Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TESIS
PRESENTADO POR:
DOCTOR EN CONTABILIDAD
LIMA PERÚ
2013
1
2
3
DEDICATORIA
A mi Padre Rodrigo Galecio Chiroque que con su ejemplo de vida me enseñó a valorar a Dios,
a la familia y a las personas. Al mismo tiempo le agradezco de Corazón por haberme dado uno
de los regalos más lindos de esta vida los cuales son: La Humildad, La Sencillez, La Vocación
de Servicio y el Estudio.
Que Dios y la Virgen Papa Rigo te sigan guardando en su infinita Gloria, gracias de Corazón
personal, por enseñarme el camino correcto y por direccionarme siempre por el sendero del
bien y aconsejarme diariamente con sus dulces y bellas palabras recalcándome siempre y en
todo lugar: “Que la persona que estudia con alegría, disciplina y responsabilidad siempre
triunfa”.
A mi dulce y bella Esposa Antonina y a Jhosep por acompañarme en todo este proceso de la
Confección de mi Tesis Doctoral, Gracias linda y angelical Antonina por los consejos, charlas
madrugada de cada noche silenciosa, pero siempre con el resplandor de tu luz y brillo angelical.
4
AGRADECIMIENTO
A mis Hermanos: Oswaldo, Rodrigo y Guisella, gracias de Corazón por incentivarme a mejorar
Y finalmente agradezco al Dr. Domingo Hernández Celis por darme todo el Apoyo Filosófico,
5
RESUMEN
ello su objetivo fue de demostrar cómo la Auditoría de Riesgos Eficaz facilita la Gestión
Para resolver el problema con el Objetivo señalado se diseñó la Hipótesis de que la Auditoría
Con fines de contrastar la Hipótesis se llevó a cabo un estudio experimental en donde el diseño
(CETICOS), que La Auditoría de Riesgos Eficaz debe de ser aplicada de manera preventiva y
posterior y programada en los Planes Anuales de los Órganos de Control Institucional y estar
sujeta a evaluación permanente por el Sistema Nacional de Control de nuestro País. Así mismo
los Informes de Auditoría deben de contener datos estadísticos e históricos de los controles
evaluados para establecer las comparaciones pertinentes y medir las metas alcanzadas con las
propuestas.
6
ABSTRAC
The problem addressed in the investigation carried out was to try to determine how the Audit
To resolve the problem with the stated objective was designed Assumption that Risk Audit
Effective Government Management facilitates Optima Centers of Export, Transformation,
For the purpose of confirming the scenario was carried out an experimental study where the
design was selected and post-test only control group.
Consistent with the objective, the outcome of the investigation concluded that the Audit
Effective Risk Management has provided the government Optimal Ceticos Paita.
In this sense, the study recommends Optima for Governmental Management at the Centers of
Effective Risk Audit must be applied preventively and later and scheduled the Annual Plans of
Institutional Control Bodies and subject to ongoing evaluation by the National Control System
of our country. Also Audit Reports must contain statistical data and historical controls
evaluated to establish the relevant comparisons to measure the goals achieved with the
proposals.
7
Contenido
................................................................................................................................................................ 1
ÍNDICE DE TABLAS .......................................................................................................................... 8
ÍNDICE DE GRÁFICOS .................................................................................................................... 13
ÍNDICE DE DIAGRAMAS................................................................................................................ 14
ÍNDICE DE IMÁGENES ................................................................................................................... 15
ÍNDICE DE ANEXOS ....................................................................................................................... 16
INTRODUCCIÓN .............................................................................................................................. 17
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA .................................................................... 19
1.1 Antecedentes ................................................................................................................................. 19
1.2 Planteamiento del problema .......................................................................................................... 22
1.3 Objetivos ....................................................................................................................................... 27
1.4 Justificación .................................................................................................................................. 28
1.5 Alcances y Limitaciones ............................................................................................................... 29
1.6 Definición de variables ................................................................................................................. 30
CAPÍTULO II: MARCO TEÓRICO .................................................................................................. 31
2.1 Teorías generales relacionadas con el tema ................................................................................... 31
2.2 Bases Teóricas especializadas sobre el Tema ................................................................................ 40
2.3 Marco Conceptual ......................................................................................................................... 45
2.4 Hipótesis ..................................................................................................................................... 109
CAPÍTULO III: MÉTODO............................................................................................................... 110
3.1 Tipo ............................................................................................................................................ 110
3.2 Diseño de Investigación .............................................................................................................. 110
3.3 Estrategia de Prueba de Hipótesis ............................................................................................... 110
3.4 Variables ..................................................................................................................................... 111
3.5 Población .................................................................................................................................... 112
3.6 Muestra ....................................................................................................................................... 112
3.7 Técnicas de Investigación ........................................................................................................... 113
3.7.1 Instrumentos de Recolección de Datos ..................................................................................... 113
3.7.2 Procesamiento y Análisis de Datos .......................................................................................... 113
CAPÍTULO IV: PRESENTACIÓN DE RESULTADOS ................................................................. 168
4.1 Contrastación de Hipótesis .......................................................................................................... 168
4.1.1 Medición de las Variables con los Resultados Obtenidos ........................................................ 172
4.2 Análisis e Interpretación ............................................................................................................. 178
CAPÍTULO V: DISCUSIÓN ............................................................................................................ 190
5.1 Discusión .................................................................................................................................... 190
8
5.2 Conclusiones ............................................................................................................................... 196
5.2.1 Conclusiones Presentadas ........................................................................................................ 196
5.3 Recomendaciones ....................................................................................................................... 200
5.3.1 Recomendaciones Presentadas ................................................................................................. 200
5.4 Referencias Bibliográficas Estilo APA 5ta Edición .................................................................... 202
ANEXOS .......................................................................................................................................... 208
9
ÍNDICE DE TABLAS
Tabla 1: Fases de la Auditoría de Riesgos ........................................................................................... 46
Tabla 2: Indicadores para evaluar las Políticas del Sistema de Gestión de calidad ítem 1 y 2 e
Indicadores para Evaluar la Gestión de Recursos ítem 3. .................................................................... 64
Tabla 3: Indicadores para evaluar la Gestión de Recursos ítem 4 e Indicadores para evaluar el Ingreso
y Salida de mercancías de las actividades de Almacenes, Industrias y Talleres ítem 5 a 7.................. 65
Tabla 4: Indicadores para evaluar el Ingreso y Salida de mercancías de las actividades de Almacenes,
Industrias y Talleres ítem 8 a 11. ........................................................................................................ 66
Tabla 5: Indicadores para evaluar el Ingreso y salida de Mercancías de las actividades de Almacenes,
Industrias yTtalleres ítem 12 e Indicadores para evaluar el Control de Usuarios ítem 13, 14 y 15. ..... 67
Tabla 6: Indicadores para evaluar los Controles de Soporte ítem 16 a 19. .......................................... 68
Tabla 7: indicadores para evaluar los Controles de Soporte ítem 20, los controles de Análisis y
Evaluación ítem 21 y los controles de Mejora Continua ítem 23. ....................................................... 69
Tabla 8: Indicadores para evaluar los Controles de Mejora Continua ítem 24 a 27. ............................ 70
Tabla 9: Indicadores para evaluar los controles de mejora continua ítem 28 a 31. .............................. 71
Tabla 10: Indicadores para evaluar los controles de mejora continua ítem 32. ................................... 72
Tabla 11: Criterios Cuantitativos establecidos en el Estándar de Gestión de Riesgos ISO 31000 e ISO
31010:2009. ........................................................................................................................................ 72
Tabla 12: Obtención del resultado del nivel de riesgo. ........................................................................ 73
Tabla 13: Descripción de los niveles de riesgo.................................................................................... 73
Tabla 14: Obtención del resultado del nivel de madurez ..................................................................... 73
Tabla 15: Descripción de los niveles de madurez ............................................................................... 74
Tabla 16: Modelo Nº 1 de Enunciado de Aplicabilidad ...................................................................... 74
Tabla 17: Indicadores para evaluar la Filosofía de la Dirección, la Integridad y Valores Éticos y la
Administración Estratégica. ................................................................................................................ 84
Tabla 18: Indicadores para evaluar la Estructura Organizacional, la Administración de Recursos
Humanos, la Competencia Profesional, la Asignación de Autoridad y Responsabilidad. ................... 85
Tabla 19: Indicadores para evaluar el Órgano de Control Institucional, el Planeamiento de la
Administración de riesgos, la Identificación de riesgos y la Valoración de riesgos. ............................ 86
Tabla 20: Indicadores para evaluar la Respuesta al Riesgo, los Procedimientos de Autorización y
Aprobación, la Segregación de Funciones y la Evaluación Costo Beneficio. ...................................... 87
Tabla 21: Indicadores para evaluar los Controles sobre el Acceso a Recursos y Archivos, las
Verificaciones y Conciliaciones, las Evaluaciones de Desempeño y las Rendiciones de Cuentas ...... 88
Tabla 22: Indicadores para evaluar la Documentación de Procesos, Actividades y Tareas, la Revisión
de Procesos Actividades y Tareas, los Controles para las Tecnologías de Información y Comunicaciones
y las Funciones y características de la Información. ............................................................................ 89
Tabla 23: Indicadores para evaluar la Información y la Responsabilidad, la Calidad y Suficiencia de la
Información, los Sistemas de Información y la Flexibilidad al Cambio. ............................................. 90
Tabla 24: Indicadores para evaluar el Archivo Institucional, la Comunicación Interna, la
Comunicación Externa y los Canales de Comunicación ..................................................................... 91
Tabla 25: Indicadores para evaluar las Actividades de Prevención y Monitoreo, Seguimiento de
Resultados y los Compromisos de Mejoramiento. .............................................................................. 92
Tabla 26: Criterios Cuantitativos para evaluar el Control Interno Organizacional en función al
Estándar ISO31000 e ISO 31010: 2009. ............................................................................................. 92
Tabla 27: Obtención del resultado del nivel de riesgo para el sistema de control interno
organizacional ..................................................................................................................................... 93
Tabla 28: Descripción de los niveles de riesgo para el sistema de control interno organizacional ...... 93
10
Tabla 29: Obtención del resultado del nivel de madurez del sistema de control interno organizacional.
.............................................................................................................................................................. 94
Tabla 30: Descripción de los niveles de madurez del sistema de control interno organizacional 94
Tabla 31: Enunciado de Aplicabilidad modelo Nº 2. .......................................................................... 94
Tabla 32: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de
la Información ítem 1 a 4. ................................................................................................................... 99
Tabla 33: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de
la Información ítem 5 a 8. ................................................................................................................. 100
Tabla 34: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de
la Información ítem 9 e Indicadores para evaluar el nivel de implementación del Sistema de Gestión de
Seguridad de la Información ítem 10 a 13......................................................................................... 101
Tabla 35: Indicadores para evaluar el nivel de implementación del Sistema de Gestión de Seguridad de
la Información ítem 14 a 15 e indicadores para evaluar el proceso de supervisión y monitoreo al Sistema
de Gestión de Seguridad de la Información ítem 16 a 18. ................................................................. 102
Tabla 36: Indicadores para evaluar el proceso de supervisión y monitoreo al Sistema de Gestión de
Seguridad de la Información ítem 19 e Indicadores para evaluar el proceso de mejora continua al
Sistema de Gestión de seguridad de la Información ítem 20. ............................................................ 103
Tabla 37: Criterios cuantitativos para evaluar el Sistema de Gestión de Seguridad de la Información en
función al estándar ISO 31000 e ISO 31010: 2009. ........................................................................ 103
Tabla 38: Obtención del resultado del nivel de riesgo para el sistema de gestión de seguridad de la
información. ...................................................................................................................................... 104
Tabla 39: Descripción de los niveles de riesgo para el sistema de gestión de seguridad de la información.
.......................................................................................................................................................... 104
Tabla 40: Obtención del resultado del nivel de madurez para el sistema de gestión de seguridad de la
información. ...................................................................................................................................... 104
Tabla 41: Descripción de los niveles de madurez para el sistema de gestión de seguridad de la
información. ...................................................................................................................................... 105
Tabla 42: Enunciado de Aplicabilidad Modelo Nº 3. ........................................................................ 105
Tabla 43: Indicadores cuantitativos para determinar el nivel de atención de parte de la Gerencia general
en atender Recomendaciones de Auditoría Interna. .......................................................................... 108
Tabla 44: Diseño de Investigación: Post Prueba únicamente y Grupo de Control ............................. 110
Tabla 45: Operacionalización de las Variables ................................................................................. 112
Tabla 46: Estado Situacional de la entidad antes de la Adopción de Medidas Correctivas vinculada con
la Evaluación a las Actividades de Almacenes, Industrias y Talleres. ............................................... 118
Tabla 47: Riesgos evidenciados del Nº1 al Nº4, vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 120
Tabla 48: Riesgos Evidenciados del Nº 5 al Nº 11 vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 121
Tabla 49: Riesgos evidenciados del Nº 12 al Nº 17, vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 122
Tabla 50: Riesgos evidenciados del Nº 18 al Nº 22, vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 123
Tabla 51: Riesgos evidenciados del Nº 23 al Nº 28, vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 124
Tabla 52: Riesgos evidenciados del Nº 29 al Nº 31, vinculados con la Evaluación a las Actividades de
Almacenes, Industrias y Talleres ...................................................................................................... 125
Tabla 53: Riesgo evidenciado Nº 32, vinculado con la Evaluación a las Actividades de Almacenes,
Industrias y Talleres. ......................................................................................................................... 126
11
Tabla 54: Estado Situacional de la Entidad antes de la adopción de medidas correctivas al 30/06/2008,
vinculada con la evaluación Al Sistema de Control Interno COSO ERM. ........................................ 137
Tabla 55: Riesgos Evidenciados del Nº 1 AL Nº 10, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 138
Tabla 56: Riesgos evidenciados del Nº 11 al Nº 20, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 139
Tabla 57: Riesgos evidenciados del Nº 21 al Nº 24, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 140
Tabla 58: Riesgos evidenciados del Nº 25 al Nº 37, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 141
Tabla 59: Riesgos evidenciados del Nº 38 al Nº46, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 142
Tabla 60: Riesgos evidenciados del Nº 47 al Nº55, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 143
Tabla 61: Riesgos evidenciados del Nº 56 al Nº 64, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 144
Tabla 62: Riesgos evidenciados del Nº 64 al Nº 71, vinculados con la evaluación Al Sistema de
Control Interno COSO ERM............................................................................................................. 145
Tabla 63: Riesgo evidenciado Nº 72, vinculado con la evaluación Al Sistema de Control Interno
COSO ERM. ..................................................................................................................................... 146
Tabla 64: Estado Situacional de la entidad antes de la adopción de medidas correctivas al 01 de Enero
del Ejercicio 2011, Vinculada con la evaluación al Sistema de Gestión de Seguridad de la Información.
.......................................................................................................................................................... 157
Tabla 65: Riesgos evidenciados del Nº 1 al Nº 2 Vinculada con la evaluación al Sistema de Gestión de
Seguridad de la Información. ............................................................................................................ 158
Tabla 66: Estado Situacional de las Recomendaciones formuladas en los Informes de Auditoría de
Riesgos periodo 2007 al 2011 trabajadas en mi Investigación. ......................................................... 166
Tabla 67: Programa de Auditoría: Objetivo General Nº1. ................................................................. 208
Tabla 68: Programa de Auditoría: Objetivo Específico Nº 1. ............................................................ 209
Tabla 69: Programa de Auditoría: Objetivo Específico Nº 2. ............................................................ 210
Tabla 70: Programa de Auditoría: Procedimiento Específico Nº 3.................................................... 211
Tabla 71: PT 2: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Preguntas 1 a 20) ........................ 220
Tabla 72: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de mercancías de
la actividad de Almacenes, Industrias y Talleres. (Preguntas 21 a 32) .............................................. 221
Tabla 73: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 1 a 17) .......................................................................................... 222
Tabla 74: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 18 a 34)......................................................................................... 223
Tabla 75: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 36 a 52)......................................................................................... 224
Tabla 76: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 53 a 71)......................................................................................... 225
Tabla 77: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 72 a 91)......................................................................................... 226
Tabla 78: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM (Preguntas 92 a 106) ....................................................................................... 227
12
Tabla 79: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el
enfoque COS ERM (Preguntas 107 a 112)....................................................................................... 228
Tabla 80: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad
de la Información. (Preguntas 1 a 15) ............................................................................................... 229
Tabla 81: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad
de la Información. (Preguntas 16 a 20) ............................................................................................ 230
Tabla 82: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Análisis a los controles: Nº 1 al Nº
15)..................................................................................................................................................... 231
Tabla 83: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Análisis a los controles Nº 16 al Nº
26)..................................................................................................................................................... 232
Tabla 84: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres. (Análisis a los controles Nº 27 al Nº
32)..................................................................................................................................................... 233
Tabla 85: PT 3.1: Matriz de riesgos vs controles que se ejecutó al Sistema de Control Interno bajo el
enfoque COSO ERM. (Análisis a los procesos 1 a 34 que engloban a 112 controles) ...................... 234
Tabla 86: PT 3.1.1: Matriz de riesgos vs controles que se ejecutó Sistema de Gestión de la Seguridad
de la Información. (Análisis a los controles Nº 1 a Nº 19) ................................................................ 235
Tabla 87: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 1 al Nº
12. ..................................................................................................................................................... 242
Tabla 88: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de
mercancías de la Actividad de Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 13 al Nº
29. ..................................................................................................................................................... 243
Tabla 89: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías
de la Actividad de Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 30 al Nº 32. 244
Tabla 90: PT 5.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Control Interno del
Ceticos Paita con respecto a los 72 riesgos evidenciados. ................................................................. 245
Tabla 91: PT 5.1.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Gestión de
Seguridad de la Información, con respecto a los 2 riesgos evidenciados. .......................................... 245
Tabla 92: PT 6: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias,
luego de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº
1 al Nº 15 al 06/04/2011.................................................................................................................... 246
Tabla 93: Supervisión y Monitoreo al proceso de Actividades Almacenes, Talleres e Industrias, luego
de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº 16 al
Nº 26 al 06/04/2011. ......................................................................................................................... 247
Tabla 94: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias, luego
de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº 27 al
Nº 32 al 06/04/2011. ......................................................................................................................... 248
Tabla 95: PT 6.1.1: Evolución del nivel implementación, efectividad, riesgo y madurez de los controles
del proceso de ingreso y salida de mercancías de las Actividades de Almacenes, Industrias y Talleres,
sujetos a evaluación del 01/01/2007 al 06/04/2011, a nivel macro. ................................................... 252
Tabla 96: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora
Nº 1 a Nº 20) ..................................................................................................................................... 253
13
Tabla 97: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora
Nº 21 a Nº 32) ................................................................................................................................... 254
Tabla 98: PT 6.2: Supervisión y Monitoreo al sistema de control interno del Ceticos Paita, luego de
implementar el plan de tratamiento de riesgos. Cambios en la performance de los 112 controles al
30/11/2010. ....................................................................................................................................... 255
Tabla 99: PT 6.2.1.1 Evolución en el nivel de implementación, efectividad, riesgo y madurez del sistema
de control interno bajo el enfoque COSO ERM del Ceticos Paita del 30/06/2008 al 30/11/2010 a nivel
macro. ............................................................................................................................................... 258
Tabla 100: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 1 a Nº 4) .......... 259
Tabla 101: PT 6.2.1.1.1 con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 2 a Nº 21) 260
Tabla 102: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 22 a Nº 39) 261
Tabla 103: PT 6.2.1.1.1 con la Aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 40 a Nº 52) 262
Tabla 104: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 53 a Nº 69) 263
Tabla 105: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno
del Ceticos Paita bajo el enfoque coso ERM Se produjeron 72 mejoras (Mejora Nº 70 a Nº 72) 264
Tabla 106: PT 6.3 Supervisión y Monitoreo al Sistema de Gestión de Seguridad de la Información,
luego de implementar el plan de tratamiento de riesgos. Cambios en la performance de los controles Nº
1 al Nº 20 al 06/04/2011 ................................................................................................................... 265
Tabla 107: PT 6.3.1 Evolución del nivel implementación, efectividad, riesgo y madurez de los controles
sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del Ceticos Paita del
30/03/2010 al 06/04/2011. A nivel macro. ........................................................................................ 268
Tabla 108: Mejoras dentro del Sistema de Gestión de Seguridad de la información del Ceticos Paita
luego de la aplicación de la auditoría de riesgos (Mejora Nº 1 a Nº 9) .............................................. 270
Tabla 109: Mejoras dentro del Sistema de Gestión de Seguridad de la Información del Ceticos Paita
luego de la aplicación de la auditoría de riesgos (Mejora Nº 9 a Nº 20) ............................................ 271
14
ÍNDICE DE GRÁFICOS
Gráfico Nº 1: Nivel de Cumplimiento y Efectividad de los controles evaluados Modelo Nº 1. ......... 75
Gráfico Nº 2:Niveles de riesgo y madurez de los controles evaluados modelo Nº 1 ........................... 76
Gráfico Nº 3: Nivel de cumplimiento y efectividad de los controles Modelo Nº 3. ............................. 95
Gráfico Nº 4: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 2. ............................ 96
Gráfico Nº 5: Nivel de cumplimiento y efectividad de los controles evaluados Modelo Nº 3. .......... 106
Gráfico Nº 6: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 3. .......................... 107
Gráfico Nº 7: Nivel de Implementación de los controles sujetos a evaluación del proceso de ingreso y
salida de mercancías de la Actividad de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.... 236
Gráfico Nº 8: Niveles de Efectividad de los controles sujetos a evaluación del proceso de ingreso y
salida de mercancías de las Actividades de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
............................................................................................................................................................ 236
Gráfico Nº 9: Nivel de Riesgo de los controles sujetos a evaluación del proceso de ingreso y salida de
mercancías de las Actividades, de Almacenes, Industrias y Talleres ejercicio 2007 al 2010............. 237
Gráfico Nº 10: Nivel de Madurez de los controles sujetos a evaluación del proceso de ingreso y
salida de mercancías de las Actividades de Almacenes, Industrias y Talleres, ejercicio 2007 al 2010.
