2011

AUDITORA DE SISTEMAS
TEMA: COBIT ORIENTADO A LA AUDITORA
INTEGRANTES: CAYLLAHUA LEON, JOYCER CUEVA BARDALES, HENRY PRADO MARCA, FERNANDO VARGAS OLIVA, CHARLE

PROFESOR: DR. OSCAR MUJICA RUIZ

COBIT ES UN PROCESO DE SOPORTE PARA LAS TECNOLOGAS DE INFORMACIN (TI) QUE GARANTIZA LA ALINEACIN CON LA ESTRATEGIA CORPORATIVA

Auditores de sistemas de informacin: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido.

Conjunto de buenas prcticas a travs de un marco de trabajo conformado por dominios y procesos que les permitir optimizar sus inversiones de TI

Y divide los procesos de TI de la empresa en 4 reas:

CONSTRUIR PLANEAR EJECUTAR Ofreciendo una visin de MONITOREAR punta a punta de la TI

Objetivos de Negocio Objetivos de Gobierno

INFORMACIN

Monitorear y Evaluar

Eficiencia Efectividad Cumplimiento Confiabilidad Recursos de TI Aplicaciones Informacin Infraestructura Personas

Integridad Disponibilidad Confidencialidad

Planear y Organizar

Entregar y Dar Soporte

Adquirir e Implementar

AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Descripcin del Proceso

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos y requerimientos de seguridad. Esto permite apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.

AI2.4 Seguridad y disponibilidad de las aplicaciones. Derechos de acceso y administracin de privilegios, proteccin de informacin sensible en todas las etapas, autenticacin e integridad de las transacciones y recuperacin automtica.

Al momento de auditar el sistemas se verificar el nivel de accesibilidad de los Usuarios de las aplicaciones

AI2.4 Seguridad y disponibilidad de las aplicaciones. Verificar que ada usuario necesariamente deber tener un nivel de accesibilidad a las aplicaciones

AI2.7 Desarrollo de software aplicativo

Evaluar que en el desarrollo que se sigan los estndares establecidos Modelo para creacin de formularios

Estndar de programcion.Net Estndar de programacin SQL

Descripcin del Proceso

Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI. Una efectiva administracin de la seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.

DS5.1 Administracin de la seguridad de TI

Administrar la seguridad de TI al nivel ms apropiado dentro de la organizacin, de manera que las acciones de administracin de la seguridad estn en lnea con los requerimientos del negocio.

Seguridad a nivel de Servidor de Base de datos

DS5.3 Administracin de identidad

Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, operacin del sistema, desarrollo y mantenimiento) deben ser identificables de manera nica. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio.

DS5.4 Administracin de cuentas del usuario

Garantizar que la solicitud, establecimiento, emisin, suspensin, modificacin y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario.

CASO 1:
MEYCOR COBIT AG aplicado en WEST FINANCIALS
PRESENTANDO A LOS ACTORES:
La firma de auditora ABC AUDIT se dedica a realizar auditorias externas en
organizaciones sobre el control, la seguridad y la gobernabilidad de sus sistemas de tecnologa de la informacin. Desde hace ya 5 aos la empresa utiliza el estndar COBIT para realizar su trabajo y ltimamente incorpor el software MEYCOR COBIT AG para automatizar y facilitar la tarea. La empresa WEST FINANCIALS es una empresa de servicios que tiene una cartera de casi 20.000 clientes. Sus operaciones de venta se realizan a crdito, con un grupo

importante de condiciones diferentes por lo que el sistema informtico de Cuentas a

Cobrar resulta crtico, para alcanzar sus objetivos de negocio.

