TM 6 Evalucion Del Control Interno Ufa 2014

VICERRECTORADO DE INVESTIGACIN Y VINCULACIN CON LA
COLECTIVIDAD
MAESTRA EN EVALUACIN Y AUDITORIA DE SISTEMAS TECNOLGICOS
I PROMOCIN
TESIS DE GRADO MAESTRA EN EVALUACIN Y AUDITORIA DE SISTEMAS

TECNOLGICOS
TEMA: GUA DE AUDITORA PARA LA EVALUACIN DEL CONTROL INTERNO EN

EL REA DE TI EN LAS ENTIDADES PBLICAS DEL ECUADOR.
AUTOR: TINOCO TINOCO, DIANA ELIZABETH
DIRECTOR: ING. AGUIRRE MANOSALVAS, HAROLD FRANCISCO
SANGOLQU, 2014
i
C ERTIFICACIN
El presente trabajo de tesis realizado por la Ing. Diana Elizabeth Tinoco
Tinoco, cuyo tema es DESARROLLO DE UNA GUA DE AUDITORA
PARA LA EVALUACIN DEL CONTROL INTERNO EN EL REA DE TI
EN LAS ENTIDADES PBLICAS DEL ECUADOR, ha sido dirigido,
orientado y evaluado en todas sus fases, habiendo constatado que cumple
con los requisitos exigidos por el programa de Maestra en Evaluacin de
Auditora de Sistemas Tecnolgicos del Nivel de Postgrados de la
Universidad de las Fuerzas Armadas, en consecuencia autorizo su
presentacin, sustentacin y defensa.
Sangolqu, enero del 2014
_____________________
Ing. Francisco Aguirre
DIRECTOR DE TESIS
UNIVERSIDAD DE LAS FUERZAS
ARMADAS ESPE
TEMA: GUA DE AUDITORA PARA LA EVALUACIN DEL CONTROL INTERNO EN

EL REA DE TI EN LAS ENTIDADES PBLICAS DEL ECUADOR.
AUTOR: Ing. Diana Elizabeth Tinoco Tinoco,

ii
AUTORA DE
RESPONSABILIDAD
Los conceptos, ideas y opiniones desarrolladas en el presente trabajo son de
exclusiva responsabilidad de la autora.
__________________
Ing. Diana Tinoco

iii
A UTORIZACIN
Yo, Ing. Diana Elizabeth Tinoco Tinoco, aautoriz a la Universidad de las

Fuerzas Armadas ESPE, la publicacin de la tesis DESARROLLO DE
UNA GUA DE AUDITORA PARA LA EVALUACIN DEL CONTROL
INTERNO EN EL REA DE TI EN LAS ENTIDADES PBLICAS DEL
ECUADOR, en la Biblioteca Virtual de la Institucin, cuyo contenido, ideas y
criterios son de exclusiva responsabilidad de la autora.
__________________
Ing. Diana Tinoco

iv
D EDICATORIA
Este trabajo lo dedico a mi familia, por su apoyo incondicional, por estar
siempre a mi lado.
A mis amigos por ser la fuente de inspiracin y motivacin.
A todas las personas que dan sentido a nuestra vida y nos impulsan a tomar
nuevos retos.
v
A GRADECIMIENTO
A la Universidad de las Fuerzas Armadas, a travs del nivel de Postgrado
con el programa de Maestra en Evaluacin y Auditora de Sistemas
Tecnolgicos, a sus directivos y docentes por los conocimientos impartidos
en el transcurso de preparacin y estudio.
Expreso el ms sincero agradecimiento al director de tesis Ing. Francisco
Aguirre, por su acertada gua y apoyo en el desarrollo de este proyecto
A todas y cada una de las personas que de manera directa o indirecta han
contribuido en el desarrollo del presente proyecto.

vi
NDICE DE CONTENIDOS
CERTIFICACIN ..................................................................................................... I
AUTORA DE RESPONSABILIDAD .......................................................................... II
AUTORIZACIN................................................................................................... III
DEDICATORIA ..................................................................................................... IV
AGRADECIMIENTO ............................................................................................... V
NDICE DE CONTENIDOS...................................................................................... VI
NDICE DE TABLAS ............................................................................................ XVI
NDICE DE GRFICOS........................................................................................ XVII
CAPITULO I .......................................................................................................... 1
CONTROL INTERNO EN EL SECTOR PBLICO ......................................................... 1
1.1 JUSTIFICACIN E IMPORTANCIA ............................................................... 1
1.2 PLANTEAMIENTO DEL PROBLEMA ............................................................. 2
1.3 HIPTESIS ................................................................................................ 4
1.4 OBJETIVO GENERAL .................................................................................. 5
1.5 OBJETIVOS ESPECFICOS............................................................................ 5
CAPITULO II ......................................................................................................... 6
MARCO TERICO REFERENCIAL PARA EL CONTROL INTERNO ............................... 6

