View
224
Download
0
Category
Preview:
DESCRIPTION
ISOyCOSO1
Citation preview
Universidad de El Salvador Facultad de Ingeniería y Arquitectura
Escuela de Ingeniería de Sistemas Informáticos Auditoria de Sistemas AUS115
Tema Casos de ISO y COSO 1 Resueltos Grupo #9,10
Catedrática
Inga. Ingrid Moreno
Integrantes
Linares Cordero, Karla Odalis LC08029
Barrera Escobar, Marcos Mauricio BE10003
Gomez Mancia, Job Eliezer GM05128
Beltran Dominguez Jose Eduardo BD03006
Ramirez Fuentes, Daniel Alfredo RF08018
Gonzalez Muñoz Alvaro Alejandro GM05126
Ciudad Universitaria, 15 de Octubre 2015
CASO: COSO I SOFTSYS INC es una empresa dedicada al desarrollo de aplicaciones móviles y sistemas a la medida, esta empresa cuenta con una breve trayectoria pero con una gran experiencia y satisfacción de sus clientes, esta empresa fundada hace unos 10 años ha crecido grandemente en el número de empleados por lo que se está pensando llevar a cabo un proceso de cambio en su organización. Durante dos años consecutivos la empresa ha generado grandes utilidades y la gerencia general cree que la empresa está “funcionando como debiera” y por lo tanto no ve la necesidad de mejorar su control interno dentro de esta reestructuración. Usted trabaja dentro de la unidad de auditoría interna y está convencido que las utilidades se han dado gracias a condiciones favorables del mercado y no de la empresa, pero que se convertirán en pérdidas tan pronto como se revierta esta situación. Desde hace una semanas atrás usted viene recopilando información para elaborar un informe COSO para detectar la vulnerabilidad de la empresa y convencer a la gerencia de la importancia de mejorar el proceso de control interno. Dentro de los problemas que ha encontrado están: la estructura organizacional no está definida generando que algunos empleados reciben órdenes de más de un superior, existen solo procedimientos aislados que son incluso confusos y contradictorios y además no se ha definido qué persona será la responsable de realizarlo, no existe un plan de organización ni objetivos de largo plazo. Se encontró que la empresa cuenta con buenas políticas y normas de salud y seguridad para sus empleados, que existe monitoreo de la instalaciones, hay registros de las operaciones legales que realiza la empresa (las cuales usted audita cada cierto periodo), se evalúa el desempeño de los empleados, y en el desarrollo de los proyectos se aplican las correcciones necesarias para que se realice en el tiempo estimado. Evaluar con respecto a COSO I De los 5 apartados de COSO I elegir uno y realizar la lista de riesgos con su debida calificación. Realizar el diagnóstico con sus debidas recomendaciones según el apartado elegido.
Problemática encontrada SOFTSYS INC, es una empresa de desarrollo de aplicaciones móviles y sistemas a la medida. Esta empresa cuenta con una corta trayectoria pero gran experiencia. Aproximadamente 10 años. La empresa ha crecido en tamaño y en recurso humanos, por lo que se quiere realizar cambios dentro de su estructuración interna. Las utilidades obtenidas estos 2 últimos años han sido por un favorable ambiente de mercadeo. Pero no se está llevando actualmente un control interno correcto, de modo que, de seguir bajo esta tendencia, cuando el ambiente de mercadeo favorable desaparezca, existirán pérdidas de utilidad dentro de la compañía. Recopilando los problemas encontrados dentro del control interno de la empresa tenemos:
● La estructura organizacional no está definida: Generando que algunos empleados reciban órdenes de más de un superior
● Existencia de procedimientos aislados, confusos y contradictorios: Inclusive no existen personas responsables de realizar estos procedimientos.
Origen de la auditoría
Auditoría interna, por parte del área de auditoría Interna. Para la verificación de la administración de la empresa
Evaluación de riesgos Estudiando los riesgos y problemáticas encontradas dentro de la organización interna de la empresa hemos detectado como riesgos los siguientes puntos
● Riesgo de inoperatividad por procedimientos contradictorios ● Riesgos de inoperatividad por dualidad de órdenes ● Riesgos de producción errada por procedimientos confusos ● Riesgos de baja de moral a los empleados ● Riesgos de no comunicación por procedimientos aislados
Análisis de riesgo por amenaza RIESGO = LA PROBABILIDAD DE LA AMENAZA POR LA MAGNITUD DEL DAÑO
● RIESGO ALTO 1216 ● RIESGO MEDIO DE 89 ● RIESGO BAJO 16
Columnas = Magnitud del daño ocurra Filas = Probabilidad que se de la amenaza
● Riesgo de inoperatividad por procedimientos contradictorios
4 8 12 16
3 6 9 12
2 4 6 8
1 2 3 4 Como resultado el valor del riesgo es 12 y es un riesgo alto la probabilidad que la amenaza se cumpla es de 3 y la magnitud del daño es 4 por lo cual el resultado es de 12 en una escala alta donde se visualiza que repercusión tendrá el riesgo encontrado y la magnitud del daño si se diera en tiempo real o como una proyección de lo ocurrido
● Riesgos de inoperatividad por dualidad de órdenes
4 8 12 16
3 6 9 12
2 4 6 8
1 2 3 4 El riesgo tiene un valor de 8 en un nivel medio que por órdenes dobles se de una inoperatividad de los procesos de la empresa y este tenga que detener su ordenes.