CASO 2:
MEYCOR COBIT AG aplicado en WEST FINANCIALS
PLANTEAMIENTO DEL PROBLEMA:
Todo el sistema informtico consolida la informacin en Montevideo. Cuenta con
procedimientos de cobro va electrnica y bancaria, por tarjetas de crdito y tiene un grupo de casi 100 cobradores organizados en equipos. Recientemente se han producido algunos problemas puntuales dados por errores en las cobranzas que afectan la imagen de la empresa. El sistema informtico de desarrollo interno, se afirma que se encuentra correctamente diseado, si bien las reas usuarias del mismo mantienen algunas reservas. Un trabajo primario, basado en la metodologa del Informe COSO, determin que existe en el proceso Cuentas a Cobrar una exposicin al riesgo superior a lo aceptable por la organizacin. Los riesgos identificados tienen una valoracin significativa y no se encuentran adecuadamente cubiertos por las actividades de control existentes.

En primer lugar, el Administrador

ingresa al software Meycor COBIT AG y crea un usuario JMartinez al que le define el perfil de supervisor. Posteriormente se ingresan los otros integrantes de la auditoria en sus diversos roles.

Creacin de un usuario

Un centro de anlisis, es el objeto de la

auditora, es el
escenario sobre el que debe emitirse la opinin.

Creacin de un centro de anlisis

Para el proyecto especifico se define el

tipo de proyecto, en este caso se trata de

una auditoria de procesos de TI (auditora a nivel de los Objetivos de Control de alto nivel de Cobit). Se crea el Proyecto de auditoria al cual se da el nombre de Sistema de Cuentas a Cobrar WF

Creacin del proyecto y definicin de su objetivo y alcance.

Consiste en definir primero los niveles jerrquicos posteriormente organigrama. crear Esto y el es

creado por el supervisor. Men: Centro de Anlisis

Organigrama

Definicin de proceso de negocio.

Detalle de las columnas: Efectividad o Eficacia, Integridad, Eficiencia, Confidencialidad, Cumplimiento, Disponibilidad,

Confiabilidad de la informacin.

Requerimientos de Informacin.

Se ingresa la informacin de los diversos

recursos de Ti (clasificados en personas,

datos, aplicaciones, infraestructura tecnolgica e instalaciones). Mediante la facilidad de seleccionar y

arrastrar los recursos de TI se relacionan

con los requerimientos de informacin previamente identificados.

Relacin entre procesos de negocio y procesos de COBIT.

En esta etapa puede ayudar el conjunto de planillas que define el Implementation Tool Set de Cobit para

obtener una informacin primaria de los

procesos de Cobit preseleccionados para auditar o incluso agregar algunos adicionales.

Planillas de auditoria.

Se asignan los Procesos de Cobit (o los

Objetivos de Control de bajo nivel), para la auditora, al equipo de evaluadores asignados al proyecto.

Ejemplo de la asignacin de procesos de COBIT a un revisor.

El Revisor Carlos ingresa a Meycor COBIT AG y RECIBE UN MENSAJE DE

Alerta

que

le

indica

que

ha sido

asignado a un proyecto de auditoria. Puede ver la informacin del mismo (organigrama, procesos de Recursos de Ti, etc.) negocio.

Se determina sobre que objetivos de control auditar

Etapa 1: Entrevistas
Vemos que el proceso comienza con entrevistas, las mismas permiten tener una primera visin del objeto de la auditora.

Ejemplo de un hallazgo en la etapa de entrevistas

Etapa 2: Documentacin En este caso se obtienen los manuales tcnicos y de usuarios de la aplicacin.

Registro de las tareas efectuadas

Etapa 3: Emisin de una primera opinin A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles

suficientes

para

los

riesgos

involucrados en la aplicacin.

Evaluacin de Controles.

Etapa 4: Verificar el cumplimiento de los controles Aqu se revisa que esos controles estn funcionando.

Verificacin de controles

Etapa 5: Realizacin de muestreos Consideraciones del riesgo de auditora. Si hay medidas de control.

Si las medidas de control existentes

fueron evaluadas como no suficientes.

Determinacin del muestreo

Etapa 6: Emisin de una conclusin final Se emite una conclusin (en este caso es

para los Objetivos de control que forman

un proceso)

Se indica si hay o no aseguramiento.