............................................................................................................................................................ 237
Gráfico Nº 11: Situación actual del Sistema de Control Interno del Ceticos Paita bajo el enfoque
COSO ERM al 30/06/2008, nivel de Implementación y Efectividad. ............................................... 238
Gráfico Nº 12: Nivel de Riesgo del Sistema de Control Interno del Ceticos Paita bajo el enfoque COS
ERM al 30/06/2008. .......................................................................................................................... 238
Gráfico Nº 13: Nivel de Madurez del Sistema de Control interno del Ceticos Paita bajo el enfoque
COSO ERM al 30/06/2008 .............................................................................................................. 239
Gráfico Nº 14: Nivel de Implementación de los controles sujetos a evaluación del Sistema de Gestión
de Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011. ........................ 240
Gráfico Nº 15: Nivel de Efectividad de los controles sujetos a evaluación del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011.............................. 240
Gráfico Nº 16: Nivel de Riesgo de los controles sujetos a evaluación del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011. ............................ 241
Gráfico Nº 17: Nivel de Madurez de los controles sujetos a evaluación del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita al 01 de enero del ejercicio 2011. ............................. 241
Gráfico Nº 18: Análisis del nivel de implementación de los controles del proceso de ingreso y salida
de mercancías de las Actividades de Almacenes, Talleres e Industrias antes y después de instaurar el
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de abril del ejercicio 2011. . 249
Gráficos 19 : Análisis del nivel de madurez de los controles del proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Talleres e Industrias antes y después de instaurar el
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril del ejercicio 2011. 249
Gráficos 20: Análisis del nivel de riesgo de los controles del proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Talleres e Industrias antes y después de instaurar el
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril del Ejercicio 2011. 250
Gráficos 21:Análisis del nivel de madurez de los controles del proceso de ingreso y salida de
mercancías de las Actividades de Almacenes, Talleres e Industrias antes y después de instaurar el
plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril del Ejercicio 2011.251
Gráfico Nº 22: Nivel de Implementación y Efectividad de los controles del Sistema de Control Interno
bajo el enfoque COSO ERM antes y después de la instauración del plan de tratamiento de medidas
correctivas al 30 de noviembre del ejercicio 2010. ........................................................................... 256
15
Gráfico Nº 23: Nivel de Riesgo de los controles del Sistema de Control Interno bajo el enfoque COSO
ERM antes y después de la instauración del plan de tratamiento de medidas correctivas al 30 de
noviembre del ejercicio 2010. ........................................................................................................... 256
Gráfico Nº 24: Nivel de Madurez de los controles del Sistema de Control Interno bajo el enfoque
COSO ERM antes y después de la instauración del plan de tratamiento de medidas correctivas al 30
de noviembre del ejercicio 2010. ...................................................................................................... 257
Gráfico Nº 25: Análisis del nivel de Implementación de los controles del Sistema de Gestión de
Seguridad de la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de
riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011. ..................................... 266
Gráfico Nº 26: Análisis del nivel de Efectividad de los controles del Sistema de Gestión de Seguridad
de la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de riesgos del
01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011. ....................................................... 266
Gráfico Nº 27: Análisis del Nivel de Riesgo de los controles del Sistema de Gestión de Seguridad de
la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de riesgos del 01
de enero del ejercicio 2011 al 06 de abril del ejercicio 2011............................................................. 267
Gráfico Nº 28: Análisis del Nivel de Madurez de los controles del Sistema de Gestión de Seguridad de
la Información del Ceticos Paita antes y después de instaurar el plan de tratamiento de riesgos del 01
de enero del ejercicio 2011 al 06 de abril del ejercicio 2011............................................................. 268
Gráfico Nº 29: Estado situacional de las recomendaciones emitidas en los informes de Auditoría de
Riesgos del ejercicio 2007 al ejercicio 2011. .................................................................................... 275
16
ÍNDICE DE DIAGRAMAS
Diagrama Nº 1: Diagrama de procesos PDCA del ingreso y salida de mercancías de la actividad de
Almacenes, Industrias y Talleres...................................................................................................... 212
Diagrama Nº 2: Diagrama de procesos del Sistema de Control Interno bajo el enfoque COSO ERM.
............................................................................................................................................................ 214
Diagrama Nº 3: Diagrama de procesos del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita. .................................................................................................................................... 217
17
ÍNDICE DE IMÁGENES
Imagen 1: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió elaborar las marcas de auditoría. ......................................................................................... 276
Imagen 2: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió elaborar el programa de auditoría. ...................................................................................... 277
Imagen 3: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió elaborar el diagrama de los procesos a auditar .................................................................... 277
Imagen 4: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió elaborar el enunciado de aplicabilidad. ............................................................................... 278
Imagen 5: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió evaluar el nivel de implementación, riesgo y madurez de los controles sujetos a auditoría. 278
Imagen 6: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió elaborar los histogramas de frecuencia y diagramas radar .................................................. 279
Imagen 7: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió confeccionar los planes de tratamiento de riesgos............................................................... 280
Imagen 8: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió procesar los resultados de la puesta en práctica de los planes de tratamiento de riesgos por
parte de los auditados, enfatizando sustancialmente en las mejoras en el comportamiento de los
controles ........................................................................................................................................... 281
Imagen 9: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió procesar los resultados de la puesta en práctica de los planes de tratamiento de riesgos por
parte de los auditados, enfatizando sustancialmente en las evolución de los niveles de implementación
, efectividad, riesgo y madurez de los controles evaluados. .............................................................. 281
Imagen 10: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió procesar los resultados de la puesta en práctica de los planes de tratamiento de riesgos por
parte de los auditados, enfatizando sustancialmente en las evolución de los controles evaluados a nivel
macro. ............................................................................................................................................... 282
Imagen 11: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió procesar los resultados de la puesta en práctica de los planes de tratamiento de riesgos por
parte de los auditados, enfatizando sustancialmente en las mejoras alcanzadas por la entidad. ......... 282
Imagen 12: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que
permitió procesar el informe ejecutivo de la evaluación de auditoría de riesgos. .............................. 283
18
ÍNDICE DE ANEXOS
Anexo Nº 1: Programa de Auditoría ................................................................................................. 208
Anexo Nº 2: Fase Nº 1: Conociendo el Proceso a Auditar ................................................................ 212
Anexo Nº 3: Fase Nº 2: Identificación de Riesgos ............................................................................ 220
Anexo Nº 4: Fase Nº3: Análisis de Riesgos ...................................................................................... 231
Anexo Nº 5: Fase Nº 4: Evaluación de Riesgos ................................................................................ 236
Anexo Nº 6: Fase Nº 5: Plan de Tratamiento de Riesgos .................................................................. 242
Anexo Nº 7: Fase Nº 6: Supervisión y Monitoreo ............................................................................. 246
Anexo Nº 8: Fase Nº 7: Comunicación y Consulta ........................................................................... 272
Anexo Nº 9: Fase 8: Estado Situacional de las Recomendaciones de Auditorías de Riesgos ............ 275
Anexo Nº 10: Herramienta Automatizada Creada por el Investigador para la Realización de la
Auditoría de Riesgos ......................................................................................................................... 276
Anexo Nº 11: Definición de Términos ....................................................................................... 284-284
19
INTRODUCCIÓN
(CETICOS), cuyo objetivo es: “Determinar si la Auditoría de Riesgos eficaz facilita la Gestión
La Auditoría de Riesgos se constituye en una herramienta que genera valor y mejora continua
a las Organizaciones Actuales, sean estas públicas y privadas alertan a los Ejecutivos, Gerentes
industriales, ambientales, entre otros que pudieran poner en peligro la continuidad del negocio,
con la finalidad de que los actores organizacionales instauren los planes de tratamiento de
necesarios para una adecuada investigación, en el marco de las normas de la Escuela de Post
Para llegar a contrastar los objetivos y las hipótesis planteadas, se ha desarrollado el trabajo de
Variables.
20
En el Capítulo II se muestra el Marco Teórico que comprende: Teorías Generales relacionadas
con el Tema, Bases Teóricas especializadas sobre el tema, Marco Conceptual y finalmente la
Hipótesis.
En el Capítulo III se expone el Método que abarca: Tipo, Diseño de Investigación, Estrategia
21
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA
1.1 Antecedentes
Ponce de León. “En este trabajo el autor propone una metodología de análisis de
perspectiva: “Me parece muy interesante la existencia de una auditoria de riesgos que le
permita al Auditor y Ejecutivo conocer, evaluar y mitigar los posibles riesgos sociales
y metalmecánico”, presentado por: Ana Patricia Pérez Carrero el 2 de Junio del 2005 para
trabajo la autora dio a conocer de manera más tangible la importancia que tiene la
22
rotundamente con el Autor: “Hoy en día es de vital importancia que los auditores expertos
colectividad de los daños y perjuicios que podrían causar los despidos arbitrarios, los
accidentes laborales, las enfermedades que sufran los colaboradores o los posibles daños
ambiente”.
21 de Junio del 2005 para optar por el Grado de Magister en Ingeniería Industrial Área
Asset Liability Management para controlar tanto los riesgos financieros, como los
datos de entrada, los resultados de los modelajes de las series financieras implicadas,
Valor en Riesgo (VaR) y el Valor Condicional en Riesgo (CVaR) como una medida
del riesgo que afronta la organización y para la construcción de una frontera eficiente
que le permita a ésta determinar qué tan asertiva está siendo al decidir qué nivel de
esta investigación es que no todas las empresas actuales dentro de sus planes estratégicos
están considerando el apetito del riesgo, es decir el riesgo que están dispuestos a asumir
23
consecución de sus objetivos misionales y es allí en donde los auditores y consultores con
gubernamental.
1.2.1 Descripción
1.2.1.1 Síntomas
24
La Gerencia no ha instaurado un sistema de control interno que ayude a
de comercio exterior.
los trabajadores, así como de preservar el medio ambiente dentro del cual
25
Guantes de Algodón y Borceguíes. Su integridad física se encuentra expuesta
De las dos garitas contra incendios que se encuentran instaladas en las Oficinas
sellada e inoperativa.
Los usuarios del Ceticos Paita no están llevando un adecuado control de los
26
Se evidenció que la entidad no contaba con planes de contingencia informática,
Los usuarios no contaban con políticas para el adecuado manejo de los recursos
las tecnologías debe de ser única y exclusivamente para labores del negocio.
1.2.1.2 Causas
1.2.1.3 Pronósticos
27
La entidad no podrá cumplir a futuro con la Misión del Negocio la cual es la
regional.
Las acciones por las cuales es posible anticiparse y controlar las situaciones
PROBLEMA GENERAL
PROBLEMAS ESPECÍFICOS
28
efectividad, riesgo y madurez del sistema de control interno
Información?
1.3 Objetivos
29
Determinar el Estado Situacional de las Recomendaciones formuladas por el Órgano
1.4 Justificación
metodología adecuada.
gubernamental.
30
ambiente, la seguridad industrial, la seguridad de la información y sobre todo contra
Este trabajo es una contribución adicional que garantiza una gestión gubernamental
1.5.1 Alcance
La meta que se pretende lograr con este trabajo es la de demostrar que actualmente
31
1.5.2 Limitaciones
mejora continua en todos y cada uno de los procesos y controles instaurados en las
Organizaciones. Así mismo este tipo de examen alerta a la Empresa ante futuros
32
Información y Comunicaciones, d) Sistema de Gestión de Seguridad de la
Interna y Externa.
33
CAPÍTULO II: MARCO TEÓRICO
1932 la Bolsa de Valores de Nueva York estableció como requisito para cotizar
34
Estándar COSO, posteriormente el Estándar SOX y finalmente nos encontramos con
el Estándar ISO 31010. Que son buenas prácticas en Auditoría para controlar a las
empresas que cotizan en bolsa, mejorar sus controles internos y para alertar a los
Luis Couto Lorenzo en su libro: Auditoría del Sistema APPCC: Como verificar los
agregado”.
Un aspecto vital que me gustaría agregar es que desde mi perspectiva ahora las
35
específicos que los resultados de sus evaluaciones ayudaran a la gestión
El Equipo Vértice en su Obra: Auditor PRL. (2010). Refiere: Toda Auditoría tiene
una metodología claramente marcada y definida y sus fases son las siguientes: “Fase
cotejar una fase en donde llevamos a cabo una autoevaluación de nuestra Auditoría,
Esencial para la Auditoría Interna. (2011). Refiere: “Los Auditores internos de las
empresas deben de sentirse orgullosos del trabajo que realizan en las empresas
36
el Auditor educa a su cliente aconsejándole sobre la importancia de gestionar
nociones elementales:
Azar de riesgo: Una fuente de daño potencial o una situación con potencial para
causar pérdidas.
37
Consecuencia: El producto de un evento expresado cualitativa o cuantitativamente,
sea este una pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de
de riesgo.
Probabilidad.
cómo.
Administración de riesgos.
38
Interesados: Aquella gente y organizaciones que pueden afectar, ser afectados por,
parte de ella, sea o no incorporada, pública o privada, que tiene sus propias
funciones y administración.
cierto.
frecuencia.
consecuencias, o ambas.
del riesgo.
39
Riesgo: La posibilidad de que suceda algo que tendrá un impacto sobre los
riesgos también se puede referir a cambiar un riesgo físico, o parte el mismo a otro
sitio.
tratar el riesgo.
evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad,
Autor pero debo de agregar algo más a su exposición magistral en su Obra y es que
40
2.1.7 Control Interno bajo el Enfoque COSO ERM
Refiere: “En el Año 2004 nace un nuevo enfoque de Control Interno denominado
procesos críticos de una manera más eficiente y ordenada, debido a que se les obliga
los riesgos que ponen en peligro al negocio acompañados de los controles que
41
de información seguro y confiable. Un sistema de Información, no obstante las
necesario conocer: Cuales son los elementos que componen el sistema, Cuales
cuales son las medidas que deberían de adoptarse para conocer, prevenir,
información intangibles”.
siguientes:
comunicacional”. (2010). Refiere: “El principal objetivo que tiene todo plan de
organización. Sin embargo dado que los potenciales conflictos son ciertos y en
primero identificar los principales riesgos, para luego agruparlos por categorías
42
Autor y afirmo que el Auditor dentro de su trabajo al evaluar procesos y controles
del negocio y generar planes de tratamiento de riesgo para mitigar dichos eventos”.
riesgos potenciales, elaborar una base de datos de esos riesgos potenciales y los
esta definición y concluir que la auditoria de riesgos es una investigación social que
negocio para ser comunicados finalmente a nuestro cliente. Entre estas opciones
hay que diferenciar a las que pueden afectar al corto plazo la operatividad del
negocio”.
agregar algo más a partir de esta definición y concluir que nos encontramos con
43
Externa ante situaciones de Crisis. (2007). Refiere: “La Auditoría de Riesgos suele
esta definición y concluir que nos encontramos con una auditoría que aparte de
negativo a la organización”.
ISO 31010, ISO 31,000:2009 y Estándar Australiano 4360:2004, por tanto sus
nuestros clientes”.
44
Procedimiento de Calidad Inta PG 22.
de la Actividad de Talleres”.
Privada.
Paita.
la definición estratégica hasta las actividades del día a día, diseñado para
investigador me gustaría agregar a esta definición que toda empresa para llegar a
45
administrado eficientemente por toda la organización para arribar al objetivo
apetito de riesgo.
que tengan un especial cuidado y consideración hacia los riesgos relativos a las
con el autor y al mismo tiempo concluyo que con esta tendencia la organización
46
2.3 Marco Conceptual
Dentro del marco Teórico de mi investigación científica se han considerado a los siguientes
los procesos críticos del negocio de manera integral con la finalidad de reportar
cabo una evaluación integral del negocio con la finalidad de alertar al ejecutivo de
47
2.3.2 Metodología de la Auditoría Interna Basada en la Administración de Riesgos
AUDITORÍA DE RIESGOS
Conocer el Negocio.
los auditados.
negocio.
Riesgos.
48
A continuación explicaré las Fases de esta Auditoría de Riesgos:
van a ser sujetos a examen con la ayuda de diagramas de proceso bajo el enfoque de
organizacionales.
Organización.
Luego de Conocer el Negocio y los procesos críticos del mismo el auditor elabora
31010.
49
Calificados los Controles y Riesgos se procede a llevar a cabo la interpretación de
instaurados por los auditados y determina el estado situacional de los riesgos que va
Finalmente el Auditor debe de llevar a cabo una Autoevaluación del impacto que ha
50
“Dichos planteamientos serán utilizados en el trabajo de investigación con la
finalidad de conocer los procesos críticos del negocio que serán auditables en mi
correctivos instaurados por los ejecutivos para finalmente llegar a concluir cual ha
Riesgos dentro del Ceticos Paita. Con estos pasos habremos cubierto las fase de
investigación.
Gobierno Regional de Piura, de acuerdo a la Ley 29014, que tiene personería jurídica
Financiera y Operativa.
51
La finalidad de CETICOS PAITA, es generar polos de desarrollo a través del
regional.
52
2.3.4 Indicadores para evaluar nivel de cumplimiento y efectividad del CETICOS
53
2.3.4.1.3 Directiva Nº 001-2008 “Directiva de Control de Ingreso y Salida
Solicitud de Traslado.
Documento de Embarque.
Factura Comercial.
Manifiesto de Carga.
Solicitud de Traslado.
Documento de Embarque.
Factura Comercial.
Manifiesto de Carga.
54
La Directiva Nº 001-2008 CETICOS PAITA, Aprobada con
de Partes y Piezas”.
Número de DUA.
del Taller.
Declaración de Salida.
55
La Directiva Nº 001-2008 CETICOS PAITA, Aprobada con
REACONDICIONAMIENTO DE VEHICULOS
como Usuario.
56
2.3.4.1.5 Normas de Control Interno Resolución de Contraloría General
320-2006
límites de su autoridad”.
57
2006, en su Capítulo III Literal II NORMA GENERAL PARA LA
consecuencias”.
actividad o tarea”.
58
3.4. Controles sobre el Acceso a los recursos o archivos,
archivos”.
posterior”.
59
desarrollo de acuerdo con los estándares establecidos, facilitar
60
características, necesidades y naturaleza de la entidad. De este
61
mejores prácticas y con el cumplimiento de las normas de
del mismo”.
62
Adiestramiento, c) Como funciona un montacargas, d)
montacargas y g) Mantenimiento”.
observación”.
63
las emergencias, a través de colores, formas, símbolos y
dimensiones.”
Seguridad Privada
y XI manifiesta:
centro de trabajo”.
64
que prestan servicios de seguridad privada en cualquiera de las
psicológicamente”…
65
2.3.4.2 Indicadores Cuantitativos que serán evaluados por la Auditoría de Riesgos
Internas que aplica el Ceticos Paita para el adecuado control del Ingreso y
Talleres
Tabla 2: Indicadores para evaluar las Políticas del Sistema de Gestión de calidad ítem 1 y 2 e Indicadores para Evaluar la Gestión
de Recursos ítem 3.
Nivel de Efectividad
1 Nº de Directivas emitidas para Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Mercancías de las Actividades de Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Almacenes, Industrias y Talleres 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
emitidos para el adecuado control y 100% Extremo. >0 y < =20% = 1 = Inicial.
administración del Ingreso y Salida de Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Mercancías de las Actividades de 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Operaciones. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
66
Tabla 3: Indicadores para evaluar la Gestión de Recursos ítem 4 e Indicadores para evaluar el Ingreso y Salida de mercancías de las
actividades de Almacenes, Industrias y Talleres ítem 5 a 7.
Efectividad
4 Nº de equipos de Protección Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
Personal Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
adquiridos. 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Incumplimiento Alto: >= 0% y < 60%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
5 Nº de Información por Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
regularizar en Operaciones Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
de Importación Definitiva. 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Incumplimiento Alto: >= 0% y < 60%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
6 Nº de tickets de Peso y Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
manifiestos de carga Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
vigentes. 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Incumplimiento Alto: >= 0% y < 60%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
7 Diferencias entre los Cumplimiento: > = 90% y < = 100% Entre 0% y 25% = 4 0% = 0 = No existe.
reportes elaborados por el Incumplimiento: Medio: > = 60% y < Extremo. >0 y < =20% = 1 = Inicial.
Sistema de Gestión contra 90%. > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
los Archivos de Ingresos de Incumplimiento Alto: >= 0% y < 60%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
arribados por el puerto de > 75% = 1 Aceptable. >91% y < =100% Optimizado.
Paita, de la
actividad de Talleres.
67
Tabla 4: Indicadores para evaluar el Ingreso y Salida de mercancías de las actividades de Almacenes, Industrias y Talleres ítem 8 a
11.
Nivel de Efectividad
8 Reportes de salida de Nacionalización Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
de Vehículos que consignen el Valor 100% Extremo. >0 y < =20% = 1 = Inicial.
CIF y Datos del Revisa Nº 2. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
9 Nº de Formatos de Partes y Piezas que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
consignen la fecha, hora y firma de los 100% Extremo. >0 y < =20% = 1 = Inicial.
responsables que intervinieron en el Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
proceso de salida de partes y piezas del 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
10 Nº de levantes Autorizados que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
11 Nº de Órdenes de Salida de Vehículos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
para exportación que carecen de la 100% Extremo. >0 y < =20% = 1 = Inicial.
Firma y Fecha del Taller. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
68
Tabla 5: Indicadores para evaluar el Ingreso y salida de Mercancías de las actividades de Almacenes, Industrias yTtalleres ítem 12 e
Indicadores para evaluar el Control de Usuarios ítem 13, 14 y 15.
Nivel de Efectividad
12 Nº de Formatos de Órdenes de Salida Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
que consignan datos erróneos. 100% Extremo. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
13 Nº de Informes elaborados por el Área Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
avance de las reparaciones realizadas Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
por los almacenes Golden American 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
14 Nº Cables de Teléfono y/o Energía que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
atentan contra la integridad de los 100% Extremo. >0 y < =20% = 1 = Inicial.
colaboradores y usuarios del Ceticos Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Paita. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
15 Nº de Industrias usuarias del Ceticos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Paita que vienen cometiendo atentados 100% Extremo. >0 y < =20% = 1 = Inicial.
contra el medio ambiente. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
69
Tabla 6: Indicadores para evaluar los Controles de Soporte ítem 16 a 19.
Nivel de Efectividad
16 Nº de documentos pendientes y por Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
aspectos de aforo previo realizados por Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
la Empresa Golden American 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
17 Autorización por escrito para manejar Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
18 N° de Reparaciones Técnicas que ha Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Montacarga con las cuales cuenta el 100% Extremo. >0 y < =20% = 1 = Inicial.
Técnico Administrativo III. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
70
Tabla 7: indicadores para evaluar los Controles de Soporte ítem 20, los controles de Análisis y Evaluación ítem 21 y los controles de
Mejora Continua ítem 23.
Nivel de Efectividad
Funciones por parte del Técnico 100% Extremo. >0 y < =20% = 1 = Inicial.
Administrativo III que opera el Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
Montacarga del Ceticos Paita. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
21 Diferencias entre información que Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Sustentatoria del archivo de la Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
actividad de Almacenes. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
22 Implementación del Módulo: Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Impuestos Generados por Importación 100% Extremo. >0 y < =20% = 1 = Inicial.
