ISOyCOSO1

Universidad de El Salvador Facultad de Ingeniería y Arquitectura 

Escuela de Ingeniería de Sistemas Informáticos Auditoria de Sistemas AUS­115 

Tema Casos de ISO y COSO 1 Resueltos Grupo #9,10 

  Catedrática 

Inga. Ingrid Moreno  

Integrantes 

Linares Cordero, Karla Odalis  LC08029  

Barrera Escobar, Marcos Mauricio  BE10003 

Gomez Mancia, Job Eliezer   GM05128  

Beltran Dominguez Jose Eduardo  BD03006  

Ramirez Fuentes, Daniel Alfredo  RF08018 

Gonzalez Muñoz Alvaro Alejandro  GM05126    

Ciudad Universitaria, 15 de Octubre 2015 

CASO: COSO I  SOFTSYS INC es una empresa dedicada al desarrollo de aplicaciones móviles y                       sistemas a la medida, esta empresa cuenta con una breve trayectoria pero con una                           gran experiencia y satisfacción de sus clientes, esta empresa fundada hace unos 10                         años ha crecido grandemente en el número de empleados por lo que se está                           pensando llevar a cabo un proceso de cambio en su organización.  Durante dos años consecutivos la empresa ha generado grandes utilidades y la                       gerencia general cree que la empresa está “funcionando como debiera” y por lo                         tanto no ve la necesidad de mejorar su control interno dentro de esta                         reestructuración. Usted trabaja dentro de la unidad de auditoría interna y está                       convencido que las utilidades se han dado gracias a condiciones favorables del                       mercado y no de la empresa, pero que se convertirán en pérdidas tan pronto como                             se revierta esta situación.  Desde hace una semanas atrás usted viene recopilando información para elaborar                     un informe COSO para detectar la vulnerabilidad de la empresa y convencer a la                           gerencia de la importancia de mejorar el proceso de control interno.   Dentro de los problemas que ha encontrado están: la estructura organizacional no                       está definida generando que algunos empleados reciben órdenes de más de un                       superior, existen solo procedimientos aislados que son incluso confusos y                   contradictorios y además no se ha definido qué persona será la responsable de                         realizarlo, no existe un plan de organización ni objetivos de largo plazo.  Se encontró que la empresa cuenta con buenas políticas y normas de salud y                           seguridad para sus empleados, que existe monitoreo de la instalaciones, hay                     registros de las operaciones legales que realiza la empresa (las cuales usted audita                         cada cierto periodo), se evalúa el desempeño de los empleados, y en el desarrollo                           de los proyectos se aplican las correcciones necesarias para que se realice en el                           tiempo estimado.  Evaluar con respecto a COSO I De los 5 apartados de COSO I elegir uno y realizar la lista de riesgos con su debida                                   calificación. Realizar el diagnóstico con sus debidas recomendaciones según el apartado                   elegido.     

Problemática encontrada  SOFTSYS INC, es una empresa de desarrollo de aplicaciones móviles y sistemas a                         la medida. Esta empresa cuenta con una corta trayectoria pero gran experiencia.                       Aproximadamente 10 años. La empresa ha crecido en tamaño y en recurso humanos, por lo que se quiere                             realizar cambios dentro de su estructuración interna. Las utilidades obtenidas estos 2 últimos años han sido por un favorable ambiente de                           mercadeo. Pero no se está llevando actualmente un control interno correcto, de                       modo que, de seguir bajo esta tendencia, cuando el ambiente de mercadeo                       favorable desaparezca, existirán pérdidas de utilidad dentro de la compañía. Recopilando los problemas encontrados dentro del control interno de la empresa                     tenemos: 

● La estructura organizacional no está definida: Generando que algunos empleados reciban órdenes de más de un superior 

● Existencia de procedimientos aislados, confusos y contradictorios: Inclusive no existen personas responsables de realizar estos procedimientos. 

 Origen de la auditoría 

 Auditoría interna, por parte del área de auditoría Interna. Para la verificación de la                           administración de la empresa  

Evaluación de riesgos  Estudiando los riesgos y problemáticas encontradas dentro de la organización                   interna de la empresa hemos detectado como riesgos los siguientes puntos 

● Riesgo de inoperatividad por procedimientos contradictorios ● Riesgos de inoperatividad por dualidad de órdenes ● Riesgos de producción errada por procedimientos confusos ● Riesgos de baja de moral a los empleados ● Riesgos de no comunicación por procedimientos aislados 

 Análisis de riesgo por amenaza  RIESGO = LA PROBABILIDAD DE LA AMENAZA POR LA MAGNITUD DEL DAÑO 

● RIESGO ALTO  12­16  ● RIESGO MEDIO DE 8­9 ● RIESGO BAJO 1­6 

 Columnas = Magnitud del daño ocurra   Filas = Probabilidad que se de la amenaza  

● Riesgo de inoperatividad por procedimientos contradictorios   

4  8  12  16 

3  6  9  12 

2  4  6  8 

1  2  3  4 Como resultado el valor del riesgo es 12 y es un riesgo alto la probabilidad                             que la amenaza se cumpla es de 3 y la magnitud del daño es 4 por lo cual el                                     resultado es de 12 en una escala alta donde se visualiza que repercusión                         tendrá el riesgo encontrado y la magnitud del daño si se diera en tiempo real                             o como una proyección de lo ocurrido   

● Riesgos de inoperatividad por dualidad de órdenes   

4  8  12  16 

3  6  9  12 

2  4  6  8 

1  2  3  4 El riesgo tiene un valor de 8 en un nivel medio que por órdenes dobles se de                                 una inoperatividad de los procesos de la empresa y este tenga que detener                         su ordenes.   