CASO 2:
Modelo de Auditora basado en COBIT para Servicios de Internet en el Ambito Hospitalario
La aparicin de nuevas posibilidades de proceso de la informacin y de nuevos flujos de informacin ha provocado la aparicin de nuevos riesgos y amenazas con respecto a la informacin y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologas y del contexto hospitalario para construir nuevos enfoques de auditora de sistemas de informacin sanitarios. Se presenta un Modelo General basado en el marco formal de Auditora denominado COBIT.

ANTECEDENTES
Criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Los Sistemas de Informacin Hospitalarios

Areas conceptuales en un Sistema de Informacin Sanitaria

Arquitectura y tipos de Sistemas de Informacin hospitalarios segn el enfoque clsico

Incorporacin de Internet e Intranets en el hospital

Aspectos gestin y seguridad de las intranets hospitalarias

Problemas de seguridad y gestin de los nuevos flujos de informacin y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad tcnica del personal de informtica
Planificacin Organizacin Seguridad Adquisicin Mantenimiento Servicios

 Objetivo

.- Se ha determinado el contexto del problema y el alcance del

estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un anlisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditora. Todo ello se ha realizado aplicando el marco metodolgico de auditora denominado COBIT

Descripcin del estudio

El contexto del problema .- El contexto del problema es la implantacin de una red IP en una organizacin hospitalaria para dar servicios generales de informacin a las distintas unidades clnicas de dicho hospital.
El alcance del estudio.- consiste en la adquisicin, instalacin, explotacin y mantenimiento de una intranet con salida al exterior para conectarse a Internet a travs de redes oficiales del sector, sean estatales, sean regionales

Elementos

Planificacin

Adquisicin

Mantenimiento

Seguridad

Servicio

Gerencia Responsable Informtica Tcnicos Informtica Webmaster Administrador Seguridad Personal clnico (med., enfer.)
Personal auxiliar (celad., etc.) Pacientes / usuarios Tecnologas Mercado Marco Legal Marco Normativo Estndares Proveedores Hw base: servidores Hw redes Sw base: sis. op., ser. Web Sw redes Sw Info: BD, etc. Sw. aplicacin

4 4

4 4
4 4 4 4 4 4 4 4 4

4
4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 Elementos del sistema en estudio 4 4 4 4 4 4 4 4 4 4 4 4

4 4

4 4 4 4 4 4

Elementos Gerencia Responsable Informtica Tcnicos Informtica Webmaster Administrador Seguridad Personal clnico (med., enfer.) Personal auxiliar (celad., etc.) Pacientes / usuarios Tecnologas Mercado Marco Legal Marco Normativo Estndares Proveedores Hw base: servidores Hw redes Sw base: sis. op., ser. Web

Eficiencia y Confiden- DsiponiIntegridad Cumplimiento Fiabilidad Efectividad cialidad bilidad 4 4 4 4 4 4 4 4 4 4 4 4

4 4 4 4 4 4 4

4 4

4 4 4

4 4

4 4

4 4 4 4 4

4 4 4 4 4

4 4

4 4 4

Sw redes Sw Info: BD, etc. Sw. aplicacin

4 4 4
Riesgos Asociados

4 4 4

4 4

4 4 4

Resultados

Se presenta y discute un modelo de desarrollo de auditora para soluciones de Internet en los sistemas de informacin sanitarios del mbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guas de auditora para auditar dichos objetivos. En primer lugar, se construye el modelo en funcin de los dominios y los procesos de cada dominio. En este modelo se busca la adscripcin a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporacin de una intranet: Planificacin, Adquisicin, Mantenimiento, Seguridad, y Servicios (oferta y explotacin de los servicios). Para cada funcin se determina el grado de cumplimiento de los objetivos de gestin: P, Primario; y S, Secundario (vase la Tabla 3) (ISACA-FMWK, 2000). A continuacin, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratgico de sistema, la funcin de Planificacin debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000): P01.1. Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo: La gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin. ...... P01.6. Evaluacin de Sistemas Existentes: La Gerencia de servicios informticos debe evaluar los sistemas existentes en trminos de nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.

