalúa los controles de los procesos vigentes e identifica oportunidades de mejora X
acorde a su plan de trabajo.
223
36 a 52).
36 36 Son de comprobada competencia e idoneidad profesional los miembros que conforman el Comité de X
Auditores externos.
37 37 El auditor interno evalúa periódicamente el sistema de control interno de la entidad. X
3 0 0
Evaluación del Riesgo
Elementos S N N/A
i o
Planeamiento de la Administración de Riesgos
38 1 Se ha desarrollado un Plan de actividades de identificación, análisis o valoración, manejo o respuesta y x
monitoreo y documentación de los riesgos.
39 2 La Dirección (Directorio, Gerencias y Jefaturas) ha establecido y difundido lineamientos y políticas x

para la administración de riesgos.
40 3 El planeamiento de la administración de riesgos es específico en algunas áreas, como en la asignación x

de responsabilidades y monitoreo de los mismos.
41 4 La entidad cuenta y ha puesto en práctica el Plan de Administración de Riesgos. x

Identificación de Riesgos 0 4
42 5 Están identificados los riesgos significativos por cada objetivo. x
43 6 Se han identificado los eventos negativos (riesgos) que pueden afectar el desarrollo de las actividades. x
44 7 Se ha participado en la identificación de los riesgos de las actividades de las diferentes unidades x

orgánicas o procesos.
45 8 En la identificación de riesgos se ha tomado en consideración aspectos internos (de la entidad) y x

externos (fuera de la entidad).
Valoración de riesgos 0 4
46 9 En el desarrollo de sus actividades se ha determinado y cuantificado la posibilidad de que ocurran los x
riesgos identificados (probabilidad de ocurrencia).
47 10 En el desarrollo de sus actividades se ha cuantificado el efecto que pueden ocasionar los riesgos x
identificados (impacto).
48 11 Los riesgos, sus probabilidades de ocurrencia, impacto y cuantificación han sido registrados por x
escrito.
Respuesta al riesgo 0 3
49 12 Se han establecido las acciones necesarias (controles) para afrontar los riesgos evaluados. x
50 13 Se han definido lineamientos para efectuar seguimiento periódico a los controles desarrollados con x
respecto a los riesgos.
0 2 0
Actividades de Control
Elementos S N N/A
i o
Procedimiento de Autorización y Aprobación*
51 1 Los procedimientos de autorización y aprobación para los procesos, actividades y tareas están x
claramente definidos en manuales o directivas y son realizados para todos los procesos y actividades.
52 2 Los procedimientos de autorización y aprobación para los procesos, actividades y tareas han sido x
adecuadamente comunicados a los responsables.
Segregación de funciones* 0 2
224
53 a 71).
53 3 Las actividades expuestas a riesgos de error o fraude han sido asignadas a diferentes personas o equipos x
de trabajo.
54 4 Se efectúa rotación periódica del personal asignado en puestos susceptibles a riesgos de fraude. x
Evaluación Costo-Beneficio* 0 2
55 5 El costo de los controles establecidos para sus actividades está de acuerdo a los resultados esperados X
(beneficios).
56 6 Se toma en cuenta que el costo de establecer un control no supere el beneficio que se puede obtener. X
Controles sobre el acceso a los recursos o archivos* 0 2

57 7 Se han establecido políticas y procedimientos documentados que se siguen para la utilización y x
protección de los recursos o archivos.
58 8 El acceso a los recursos o archivos queda evidenciado en documentos tales como recibos, actas entre X
otros.
59 9 Periódicamente se comparan los recursos asignados con los registros de la entidad (por ejemplo X
arqueos, inventarios u otros).
60 10 Se ha identificado los activos expuestos a riesgos como robo o uso no autorizado, y se han establecido x
medidas de seguridad para los mismos.
61 11 Los documentos internos que genera y reciben las unidades orgánicas están debidamente numerados y x
protegidos.
Verificaciones y conciliaciones* 2 3
62 12 Las unidades orgánicas periódicamente llevan a cabo verificaciones sobre la ejecución de los procesos, x
actividades y tareas.
63 13 Periódicamente se comparan los resultados con los registros de los procesos, actividades y tareas x
utilizando para ello distintas fuentes.
Evaluación de desempeño * 0 2
64 14 La entidad cuenta con indicadores de desempeño para los procesos, actividades y tareas. x
65 15 La evaluación de desempeño se hace con base en los planes organizacionales, disposiciones normativas x
vigentes.
Rendición de cuentas 0 2
66 16 La entidad cuenta con procedimientos y lineamientos internos que se siguen para la rendición de x
cuentas.
67 17 La administración exige periódicamente la presentación de declaraciones juradas a su personal. x
68 18 Conoce sus responsabilidades con respecto de las rendiciones de cuenta. x

Documentación de procesos, actividades y tareas * 3 0
69 19 El personal conoce qué procesos involucran a su unidad orgánica y qué rol le corresponde en los x
mismos.
70 20 Los procesos, actividades y tareas de la entidad se encuentran definidos, establecidos y documentados x

al igual que sus modificaciones.
Revisión de procesos, actividades y tareas* 1 1

71 21 Se revisan periódicamente con el fin de que se estén desarrollando de acuerdo a lo establecido en la x
normativa vigente.
225
72 a 91).
72 22 Se implementan las mejoras propuestas y en caso de detectarse deficiencias se efectúan las correcciones X
necesarias.
Controles para las tecnologías de Información y comunicaciones 1 1

73 23 Se cuenta con políticas y procedimientos escritos para la administración de los sistemas de x
información.
74 24 Es restringido el acceso a la sala de cómputo, procesamiento de datos, a las redes instaladas, así como x
al respaldo de la información (backup).
75 25 Los sistemas de información cuentan con controles y sistemas que evitan el acceso no autorizado a la X
información.
76 26 La entidad cuenta con un Plan Operativo Informático. x

77 27 El Área de informática cuenta con un Plan de Contingencias. x
78 28 Se han definido los controles de acceso general (seguridad Física y Lógica de los equipos centrales). x
79 29 Se han creado perfiles de usuario de acuerdo con las funciones de los empleados, creación de usuarios x
con accesos propios (contraseñas) y relación de cada usuario con el perfil correspondiente.
80 30 Los programas informáticos (software) de la entidad cuentan con licencias y autorizaciones de uso. x
81 31 La entidad cuenta con un adecuado servicio de soporte técnico para las Tecnologías de la Información y x
Comunicación (TIC).
82 32 Se lleva el control de los nuevos productos ingresados a desarrollo así como de las modificaciones de x
los existentes en carpetas documentadas.
83 33 La entidad ha definido políticas sobre el cambio frecuente de contraseñas, sobre su uso y cuando el x
personal se desvincule de las funciones.
84 34 La entidad ha establecido controles para la adquisición paquetes software. x

(*) Son aplicables a los diferentes procesos, actividades 9 3 0
Información y Comunicación
Elementos S N N/A
i o
Funciones y características de la información
85 1 La información Gerencial es seleccionada, analizada, evaluada y sintetizada para la toma de x
decisiones.
86 2 Se han definido niveles para el acceso del personal al sistema de información. X
Información y responsabilidad 2 0
87 3 Los titulares y funcionarios identifican las necesidades de información de todos los procesos y han x
implementado los controles necesarios en las áreas respectivas.
88 4 Se cuenta con políticas y procedimientos que garantizan el adecuado suministro de información para el x
cumplimiento de sus funciones y responsabilidades.
Calidad y suficiencia de la información 1 1

89 5 La información interna y externa que maneja la entidad es útil, oportuna y confiable en el desarrollo de x
sus actividades.
90 6 Se han diseñado, evaluado e implementado mecanismos para asegurar la calidad y suficiencia de la x

información.
Sistemas de información 0 2
91 7 La entidad está integrada a un solo sistema de información y se ajusta a las necesidades de sus x
actividades.
226
92 a 106).
92 8 Periódicamente se solicita a los usuarios opinión sobre el sistema de información registrándose los x
reclamos e inquietudes para priorizar las mejoras.
Flexibilidad al cambio 1 1
93 9 Se revisan periódicamente los sistemas de información y de ser necesario se rediseñan para asegurar su x
adecuado funcionamiento.
Archivo institucional 1 0
94 10 La entidad cuenta con una unidad orgánica que se encarga de administrar la documentación e x
información generada por la entidad.
95 11 La administración de los documentos e información se realiza de acuerdo con las políticas y X

procedimientos establecidos para la preservación y su conservación (archivos electrónicos, magnéticos y
físicos).
96 12 Los ambientes utilizados por el archivo institucional cuenta con una ubicación y acondicionamiento x
apropiado.
Comunicación interna 1 2
97 13 La entidad ha elaborado y difundido documentos que orienten la comunicación interna. X
98 14 La administración mantiene actualizado a la Dirección respecto al desempeño, desarrollo, riesgos, X

principales iniciativas y cualquier otros eventos resultantes.
99 15 La entidad cuenta con mecanismos y procedimientos para la denuncia de actos indebidos por parte del X
personal.
Comunicación externa 0 3
100 16 La entidad cuenta con mecanismos y procedimientos adecuados para informar hacia el exterior sobre su X
gestión institucional.
101 17 El portal de transparencia de la entidad se encuentra adecuadamente actualizado. X

102 18 La entidad cuenta con mecanismos y procedimientos para asegurar la adecuada atención de los X
requerimientos externos de información (Ley de Transparencia y Acceso a la Información Pública).
Canales de comunicación 0 3
103 19 Se ha implementado alguna política que estandarice una comunicación interna y externa, x
considerándose diversos tipos de comunicación: memorando, paneles informativos, boletines, revistas.
104 20 Estos canales de comunicación permiten que la información fluya de manera clara, ordenada y X
oportuna.
0 2 0
Supervisión
Elementos Si No N/A
Actividades de prevención y monitoreo
105 1 En el desarrollo de sus labores, se realizan acciones de supervisión para conocer oportunamente si x
éstas se efectúan de acuerdo con lo establecido, quedando evidencia de ello.
106 2 Las unidades orgánicas realizan acciones para conocer oportunamente si los procesos en los que x
interviene se desarrollan de acuerdo con los procedimientos establecidos (monitoreo).
Seguimiento de resultados 1 1
227
Tabla 79: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COS ERM (Preguntas
107 a 112).
107 3 Las deficiencias y los problemas detectados en el monitoreo se registran y comunican con prontitud x
a los responsables con el fin de que tomen las acciones necesarias para su corrección.
108 4 Cuando se descubre oportunidades de mejora, se disponen medidas para desarrollarlas. x
109 5 Se realiza el seguimiento a la implementación de las mejoras propuestas a las deficiencias x

detectadas por auditorias externa.
Compromiso de mejoramiento 3 0
110 6 La entidad efectúa periódicamente autoevaluaciones que le permite proponer planes de mejora que x
son ejecutados posteriormente.
111 7 Se implementan las recomendaciones producto de las autoevaluaciones realizadas. x

