UCEGP-PFCI

Revisiones de Control enfocadas a la Evaluación

de Control Interno a la Tecnología de

Información

UCEGP-PFCI

Control Interno (según COSO):Control Interno (según COSO):

Se define de manera amplia como un proceso llevado a cabo por el consejo de administración, la gerencia y otro personal de la organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en:

Efectividad y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento con las leyes, reglamentos,

normas y políticas.

UCEGP-PFCI

¿Cuál debe ser el objetivo de la revisión de control al control interno de T.I.?

Verificar que la dependencia o entidad cuente con la estructura de control interno adecuada para la administración y uso racional de los recursos asignados a tecnologías de información.

UCEGP-PFCI

¿Cómo alcanzar ese objetivo?

•Evaluando la eficiencia y efectividad de los controles internos aplicados a la adquisición y operación de las TI.

•Evaluando la seguridad, integridad y oportunidad de la información generada por TI

UCEGP-PFCI

¿Qué significa el término Tecnología de Información?

Convergencia tecnológica entre las telecomunicaciones, los microprocesadores y la computación que permite el proceso, transmisión y almacenamiento de información que puede ser datos, audio o video en formato digital.

UCEGP-PFCI

Ejemplos de T.I. (electrónica, informática y telecomunicaciones):

• Internet/Intranet•Redes (por satélite o cable, telefonía fija o movil, servidores y grandes almacenadores de información)

•T.V. digital•Equipos multimedia de CD-ROM•Ordenadores (computadoras personales y laptops)

•Telecomunicaciones fijas y móviles•Sistemas de información automatizados de nóminas, presupuesto, contabilidad, etc.

UCEGP-PFCI

¿De qué depende la realización de una revisión de control a Evaluación de Control Interno a la Tecnología de Información?

•Naturaleza, complejidad, infraestructura informática y automatización de las operaciones de la Institución.

•Personal capacitado en el OIC.

UCEGP-PFCI

¿Cuáles son los aspectos básicos sujetos de revisión en la Evaluación de Control Interno a la Tecnología de Información?

Planeación estratégica y ámbito organizacional.Función de T.I. (administración y operación).Desarrollo y mantenimiento de sistemas.Sistemas operativos.Seguridad física, lógica y de datos.Adquisición de tecnología.Plan de contingencias.Software/hardware, internet/intranet, redes y telecomunicaciones.

UCEGP-PFCI

¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.?

Verificar que exista en la dependencia o entidad un Programa Institucional de Desarrollo Informático (PIDI) o Plan Estratégico de Tecnologías de Información.

Verificar que dicho Programa o Plan esté alineado a los fines de la APF en general y en particular a la consecución de los objetivos institucionales, así como a su misión y visión.

Planeación estratégica y ámbito organizacional

UCEGP-PFCI

¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.?

Evaluar los mecanismos de control para:

− Las bibliotecas física y lógica de los medios magnéticos, software y datos.

− La administración de la base de datos y sistema operativo.

− La seguridad, integridad y confiabilidad de equipos, software e información.

Función de T.I. (administración y operación)

UCEGP-PFCI

DESCRIPCIÓN DEL CONTROLTIPO

Preventivo Detectivo Correctivo

Asignación de funciones o responsabilidades. x    

Capacitación en Control Interno. x    

Código de Conducta Institucional (integridad y valores éticos) x    

Cuadros de facultades (administrativas u operacionales) x    

Entrenamiento. x    

Indicadores y normas de desempeño. x    

Facultades de autorización. x    

Manual de Organización. x    

Personal competente. x    

Políticas y Procedimientos. x    

Programas y/o Presupuestos. x    

Segregación de funciones. x    

Automatización de transacciones. x x  

Evaluación de Riesgos. x x  

Registro de transacciones. x x  

Salvaguarda y acceso restringido a los activos. x x  

Auditoría (interna o externa)   x  

Comparación.   x x

Conciliación.   x x

Evaluación de resultados o desempeño.   x x

Facultades de corrección y aplicación de ajustes.     x

Inspección.   x x

Supervisión del personal.   x x

Verificación o revisión de funciones.   x x

UCEGP-PFCI

¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.?

Verificar que los sistemas en desarrollo estén respaldados y documentados en forma adecuada.

Verificar que existan mecanismos de control y mantenimiento para asegurar la protección de los sistemas y de la información que operan.

Desarrollo y mantenimiento de sistemas

UCEGP-PFCI

¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.?

Comprobar la integridad y confiabilidad de los programas y datos del sistema automatizado de información.

Verificar que el sistema contenga y aplique procedimientos y herramientas de control y validación..

Sistemas operativos

UCEGP-PFCI

¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.?

Verificar que existan políticas de seguridad que incluyan estándares y responsabilidad de la seguridad física y lógica (hardware, software y datos), así como verificar su vigilancia, comunicación y difusión en tiempo y forma.

Determinar que existan controles para identificar, autentificar, certificar y accesar información.

Seguridad física, lógica y de datos.