DOMINIOS Y PROCESOS DE COBIT QUE INTERVIENEN SOBRE LAS FUNCIONES DEL SISTEMA EN ESTUDIO
ESTRUCTURA DE COBIT DOMINIO PROCESO DENOMINACIN PROCESO INCORPORACIN INTRANET Planificacin Adquisicin Mantenimiento Seguridad Servicios

PO1 PO2 PO3 PO4 Planeacin y Organizacin PO5 PO6 PO7 PO8 PO9 PO10 PO11 Adquisici ne Implementacin AI1 AI2 AI3

Definir un plan estratgico de sistema Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI) Comunicar la direccin y objetivos de la gerencia Administrar los recursos humanos Asegurar el apego a disposiciones externas Evaluar riesgo Administrar proyecto Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica

P P S S P S P P S S S P P P P P P S S P P P P S P S P P P P P P P P P P P S S P P P

AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 Entrega de servicios y Soporte DS6 DS7 DS8 DS9

Desarrollar y mantener procedimiento Instalar y acreditar sistemas de informacin Administrar cambio Definir niveles de servicio Administrar servicios de tercero Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistema Identificar y asignar costo Educar y capacitar a usuario Apoyar y orientar a clientes Administrar la configuracin P P

P P P P

P P P

P P

P P P S P P P P

S S P P P P P P P P P P P

DS10 Administrar problemas e incidente DS11 Administrar la informacin DS12 Administrar las instalaciones DS13 Administrar la operacin M1 M2 Monitoreo M3 M4 Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente P P S S S

S P

II.- CARACTERISTICAS DEL GRUPO COLOMBIA

El Grupo Bancolombia ya contaba con polticas y procedimientos de control interno y riesgos mucho antes de que los escndalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran.

El Grupo adopt e implement un esquema de administracin de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la informacin contable.
El Grupo Bancolombia adopt los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compaas que hacen parte del Grupo, con el propsito de aplicarlos en el diseo y valoracin del sistema de control interno.

I.- FUNCIONES DEL GRUPO BANCOLOMBIA

A travs de la Fundacin Bancolombia se materializa el compromiso social y comunitario del Grupo Bancolombia. Trabajamos por el desarrollo integral de las comunidades.

Desarrollamos lneas de trabajo que buscan minimizar el impacto directo e indirecto de nuestras actividades en el medio ambiente

Acercamos las actividades financieras a diferentes poblaciones, generando cada vez mayor crecimiento y posibilidades de inversin para los grupos de inters.

III.- RGANO DE CONTROL INTERNO (SCI)

LA SCI
Todas las personas que hacen parte del Grupo Bancolombia (empleados, miembros de junta, comits, proveedores, outsourcing, entre otros) son responsables por el adecuado funcionamiento del Sistema de Control Interno. No obstante, se muestran a continuacin unos roles clave y fundamentales que aportan de manera directa a la efectividad del SCI

El Sistema de Control Interno es el encargado de ejercer el control general, interno posterior a los actos y operaciones del grupo Bancolombia.

El Sistema de Control Interno cuenta con el rea de auditoria en la cual cuenta con independencia funcional y tcnica respecto de la administracin de GBC, dentro del mbito del grupo. Este rgano mantiene una vinculacin de dependencia funcional con la Gerencia general.