112 8 Se implementan las recomendaciones que formulan los auditores internos y/o externos, las mismas x
que constituyen compromisos de mejoramiento.
1 2 0
TOTAL 40 72
228
Tabla 80: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad de la Información. (Preguntas
1 a 15).
ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACION (SGSI) DEL CETICOS PAITA
ITEM PREGUNTAS DEL ENUNCIADO DE APLICABILIDAD N/A
Debilidades
Fortalezas
1 Se ha definido el alcance y los límites del SGSI en términos de las características del negocio, la X
organización, su ubicación, activos, tecnología e incluyendo los detalles de y la justificación de
cualquier exclusión del alcance.
2 Se ha definido una política SGSI en términos de las características del negocio, la organización, su X
ubicación, activos y tecnología.
3 Se ha definido el enfoque de valuación del riesgo de la organización. X
4 Se han identificado, analizado y evaluado los riesgos. X
5 Se han identificado y evaluado las opciones para el tratamiento de los riesgos. X
6 Se han seleccionado los objetivos de control y controles para el tratamiento de los riesgos. X
7 Se ha obtenido la aprobación de la Gerencia para los riesgos residuales propuestos. X
8 Se ha obtenido la autorización de la Gerencia para implementar y operar el SGSI. X
9 Se ha preparado un enunciado de aplicabilidad, que contiene los objetivos de control y controles
seleccionados, excluidos e implementados para proteger la información y activos del negocio.
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACION (SGSI) DEL CETICOS PAITA
10 Se ha formulado un plan de tratamiento de riesgo que identifica la acción gerencial apropiada, los X
recursos, las responsabilidades y prioridades para manejar los riesgos de la seguridad de información.
11 Se ha Implementado el plan de tratamiento de riesgo para poder lograr los objetivos de control X
identificados, los cuales incluyen tener en consideración el financiamiento y asignación de roles y
responsabilidades.
12 Se han Implementado los controles seleccionados para satisfacer los objetivos de control (proceso de X
tasación del riesgo y tratamiento del riesgo).
13 Se ha definido cómo medir la efectividad de los controles o grupos de controles seleccionados y se ha X
especificado cómo se van a utilizar estas mediciones para evaluar la efectividad del control para producir
resultados comparables y reproducibles.
14 Se han Implementado los programas de capacitación y conocimiento. X
15 Se manejan las operaciones y recursos para el Sistema de Gestión de Seguridad de la Información del X
Ceticos Paita.
229
Tabla 81: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad de la Información. (Preguntas
16 a 20).
MONITORIZACIÓN Y REVISIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) DEL CETICOS PAITA
ITEM PREGUNTAS DEL ENUNCIADO DE APLICABILIDAD N/A
Debilidades
Fortalezas
16 La organización viene trabajando en un programa de calendarización para llevar a cabo acciones de X
prevención y monitoreo al Sistema de Gestión de Seguridad de la Información del Ceticos Paita.
17 Se vienen cumpliendo con las políticas de la entidad en lo concerniente al adecuado uso y manejo de los X
recursos informáticos.
18 Se vienen cumpliendo con las políticas de la entidad en lo concerniente al adecuado uso y manejo del X
Correo Corporativo Institucional.
19 Se llevan a cabo evaluaciones al Sistema de Gestión de Seguridad de la Información. X
MEJORA CONTINUA DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI) DEL CETICOS PAITA.
20 La organización ha incorporado dentro de este proceso una metodología de acuerdo al estándar ISO X
27001, con respecto a la adopción de acciones correctivas y preventivas para mitigar los riesgos en
materia de seguridad de la información.
RESULTADO DEL ENUNCIADO DE APLICABILIDAD 18 2
230
Anexo Nº 4: Fase Nº3: Análisis de Riesgos
Tabla 82: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres. (Análisis a los controles: Nº 1 al Nº 15).
PROCESOS CONTROLES QUE FUERON DESCRIPCION DEL F D Nivel de Nivel de Nivel de Nivel de
SUJETOS A EVALUACION CONTROL Implementación Efectividad Riesgo Madurez
PLANEACION Política del sistema de Gestión de C1. Instauración de x 0% 0% 4 0
(1Control). Calidad. Directiva
IMPLEMENTACION Responsabilidad de la Dirección. C2. Instauración de x 0% 0% 4 0
(1 Control). Manual de
Procedimientos.
SUPERVISION Y Gestión de Recursos. C3. Entrenamiento y x 10% 15% 4 1
MONITOREO (18 Capacitación.
Controles). C4. Apoyo logístico. x 0% 10% 4 1
Controles de Ingreso y Salida de C5. Operaciones de x 39% 40% 3 2
Mercancías de la Actividad de Importación Definitiva
Almacenes, Talleres e Industrias. y Simplificada.
C6 Control de Ingreso x 60% 60% 2 3
de Vehículos actividad
de Talleres.
C7. Conciliaciones y x 55% 55% 2 3
Verificaciones
actividad de talleres.
C8. Control de salida x 60% 60% 2 3
de vehículos actividad
de talleres.
C9. Control de salida x 50% 50% 3 3
de partes y piezas
actividad de talleres.
C10. Control de x 56% 57% 3 3
Levante autorizado en
la salida de vehículos.
C11. Control de Salida x 50% 58% 3 3
de Vehículos para
exportación.
C12. Control a los x 50% 58% 3 3
formatos de Órdenes
de Salida de
Vehículos.
Control de Usuarios. C13. Seguridad x 19% 20% 4 1
Industrial y Medio
Ambiente.
C14. En el Cableado x 50% 50% 3 3
Eléctrico.
C15. Control de x 50% 40% 3 3
Atentados contra al
Medio Ambiente.
231
Almacenes, Industrias y Talleres. (Análisis a los controles Nº 16 al Nº 26).
SUPERVISION Y Soporte C16. Aforo Previo. x 20% 25% 4 1
MONITOREO (18 C17. Operatividad de x 0% 15% 4 0
Controles). Montacarga.
C18. Mantenimiento x 45% 35% 3 3
Preventivo de
Montacarga.
C19. Instauración de x 0% 15% 4 0
Regulaciones en Materia
de Seguridad del
Montacarga.
C20. Segregación de x 0% 16% 4 0
Funciones.
MEJORA Análisis y Evaluación C21. Validación de x 38% 39% 3 2
CONTINUA Datos.
(12 Controles). Mejora Continua C22. Mejora en el x 34% 35% 3 2
Sistema de Gestión de la
Entidad.
C23.Incorporación de x 0% 10% 4 0
Controles
Automatizados en el
Entidad para monitorear
en línea el ingreso y
salida de mercancías de
la actividad de
almacenes.
C24. Incorporación de x 0% 10% 4 0
Controles
Automatizados para
monitorear el Ingreso de
Mercancías en la
actividad de Industrias.
C25. Incorporación de x 0% 10% 4 0%
Controles
Automatizados para
Vehículos en la
Controles
Automatizados para
monitorear el proceso de
apertura y cierre de
contenedores.
232
Almacenes, Industrias y Talleres. (Análisis a los controles Nº 27 al Nº 32).
MEJORA Mejora Continua C27 Incorporación de x 0% 0% 4 0
CONTINUA controles automatizados
(12 Controles). y novedosos en el
ingreso y salida de
mercancías.
C28 Reporte x 50% 55% 3 3
Semiautomatizado del
control del montacarga
deficiente.
C29. Delimitación y x 0% 0% 4 0
señalización de áreas de
riesgo.
C30. Protección x 10% 60% 4 1
Organizacional.
C31. Medidas de x 0% 30% 4 0
Seguridad Outsorsing.
C32. Control de x 0% 0% 4 0
Protección de Terrenos
de la Entidad.
Resultado en Promedio de los Procesos y Controles sujetos a Evaluación. 32 24% 30% 4 1
233
Tabla 85: PT 3.1: Matriz de riesgos vs controles que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM. (Análisis
a los procesos 1 a 34 que engloban a 112 controles).
Nivel de Madurez a nivel

PROCESOS
Nivel de Riesgo a Nivel

Situación Actual Nivel
Nivel de Madurez
Nivel de Riesgo
Situación
Actual
Macro
Macro
Macro
Elemento
Ambiente de 35.14% 3 2
1
Control Filosofía de la Dirección. 83.33% 1 4
Integridad y valores éticos.
2
40.00% 3 2
3
16.67% 4 1
Estructura organizacional.
4
0.00% 4 0
Administración de los Recursos Humanos.
5
0.00% 4 0
Competencia profesional.
6
66.67% 2 4
Asignación de autoridad y responsabilidad.
7
0.00% 4 0
Órgano de Control Institucional.
8
100.00% 1 4
Evaluación de Planeamiento de la Administración de Riesgos. 0% 4 0
Riesgos 9
0.00% 4 0
Identificación de Riesgos.
10
0.00% 4 0
Valoración de riesgos.
11
0.00% 4 0
Respuesta al riesgo.
12
0.00% 4 0
Actividades de Procedimiento de Autorización y Aprobación.* 47.06% 3 3
13
Control 0.00% 4 0
Gerencial Segregación de funciones.*
14
0.00% 4 0
Evaluación Costo-Beneficio.*
15
0.00% 4 0
Controles sobre el acceso a los recursos o archivos.*
16
40.00% 3 2
Verificaciones y conciliaciones.*
17
0.00% 4 0
Evaluación de desempeño. *
18
0.00% 4 0
Rendición de cuentas.
19
100.00% 1 4
Documentación de procesos, actividades y tareas. *
20
50.00% 3 3
Revisión de procesos, actividades y tareas.*
21
50.00% 3 3
Controles para las tecnologías de Información y comunicaciones.
22
75.00% 2 4
Información y Funciones y características de la información. 30% 3 2
23
Comunicación 100.00% 1 4
Información y responsabilidad.
24
50.00% 3 3
Calidad y suficiencia de la información.
25
0.00% 4 0
Sistemas de información.
26
50.00% 3 3
Flexibilidad al cambio.
27
100.00% 1 4
Archivo institucional.
28
33.33% 3 2
Comunicación interna.
29
0.00% 4 0
Comunicación externa.
30
0.00% 4 0
Canales de comunicación.
31
0.00% 4 0
Supervisión y Actividades de prevención y monitoreo. 62.50% 2 4
32
Autoevaluación 50.00% 3 3
Seguimiento de resultados.
33
100.00% 1 4
Compromiso de mejoramiento.
34
33.33% 3 2
35.71% 3 2
TOTAL 35.71% 3 2
234
Tabla 86: PT 3.1.1: Matriz de riesgos vs controles que se ejecutó Sistema de Gestión de la Seguridad de la Información. (Análisis a los
controles Nº 1 a Nº 19).
PROCESOS CONTROLES QUE DESCRIPCION DEL CONTROL F D Nivel de Nivel de Nivel de Nivel de
FUERON Implementación Efectividad Riesgo Madurez
SUJETOS A
EVALUACION
ESTABLECIMIENTO Controles de C1: Alcance y Limites del SGSI. x 90% 90% 1 4
Establecimiento. C2: Política SGSI. x 90% 90% 1 4
(9 Controles). C3: Enfoque de evaluación de x 90% 90% 1 4
Riesgos.
C4: Identificación, Análisis y x 90% 90% 1 4
Evaluación de Riesgos.
C5: Identificación y Evaluación para x 90% 90% 1 4
el plan de tratamiento de riesgos.
C6: Objetivos y Controles para el Plan x 90% 90% 1 4
de Tratamiento de riesgos.
C7: Aprobación de Gerencia General x 90% 90% 1 4
para asumir el Riesgo Residual.
C8: Autorización de Gerencia para x 90% 90% 1 4
implementar y aprobar el Sistema de
Gestión de Seguridad de la
Información.
C9: Enunciado de Aplicabilidad. X 90% 90% 1 4
IMPLEMENTACION Controles de C10: Formulación del Plan de x 90% 90% 1 4
(6 Controles). Implementación y Tratamiento de riesgos.
Responsabilidad de la C11: Implementación del Plan de x 90% 90% 1 4
Dirección. Tratamiento de Riesgos.
C12: Implementación de Controles. x 90% 90% 1 4
C13: Medición de efectividad de los x 90% 90% 1 4
controles.
C14: Programas de capacitación. x 90% 90% 1 4
C15: Operaciones y recursos. x 90% 90% 1 4
SUPERVISION Y Controles de C16: Programa de calendarización x 90% 90%
MONITOREO (4 Revisión y para acciones de prevención y
Controles). Monitoreo. monitoreo
C17: Adecuado Uso de Recursos x 90% 50% 4 3
Informáticos.
C18: Adecuado uso de correo x 90% 50% 4 3
corporativo institucional.
C19: Evaluaciones al Sistema de x 90% 90% 1 4
Gestión de Seguridad de la
Información.
MEJORA CONTINUA Controles de Análisis C20: Acciones Correctivas y x 90% 90% 1 4
y Autoevaluación. Preventivas.
RESULTADOS FINALES 18 2 90% 86% 1 4
235
Anexo Nº 5: Fase Nº 4: Evaluación de Riesgos
PT 4: Histogramas de Frecuencia y Diagramas Radar que se ejecutaron al Proceso de Ingreso
y Salida de Mercancías de la Actividad de Almacenes, Industrias y Talleres
Gráfico Nº 7: Nivel de Implementación de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de la
Actividad de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
NIVEL DE IMPLEMENTACIÓN DE LOS CONTROLES SUJETOS A EVALUACION 2007 AL 2010
NI
60% 55% 60% 56%

50% 50% 50% 50% 50% 50%
45%
39% 38% 34%
19% 20%
10% 10%
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20 C21 C22 C23 C24 C25 C26 C27 C28 C29 C30 C31 C32
El Gráfico nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados inmersos en
los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias poseían niveles de Implementación que oscilaban entre 0% y
60% y en promedio tenían un nivel de Implementación del 24%. Incumplimiento Alto.
Gráfico Nº 8: Niveles de Efectividad de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de las
Actividades de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
NIVEL DE EFECTIVIDAD DE LOS CONTROLES SUJETOS A EVALUACIÓN EJERCICIO 2007 AL 2010
60% 60% 57% 58% 58% 60%

55% 55%
50% 50%
40% 40% 39% 35%
35%
28% 30%
25%
20%
15% 15% 15% 16%
10% 10% 10% 10%
0% 0% 0% 0% 0%
El Gráfico nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados inmersos en
los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Talleres e Industrias poseían niveles de Efectividad del que oscilaban entre 0% y
60% y en promedio tenían un nivel de Efectividad del 30%. Incumplimiento Alto.
236
Gráfico Nº 9: Nivel de Riesgo de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de las Actividades,
de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
NIVEL DE RIESGO DE LOS CONTROLES SUJETOS A EVALUACIÓN 2007 AL 2010
C1
C32 4 C2
C31 C3
C30 3.5 C4
C29 C5
C28 2.5 C6
C27 1.5 C7
C26 C8
0.5
C25 C9 NIVEL DE RIESGO
C24 C10
C23 C11
C22 C12
C21 C13
C14
C19 C15
C18 C16
C17
El Diagrama Radar nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados
inmersos en los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades
de Almacenes, Talleres e Industrias mitigaban a niveles de Riesgos que oscilaban entre 2
(Moderado), 3 (Alto) y 4 (Extremo) y en promedio mitigaban a un nivel de Riesgo 4. Extremo.
Gráfico Nº 10: Nivel de Madurez de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de las Actividades
de Almacenes, Industrias y Talleres, ejercicio 2007 al 2010.
NIVEL DE MADUREZ DE LOS CONTROLES SUJETOS A EVALUACIÓN 2007 AL 2010