vii
2.1 MARCO TERICO Y ANLISIS REFERENCIAL DEL ESTADO DEL ARTE ............ 6
2.1.1 MARCO TERICO ...................................................................................... 6
2.1.1.1 CONTROL INTERNO ............................................................................... 6
2.1.2 MARCO CONCEPTUAL ............................................................................... 8
2.1.2.1 CONTROL INTERNO ............................................................................... 8
2.1.2.2 CONTROL INTERNO INFORMTICO........................................................ 8
2.1.2.3 CLASIFICACIN DE LOS CONTROLES ...................................................... 9
2.1.2.4 FUNCIONES DEL CONTROL INTERNO INFORMTICO ............................ 11
2.1.2.5 EVALUACIN DE RIESGO DE TI ............................................................ 12
2.1.2.6 MEJORES PRCTICAS RELACIONADAS CON EL CONTROL INTERNO ....... 12
2.1.3 ESTADO DEL ARTE................................................................................... 14
2.1.3.1 EVALUACIN DEL CONTROL INTERNO TECNOLGICO .......................... 14
2.2 METODOLOGAS Y TCNICAS DE INVESTIGACIN .................................... 17
2.2.1 MTODOS TERICOS .............................................................................. 17
2.2.1.1 MTODO ANALTICO ........................................................................... 17
2.2.1.2 MTODO SINTTICO............................................................................ 17
2.2.1.3 MTODO DEDUCTIVO ......................................................................... 18
2.2.2 METODOLOGAS CUANTITATIVAS ........................................................... 18
2.2.3 METODOLOGAS CUALITATIVAS O SUBJETIVA ......................................... 19

viii
2.2.4 METODOLOGAS DE ANLISIS DE RIESGOS .............................................. 19
2.3 BASE LEGAL ............................................................................................ 20
2.3.1 CONSTITUCIN DE LA REPBLICA DEL ECUADOR .................................... 20
2.3.2 CDIGO .................................................................................................. 22
2.3.2.1 CDIGO ORGNICO DE PLANIFICACIN Y FINANZAS ........................... 22
2.3.3 LEYES...................................................................................................... 23
2.3.3.1 LEY ORGNICA DE LA CONTRALORA GENERAL DEL ESTADO ................ 23
2.3.3.2 LEY DEL SISTEMA NACIONAL DE REGISTROS DE DATOS PBLICOS ........ 24
2.3.3.3 LEY ORGNICA DE TRANSPARENCIA Y ACCESO A LA INFORMACIN.

PBLICA ..25
2.3.3.4 LEY DE COMERCIO ELECTRNICO, FIRMAS ELECTRNICAS Y

MENSAJES DE DATOS. ........................................................................................ 28
2.3.3.5 LEY ORGNICA DEL SISTEMA NACIONAL DE CONTRATACIN PBLICA . 35
2.3.4 REGLAMENTOS ....................................................................................... 42
2.3.4.1 REGLAMENTO GENERAL A LA LEY ORGNICA DE TRANSPARENCIA Y

ACCESO A LA INFORMACIN PBLICA Y REFORMAS........................................... 42
2.3.4.2 REGLAMENTO GENERAL DE BIENES DEL SECTOR PBLICO ................... 43
2.3.4.3 REGLAMENTO GENERAL DE LA LEY ORGNICA DEL SISTEMA

NACIONAL DE CONTRATACIN PBLICA ............................................................ 45
2.4 NORMAS DE CONTROL INTERNO INFORMTICO ..................................... 46
2.5 MEJORES PRCTICAS .............................................................................. 49

ix
2.5.1 PROCESOS ITIL 2011................................................................................ 49
2.5.1.1 ESTRATEGIA DE SERVICIO .................................................................... 49
2.5.1.2 ESTRATEGIA DE DISEO ...................................................................... 50
2.5.1.3 TRANSICIN DEL SERVICIO .................................................................. 51
2.5.1.4 OPERACIN DEL SERVICIO................................................................... 53
2.5.1.5 SIETE PASOS DE LA MEJORA CONTINUA .............................................. 54
2.5.2 PROCESOS COBIT 5 ................................................................................. 55
2.5.2.1 EVALUAR ORIENTAR Y SUPERVISAR .................................................... 55
2.5.2.2 ALINEAR, PLANIFICAR Y ORGANIZAR ................................................... 55
2.5.2.3 CONSTRUIR, ADQUIRIR E IMPLEMENTAR ............................................ 56
2.5.2.4 ENTREGAR DAR SERVICIO Y SOPORTE ................................................. 56
2.5.2.5 SUPERVISAR EVALUAR Y VALORAR...................................................... 56
2.5.3 ISO IEC 2700 ........................................................................................... 56
2.6 ANLISIS COMPARATIVO ........................................................................ 58
2.6.1 NORMAS DE CONTROL INTERNO VS MEJORES PRCTICAS DE TI .............. 58
2.6.2 NORMAS DE CONTROL INTERNO VS LEYES Y REGLAMENTOS ................... 64
CAPTULO III ...................................................................................................... 66
GUA PARA LA EVALUACIN DEL CONTROL INTERNO ......................................... 66
3.1 INTRODUCCIN ...................................................................................... 66