AREAS DE APOYO AL CONTROL INTERNO EN EL GRUPO BANCOLOMBIA

ADMINISTRACIN: En cabeza del representante legal de cada compaa del Grupo Bancolombia y que se apoya en los lderes de procesos de negocio, es la responsable de dirigir la implementacin de los procedimientos de control y revelacin, verificar su operatividad al interior de la correspondiente entidad y su adecuado funcionamiento con la ayuda de los auditores ya sea interno o externo. DIRECCIN DE CONTABILIDAD: Es el rea que lidera el tema de SOX y SCI responsable del establecimiento y mantenimiento de adecuados sistemas de revelacin y control de la informacin financiera y contable. GERENCIA DE GESTIN DE CONTROL INTERNO: Es el rea que fomenta el Gobierno Corporativo apoyando el diseo y aplicacin del Sistema de Control Interno bajos los lineamientos de la normatividad local e internacional. Capacita, asesora y acompaa a la Administracin en estos modelos y recopila las evidencias que sustentan la evaluacin peridica para su certificacin a nivel de Grupo. VICEPRESIDENCIA DE RIESGOS: Es el rea especializada en la administracin integral del riesgo del Grupo Bancolombia, encargada de la identificacin, medicin y mitigacin de riesgos. DIRECCIN INGENERA DE PROCESOS: Es el rea responsable del diseo de los procesos y que estos contemplen los lineamientos estratgicos del Grupo y la normatividad aplicable. As mismo es responsable de la administracin de los controles. VICEPRESIDENCIA DE TECNOLOGA: Es el rea de apoyar el modelo de control interno para procesos de tecnologa bajo el marco de referencia COBIT.

FUNCIONES DEL SCI

Las Empresas del Grupo Bancolombia debern contar con un SCI integrado por principios, polticas, normas y procedimientos encaminados a proporcionar transparencia y seguridad a los diferentes Grupos de Inters de cada empresa.

La adopcin del SCI, debe contemplar la necesidad de que la alta direccin de cada empresa y el resto de la organizacin, comprendan cabalmente la trascendencia del control interno y la incidencia del mismo sobre los resultados de la gestin, considerndolo como un conjunto de actividades integradas a los procesos operativos de las empresas. Se entiende por SCI el conjunto de polticas, principios, normas, procedimientos y mecanismos de verificacin y evaluacin establecidos por la junta directiva, la alta direccin y dems funcionarios de una organizacin de forma periodica para proporcionar un grado de seguridad razonable en cuanto a la consecucin de los objetivos.

INFORME DEL SISTEMA DE CONTROL INTERNO DE BANCOLOMBIA

La Junta Directiva y el Representante Legal presentan a los seores accionistas, el siguiente informe sobre el funcionamiento del Sistema de Control Interno del Banco, el cual incluye las gestiones adelantadas por el Comit de Auditora:

El Sistema de Control Interno de Bancolombia S.A. se encuentra basado en los estndares internacionales del Comitee of Sponsoring Organizations of the Treadway Commission, Coso, y en el marco de referencia Control Objectives for information and related technology, Cobit, este ltimo aplicado a los procesos de tecnologa de informacin. Estos estndares, aplicados de tiempo atrs por el Banco, se continuaron aplicando en el ao 2010 en el diseo y la valoracin del Sistema de Control Interno. La revisin de la efectividad del Sistema de Control Interno del Banco comprendi las siguientes actividades:

1. EVALUACIN DE LA ADMINISTRACIN: Ambiente de control: Realizamos la evaluacin a los empleados sobre el contenido y
la aplicacin de los Cdigos de tica y Buen Gobierno, del Manual de Aspectos de Conducta de la Tesorera y del Reglamento Interno de Trabajo. Aseguramos el correcto funcionamiento de la Lnea tica como el canal de denuncia de actos incorrectos.

Evaluacin de riesgos: Desarrollamos toda la administracin y la gestin de los

riesgos a que est expuesta la entidad, por medio de la emisin de polticas, metodologas, herramientas de control y matrices de autoevaluacin de riesgo operacional.

Actividades de control: Actualizamos la documentacin de procesos y las matrices de

control que permitieron identificar los riesgos relevantes para efectuar la evaluacin de controles clave en los procesos y su verificacin por parte de la Auditora Interna.

Informacin y comunicacin: En 2010 continuamos con el programa de divulgacin

del Sistema de Control Interno y capacitaciones presenciales a un gran nmero de colaboradores y, para ello, se utilizaron medios internos como Intranet, comunicaciones corporativas, la pgina web de la entidad y otros medios como crculos de comunicacin y grupos primarios.