Definitiva. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
23 Nº de campos Obligatorios que debe de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
consignar el sistema de gestión del 100% Extremo. >0 y < =20% = 1 = Inicial.
Ceticos Paita para el adecuado control Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
del Ingreso y Salida de Mercancías de 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
71
Tabla 8: Indicadores para evaluar los Controles de Mejora Continua ítem 24 a 27.
Nivel de Efectividad
24 Nº de campos Obligatorios que debe de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
consignar el sistema de gestión del 100% Extremo. >0 y < =20% = 1 = Inicial.
Ceticos Paita para el adecuado control Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
del Ingreso y Salida de Mercancías de 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
25 Nº de campos Obligatorios que debe de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
consignar el sistema de gestión del 100% Extremo. >0 y < =20% = 1 = Inicial.
Ceticos Paita para el adecuado control Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
del Ingreso y Salida de Mercancías de 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
26 Nº de Actualizaciones de las actas de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Implementados dentro del Sistema de 100% Extremo. >0 y < =20% = 1 = Inicial.
Gestión de la entidad para controlar y Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
administrar adecuadamente el ingreso 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
72
Tabla 9: Indicadores para evaluar los controles de mejora continua ítem 28 a 31.
Nivel de Efectividad
28 Nº de actualizaciones dentro del Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
monitorea el trabajo y operatividad del Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
montacarga. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
29 Nª de señales de seguridad instauradas Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
30 Nº de empresas usuarias del Ceticos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
31 Nº de deficiencias encontradas por Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
parte de la empresa seguridad omega 100% Extremo. >0 y < =20% = 1 = Inicial.
que brinda servicios de protección y Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
seguridad al Ceticos Paita. 60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
73
Tabla 10: Indicadores para evaluar los controles de mejora continua ítem 32.
Nivel de Efectividad
32 Personas que habitan en los Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
oxidación. Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Tabla 11: Criterios Cuantitativos establecidos en el Estándar de Gestión de Riesgos ISO 31000 e ISO
31010:2009.
metas previstas.
74
Cumplimiento: Significa que el elemento analizado muestra un grado de
1 Aceptable El Ceticos Paita dentro de las actividades de almacenes, talleres e industrias Interno
posee controles que mitigan a un nivel de riesgo. Si hay deficiencias, éstas son de
naturaleza menor y pueden ser fácilmente administradas.
75
Tabla 15: Descripción de los niveles de madurez.
0= No existe
Carencia total de cualquier proceso reconocible. La organización no ha reconocido siquiera
que hay un asunto que atender.
1= Inicial
Hay evidencia de que la organización ha reconocido que existe una situación a ser atendida. No
hay, sin embargo, procesos estandarizados sino enfoques ad hoc que tienden a ser aplicados en
casos individuales.
2= Repetible
Hay un alto grado de confianza en el conocimiento de un individuo y por lo tanto la
posibilidad de errores.
3= Definido
Se han estandarizado y documentado procedimientos y comunicado a través de entrenamiento.
Sin embargo no se realizan procesos de autoevaluación, y es probable que las desviaciones no
sean detectadas.
4= Administrado
Es posible monitorear y medir el cumplimiento con procedimientos y tomar acción donde los
procesos parecen no estar funcionando efectivamente. Los procesos se encuentran bajo mejora
constante y proporcionan una buena práctica. Automatización y herramientas se utilizan en
forma limitada y fragmentada.
5= Optimizado
Los procesos han sido refinados a un nivel de mejores prácticas, basados en los resultados de
mejoras continuas y modelos de madurez con otras organizaciones. TI es utilizada en una forma
integrada para automatizar el flujo de trabajo, proporcionando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte rápidamente.
EVALUACION
A nivel Micro el Proceso A Posee un control uno (C1) que tiene un nivel de
76
posee un nivel de madurez de 0 No existe, es decir dicho proceso opera en
condiciones inaceptables.
A nivel Micro el Proceso B Posee un control dos (C2) que tiene un nivel de
77
Así mismo en el Siguiente diagrama radar reflejo a que nivel de riesgo mitigan
N RIESGO
N MADUREZ
evaluaciones pertinentes.
78
2.3.5 Gestión Gubernamental
79
controles para proteger los recursos y activos de
la implementación de recomendaciones
80
organizaciones, definen la metodología que van a
81
gestión integral de riesgos consiste en como la
82
estos”. Al respecto llego a concluir que: “Las
oportuna a
83
los niveles directivos, así como a los interesados
84
organización, auditores internos y auditores
organización”.
85
2.3.5.1.2 Indicadores Cuantitativos
del sistema de control interno del Ceticos Paita, los cuales traigo
Tabla 17: Indicadores para evaluar la Filosofía de la Dirección, la Integridad y Valores Éticos y la Administración Estratégica.
Nivel de Efectividad
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
2 Integridad y Valores Éticos. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
86
Tabla 18: Indicadores para evaluar la Estructura Organizacional, la Administración de Recursos Humanos, la Competencia
Profesional, la Asignación de Autoridad y Responsabilidad.
Nivel de Efectividad
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
5 Administración de los Recursos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Nº de Controles a evaluar: 5 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Nº de Controles a evaluar: 3 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
87
Tabla 19: Indicadores para evaluar el Órgano de Control Institucional, el Planeamiento de la Administración de riesgos, la
Identificación de riesgos y la Valoración de riesgos.
Nivel de Efectividad
8 Órgano de Control Institucional. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Nº de Controles a evaluar: 4 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
88
Tabla 20: Indicadores para evaluar la Respuesta al Riesgo, los Procedimientos de Autorización y Aprobación, la Segregación de
Funciones y la Evaluación Costo Beneficio.
Nivel de Efectividad
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Nº de Controles a evaluar: 2 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
15 Evaluación Costo Beneficio. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
89
Tabla 21: Indicadores para evaluar los Controles sobre el Acceso a Recursos y Archivos, las Verificaciones y Conciliaciones, las
Evaluaciones de Desempeño y las Rendiciones de Cuentas.
Nivel de Efectividad
16 Controles sobre el acceso a los Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Nº de Controles a evaluar: 5 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
90
Tabla 22: Indicadores para evaluar la Documentación de Procesos, Actividades y Tareas, la Revisión de Procesos Actividades y
Tareas, los Controles para las Tecnologías de Información y Comunicaciones y las Funciones y características de la Información.
Nivel de Efectividad
Nº de Controles a evaluar: 2 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
21 Revisión de Procesos Actividades y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Nº de Controles a evaluar: 2 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
22 Control para las Tecnologías de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 0% = 0 = No existe.
Nº de Controles a evaluar: 12 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Nº de Controles a evaluar: 2 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
91
Tabla 23: Indicadores para evaluar la Información y la Responsabilidad, la Calidad y Suficiencia de la Información, los Sistemas de
Información y la Flexibilidad al Cambio.
Nivel de Efectividad
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Nº de Controles a evaluar: 2 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
92
Tabla 24: Indicadores para evaluar el Archivo Institucional, la Comunicación Interna, la Comunicación Externa y los Canales de
Comunicación.
Nivel de Efectividad
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
93
Tabla 25: Indicadores para evaluar las Actividades de Prevención y Monitoreo, Seguimiento de Resultados y los Compromisos de
Mejoramiento.
Nivel de Efectividad
Nº de Controles a evaluar: 2 Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
Incumplimiento: Medio: > = > 25% y < 50% = 3 Alto. >20% y <40% = 2 = Repetible.
60% y < 90%. > 50% y < 75% = 2 >40% y <60% = 3= Definido.
continuación se detallan:
Tabla 26: Criterios Cuantitativos para evaluar el Control Interno Organizacional en función al Estándar
ISO31000 e ISO 31010: 2009.
94
Incumplimiento Alto: Significa que el elemento muestra un limitado
metas previstas.
Tabla 27: Obtención del resultado del nivel de riesgo para el sistema de control interno organizacional.
Tabla 28: Descripción de los niveles de riesgo para el sistema de control interno organizacional.
1 Aceptable La Estructura de Control Interno posee controles que mitigan a un nivel de riesgo. Si hay
deficiencias, éstas son de naturaleza menor y pueden ser fácilmente administradas.
2 Moderado La Estructura de Control Interno está experimentando una combinación de factores adversos
que requiere acciones correctivas de relativa urgencia. Los problemas están identificados y
requieren preocupación y monitoreo superior a lo normal.
3 Alto La Estructura de Control Interno opera en condiciones inaceptables en cuanto al riesgo que
asumen. Está presente una gran probabilidad de falla operacional y/o información financiera
pero las debilidades no son tan severas como para comprometer una inmediata falla del área de
sistemas informáticos. Es necesario que se promueva acciones correctivas de urgencia.
95
Tabla 29: Obtención del resultado del nivel de madurez del sistema de control interno organizacional.
Tabla 30: Descripción de los niveles de madurez del sistema de control interno organizacional.
0= No existe
Carencia total de cualquier proceso reconocible. La organización no ha reconocido siquiera que hay un
asunto que atender.
1= Inicial
Hay evidencia de que la organización ha reconocido que existe una situación a ser atendida. No hay, sin
embargo, procesos estandarizados sino enfoques ad hoc que tienden a ser aplicados en casos individuales.
2= Repetible
Hay un alto grado de confianza en el conocimiento de un individuo y por lo tanto la posibilidad de errores.
3= Definido
Se han estandarizado y documentado procedimientos y comunicado a través de entrenamiento. Sin
embargo no se realizan procesos de autoevaluación, y es probable que las desviaciones no sean detectadas.
4= Administrado
Es posible monitorear y medir el cumplimiento con procedimientos y tomar acción donde los procesos
parecen no estar funcionando efectivamente. Los procesos se encuentran bajo mejora constante y
proporcionan una buena práctica. Automatización y herramientas se utilizan en forma limitada y
fragmentada.
5= Optimizado
Los procesos han sido refinados a un nivel de mejores prácticas, basados en los resultados de mejoras
continuas y modelos de madurez con otras organizaciones. TI es utilizada en una forma integrada para
automatizar el flujo de trabajo, proporcionando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte rápidamente.
EVALUACION
A nivel Micro el Proceso A Posee un control uno (C1) que tiene un nivel de
96
Incumplimiento Alto, este control mitiga a un nivel de Riesgo 4 Extremo y
condiciones inaceptables.
A nivel Micro el Proceso B Posee un control dos (C2) que tiene un nivel de
Así mismo en el Siguiente diagrama radar reflejo a que nivel de riesgo mitigan
97
Gráfico Nº 4: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 2.
N RIESGO
N MADUREZ
evaluaciones pertinentes.
98
2.3.6 Seguridad de la Información
al mismo tiempo afirmo: “Que hoy en día las empresas manejan innumerables activos
99
almacenar en los equipos asignados archivos no
bajo su responsabilidad”.
10
0
2.3.6.1.2 Indicadores Cuantitativos
Tabla 32: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de la Información ítem 1 a 4.
de Efectividad
1 Alcance y Limites del Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
SGSI. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
2 Política SGSI. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
3 Enfoque de evaluación de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
4 Identificación, Análisis y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Evaluación de Riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
10
1
Tabla 33: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de la Información
ítem 5 a 8.
de Efectividad
Evaluación para el plan de 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
tratamiento de riesgos. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
6 Objetivos y Controles para Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
el Plan de Tratamiento de 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
riesgos. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
7 Aprobación de Gerencia Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
General para asumir el 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Riesgo Residual. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
8 Autorización de Gerencia Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
para implementar y 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
aprobar el Sistema de Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
Gestión de Seguridad de la y < 90%. > 75% = 1 Aceptable >40% y <60% = 3= Definido.
100
Tabla 34: Indicadores para evaluar el nivel de establecimiento del Sistema de Gestión de Seguridad de la Información ítem 9 e
Indicadores para evaluar el nivel de implementación del Sistema de Gestión de Seguridad de la Información ítem 10 a 13.
de Efectividad
Aplicabilidad. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
10 Formulación del Plan de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Tratamiento de riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
11 Implementación del Plan Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
de Tratamiento de Riesgos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
Controles. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
13 Medición de efectividad de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
los controles. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
101
Tabla 35: Indicadores para evaluar el nivel de implementación del Sistema de Gestión de Seguridad de la Información ítem 14 a 15
e indicadores para evaluar el proceso de supervisión y monitoreo al Sistema de Gestión de Seguridad de la Información ítem 16 a 18.
de Efectividad
capacitación. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
15 Operaciones y recursos. Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
calendarización para 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
acciones de prevención y Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
17 Adecuado Uso de Recursos Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Informáticos. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
18 Adecuado uso de correo Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
corporativo institucional. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
102
Tabla 36: Indicadores para evaluar el proceso de supervisión y monitoreo al Sistema de Gestión de Seguridad de la Información
ítem 19 e Indicadores para evaluar el proceso de mejora continua al Sistema de Gestión de seguridad de la Información ítem 20.
de Efectividad
19 Evaluaciones al Sistema de Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Gestión de Seguridad de la 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Información. Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
20 Acciones Correctivas y Cumplimiento: > = 90% y < = Entre 0% y 25% = 4 Extremo. 0% = 0 = No existe.
Preventivas. 100% > 25% y < 50% = 3 Alto. >0 y < =20% = 1 = Inicial.
Incumplimiento: Medio: > = 60% > 50% y < 75% = 2 Moderado. >20% y <40% = 2 = Repetible.
Tabla 37: Criterios cuantitativos para evaluar el Sistema de Gestión de Seguridad de la Información en
función al estándar ISO 31000 e ISO 31010: 2009.
103
Incumplimiento Mediano: Significa que el elemento analizado muestra un
metas previstas.
Tabla 38: Obtención del resultado del nivel de riesgo para el sistema de gestión de seguridad de la
información.
Tabla 39: Descripción de los niveles de riesgo para el sistema de gestión de seguridad de la información.
1 Aceptable El Sistema de Gestión de Seguridad de la Información del Ceticos Paita posee controles que
mitigan a un nivel de riesgo. Si hay deficiencias, éstas son de naturaleza menor y pueden ser
fácilmente administradas.
2 Moderado El Sistema de Gestión de Seguridad de la Información está experimentando una combinación
de factores adversos que requiere acciones correctivas de relativa urgencia. Los problemas están
identificados y requieren preocupación y monitoreo superior a lo normal.
Tabla 40: Obtención del resultado del nivel de madurez para el sistema de gestión de seguridad de la información.
104
Tabla 41: Descripción de los niveles de madurez para el sistema de gestión de seguridad de la información.
0= No existe
Carencia total de cualquier proceso reconocible. La organización no ha reconocido siquiera que hay un
asunto que atender.
1= Inicial
Hay evidencia de que la organización ha reconocido que existe una situación a ser atendida. No hay, sin
embargo, procesos estandarizados sino enfoques ad hoc que tienden a ser aplicados en casos individuales.
2= Repetible
Hay un alto grado de confianza en el conocimiento de un individuo y por lo tanto la posibilidad de errores.
3= Definido
Se han estandarizado y documentado procedimientos y comunicado a través de entrenamiento. Sin
embargo no se realizan procesos de autoevaluación, y es probable que las desviaciones no sean detectadas.
4= Administrado
Es posible monitorear y medir el cumplimiento con procedimientos y tomar acción donde los procesos
parecen no estar funcionando efectivamente. Los procesos se encuentran bajo mejora constante y
proporcionan una buena práctica. Automatización y herramientas se utilizan en forma limitada y
fragmentada.
5= Optimizado
Los procesos han sido refinados a un nivel de mejores prácticas, basados en los resultados de mejoras
continuas y modelos de madurez con otras organizaciones. TI es utilizada en una forma integrada para
automatizar el flujo de trabajo, proporcionando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte rápidamente.
EVALUACION
A nivel Micro el Proceso A Posee un control uno (C1) que tiene un nivel de
en condiciones aceptables.
105
A nivel Micro el Proceso B Posee un control dos (C2) que tiene un nivel de
Así mismo en el Siguiente diagrama radar reflejo a que nivel de riesgo mitigan
106
Gráfico Nº 6: Nivel de riesgo y madurez de los controles evaluados Modelo Nº 3.
N RIESGO
N MADUREZ
evaluaciones pertinentes.
Gestión Gubernamental.
107
Tabla 43: Indicadores cuantitativos para determinar el nivel de atención de parte de la Gerencia
general en atender Recomendaciones de Auditoría Interna.
108
2.4 Hipótesis
HIPÓTESIS GENERAL
Paita.
HIPÓTESIS SECUNDARIAS
integral de riesgos.
109
CAPÍTULO III: MÉTODO
3.1 Tipo
Esta investigación será del tipo experimental, en donde demostraré que la Auditoria de
Riesgos eficaz facilita la Gestión Gubernamental del Ceticos Paita. El Objetivo de esta
RG1 X 01
RG2 - 02
Seguridad de la Información.
RG2= Diagnóstico de los Procesos Críticos del Negocio, Sistema de Control Interno y de
110
X= Auditoría de Riesgos / Variable Independiente.
Los resultados de este experimento, una vez instauradas las recomendaciones sugeridas
Sistema de Control Interno y demás sistemas internos, serán comparadas con el Grupo de
la variable independiente.
3.4 Variables
111
Z= Centro de Exportación, Transformación, Industria, Comercio y Servicios
X1. Aplicación de la Auditoria de Riesgos al Ceticos Paita. Nivel de Cumplimiento y Efectividad de parte de la Entidad del Inta Pg 22 y
Directiva 002-2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y
Salida de Mercancías para Almacenes de Ceticos Paita”
X1-Y2-Z
Variable Dependiente: Y.1. Adecuada Administración y Control del Sistema de Nivel de Efectividad, Implementación y Niveles de Riesgo y Madurez del Sistema X1-Y3-Z
3.5 Población
La población según el Sistema Nacional de Control está conformada por tres (3) Ceticos
3.6 Muestra
decir, esta muestra que abarca a el Ceticos Paita que representa a todas los Centros de
112
Exportación, Transformación, Industria, Comercio y Servicios Generales que tienen
siguientes criterios:
debida ya que recibe transferencias del gobierno central que deben de ser manejados de
113
frecuencia, diagramas de radar, Planes de tratamiento de riesgos e Informes
Ejecutivos que me sirvieron para validar mis hipótesis así mismo cada objetivo
de Riesgos.
114
Evaluación de Riesgos: El Proceso de Ingreso y Salida de Mercancías de la
PT 5).
del Plan de Tratamiento de Riesgos por parte del Gerente General y su Grupo
115
INFORME DE AUDITORÍA DE RIESGOS A LAS ACTIVIDADES DE
I. INTRODUCCIÓN
a) Objetivos Generales:
b) Objetivos Específicos:
116
b.2 Comentar el Impacto que ha generado la Evaluación
3. ALCANCE
Ceticos Paita.
4. METODOLOGÍA
5. BASE LEGAL
Paita.
General 320-2006.
117
• Norma Técnica Peruana 399.010-1-2004.
- Perú.
6. COMENTARIOS
Ceticos Paita.
118
En promedio los 32 Controles que se encuentran dentro de los
7. RIESGOS / OBSERVACIONES
119
Tabla 47: Riesgos evidenciados del Nº1 al Nº4, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Correctiva
Riesgo
PROCESO DE EVALUACIÓN
1 La Entidad no ha instaurado Directivas para 0% 0% 4 0 Norma de Control Interno Instaurar Directivas. Proceder a la Atendido.
Tareas.
PROCESO DE IMPLEMENTACIÓN
3 No Se provee Entrenamiento y capacitación al 10% 15% 4 1 Norma de Control Interno Incrementar el nivel de Proceder a Atendido.
4 No Se provee Apoyo Logístico al personal de 0% 10% 4 1 Reglamento de Seguridad y Proporcionar los Proceder a la Atendido.
Protección
Personal.
120
Tabla 48: Riesgos Evidenciados del Nº 5 al Nº 11 vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Riesgo
Control Evaluado: Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias.
5 No Se lleva un adecuado control de las 39% 40% 3 2 Inta Pg. 22. Mejorar Fortalecer los Mitigados.
Simplificada.
6 No Se lleva un adecuado Control de Ingreso de 60% 60% 2 3 Mejorar Fortalecer los Mitigados.
7 No Se efectúan Conciliaciones y Verificaciones 55% 55% 2 3 Norma de Control Interno 320- Mejorar Fortalecer los Mitigados.
8 No se lleva a cabo un adecuado Control de 60% 60% 2 3 2006-CG. Punto 4.3. Calidad de Mejorar Fortalecer los Mitigados.
salida de vehículos actividad de talleres. (En los Información 4.4 Sist. De Controles. Controles.
VIII Procedimiento12.
VII Procedimiento12.
11 No Se lleva a cabo un adecuado Control de 50% 58% 3 3 Mejorar Fortalecer los Mitigados.
121
Tabla 49: Riesgos evidenciados del Nº 12 al Nº 17, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres
Correctiva Riesgo
Control Evaluado: Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias.
12 No Se lleva a cabo un 50% 58% 3 3 Norma de Control Mejorar Controles. Fortalecer Mitigados.
de Vehículos. Conciliaciones y
Verificaciones.
Directiva 001-2008
CP Capítulo VIII
Procedimiento3.
Infraestructuras.
Literal f).
Paita.
del Aforo Previo que realizan General INTA PG 22, Sustento de Aforo a incorporar
Previo.
de Autoridad y
Responsabilidad.
sobre accesos,
recursos y archivos.
Punto 3.8
Documentación de
procesos actividades y
tareas.
122
Tabla 50: Riesgos evidenciados del Nº 18 al Nº 22, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Correctiva
18 No Se lleva a cabo el Mantenimiento Preventivo de 45% 35% 3 3 Reglamento de Efectuar el Se llevó a Mitigado.
19 La entidad no ha instaurado Regulaciones en 0% 15% 4 0 Norma de Control Instaurar Nuevas Los Mitigado.
y Tareas. montacarga.
El libro de Seguridad
de acuerdo a Estándar
OSHA CFR 29 de la
sección 1910.178, en
su Folio 2 al 37.
20 Hay problemas de Segregación de Funciones, para 0% 16% 4 0 Norma de Control Evitar problemas de Se han Mitigado.
la Operatividad del Montacarga (Una sola persona Interno 320-2006-CG. segregación de designado a
opera el Montacarga y al mismo tiempo hace labores Punto 3.2 Segregación funciones para operar un operador
Reglamento de maneje el
OSHA CFR 29 de la
sección 1910.178, en
21 No Se llevan a cabo Conciliaciones y Validación 38% 39% 3 2 Norma de Control Efectuar Se llevaron a Mitigado.
Conciliaciones. datos.