C1
C32 3 C2
C31 C3
C30 C4
C29 C5
C28 C6
C27 C7
C26 C8
C25 C9 NIVEL DE MADUREZ
C24 C10
C23 C11
C22 C12
C21 C13
C14
C19 C15
C18 C16
C17
El Diagrama Radar nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados
de Almacenes, Talleres e Industrias poseían niveles de Madurez que oscilaban
237
entre 0 (No Existe), 1 (Inicial), 2 (Repetible) y 3 (Definido) y en promedio poseían un nivel
de Madurez 1. Inicial.
PT 4.1: Histogramas de Frecuencia y Diagramas Radar que se ejecutaron al Sistema de

Control Interno Bajo el Enfoque COSO ERM
Gráfico Nº 11: Situación actual del Sistema de Control Interno del Ceticos Paita bajo el enfoque COSO ERM al 30/06/2008, nivel de
Implementación y Efectividad.
SITUACIÓN ACTUAL DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA AL 30/06/2008
NIVEL DE IMPLEMENTACIÓN Y EFECTIVIDAD: 35.71%
62.50%
47.06%
35.14% 30%
0%
Ambiente de control Evaluación de riesgos Actividades de Control Información y Comunicación Supervisión y Autoevaluación
El Gráfico nos muestra que al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del
Ceticos Paita bajo el Enfoque Coso Erm poseían niveles de Efectividad e Implementación
dentro de sus 5 componentes de control interno que oscilaban entre 35.14% y 62.50% y en
promedio tenían un nivel de Implementación y Efectividad del 35.71%. Incumplimiento
Alto.
Gráfico Nº 12: Nivel de Riesgo del Sistema de Control Interno del Ceticos Paita bajo el enfoque COS ERM al 30/06/2008.
NIVEL DE RIESGO DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA BAJO EL
ENFOQUE COSO ERM AL 30/06/2008
AMBIENTE DE CONTROL
SUPERVISION Y EVALUACION DE
RIESGOS
INFORMACION Y ACTIVIDADES DE
COMUNICACIÓN CONTROL GERENCIAL
El Diagrama Radar nos muestra que al 30 de Junio del Ejercicio 2008 los 5 Componentes del
Sistema de Control Interno del Ceticos Paita bajo el Enfoque COSO ERM mitigaban a
238
niveles de Riesgos que oscilaban entre 2 (Moderado), 3 (Alto) y 4 (Extremo) y en promedio
mitigaban a un nivel de Riesgo 4. Extremo.
Gráfico Nº 13: Nivel de Madurez del Sistema de Control interno del Ceticos Paita bajo el enfoque COSO ERM al 30/06/2008.
NIVEL DE MADUREZ DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA BAJO EL
ENFOQUE COSO ERM AL 30/06/2008
AMBIENTE DE CONTROL
SUPERVISION Y EVALUACION DE
RIESGOS
Nivel de Madurez
INFORMACION Y ACTIVIDADES DE
COMUNICACIÓN CONTROL GERENCIAL
El Diagrama Radar nos muestra que al 30 de Junio del Ejercicio 2008 los 5 Componentes del
Sistema de Control Interno del Ceticos Paita bajo el Enfoque COSO ERM poseían un nivel de
madurez que oscilaban entre 0 (No Existe), 1 (Inicial), 2 (Repetible), 3 (Definido) y 4
(Extremo) y en promedio poseían un Nivel de Madurez 1 Inicial.
239
PT 4.1.1: Histogramas de Frecuencia y Diagramas Radar que se ejecutaron al Sistema de
Gestión de la Seguridad de la Información
Gráfico Nº 14: Nivel de Implementación de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información
del Ceticos Paita al 01 de enero del ejercicio 2011.
NIVEL DE IMPLEMENTACIÓN DE LOS CONTROLES SUJETOS A EVALUACIÓN 01/01/2011
NI
90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20
El Gráfico nos muestra que al 01 de Enero del Ejercicio 2011 los 20 Controles evaluados
inmersos en el Sistema de Gestión de Seguridad de la Información que controlaban a los
Activos de Información del Ceticos Paita poseían niveles de Implementación del 90% y en
promedio tenían un nivel de Implementación del 90%. Cumplimiento.
Gráfico Nº 15: Nivel de Efectividad de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita al 01 de enero del ejercicio 2011.
NIVEL DE EFECTIVIDAD DE LOS CONTROLES SUJETOS A EVALUACIÓN AL 01/01/2011
90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90%
50% 50%
El Gráfico nos muestra que al 01 de Enero del Ejercicio 2011 los 18 Controles evaluados
inmersos en el Sistema de Gestión de Seguridad de la Información que controlaban a los
Activos de Información del Ceticos Paita poseían niveles de Efectividad de 90% y sólo 2
controles poseían niveles de efectividad del 50% y en promedio tenían un nivel de Efectividad
del 86%. Incumplimiento Medio.
240
Gráfico Nº 16: Nivel de Riesgo de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del
NIVELES DE RIESGO DE LOS CONTROLES SUJETOS A EVALUACIÓN DEL SGSI DEL

CETICOS PAITA AL 01/01/2011
C1
C20 4 C2
C19 C3
C18 C4
C17 C5
C16 C6 NR
C15 C7
C14 C8
C13 C9
C12 C10
C11
El Diagrama Radar nos muestra que al 01 de Enero del Ejercicio 2011 los 18 Controles
evaluados inmersos en el Sistema de Gestión de Seguridad de la Información que controlaban
a los Activos de Información del Ceticos Paita mitigaban a niveles de Riesgo 1 (Aceptable) y
sólo 2 mitigaban a niveles de Riesgo 4 (Extremo) y en promedio mitigaban a niveles de Riesgo
1 Aceptable.
Gráfico Nº 17: Nivel de Madurez de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del
NIVEL DE MADUREZ DE LOS CONTROLES SUJETOS A EVALUACIÓN DEL SGSI DEL

CETICOS PAITA AL 01/01/2011
C1
C20 4 C2
C19 C3
C18 C4
C17 C5
C16 C6 NM
C15 C7
C14 C8
C13 C9
C12
C11
El Diagrama Radar nos muestra que al 01 de Enero del Ejercicio 2011 los 18 Controles
evaluados inmersos en el Sistema de Gestión de Seguridad de la Información que controlaban
a los Activos de Información del Ceticos Paita poseían Niveles de Madurez 4 (Administrados)
y sólo 2 tenían niveles de Madurez 3 (Definidos) y en promedio su nivel de madurez era de 4
Administrado.
241
Anexo Nº 6: Fase Nº 5: Plan de Tratamiento de Riesgos
Tabla 87: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 1 al Nº 12.
PROCESO DE PLANEACION Plan de Responsable de Poner en Responsable de
Tratamiento de Practica el Control Monitorear el
Riesgos Control
Control Evaluado: Sistema de Gestión de Calidad
Riesgo Nº Descripción del Riesgo
1 La Entidad no ha instaurado Directivas para monitorear el Control de Ingreso y Salida de Mercancías de Instauración de Gerente General. Presidente de la Junta
las Actividades de Almacenes, Industrias y Talleres del Ceticos Paita. Directivas. Sub Director de de Administración.
Operaciones. Auditor Interno.
PROCESO DE IMPLEMENTACION
Control Evaluado: Responsabilidad de la Dirección
2 La entidad no ha instaurado manuales de procedimientos en donde se reflejen todos y cada uno de los Instauración de Gerente General. Presidente de la Junta
lineamientos y políticas a considerar para la adecuada administración y control del Ingreso y Salida de Manuales de Sub Director de de Administración.
Mercancías de las Actividades de Almacenes, Industrias y Talleres del Ceticos Paita. Procedimientos. Operaciones. Auditor Interno.
PROCESO DE SUPERVISION Y MONITOREO Plan de Responsable de Poner en Responsable de
Riesgos Control
3 No Se provee Entrenamiento y capacitación al personal de operaciones. Proveer Gerente General. Sub Director de
entrenamiento y Oficina General de Operaciones.
capacitación. Administración. Auditor Interno.
4 No Se provee Apoyo Logístico al personal de Operaciones. Proveer apoyo Gerente General. Sub Director de
logístico. Oficina General de Operaciones.
Administración. Auditor Interno.
5 No Se lleva un adecuado control de las Operaciones de Importación Definitiva y Simplificada. Proveer apoyo Gerente General. Auditor Interno.
logístico. Sub Director de
6 No Se lleva un adecuado Control de Ingreso de Vehículos actividad de Talleres. Carencia de Tickets de Incorporar Tickets de Operaciones.
Peso y Manifiestos de Carga. peso y manifiestos de
carga.
7 No Se efectúan Conciliaciones y Verificaciones actividad de talleres. Evidenciándose Diferencias entre Efectuar
el Sistema de Gestión y Documentación Sustentatoria por $3,390 Dólares Americanos. Conciliaciones.
8 No se lleva a cabo un adecuado Control de salida de vehículos actividad de talleres. (En los reportes no Consignar datos de
se consigna el Valor CIF ni datos del REVISA 2). Valor CIF y Revisa 2.
9 No se lleva a cabo un adecuado Control de salida de partes y piezas actividad de talleres. Mejorar el Control.
10 No se lleva a cabo un adecuado Control de Levante autorizado en la salida de vehículos. Mejorar el Control.
11 No Se lleva a cabo un adecuado Control de Salida de Vehículos para exportación. Mejorar el Control.
12 No Se lleva a cabo un adecuado Control a los formatos de Órdenes de Salida de Vehículos. Mejorar el Control.
242
Tabla 88: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 13 al Nº 29.
PROCESO DE SUPERVISION Y MONITOREO Plan de Responsable de Poner en Responsable de
Riesgos Control
Control Evaluado: Control de Usuarios del Ceticos Paita.
13 No Se lleva a cabo un adecuado Control de Riesgos Industriales en aspectos de reparaciones de Mejorar el Control. Gerente General y Sub Auditor Interno.
Infraestructuras. Director de Operaciones.
14 No Se lleva a cabo un adecuado control de seguridad En el Cableado Eléctrico. Mejorar el Control.
15 No Se lleva a cabo un adecuado Control de Atentados contra al Medio Ambiente. Mejorar el Control.
16 No Se lleva a cabo el sustento del Aforo Previo que realizan algunos usuarios del Ceticos Paita. Sustentar el Aforo Gerente General y Sub Auditor Interno.
Previo. Director de Operaciones.
17 No Se lleva a cabo un adecuado control a la Operatividad de Montacarga. Mejoras en
operatividad.
18 No Se lleva a cabo el Mantenimiento Preventivo de Montacarga. Efectuar Gerente General y Sub Auditor Interno.
mantenimiento. Director de Operaciones.
19 La entidad no ha instaurado Regulaciones en Materia de Seguridad el Montacarga. Instaurar
regulaciones.
20 Hay problemas de Segregación de Funciones, para la Operatividad del Montacarga (Una sola persona Solucionar los Gerente General y Sub Auditor Interno.
opera el Montacarga y al mismo tiempo hace labores de seguridad en su trabajo diario). Problemas de Director de Operaciones.
Segregación de
Funciones.
21 No Se llevan a cabo Conciliaciones y Validación de Datos de la Actividad de Almacenes. Efectuar Gerente General y Auditor Interno.
conciliaciones. Sub Director de
Operaciones.
22 El Sistema de Gestión de la Entidad. No cuenta con un módulo de Impuestos Generados por Importación Incorporar el Gerente General y Auditor Interno y Sub
Definitiva. módulo de Colaboradores de Director de
impuestos. Informática. Operaciones.
23 No Se han Incorporado Controles Automatizados en el Sistema de Gestión de la Entidad para monitorear en Incorporar Nuevos
línea el ingreso y salida de mercancías de la actividad de almacenes. controles
24 No Se han Incorporado Controles Automatizados para monitorear el Ingreso de Mercancías en la actividad de Tecnológicos.
Industrias.
25 No Se han Incorporado Controles Automatizados para monitorear el Ingreso de Vehículos en la actividad de
Talleres.
26 No Se han Incorporado Controles Automatizados para monitorear el proceso de apertura y cierre de
contenedores.
27 No Se han Incorporado controles automatizados y novedosos en el ingreso y salida de mercancías.
28 El Reporte Semiautomatizado del control del montacarga es deficiente.
29 No Se ha llevado a cabo la Delimitación y señalización de áreas de riesgo del Ceticos Paita Delimitar las Gerente General Sub Director de
Zonas de Riesgo. Oficina General de Operaciones.
243
Tabla 89: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de Almacenes,
Industrias y Talleres, vinculados con los riesgos Nº 30 al Nº 32.
Nº de Riesgo Descripción del Riesgo. Plan de Responsable de Responsable de
Tratamiento de Poner en Practica el Monitorear el
Riesgos Control Control
30 No Se lleva a cabo un control de Protección Organizacional. (Empresas Usuarias no cuentan con Seguridad Efectuar medidas Gerente General y Auditor Interno.
Propia Adecuada). de protección Sub Director de
Organizacional. Operaciones.
31 No se monitorea a la Empresa que brinda Servicios de Seguridad al Ceticos Paita, en calidad de Outsorsing. Monitorear a los Gerente General y Sub Director de
Outsorsing. Oficina General de Operaciones y
32 No Se lleva a cabo un adecuado Control de Protección a los Terrenos de la Entidad. Mejorar el Gerente General y Sub Director de
Control. Oficina de Asesoría Operaciones y
Legal. Auditor Interno.
244
Tabla 90: PT 5.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Control Interno del Ceticos Paita con respecto a los 72 riesgos
evidenciados.
PROCESOS Controles Plan de Tratamiento de Riesgos Responsable de Poner en Practica el Control Responsable de Monitorear
Evaluados el Control
5 112 Para los 72 Riesgos identificados durante la Evaluación: Con fecha 18/10/2008 el Titular de la Entidad teniendo en cuenta la Gerente General.
Instaurar dentro del Ceticos Paita El Comité de Recomendación formulada por Auditoría Interna instaura dentro de la Jefe del Oci del Ceticos Paita.
Implementación del Sistema de Control Interno que tendrá la Empresa El Comité encargado del Proceso de Instauración del Sistema
ardua labor de mitigar los 72 Riesgos como Resultado de la de Control Interno del Ceticos Paita, el mismo que se encargó de atender
Evaluación de Auditoría. los 72 riesgos que se evidenciaron como resultado de la Evaluación
efectuada el 30/06/2008.
Tabla 91: PT 5.1.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Gestión de Seguridad de la Información, con respecto a los 2
riesgos evidenciados.
PROCESO DE SUPERVISION Y MONITOREO
Control Evaluado:
Ítem Descripción del Riesgo Plan de Tratamiento de Riesgos Responsable de Responsable de
poner en Practica Monitorear el
el Control Control
1 Archivos Indebidos que no deberían de estar en la Data 11 que es de Propiedad del Ceticos Paita y del Eliminar los archivos indebidos de Personal que Gerente General.
Estado Peruano. la Data Nº 11, detectados en la labor realiza labores de Jefe de la Oficina
de campo. Informática. General de
administración.
Consultor de
Tecnologías de
Información y
Comunicaciones.
Auditoría Interna.
2 Archivos Indebidos que no deberían de estar en la Data Nº 4, propiedad del Ceticos Paita y del Estado Que el Titular de la Entidad delegue Personal que Gerente General.
Peruano, que fueron transferidos por el Usuario de la Data Nº 1, desde una estación externa ajena a la al personal que realiza labores de realiza labores de Jefe de la Oficina
organización, con la ayuda de herramientas de Internet. informática a que procedan a Informática. General de
eliminar en su totalidad, de la administración.
bandeja de elementos eliminados Consultor de
los archivos indebidos de la Data Nº Tecnologías de
4, detectados en la labor de campo. Información y
Comunicaciones.
Auditoría Interna.
245
Anexo Nº 7: Fase Nº 6: Supervisión y Monitoreo
Tabla 92: PT 6: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias, luego de implementar el
plan de tratamiento de riesgos. Cambios en la performance de los controles Nº 1 al Nº 15 al 06/04/2011.
CONTROLES QUE DESCRIPCION DEL CONTROL F D Nivel de Nivel de Nivel Nivel de
FUERON Implementación Efectivid de Madurez
SUJETOS A ad Riesgo
EVALUACION
PLANEACION Política del sistema C1. Instauración de Directiva. x 90% 89% 1 4
(1Control). de Gestión de
Calidad.
IMPLEMENTACI Responsabilidad de la C2. Instauración de Manual de Procedimientos. x 90% 89% 1 4
ON Dirección.
(1 Control).
SUPERVISION Y Gestión de Recursos. C3. Entrenamiento y Capacitación. x 90% 89% 1 4
MONITOREO (18 C4. Apoyo logístico. 90% 90% 1 4
Controles). Controles de Ingreso C5. Operaciones de Importación Definitiva y Simplificada. x 90% 89% 1 4
y Salida de C6 Control de Ingreso de Vehículos actividad de Talleres. x 89% 89% 1 4
Mercancías de la C7. Conciliaciones y Verificaciones actividad de talleres. x 89% 89% 1 4
Actividad de C8. Control de salida de vehículos actividad de talleres. x 89% 89% 1 4
Almacenes, Talleres C9. Control de salida de partes y piezas actividad de x 89% 89% 1 4
e Industrias. talleres.
C10. Control de Levante autorizado en la salida de x 89% 90% 1 4
vehículos.
C11. Control de Salida de Vehículos para exportación. x 89% 90% 1 4
C12. Control a los formatos de Órdenes de Salida de x 89% 90% 1 4
Vehículos.
Control de Usuarios. C13. Seguridad Industrial y Medio Ambiente. x 90% 90% 1 4
C14. En el Cableado Eléctrico. x 90% 90% 1 4
C15. Control de Atentados contra al Medio Ambiente. x 90% 88% 1 4
246
Tabla 93: Supervisión y Monitoreo al proceso de Actividades Almacenes, Talleres e Industrias, luego de implementar el plan de
tratamiento de riesgos. Cambios en la performance de los controles Nº 16 al Nº 26 al 06/04/2011.
SUPERVISION Y Soporte C16. Aforo Previo. x 90% 88% 1 4
MONITOREO (18 C17. Operatividad de x 90% 88% 1 4
Controles). Montacarga.
C18. Mantenimiento x 90% 89% 1 4
Preventivo de
Montacarga.
C19. Instauración de x 90% 89% 1 4
Regulaciones en Materia
de Seguridad del
Montacarga.
C20. Segregación de x 90% 89% 1 4
Funciones.
MEJORA Análisis y Evaluación C21. Validación de x 90% 89% 1 4
CONTINUA Datos.
(12 Controles). Mejora Continua C22. Mejora en el x 90% 90% 1 4
Entidad.
C23.Incorporación de x 90% 90% 1 4
Controles
Automatizados en el
Entidad para monitorear
en línea el ingreso y
salida de mercancías de
la actividad de
almacenes.
Controles
Automatizados para
Mercancías en la
actividad de Industrias.
Controles
Automatizados para
Vehículos en la
Controles
Automatizados para
monitorear el proceso de
apertura y cierre de
contenedores.
247
Tabla 94: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias, luego de implementar el plan de
MEJORA Mejora Continua C27 Incorporación de x 90% 90% 1 4
CONTINUA controles automatizados
(12 Controles). y novedosos en el
ingreso y salida de
mercancías.
C28 Reporte x 90% 91% 1 4
Semiautomatizado del
control del montacarga
deficiente.
C29. Delimitación y x 90% 91% 1 4
señalización de áreas de
riesgo.
C30. Protección x 89% 91% 1 4
Organizacional.
C31. Medidas de x 89% 91% 1 4
Seguridad Outsorsing.
C32. Control de x 90% 91% 1 4
Protección de Terrenos
de la Entidad.
Resultado Macro en Promedio de los Procesos y Controles sujetos a Evaluación. 32 90% 90% 1 4
248
PT 6.1: Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los
Controles Sujetos a Evaluación del Proceso de Ingreso y Salida de Mercancías de las
Actividades de Almacenes, Talleres e Industrias del 01/01/2007 al 06/04/2011, A Nivel
Micro
Gráfico Nº 18: Análisis del nivel de implementación de los controles del proceso de ingreso y salida de mercancías de las Actividades
de Almacenes, Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007
al 06 de abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE IMPLEMENTACIÓN DE LOS CONTROLES ANTES Y DESPUÉS DE

INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (ENERO 2007 AL 06/04/2011)
NI SIN PT NI CON PT
90% 90% 90% 90% 90% 89% 89% 89% 89% 89% 89% 89% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 89% 89% 90%
60% 55% 60% 50% 56% 50% 50%
39% 50% 50% 45% 38% 34% 50%
10% 19% 20% 15%
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 10% 0% 0%
El Histograma de Frecuencias nos muestra la Evolución del Nivel de Implementación de los
Controles evaluados inmersos en los sistemas que controlaban el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Talleres e Industrias, quienes antes de la
instauración de los 32 planes de tratamiento de Riesgos Poseían índices que oscilaban entre 0
y 60% Incumplimiento Alto. Pero al 06 Abril del 2011 su calificación subió a 90%
Cumplimiento.
Gráficos 19 : Análisis del nivel de madurez de los controles del proceso de ingreso y salida de mercancías de las Actividades de
Almacenes, Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06
de Abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE EFECTIVIDAD DE LOS CONTROLES ANTES Y DESPUES DE INSTAURAR EL PLAN DE
TRATAMIENTO DE RIESGOS (ENERO DEL 2007 AL 06/04/2011)
NE SIN PT NE CON PT
89% 89% 89% 90% 89% 89% 89% 89% 89% 90% 90% 90% 90% 90% 88% 88% 88% 89% 89% 89% 89% 90% 90% 95% 95% 90% 90% 91% 91% 91% 91% 91%
60% 55% 60% 60%

50% 57% 58% 58% 50% 55%
40% 40% 35% 39% 35%
25% 28% 30%
15% 10% 20% 15% 15% 16% 10% 10% 10%
0% 0% 0% 0% 0%
El Histograma de Frecuencias nos muestra la Evolución del Nivel de Efectividad de los
Controles evaluados inmersos en los sistemas que controlaban el Ingreso y Salida de
Mercancías de las Actividades de Almacenes, Talleres e Industrias, quienes antes de la
instauración de los 32 planes de tratamiento de Riesgos Poseían índices que oscilaban entre 0
249
y 60% Incumplimiento Alto. Pero al 06 Abril del 2011 su calificación subió a 90%
Cumplimiento.
Gráficos 20: Análisis del nivel de riesgo de los controles del proceso de ingreso y salida de mercancías de las Actividades de Almacenes,
Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril
del Ejercicio 2011.
ANÁLISIS DEL NIVEL DE RIESGO DE LOS CONTROLES ANTES Y DESPUÉS DE

INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (ENERO DEL 2007 AL 06/04/2011).
2
11 1 1 11
11
11
11 1
1 1 1 11
El Diagrama Radar nos muestra la Evolución del Nivel de Riego de los Controles evaluados
de Almacenes, Talleres e Industrias, quienes antes de la instauración de los 32 planes de
tratamiento de Riesgos Poseían índices que oscilaban entre 2 (Moderado), 3 (Alto) y 4
(Extremo) y en promedio mitigaban a niveles de Riesgo 4 Extremo. Pero al 06 Abril del
Ejercicio 2011 dichos controles mitigan en promedio a Niveles de Riesgo 1 Aceptable.
250
Gráficos 21:Análisis del nivel de madurez de los controles del proceso de ingreso y salida de mercancías de las Actividades de
Almacenes, Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06
de Abril del Ejercicio 2011.
NIVEL DE MADUREZ DE LOS CONTROLES SUJETOS A EVALUACIÓN ANTES Y DESPUES DE