Monitoreo: Los jefes o lderes de procesos ejecutaron una supervisin continua a la

correcta aplicacin de los controles existentes. Adems, realizamos actividades de retroalimentacin en reas como reclamos, procesos contables y seguridad bancaria, entre otras, que permiten detectar debilidades de control en forma temprana y, por consiguiente, implementar soluciones oportunas en el diseo de los procesos y matrices de control.

2. EVALUACIN DE LA AUDITORA INTERNA

Auditora Interna efectu durante 2010 la evaluacin del sistema de control interno. El enfoque de la auditora, la definicin del alcance, la seleccin y la aplicacin del tipo de pruebas se hizo con fundamento en las normas para la prctica profesional de Auditora Interna. Los resultados de esta evaluacin al sistema y de los riesgos relacionados con el funcionamiento, existencia, efectividad, eficacia, confiabilidad y razonabilidad de los controles fueron satisfactorios y permitieron a la auditora concluir que no se identificaron deficiencias materiales o significativas en el diseo y operacin de los controles asociados al proceso y registro de la informacin financiera de Bancolombia. El auditor tambin certific que no se presentaron limitaciones en el acceso a los registros y a la informacin necesaria para la ejecucin de las actividades de control.

3. ACTIVIDADES MS RELEVANTES DESARROLLADAS POR EL COMIT DE AUDITORA

El Comit de Auditora por medio de reuniones mensuales y con una metodologa previamente establecida que incluye evaluaciones de controles y de riesgos de las diferentes reas de la entidad y las filiales, seguimiento a planes de accin definidos, revisin peridica de la gestin de la Revisora Fiscal y de la Auditora Interna y seguimiento a las principales variables de los estados financieros, entre otros asuntos, vel por el adecuado funcionamiento del sistema de control interno de Bancolombia y apoy a la Junta Directiva en el seguimiento de los asuntos, reportndole en forma peridica el desarrollo de sus actividades. Dentro de los aspectos evaluados y supervisados permanentemente por el Comit, se destacan aquellos relacionados con la administracin de los riesgos de la entidad en lo que no es de competencia de la Junta Directiva, las metodologas y procesos, las polticas contables, la preparacin de la informacin financiera que se presenta a las autoridades en Colombia y ante la Securities and Exchange Commission, SEC, de los Estados Unidos, como los hallazgos presentados por los entes de control. De acuerdo con la gestin adelantada y la informacin que le fue presentada, el Comit puede concluir que : (i) Bancolombia dispone de controles adecuados que le permiten presentar apropiadamente su informacin financiera, (ii) la entidad report en forma oportuna y suficiente la informacin relevante al mercado, (iii) la revisora fiscal y la auditora interna pudieron adelantar sus evaluaciones con independencia, (iv) la administracin ha adelantado los planes de accin definidos para subsanar aquellos aspectos que as lo requirieron y (iv) la entidad investiga y toma las acciones requeridas respecto de los actos incorrectos o violaciones al Cdigo de tica que le son reportados a travs de la Lnea tica.

Al cierre del ao 2010, ni la Administracin ni los rganos de control internos y externos del Banco ni el Comit de Auditora detectaron debilidades materiales o significativas relacionadas con el Sistema de Control Interno, que pongan en riesgo la efectividad del mismo. Tampoco se tuvo conocimiento de fraudes, errores malintencionados o manipulaciones en la informacin financiera preparada y revelada por el Banco.

CONCLUSIONES
Claramente COBIT es un marco de referencia para profesionalizar el rea informtica de una compaa, ya que tiene una compleja estructura de 34 procesos de alto nivel y 210 objetivos de control.

Los procesos de negocio son la base por la que COBIT existe y no lo es el simple hecho de implementar la tecnologa de punta.

RECOMENDACIONES
Si el rea informtica de la organizacin es pequea COBIT puede

resultar muy cara en su implementacin y por tanto no se justifica. En

cambio si est en juego grandes sumas de dinero respaldadas en las tecnologas de la informacin, su uso es obligatorio. Contar con personal altamente especializado para la implantacin de COBIT en la organizacin, considerando que domine el enfoque de negocios y la tecnologa relacionada a cumplir objetivos de los mismos.