22 El Sistema de Gestión de la Entidad. No cuenta 34% 35% 3 2 Norma de Control Interno 320-2006- Incorporar Modulo Mitigado.
con un módulo de Impuestos Generados por CG. En su punto 4.4 Sistemas de módulo. incorpora
123
Tabla 51: Riesgos evidenciados del Nº 23 al Nº 28, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Correctiva
23 No Se han Incorporado Controles Automatizados 0% 10% 4 0 Norma de Control Incorporar controles Controles Mitigado.
Información.
24 No Se han Incorporado Controles Automatizados 0% 10% 4 0 Norma de Control Incorporar controles Se Mitigado.
Sistemas de automatizad
Información. os.
25 No Se han Incorporado Controles Automatizados 0% 10% 4 0% Norma de Control Incorporar controles Se Mitigado.
Sistemas de automatizad
Información. os.
26 No Se han Incorporado Controles Automatizados 15% 20% 4 1 Norma de Control Incorporar controles Se Mitigado.
de la Información. os.
Sistemas de automatizad
Información. os.
28 El Reporte Semiautomatizado del control del 50% 55% 3 3 Norma de Control Incorporar controles Se Mitigado.
3.8Documentación de automatizad
y Tareas.
124
Tabla 52: Riesgos evidenciados del Nº 29 al Nº 31, vinculados con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Correctiva
señalización de áreas de riesgo del Ceticos Paita Interno 320-2006-CG. las Zonas de Riesgo. delimitaron y
Valoración de zonas de
Riesgos. riesgo.
NORMA A.130
REQUISITOS D
CAPITULO II
SEÑALIZACIÓN DE
SEGURIDAD
artículo 37º E
SEGURIDAD.
LA NORMA
TECNICA
PERUANA NTP
399.010-1-2004, del
12/02/2004, en su
Punto 3 CAMPO DE
APLICACIÓN,
Párrafo 1.
30 No Se lleva a cabo un control de Protección 10% 60% 4 1 Artículo 11 de la Coordinar con los Se ha Mitigado.
Paita. la entidad.
31 No se monitorea a la Empresa que brinda Servicios 0% 30% 4 0 Decreto Supremo Nº Monitorear a las Se han Mitigado.
Servicios de
Seguridad privada
aprobado el
12/05/1994,
125
Tabla 53: Riesgo evidenciado Nº 32, vinculado con la Evaluación a las Actividades de Almacenes, Industrias y Talleres.
Correctiva
32 No Se lleva a cabo un adecuado Control de 0% 0% 4 0 El Reglamento de Proteger los terrenos. Instauración Mitigado.
Decreto Supremo Nº
013-2006
MINCETUR, del
20/10/2006, en su
TITULO PRIMERO,
DE LAS
DISPOSICIONES
GENERALES,
Artículo Nº 2
Jurisdicción.
PRESENTE INFORME
Gerente General del Ceticos Paita durante los años 2007, 2008,
6 PT 5).
126
9. LOGROS Y RIESGOS EVIDENCIADOS DURANTE LA
LABOR DE AUDITORÍA
LOGROS:
manejar y corregir.
127
9.3 ACTIVIDAD DE INDUSTRIAS EJERCICIO 2010
AUDITOR INTERNO
RIESGOS:
Colaboradores al 100%.
128
10. ACCIONES DE MEJORA Y ESTADO SITUACIONAL DE
Implementada al 100%).
CETICOS PAITA
Evaluados:
129
Al 06 de Abril del 2011, luego de haber implementado en
(Ver Anexo 7 PT 6)
01/01/2007 al 06/04/2011:
130
30% respectivamente, mitigaban a niveles de riesgo 4
6.1.1).
7 PT 6.1.1.1).
131
II CONCLUSIONES
32 Controles que poseen tendencias aceptables nivel de implementación y efectividad del 90%
La Gerencia viene cumpliendo en lo posible con las Normas Internas y de Gobierno para el
Talleres e Industrias.
Al 06/04/2011 los 32 planes de tratamiento de riesgos emitidos por mi persona a partir del
el Ceticos Paita.
Se vienen sancionando a Usuarios que Infringen los controles internos instaurados por la
Entidad.
Se viene trabajando en nuevas regulaciones para controlar los procesos de las actividades de
132
III RECOMENDACIONES
Gobierno para el Adecuado Control del Ingreso y Salida de Mercancías de las Actividades de
Refrendado por;
práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría facilita la Gestión
Generales.
133
3.7.2.2 Con respecto al Objetivo Específico 1: La Auditoría de Riesgos Evalúa el nivel de
Conocimiento del Sistema de Control Interno bajo el Enfoque COSO ERM y los
6.2.1.1.1).
134
INFORME DE AUDITORÍA DE RIESGOS AL SISTEMA DE CONTROL
I. INTRODUCCIÓN
a) Objetivos Generales:
b) Objetivo Específicos:
3. ALCANCE
Paita.
135
4. METODOLOGÍA
5. BASE LEGAL
EXPORTACIÓN, TRANSFORMACIÓN,
INDUSTRIA, COMERCIALIZACIÓN Y
6. COMENTARIOS
136
dicho Sistema y que fueron sujetos a Evaluación por parte
EFECTIVIDAD
y supervisan el Sistema de
Control Interno.
Anexo 4 PT 3.1).
7. RIESGOS / OBSERVACIONES
en la Siguiente Tabla.
137
Tabla 55: Riesgos Evidenciados del Nº 1 AL Nº 10, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
AMBIENTE DE CONTROL
Filosofía de la Dirección.
1 La Dirección no reconoce ni promueve los aportes del 83% 83% 1 4 Norma de Control Elaborar directiva de Se elaboró Atendido.
personal que mejoran el desarrollo de las actividades Interno 320-2006-CG. Incentivos. Directiva.
Dirección.
2 La entidad no cuenta con un código de Ética 40% 40% 3 2 Norma de Control Instaurar Código de Se instauró Código Atendido.
3 La administración no ha difundido la "Ley del Código de 40% 40% 3 2 Valores Éticos. Difundir la ley de Se difundió la Ley Atendido.
4 No se comunican debidamente dentro de la entidad las 40% 40% 3 2 Comunicar las acciones A la fecha se han Atendido.
disciplinarias.
Administración Estratégica.
5 La Dirección no asegura que todas las Áreas, 16% 16% 4 1 Norma de Control Elaborar planes Se formularon los Atendido.
Departamentos formulen, implementen y evalúen Interno 320-2006-CG. Operativos. planes operativos del
actividades concordantes con su plan operativo Punto 1.3 Integridad y Ceticos Paita
6 Los planes estratégicos, operativo y de contingencia no 16% 16% 4 1 Elaborar Plan Se elaboró el Plan Atendido.
documentado. 2022.
7 Todas las unidades orgánicas no evalúan periódicamente 16% 16% 4 1 Evaluar los Planes Se evaluaron los Atendido.
su plan operativo con el fin de conocer los resultados Operativos. planes Operativos
8 La entidad no ha formulado el análisis de la situación con 16% 16% 4 1 Elaborar El Análisis de Se llevó a cabo el Atendido.
Empresa al
31/12/2010.
9 Los resultados de las mediciones efectuadas a los planes 16% 16% 4 1 Evaluar los planes Se evaluaron los Atendido.
operativos en los últimos dos semestres no están dentro operativos en los planes operativos
Estructura Organizacional
10 La estructura organizacional no se ha desarrollado sobre 0% 0% 4 0 Norma de Control Desarrollar una nueva Se cuenta con una Atendido.
la base de la misión, objetivos y actividades de la entidad Interno 320-2006-CG. estructura Est Org. Nueva.
Organizacional.
138
Tabla 56: Riesgos evidenciados del Nº 11 al Nº 20, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
AMBIENTE DE CONTROL
Estructura Organizacional.
11 El Manual de Organización y Funciones (MOF) no 0% 0% 4 0 Norma de Control Elaborar Manual de La entidad ya Atendido.
refleja todas las actividades que se realizan en la entidad Interno 320-2006-CG. Organización y cuenta con MOF.
12 La entidad no cuenta con un Reglamento de Organización 0% 0% 4 0 Organizacional. Elaborar el ROF. Se viene trabajando Atendido.
13 Todas las personas que laboran en la entidad no ocupan 0% 0% 4 0 Elaborar el PAP y CAP. Se elaboró el CAP y Atendido.
14 La Dirección no se asegura de que los trabajadores 0% 0% 4 0 Que la Gerencia divulgue El MOF, ROF Y Atendido.
conozcan los documentos normativos (MOF, ROF, CAP el MOF, ROF Y CAP a CAP han sido
y demás manuales) que regulan las actividades de la los colaboradores del comunicados a los
su conocimiento y
fines.
15 No se han elaborado manuales de procesos con sus 0% 0% 4 0 Elaborar los Manuales Se elaboraron los Atendido.
negocio.
16 La entidad no cuenta con mecanismos, políticas y 0% 0% 4 0 Norma de Control Elaborar directivas para Se elaboraron las Atendido.
procedimientos adecuados para la selección, inducción, Interno 320-2006-CG. los procesos de directivas para los
formación, capacitación, compensación, bienestar social, Punto 1.5 inducción, formación, procesos de
capacitación y
evaluación del
personal.
18 Las unidades orgánicas no cuentan con la cantidad de 0% 0% 4 0 Incorporar personal Se procedió a Atendido.
personal necesaria para el adecuado desarrollo sus clave en los procesos contratar personal
19 La entidad no elabora anualmente un plan de formación 0% 0% 4 0 Elaborar Plan Anual de Se procedió a Atendido.
20 La escala remunerativa no está en relación con el cargo, 0% 0% 4 0 Confeccionar una nueva Se elaboró la escala Atendido.
139
Tabla 57: Riesgos evidenciados del Nº 21 al Nº 24, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
AMBIENTE DE CONTROL
Competencia Profesional.
21 El personal que ocupa cada cargo de trabajo no cuenta 66% 66% 2 4 Norma de Control Personal que no reúne las Se está contratando Atendido.
con las competencias establecidas en el perfil del cargo. Interno 320-2006-CG. competencias a personal
Profesional.
22 La autoridad y responsabilidad del personal no están 0% 0% 4 0 Norma de Control Delimitar la autoridad y Se delimitaron las Atendido.
claramente definidas en los manuales, reglamentos u Interno 320-2006-CG. responsabilidad del funciones en el
23 Estos documentos normativos no son revisados 0% 0% 4 0 Autoridad y Actualizar el MOF, MOF, ROF y MP Atendido.
periódicamente con el fin de ser actualizados o Responsabilidad. ROF y manuales de fueron actualizados.
24 Todo el personal no conoce sus responsabilidades y 0% 0% 4 0 Delimitar las MOF contempla Atendido.
actúa de acuerdo con los niveles de autoridad que le responsabilidades del responsabilidades
140
Tabla 58: Riesgos evidenciados del Nº 25 al Nº 37, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Correctiva Riesgo
EVALUACIÓN DE RIESGOS
25 No Se ha desarrollado un Plan de actividades de 0% 0% 4 0 Norma de Control Elaborar el Manual de El Ceticos Paita a Del Nº 25 al 37
identificación, análisis o valoración, manejo o respuesta Interno 320-2006- Riesgos Operacionales. la fecha cuenta Atendidos.
26 La Dirección (Directorio, Gerencias y Jefaturas) no ha 0% 0% 4 0 Punto 2.1 Elaborar políticas para la gestión de
organizacionales y
28 La entidad no cuenta y ha puesto en práctica el Plan de 0% 0% 4 0 Poner en práctica el Plan de operacionales del
29 No Están identificados los riesgos significativos por cada 0% 0% 4 0 Norma de Control Identificar Riesgos críticos ocurrencia,
30 No Se han identificado los eventos negativos (riesgos) 0% 0% 4 0 CG. Identificar los eventos impacto así como
que pueden afectar el desarrollo de las actividades Punto 2.2 críticos del Negocio. también los
0% 0% 4 0 Identificación de controles
31 No Se ha participado en la identificación de los riesgos Identificación de riesgos en
Riesgos. encargados de
de las actividades de las diferentes unidades orgánicas o las áreas críticas del
mitigar tales
procesos. Ceticos Paita.
eventos los
32 En la identificación de riesgos no se ha tomado en 0% 0% 4 0 Identificar los riesgos de
mismos que son
consideración aspectos internos (de la entidad) y externos acuerdo a aspectos internos
monitoreados y
(fuera de la entidad) y externos que ocurren en
supervisados por el
el Ceticos Paita.
Comité SGSI del
Valoración de Riesgos
Ceticos Paita,
33 En el desarrollo de las actividades no se ha determinado y 0% 0% 4 0 Norma de Control Cuantificar la posibilidad de
integrado por el
cuantificado la posibilidad de que ocurran los riesgos Interno 320-2006- que ocurran
Gerente General,
identificados (probabilidad de ocurrencia) CG. determinados riesgos en el
personal de
Punto 2.3 negocio.
Tecnologías de
34 En el desarrollo de las actividades no se ha cuantificado el 0% 0% 4 0 Valoración de Cuantificar el efecto que
Información y
efecto que pueden ocasionar los riesgos identificados Riesgos. ocasionarían los riesgos
Funcionarios del
(impacto) identificados en el Ceticos
Ceticos Paita.
Paita.
Colaborando en la
35 Los riesgos, sus probabilidades de ocurrencia, impacto y 0% 0% 4 0 Registrar los riesgos,
labor de Mejora
cuantificación no han sido registrados por escrito probabilidades e impactos
continua en
de los mismos en un
aspectos de
documento de gestión.
Gestión de
Respuesta al Riesgo
Riesgos el Órgano
36 No se han establecido las acciones necesarias (controles) 0% 0% 4 0 Norma de Control Elaborar matrices de
de Control
para afrontar los riesgos evaluados Interno 320-2006- riesgos vs controles.
Institucional.
37 No se han definido lineamientos para efectuar 0% 0% 4 0 CG. Llevar a cabo evaluaciones
seguimiento periódico a los controles desarrollados con Punto 2.4 Respuesta de gestión de riesgos.
141
Tabla 59: Riesgos evidenciados del Nº 38 al Nº46, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo
38 Los procedimientos de autorización y 0% 0% 4 0 Norma de Control Interno Definir los En los Nvos MP se han Atendido.
39 Los procedimientos de autorización y 0% 0% 4 0 Comunicar los negocio los mismos que Atendido.
Segregación de Funciones
40 Las actividades expuestas a riesgos de error o 0% 0% 4 0 Norma de Control Interno Evitar la concentración Se vienen asignando Atendido.
fraude no han sido asignadas a diferentes 320-2006-CG. de funciones en una sola funciones a diferentes
41 No Se efectúa rotación periódica del personal 0% 0% 4 0 Funciones. Llevar a cabo procesos Se viene rotando al Atendido.
Costo Beneficio
42 El costo de los controles establecidos para sus 0% 0% 4 0 Norma de Control Interno Administrar y Gestionar Se vienen elaborando Atendido.
actividades no está de acuerdo a los resultados 320-2006-CG. adecuadamente los Informes Técnicos en
esperados (beneficios). Punto 3.3 Evaluación Costo controles Tecnológicos donde se refleja el nivel
44 No Se han establecido políticas y 40% 40% 3 2 Norma de Control Interno Establecer directivas y/ o Los lineamientos fueron Atendido.
para la utilización y protección de los recursos Punto 3.4 Controles sobre el protección de recursos y MOF y MP.
45 El acceso a los recursos o archivos no queda 40% 40% 3 2 archivos. Evidenciar el acceso a Se cuenta con formatos Atendido.
evidenciado en documentos tales como recursos y archivos con que evidencian el acceso
46 Periódicamente no se comparan los recursos 40% 40% 3 2 Efectuar arqueos y Se llevan a cabo Atendido.
142
Tabla 60: Riesgos evidenciados del Nº 47 al Nº55, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
Verificaciones y Conciliaciones.
47 Las unidades orgánicas periódicamente no llevan a cabo 0% 0% 4 0 Norma de Control Cumplir con las metas Se elaboró el Atendido.
verificaciones sobre la ejecución de los procesos, Interno 320-2006-CG. del Plan estratégico. Informe de
48 Periódicamente no se comparan los resultados con los 0% 0% 4 0 y Conciliaciones. Elaborar Informes de Cuentas 2010 en
registros de los procesos, actividades y tareas utilizando Cumplimiento de Metas- donde se detalla las
las comparaciones
Evaluación de Desempeño.
49 La entidad no cuenta con indicadores de desempeño para 0% 0% 4 0 Norma de Control Elaborar Indicadores de Se cuenta con Atendido.
50 La evaluación de desempeño no se hace con base en los 0% 0% 4 0 Desempeño. Evaluar el desempeño Se viene evaluando Atendido.
51 Los procesos, actividades y tareas de la entidad no se 50% 50% 3 3 Norma de Control Documentar los Los procesos críticos Atendido.
encuentran definidos, establecidos y documentados al Interno 320-2006-CG. principales procesos del fueron
Procesos Actividades y
Tareas.
52 No Se implementan las mejoras propuestas y en caso de 50% 50% 3 3 Norma de Control Efectuar correcciones de Se han Atendido.
detectarse deficiencias se efectúan las correcciones Interno 320-2006-CG. los procesos, actividades implementado
Tareas. salida de
mercancías.
53 La entidad no cuenta con un Plan Operativo Informático. 75% 75% 2 4 Norma de Control Elaborar el Plan Se elaboró el POI Atendido.
54 No Se han definido los controles de acceso general 75% 75% 2 4 para las Tecnologías de Definir controles de Se definieron los Atendido.
(seguridad Física y Lógica de los equipos centrales). Información y seguridad Física y controles de
CP.
55 Los programas informáticos (software) de la entidad no 75% 75% 2 4 Licenciar los Nuevos Se viene trabajando Atendido.
cuentan con licencias y autorizaciones de uso. Programas que usa la con software legales
entidad. y libres.
143
Tabla 61: Riesgos evidenciados del Nº 56 al Nº 64, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
INFORMACIÓN Y COMUNICACIÓN
Información y Responsabilidad.
56 No Se cuenta con políticas y procedimientos que 50% 50% 3 3 Norma de Control Elaborar políticas para el Se encuentran Atendido.
garantizan el adecuado suministro de información para el Interno 320-2006-CG. adecuado suministro de consignadas en el
cumplimiento de sus funciones y responsabilidades. Punto 4.2 Información y información. Nuevo MOF y MP.
Responsabilidad.
57 La información interna y externa que maneja la entidad no 0% 0% 4 0 Norma de Control Procesar Información Se ha reportado Atendido.
es útil, oportuna y confiable en el desarrollo de sus Interno 320-2006-CG. Confiable y Oportuna a Información
58 No se han diseñado, evaluado e implementado 0% 0% 4 0 Norma de Control Elaborar políticas para Las Políticas Se Atendido.
mecanismos para asegurar la calidad y suficiencia de la Interno 320-2006-CG. asegurar la calidad y encuentran
Información.
Sistemas de Información
59 Periódicamente no se solicita a los usuarios opinión sobre 50% 50% 3 3 Norma de Control Solicitar Información a Se lleva a cabo a Atendido.
el sistema de información registrándose los reclamos e Interno 320-2006-CG. los Usuarios Sobre el través de reportes de
inquietudes para priorizar las mejoras. Punto 4.4 Sistemas de Sistema de Gestión del incidencias.
Archivo Institucional
60 La entidad no cuenta con una unidad orgánica que se 33% 33% 3 2 Norma de Control Designar a una persona Se ha designado al Atendido.
Institucional. institucional.
61 La administración de los documentos e información no se 33% 33% 3 2 Elaborar políticas para la Las Políticas Se Atendido.
Comunicación Interna
62 La entidad no ha elaborado y difundido documentos que 0% 0% 4 0 Norma de Control Elaborar una Directiva Reglamento Interno Atendido.
organizacionales
críticos.
64 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Elaborar políticas para la Contenidas en el Atendido.
para la denuncia de actos indebidos por parte del personal. denuncia de actos RIT.
personal.
144
Tabla 62: Riesgos evidenciados del Nº 64 al Nº 71, vinculados con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
INFORMACIÓN Y COMUNICACIÓN
Comunicación Externa
65 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Norma de Control Elaborar directivas para Se viene trabajando Atendido.
adecuados para informar hacia el exterior sobre su gestión Interno 320-2006-CG. la correcta difusión de en el TUPA.
Externa. exterior.
67 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Elaborar directivas para Se viene trabajando Atendido.
Canales de Comunicación
68 No Se ha implementado alguna política que estandarice 0% 0% 4 0 Norma de Control Elaborar políticas para Consignadas en el Atendido.
una comunicación interna y externa, considerándose Interno 320-2006-CG. estandarizar la RIT y Nuevo TUPA.
diversos tipos de comunicación: memorando, paneles Punto 4.9 Canales de comunicación interna y
69 Estos canales de comunicación no permiten que la 0% 0% 4 0 Elaborar políticas para el Se ha elaborado Atendido.
información fluya de manera clara, ordenada y oportuna. adecuado flujo de Directiva para
información. digitalizar la
Información que
maneja la entidad y
comunicar
cualquier evento a
través de correo
institucional.
SUPERVISIÓN Y AUTOEVALUACIÓN
70 Las unidades orgánicas no realizan acciones para conocer 50% 50% 3 3 Norma de Control Las unidades Orgánicas Se vienen Atendido.
oportunamente si los procesos en los que interviene se Interno 320-2006-CG. deberán elaborar elaborando
desarrollan de acuerdo con los procedimientos Punto 5.1 Actividades informes preventivos de informes de acuerdo
CPN, CGR y
SUNAT ADUANAS.
Compromiso y Mejoramiento
71 La entidad no efectúa periódicamente autoevaluaciones 33% 33% 3 2 Norma de Control Llevar a cabo Se elaboró el Atendido.
que le permite proponer planes de mejora que son Interno 320-2006-CG. autoevaluaciones en los Informe de
ejecutados posteriormente. Punto 5.3 Compromiso procesos claves del Autoevaluación del
Interno de la
Entidad.
145
Tabla 63: Riesgo evidenciado Nº 72, vinculado con la evaluación Al Sistema de Control Interno COSO ERM.
Riesgo Correctiva
INFORMACIÓN Y COMUNICACIÓN
Comunicación Externa
72 La entidad no cuenta con mecanismos y procedimientos 0% 0% 4 0 Norma de Control Elaborar directivas para Se viene trabajando Atendido.
adecuados para informar hacia el exterior sobre su gestión Interno 320-2006-CG. la correcta difusión de en el TUPA.