x
3.1.1 REAS A EVALUAR .................................................................................. 66
3.1.1.1 ORGANIZACIN Y ADMINISTRACIN................................................... 66
3.1.1.2 SISTEMAS INFORMTICOS .................................................................. 74
3.1.1.3 INFRAESTRUCTURA TECNOLGICA ...................................................... 84
3.1.1.4 SEGURIDADES ..................................................................................... 89
3.1.1.5 MONITOREO Y EVALUACIN ............................................................... 92
3.2 EVALUACIN DE RIESGOS ....................................................................... 93
3.2.1 IDENTIFICACIN DE LOS RIESGOS ........................................................... 93
3.2.2 ANLISIS DE LOS RIESGOS ....................................................................... 94
3.2.2.1 NIVEL DE RIESGO ................................................................................ 94
3.2.3 MAPEO DE RIESGOS................................................................................ 95
3.2.4 PRIORIZACIN DE RIESGOS ..................................................................... 96
3.2.5 PLAN DE TRATAMIENTO DE RIESGOS ...................................................... 96
3.3 IDENTIFICACIN DE LOS CONTROLES CLAVES .........................................100
3.3.1 PRUEBAS SUSTANTIVAS .........................................................................100
3.3.2 PRUEBAS DE CUMPLIMIENTO ................................................................100
3.4 PROCEDIMIENTOS DE AUDITORA A SER APLICADOS ..............................102
3.4.1 ORGANIZACIN Y ADMINISTRACIN .....................................................102
3.4.1.1 PLANES ESTRATGICOS Y OPERATIVOS ...............................................102

xi
3.4.1.2 ESTRUCTURA ORGANIZACIONAL Y FUNCIONES ..................................103
3.4.1.3 NORMAS Y POLTICAS ........................................................................105
3.4.2 SISTEMAS INFORMTICOS .....................................................................106
3.4.2.1 ADMINISTRACIN DE CAMBIOS .........................................................108
3.4.2.2 ACREDITACIN DE SISTEMAS .............................................................109
3.4.2.3 DOCUMENTACIN TCNICA ...............................................................110
3.4.2.4 CONTROL DE ENTRADAS Y SALIDAS ....................................................110
3.4.2.5 ADMINISTRACIN DE BD ...................................................................111
3.4.3 INFRAESTRUCTURA TECNOLGICA.........................................................113
3.4.3.1 MANTENIMIENTO DE HARDWARE......................................................113
3.4.3.2 REDES Y COMUNICACIONES ...............................................................114
3.4.3.3 ALMACENAMIENTO ...........................................................................115
3.4.3.4 MANTENIMIENTO DE HARDWARE......................................................115
3.4.4 SEGURIDADES........................................................................................116
3.4.4.1 PLAN DE CONTINGENCIAS ..................................................................116
3.4.4.2 SEGURIDAD LGICA ...........................................................................118
3.4.4.3 SEGURIDAD INFORMTICA ................................................................119
3.4.4.4 SEGURIDAD FSICA .............................................................................120
3.5 EL PROCESO DE LA AUDITORA ..............................................................120

xii
3.5.1 ORDEN DE TRABAJO ..............................................................................121
3.5.2 NOTIFICACIN DE INICIO .......................................................................121
3.5.3 SOLICITUD INICIAL DE INFORMACIN ....................................................121
3.5.4 DIAGNSTICO GENERAL Y PLANIFICACIN .............................................123
3.5.5 DESARROLLO Y RECOPILACIN DE LA INFORMACIN .............................124
3.5.6 COMENTARIOS, CONCLUSIONES Y RECOMENDACIONES .........................124
3.5.7 COMUNICACIN DE RESULTADOS E INFORME FINAL..............................125
3.5.8 SEGUIMIENTO .......................................................................................126
3.6 INDICADORES DE LA SITUACIN REAL DE LA EVALUACIN DEL

CONTROL INTERNO EN LAS ENTIDADES PBLICAS. ............................................126
CAPTULO IV .....................................................................................................133
APLICACIN PRCTICA DE LA GUA DE EVALUACIN DE CONTROL INTERNO .....133
4.1 DIAGNSTICO PRELIMINAR ...................................................................133
4.1.1 FORTALEZAS ..........................................................................................133
4.1.2 OPORTUNIDADES ..................................................................................133
4.1.3 DEBILIDADES .........................................................................................133
4.1.4 AMENAZAS ............................................................................................134
4.2 CUESTIONARIOS DE EVALUACIN DE CONTROLES ..................................134
4.2.1 ADMINISTRACIN Y ORGANIZACIN .....................................................135

xiii
4.2.2 SISTEMAS INFORMTICOS .....................................................................138
4.2.3 INFRAESTRUCTURA TECNOLGICA.........................................................142
4.2.4 SEGURIDADES........................................................................................144
4.2.5 MONITOREO Y EVALUACIN..................................................................148
4.3 EVALUACIN DE RIESGOS ......................................................................149
4.3.1 IDENTIFICACIN DE LOS RIESGOS ..........................................................149
4.3.1.1 REA DE DESARROLLO, ADMINISTRACIN Y MANTENIMIENTO DE