INSTAURAR EL PLANDE TRATAMIENTO DE RIESGOS
NM SIN PT NM CON PT
CC11
CC3322 C2
C2
C31
C31 C3
C3
CC3300 C4
C4
C29
C29 C5
C5
CC2288 C6
C6
22
CC2277 C7
C7
CC2266 00 0 0 C8
C8
CC2255 0 00 C9
C9
CC2244 C10
C10
CC2233 C11
C11
CC2222 C12
C12
CC2211 C13
C13
CC2200 C14
C14
CC1199 C15
C15
CC1188 C16
C16
CC1177
El Diagrama Radar nos muestra la Evolución del Nivel de Madurez de los Controles evaluados
de Almacenes, Talleres e Industrias, quienes antes de la instauración de los 32 planes de
tratamiento de Riesgos Poseían índices que oscilaban entre 0 (No Existe), 1 (Inicial), 2
(Repetible) y 3 (Definido) y en promedio poseían un nivel de Madurez 1 Inicial.
Pero al 06 Abril del Ejercicio 2011 dichos controles incrementaron su niveles de madurez a 4
Administrado.
251
Tabla 95: PT 6.1.1: Evolución del nivel implementación, efectividad, riesgo y madurez de los controles del proceso de ingreso y salida
de mercancías de las Actividades de Almacenes, Industrias y Talleres, sujetos a evaluación del 01/01/2007 al 06/04/2011, a nivel macro.
Ejercicio 2007 de los 32 Controles Sujetos a Auditoría en Promedio
Nivel de Implementación Nivel de Efectividad Nivel de Riesgo Nivel de Madurez
24% 30% 4 1
90% 90% 1 4
Al 2007 los controles evaluados inmersos en los sistemas que controlaban el Ingreso y Salida
de Mercancías de las Actividades de Almacenes, Talleres e Industrias, poseían niveles de
Implementación, Efectividad, Riesgo y Madurez del 24% Incumplimiento Alto, 30%
Incumplimiento Alto, 4 Extremos y 1 Inicial eran Índices Negativos, para el Ceticos Paita.
La Gestión Gubernamental estaba desorganizada. Pero al 06 de Abril del Ejercicio 2011 luego
instaurar los planes de tratamiento de riesgos propuestos por la Auditoría de Riesgos dichos
controles mencionados anteriormente experimentaron mejoras en sus niveles de
Implementación, Efectividad, Riesgo y Madurez sus índices ahora eran positivos de 90%
Cumplimiento, 90% Cumplimiento, 1 Aceptable y 4 Administrado. Se había producido
mejoras en la Gestión Gubernamental de las Actividades de Almacenes, Industrias y Talleres.
252
Tabla 96: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de mercancías de las
Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora Nº 1 a Nº 20).
A NIVEL ORGANIZACIONAL
Nº MEJORAS GUBERNAMENTALES
1 La Entidad ha instaurado Directivas para monitorear el Control de Ingreso y Salida de Mercancías de las Actividades de
Almacenes, Industrias y Talleres del Ceticos Paita.
A NIVEL DE RESPONSABILIDAD DE LA DIRECCION
2 La entidad ha instaurado manuales de procedimientos en donde se reflejen todos y cada uno de los lineamientos y políticas a
considerar para la adecuada administración y control del Ingreso y Salida de Mercancías de las Actividades de Almacenes,
Industrias y Talleres del Ceticos Paita.
A NIVEL DE SUPERVISION Y MONITOREO
3 El personal de operaciones ya ha sido entrenado y capacitado en aspectos de comercio exterior y control gubernamental.
4 Se ha brindado el Apoyo Logístico al personal de Operaciones.
5 A la fecha se viene llevando un adecuado control de las Operaciones de Importación Definitiva y Simplificada.
6 Se viene llevando un adecuado Control de Ingreso de Vehículos actividad de Talleres. Carencia de Tickets de Peso y Manifiestos
de Carga.
7 Se efectúan Conciliaciones y Verificaciones actividad de talleres. Las Diferencias entre el Sistema de Gestión y Documentación
Sustentatoria por $3,390 Dólares Americanos, fue regularizada.
8 Se lleva a cabo un adecuado Control de salida de vehículos actividad de talleres. (En los reportes ya se consigna el Valor CIF ni
datos del REVISA 2).
9 Se viene llevando a cabo un adecuado Control de salida de partes y piezas actividad de talleres.
10 Se viene llevando a cabo un adecuado Control de Levante autorizado en la salida de vehículos.
11 Se viene llevando a cabo un adecuado Control de Salida de Vehículos para exportación.
12 Se viene llevando a cabo un adecuado Control a los formatos de Órdenes de Salida de Vehículos.
13 Se viene llevando a cabo un adecuado Control de Riesgos Industriales en aspectos de reparaciones de Infraestructuras.
14 Se viene llevando a cabo un adecuado control de seguridad En el Cableado Eléctrico.
15 Se viene llevando a cabo un adecuado Control de Atentados contra al Medio Ambiente.
16 Se ha consignado el sustento técnico y legal del Aforo Previo que realizan algunos usuarios del Ceticos Paita.
17 Se viene llevando a cabo un adecuado control a la Operatividad de Montacarga.
18 Se viene llevando a cabo el Mantenimiento Preventivo de Montacarga.
19 La entidad ha instaurado Regulaciones en Materia de Seguridad el Montacarga.
20 Las Operaciones que efectúa el montacarga son efectuados por el Personal Técnico y monitoreadas por los Oficiales de Seguridad
Especializados del Departamento de Operaciones.
253
Tabla 97: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de mercancías de las
Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora Nº 21 a Nº 32).
A NIVEL DE MEJORA CONTINUA
21 Se vienen llevando a cabo Conciliaciones y Validación de Datos de la Actividad de Almacenes.
22 El Sistema de Gestión de la Entidad. ya cuenta con un módulo de Impuestos Generados por Importación Definitiva.
23 Se han Incorporado Controles Automatizados en el Sistema de Gestión de la Entidad para monitorear en línea el ingreso y salida
de mercancías de la actividad de almacenes.
24 Se han Incorporado Controles Automatizados para monitorear el Ingreso de Mercancías en la actividad de Industrias.
A NIVEL DE MEJORA CONTINUA
25 Se han Incorporado Controles Automatizados para monitorear el Ingreso de Vehículos en la actividad de Talleres.
27 Se han Incorporado controles automatizados y novedosos en el ingreso y salida de mercancías.
28 El Reporte Automatizado del control del montacarga monitorea y registra in situ las incidencias y operaciones que efectúa el
Montacarga de la Entidad las mismas que son reportadas a la Gerencia General.
29 Se ha llevado a cabo la Delimitación y señalización de áreas de riesgo del Ceticos Paita.
30 Empresas Usuarias ya cuentan con Seguridad Propia Adecuada.
31 Se viene monitoreando de manera mensual a la Empresa que brinda Servicios de Seguridad al Ceticos Paita, en calidad de
Outsorsing. Y en caso de no cumplir con su labora es sujeta a una serie de penalidades y amonestaciones.
32 Se lleva a cabo un adecuado Control de Protección a los Terrenos de la Entidad. Se han demarcado las políticas y lineamientos
para las personas que habitan en los alrededores de las lagunas de Oxidación del Ceticos Paita.
254
Tabla 98: PT 6.2: Supervisión y Monitoreo al sistema de control interno del Ceticos Paita, luego de implementar el plan de
tratamiento de riesgos. Cambios en la performance de los 112 controles al 30/11/2010.
Procesos
Nivel de Riesgo a Nivel

Actual a Nivel Macro
Nivel de Madurez a
Nivel de Madurez
Nivel de Riesgo
Nivel Macro
Situación
Situación
Actual
Macro
Elemento
AMBIENTE DE 62.16% 2 4
1
CONTROL Filosofía de la Dirección. 83.33% 1 4
Integridad y valores éticos.
2
60.00% 2 3
3
50.00% 3 3
Estructura organizacional.
4
33.33% 3 2
Administración de los Recursos Humanos.
5
40.00% 3 2
Competencia profesional.
6
66.67% 2 4
Asignación de autoridad y responsabilidad.
7
100.00% 1 4
Órgano de Control Institucional.
8
100.00% 1 4
EVALUACIÓN DE Planeamiento de la Administración de Riesgos. 100% 1 4
RIESGOS 9 100.00% 1 4
Identificación de Riesgos.
10 100.00% 1 4
Valoración de riesgos.
11
100.00% 1 4
Respuesta al riesgo.
12
100.00% 1 4
ACTIVIDADES DE Procedimiento de Autorización y Aprobación.* 85.29% 1 4
13
CONTROL 50.00% 3 3
GERENCIAL Segregación de funciones.*
14
50.00% 3 3
Evaluación Costo-Beneficio.*
15
100.00% 1 4
Controles sobre el acceso a los recursos o archivos.*
16
100.00% 1 4
Verificaciones y conciliaciones.*
17
100.00% 1 4
Evaluación de desempeño. *
18
50.00% 3 3
Rendición de cuentas.
19
100.00% 1 4
Documentación de procesos, actividades y tareas. *
20
50.00% 3 3
Revisión de procesos, actividades y tareas.*
21
100.00% 1 4
Controles para las tecnologías de Información y comunicaciones.
22
91.67% 1 4
INFORMACIÓN Y Funciones y características de la información. 90% 1 4
23
COMUNIACIÓN 100.00% 1 4
Información y responsabilidad.
24
100.00% 1 4
Calidad y suficiencia de la información.
25
100.00% 1 4
Sistemas de información.
26
50.00% 3 3
Flexibilidad al cambio.
27
100.00% 1 4
Archivo institucional.
28
66.67% 2 4
Comunicación interna.
29 100.00% 1 4
Comunicación externa.
30
100.00% 1 4
Canales de comunicación.
31
100.00% 1 4
SUPERVISIÓN Y Actividades de prevención y monitoreo. 62.50% 2 4
32
AUTOEVALUACIÓN 50.00% 3 3
Seguimiento de resultados.
33
100.00% 1 4
Compromiso de mejoramiento.
34
33.33% 3 2
Resultado Macro en Promedio de los Procesos y Controles sujetos a Evaluación. 78.57% 1 4
78.57% 1 4
255
PT 6.2.1 Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los
Controles Sujetos a Evaluación del 30/06/2008 al 30/11/2010, A Nivel Micro
Gráfico Nº 22: Nivel de Implementación y Efectividad de los controles del Sistema de Control Interno bajo el enfoque COSO ERM
antes y después de la instauración del plan de tratamiento de medidas correctivas al 30 de noviembre del ejercicio 2010.
NIVEL DE IMPLEMENTACIÓN Y EFECTIVIDAD DE LOS CONTROLES DEL SISTEMA DE

CONTROL INTERNO ANTES (35.71%) Y DESPUÉS DE LA INSTAURACIÓN DEL PLAN DE
TRATAMIENTO DE MEDIDAS (78.57%) CORRECTIVAS AL 30/11/2010
NI/ NE SIN PT NI / NE CON PT
100%
90%
85.29%
62.16% 62.50% 62.50%

47.06%
35.14%
30%
0%
AMBIENTE DE CONTROL EVALUACION DE ACTIVIDADES DE INFORMACION Y SUPERVISION

RIESGOS CONTROL GERENCIAL COMUNICACIÓN
El Histograma de Frecuencias nos muestra la Evolución del Nivel de Implementación y
Efectividad del Sistema de Control Interno del Ceticos Paita dentro de sus 5 componentes de
Control quienes antes de la Instauración de los 72 Planes de Tratamiento de Riesgos poseían
en promedio un nivel de Efectividad e Implementación del 35.71% Incumplimiento Alto.
Pero al 30 de Noviembre del Ejercicio 2010 su calificación subió a 78.57% Incumplimiento
Medio.
Gráfico Nº 23: Nivel de Riesgo de los controles del Sistema de Control Interno bajo el enfoque COSO ERM antes y después de la
instauración del plan de tratamiento de medidas correctivas al 30 de noviembre del ejercicio 2010.
NIVEL DE RIESGO DE LOS CONTROLES DEL SISTEMA DE CONTROL INTERNO DE LA ENTIDAD

ANTES Y DESPUÉS DEL PLAN DE TRATAMIENTO DE RIESGOS AL 30/11/2010
NR SIN PT NR CON PT
AMBIENTE DE CONTROL
43
21
SUPERVISION 2 1
1
INFORMACION Y 3 3ACTIVIDADES DE CONTROL

COMUNICACIÓN GERENCIAL
256
El Diagrama Radar nos muestra la Evolución del Nivel de Riesgo del Sistema de Control
Interno del Ceticos Paita dentro de sus 5 componentes de Control quienes antes de la
Instauración de los 72 Planes de Tratamiento de Riesgos Mitigaban niveles de Riesgo 4
(Extremo), 3 (Alto) y 2 (Moderado) y en promedio su nivel de riesgo era de 4 Alto. Pero al
30 de Noviembre del Ejercicio 2010 dichos componentes mitigaban a niveles de Riesgo 1
Aceptable.
Gráfico Nº 24: Nivel de Madurez de los controles del Sistema de Control Interno bajo el enfoque COSO ERM antes y después de la
instauración del plan de tratamiento de medidas correctivas al 30 de noviembre del ejercicio 2010.
NIVEL DE MADUREZ DE LOS CONTROLES DEL SISTEMA DE CONTROL INTERNO