Externa. exterior.
PRESENTE INFORME
LABOR DE AUDITORÍA
LOGROS:
146
de Ceticos Paita el Segundo del Informe de
DE CONTROL INTERNO
147
046-2010-CETICOS PAITA del 09/11/2010, que a
RIESGOS:
148
10.1 INCREMENTAR EL NIVEL DE EFECTIVIDAD E
Implementar.
CETICOS PAITA
30/11/2010:
149
Al 30/11/2010 los Controles poseen un nivel de
150
índices de Incumplimiento Medio ambos del 78.57%,
Anexo 7 PT 6.2.1.1.1)
151
II CONCLUSIONES
Implementación y efectividad del 78.57%, así mismo mitiga a niveles de riesgo 1 Aceptable
El Ceticos Paita viene cumpliendo de manera gradual Las Normas de Control Interno emitidas
El Comité de Control Interno del Ceticos Paita viene realizando reuniones de coordinación
Se reportó una Acción de mejora para mejorar la Gestión Gubernamental del Ceticos Paita.
152
III RECOMENDACIONES
Continuar con la Adecuada Gestión de Riesgos de la Entidad dentro del Sistema de Control
Interno del Ceticos Paita, es decir que sus niveles de implementación y efectividad oscilen entre
60% y 100% y sus niveles de riesgo y madurez posean índices de1 Aceptable y de 4
Administrado, que son los resultados que reflejan un gestión de riesgos ordenada y
transparente.
Continuar con la Adecuada Gestión Gubernamental dentro del Sistema de Control Interno del
Ceticos Paita para ello se deberá de seguir cumpliendo con las Normas del Sistema Nacional
Refrendado por;
práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría Evalúa el nivel de
efectividad, implementación, riesgo y madurez del sistema de control interno de la entidad bajo
Autoevaluación.
153
3.7.2.3 Con respecto al Objetivo Específico Nº 2: La Auditoría de Riesgos Evalúa el nivel
Paita y los controles que le dan soporte a dicho proceso. (Ver Anexo 2 PT 1.1.1).
154
AUDITORÍA DE RIESGOS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE
DEL 2011
I INTRODUCCIÓN
a) Objetivos Generales:
Ceticos Paita.
b) Objetivos Específicos:
del Negocio.
3. ALCANCE
155
Paita. Se evaluaron a todos y cada uno de los colaboradores del
4. METODOLOGÍA
5. BASE LEGAL
Versión 2009.
- Perú.
6. COMENTARIOS
156
6.2 ESTADO SITUACIONAL DE LA ENTIDAD ANTES
Tabla 64: Estado Situacional de la entidad antes de la adopción de medidas correctivas al 01 de Enero del Ejercicio
2011, Vinculada con la evaluación al Sistema de Gestión de Seguridad de la Información.
administran y
supervisan el
Sistema de Gestión
de Seguridad de la
Información.
Anexo 4 PT 4.1.1).
7. RIESGOS / OBSERVACIONES
157
(NM) de los Controles evaluados, El Detalle se refleja en la
Siguiente Tabla.
Tabla 65: Riesgos evidenciados del Nº 1 al Nº 2 Vinculada con la evaluación al Sistema de Gestión de Seguridad de la Información.
1 3 Archivos Indebidos que no deberían de estar en 90% 50% 4 3 Manual de Uso de Recursos Borrar Amonestación Mitigado.
la Data 11 que es de Propiedad del Ceticos Paita y Informáticos del Ceticos Paita Archivos de Verbal.
del Estado Peruano. (17/03/2010 17:10 min). Versión 2009 en su punto 6.1 Data 11.
Informáticos literal f.
2 3 Archivos Indebidos que no deberían de estar en 90% 50% 4 3 Manual de Uso de Recursos Borrar Amonestación Mitigado.
la Data Nº 4, propiedad del Ceticos Paita y del Informáticos del Ceticos Paita archivos Data Verbal.
Estado Peruano, que fueron transferidos por el Versión 2009 en su punto 6.3. Uso de 4.
herramientas de Internet. (18/03/2010 11:25 min). en su punto 3.1 Uso Correcto del
correo electrónico.
PRESENTE INFORME
totalidad.
LABOR DE AUDITORÍA
siguientes logros:
158
9.1 TEST DE PENETRACIÓN: Con fecha 30/03/2011, la
información.
159
Seguridad de la Información ha obtenido 10
160
10.6 Implementar el Firewall Perimetral.
información comercial.
Continuidad de Negocios.
totalidad.
161
En promedio Los Controles poseen un nivel de
del 2011:
162
debían de mitigar 2 riesgos vinculados con el adecuado
PT 6.3.1.1.1).
163
II CONCLUSIONES
implementación y efectividad del 90% respectivamente, así mismo dichos controles mitigan en
que reflejan que dichos sistema se encuentra contribuyendo al logro de los objetivos misionales.
requerimientos establecidos en: Los manuales del Uso adecuado de los recursos informáticos
164
III RECOMENDACIONES
Continuar con la labor de trabajar dentro de la entidad con una Adecuada Gestión de Riesgos
sigan cumpliendo en lo posible y de acuerdo con su capacidad operativa con los requerimientos
establecidos en: Los manuales del Uso adecuado de los recursos informáticos y del correo
electrónico corporativo.
Refrendado por;
práctica la Auditoría de Riesgos Eficaz he demostrado que esta Auditoría Evalúa el nivel de
Información del Ceticos Paita bajo el enfoque de gestión integral de riesgos, generando de esta
colectividad.
165
3.7.2.4 La Auditoría de Riesgos Determina el Estado Situacional de las
Tabla 66: Estado Situacional de las Recomendaciones formuladas en los Informes de Auditoría de Riesgos periodo 2007
al 2011 trabajadas en mi Investigación.
2011, puedo concluir que a la fecha han sido atendidas todas y cada una de las
que ha tenido el Gerente General del Ceticos Paita en Atender las Recomendaciones
166
las mismas que han mejorado Gestión Gubernamental del Ceticos Paita, dentro de las
167
CAPÍTULO IV: PRESENTACIÓN DE RESULTADOS
Los resultados me permiten afirmar que la Auditoría de Riesgos Eficaz si facilita la Gestión
los ejercicios 2007, 2008, 2009 y 2010, la Gestión Gubernamental experimentó las
siguientes mejoras:
Del 2007 al 2011 los 32 Controles evaluados mejoraron su performance, es decir ahora
168
Del 2007 al 2011 surgieron las siguientes 32 mejoras Gubernamentales.
Gerente General del Ceticos Paita: Habilitar un filtro dentro del Sistema de Gestión de
Ceticos Paita al área de Operaciones, para que pueda visualizar a manera de estadísticas
/ reportes a los usuarios que tienen obligaciones pendientes por pagar con Ceticos Paita.
HIPÓTESIS ESPECÍFICA Nº 1
del sistema de control interno de la entidad bajo el enfoque de gestión integral de riesgos.
Efectividad, Riesgo y Madurez del Sistema de Control Interno del Ceticos Paita, Al 30 de
Junio del 2008 dicho sistema operaba en condiciones inaceptables, poseía en promedio un
Indicador de 35.71% Incumplimiento Alto, sus niveles de riesgo y madurez eran altos y
169
indicador en promedio experimentó una variación de 78.57% Incumplimiento Medio, sus
HIPÓTESIS ESPECÍFICA Nº 2
de riesgos.
170
del Ceticos Paita, Al 30 de Marzo del 2010 dicho sistema en promedio poseía un nivel de
mismo tiempo los controles inmersos dentro del sistema de gestión de seguridad de la
General del Ceticos Paita, Dentro de las cuales las más importantes son: Continuar con el
171
de Seguridad de la Información del Ceticos Paita, que elaborará y ejecutará la Empresa
implementadas.
HIPÓTESIS ESPECÍFICA Nº 3
formuladas por el Órgano de Control Interno, con respecto a las evaluaciones efectuadas a
gestión de la seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y
2011.
que a la fecha han sido atendidas todas y cada una de las recomendaciones formuladas por
Gubernamental.
172
VARIABLE
Gestión Gubernamental del Ceticos Paita se tuvo que aplicar toda la metodología de
que son las que monitorean y controlan el Ingreso y Salida de Mercancías del Ceticos
INDICADORES:
Ingreso y Salida de Mercancías para Almacenes de Ceticos Paita” por parte del
173
Nivel de Cumplimiento y Efectividad de parte de la Entidad de la Directiva 001-
Talleres de Ceticos Paita” por parte del Gerente General y su grupo de Colaboradores
ejercicio 2011.
174
A raíz de ese avance las actividades de Almacenes, Industrias y Talleres
Anexo 7 PT 6.1.1.1)
VARIABLE
CONTROL INTERNO
Sistema.
INDICADOR
Al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del Ceticos Paita,
del Ejercicio 2011 el cambio ha sido sorprendente El Sistema de Control Interno del
ordenada y transparente.
175
Evaluación de Riesgos, Actividades de control Gerencia, Información y
2008 y Noviembre del 2010, la primera revisión que fue reportada el 19/12/2008 con
VARIABLE
INDICADOR
176
Al 30 de Marzo del Ejercicio 2010 El Sistema de Gestión de Seguridad de la
Anexo 7 PT 6.3.1.1.1).
VARIABLE
177
INDICADOR
2011, puedo concluir que a la fecha tales recomendaciones han sido atendidas en su
totalidad.
OBJETIVO GENERAL
HIPÓTESIS GENERAL
Ceticos Paita.
RESULTADOS
178
2008/CETICOS PAITA “Directiva de Procedimientos de Ingreso y
Ceticos Paita”.
ejercicio 2011.
de Riesgo y Madurez.
179
aceptable y poseen niveles de madurez administrados , es decir ahora los
que tienen obligaciones pendientes por pagar con Ceticos Paita. Con la
OBJETIVO ESPECÍFICO 1
180
de riesgos.
HIPÓTESIS ESPECÍFICA 1
RESULTADOS
181
de madurez 4 administrado, es decir la gestión gubernamental de la
OBJETIVO ESPECÍFICO 2
integral de riesgos.
HIPÓTESIS ESPECÍFICA 2
182
RESULTADOS
183
controles inmersos dentro del sistema de gestión de seguridad de la
la Información de la entidad.
al Gerente General del Ceticos Paita, Dentro de las cuales las más
OBJETIVO ESPECÍFICO 3
HIPÓTESIS ESPECÍFICA 3
184
La Auditoría de Riesgos Determina el Estado Situacional de las
RESULTADOS
Marzo del 2011, puedo concluir que a la fecha han sido atendidas todas y
Ceticos Paita, prueba de ello es que: Se aplicó la Auditoría de Riesgos en los procesos
185
Industrias y Talleres durante los ejercicios 2007 al 2010 y las mejoras en la Gestión
de Ceticos Paita”.
y madurez del Sistema de Control Interno del Ceticos Paita, prueba de ello es que: Se
186
aplicó la Auditoría de Riesgos Al Sistema de Control Interno de la Entidad durante los
ejercicios 2008 y 2010 y las mejoras en la Gestión Gubernamental fueron las siguientes:
Ejercicio 2011 los 112 controles que se encuentran inmersos dentro del Sistema
ordenada y transparente.
Autoevaluación.
187
Seguridad de la Información de la entidad durante el ejercicio 2011 y las mejoras en la
Ejercicio 2011 los 20 controles evaluados que se encuentran inmersos dentro del
ordenada y transparente.
Información.
Información de la entidad.
Paita, que elaboró y ejecutó la Empresa Network Professional Security Perú SAC.
188
La Auditoria de Riesgos ha Determinado el Estado Situacional de las
de seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011,
concluir que a la fecha han sido atendidas todas y cada una de las recomendaciones
formuladas por mi persona en Calidad de Auditor Interno del Ceticos Paita como
Negocio.
189
CAPÍTULO V: DISCUSIÓN
5.1 Discusión
Para el Ejercicio 2007 dichos controles mitigaban a niveles de Riesgo 4 Extremo y poseían
190
negocio, luego de fortalecer estos controles con los planes de tratamiento de riesgos
formulados por Auditoría Interna e Instaurados por la Gerencia General podemos enfatizar
que para el Ejercicio 2011 tales controles mitigan a niveles de riesgo aceptable y poseen
niveles de madurez administrados , es decir ahora los riesgos son controlados de una
6.1.1).
General del Ceticos Paita: Habilitar un filtro dentro del Sistema de Gestión de Ceticos Paita
al área de Operaciones, para que pueda visualizar a manera de estadísticas / reportes a los
usuarios que tienen obligaciones pendientes por pagar con Ceticos Paita. Con la finalidad
el control tecnológico propuesto por Auditoría Interna, que de alguna manera agiliza las
191
Al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del Ceticos Paita, poseía
Sistema de Control Interno del Ceticos Paita operaba en condiciones inaceptables. Los 112
Controles que se encontraban inmersos dentro del Sistema de Control Interno de la entidad
los procesos críticos del negocio se dependían de personas para solucionar los problemas
Al 06 de Abril del Ejercicio 2011 El Sistema de Control Interno del Ceticos Paita, poseía
Sistema de Control Interno del Ceticos Paita está experimentando una serie de cambios
favorables para la organización. Los 112 Controles que se encontraban inmersos dentro
al mismo tiempo los controles inmersos dentro del sistema de control interno que posee la
192
Actividades de Control Gerencial, Información y Comunicación y Supervisión y
continua. Los 20 Controles evaluados que se encontraban inmersos dentro del Sistema de
Al 06 de Abril del Ejercicio 2011 El Sistema de Control Interno del Ceticos Paita, poseía
193
inmersos dentro del Sistema de Gestión de Seguridad de la Información mitigaban a
ordenando de una manera eficiente y transparente, al mismo tiempo los controles inmersos
dentro del sistema de gestión de seguridad de la información que posee la entidad están en
General del Ceticos Paita, Dentro de las cuales las más importantes son: Continuar con el
194
seguridad de la información, durante los ejercicios 2007, 2008, 2009, 2010 y 2011, y
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del 2011,
puedo concluir que a la fecha han sido atendidas todas y cada una de las recomendaciones
formuladas por mi persona en Calidad de Auditor Interno del Ceticos Paita como
General del Ceticos Paita en Atender las Recomendaciones formuladas en los Informes de
Auditoría de Riesgos, las mismas que han mejorado Gestión Gubernamental del Ceticos
195
5.2 Conclusiones
Conclusión General
Conclusiones Específicas
196
Paita, prueba de ello es que: Se aplicó la Auditoría de Riesgos Al Sistema de
Control Interno de la Entidad durante los ejercicios 2008 y 2010 y las mejoras
Abril del Ejercicio 2011 los 112 controles que se encuentran inmersos
transparente.
197
entidad durante el ejercicio 2011 y las mejoras en la Gestión Gubernamental
transparente.
entidad.
198
industrias, talleres y aspectos de seguridad de la información, durante los
emitidas de Enero del 2007 al 30 de Marzo del 2011, puedo concluir que a la
fecha han sido atendidas todas y cada una de las recomendaciones formuladas
199
5.3 Recomendaciones
Recomendación General
establecer las comparaciones pertinentes medir las metas alcanzadas con las
propuestas.
Recomendaciones Específicas
200
(CETICOS), es necesario que los Auditores de Gobierno tengan en cuenta la
que pudieran experimentar los estándares de gestión de riesgos a partir del año
2012 en adelante.
201
5.4 Referencias Bibliográficas Estilo APA 5ta Edición
Editex.
3. BALLALAH, M., PRIGENT, J., SAHUT, J., & PARIENTE, G. y. (2008). Risk
Management and Value (1ea ed., Vol. I). London, United Kingdom: World Scientific
Pub Co Inc.
Riesgos Corporativos y COSO (1era ed., Vol. I). Estados Unidos: John Wiley & Sons
Inc.
5. CETICOS PAITA. (2007). Directiva de Infracciones y Sanciones (1era ed., Vol. I).
Mercancías de la Actividad de Talleres (1era ed., Vol. I). Paita, Perú: Ceticos Paita.
7. CETICOS PAITA. (2009). Manual de Uso de Correo Electrónico del Ceticos Paita
9. CETICOS PAITA. (2010). Plan Estratégico Insitucional 2010 al 2022 (1 era ed., Vol.
202
10. CONTRALORÍA GENERAL DE LA REPÚBLICA. (2006). Normas de Control
Interno (1era ed., Vol. I). Lima, Perú: Contraloría General de la República.
11. COUTO LORENZO, L. (2008). Auditoría del Sistema APPCC Cómo verificar los
sistemas de gestión de Inocuiidad Alimentaria HACP (1era ed., Vol. I). Ediciones
Diaz Santos.
12. DICSCAMEN. (1994). Reglamento de Servicios de Seguridad Privada (1era ed., Vol.
13. EQUIPO VÉRTICE. (2010). Auditor PRL (1era ed., Vol. I). Málaga: Vértice.
14. EQUIPO VÉRTICE. (2011). Gestión Ambiental en Empresas de Limpieza (1era ed.,
17. ESTUPIÑAN GAITAN, R. (2006). Control Interno y Fraude con Base en los Ciclos
Transaccionales. Informe COSO I y COSO II. (2da ed., Vol. II). Colombia.
Prevensión de Riesgos Laborales (3era ed., Vol. III). Valladolid, España: Lex Nova.
203
20. FONSECA LUNA, O. (2007). Auditoría Gubernamental Moderna (1era ed., Vol. I).
Sistemas de Información (1era ed., Vol. I). London, United Kingdom: Jones and
Bartlett Learning.
22. GONZÁLES MUÑIS, R. (2003). Prevención de Riesgos Laborales (1era ed., Vol. I).
España: Paraninfo.
26. HEWITTEN, R. (1999). ISO 14001 Manual de Sistemas de Gestión Ambiental (1era
Manual Defnitivo de Gestión de Continuidad de Negocio (3era ed., Vol. III). London,
NTP 399.010-1-2004 Reglas para el Diseño de señales de Seguridad (2da ed., Vol.
204
29. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. (2009). ISO
31000: 2009 Gestión de Riesgos Principios y Prácticas (1era ed., Vol. I). Geneva,
Suiza.
31010:2009 Gestión de Riesgos y Técnicas de Gestión de Riesgos (1era ed., Vol. I).
Geneva, Suiza.
31. LAVIN, J. (2009). Seguridad con los Montacargas (1era ed., Vol. I). Washington,
Organización y Funciones del Ceticos Paita (1era ed., Vol. I). Lima, Perú: Mincetur.
Seguridad y Salud en el Trabajo (1era ed., Vol. I). Lima, Perú: Mintra.
Riesgos Corporativos (1era ed., Vol. I). Estados Unidos: John Wiley & Sons Inc.
Corporativos (1era ed., Vol. I). London, United Kingdom: World Scientific Pub Co
Inc.
205
38. PALENCIA LEFLER, M. (2010). 90 Técnicas de Comunicación y Relaciones
sectores económico, químico, y metálmecánico (1era ed., Vol. I). Santa Fe de Bogotá,
según el Estilo APA. (5ta Edición ed., Vol. V). Standford, ESTADOS UNIDOS:
APA.
42. RUIZ, G., & TORRES, J. y. (2000). La Gestión del Riesgo Financiero (1era ed., Vol.
Corporativo de Gestión de Riesgo Empresarial (1era ed., Vol. I). Canada: Lybrary of
Congress.
45. SPRENCER PICKETT, K. (2011). The Esential Guide to Internal Auditing / La Guía
Esencial para la Auditoría interna (3era ed., Vol. III). London, United Kingdom:
British Library.
206
46. SUPERINTENDENCIA NACIONAL DE ADUANAS. (2000). Procedimiento
General INTA PG 22 (1era ed., Vol. I). Lima, Perú: SUNAT ADUANAS.
48. ZAPATA CHANCUSIG, J. (2009). Auditoría con Enfoque de Riesgos (1era ed., Vol.
207
ANEXOS
Frecuencia
Objetivo General Nº1: Determinar si la Auditoría de Riesgos Alta NGS 2007 PT1 A PT 7
Paita.
proceso.
aplicación de la Auditoría.
Sujetos a Evaluación.
tratamiento de Riesgos.
pertinentes.
2010
208
Tabla 68: Programa de Auditoría: Objetivo Específico Nº 1.
Frecuencia
1 Conocer el Sistema de Control Interno del Ceticos Paita Alta NGS 2008 PT 1.1
de tratamiento de Riesgos.
5 Elaborar la Matriz del Plan de Tratamiento de Riesgos, Alta NGS 2008 PT 5.1
/2010
209
Tabla 69: Programa de Auditoría: Objetivo Específico Nº 2.
Frecuencia
sistema.
aplicación de la Auditoría.
Sujetos a Evaluación.
tratamiento de Riesgos.
5 Elaborar la Matriz del Plan de Tratamiento de Riesgos, Alta NGS 2010 PT 5.1.1
pertinentes.
210
Tabla 70: Programa de Auditoría: Procedimiento Específico Nº 3.
Frecuencia
aspectos de seguridad de la
y 2011.
Objetivo Específico Nº 3
Situacional de las
Recomendaciones como
efectuadas.
resultado de la Instauración de
Medidas Correctivas.
211
Anexo Nº 2: Fase Nº 1: Conociendo el Proceso a Auditar
PT1: Diagrama de Proceso de Ingreso y Salida de Mercancías de la Actividad de Almacenes,
Industrias y Talleres
Puerto de Paita o a otra jurisdicción Aduanera, apoya en el modelo PDCA, que consiste en:
Diagrama Nº 1: Diagrama de procesos PDCA del ingreso y salida de mercancías de la actividad de Almacenes, Industrias y
Talleres.
PLANIFICAR
MEJORA INGRESO Y
SALIDA DE HACER
VERIFICAR
las políticas, los objetivos y los requisitos para el producto, e informar sobre los resultados.
Responsabilidad de la Dirección.
Gestión de Recursos.
212
Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes,
Talleres e Industrias.
Control de Usuarios.
Soporte.
Mejora Continua.
encargados de Mitigar los riesgos que atentan contra la buena administración y fiscalización
que ejerce el Ceticos Paita, garantizando así la continuidad del Negocio y el compromiso social
que la entidad tiene con los usuarios, sus colaboradores, el medio ambiente y la colectividad
en su conjunto.
213
PT 1.1 Diagrama de Proceso del Sistema de Control Interno Bajo el Enfoque COSO ERM
Diagrama Nº 2: Diagrama de procesos del Sistema de Control Interno bajo el enfoque COSO ERM.
Salidas
Entradas
El proceso del Sistema de Control Interno del Ceticos Paita se apoya en el modelo PDCA,
las políticas, los objetivos y los requisitos para el producto, e informar sobre los resultados.