SISTEMAS .........................................................................................................149
4.3.1.2 REA DE INFRAESTRUCTURA TECNOLGICA .......................................151
4.3.1.3 REA DE ADMINISTRACIN Y ORGANIZACIN ...................................153
4.3.1.4 REA DE SOPORTE A USUARIOS Y MANTENIMIENTO DE SISTEMAS ....154
4.3.2 ANLISIS DE LOS RIESGOS ......................................................................155
4.3.2.1 REA DE DESARROLLO ADMINISTRACIN Y MANTENIMIENTO DE

SISTEMAS .........................................................................................................155
4.3.2.2 REA DE INFRAESTRUCTURA TECNOLGICA .......................................157
4.3.2.3 REA DE ADMINISTRACIN Y ORGANIZACIN ...................................158
4.3.2.4 REA DE SOPORTE Y MANTENIMIENTO A USUARIOS..........................159
4.3.3 MAPA DE RIESGOS .................................................................................160
4.3.4 PRIORIZACIN DE RIESGOS ....................................................................161
4.3.5 TRATAMIENTO DE RIESGOS ...................................................................163

xiv
4.4 COMENTARIOS DE CONTROL INTERNO ..................................................166
CAPTULO V ......................................................................................................170
CONCLUSIONES Y RECOMENDACIONES .............................................................170
5.1 CONCLUSIONES .....................................................................................170
5.2 RECOMENDACIONES..............................................................................171
5.3 BIBLIOGRAFA........................................................................................173
5.4 ANEXOS................................................ ERROR! MARCADOR NO DEFINIDO.
ANEXO 1 PROCESOS ITIL 2011. ......................... ERROR! MARCADOR NO DEFINIDO.
ANEXO 1.1 ESTRATEGIA DE SERVICIO .............. ERROR! MARCADOR NO DEFINIDO.
ANEXO 1.2 ESTRATEGIA DE DISEO................. ERROR! MARCADOR NO DEFINIDO.
ANEXO 1.3 TRANSICIN DEL SERVICIO ............ ERROR! MARCADOR NO DEFINIDO.
ANEXO 1.4 OPERACIN DEL SERVICIO ............. ERROR! MARCADOR NO DEFINIDO.
ANEXO 2 PROCESOS COBIT 5 ............................ ERROR! MARCADOR NO DEFINIDO.
ANEXO 2.1 EVALUAR ORIENTAR Y SUPERVISAR ERROR! MARCADOR NO DEFINIDO.
ANEXO 2.2 ALINEAR, PLANIFICAR Y ORGANIZAR............... ERROR! MARCADOR NO

DEFINIDO.
ANEXO 2.3 CONSTRUIR, ADQUIRIR E IMPLEMENTAR ........ ERROR! MARCADOR NO

DEFINIDO.
ANEXO 2.4 ENTREGAR DAR SERVICIO Y SOPORTE ............. ERROR! MARCADOR NO

DEFINIDO.
xv
ANEXO 2.5 SUPERVISAR EVALUAR Y VALORAR ERROR! MARCADOR NO DEFINIDO.
ANEXO 3: ISO IEC 27000 OBJETIVOS DE CONTROL Y CONTROLES ..............ERROR!

MARCADOR NO DEFINIDO.
ANEXO 4 EVALUACIN DE RIESGOS.................. ERROR! MARCADOR NO DEFINIDO.
ANEXO 4.1 IDENTIFICACIN DE RIESGOS .......... ERROR! MARCADOR NO DEFINIDO.
ANEXO 4.2 ANLISIS DE RIESGOS ..................... ERROR! MARCADOR NO DEFINIDO.
ANEXO 4.3 MAPEO DE RIESGOS ....................... ERROR! MARCADOR NO DEFINIDO.
ANEXO 4.4 PRIORIZACIN DE RIESGOS ............ ERROR! MARCADOR NO DEFINIDO.
ANEXO 4.4 TRATAMIENTO DE RIESGOS ............ ERROR! MARCADOR NO DEFINIDO.
ANEXO 5.1 ENCUESTA ...................................... ERROR! MARCADOR NO DEFINIDO.
ANEXO 5.2 TABULACIN DE RESULTADOS ........ ERROR! MARCADOR NO DEFINIDO.

xvi
NDICE DE TABL AS
TABLA 1. NORMAS DE CONTROL INTERNO .......................................................................................... 46