ANTES Y DESPUÉS DEL PLAN DE TRATAMIENTO DE RIESGOS AL 30/11/2010
NM SIN PT NM CON PT
AMBIENTE DE CONTROL
3
2
3 ACTIVIDADES DE CONTROL
INFORMACION Y COMUNICACIÓN
GERENCIAL
El Diagrama Radar nos muestra la Evolución del Nivel de Madurez del Sistema de Control
Interno del Ceticos Paita dentro de sus 5 componentes de Control quienes antes de la
Instauración de los 72 Planes de Tratamiento de Riesgos poseían niveles de madurez de 0 (No
Existe), 1 (Inicial), 2 (Repetible), 3 (Definido) y 4 (Administrado) y en promedio su nivel de
Madurez era de 2 Repetible. Pero al 30 de Noviembre del Ejercicio 2010 dichos
componentes poseían niveles de madurez 4 Administrado.
257
Tabla 99: PT 6.2.1.1 Evolución en el nivel de implementación, efectividad, riesgo y madurez del sistema de control interno bajo el
enfoque COSO ERM del Ceticos Paita del 30/06/2008 al 30/11/2010 a nivel macro.
Evaluación del Sistema de Control Interno Bajo el Enfoque COSO ERM al 30/06/2008
Nivel de Efectividad y Nivel de Riesgo Nivel de Madurez
Implementación
35.71% 3 2
Evaluación del Sistema de Control Interno Bajo el Enfoque COSO ERM al 30/11/2010
78.57% 1 4
Al 30 de Junio del Ejercicio 2008 los 5 componentes de Control Interno inmersos en El Sistema
de Control Interno del Ceticos Paita bajo el Enfoque Coso ERM, poseían niveles de
Implementación y Efectividad, Riesgo y Madurez del 35.71% Incumplimiento Alto, 3 Alto y
2 Repetible eran Índices Negativos, para el Ceticos Paita. El Sistema de Control Interno
estaba siendo mal administrado y controlado. Pero al 30 de Noviembre del Ejercicio 2010 luego
instaurar los planes de tratamiento de riesgos propuestos por la Auditoría de Riesgos dichos
controles mencionados anteriormente experimentaron mejoras en sus niveles de
Implementación y Efectividad, Riesgo y Madurez sus índices ahora eran positivos de 90%
Cumplimiento, 1 Aceptable y 4 Administrado. Ahora si el Ceticos Paita poseía un Sistema
de Control Interno Ordenado y que estaba ayudando a la Consecución de los Objetivos
Misionales.
258
Tabla 100: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el
enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 1 a Nº 4).
AMBIENTE DE CONTROL
Nº COMPONENTES MEJORAS
1 FILOSOFIA DE LA A la fecha la entidad ha asumido el compromiso de instaurar dentro de la organización su
DIRECCION Sistema de Control Interno.
La entidad ha instaurado su Comité encargado del Proceso de Implementación del Sistema de
Control Interno.
Se han llevado a cabo charlas de sensibilización en aspectos de Control Gubernamental y
Administración de Riesgos.
Para generar el Adecuado Clima Organizacional la Entidad posee un buzón de sugerencias en
el cual plasma sus inquietudes con respecto a la Gestión que se realiza en la Entidad.
Se ha formulado un procedimiento de evaluación del desempeño quedando pendiente su
revisión, aprobación y difusión.
2 INTEGRIDAD Y VALORES El Ceticos Paita ya cuenta con un Código de Ética debidamente aprobado y difundido
ETICOS mediante talleres.
3 La administración ha difundido la "Ley del Código de Ética de la Función Pública."
4 Actualmente se vienen comunicando debidamente dentro de la entidad las acciones
disciplinarias que se toman sobre violaciones éticas.
259
Tabla 101: PT 6.2.1.1.1 con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
coso ERM se produjeron 72 mejoras (Mejora Nº 2 a Nº 21).
AMBIENTE DE CONTROL
5 ADMINISTRACIÓN La Gerencia General viene exigiendo que todas las Áreas, Departamentos formulen, implementen y evalúen
ESTRATÉGICA actividades concordantes con su plan operativo institucional.
6 Todas las Áreas ya vienen evaluando su plan Operativo.
7 Los planes operativos y de contingencia se elaboran de acuerdo a procedimiento documentado.
8 CETICOS PAITA cuenta con un Plan Estratégico Institucional 2010 – 2022 actualizado. CETICOS PAITA
cuenta con un Plan Operativo Institucional 2010 actualizado, Elaborado por todas las Áreas.
9 Los resultados de las mediciones efectuadas a los planes operativos en los últimos dos semestres están dentro
de los niveles esperados.
10 ESTRUCTURA La estructura organizacional se viene desarrollando sobre la base de la misión, objetivos y actividades de la
ORGANIZACIONAL entidad y se ajusta a la realidad.
11 El nuevo Manual de Organización y Funciones (MOF) refleja todas las actividades que se realizan en la
entidad y están debidamente delimitadas.
12 La entidad cuenta con un Reglamento de Organización y Funciones (ROF)
Debidamente actualizado y en proceso constante de mejora continua.
13 Todas las personas que laboran en la entidad ocupan una plaza prevista en el Presupuesto Analítico de
Personal y un cargo incluido en el de Asignación de Personal (CAP).
14 La Dirección se asegura que a corto y mediano plazo los trabajadores conozcan los documentos normativos
(MOF, ROF, CAP y demás manuales) que regulan las actividades de la entidad.
15 Se han elaborado los manuales de procesos con sus respectivos flujos de información de los procesos
críticos del negocio.
16 ADMINISTRACIÓN El Ceticos Paita viene implementando lineamientos para la selección y contratación de personal.
17 DE RECURSOS El Ceticos Paita trabaja con programas de Inducción para el personal que ingresa a laborar en la entidad.
18 HUMANOS Se ha venido incorporando personal competente para que realice labores de apoyo y consulta en las unidades
de contabilidad, informática y asesoría legal.
19 La entidad ya viene elaborando anualmente un plan de formación y capacitación del personal, con la
participación de todas las áreas y se da cumplimiento al mismo
20 La escala remunerativa está en relación con el cargo, funciones y responsabilidades asignadas. A mediano y
largo plazo se vienen haciendo los esfuerzos necesarios con el Ministerio de Economía y Finanzas para la
Aprobación de una nueva Escala Remunerativa acorde con las exigencias del Mercado.
21 COMPETENCIA Se ha diseñado un manual denominado gestión de competencias, en fases siguientes se determinará las
PROFESIONAL competencias asociadas a los puestos de trabajo y la evaluación de las mismas.
260
Tabla 102: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
AMBIENTE DE CONTROL
22 ASIGNACIÓN DE La Autoridad y Responsabilidad de los Colaboradores ya ha sido definida y delimitada en el Nuevo Manual
AUTORIDAD Y de Organización y Funciones de la Entidad.
23 RESPONSABILIDAD El Nuevo Manual de Organización y Funciones y los Nuevos Manuales de Procedimientos Instaurados
recientemente en la entidad a mediano y largo plazo serán revisados para mejorarlos.
24 Ahora el personal conoce sus responsabilidades y actúa de acuerdo con los niveles de autoridad que le
corresponden en función al Nuevo Manual de Organización y Funciones del Ceticos Paita.
EVALUACION DE RIESGOS
25 PLANIFICACIÓN DE La entidad cuenta con un plan de gestión de riesgos dentro del plan de seguridad de la Información.
26 RIESGOS La Dirección ha difundido la Gestión de Riegos con la Ayuda del Plan de Seguridad de la Información del
Ceticos Paita.
27 Dicho planeamiento de Riesgos es específico en algunas áreas.
28 Dicho plan ya ha sido evaluado en una Auditoría de Seguridad de la Información.
29 IDENTIFICACIÓN DE Actualmente ya Están identificados los Riesgos Significativos por cada objetivo dentro del plan de seguridad
RIESGOS de la Información del Ceticos Paita.
30 Actualmente dentro del plan de seguridad de la información de la entidad Están identificados los riesgos
negativos que pueden poner en peligro la continuidad del negocio.
31 Se vienen identificando riesgos en los procesos críticos del negocio.
32 Para la identificación de riesgos se ha tomado en cuenta aspectos internos y externos.
33 VALORACIÓN DE Se viene cuantificando la posibilidad de que ocurran riesgos identificados.
34 RIESGOS Se ha cuantificado el Impacto que pueden generar estos riesgos identificados.
35 Los Riesgos, sus probabilidades e impactos han sido registrados dentro del Plan de Seguridad de la
Información del Ceticos Paita.
36 RESPUESTA AL Dentro del Plan de Seguridad de la Información del Ceticos Paita se han establecido las acciones necesarias
RIESGO para contrarrestas a los riesgos identificados.
37 Dentro del Plan de Seguridad de la Información del Ceticos Paita se han definido los lineamientos para
monitorear y revisar a los controles que mitigan a los riesgos identificados por la Organización.
38 PROCEDIMIENTOS El Ceticos Paita ya cuenta con Manuales de Procedimientos de los Procesos Críticos del Negocio.
39 DE Los Manuales de Procedimientos fueron comunicados a todos y cada uno de los Colaboradores de la Entidad
AUTORIZACIÓN Y para su conocimiento y fines.
APROBACIÓN
261
Tabla 103: PT 6.2.1.1.1 con la Aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
40 SEGREGACIÓN DE Las actividades expuestas a riesgos de error o fraude ya fueron asignadas a diferentes personas o equipos
FUNCIONES de trabajo.
41 Se vienen efectuando rotaciones periódicas del personal asignado en puestos susceptibles a riesgos de
fraude
42 EVALUACIÓN COSTO El costo de los controles establecidos para sus actividades está de acuerdo a los resultados esperados
BENEFICIO (beneficios). Esto se puede apreciar en los controles tecnológicos que posee la entidad (Cámaras de
Seguridad, Control de Ingreso y Salida de Personal) que a la fecha le están generando buenos resultados.
43 Actualmente la entidad viene tomando en cuenta que el costo de establecer un control tecnológico no
supere el beneficio que se puede obtener.
44 CONTROLES SOBRE La Entidad ya cuenta con procedimientos establecidos y documentados para la utilización y protección de
AL ACCESO A LOS los recursos o archivos.
45 RECURSOS Y Actualmente el acceso a los recursos o archivos queda evidenciado en documentos tales como Oficios,
ARCHIVOS Memorándums, Correos Electrónicos y/o Actas.
46 Periódicamente Se llevan a cabo arqueos semestrales e inventarios anuales para comparar los recursos
asignados con los registros de la entidad.
47 VERIFICACIONES Y Las unidades orgánicas y el Órgano de Control Institucional del Ceticos Paita periódicamente llevan a
CONCILIACIONES cabo verificaciones sobre la ejecución de los procesos, actividades y tareas.
48 La entidad ha instaurada como practicas sanas de control conciliaciones de saldos, bancos, inventarios y
financiera presupuestal.
49 EVALUACIÓN DE La entidad cuenta con indicadores de desempeño para los procesos, actividades y tareas en función al Plan
DESEMPEÑO Estratégico Institucional 2011 al 2022.
50 Actualmente La evaluación de desempeño se hace con base en los planes organizacionales, disposiciones
normativas vigentes, prueba de ello es la evaluación de cumplimiento del Plan Operativo Institucional
2010.
51 DOCUMENTACIÓN DE Los procesos, actividades y tareas de la entidad se encuentran definidos, establecidos y documentados en
PROCESOS, los nuevos manuales de Procedimientos de los procesos críticos del negocio.
ACTIVIDADES Y
TAREAS
52 REVISIÓN DE Se vienen implementando todas y cada una de las mejoras propuestas por las unidades orgánicas y Órgano
PROCESOS, de Control Institucional.
ACTIVIDADES Y
TAREAS
262
53 CONTROLES SOBRE La entidad cuenta con un Plan Operativo Informático.
54 LAS TECNOLOGÍAS Se han definido los controles de acceso general (seguridad Física y Lógica de los equipos centrales).
55 DE INFORMACIÓN Y Los programas informáticos (software) de la entidad cuentan con licencias y autorizaciones de uso.
COMUNICACIONES
INFORMACION Y COMUNICACIÓN
56 INFORMACIÓN Y Se cuenta con políticas y procedimientos que garantizan el adecuado suministro de información para el
COMUNICACIÓN cumplimiento de sus funciones y responsabilidades, definidas en el Manual de Organización y Funciones
de la Entidad.
57 CALIDAD Y La información interna y externa que maneja la entidad viene siendo útil, oportuna y confiable en el
SUFICIENCIA DE LA desarrollo de sus actividades.
58 INFORMACIÓN Se ha diseñado evaluado e implementado lineamientos establecidos en los manuales de procedimientos
para asegurar la calidad y suficiencia de la información.
59 SISTEMAS DE Periódicamente los Colaboradores de Informática solicitan a los usuarios opinión sobre el sistema de
INFORMACIÓN información registrándose los reclamos e inquietudes para priorizar las mejoras
60 ARCHIVO La entidad ya cuenta con una unidad orgánica que se encarga de administrar la documentación e
INSTITUCIONAL información generada por la entidad.
61 La administración de los documentos e información se realiza de acuerdo con las políticas y
procedimientos establecidos para la preservación y su conservación (archivos electrónicos, magnéticos y
físicos), claramente detallados en los manuales de procedimientos y manual de funciones.
62 COMUNICACIÓN La entidad ha elaborado y difundido documentos que orienten la comunicación interna.
63 INTERNA La administración mantiene actualizada a la Dirección respecto al desempeño, desarrollo, riesgos,
principales iniciativas y cualquier otros eventos resultantes.
64 La entidad cuenta con mecanismos y procedimientos para la denuncia de actos indebidos por parte del
personal.
65 COMUNICACIÓN La entidad cuenta con mecanismos y procedimientos adecuados para informar hacia el exterior sobre su
EXTERNA gestión institucional, basándose en la Ley de Transparencia.
66 El portal de transparencia de la entidad se encuentra adecuadamente actualizado.
67 La entidad cuenta con mecanismos y procedimientos para asegurar la adecuada atención de los
requerimientos externos de información (Ley de Transparencia y Acceso a la Información Pública).
68 CANALES DE Dentro de los nuevos manuales de procedimientos y nuevo reglamento interno de trabajo que posee la entidad
COMUNICACIÓN que posee la entidad se han implementado políticas que estandarizan una comunicación interna y externa,
considerándose diversos tipos de comunicación: memorando, paneles informativos, boletines,
revistas.
69 Estos canales de comunicación permiten que la información fluya de manera clara, ordenada y oportuna.
263
coso ERM Se produjeron 72 mejoras (Mejora Nº 70 a Nº 72).
SUPERVISIÓN
Nº COMPONENTE MEJORAS
70 ACTIVIDADES DE Las unidades orgánicas Vinculadas con los procesos Críticos del negocio vienen realizando reiteradamente
PREVENSIÓN Y acciones de monitoreo.
MONITOREO
71 COMPROMISO DE La entidad efectúa periódicamente autoevaluaciones que le permite proponer planes de mejora que son
MEJORAMIENTO ejecutados posteriormente.
72 Se implementan las recomendaciones producto de las autoevaluaciones realizadas por Gerencia General,
Auditores Internos / Externos.
264
Tabla 106: PT 6.3 Supervisión y Monitoreo al Sistema de Gestión de Seguridad de la Información, luego de implementar el plan de
PROCESOS CONTROLES DESCRIPCION DEL CONTROL F D Nivel de Nivel de Nivel Nivel de
QUE FUERON Implementación Efectividad de Madurez
SUJETOS A Riesgo
EVALUACION
ESTABLECIMIENTO. (9 Planificación y C1: Alcance y Limites del SGSI. x 90% 90% 1 4
Controles). Organización.
C2: Política SGSI. x 90% 90% 1 4
C3: Enfoque de evaluación de Riesgos. x 90% 90% 1 4
C4: Identificación, Análisis y Evaluación de Riesgos. x 90% 90% 1 4
C5: Identificación y Evaluación para el plan de x 90% 90% 1 4
tratamiento de riesgos.
C6: Objetivos y Controles para el Plan de Tratamiento de x 90% 90% 1 4
riesgos.
C7: Aprobación de Gerencia General para asumir el x 90% 90% 1 4
Riesgo Residual.
C8: Autorización de Gerencia para implementar y x 90% 90% 1 4
aprobar el Sistema de Gestión de Seguridad de la
Información.
C9: Enunciado de Aplicabilidad. X 90% 90% 1 4
IMPLEMENTACIÓN (6 Responsabilidad C10: Formulación del Plan de Tratamiento de riesgos. x 90% 90% 1 4
Controles). de la Dirección. C11: Implementación del Plan de Tratamiento de x 90% 90% 1 4
Riesgos.
C12: Implementación de Controles. x 90% 90% 1 4
C13: Medición de efectividad de los controles. x 90% 90% 1 4
C14: Programas de capacitación. x 90% 90% 1 4
C15. Operaciones y Recursos. x 90% 90% 1 4
SUPERVISION Y C16. Programa de calendarización para acciones de x 90% 90% 1 4
MONITOREO (3 prevención y monitoreo.
Controles). C17. Adecuado Uso de Recursos Informáticos. x 90% 90% 1 4
C18. Adecuado uso de correo corporativo institucional. x 90% 90% 1 4
C19. Evaluaciones al Sistema de Gestión de Seguridad x 90% 90% 1 4
de la Información.
MEJORA CONTINUA (1 C20: Acciones Correctivas y Preventivas. x 90% 90% 1 4
Control).
Resultado Macro en Promedio de los Procesos y Controles sujetos a Evaluación. x 90% 90% 1 4
265
PT 6.3.1 Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los
Controles Sujetos a Evaluación del 01/01/2011 al 06/04/2011, A Nivel Micro
Gráfico Nº 25: Análisis del nivel de Implementación de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos
Paita antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE IMPLEMENTACIÓN DE LOS CONTROLES DEL SGSI DEL CETICOS PAITA
ANTES Y DESPUÉS DE INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (01/01/2011 AL
06/04/2011)
NI SIN PTR NI CON PTR
90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90%
El Histograma de Frecuencias nos muestra la Evolución del Nivel de Implementación de los
Controles evaluados inmersos en El Sistema de Gestión de Seguridad de la Información,
quienes antes de la instauración de los 2 planes de tratamiento de Riesgos Poseían índices que
oscilaban en 90% Cumplimiento. Y que al 06 Abril del 2011 su calificación se mantuvo en
90% Cumplimiento.
Gráfico Nº 26: Análisis del nivel de Efectividad de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos
Paita antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ej ercicio 2011.
ANÁLISIS DEL NIVEL DE EFECTIVIDAD DE LOS CONTROLES DEL SGSI DEL CETICOS
PAITA ANTES Y DESPUÉS DE INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (DEL
01/01/2011 AL 06/04/2011)
NE SIN PTR NE CON PTR
90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90% 90% 90%90% 90%90%
50% 50%
266
El Histograma de Frecuencias nos muestra la Evolución del Nivel de Efectividad de los
Controles evaluados inmersos en El Sistema de Gestión de Seguridad de la Información,
quienes antes de la instauración de los 2 planes de tratamiento de Riesgos Poseían índices que
oscilaban en 90% Cumplimiento solo en 18 controles mientras que 2, poseían un nivel de
efectividad del 50% Incumplimiento, y en promedio los 20 Controles poseían un nivel de
Efectividad del 86% Incumplimiento Medio. Al 06 Abril del 2011 su calificación se
incrementó en 90% Cumplimiento.
Gráfico Nº 27: Análisis del Nivel de Riesgo de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos Paita
antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE RIESGO DE LOS CONTROLES DEL SGSI DEL CETICOS PAITA
ANTES Y DESPUÉS DE INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (DEL
30/03/2010 AL 06/04/2011)
C1
C20 C2
C19 3.5 C3
C18 2.5 C4
4C17 C5
0.5
C16 C6
C15 C7
C14 C8
C13 C9
C12
C11
El Diagrama Radar nos muestra la Evolución del Nivel de Riesgo de los 20 Controles evaluados
inmersos en El Sistema de Gestión de Seguridad de la Información del Ceticos, quienes antes
de la instauración de los 2 planes de tratamiento de Riesgos Poseían 18 controles que mitigaban
a niveles de Riesgo 1 Aceptable, mientras que 2 Controles Mitigaban a Niveles de Riesgo 4
Extremo y en promedio mitigaban a niveles de Riesgo 1 Aceptable.
Pero al 06 Abril del Ejercicio 2011 los 20 controles mitigan en promedio a Niveles de Riesgo
1 Aceptable.
267
Gráfico Nº 28: Análisis del Nivel de Madurez de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos Paita
antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ej ercicio 2011.
ANÁLISIS DEL NIVEL DE MADUREZ DE LOS CONTROLES ANTES Y DESPUÉS DE INSTAURAR

