AGUAS ANDINAS

COSO 2013 y COBIT 5

“EVALUACION A LA GESTION DEL EQUIPO DE TECNOLOGIA

DE INFORMACION Y COMUNICACIONES - TIC”

PERIODO DE EVALUACION
1 DE ENERO DE 2015 AL 31 DE ENERO DE 2015

LIMA – PERU
2016
AGUAS ANDINAS

Fecha: 05/01/2016

INFORME DE CONTROL Nº 1
“EVALUACION A LA GESTION DEL EQUIPO DE TECNOLOGIA DE INFORMACION Y
COMUNICACIONES - TIC. PERIODO 2015”

I. Origen de la Evaluación

La evaluación a la aplicación del marco de control interno basado en COSO se lleva a cabo en cumplimiento del
Plan Anual de Control de la Gerencia de Auditoria Interna, el mismo que fuera visado en principio por el Titular de la
Empresa y posteriormente aprobado por las instancias correspondientes, mediante Resolución n.° 010-2015-CG de
fecha XX.XXX.201X.

II. Objeto de la Evaluación

"Verificar que en la empresa XXXXXXXX se viene aplicando los principios del Control Interno basado en COSO,
durante el periodo 201X"

III. Breve reseña de la organización

AGUAS ANDINAS, es una Empresa Estatal de Derecho Privado de propiedad del Estado, creada mediante Decreto
Legislativo No.150, constituida como Sociedad Anónima e inscrita en la Ficha No. 3722 de los Registros Públicos de
Lima.

Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las excepciones señaladas en la Ley
de la Actividad Empresarial del Estado y su Reglamento y las disposiciones que rigen a las entidades prestadoras
de Servicio de Saneamiento y las demás normas aplicables.

Organigrama

CONTROL INTERNO Página 2 de 8

AGUAS ANDINAS

IV. Identificación de debilidades (deficiencias de TI)

Las debilidades evidenciadas son las siguientes:

4.1 Detalle Debilidad

AGUAS ANDINAS no cuenta con un Plan Estratégico de Tecnologías de Información y el Plan de
Continuidad del Negocio.

Principio COSO 2013

PRINCIPIO 6: La organización define los objetivos con suficiente claridad para permitir la
identificación y evaluación de los riesgos relacionados.

Proceso COBIT 5
PROCESO APO02: Gestionar la Estrategia
Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas
necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura
empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una
respuesta ágil, confiable y eficiente a los objetivos estratégicos.

Recomendación
Que el Equipo Informática, en coordinación con las demás áreas, Formule y proponga el Plan Estratégico de
Tecnologías de Información y el Plan de Continuidad del Negocio de la entidad, a fin de contar con
instrumentos que nos permitan apoyar a la gestión y a la toma de decisiones.

Actividades COBIT 5 identificadas

Realizar además las siguientes actividades:
 Desarrollar y mantener un entendimiento de las estrategias y objetivos del negocio, así como del entorno y
los retos operativos actuales.
 Desarrollar y mantener un entendimiento del entorno externo a la empresa.
 Determinar prioridades para el cambio estratégico.
 Identificar los actuales y potenciales riesgos y tecnologías en declive.
 Definir los objetivos/metas de TI a alto nivel y cómo contribuirán a los objetivos de negocio empresariales.

4.2 Detalle Debilidad

En el área de tecnología se ha identificado a dos (2) trabajadores que no cuentan con el perfil especifico
solicitado; sin embargo son parte del grupo a cargo de evaluar los Proyectos de Tecnología que desarrolla la
empresa.

Principio COSO 2013

PRINCIPIO 4: La organización demuestra compromiso para atraer, desarrollar y retener a
profesionales competentes, en alineación con los objetivos de la organización.

Proceso COBIT 5
PROCESO APO07: Gestionar los Recursos Humanos
Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de
decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y
responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño,
con el apoyo de gente competente y motivada.

Recomendación
Que el Equipo Informática, en coordinación con el Equipo de RRHH, evalué el perfil del personal que debería
laborar en el área de Tecnología. Asimismo, elabore las funciones y responsabilidades que debe tener el
trabajador por perfil, a fin de asegurar la calidad en el desarrollo mismo de las labores encomendadas.

CONTROL INTERNO Página 3 de 8

AGUAS ANDINAS

Actividades COBIT 5 identificadas

Realizar además las siguientes actividades:
 Evaluar las necesidades de personal de forma regular o ante cambios importantes para asegurar que:
o La función de TI cuenta con recursos suficientes para apoyar de manera adecuada y apropiada las
metas y objetivos empresariales.
o La empresa cuenta con recursos suficientes para apoyar de manera adecuada y apropiada los procesos
de negocio y los controles e iniciativas TI.
 Identificar las diferencias entre las habilidades necesarias y las disponibles y desarrollar planes de acción
para hacerles frente de manera individual y colectiva, tales como formación (técnica y en habilidades de
comportamiento), contratación, redistribución y cambios en las estrategias de contratación.
 Asegurarse de que el entrenamiento cruzado se lleva a cabo y que hay respaldo para el personal clave
para reducir la dependencia de una sola persona.
 Definir las habilidades y competencias necesarias y disponibles actualmente tanto de recursos internos
como externos para lograr los objetivos de empresa, de TI y de procesos.
 Probar regularmente los planes de respaldo (backup) del personal.
 Proporcionar una planificación formal de la carrera y desarrollo profesional para fomentar el desarrollo de
competencias, oportunidades de progreso personal y una menor dependencia de personas clave.