● Riesgos de producción errada por procedimientos confusos   

4  8  12  16 

3  6  9  12 

2  4  6  8 

1  2  3  4 El valor de este riesgo es de 12 por lo cual está en el rango alto ya que en                                     procesos de producción es muy delicado que suceda un proceso erróneo eso                       costaría mucho tiempo y dinero invertido en el cual tendría que invertir mucho                         esfuerzo        

● Riesgos de baja de moral a los empleados 

4  8  12  16 

3  6  9  12 

2  4  6  8 

1  2  3  4 El valor del riesgo es de 4 esa en la escala baja al empleado se le puede                                 incentivar de varias formas no solo de una manera organizándose bien la                       administración de personal y recurso humano o capacitando de alguna forma. 

 ● Riesgos de no comunicación por procedimientos aislados 

4  8  12  16 

3  6  9  12 

2  4  6  8 

1  2  3  4 La probabilidad de este riesgo es de 3 y su magnitud del daño por igual esta                               en una escala media con un valor de 9 la falta de comunicación dentro de                             una empresa es vital y de mucha ayuda para no cometer errores de los                           cuales luego sean muy perjudiciales  

Resultado del Análisis 

Riesgo   Tipo de   Riesgo  

Recomendación  

Riesgo de inoperatividad por       procedimientos contradictorios   

Alta  Tipo de control preventivo para un mejor             control de los procedimientos  

Riesgo de inoperatividad por       dualidad de órdenes 

Media  Tipo de control detectivo como verificar           procesos manuales o repetitivos  

Riesgo de producción errada       por procedimientos confusos 

Alta  Tipo de control preventivo y correctivo           para evitar gastos innecesarios  

Riesgos de baja de moral a los             empleados 

Baja  Tipo de control detectivo al encontrar           dicha situación lo mejor es buscar           alternativas como incentivar al personal 

Riesgos de no comunicación       por procedimientos aislados 

Media  Tipo de control preventivo y correctivo           en forma ordenada y concisa en           procesos manuales o sistematizados   

CASO: ISO   

OBJETIVO GENERAL  Identificar y analizar a través de una auditoria de campo actividades relacionadas                       con los objetivos de calidad en base a la normatividad ISO 9000:2008. Aplicado a                           una empresa del sector informático con el fin de proponer acciones de mejora a                           procesos con fallas basado en la identificación de las mismas.   OBJETIVOS ESPECÍFICOS Analizar la situación actual de una empresa del sector informático. Establecer situaciones que deben modificarse con miras a lograr la certificación                     conforme con la norma ISO.9001:2008   

DESCRIPCIÓN DEL CASO  En el departamento de RRHH, los auditores consultan a la jefa auditada sobre el                             método usado para demostrar que el personal está consciente de la pertinencia e                         importancia de sus actividades y de cómo contribuyen al logro de los objetivos de                           calidad. La auditada manifiesta, que a cada uno de los colaboradores se les hace                           referencia a esta cuestión mientras se les da a conocer sus funciones y                         responsabilidades descritas en los perfiles de puesto respectivos, y lo evidencian                     con una firma al final de este. Los auditores aceptan la respuesta auditada y                           aprovechan para realizar un recorrido por las instalaciones, procediendo a                   entrevistar a 20 colaboradores, de la muestra analizada 12 no conocen la política de                           calidad y 15 no tienen idea de cómo contribuyen a los objetivos de la calidad. Partiendo de la situación planteada anteriormente y en base al apartado 6.2.2 de la                           norma ISO 9001 ­2008 determinar:   

● Existencia de inconformidad. ● Justificación. ● Orientación. (Tomar como base el ejemplo planteado en la exposición). 

  ANEXO 

 TEXTO DE LA NORMA ISO 9001­2008 6.2.2 Competencia, formación y toma de conciencia La organización debe: 

a) Determinar la competencia necesaria para el personal que realiza trabajos                   que afectan a la conformidad con los requisitos del producto. 

b) Cuando sea aplicable, proporcionar formación o tomar acciones para lograr la                     competencia necesaria. 

c) Evaluar la eficacia de las acciones tomadas. d) Asegurarse de que su personal es consciente de la pertinencia e importancia                       

de sus actividades y de cómo contribuyen al logro de los objetivos de calidad. e) Mantener los registros apropiados de la educación, formación, habilidades y                   

experiencia.  Existencia de inconformidades. Los colaboradores, al no tener idea de las políticas de calidad y otros no saber en                               que ayudan en la calidad de la empresa, podría decirse que existe inconformidad                         entre lo que se espera por la jefa auditada y lo que los colaboradores están                             percibiendo esto puede provocar desmotivación en los trabajadores y en casos                     peores la deserción o cambio de empresa.   Justificación: “En el caso claramente cita que la jefa auditada habla de ser clara y específica en                               las tareas y objetivos de los puestos de sus colaboradores, pero en las entrevistas                           se percibe un ambiente de desconocimiento del objetivo planteado por la jefatura”   Orientación: Siempre que el enunciado tenga las palabras objetivos de calidad, importancia de                       actividades, está dando referencia al apartado 6.2.2