EL PLAN DE TRATAMIENTO DE RIESGOS ( DE ENERO DEL 01/01/2011 AL 06/04/2011)
NM SIN PTR NM CONPTR
C1
C2
C19 3.5 C3
C18 2.5 C4
3
4 1.5
C17 3
0.5
4C15 C7
4
C14 C8
C13 C9
C10
El Diagrama Radar nos muestra la Evolución del Nivel de Madurez de los 20 Controles
evaluados inmersos en El Sistema de Gestión de Seguridad de la Información del Ceticos,
quienes antes de la instauración de los 2 planes de tratamiento de Riesgos Poseían 18 controles
que cuyo nivel de madurez era de 4 Administrado, mientras que 2 Controles
poseían Niveles de Madurez de 3 Definido y en promedio sus niveles de madurez eran de 4
Administrados. Pero al 06 Abril del Ejercicio 2011 los 20 controles ya poseían un nivel de
Madurez 4 Administrado.
Tabla 107: PT 6.3.1 Evolución del nivel implementación, efectividad, riesgo y madurez de los controles sujetos a evaluación del
Sistema de Gestión de Seguridad de la Información del Ceticos Paita del 30/03/2010 al 06/04/2011. A nivel macro.
Ejercicio 2010 Evaluación al Sistema de Gestión de Seguridad de la Información
Nivel de Implementación Nivel de Efectividad Nivel de Riesgo Nivel de Madurez
90% 86% 1 4
90% 90% 1 4
Al 30 de Marzo del Ejercicio 2010 los 20 componentes inmersos dentro del Sistema de
Gestión de Seguridad de la Información del Ceticos Paita, poseían niveles de Implementación
268
Efectividad, Riesgo y Madurez del 90% Cumplimiento, 86% Incumplimiento Medio, 1
Aceptable y 4 Administrado eran Índices Relativamente Aceptables, para el Ceticos Paita.
El Sistema de Gestión de Seguridad de la Información estaba siendo administrado y controlado
de una manera normal salvo por dos controles que habían sido vulnerados, vinculados con el
adecuado uso de recursos informáticos y correo corporativo institucional. Pero al 06 de Abril
del Ejercicio 2011 luego instaurar los planes de tratamiento de riesgos propuestos por la
Auditoría de Riesgos dichos controles mencionados anteriormente experimentaron mejoras en
sus niveles de Implementación y Efectividad, Riesgo y Madurez sus índices ahora eran
positivos de 90% Cumplimiento, 1 Aceptable y 4 Administrado. Ahora si el Interno
Ordenado y que estaba ayudando a la Consecución de los Objetivos Misionales.
269
PT 6.3.1.1 Con la Aplicación de esta Auditoría de Riesgos en el Sistema de Gestión de
Seguridad de la Información se produjeron 2 Mejoras:
Adecuado Uso de los Recursos Informáticos.
Adecuado Uso del Correo Corporativo Institucional.
La presente tabla muestra las 2 mejoras incorporadas al Sistema de Gestión de Seguridad de
la Información del Ceticos Paita dentro de las 18 ya existentes.
Tabla 108: Mejoras dentro del Sistema de Gestión de Seguridad de la información del Ceticos Paita luego de la aplicación de la
auditoría de riesgos (Mejora Nº 1 a Nº 9).
Nº PROCESO MEJORAS
1 ESTABLECIMIENTO Se ha definido el Alcance del SGSI.
2 Se ha definido la Política del SGSI.
3 Se ha definido el Enfoque de evaluación del Riesgo de la Organización.
4 Se han identificado, analizado y evaluado los riesgos.
5 Se han identificado y evaluado las opciones para el tratamiento de los riesgos.
6 Se han seleccionado los objetivos de control y controles para el tratamiento de los riesgos.
7 Se ha obtenido la aprobación de la Gerencia para los riesgos residuales propuestos.
8 Se ha obtenido la autorización de la Gerencia para implementar y operar el SGSI.
9 Se ha preparado un enunciado de aplicabilidad, que contiene los objetivos de control y controles
seleccionados, excluidos e implementados para proteger la información y activos del negocio.
270
Tabla 109: Mejoras dentro del Sistema de Gestión de Seguridad de la Información del Ceticos Paita luego de la aplicación de la
auditoría de riesgos (Mejora Nº 9 a Nº 20).
Nº PROCESO MEJORAS
10 IMPLEMENTACIÓN Se ha formulado un plan de tratamiento de riesgo que identifica la acción gerencial apropiada, los recursos,
las responsabilidades y prioridades para manejar los riesgos de la seguridad de información.
11 Se ha Implementado el plan de tratamiento de riesgo para poder lograr los objetivos de control identificados,
los cuales incluyen tener en consideración el financiamiento y asignación de roles y responsabilidades.
12 Se han Implementado los controles seleccionados para satisfacer los objetivos de control (proceso de
tasación del riesgo y tratamiento del riesgo).
13 Se ha definido cómo medir la efectividad de los controles o grupos de controles seleccionados y se ha
especificado cómo se van a utilizar estas mediciones para evaluar la efectividad del control para producir
resultados comparables y reproducibles.
14 Se han Implementado los programas de capacitación y conocimiento.
15 Se manejan las operaciones y recursos para el Sistema de Gestión de Seguridad de la Información del Ceticos
Paita.
16 Se han Implementado los procedimientos y otros controles capaces de permitir una pronta detección de y
respuesta a incidentes de seguridad.
17 MONITOREO La Organización cuenta con un calendario de prevención y monitoreo al Sistema de Gestión de Seguridad de
Información del Ceticos Paita.
18 Las Evaluaciones del Auditor Interno se constituyen en Herramientas de Valor Agregado.
19 Se vienen cumpliendo con las Regulaciones Internas del Ceticos Paita en materia de adecuado uso de
recursos informáticos y Correo Corporativo Institucional.
20 MEJORA El SGSI tiene una metodología para el adecuado tratamiento de las acciones correctivas y preventivas.
CONTINUA
271
Anexo Nº 8: Fase Nº 7: Comunicación y Consulta
PT 7: Informe Ejecutivo de la Aplicación de la Auditoría de Riesgos al Proceso de
Actividades de Almacenes, Talleres e Industrias
Resultados:
Adecuada Gestión de Riesgos de parte de la Entidad:
32 Controles que poseen tendencias aceptables nivel de implementación y efectividad del 90%
respectivamente, así mismo dichos controles mitigan en promedio a niveles de Riesgo
Aceptable y poseen niveles de Madurez Administrado.
Adecuada Gestión Gubernamental:
La Gerencia viene cumpliendo en lo posible con las Normas Internas y de Gobierno para el
Adecuado Control del Ingreso y Salida de Mercancías de las actividades de Almacenes,
Al 06/04/2011 los 32 planes de tratamiento de riesgos emitidos por mi persona a partir del
ejercicio 2007 al 2010 fueron atendidos en su totalidad. Produciendo mejoras sustanciales en
el Ceticos Paita.
Se vienen sancionando a Usuarios que Infringen los controles internos instaurados por la
Entidad.
Se viene trabajando en nuevas regulaciones para controlar los procesos de las actividades de
almacenes, talleres e industrias.
La Auditoría propuso una Acción de Mejora.
Refrendado por;
272
PT 7.1: Informe Ejecutivo de la Aplicación de la Auditoría de Riesgos al Sistema de Control
Interno del Ceticos Paita bajo el Enfoque COSO ERM
Resultados:
A la fecha el Sistema de Control Interno de la Entidad posee en promedio Niveles de
Implementación y efectividad del 78.57%, así mismo mitiga a niveles de riesgo 1 Aceptable y
Posee niveles de Madurez 4 Administrado. Dicho sistema viene evolucionando paulatinamente
y aporta al logro misional de la empresa.
El Ceticos Paita viene cumpliendo de manera gradual Las Normas de Control Interno emitidas
por la Contraloría General de la República para el Adecuado Manejo, Control y Administración
de los Recursos y Fondos que son de Propiedad del Estado.
Se evidenciaron 72 riesgos los mismos que fueron atendidos.
Se derivó al Sistema Nacional de Control el Informe 1 y 2 de Autoevaluación al Sistema de
Control Interno del Ceticos Paita con fechas 23/10/2009 y 23/10/2010.
El Comité de Control Interno del Ceticos Paita viene realizando reuniones de coordinación
para Mejorar El Sistema de Control Interno de la Entidad.
Se reportó una Acción de mejora para mejorar la Gestión Gubernamental del Ceticos Paita.
Refrendado por;
273
PT 7.1.1: Informe Ejecutivo de la Aplicación de Auditoría de Riesgos al Sistema de Gestión
de la Seguridad de la Información
Resultados:
El Sistema de Gestión de Seguridad de la Información posee en promedio un nivel de
implementación y efectividad del 90% respectivamente, así mismo dichos controles mitigan en
promedio a niveles de Riesgo Aceptable y poseen niveles de Madurez Administrado. Índices
que reflejan que dichos sistema se encuentra contribuyendo al logro de los objetivos misionales.
vienen cumpliendo en lo posible y de acuerdo con su capacidad operativa con los
requerimientos establecidos en: Los manuales del Uso adecuado de los recursos informáticos
y del correo electrónico corporativo.
Se evidenciaron 2 riesgos los mismos que fueron mitigados.
La Auditoría proporcionó 10 Acciones de Mejora.
Refrendado por;
274
Anexo Nº 9: Fase 8: Estado Situacional de las Recomendaciones de Auditorías de
Riesgos
Gráfico Nº 29: Estado situacional de las recomendaciones emitidas en los informes de Auditoría de Riesgos del ejercicio 2007 al
ejercicio 2011.
PT8: ESTADO SITUACIONAL DE LAS RECOMENDACIONES EMITIDAS DEL 2007 AL 2011