Filosofía de la Dirección.
Administración Estratégica.
Estructura organizacional.
Competencia profesional.
214
Asignación de autoridad y responsabilidad.
Identificación de Riesgos
Valoración de riesgos
Respuesta al riesgo
Segregación de funciones*
Evaluación Costo-Beneficio*
Verificaciones y conciliaciones*
Evaluación de desempeño *
Rendición de cuentas
Información y responsabilidad
Sistemas de información
Flexibilidad al cambio
Archivo institucional
Comunicación interna
Comunicación externa
Canales de comunicación
215
Actividades de Prevención y Monitoreo
Seguimiento de Resultados
Compromiso de Mejoramiento.
continua) son los encargados de Mitigar los riesgos que atentan contra la buena
administración y fiscalización que ejerce el Ceticos Paita, garantizando así la continuidad del
Negocio y el compromiso social que la entidad tiene con los usuarios, sus colaboradores, el
216
PT 1.1.1 Diagrama de Proceso del Sistema de Gestión de la Seguridad de la Información
Se elaboró el Diagrama del Proceso del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita, con la finalidad de determinar, los objetivos de control, controles, procesos y
procedimientos que se trabajan en dicho Sistema y que fueron sujetos a Evaluación por parte
Diagrama Nº 3: Diagrama de procesos del Sistema de Gestión de Seguridad de la Información del Ceticos Paita.
Partes interesadas:
Partes interesadas:
Stakeholders.
NTO (1)
Clientes.
Stakeholders.
Proveedores.
Clientes. N (2)
Usuarios.
Proveedores.
Accionistas.
Socios.
El proceso del Sistema de Gestión de Seguridad de la Información del Ceticos Paita se apoya
217
Actuar: Referido al Mantenimiento y mejora Continua del Sistema de Gestión de la Seguridad
dicho Sistema.
Este Sistema de Gestión de Seguridad de la Información del Ceticos Paita, se apoya en los
siguientes controles:
Gestión de Activos.
Control de Acceso.
Cumplimiento.
Dichos controles son los encargados de mitigar los riesgos que atentan contra la
218
los Activos y Recursos Tecnológicos del Ceticos Paita que son los que garantizan la
219
Anexo Nº 3: Fase Nº 2: Identificación de Riesgos
Tabla 71: PT 2: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres. (Preguntas 1 a 20).
PROCESO DE PLANEACION
1 La Entidad ha instaurado Directivas para monitorear el Control de Ingreso y Salida de Mercancías de las X
IMPLEMENTACION
2 La entidad ha instaurado manuales de procedimientos en donde se reflejen todos y cada uno de los X
lineamientos y políticas a considerar para la adecuada administración y control del Ingreso y Salida de
SUPERVISION Y MONITOREO
Control Evaluado: Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias.
13 Los Usuarios del Ceticos Paita respectan aspectos de Seguridad Industrial y Medio Ambiente. X
SUPERVISION Y MONITOREO
16 Se lleva a cabo el sustento del Aforo Previo que realizan algunos usuarios del Ceticos Paita. X
220
Tabla 72: Enunciado de Aplicabilidad que se ejecutó al proceso de ingreso y salida de mercancías de la actividad de Almacenes,
Industrias y Talleres. (Preguntas 21 a 32).
MEJORA CONTINUA
Industrias.
Talleres.
contenedores.
221
Tabla 73: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
1 a 17).
Ambiente de Control
Elementos N/A
Debilidades
Fortalezas
Filosofía de la Dirección
1 1 La Dirección muestra interés de apoyar al establecimiento y mantenimiento x
del control interno en la entidad a través de políticas, documentos, reuniones, charlas y otros medios.
Administración Estratégica 2 3
12 12 La Dirección ha difundido y es de conocimiento general la visión, misión, metas y x
objetivos estratégicos de la entidad.
15 15 Todas las unidades orgánicas evalúan periódicamente su plan operativo con el fin x
de conocer los resultados alcanzados y detectar posibles desvíos.
17 17 Los resultados de las mediciones efectuadas a los planes operativos en los últimos x
dos semestres están dentro de los niveles esperados.
222
Tabla 74: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
18 a 34).
Estructura organizacional 1 5
18 18 La estructura organizacional se ha desarrollado sobre la base de la misión, objetivos x
y actividades de la entidad y se ajusta a la realidad
21 21 Todas las personas que laboran en la entidad ocupan una plaza prevista en el PAP x
y un cargo incluido en el de Asignación de Personal (CAP).
26 26 Las unidades orgánicas cuentan con la cantidad de personal necesaria para el adecuado desarrollo sus x
actividades
Competencia profesional 0 5
29 29 Se han identificado las competencias necesarias para cada cargo previsto en el CAP x
y han sido plasmadas en un documento normativo (perfil del cargo).
30 30 El personal que ocupa cada cargo de trabajo cuenta con las competencias establecidas en el perfil del x
cargo.
33 33 Estos documentos normativos son revisados periódicamente con el fin de ser actualizados o mejorados. x
34 34 Todo el personal conoce sus responsabilidades y actúa de acuerdo con los niveles de autoridad que le x
corresponden.
Auditoría Interna 0 3
35 35 El Auditor Interno evalúa los controles de los procesos vigentes e identifica oportunidades de mejora X
acorde a su plan de trabajo.
223
Tabla 75: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
36 a 52).
36 36 Son de comprobada competencia e idoneidad profesional los miembros que conforman el Comité de X
Auditores externos.
3 0 0
Evaluación del Riesgo
Elementos S N N/A
i o
Planeamiento de la Administración de Riesgos
38 1 Se ha desarrollado un Plan de actividades de identificación, análisis o valoración, manejo o respuesta y x
monitoreo y documentación de los riesgos.
Valoración de riesgos 0 4
46 9 En el desarrollo de sus actividades se ha determinado y cuantificado la posibilidad de que ocurran los x
riesgos identificados (probabilidad de ocurrencia).
47 10 En el desarrollo de sus actividades se ha cuantificado el efecto que pueden ocasionar los riesgos x
identificados (impacto).
48 11 Los riesgos, sus probabilidades de ocurrencia, impacto y cuantificación han sido registrados por x
escrito.
Respuesta al riesgo 0 3
49 12 Se han establecido las acciones necesarias (controles) para afrontar los riesgos evaluados. x
50 13 Se han definido lineamientos para efectuar seguimiento periódico a los controles desarrollados con x
respecto a los riesgos.
0 2 0
Actividades de Control
Elementos S N N/A
i o
Procedimiento de Autorización y Aprobación*
51 1 Los procedimientos de autorización y aprobación para los procesos, actividades y tareas están x
claramente definidos en manuales o directivas y son realizados para todos los procesos y actividades.
52 2 Los procedimientos de autorización y aprobación para los procesos, actividades y tareas han sido x
adecuadamente comunicados a los responsables.
Segregación de funciones* 0 2
224
Tabla 76: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
53 a 71).
53 3 Las actividades expuestas a riesgos de error o fraude han sido asignadas a diferentes personas o equipos x
de trabajo.
54 4 Se efectúa rotación periódica del personal asignado en puestos susceptibles a riesgos de fraude. x
Evaluación Costo-Beneficio* 0 2
55 5 El costo de los controles establecidos para sus actividades está de acuerdo a los resultados esperados X
(beneficios).
56 6 Se toma en cuenta que el costo de establecer un control no supere el beneficio que se puede obtener. X
58 8 El acceso a los recursos o archivos queda evidenciado en documentos tales como recibos, actas entre X
otros.
59 9 Periódicamente se comparan los recursos asignados con los registros de la entidad (por ejemplo X
arqueos, inventarios u otros).
60 10 Se ha identificado los activos expuestos a riesgos como robo o uso no autorizado, y se han establecido x
medidas de seguridad para los mismos.
61 11 Los documentos internos que genera y reciben las unidades orgánicas están debidamente numerados y x
protegidos.
Verificaciones y conciliaciones* 2 3
62 12 Las unidades orgánicas periódicamente llevan a cabo verificaciones sobre la ejecución de los procesos, x
actividades y tareas.
63 13 Periódicamente se comparan los resultados con los registros de los procesos, actividades y tareas x
utilizando para ello distintas fuentes.
Evaluación de desempeño * 0 2
64 14 La entidad cuenta con indicadores de desempeño para los procesos, actividades y tareas. x
65 15 La evaluación de desempeño se hace con base en los planes organizacionales, disposiciones normativas x
vigentes.
Rendición de cuentas 0 2
66 16 La entidad cuenta con procedimientos y lineamientos internos que se siguen para la rendición de x
cuentas.
225
Tabla 77: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
72 a 91).
72 22 Se implementan las mejoras propuestas y en caso de detectarse deficiencias se efectúan las correcciones X
necesarias.
74 24 Es restringido el acceso a la sala de cómputo, procesamiento de datos, a las redes instaladas, así como x
al respaldo de la información (backup).
75 25 Los sistemas de información cuentan con controles y sistemas que evitan el acceso no autorizado a la X
información.
79 29 Se han creado perfiles de usuario de acuerdo con las funciones de los empleados, creación de usuarios x
con accesos propios (contraseñas) y relación de cada usuario con el perfil correspondiente.
80 30 Los programas informáticos (software) de la entidad cuentan con licencias y autorizaciones de uso. x
81 31 La entidad cuenta con un adecuado servicio de soporte técnico para las Tecnologías de la Información y x
Comunicación (TIC).
82 32 Se lleva el control de los nuevos productos ingresados a desarrollo así como de las modificaciones de x
los existentes en carpetas documentadas.
83 33 La entidad ha definido políticas sobre el cambio frecuente de contraseñas, sobre su uso y cuando el x
personal se desvincule de las funciones.
88 4 Se cuenta con políticas y procedimientos que garantizan el adecuado suministro de información para el x
cumplimiento de sus funciones y responsabilidades.
Sistemas de información 0 2
91 7 La entidad está integrada a un solo sistema de información y se ajusta a las necesidades de sus x
actividades.
226
Tabla 78: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM (Preguntas
92 a 106).
92 8 Periódicamente se solicita a los usuarios opinión sobre el sistema de información registrándose los x
reclamos e inquietudes para priorizar las mejoras.
Flexibilidad al cambio 1 1
93 9 Se revisan periódicamente los sistemas de información y de ser necesario se rediseñan para asegurar su x
adecuado funcionamiento.
Archivo institucional 1 0
94 10 La entidad cuenta con una unidad orgánica que se encarga de administrar la documentación e x
información generada por la entidad.
96 12 Los ambientes utilizados por el archivo institucional cuenta con una ubicación y acondicionamiento x
apropiado.
Comunicación interna 1 2
97 13 La entidad ha elaborado y difundido documentos que orienten la comunicación interna. X
99 15 La entidad cuenta con mecanismos y procedimientos para la denuncia de actos indebidos por parte del X
personal.
Comunicación externa 0 3
100 16 La entidad cuenta con mecanismos y procedimientos adecuados para informar hacia el exterior sobre su X
gestión institucional.
Canales de comunicación 0 3
103 19 Se ha implementado alguna política que estandarice una comunicación interna y externa, x
considerándose diversos tipos de comunicación: memorando, paneles informativos, boletines, revistas.
104 20 Estos canales de comunicación permiten que la información fluya de manera clara, ordenada y X
oportuna.
0 2 0
Supervisión
Elementos Si No N/A
Actividades de prevención y monitoreo
105 1 En el desarrollo de sus labores, se realizan acciones de supervisión para conocer oportunamente si x
éstas se efectúan de acuerdo con lo establecido, quedando evidencia de ello.
106 2 Las unidades orgánicas realizan acciones para conocer oportunamente si los procesos en los que x
interviene se desarrollan de acuerdo con los procedimientos establecidos (monitoreo).
Seguimiento de resultados 1 1
227
Tabla 79: PT 2.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Control Interno bajo el enfoque COS ERM (Preguntas
107 a 112).
107 3 Las deficiencias y los problemas detectados en el monitoreo se registran y comunican con prontitud x
a los responsables con el fin de que tomen las acciones necesarias para su corrección.
Compromiso de mejoramiento 3 0
110 6 La entidad efectúa periódicamente autoevaluaciones que le permite proponer planes de mejora que x
son ejecutados posteriormente.
1 2 0
TOTAL 40 72
228
Tabla 80: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad de la Información. (Preguntas
1 a 15).
ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACION (SGSI) DEL CETICOS PAITA
Debilidades
Fortalezas
1 Se ha definido el alcance y los límites del SGSI en términos de las características del negocio, la X
2 Se ha definido una política SGSI en términos de las características del negocio, la organización, su X
6 Se han seleccionado los objetivos de control y controles para el tratamiento de los riesgos. X
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACION (SGSI) DEL CETICOS PAITA
10 Se ha formulado un plan de tratamiento de riesgo que identifica la acción gerencial apropiada, los X
recursos, las responsabilidades y prioridades para manejar los riesgos de la seguridad de información.
11 Se ha Implementado el plan de tratamiento de riesgo para poder lograr los objetivos de control X
responsabilidades.
12 Se han Implementado los controles seleccionados para satisfacer los objetivos de control (proceso de X
especificado cómo se van a utilizar estas mediciones para evaluar la efectividad del control para producir
15 Se manejan las operaciones y recursos para el Sistema de Gestión de Seguridad de la Información del X
Ceticos Paita.
229
Tabla 81: PT 2.1.1: Enunciado de Aplicabilidad que se ejecutó al Sistema de Gestión de la Seguridad de la Información. (Preguntas
16 a 20).
MONITORIZACIÓN Y REVISIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) DEL CETICOS PAITA
Debilidades
Fortalezas
16 La organización viene trabajando en un programa de calendarización para llevar a cabo acciones de X
17 Se vienen cumpliendo con las políticas de la entidad en lo concerniente al adecuado uso y manejo de los X
recursos informáticos.
18 Se vienen cumpliendo con las políticas de la entidad en lo concerniente al adecuado uso y manejo del X
MEJORA CONTINUA DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI) DEL CETICOS PAITA.
20 La organización ha incorporado dentro de este proceso una metodología de acuerdo al estándar ISO X
27001, con respecto a la adopción de acciones correctivas y preventivas para mitigar los riesgos en
230
Anexo Nº 4: Fase Nº3: Análisis de Riesgos
Tabla 82: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres. (Análisis a los controles: Nº 1 al Nº 15).
PROCESOS CONTROLES QUE FUERON DESCRIPCION DEL F D Nivel de Nivel de Nivel de Nivel de
(1 Control). Manual de
Procedimientos.
de Vehículos actividad
de Talleres.
Verificaciones
actividad de talleres.
de vehículos actividad
de talleres.
de partes y piezas
actividad de talleres.
Levante autorizado en
la salida de vehículos.
de Vehículos para
exportación.
formatos de Órdenes
de Salida de
Vehículos.
Industrial y Medio
Ambiente.
Eléctrico.
Atentados contra al
Medio Ambiente.
231
Tabla 83: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres. (Análisis a los controles Nº 16 al Nº 26).
PROCESOS CONTROLES QUE FUERON DESCRIPCION DEL F D Nivel de Nivel de Nivel de Nivel de
Controles). Montacarga.
Preventivo de
Montacarga.
Regulaciones en Materia
de Seguridad del
Montacarga.
Funciones.
CONTINUA Datos.
Sistema de Gestión de la
Entidad.
C23.Incorporación de x 0% 10% 4 0
Controles
Automatizados en el
Sistema de Gestión de la
en línea el ingreso y
salida de mercancías de
la actividad de
almacenes.
Controles
Automatizados para
monitorear el Ingreso de
Mercancías en la
actividad de Industrias.
Controles
Automatizados para
monitorear el Ingreso de
Vehículos en la
actividad de Talleres.
Controles
Automatizados para
monitorear el proceso de
apertura y cierre de
contenedores.
232
Tabla 84: PT 3: Matriz de riesgos vs controles que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres. (Análisis a los controles Nº 27 al Nº 32).
PROCESOS CONTROLES QUE FUERON DESCRIPCION DEL F D Nivel de Nivel de Nivel de Nivel de
ingreso y salida de
mercancías.
Semiautomatizado del
deficiente.
C29. Delimitación y x 0% 0% 4 0
señalización de áreas de
riesgo.
Organizacional.
Seguridad Outsorsing.
C32. Control de x 0% 0% 4 0
Protección de Terrenos
de la Entidad.
233
Tabla 85: PT 3.1: Matriz de riesgos vs controles que se ejecutó al Sistema de Control Interno bajo el enfoque COSO ERM. (Análisis
a los procesos 1 a 34 que engloban a 112 controles).
Macro
Macro
Macro
Elemento
Ambiente de 35.14% 3 2
1
Control Filosofía de la Dirección. 83.33% 1 4
Integridad y valores éticos.
2
40.00% 3 2
Administración Estratégica.
3
16.67% 4 1
Estructura organizacional.
4
0.00% 4 0
Administración de los Recursos Humanos.
5
0.00% 4 0
Competencia profesional.
6
66.67% 2 4
Asignación de autoridad y responsabilidad.
7
0.00% 4 0
Órgano de Control Institucional.
8
100.00% 1 4
Evaluación de Planeamiento de la Administración de Riesgos. 0% 4 0
Riesgos 9
0.00% 4 0
Identificación de Riesgos.
10
0.00% 4 0
Valoración de riesgos.
11
0.00% 4 0
Respuesta al riesgo.
12
0.00% 4 0
Actividades de Procedimiento de Autorización y Aprobación.* 47.06% 3 3
13
Control 0.00% 4 0
Gerencial Segregación de funciones.*
14
0.00% 4 0
Evaluación Costo-Beneficio.*
15
0.00% 4 0
Controles sobre el acceso a los recursos o archivos.*
16
40.00% 3 2
Verificaciones y conciliaciones.*
17
0.00% 4 0
Evaluación de desempeño. *
18
0.00% 4 0
Rendición de cuentas.
19
100.00% 1 4
Documentación de procesos, actividades y tareas. *
20
50.00% 3 3
Revisión de procesos, actividades y tareas.*
21
50.00% 3 3
Controles para las tecnologías de Información y comunicaciones.
22
75.00% 2 4
Información y Funciones y características de la información. 30% 3 2
23
Comunicación 100.00% 1 4
Información y responsabilidad.
24
50.00% 3 3
Calidad y suficiencia de la información.
25
0.00% 4 0
Sistemas de información.
26
50.00% 3 3
Flexibilidad al cambio.
27
100.00% 1 4
Archivo institucional.
28
33.33% 3 2
Comunicación interna.
29
0.00% 4 0
Comunicación externa.
30
0.00% 4 0
Canales de comunicación.
31
0.00% 4 0
Supervisión y Actividades de prevención y monitoreo. 62.50% 2 4
32
Autoevaluación 50.00% 3 3
Seguimiento de resultados.
33
100.00% 1 4
Compromiso de mejoramiento.
34
33.33% 3 2
35.71% 3 2
TOTAL 35.71% 3 2
234
Tabla 86: PT 3.1.1: Matriz de riesgos vs controles que se ejecutó Sistema de Gestión de la Seguridad de la Información. (Análisis a los
controles Nº 1 a Nº 19).
PROCESOS CONTROLES QUE DESCRIPCION DEL CONTROL F D Nivel de Nivel de Nivel de Nivel de
SUJETOS A
EVALUACION
Riesgos.
Evaluación de Riesgos.
de Tratamiento de riesgos.
Gestión de Seguridad de la
Información.
controles.
Informáticos.
corporativo institucional.
Gestión de Seguridad de la
Información.
y Autoevaluación. Preventivas.
235
Anexo Nº 5: Fase Nº 4: Evaluación de Riesgos
PT 4: Histogramas de Frecuencia y Diagramas Radar que se ejecutaron al Proceso de Ingreso
Gráfico Nº 7: Nivel de Implementación de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de la
Actividad de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
NI
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20 C21 C22 C23 C24 C25 C26 C27 C28 C29 C30 C31 C32
El Gráfico nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados inmersos en
Gráfico Nº 8: Niveles de Efectividad de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de las
Actividades de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20 C21 C22 C23 C24 C25 C26 C27 C28 C29 C30 C31 C32
El Gráfico nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados inmersos en
Almacenes, Talleres e Industrias poseían niveles de Efectividad del que oscilaban entre 0% y
236
Gráfico Nº 9: Nivel de Riesgo de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de las Actividades,
de Almacenes, Industrias y Talleres ejercicio 2007 al 2010.
C1
C32 4 C2
C31 C3
C30 3.5 C4
C29 C5
C28 2.5 C6
C27 1.5 C7
C26 C8
0.5
C25 C9 NIVEL DE RIESGO
C24 C10
C23 C11
C22 C12
C21 C13
C14
C19 C15
C18 C16
C17
El Diagrama Radar nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados
inmersos en los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades
Gráfico Nº 10: Nivel de Madurez de los controles sujetos a evaluación del proceso de ingreso y salida de mercancías de las Actividades
de Almacenes, Industrias y Talleres, ejercicio 2007 al 2010.
El Diagrama Radar nos muestra que del Ejercicio 2007 al 2010 los 32 Controles evaluados
inmersos en los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades
237
entre 0 (No Existe), 1 (Inicial), 2 (Repetible) y 3 (Definido) y en promedio poseían un nivel
de Madurez 1. Inicial.
SITUACIÓN ACTUAL DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA AL 30/06/2008
NIVEL DE IMPLEMENTACIÓN Y EFECTIVIDAD: 35.71%
62.50%
47.06%
35.14% 30%
0%
Ambiente de control Evaluación de riesgos Actividades de Control Información y Comunicación Supervisión y Autoevaluación
El Gráfico nos muestra que al 30 de Junio del Ejercicio 2008 El Sistema de Control Interno del
Ceticos Paita bajo el Enfoque Coso Erm poseían niveles de Efectividad e Implementación
dentro de sus 5 componentes de control interno que oscilaban entre 35.14% y 62.50% y en
Alto.
Gráfico Nº 12: Nivel de Riesgo del Sistema de Control Interno del Ceticos Paita bajo el enfoque COS ERM al 30/06/2008.
NIVEL DE RIESGO DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA BAJO EL
ENFOQUE COSO ERM AL 30/06/2008
AMBIENTE DE CONTROL
SUPERVISION Y EVALUACION DE
RIESGOS
INFORMACION Y ACTIVIDADES DE
COMUNICACIÓN CONTROL GERENCIAL
El Diagrama Radar nos muestra que al 30 de Junio del Ejercicio 2008 los 5 Componentes del
Sistema de Control Interno del Ceticos Paita bajo el Enfoque COSO ERM mitigaban a
238
niveles de Riesgos que oscilaban entre 2 (Moderado), 3 (Alto) y 4 (Extremo) y en promedio
Gráfico Nº 13: Nivel de Madurez del Sistema de Control interno del Ceticos Paita bajo el enfoque COSO ERM al 30/06/2008.