TABLA 2. NORMAS DE CONTROL INTERNO VS MEJORES PRCTICAS DE TI ......................................... 58
TABLA 3.- NORMAS DE CONTROL INTERNO VS LEYES Y REGLAMENTOS ............................................. 64
TABLA 4.- REAS DE TI........................................................................................................................ 127
TABLA 5.- MANUAL DE PROCESOS ..................................................................................................... 128
TABLA 6. FUNCIONES Y RESPONSABILIDADES .................................................................................... 129
TABLA 7.- FUNCIONES Y RESPONSABILIDADES DEL PERSONAL DE TI ................................................ 130
TABLA 8.- EVALUACIN DE CONTROL INTERNO ................................................................................ 131
TABLA 9 ORGANIZACIN Y ADMINISTRACIN ................................................................................... 135
TABLA 10 SISTEMAS INFORMTICOS ................................................................................................. 138
TABLA 11. INFRAESTRUCTURA TECNOLGICA ................................................................................... 142
TABLA 12. SEGURIDADES ................................................................................................................... 144
TABLA 13. MONITOREO Y EVALUACIN. ........................................................................................... 148
TABLA 14. IDENTIFICACIN DE RIESGOS DESARROLLO DE APLICACIONES ..................................... 149
TABLA 15. IDENTIFICACIN DE RIESGOS - MANTENIMIENTO DE SISTEMAS ..................................... 150
TABLA 16. IDENTIFICACIN DE RIESGOS - ADMINISTRACIN DE SERVIDORES, REDES Y
COMUNICACIONES ................................................................................................................... 151
TABLA 17. IDENTIFICACIN DE RIESGOS ORGANIZACIN Y ADMINISTRACIN .............................. 153
TABLA 18 IDENTIFICACIN DE RIESGOS SOPORTE A USUARIOS Y MANTENIMIENTO DE
EQUIPOS ................................................................................................................................... 154
TABLA 19. ANLISIS DE RIESGOS DESARROLLO DE APLICACIONES ................................................. 155
TABLA 20 ANLISIS DE RIESGOS MANTENIMIENTO DE SISTEMAS .................................................. 156
TABLA 21. ANLISIS DE RIESGOS ADMINISTRACIN DE SERVIDORES, REDES Y
COMUNICACIONES ................................................................................................................... 157
TABLA 22 ANLISIS DE RIESGOORGANIZACIN Y ADMINISTRACIN .............................................. 158
TABLA 23. SOPORTE A USUARIOS Y MANTENIMIENTO DE EQUIPOS. ................................................ 159
TABLA 24.PRIORIZACIN DE RIESGOS. ............................................................................................... 161
TABLA 25. TRATAMIENTO DE RIESGOS .............................................................................................. 163
xvii
NDICE DE GR FI COS
GRFICO 1.- REAS DE TI ................................................................................................................... 128

GRFICO 2.- MANUAL DE PROCESOS ................................................................................................. 129
GRFICO 3.- FUNCIONES Y RESPONSABILIDADES .............................................................................. 129
GRFICO 4.- NORMAS DE CONTROL INTERNO................................................................................... 131
GRFICO 5.- EVALUACIN DE CONTROL INTERNO ............................................................................ 132
GRFICO 6.-MAPA DE RIESGOS .......................................................................................................... 160
xviii
RESUMEN
La Contralora General del Estado dirige el sistema de control administrativo
que se compone de auditora interna, auditora externa y del control interno
de las entidades del sector pblico y de las entidades privadas que
dispongan de recursos pblicos; es por ello que se propone el desarrollo de
una gua de auditora para la evaluacin del control interno en el rea de TI
en las entidades pblicas del Ecuador. El desarrollo de una gua de auditora
para la evaluacin de control interno del rea informtica ayudar a mejorar
y optimizar la eficiencia de los recursos informticos de las entidades
pblicas. Para ello se utilizar el mtodo analtico en la etapa inicial porque
se necesita separar el control interno informtico en partes bien
diferenciadas que ayuden al desarrollo de la gua. Mtodo sinttico, proceso
que al identificar las partes del control interno informtico en las reas de
tecnologa de informacin, ayuda a la comprensin cabal de lo que
conocemos en todas su partes y particularidades; y, el mtodo deductivo
utilizado para analizar las diferentes metodologas que son aplicadas para la
evaluacin del control interno de TI, como son la metodologa cualitativa,
cuantitativa y la de riesgos. Con este propsito, la gua especializada incluye
el objetivo general, objetivos especficos, el marco terico referencial, gua
de evaluacin del control interno, aplicacin prctica de la gua del rea de
TI en las entidades pblicas, conclusiones y recomendaciones.

xix
Palabras Claves: control interno, tecnologas de informacin, riesgos,
auditora,
ABSTRACT
The General Controller's heads the administrative control system that
consist in: internal audit , external audit and internal control of public and
private entities that dispose of public resources; therefore proposed the
development an audit guide for the evaluation of internal control in
Information Technology in Public Entities.The development of an audit guide
for the evaluation of internal control of information technologies helps
improve efficiency and optimize computing resources in public entities. For
this will be used the analytical method at the initial stage because it requires
separating the IT internal control in distinct parts that support the
development of the guide. Synthetic method, process to identify the parts of
IT internal control in the areas of information technology that helps to
understand what we know in all its parts and characteristics and the
deductive method used to analyze the different methodologies that are
applied for the evaluation of internal control of IT, such as qualitative,
quantitative and risk methodology. For this purpose the specialized guide
includes: general objective, specific objectives, theoretical framework, guide
of evaluation for internal control, practical application of the guidance of the
IT in public entities, conclusions and recommendations.