4.3 Detalle Debilidad

AGUAS ANDINAS no cuenta con un procedimiento formal y/o Guía para dar de Altas, Bajas y determinar su
destino final respecto al Software (Ciclo de Vida Útil).

Principio COSO 2013

PRINCIPIO 10: La organización define y desarrolla actividades de control que contribuyen a la
mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos.

Proceso COBIT 5
PROCESO DSS06: Gestionar los Controles de los Procesos del Negocio
Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada
y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para
el control de la información. Identificar los requisitos de control de la información y gestionar y operar los
controles adecuados para asegurar que la información y su procesamiento satisfacen estos requerimientos.

Recomendación
Que el Equipo Informática, elabore la “Guía para Altas, Bajas y Destino Final del Software Corporativo”, a fin
de contar con un procedimiento formal respecto al tratamiento del software (Ciclo de Vida Útil) de la empresa.

Actividades COBIT 5 identificadas

Realizar además las siguientes actividades:
 Asignar roles y responsabilidades sobre la base de la descripción aprobada de puestos y actividades de
procesos de negocio asignadas.
 Asignar niveles de autoridad para la aprobación de transacciones, límites y cualquier otra decisión relativa
a los procesos de negocio, basadas en los roles de trabajo aprobados.
 Revisar errores, excepciones y desviaciones.

4.4 Detalle Debilidad

Los sistemas “Siscont”, “Sistect” y “Gestcomt” desarrollados por el Equipo Informática deberían ser
registrados ante el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad
Intelectual – INDECOPI, a fin de dar seguridad jurídica a la propiedad intelectual de AGUAS ANDINAS.

Principio COSO 2013

PRINCIPIO 11: La organización define y desarrolla actividades de control a nivel de entidad sobre la
tecnología para apoyar la consecución de los objetivos.

CONTROL INTERNO Página 4 de 8

AGUAS ANDINAS

Proceso COBIT 5
PROCESO APO13: Gestionar la Seguridad
Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los
niveles de apetito de riesgo de la empresa.

Recomendación
Que el Equipo Informática, promueva la adecuada cautela de la propiedad intelectual de los sistemas
“Siscont”, “Sistect” y “Gestcomt” que son desarrollados por AGUAS ANDINAS, tal como lo menciona el
Decreto Legislativo No. 822 Ley sobre el Derecho de Autor.

Actividades COBIT 5 identificadas

Realizar además las siguientes actividades:
 Definir el alcance y los límites del SGSI en términos de las características de la empresa, la organización,
su localización, activos y tecnología. Incluir detalles de justificación para cualquier exclusión del alcance.
 Definir un SGSI de acuerdo con la política de empresa y alineada con la empresa, la organización, su
localización, activos y tecnología.
 Formular y mantener un plan de tratamiento de riesgos de seguridad de la información alineado con los
objetivos estratégicos y la arquitectura de la empresa. Asegurar que el plan identifica las prácticas de
gestión y las soluciones de seguridad apropiadas y óptimas, con los recursos, las responsabilidades y las
prioridades asociadas para gestionar los riegos identificados de seguridad de información.

4.5 Detalle Debilidad

AGUAS ANDINAS no está cumpliendo con implementar las Recomendaciones referidas a la “Gestión de
respaldo y recuperación”, dispuestas en la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI
Tecnología de la Información. Código de Buenas prácticas para la gestión de la Seguridad de la Información
2da. Edición

Principio COSO 2013

PRINCIPIO 7: La organización identifica los riesgos para la consecución de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre la cual determinar cómo se debe gestionar.

Proceso COBIT 5
PROCESO EDM03: Asegurar la Optimización del Riesgo
Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y
que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.

Recomendación
Que el Equipo Informática, de acuerdo a la responsabilidad que le compete, cumpla con la implementación
de las recomendaciones dispuestas en la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI Tecnología
de la Información. Código de Buenas prácticas para la gestión de la Seguridad de la Información 2da.
Edición., en el ítem 10,5 respectos a la “Gestión de respaldo y recuperación”, debiendo considerarlas además
en el Plan Operativo de su Equipo, tal como lo establece el artículo 2° de la Resolución Ministerial No. 246-
2007-PCM de fecha publicación 22.Ago.2007.

Actividades COBIT 5 identificadas

Realizar además las siguientes actividades:
 Promover una cultura consciente de los riesgos TI e impulsar a la empresa a una identificación proactiva
de riesgos TI, oportunidades e impactos potenciales en el negocio.
 Determinar el nivel de riesgos relacionados con las TI que la empresa está dispuesta a asumir para
cumplir con sus objetivos (apetito de riesgo).
 Determinar si el uso de TI está sujeto a una valoración y evaluación de riesgos adecuada, según lo
descrito en estándares nacionales e internacionales relevantes.
 Evaluar las actividades de gestión de riesgos para garantizar su alineamiento con las capacidades de la

CONTROL INTERNO Página 5 de 8

AGUAS ANDINAS

empresa para las perdidas relacionadas con TI y la tolerancia de los líderes a los mismos.
 Orientar para que el riesgo, las oportunidades, los problemas y preocupaciones puedan ser identificadas y
notificadas por cualquier persona en cualquier momento. El riesgo debe ser gestionado de acuerdo con las
políticas y procedimientos publicados y escalados a los decisores relevantes.

Nombre del Encargado de Comisión:

Firma del Encargado de Comisión:

Nombre del Supervisor:

Firma del Supervisor:

CONTROL INTERNO Página 6 de 8

AGUAS ANDINAS

V. Matriz de consistencia

VI. Grafica radar

CONTROL INTERNO Página 7 de 8

AGUAS ANDINAS

CONTROL INTERNO Página 8 de 8