POR EL OCI
IMPLEMENTADAS PROCESO PENDIENTES
106
72
32
0 0 0 0 2 0 0 0 100% 0% 0%
EVALUACIÓN A LAS EVALUACIÓN AL SCI ERM EVALUACIÓN AL SGSI CP TOTAL CUMPLIMIENTO

ACTIVIDADES DE
ALMACENES IND Y
TALLERES
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del 2011,
puedo concluir que a la fecha han sido atendidas todas y cada una de las recomendaciones
consecuencia de la Aplicación de Auditorías de Riesgos en los Procesos Críticos del Negocio.
El Nivel de Atención de parte del Titular de la entidad y su grupo de colaboradores ha sido
del 100%, nos encontramos ahora con una gestión gubernamental y eficiente, es decir el
Gerente General del Ceticos Paita ha reconocido que la Auditoría de Riesgos ayuda a la
Empresa a Administrar los Recursos del Estado de una Manera Transparente y Ordenada
Coadyuvando a la Mejora en los Procesos Críticos del Negocio.
275
Anexo Nº 10: Herramienta Automatizada Creada por el Investigador para la Realización
de la Auditoría de Riesgos
Para la Auditoría de Riesgos con la cual trabaje por 5 años (2007 Al 2011) idee mi propia
herramienta automatizada con la Ayuda de la Hoja de Cálculo Excel para Cada una de las Fases
de Auditoría de Riesgos la misma que explicaré a continuación y que tiene por nombre
HERRAMIENTA AUTOMATIZADA NGS PARA AUDITORÍAS ERM:
La Herramienta me permitió elaborar las marcas de Auditoría a Utilizar en la Evaluación, en
donde pude consignar la Descripción de la Marca y el Símbolo.
Imagen 1: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar las marcas de
auditoría.
Fase 1: La Herramienta facilitó la Programación de la Auditoría de Riesgos, en donde pude
detallar Los Objetivos Generales, Específicos, El Nivel de Frecuencia de la Auditoría, El
Auditor que elaboró el Papel de Trabajo, la Fecha del Desarrollo de dicho papel de trabajo y
su código de referencia.
276
Imagen 2: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar el programa de
auditoría.
Fase 1: La Herramienta me ayudó a Elaborar el Proceso de Auditoría sujeto a Evaluación, en
donde se pudo diagramar el Proceso sujeto a evaluación e identificar el Número de Controles
que se encuentran inmersos en los procesos sometidos a examen.
Imagen 3: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar el diagrama de los
procesos a auditar.
Fase 2: La Herramienta me ayudó a confeccionar y procesar la Información del Enunciado de
Aplicabilidad arrojando de Manera inmediata los resultados vinculados con: Nº de Fortalezas
y Debilidades Evidenciadas en Números, Variaciones Porcentuales y Gráficos.
277
Imagen 4: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar el enunciado de
aplicabilidad.
Fase 3: De manera Inmediata la Herramienta llevó a cabo el Análisis de Riesgo evaluando el
Nivel de Implementación / Efectividad Riesgo y Madurez de los Controles sujetos a Auditoría.
Imagen 5: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió evaluar el nivel de
implementación, riesgo y madurez de los controles sujetos a auditoría.
278
Fase 4: De manera inmediata la Herramienta proceso los Histogramas de Frecuencia y
Diagramas radar con la finalidad de evaluar los Niveles de Implementación / Efectividad,
Riesgo y Madurez de los Controles Auditados.
Imagen 6: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar los histogramas de
frecuencia y diagramas radar.
279
Fase 5: La Herramienta me permitió confeccionar el Plan de Tratamiento de Riesgos, en donde
pude enfatizar en: Los Procesos y Número de Controles Evaluados, Plan de tratamiento de
Riesgos y en el responsable de instaurar y monitorear el control.
Imagen 7: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió confeccionar los planes de
tratamiento de riesgos.
Fase 6: La Herramienta me permitió procesar y monitorear en tiempo real los nuevos resultados
Obtenidos por el Ceticos Paita, luego de haber instaurado los Planes de Tratamiento de Riesgos
recomendados por mi persona. Evidenciando claro esta mejoras sustanciales en: a) La
performance de los Controles, b) El nivel de Evolución de los Controles en aspectos de
Efectividad / Implementación, Riesgos y Madurez y c) Mejoras en la Gestión Gubernamental.
280
Imagen 8: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de la
puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las mejoras en
el comportamiento de los controles.
Imagen 9: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de la
puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las evolución de
los niveles de implementación , efectividad, riesgo y madurez de los controles evaluados.
281
Imagen 10: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de
la puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las evolución
de los controles evaluados a nivel macro.
Imagen 11: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de
la puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las mejoras
alcanzadas por la entidad.
282
Fase 7: La Herramienta me permitió procesar el Informe Ejecutivo de las Auditorías de Riesgo
priorizando en dos aspectos: a) Mejoras en la Gestión de Riesgos y b) Mejoras en la Gestión
Gubernamental de parte del Ceticos Paita.
Imagen 12: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar el informe ejecutivo
de la evaluación de auditoría de riesgos.
La herramienta diseñada por mi persona me ha sido de mucha utilidad para mi trabajo y se
encuentra en constante evolución. Ahora los Auditores automatizamos nuestro trabajo.
283
Anexo Nº 11: Definición de Términos
APA: American Psychological Association.
CAP: Cuadro de Asignación de Personal.
CETICOS: Centro de Exportación, Transformación, Industria y Servicios Generales.
CETICOS PAITA: Centro de Exportación, Transformación, Industria y Servicios Generales
de Paita.
CGR: Contraloría General de la República.
CPN: Contaduría Pública de la Nación.
COSO: Committee of Sponsoring Organizations of the Treadway Commission.
COSO ERM: Enterprise Risk Management.
EST. ORG: Estructura Organizacional.
INTA PG 22: Procedimiento uniforme a aplicar en las Intendencias de Aduana de la República
para el traslado, ingreso y salida de mercancías nacionales, nacionalizadas y extranjeras hacia
y desde los Centros de Exportación, Transformación, Industria, Comercialización y Servicios
(CETICOS).
JEFE DE OCI: Jefe del Órgano de Control Institucional.
MOF: Manual de Organización y Funciones.
MP: Manual de Procedimientos.
NI: Nivel de Implementación del Control.
NE: Nivel de Efectividad del Control.
NR: Nivel de Riesgo.
NM: Nivel de Madurez.
NGS: Nicolay Galecio Sosa.
NVOS: Nuevos.
OCI: Órgano de Control Institucional.
284
PAC: Plan Anual de Capacitación.
PAP: Presupuesto Analítico de Personal.
POI: Plan Operativo Institucional.
POI: Plan Operativo Informático.
PT: Papel de Trabajo.
ROF: Reglamento de Organización y Funciones.
RIT: Reglamento Interno de Trabajo.
SAC: Sociedad Anónima Comercial.
SGSI: Sistema de Gestión de Seguridad de la Información.
SGSI CP: Sistema de Gestión de Seguridad de la Información del Ceticos Paita.
SCI ERM: Sistema de Control Interno ERM.
SUNAT ADUANAS: Superintendencia Nacional de Aduanas y Administración Tributaria.
TIC: Tecnologías de Información y Comunicaciones.
TI: Tecnologías de Información.
TUPA: Texto Único de Procedimientos Administrativos.
285
View publication stats

Auditoriade Riesgos Eficaz para La Gesti PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoriade Riesgos Eficaz para La Gesti PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

ESCUELA UNIVERSITARIA DE POST GRADO

“AUDITORÍA DE RIESGOS EFICAZ PARA LA GESTIÓN GUBERNAMENTAL

ÓPTIMA DE LOS CETICOS 2007 AL 2011”

NICOLAY ALEXANDER GALECIO SOSA

PARA OPTAR EL GRADO ACADÉMICO DE:

por ser un gran Maestro y un verdadero Amigo.

A Mi Madre Bartola por acompañarme en todo el proceso de mi formación profesional y

y reuniones en donde me animabas y me dabas la fortaleza necesaria para arribar a la

consecución de mi Objetivo. Gracias de Corazón por acompañarme con tu trabajo, dedicación

y esfuerzo de tu ejercicio profesional, mientras yo redactaba mi Tesis Doctoral a tu lado en la

A Dios por darme la Sabiduría, Fortaleza, Voluntad, Optimismo, Paciencia, Entrega y

Dedicación en la realización de Esta Tesis Doctoral.

día a día académica y personalmente.

También Agradezco de Corazón al Dr. Guillermo Cabieses Maggiolo Gerente General de

CETICOS PAITA y a su grupo de Colaboradores por brindarme el apoyo incondicional en la

realización de este trabajo.

Moral y Espiritual en el Desarrollo de mi Tesis.

El problema tratado en la investigación efectuada fue de determinar la forma en que la

Auditoría de Riesgos Eficaz facilita la Gestión Gubernamental Óptima de los Centros de

Exportación, Transformación, Industrias, Comercio y Servicios Generales (CETICOS). Por

Gubernamental Óptima de los Centros de Exportación, Transformación, Industrias, Comercio

y Servicios Generales (CETICOS).

de Riesgos Eficaz facilita la Gestión Gubernamental Óptima de los Centros de Exportación,

Transformación, Industrias, Comercio y Servicios Generales (CETICOS).

seleccionado fue de pos prueba únicamente y grupo de control.

En concordancia con el Objetivo, el resultado de la investigación concluyó en que La Auditoría

de Riesgos Eficaz ha facilitado la Gestión gubernamental Óptima del Ceticos Paita.

En tal sentido la investigación recomienda Para la Gestión Gubernamental Óptima en los

Centros de Exportación, Transformación, Industrias, Comercio y Servicios Generales

Effective Risk Management provides Optima Government Centers of Export, Transformation,

easy Effective Audit Risk Management Optima Government Centers of Export,

Transformation, Industry, Commerce and General Services (CETICOS).

Industry, Commerce and General Services (CETICOS).

Export, Transformation, Industry, Commerce and General Services (CETICOS), which

La Investigación titulada Auditoría de Riesgos Eficaz para la Gestión Gubernamental Óptima

de los Centros de Exportación, Transformación, Industria, Comercio y Servicios Generales

Gubernamental Óptima del Ceticos Paita”.

y Directores de posibles riesgos financieros, tecnológicos, operacionales, económicos, sociales,

riesgos sugeridos por la Auditoría de Riesgos, y de esta manera Mejorar la Gestión

Gubernamental y Organizacional de las empresas.

Para el desarrollo de este trabajo se ha aplicado la metodología, las técnicas e instrumentos

Grado de nuestra Universidad Nacional Federico Villarreal.

investigación en los siguientes capítulos:

En el Capítulo I se expone el Planteamiento del Problema que abarca: Antecedentes,

Planteamiento del Problema, Objetivos, Justificación, Alcances y Limitaciones, Definición y

de Prueba de Hipótesis, Variables, Población Muestra, Técnicas de Investigación, Instrumentos

de recolección de Datos y Procesamiento y Análisis de Datos.

En el Capítulo IV Se puntualiza en el Análisis de Resultados enfatizando en la Contrastación

de Hipótesis, Análisis e Interpretación.

En el Capítulo V se enfatiza en la Discusión de los resultados para finalmente arribar a las

Conclusiones y Recomendaciones de la Investigación.

Finalmente se presenta la bibliografía y los Anexos del trabajo de investigación.

Se ha determinado la existencia de los siguientes antecedentes bibliográficos:

Libro: “Introducción al Análisis de Riesgos” (2002), presentado por: Jesús G Martínez

riesgos indispensable para Ejecutivos y Auditores con la finalidad de mitigar y

monitorear los riesgos medio ambientales, de higiene y de seguridad industrial, así

como las actividades de manejo de presupuestos, inventario, mantenimiento,

administración de energía y gestión de la seguridad, e igualmente con otras ramas del

conocimiento entre las que se incluyen las sociales y económicas”. Desde mi

ambientales y financieros que ponen en peligro la continuidad del negocio”.

Tesis: “Incidencia de los riesgos profesionales en la productividad de empresas

afiliadas a una administradora de riesgos profesionales, sectores económico, químico