xx
Keywords: Internal control, information technology, risks, audit.
PRLOGO
El control interno informtico controla diariamente que todas las
actividades de los sistemas de informacin sean realizadas cumpliendo con
los procedimientos y estndares fijados por la Unidad de Tecnologa, as
como los requerimientos legales de la entidad, normas de control interno
para el sector pblico y requerimientos legales para la administracin
pblica.
Esta evaluacin permite a la alta gerencia reforzar el rea de
tecnologa, para que cumpla con sus objetivos y estrategias de la entidad,
mientras que al rea de tecnologa le brinda la oportunidad de definir
acciones preventivas y adoptar alternativas de mejora continua de los
servicios.
La gua de evaluacin de control interno de TI permite no solo a los
auditores sino tambin a los servidores pblicos, conocer sobre los
requerimientos legales obligatorios para su cumplimiento, los controles que
deben tomarse en cuenta en cada una de las reas, as como tambin
conocer el proceso de la auditora.
El presente trabajo est organizado de la siguiente manera:

xxi
En la parte inicial se describen los objetivos, planteamiento del
problema, justificacin e importancia, e hiptesis del presente trabajo.
Seguidamente encontramos el marco terico y conceptual, la base
legal y normativa vigente en el sector pblico, buenas prcticas de
tecnologa para al finalizar realizar la comparacin entre esta normativa.
A continuacin se realiza la gua de auditora para la evaluacin del
control interno en el rea de TI en las entidades pblicas del Ecuador, en la
que se describe cada rea a evaluar como: organizacin y administracin,
sistemas informticos, infraestructura tecnolgica, seguridades, monitoreo y
evaluacin.
En la parte de evaluacin de riesgos se describe la metodologa de
evaluacin de riesgos que consiste en: identificacin, anlisis, mapeo,
priorizacin y el plan de tratamiento de riesgos.
En la identificacin de los controles claves, se realizan pruebas
sustantivas y pruebas de cumplimiento y los procedimientos de auditora a
ser aplicados de acuerdo a las reas descritas anteriormente.
Posteriormente se describe el proceso de auditora a ser aplicado
desde la orden de trabajo hasta la comunicacin de resultados e informe
final.
xxii
Finalmente se detalla la aplicabilidad de la gua de auditora la misma
que consiste en: diagnstico preliminar, cuestionarios de evaluacin control
interno para las diferentes reas de acuerdo a la normativa para las
entidades pblicas, evaluacin de riesgos y comentarios de evaluacin de
control interno.
Luego de haber concluido con la elaboracin de la gua, se ha llegado
a determinar las conclusiones y recomendaciones del presente trabajo.

1
CAPITULO I
CONTROL INTERNO EN EL SECTOR PBLICO
1.1 J U S T I F I C AC I N E I M P ORT AN CI A
La Contralora General del Estado es un organismo tcnico encargado
del control de la utilizacin de los recursos estatales, y la consecucin de los
objetivos de las instituciones del Estado y de las personas jurdicas de
derecho privado que dispongan de recursos pblicos. (Constituyente, 2008)
Adems de las competencias conferidas por la ley, la Contralora
General del Estado dirige el sistema de control administrativo que se
compone de auditora interna, auditora externa y del control interno de las
entidades del sector pblico y de las entidades privadas que dispongan de
recursos pblicos; determina responsabilidades administrativas y civiles
culposas e indicios de responsabilidad penal, relacionadas con los aspectos
y gestiones sujetas a su control, sin perjuicio de las funciones que en esta
materia sean propias de la Fiscala General del Estado; expide la normativa
para el cumplimiento de sus funciones y asesora a los rganos y entidades
del Estado cuando se le solicite.
La Ley Orgnica de la Contralora General del Estado, dispone a este
organismo, la regulacin del funcionamiento del sistema de control interno,
con la adaptacin, expedicin, aprobacin y actualizacin de las normas de
control interno. A partir de este marco regulador, cada institucin del Estado,
2
dictar las normas, polticas y manuales especficos que considere
necesarios para su gestin.
Las normas de control interno vigentes, emitidas mediante Acuerdo
N 039-CG, promulgadas en el Registro Oficial N78 de 1 de diciembre de
2009 incluyen: normas generales y otras especficas relacionadas con la
administracin financiera gubernamental, talento humano, tecnologa de la
informacin y administracin de proyectos, las mismas que son
concordantes con el marco legal vigente y estn diseadas bajo principios
administrativos, disposiciones legales y normativa tcnica pertinente.
(Contraloria General, 2010)
Es por ello que contar con un buen ambiente de control, que contenga
un marco de control interno, que regule y asegure procesos internos
eficaces, as como las polticas y procedimientos organizacionales, ayuda a
que todos los miembros de la empresa que operan los sistemas informticos
sean partcipes de sus deberes y responsabilidades, de manera que su
accionar sea el ms adecuado para el cumplimiento de los objetivos
organizacionales.
1.2 P L AN T E AM I E N T O DE L P R O B LE M A
De la revisin a los informes aprobados en el ao 2012 por la
Contralora General del Estado, se observa que existen entidades pblicas

3
que no han implementado controles en los procesos y servicios de
Tecnologas de Informacin como:
Seguridades de tecnologas de informacin con el fin de evitar la
ocurrencia de incidentes que afecten a los sistemas de informacin como
fraudes o robos de informacin confidencial.
Controles de aplicacin que evalen la integridad, cumplimiento,
confiabilidad, autenticidad y segregacin de funciones.
Establecimiento de un conjunto de polticas, procedimientos, estndares
y procesos de cumplimiento para el rea de TI.
Asignacin del tiempo y recursos suficientes para el establecimiento de
soporte bsico de TI y actividades operativas.
El uso ineficiente e inadecuado de los recursos y procesos
informticos de las entidades pblicas ocasiona que no se pueda brindar una
seguridad razonable del logro de la misin de la institucin y de los objetivos
generales, identificar y dar respuesta a los riesgos, ejecutar las operaciones
de manera ordenada, tica, econmica, eficiente y efectiva, satisfacer las
obligaciones de responsabilidad, cumplir con las leyes y regulaciones y
salvaguardar los recursos contra prdida por desperdicio, abuso, mala
administracin, errores, fraude e irregularidades.