NIVEL DE MADUREZ DEL SISTEMA DE CONTROL INTERNO DEL CETICOS PAITA BAJO EL
ENFOQUE COSO ERM AL 30/06/2008
AMBIENTE DE CONTROL
SUPERVISION Y EVALUACION DE
RIESGOS
Nivel de Madurez
INFORMACION Y ACTIVIDADES DE
COMUNICACIÓN CONTROL GERENCIAL
El Diagrama Radar nos muestra que al 30 de Junio del Ejercicio 2008 los 5 Componentes del
Sistema de Control Interno del Ceticos Paita bajo el Enfoque COSO ERM poseían un nivel de
239
PT 4.1.1: Histogramas de Frecuencia y Diagramas Radar que se ejecutaron al Sistema de
Gestión de la Seguridad de la Información
Gráfico Nº 14: Nivel de Implementación de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información
del Ceticos Paita al 01 de enero del ejercicio 2011.
NI
90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20
El Gráfico nos muestra que al 01 de Enero del Ejercicio 2011 los 20 Controles evaluados
Activos de Información del Ceticos Paita poseían niveles de Implementación del 90% y en
Gráfico Nº 15: Nivel de Efectividad de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita al 01 de enero del ejercicio 2011.
90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90%
50% 50%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20
El Gráfico nos muestra que al 01 de Enero del Ejercicio 2011 los 18 Controles evaluados
Activos de Información del Ceticos Paita poseían niveles de Efectividad de 90% y sólo 2
controles poseían niveles de efectividad del 50% y en promedio tenían un nivel de Efectividad
240
Gráfico Nº 16: Nivel de Riesgo de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita al 01 de enero del ejercicio 2011.
C17 C5
C16 C6 NR
C15 C7
C14 C8
C13 C9
C12 C10
C11
El Diagrama Radar nos muestra que al 01 de Enero del Ejercicio 2011 los 18 Controles
a los Activos de Información del Ceticos Paita mitigaban a niveles de Riesgo 1 (Aceptable) y
1 Aceptable.
Gráfico Nº 17: Nivel de Madurez de los controles sujetos a evaluación del Sistema de Gestión de Seguridad de la Información del
Ceticos Paita al 01 de enero del ejercicio 2011.
C17 C5
C16 C6 NM
C15 C7
C14 C8
C13 C9
C12
C11
El Diagrama Radar nos muestra que al 01 de Enero del Ejercicio 2011 los 18 Controles
a los Activos de Información del Ceticos Paita poseían Niveles de Madurez 4 (Administrados)
Administrado.
241
Anexo Nº 6: Fase Nº 5: Plan de Tratamiento de Riesgos
Tabla 87: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 1 al Nº 12.
Riesgos Control
1 La Entidad no ha instaurado Directivas para monitorear el Control de Ingreso y Salida de Mercancías de Instauración de Gerente General. Presidente de la Junta
las Actividades de Almacenes, Industrias y Talleres del Ceticos Paita. Directivas. Sub Director de de Administración.
PROCESO DE IMPLEMENTACION
2 La entidad no ha instaurado manuales de procedimientos en donde se reflejen todos y cada uno de los Instauración de Gerente General. Presidente de la Junta
lineamientos y políticas a considerar para la adecuada administración y control del Ingreso y Salida de Manuales de Sub Director de de Administración.
Mercancías de las Actividades de Almacenes, Industrias y Talleres del Ceticos Paita. Procedimientos. Operaciones. Auditor Interno.
Riesgos Control
3 No Se provee Entrenamiento y capacitación al personal de operaciones. Proveer Gerente General. Sub Director de
4 No Se provee Apoyo Logístico al personal de Operaciones. Proveer apoyo Gerente General. Sub Director de
Control Evaluado: Controles de Ingreso y Salida de Mercancías de la Actividad de Almacenes, Talleres e Industrias.
5 No Se lleva un adecuado control de las Operaciones de Importación Definitiva y Simplificada. Proveer apoyo Gerente General. Auditor Interno.
6 No Se lleva un adecuado Control de Ingreso de Vehículos actividad de Talleres. Carencia de Tickets de Incorporar Tickets de Operaciones.
carga.
8 No se lleva a cabo un adecuado Control de salida de vehículos actividad de talleres. (En los reportes no Consignar datos de
se consigna el Valor CIF ni datos del REVISA 2). Valor CIF y Revisa 2.
9 No se lleva a cabo un adecuado Control de salida de partes y piezas actividad de talleres. Mejorar el Control.
10 No se lleva a cabo un adecuado Control de Levante autorizado en la salida de vehículos. Mejorar el Control.
11 No Se lleva a cabo un adecuado Control de Salida de Vehículos para exportación. Mejorar el Control.
12 No Se lleva a cabo un adecuado Control a los formatos de Órdenes de Salida de Vehículos. Mejorar el Control.
242
Tabla 88: PT 5: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de
Almacenes, Industrias y Talleres, vinculados con los riesgos Nº 13 al Nº 29.
Riesgos Control
13 No Se lleva a cabo un adecuado Control de Riesgos Industriales en aspectos de reparaciones de Mejorar el Control. Gerente General y Sub Auditor Interno.
15 No Se lleva a cabo un adecuado Control de Atentados contra al Medio Ambiente. Mejorar el Control.
16 No Se lleva a cabo el sustento del Aforo Previo que realizan algunos usuarios del Ceticos Paita. Sustentar el Aforo Gerente General y Sub Auditor Interno.
operatividad.
18 No Se lleva a cabo el Mantenimiento Preventivo de Montacarga. Efectuar Gerente General y Sub Auditor Interno.
regulaciones.
20 Hay problemas de Segregación de Funciones, para la Operatividad del Montacarga (Una sola persona Solucionar los Gerente General y Sub Auditor Interno.
opera el Montacarga y al mismo tiempo hace labores de seguridad en su trabajo diario). Problemas de Director de Operaciones.
Segregación de
Funciones.
21 No Se llevan a cabo Conciliaciones y Validación de Datos de la Actividad de Almacenes. Efectuar Gerente General y Auditor Interno.
Operaciones.
22 El Sistema de Gestión de la Entidad. No cuenta con un módulo de Impuestos Generados por Importación Incorporar el Gerente General y Auditor Interno y Sub
23 No Se han Incorporado Controles Automatizados en el Sistema de Gestión de la Entidad para monitorear en Incorporar Nuevos
24 No Se han Incorporado Controles Automatizados para monitorear el Ingreso de Mercancías en la actividad de Tecnológicos.
Industrias.
Talleres.
contenedores.
29 No Se ha llevado a cabo la Delimitación y señalización de áreas de riesgo del Ceticos Paita Delimitar las Gerente General Sub Director de
243
Tabla 89: Plan de Tratamiento de Riesgos que se ejecutó al proceso de ingreso y salida de mercancías de la Actividad de Almacenes,
Industrias y Talleres, vinculados con los riesgos Nº 30 al Nº 32.
30 No Se lleva a cabo un control de Protección Organizacional. (Empresas Usuarias no cuentan con Seguridad Efectuar medidas Gerente General y Auditor Interno.
Organizacional. Operaciones.
31 No se monitorea a la Empresa que brinda Servicios de Seguridad al Ceticos Paita, en calidad de Outsorsing. Monitorear a los Gerente General y Sub Director de
32 No Se lleva a cabo un adecuado Control de Protección a los Terrenos de la Entidad. Mejorar el Gerente General y Sub Director de
244
Tabla 90: PT 5.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Control Interno del Ceticos Paita con respecto a los 72 riesgos
evidenciados.
PROCESOS Controles Plan de Tratamiento de Riesgos Responsable de Poner en Practica el Control Responsable de Monitorear
Evaluados el Control
5 112 Para los 72 Riesgos identificados durante la Evaluación: Con fecha 18/10/2008 el Titular de la Entidad teniendo en cuenta la Gerente General.
Instaurar dentro del Ceticos Paita El Comité de Recomendación formulada por Auditoría Interna instaura dentro de la Jefe del Oci del Ceticos Paita.
Implementación del Sistema de Control Interno que tendrá la Empresa El Comité encargado del Proceso de Instauración del Sistema
ardua labor de mitigar los 72 Riesgos como Resultado de la de Control Interno del Ceticos Paita, el mismo que se encargó de atender
efectuada el 30/06/2008.
Tabla 91: PT 5.1.1: Plan de Tratamiento de Riesgos que se ejecutó en el Sistema de Gestión de Seguridad de la Información, con respecto a los 2
riesgos evidenciados.
Control Evaluado:
el Control Control
1 Archivos Indebidos que no deberían de estar en la Data 11 que es de Propiedad del Ceticos Paita y del Eliminar los archivos indebidos de Personal que Gerente General.
Estado Peruano. la Data Nº 11, detectados en la labor realiza labores de Jefe de la Oficina
administración.
Consultor de
Tecnologías de
Información y
Comunicaciones.
Auditoría Interna.
2 Archivos Indebidos que no deberían de estar en la Data Nº 4, propiedad del Ceticos Paita y del Estado Que el Titular de la Entidad delegue Personal que Gerente General.
Peruano, que fueron transferidos por el Usuario de la Data Nº 1, desde una estación externa ajena a la al personal que realiza labores de realiza labores de Jefe de la Oficina
organización, con la ayuda de herramientas de Internet. informática a que procedan a Informática. General de
Comunicaciones.
Auditoría Interna.
245
Anexo Nº 7: Fase Nº 6: Supervisión y Monitoreo
Tabla 92: PT 6: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias, luego de implementar el
plan de tratamiento de riesgos. Cambios en la performance de los controles Nº 1 al Nº 15 al 06/04/2011.
SUJETOS A ad Riesgo
EVALUACION
(1Control). de Gestión de
Calidad.
ON Dirección.
(1 Control).
Controles). Controles de Ingreso C5. Operaciones de Importación Definitiva y Simplificada. x 90% 89% 1 4
Almacenes, Talleres C9. Control de salida de partes y piezas actividad de x 89% 89% 1 4
e Industrias. talleres.
vehículos.
Vehículos.
246
Tabla 93: Supervisión y Monitoreo al proceso de Actividades Almacenes, Talleres e Industrias, luego de implementar el plan de
tratamiento de riesgos. Cambios en la performance de los controles Nº 16 al Nº 26 al 06/04/2011.
PROCESOS CONTROLES QUE FUERON DESCRIPCION DEL F D Nivel de Nivel de Nivel de Nivel de
Controles). Montacarga.
Preventivo de
Montacarga.
Regulaciones en Materia
de Seguridad del
Montacarga.
Funciones.
CONTINUA Datos.
Sistema de Gestión de la
Entidad.
Controles
Automatizados en el
Sistema de Gestión de la
en línea el ingreso y
salida de mercancías de
la actividad de
almacenes.
Controles
Automatizados para
monitorear el Ingreso de
Mercancías en la
actividad de Industrias.
Controles
Automatizados para
monitorear el Ingreso de
Vehículos en la
actividad de Talleres.
Controles
Automatizados para
monitorear el proceso de
apertura y cierre de
contenedores.
247
Tabla 94: Supervisión y Monitoreo al proceso de Actividades de Almacenes, Talleres e Industrias, luego de implementar el plan de
tratamiento de riesgos. Cambios en la performance de los controles Nº 27 al Nº 32 al 06/04/2011.
PROCESOS CONTROLES QUE FUERON DESCRIPCION DEL F D Nivel de Nivel de Nivel de Nivel de
ingreso y salida de
mercancías.
Semiautomatizado del
deficiente.
señalización de áreas de
riesgo.
Organizacional.
Seguridad Outsorsing.
Protección de Terrenos
de la Entidad.
Resultado Macro en Promedio de los Procesos y Controles sujetos a Evaluación. 32 90% 90% 1 4
248
PT 6.1: Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los
Micro
Gráfico Nº 18: Análisis del nivel de implementación de los controles del proceso de ingreso y salida de mercancías de las Actividades
de Almacenes, Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007
al 06 de abril del ejercicio 2011.
NI SIN PT NI CON PT
90% 90% 90% 90% 90% 89% 89% 89% 89% 89% 89% 89% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 90% 89% 89% 90%
60% 55% 60% 50% 56% 50% 50%
39% 50% 50% 45% 38% 34% 50%
10% 19% 20% 15%
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 10% 0% 0%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20 C21 C22 C23 C24 C25 C26 C27 C28 C29 C30 C31 C32
instauración de los 32 planes de tratamiento de Riesgos Poseían índices que oscilaban entre 0
y 60% Incumplimiento Alto. Pero al 06 Abril del 2011 su calificación subió a 90%
Cumplimiento.
Gráficos 19 : Análisis del nivel de madurez de los controles del proceso de ingreso y salida de mercancías de las Actividades de
Almacenes, Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06
de Abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE EFECTIVIDAD DE LOS CONTROLES ANTES Y DESPUES DE INSTAURAR EL PLAN DE
TRATAMIENTO DE RIESGOS (ENERO DEL 2007 AL 06/04/2011)
NE SIN PT NE CON PT
89% 89% 89% 90% 89% 89% 89% 89% 89% 90% 90% 90% 90% 90% 88% 88% 88% 89% 89% 89% 89% 90% 90% 95% 95% 90% 90% 91% 91% 91% 91% 91%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20 C21 C22 C23 C24 C25 C26 C27 C28 C29 C30 C31 C32
instauración de los 32 planes de tratamiento de Riesgos Poseían índices que oscilaban entre 0
249
y 60% Incumplimiento Alto. Pero al 06 Abril del 2011 su calificación subió a 90%
Cumplimiento.
Gráficos 20: Análisis del nivel de riesgo de los controles del proceso de ingreso y salida de mercancías de las Actividades de Almacenes,
Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06 de Abril
del Ejercicio 2011.
2
11 1 1 11
11
11
11 1
1 1 1 11
El Diagrama Radar nos muestra la Evolución del Nivel de Riego de los Controles evaluados
inmersos en los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades
250
Gráficos 21:Análisis del nivel de madurez de los controles del proceso de ingreso y salida de mercancías de las Actividades de
Almacenes, Talleres e Industrias antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2007 al 06
de Abril del Ejercicio 2011.
NM SIN PT NM CON PT
CC11
CC3322 C2
C2
C31
C31 C3
C3
CC3300 C4
C4
C29
C29 C5
C5
CC2288 C6
C6
22
CC2277 C7
C7
CC2266 00 0 0 C8
C8
CC2255 0 00 C9
C9
CC2244 C10
C10
CC2233 C11
C11
CC2222 C12
C12
CC2211 C13
C13
CC2200 C14
C14
CC1199 C15
C15
CC1188 C16
C16
CC1177
El Diagrama Radar nos muestra la Evolución del Nivel de Madurez de los Controles evaluados
inmersos en los sistemas que controlaban el Ingreso y Salida de Mercancías de las Actividades
tratamiento de Riesgos Poseían índices que oscilaban entre 0 (No Existe), 1 (Inicial), 2
Pero al 06 Abril del Ejercicio 2011 dichos controles incrementaron su niveles de madurez a 4
Administrado.
251
Tabla 95: PT 6.1.1: Evolución del nivel implementación, efectividad, riesgo y madurez de los controles del proceso de ingreso y salida
de mercancías de las Actividades de Almacenes, Industrias y Talleres, sujetos a evaluación del 01/01/2007 al 06/04/2011, a nivel macro.
24% 30% 4 1
90% 90% 1 4
Al 2007 los controles evaluados inmersos en los sistemas que controlaban el Ingreso y Salida
Incumplimiento Alto, 4 Extremos y 1 Inicial eran Índices Negativos, para el Ceticos Paita.
La Gestión Gubernamental estaba desorganizada. Pero al 06 de Abril del Ejercicio 2011 luego
instaurar los planes de tratamiento de riesgos propuestos por la Auditoría de Riesgos dichos
Implementación, Efectividad, Riesgo y Madurez sus índices ahora eran positivos de 90%
252
Tabla 96: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de mercancías de las
Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora Nº 1 a Nº 20).
A NIVEL ORGANIZACIONAL
Nº MEJORAS GUBERNAMENTALES
1 La Entidad ha instaurado Directivas para monitorear el Control de Ingreso y Salida de Mercancías de las Actividades de
2 La entidad ha instaurado manuales de procedimientos en donde se reflejen todos y cada uno de los lineamientos y políticas a
considerar para la adecuada administración y control del Ingreso y Salida de Mercancías de las Actividades de Almacenes,
Nº MEJORAS GUBERNAMENTALES
3 El personal de operaciones ya ha sido entrenado y capacitado en aspectos de comercio exterior y control gubernamental.
5 A la fecha se viene llevando un adecuado control de las Operaciones de Importación Definitiva y Simplificada.
6 Se viene llevando un adecuado Control de Ingreso de Vehículos actividad de Talleres. Carencia de Tickets de Peso y Manifiestos
de Carga.
7 Se efectúan Conciliaciones y Verificaciones actividad de talleres. Las Diferencias entre el Sistema de Gestión y Documentación
8 Se lleva a cabo un adecuado Control de salida de vehículos actividad de talleres. (En los reportes ya se consigna el Valor CIF ni
9 Se viene llevando a cabo un adecuado Control de salida de partes y piezas actividad de talleres.
12 Se viene llevando a cabo un adecuado Control a los formatos de Órdenes de Salida de Vehículos.
13 Se viene llevando a cabo un adecuado Control de Riesgos Industriales en aspectos de reparaciones de Infraestructuras.
16 Se ha consignado el sustento técnico y legal del Aforo Previo que realizan algunos usuarios del Ceticos Paita.
20 Las Operaciones que efectúa el montacarga son efectuados por el Personal Técnico y monitoreadas por los Oficiales de Seguridad
253
Tabla 97: PT 6.1.1.1: Con la aplicación de esta auditoría de riesgos en el proceso de ingreso y salida de mercancías de las
Actividades de Almacenes, Industrias y Talleres se produjeron 32 mejoras (Mejora Nº 21 a Nº 32).
22 El Sistema de Gestión de la Entidad. ya cuenta con un módulo de Impuestos Generados por Importación Definitiva.
23 Se han Incorporado Controles Automatizados en el Sistema de Gestión de la Entidad para monitorear en línea el ingreso y salida
24 Se han Incorporado Controles Automatizados para monitorear el Ingreso de Mercancías en la actividad de Industrias.
Nº MEJORAS GUBERNAMENTALES
25 Se han Incorporado Controles Automatizados para monitorear el Ingreso de Vehículos en la actividad de Talleres.
28 El Reporte Automatizado del control del montacarga monitorea y registra in situ las incidencias y operaciones que efectúa el
31 Se viene monitoreando de manera mensual a la Empresa que brinda Servicios de Seguridad al Ceticos Paita, en calidad de
Outsorsing. Y en caso de no cumplir con su labora es sujeta a una serie de penalidades y amonestaciones.
32 Se lleva a cabo un adecuado Control de Protección a los Terrenos de la Entidad. Se han demarcado las políticas y lineamientos
para las personas que habitan en los alrededores de las lagunas de Oxidación del Ceticos Paita.
254
Tabla 98: PT 6.2: Supervisión y Monitoreo al sistema de control interno del Ceticos Paita, luego de implementar el plan de
tratamiento de riesgos. Cambios en la performance de los 112 controles al 30/11/2010.
Procesos
Nivel de Madurez a
Nivel de Madurez
Nivel de Riesgo
Nivel Macro
Situación
Situación
Actual
Macro
Elemento
AMBIENTE DE 62.16% 2 4
1
CONTROL Filosofía de la Dirección. 83.33% 1 4
Integridad y valores éticos.
2
60.00% 2 3
Administración Estratégica.
3
50.00% 3 3
Estructura organizacional.
4
33.33% 3 2
Administración de los Recursos Humanos.
5
40.00% 3 2
Competencia profesional.
6
66.67% 2 4
Asignación de autoridad y responsabilidad.
7
100.00% 1 4
Órgano de Control Institucional.
8
100.00% 1 4
EVALUACIÓN DE Planeamiento de la Administración de Riesgos. 100% 1 4
RIESGOS 9 100.00% 1 4
Identificación de Riesgos.
10 100.00% 1 4
Valoración de riesgos.
11
100.00% 1 4
Respuesta al riesgo.
12
100.00% 1 4
ACTIVIDADES DE Procedimiento de Autorización y Aprobación.* 85.29% 1 4
13
CONTROL 50.00% 3 3
GERENCIAL Segregación de funciones.*
14
50.00% 3 3
Evaluación Costo-Beneficio.*
15
100.00% 1 4
Controles sobre el acceso a los recursos o archivos.*
16
100.00% 1 4
Verificaciones y conciliaciones.*
17
100.00% 1 4
Evaluación de desempeño. *
18
50.00% 3 3
Rendición de cuentas.
19
100.00% 1 4
Documentación de procesos, actividades y tareas. *
20
50.00% 3 3
Revisión de procesos, actividades y tareas.*
21
100.00% 1 4
Controles para las tecnologías de Información y comunicaciones.
22
91.67% 1 4
INFORMACIÓN Y Funciones y características de la información. 90% 1 4
23
COMUNIACIÓN 100.00% 1 4
Información y responsabilidad.
24
100.00% 1 4
Calidad y suficiencia de la información.
25
100.00% 1 4
Sistemas de información.
26
50.00% 3 3
Flexibilidad al cambio.
27
100.00% 1 4
Archivo institucional.
28
66.67% 2 4
Comunicación interna.
29 100.00% 1 4
Comunicación externa.
30
100.00% 1 4
Canales de comunicación.
31
100.00% 1 4
SUPERVISIÓN Y Actividades de prevención y monitoreo. 62.50% 2 4
32
AUTOEVALUACIÓN 50.00% 3 3
Seguimiento de resultados.
33
100.00% 1 4
Compromiso de mejoramiento.
34
33.33% 3 2
Resultado Macro en Promedio de los Procesos y Controles sujetos a Evaluación. 78.57% 1 4
78.57% 1 4
255
PT 6.2.1 Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los
Gráfico Nº 22: Nivel de Implementación y Efectividad de los controles del Sistema de Control Interno bajo el enfoque COSO ERM
antes y después de la instauración del plan de tratamiento de medidas correctivas al 30 de noviembre del ejercicio 2010.
100%
90%
85.29%
0%
Efectividad del Sistema de Control Interno del Ceticos Paita dentro de sus 5 componentes de
Medio.