● Riesgos de producción errada por procedimientos confusos
4 8 12 16
3 6 9 12
2 4 6 8
1 2 3 4 El valor de este riesgo es de 12 por lo cual está en el rango alto ya que en procesos de producción es muy delicado que suceda un proceso erróneo eso costaría mucho tiempo y dinero invertido en el cual tendría que invertir mucho esfuerzo
● Riesgos de baja de moral a los empleados
4 8 12 16
3 6 9 12
2 4 6 8
1 2 3 4 El valor del riesgo es de 4 esa en la escala baja al empleado se le puede incentivar de varias formas no solo de una manera organizándose bien la administración de personal y recurso humano o capacitando de alguna forma.
● Riesgos de no comunicación por procedimientos aislados
4 8 12 16
3 6 9 12
2 4 6 8
1 2 3 4 La probabilidad de este riesgo es de 3 y su magnitud del daño por igual esta en una escala media con un valor de 9 la falta de comunicación dentro de una empresa es vital y de mucha ayuda para no cometer errores de los cuales luego sean muy perjudiciales
Resultado del Análisis
Riesgo Tipo de Riesgo
Recomendación
Riesgo de inoperatividad por procedimientos contradictorios
Alta Tipo de control preventivo para un mejor control de los procedimientos
Riesgo de inoperatividad por dualidad de órdenes
Media Tipo de control detectivo como verificar procesos manuales o repetitivos
Riesgo de producción errada por procedimientos confusos
Alta Tipo de control preventivo y correctivo para evitar gastos innecesarios
Riesgos de baja de moral a los empleados
Baja Tipo de control detectivo al encontrar dicha situación lo mejor es buscar alternativas como incentivar al personal
Riesgos de no comunicación por procedimientos aislados
Media Tipo de control preventivo y correctivo en forma ordenada y concisa en procesos manuales o sistematizados
CASO: ISO
OBJETIVO GENERAL Identificar y analizar a través de una auditoria de campo actividades relacionadas con los objetivos de calidad en base a la normatividad ISO 9000:2008. Aplicado a una empresa del sector informático con el fin de proponer acciones de mejora a procesos con fallas basado en la identificación de las mismas. OBJETIVOS ESPECÍFICOS Analizar la situación actual de una empresa del sector informático. Establecer situaciones que deben modificarse con miras a lograr la certificación conforme con la norma ISO.9001:2008
DESCRIPCIÓN DEL CASO En el departamento de RRHH, los auditores consultan a la jefa auditada sobre el método usado para demostrar que el personal está consciente de la pertinencia e importancia de sus actividades y de cómo contribuyen al logro de los objetivos de calidad. La auditada manifiesta, que a cada uno de los colaboradores se les hace referencia a esta cuestión mientras se les da a conocer sus funciones y responsabilidades descritas en los perfiles de puesto respectivos, y lo evidencian con una firma al final de este. Los auditores aceptan la respuesta auditada y aprovechan para realizar un recorrido por las instalaciones, procediendo a entrevistar a 20 colaboradores, de la muestra analizada 12 no conocen la política de calidad y 15 no tienen idea de cómo contribuyen a los objetivos de la calidad. Partiendo de la situación planteada anteriormente y en base al apartado 6.2.2 de la norma ISO 9001 2008 determinar:
● Existencia de inconformidad. ● Justificación. ● Orientación. (Tomar como base el ejemplo planteado en la exposición).
ANEXO
TEXTO DE LA NORMA ISO 90012008 6.2.2 Competencia, formación y toma de conciencia La organización debe:
a) Determinar la competencia necesaria para el personal que realiza trabajos que afectan a la conformidad con los requisitos del producto.
b) Cuando sea aplicable, proporcionar formación o tomar acciones para lograr la competencia necesaria.
c) Evaluar la eficacia de las acciones tomadas. d) Asegurarse de que su personal es consciente de la pertinencia e importancia
de sus actividades y de cómo contribuyen al logro de los objetivos de calidad. e) Mantener los registros apropiados de la educación, formación, habilidades y
experiencia. Existencia de inconformidades. Los colaboradores, al no tener idea de las políticas de calidad y otros no saber en que ayudan en la calidad de la empresa, podría decirse que existe inconformidad entre lo que se espera por la jefa auditada y lo que los colaboradores están percibiendo esto puede provocar desmotivación en los trabajadores y en casos peores la deserción o cambio de empresa. Justificación: “En el caso claramente cita que la jefa auditada habla de ser clara y específica en las tareas y objetivos de los puestos de sus colaboradores, pero en las entrevistas se percibe un ambiente de desconocimiento del objetivo planteado por la jefatura” Orientación: Siempre que el enunciado tenga las palabras objetivos de calidad, importancia de actividades, está dando referencia al apartado 6.2.2
Recommended