4
Las entidades pblicas estn cumpliendo con los requerimientos de
informacin de los usuarios, polticas y procedimientos as como las leyes
y reglamentaciones aplicables?
Cules son las reas crticas de las entidades pblicas, donde no se
han efectuado controles?
Cules son las recomendaciones que las entidades pblicas debe
seguir para que sus controles sean los adecuados?
El Desarrollo de una gua de auditora para la evaluacin de control
interno del rea informtica en las entidades pblicas del Ecuador plantea
evaluar el control interno de TI, de acuerdo a la normativa existente y
actualizada, que permita determinar su nivel de fortaleza, estableciendo si
existe una seguridad razonable o poco confiable de las operaciones y
procesos sistematizados. As tambin permita a los servidores pblicos
conocer las normas obligatorias para su cumplimiento.
1.3 H I P T E S I S
El desarrollo de una gua de auditora para la evaluacin de control
interno del rea informtica ayudar a propiciar la mejora continua de los
recursos informticos de la Unidad de Tecnologa de Informacin de las
entidades pblicas.
5
1.4 O B J E T I V O G E NE R AL
Desarrollar una gua de auditora para la evaluacin del control interno
en el rea de TI en las entidades pblicas del Ecuador.
1.5 O B J E T I V OS E S P E C FI C O S
Analizar la normativa vigente para realizar el control interno del rea
informtica en las entidades pblicas.
Proponer una metodologa de anlisis de riesgo con la finalidad de
conocer las reas crticas de las entidades.
Identificar los procesos de las reas de TI y los controles que se van a
analizar dentro de la organizacin.
Diseo de cuestionarios de control interno de TI

6
CAPITULO II
MARCO TERICO REFERENCIAL PARA EL
CONTROL INTERNO
2.1 M AR C O T E R I C O Y A N L I S I S R E FE RE NC I AL D E L E S T AD O D E L
AR TE
2.1.1 M AR C O T E R I C O
2.1.1.1 CONTROL INTERNO
El Control Interno es un elemento muy importante en el
funcionamiento y operacin de las empresas y tiene un gran efecto en
la calidad, oportunidad y veracidad de la informacin que genera la
empresa. El auditor debe realizar un estudio y evaluacin del Control
Interno, como parte de una revisin de estados financieros practicada
conforme a las Normas de Auditoria Generalmente Aceptadas.
(Comisin de Auditora. CCPM)
El Control Interno busca en forma general los siguientes
objetivos:
- Proteger los activos
- Verificar la exactitud y confiabilidad de la informacin financiera
- Promover la eficiencia de las operaciones

7
La estructura de control interno de una entidad consiste en las
polticas y procedimientos establecidos para proporcionar una
seguridad razonable de poder lograr los objetivos especficos de la
entidad y alcanzar los objetivos generales mencionados.
El estudio y evaluacin del Control Interno debe considerar las
caractersticas de la empresa y del tipo de negocio en que participa.
Los elementos de la estructura del Control Interno son:
El Ambiente de Control
La Evaluacin de Riesgos
Los Sistemas de Informacin y Comunicacin
Los Procedimientos de Control
La Vigilancia
La divisin del Control Interno en cinco elementos proporciona al
auditor una estructura til para evaluar el impacto de los controles
internos de una entidad en la Auditoria.

8
2.1.2 M AR C O C ON CE P T U AL
2.1.2.1 C O N T R O L I N T E R N O
El informe COSO (NETCONSULT, 2009) defina al control interno
como: Proceso diseado para entregar seguridad en: Efectividad y
eficiencia en las operaciones, seguridad en reportes financieros y
cumplimiento de leyes y regulaciones.
El control, segn la metodologa COBIT (COBIT, 2009) se define
como Las Polticas, procedimientos, prcticas y estructura
organizacional, diseadas para promover una razonable seguridad en
reportes financieros y cumplimiento de leyes y regulaciones.
2.1.2.2 C O N T R O L I N T E R N O I NF O RM T I C O
El Control Interno Informtico (Pinilla) puede definirse como el
sistema integrado al proceso administrativo, en la planeacin,
organizacin, direccin y control de las operaciones con el objeto de
asegurar la proteccin de todos los recursos informticos y mejorar los
ndices de economa, eficiencia y efectividad de los procesos
operativos automatizados.
9
2.1.2.3 C L AS I FI C AC I N D E L OS C ONT RO LE S
Normalmente los controles (Nava Garcia ) se clasifican en las
siguientes clases: preventivos, detectivos y correctivos.
Preventivos
Detectan los problemas antes de que aparezcan.
Controlan las operaciones y las entradas
Intentan predecir problemas potenciales antes de que ocurran y
realizan ajustes.
Previenen un error, omisin o acto malicioso de ocurrencia
Ejemplos:
Contratar solo personal cualificado
Segregar responsabilidades
Control de acceso a las instalaciones
Uso de documentos bien diseados
Establecer procedimientos adecuados de autorizacin de
transacciones
Rutinas de validacin en los programas
Software de control de acceso para permitir que solo acceda a
los ficheros personal autorizado.