Gráfico Nº 23: Nivel de Riesgo de los controles del Sistema de Control Interno bajo el enfoque COSO ERM antes y después de la
instauración del plan de tratamiento de medidas correctivas al 30 de noviembre del ejercicio 2010.
NR SIN PT NR CON PT
AMBIENTE DE CONTROL
43
21
SUPERVISION 2 1
1
256
El Diagrama Radar nos muestra la Evolución del Nivel de Riesgo del Sistema de Control
Interno del Ceticos Paita dentro de sus 5 componentes de Control quienes antes de la
Aceptable.
Gráfico Nº 24: Nivel de Madurez de los controles del Sistema de Control Interno bajo el enfoque COSO ERM antes y después de la
instauración del plan de tratamiento de medidas correctivas al 30 de noviembre del ejercicio 2010.
NM SIN PT NM CON PT
AMBIENTE DE CONTROL
3
2
3 ACTIVIDADES DE CONTROL
INFORMACION Y COMUNICACIÓN
GERENCIAL
El Diagrama Radar nos muestra la Evolución del Nivel de Madurez del Sistema de Control
Interno del Ceticos Paita dentro de sus 5 componentes de Control quienes antes de la
257
Tabla 99: PT 6.2.1.1 Evolución en el nivel de implementación, efectividad, riesgo y madurez del sistema de control interno bajo el
enfoque COSO ERM del Ceticos Paita del 30/06/2008 al 30/11/2010 a nivel macro.
Evaluación del Sistema de Control Interno Bajo el Enfoque COSO ERM al 30/06/2008
Implementación
35.71% 3 2
Evaluación del Sistema de Control Interno Bajo el Enfoque COSO ERM al 30/11/2010
78.57% 1 4
Al 30 de Junio del Ejercicio 2008 los 5 componentes de Control Interno inmersos en El Sistema
de Control Interno del Ceticos Paita bajo el Enfoque Coso ERM, poseían niveles de
2 Repetible eran Índices Negativos, para el Ceticos Paita. El Sistema de Control Interno
estaba siendo mal administrado y controlado. Pero al 30 de Noviembre del Ejercicio 2010 luego
instaurar los planes de tratamiento de riesgos propuestos por la Auditoría de Riesgos dichos
Implementación y Efectividad, Riesgo y Madurez sus índices ahora eran positivos de 90%
Misionales.
258
Tabla 100: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el
enfoque coso ERM se produjeron 72 mejoras (Mejora Nº 1 a Nº 4).
AMBIENTE DE CONTROL
Nº COMPONENTES MEJORAS
Control Interno.
Administración de Riesgos.
el cual plasma sus inquietudes con respecto a la Gestión que se realiza en la Entidad.
2 INTEGRIDAD Y VALORES El Ceticos Paita ya cuenta con un Código de Ética debidamente aprobado y difundido
259
Tabla 101: PT 6.2.1.1.1 con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
coso ERM se produjeron 72 mejoras (Mejora Nº 2 a Nº 21).
AMBIENTE DE CONTROL
Nº COMPONENTES MEJORAS
5 ADMINISTRACIÓN La Gerencia General viene exigiendo que todas las Áreas, Departamentos formulen, implementen y evalúen
8 CETICOS PAITA cuenta con un Plan Estratégico Institucional 2010 – 2022 actualizado. CETICOS PAITA
cuenta con un Plan Operativo Institucional 2010 actualizado, Elaborado por todas las Áreas.
9 Los resultados de las mediciones efectuadas a los planes operativos en los últimos dos semestres están dentro
10 ESTRUCTURA La estructura organizacional se viene desarrollando sobre la base de la misión, objetivos y actividades de la
11 El nuevo Manual de Organización y Funciones (MOF) refleja todas las actividades que se realizan en la
13 Todas las personas que laboran en la entidad ocupan una plaza prevista en el Presupuesto Analítico de
14 La Dirección se asegura que a corto y mediano plazo los trabajadores conozcan los documentos normativos
(MOF, ROF, CAP y demás manuales) que regulan las actividades de la entidad.
15 Se han elaborado los manuales de procesos con sus respectivos flujos de información de los procesos
16 ADMINISTRACIÓN El Ceticos Paita viene implementando lineamientos para la selección y contratación de personal.
17 DE RECURSOS El Ceticos Paita trabaja con programas de Inducción para el personal que ingresa a laborar en la entidad.
18 HUMANOS Se ha venido incorporando personal competente para que realice labores de apoyo y consulta en las unidades
19 La entidad ya viene elaborando anualmente un plan de formación y capacitación del personal, con la
20 La escala remunerativa está en relación con el cargo, funciones y responsabilidades asignadas. A mediano y
largo plazo se vienen haciendo los esfuerzos necesarios con el Ministerio de Economía y Finanzas para la
Aprobación de una nueva Escala Remunerativa acorde con las exigencias del Mercado.
21 COMPETENCIA Se ha diseñado un manual denominado gestión de competencias, en fases siguientes se determinará las
260
Tabla 102: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
coso ERM se produjeron 72 mejoras (Mejora Nº 22 a Nº 39).
AMBIENTE DE CONTROL
Nº COMPONENTES MEJORAS
22 ASIGNACIÓN DE La Autoridad y Responsabilidad de los Colaboradores ya ha sido definida y delimitada en el Nuevo Manual
23 RESPONSABILIDAD El Nuevo Manual de Organización y Funciones y los Nuevos Manuales de Procedimientos Instaurados
24 Ahora el personal conoce sus responsabilidades y actúa de acuerdo con los niveles de autoridad que le
EVALUACION DE RIESGOS
Nº COMPONENTES MEJORAS
25 PLANIFICACIÓN DE La entidad cuenta con un plan de gestión de riesgos dentro del plan de seguridad de la Información.
26 RIESGOS La Dirección ha difundido la Gestión de Riegos con la Ayuda del Plan de Seguridad de la Información del
Ceticos Paita.
29 IDENTIFICACIÓN DE Actualmente ya Están identificados los Riesgos Significativos por cada objetivo dentro del plan de seguridad
30 Actualmente dentro del plan de seguridad de la información de la entidad Están identificados los riesgos
35 Los Riesgos, sus probabilidades e impactos han sido registrados dentro del Plan de Seguridad de la
36 RESPUESTA AL Dentro del Plan de Seguridad de la Información del Ceticos Paita se han establecido las acciones necesarias
37 Dentro del Plan de Seguridad de la Información del Ceticos Paita se han definido los lineamientos para
monitorear y revisar a los controles que mitigan a los riesgos identificados por la Organización.
38 PROCEDIMIENTOS El Ceticos Paita ya cuenta con Manuales de Procedimientos de los Procesos Críticos del Negocio.
39 DE Los Manuales de Procedimientos fueron comunicados a todos y cada uno de los Colaboradores de la Entidad
APROBACIÓN
261
Tabla 103: PT 6.2.1.1.1 con la Aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
coso ERM se produjeron 72 mejoras (Mejora Nº 40 a Nº 52).
Nº COMPONENTES MEJORAS
40 SEGREGACIÓN DE Las actividades expuestas a riesgos de error o fraude ya fueron asignadas a diferentes personas o equipos
FUNCIONES de trabajo.
41 Se vienen efectuando rotaciones periódicas del personal asignado en puestos susceptibles a riesgos de
fraude
42 EVALUACIÓN COSTO El costo de los controles establecidos para sus actividades está de acuerdo a los resultados esperados
BENEFICIO (beneficios). Esto se puede apreciar en los controles tecnológicos que posee la entidad (Cámaras de
Seguridad, Control de Ingreso y Salida de Personal) que a la fecha le están generando buenos resultados.
43 Actualmente la entidad viene tomando en cuenta que el costo de establecer un control tecnológico no
44 CONTROLES SOBRE La Entidad ya cuenta con procedimientos establecidos y documentados para la utilización y protección de
45 RECURSOS Y Actualmente el acceso a los recursos o archivos queda evidenciado en documentos tales como Oficios,
46 Periódicamente Se llevan a cabo arqueos semestrales e inventarios anuales para comparar los recursos
47 VERIFICACIONES Y Las unidades orgánicas y el Órgano de Control Institucional del Ceticos Paita periódicamente llevan a
48 La entidad ha instaurada como practicas sanas de control conciliaciones de saldos, bancos, inventarios y
financiera presupuestal.
49 EVALUACIÓN DE La entidad cuenta con indicadores de desempeño para los procesos, actividades y tareas en función al Plan
50 Actualmente La evaluación de desempeño se hace con base en los planes organizacionales, disposiciones
normativas vigentes, prueba de ello es la evaluación de cumplimiento del Plan Operativo Institucional
2010.
51 DOCUMENTACIÓN DE Los procesos, actividades y tareas de la entidad se encuentran definidos, establecidos y documentados en
PROCESOS, los nuevos manuales de Procedimientos de los procesos críticos del negocio.
ACTIVIDADES Y
TAREAS
52 REVISIÓN DE Se vienen implementando todas y cada una de las mejoras propuestas por las unidades orgánicas y Órgano
ACTIVIDADES Y
TAREAS
262
Tabla 104: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
coso ERM se produjeron 72 mejoras (Mejora Nº 53 a Nº 69).
54 LAS TECNOLOGÍAS Se han definido los controles de acceso general (seguridad Física y Lógica de los equipos centrales).
55 DE INFORMACIÓN Y Los programas informáticos (software) de la entidad cuentan con licencias y autorizaciones de uso.
COMUNICACIONES
INFORMACION Y COMUNICACIÓN
56 INFORMACIÓN Y Se cuenta con políticas y procedimientos que garantizan el adecuado suministro de información para el
de la Entidad.
57 CALIDAD Y La información interna y externa que maneja la entidad viene siendo útil, oportuna y confiable en el
59 SISTEMAS DE Periódicamente los Colaboradores de Informática solicitan a los usuarios opinión sobre el sistema de
INFORMACIÓN información registrándose los reclamos e inquietudes para priorizar las mejoras
60 ARCHIVO La entidad ya cuenta con una unidad orgánica que se encarga de administrar la documentación e
64 La entidad cuenta con mecanismos y procedimientos para la denuncia de actos indebidos por parte del
personal.
65 COMUNICACIÓN La entidad cuenta con mecanismos y procedimientos adecuados para informar hacia el exterior sobre su
67 La entidad cuenta con mecanismos y procedimientos para asegurar la adecuada atención de los
68 CANALES DE Dentro de los nuevos manuales de procedimientos y nuevo reglamento interno de trabajo que posee la entidad
COMUNICACIÓN que posee la entidad se han implementado políticas que estandarizan una comunicación interna y externa,
revistas.
69 Estos canales de comunicación permiten que la información fluya de manera clara, ordenada y oportuna.
263
Tabla 105: PT 6.2.1.1.1 Con la aplicación de esta auditoría de riesgos en el sistema de control interno del Ceticos Paita bajo el enfoque
coso ERM Se produjeron 72 mejoras (Mejora Nº 70 a Nº 72).
SUPERVISIÓN
Nº COMPONENTE MEJORAS
70 ACTIVIDADES DE Las unidades orgánicas Vinculadas con los procesos Críticos del negocio vienen realizando reiteradamente
MONITOREO
71 COMPROMISO DE La entidad efectúa periódicamente autoevaluaciones que le permite proponer planes de mejora que son
72 Se implementan las recomendaciones producto de las autoevaluaciones realizadas por Gerencia General,
264
Tabla 106: PT 6.3 Supervisión y Monitoreo al Sistema de Gestión de Seguridad de la Información, luego de implementar el plan de
tratamiento de riesgos. Cambios en la performance de los controles Nº 1 al Nº 20 al 06/04/2011.
SUJETOS A Riesgo
EVALUACION
Controles). Organización.
C2: Política SGSI. x 90% 90% 1 4
tratamiento de riesgos.
riesgos.
Riesgo Residual.
Información.
IMPLEMENTACIÓN (6 Responsabilidad C10: Formulación del Plan de Tratamiento de riesgos. x 90% 90% 1 4
Riesgos.
de la Información.
Control).
Resultado Macro en Promedio de los Procesos y Controles sujetos a Evaluación. x 90% 90% 1 4
265
PT 6.3.1 Evolución del Nivel Implementación, Efectividad, Riesgo y Madurez de los
Gráfico Nº 25: Análisis del nivel de Implementación de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos
Paita antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE IMPLEMENTACIÓN DE LOS CONTROLES DEL SGSI DEL CETICOS PAITA
ANTES Y DESPUÉS DE INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (01/01/2011 AL
06/04/2011)
90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20
quienes antes de la instauración de los 2 planes de tratamiento de Riesgos Poseían índices que
90% Cumplimiento.
Gráfico Nº 26: Análisis del nivel de Efectividad de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos
Paita antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ej ercicio 2011.
ANÁLISIS DEL NIVEL DE EFECTIVIDAD DE LOS CONTROLES DEL SGSI DEL CETICOS
PAITA ANTES Y DESPUÉS DE INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (DEL
01/01/2011 AL 06/04/2011)
90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90%90% 90% 90% 90%90% 90%90%
50% 50%
C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 C11 C12 C13 C14 C15 C16 C17 C18 C19 C20
266
El Histograma de Frecuencias nos muestra la Evolución del Nivel de Efectividad de los
quienes antes de la instauración de los 2 planes de tratamiento de Riesgos Poseían índices que
Gráfico Nº 27: Análisis del Nivel de Riesgo de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos Paita
antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ejercicio 2011.
ANÁLISIS DEL NIVEL DE RIESGO DE LOS CONTROLES DEL SGSI DEL CETICOS PAITA
ANTES Y DESPUÉS DE INSTAURAR EL PLAN DE TRATAMIENTO DE RIESGOS (DEL
30/03/2010 AL 06/04/2011)
C1
C20 C2
C19 3.5 C3
C18 2.5 C4
4C17 C5
0.5
C16 C6
C15 C7
C14 C8
C13 C9
C12
C11
El Diagrama Radar nos muestra la Evolución del Nivel de Riesgo de los 20 Controles evaluados
Pero al 06 Abril del Ejercicio 2011 los 20 controles mitigan en promedio a Niveles de Riesgo
1 Aceptable.
267
Gráfico Nº 28: Análisis del Nivel de Madurez de los controles del Sistema de Gestión de Seguridad de la Información del Ceticos Paita
antes y después de instaurar el plan de tratamiento de riesgos del 01 de enero del ejercicio 2011 al 06 de abril del ej ercicio 2011.
C1
C2
C19 3.5 C3
C18 2.5 C4
3
4 1.5
C17 3
0.5
4C15 C7
4
C14 C8
C13 C9
C10
El Diagrama Radar nos muestra la Evolución del Nivel de Madurez de los 20 Controles
Administrados. Pero al 06 Abril del Ejercicio 2011 los 20 controles ya poseían un nivel de
Madurez 4 Administrado.
Tabla 107: PT 6.3.1 Evolución del nivel implementación, efectividad, riesgo y madurez de los controles sujetos a evaluación del
Sistema de Gestión de Seguridad de la Información del Ceticos Paita del 30/03/2010 al 06/04/2011. A nivel macro.
90% 86% 1 4
90% 90% 1 4
Al 30 de Marzo del Ejercicio 2010 los 20 componentes inmersos dentro del Sistema de
268
Efectividad, Riesgo y Madurez del 90% Cumplimiento, 86% Incumplimiento Medio, 1
de una manera normal salvo por dos controles que habían sido vulnerados, vinculados con el
del Ejercicio 2011 luego instaurar los planes de tratamiento de riesgos propuestos por la
sus niveles de Implementación y Efectividad, Riesgo y Madurez sus índices ahora eran
269
PT 6.3.1.1 Con la Aplicación de esta Auditoría de Riesgos en el Sistema de Gestión de
Tabla 108: Mejoras dentro del Sistema de Gestión de Seguridad de la información del Ceticos Paita luego de la aplicación de la
auditoría de riesgos (Mejora Nº 1 a Nº 9).
Nº PROCESO MEJORAS
6 Se han seleccionado los objetivos de control y controles para el tratamiento de los riesgos.
270
Tabla 109: Mejoras dentro del Sistema de Gestión de Seguridad de la Información del Ceticos Paita luego de la aplicación de la
auditoría de riesgos (Mejora Nº 9 a Nº 20).
Nº PROCESO MEJORAS
10 IMPLEMENTACIÓN Se ha formulado un plan de tratamiento de riesgo que identifica la acción gerencial apropiada, los recursos,
11 Se ha Implementado el plan de tratamiento de riesgo para poder lograr los objetivos de control identificados,
12 Se han Implementado los controles seleccionados para satisfacer los objetivos de control (proceso de
especificado cómo se van a utilizar estas mediciones para evaluar la efectividad del control para producir
15 Se manejan las operaciones y recursos para el Sistema de Gestión de Seguridad de la Información del Ceticos
Paita.
16 Se han Implementado los procedimientos y otros controles capaces de permitir una pronta detección de y
17 MONITOREO La Organización cuenta con un calendario de prevención y monitoreo al Sistema de Gestión de Seguridad de
19 Se vienen cumpliendo con las Regulaciones Internas del Ceticos Paita en materia de adecuado uso de
20 MEJORA El SGSI tiene una metodología para el adecuado tratamiento de las acciones correctivas y preventivas.
CONTINUA
271
Anexo Nº 8: Fase Nº 7: Comunicación y Consulta
PT 7: Informe Ejecutivo de la Aplicación de la Auditoría de Riesgos al Proceso de
Resultados:
32 Controles que poseen tendencias aceptables nivel de implementación y efectividad del 90%
La Gerencia viene cumpliendo en lo posible con las Normas Internas y de Gobierno para el
Talleres e Industrias.
Al 06/04/2011 los 32 planes de tratamiento de riesgos emitidos por mi persona a partir del
el Ceticos Paita.
Se vienen sancionando a Usuarios que Infringen los controles internos instaurados por la
Entidad.
Se viene trabajando en nuevas regulaciones para controlar los procesos de las actividades de
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa MG.
Jefe de Órgano de Control Institucional del Ceticos Paita.
272
PT 7.1: Informe Ejecutivo de la Aplicación de la Auditoría de Riesgos al Sistema de Control
Resultados:
Implementación y efectividad del 78.57%, así mismo mitiga a niveles de riesgo 1 Aceptable y
El Ceticos Paita viene cumpliendo de manera gradual Las Normas de Control Interno emitidas
El Comité de Control Interno del Ceticos Paita viene realizando reuniones de coordinación
Se reportó una Acción de mejora para mejorar la Gestión Gubernamental del Ceticos Paita.
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa MG.
Jefe de Órgano de Control Institucional del Ceticos Paita.
273
PT 7.1.1: Informe Ejecutivo de la Aplicación de Auditoría de Riesgos al Sistema de Gestión
de la Seguridad de la Información
Resultados:
implementación y efectividad del 90% respectivamente, así mismo dichos controles mitigan en
que reflejan que dichos sistema se encuentra contribuyendo al logro de los objetivos misionales.
requerimientos establecidos en: Los manuales del Uso adecuado de los recursos informáticos
Refrendado por;
CPCC. Nicolay Alexander Galecio Sosa MG.
Jefe de Órgano de Control Institucional del Ceticos Paita.
274
Anexo Nº 9: Fase 8: Estado Situacional de las Recomendaciones de Auditorías de
Riesgos
Gráfico Nº 29: Estado situacional de las recomendaciones emitidas en los informes de Auditoría de Riesgos del ejercicio 2007 al
ejercicio 2011.
106
72
32
0 0 0 0 2 0 0 0 100% 0% 0%
De un total de 106 Recomendaciones emitidas de Enero del 2007 al 30 de Marzo del 2011,
puedo concluir que a la fecha han sido atendidas todas y cada una de las recomendaciones
formuladas por mi persona en Calidad de Auditor Interno del Ceticos Paita como
del 100%, nos encontramos ahora con una gestión gubernamental y eficiente, es decir el
Gerente General del Ceticos Paita ha reconocido que la Auditoría de Riesgos ayuda a la
Empresa a Administrar los Recursos del Estado de una Manera Transparente y Ordenada
275
Anexo Nº 10: Herramienta Automatizada Creada por el Investigador para la Realización
de la Auditoría de Riesgos
Para la Auditoría de Riesgos con la cual trabaje por 5 años (2007 Al 2011) idee mi propia
herramienta automatizada con la Ayuda de la Hoja de Cálculo Excel para Cada una de las Fases
de Auditoría de Riesgos la misma que explicaré a continuación y que tiene por nombre
Imagen 1: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar las marcas de
auditoría.
Auditor que elaboró el Papel de Trabajo, la Fecha del Desarrollo de dicho papel de trabajo y
su código de referencia.
276
Imagen 2: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar el programa de
auditoría.
Imagen 3: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar el diagrama de los
procesos a auditar.
277
Imagen 4: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar el enunciado de
aplicabilidad.
Imagen 5: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió evaluar el nivel de
implementación, riesgo y madurez de los controles sujetos a auditoría.
278
Fase 4: De manera inmediata la Herramienta proceso los Histogramas de Frecuencia y
Imagen 6: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió elaborar los histogramas de
frecuencia y diagramas radar.
279
Fase 5: La Herramienta me permitió confeccionar el Plan de Tratamiento de Riesgos, en donde
pude enfatizar en: Los Procesos y Número de Controles Evaluados, Plan de tratamiento de
Imagen 7: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió confeccionar los planes de
tratamiento de riesgos.
Fase 6: La Herramienta me permitió procesar y monitorear en tiempo real los nuevos resultados
Obtenidos por el Ceticos Paita, luego de haber instaurado los Planes de Tratamiento de Riesgos
280
Imagen 8: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de la
puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las mejoras en
el comportamiento de los controles.
Imagen 9: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de la
puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las evolución de
los niveles de implementación , efectividad, riesgo y madurez de los controles evaluados.
281
Imagen 10: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de
la puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las evolución
de los controles evaluados a nivel macro.
Imagen 11: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar los resultados de
la puesta en práctica de los planes de tratamiento de riesgos por parte de los auditados, enfatizando sustancialmente en las mejoras
alcanzadas por la entidad.
282
Fase 7: La Herramienta me permitió procesar el Informe Ejecutivo de las Auditorías de Riesgo
Imagen 12: Imagen de la herramienta automatizada NGS para auditorías de riesgos (ERM) que permitió procesar el informe ejecutivo
de la evaluación de auditoría de riesgos.
283
Anexo Nº 11: Definición de Términos
APA: American Psychological Association.
de Paita.
(CETICOS).
NVOS: Nuevos.
284
PAC: Plan Anual de Capacitación.
285