10
Detectivos
Detectan e informan de la ocurrencia de un error, omisin o
acto malicioso.
Ejemplos:
Totales de control
Puntos de comprobacin en los trabajos
Controles de eco en telecomunicaciones
Mensajes de error
Pruebas duplicadas de clculos
Auditora interna
Correctivos
Minimizan el impacto de una amenaza
Remedian los problemas detectados por un control detectivo
Identifican la causa del problema
Corrigen los errores ocasionados por un problema
Ejemplos:
Planificacin de contingencias.
Procedimientos de respaldo.
Procedimientos de ejecucin.
11
2.1.2.4 F U N C I O N E S D E L C O N T R OL I NT E RN O I N F ORM T I C O
El Control Interno Informtico es una funcin del departamento
de Informtica, cuyo objetivo es el de controlar que todas las
actividades relacionadas a los sistemas de informacin automatizados
se realicen cumpliendo las normas, estndares, procedimientos y
disposiciones legales establecidas interna y externamente. (Auditoria
de Sistemas, 2011)
Entre sus funciones especficas estn:
Difundir y controlar el cumplimiento de las normas, estndares y
procedimientos al personal de programadores, tcnicos y
operadores.
Disear la estructura del Sistema de Control Interno de la
Direccin de Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros

12
Cultura de riesgo informtico en la organizacin.
2.1.2.5 E V AL U AC I N D E R I E S G O D E T I
El objetivo del Anlisis de Riesgos TIC es identificar los riesgos
en que los datos, los sistemas de informacin, as como las redes que
los apoyan, estn expuestas. Este proceso involucra la evaluacin de
las amenazas que podran atacar un sistema y el impacto que un
ataque exitoso tendra en la empresa. El resultado final es una
evaluacin individual (a veces definido como requerimiento de
seguridad), para cada tipo de amenaza que podra afectar al sistema
en cuestin. Los requerimientos de seguridad se usan para entregar
una base para el proceso que sigue de Administracin de Riesgos
2.1.2.6 M E J O RE S P R CT I C AS R E L AC I O N AD AS C ON E L C O N T R OL
INTERNO
Las mejores prcticas (Merida Muoz, 2012) corresponden a
un conjunto coherente de acciones que han sido implementadas por
algunas organizaciones y que han rendido eficazmente lo esperado, e
incluso que han demostrado que son factibles de imitar entregando
similares resultados.
IT Governance Estructura de relaciones y procesos para dirigir y
controlar la empresa con el objeto de alcanzar los objetivos de la

13
empresa y aadir valor mientras se balancean los riesgos versus
el retorno sobre TI y sus procesos.
COBIT: Es una herramienta de gobierno de TI, que vincula las
tecnologas informticas y prcticas de control agrupadas en
cuatro Dominios.
ITIL: es una coleccin de las mejores prcticas observadas en la
industria de TI. Es un conjunto de libros en los cuales se
encuentran documentados todos los procesos referentes a la
provisin de servicios de tecnologa de informacin hacia las
organizaciones.
Norma ISO 27000 Es una norma internacional que ofrece
recomendaciones para realizar la gestin de la seguridad de la
informacin, su objetivo es proporcionar una base comn para
desarrollar normas de seguridad dentro de la organizacin.

14
2.1.3 E S T AD O D E L A R T E
2.1.3.1 E V AL U AC I N D E L C ONT R OL I NT E RN O T E CN O L G I C O
El auditor debe evaluar (OLACEFs, 2011) y supervisar los
controles de TIC que son parte integral del entorno de control interno
de la organizacin, proponiendo al rea de Tecnologa de Informacin
y Comunicaciones consejos con respecto al diseo, implementacin,
operacin y mejora de controles de TIC.
El control interno del rea de tecnologa de informacin y
comunicaciones est comprendido por controles generales (CPD,
organizacin, implementacin, seguridad de programas y datos,
operacin del computador, seguridad de comunicaciones y sistema
operativo) diseados para asegurar que los aplicativos os funcionan
adecuadamente y controles de aplicacin (Control de acceso, origen,
entrada, proceso y salida de informacin) procedimientos diseados
para asegurar que las transacciones sean administradas de acuerdo
con los objetivos especficos de control; que la informacin conserve
todos sus atributos y caractersticas, y que los sistemas informticos
cumplan con los objetivos para los cuales fueron creados.
El auditor debe asegurarse que los controles internos diseados
por la institucin, mitiguen en gran medida los riesgos residuales
obtenidos en el anlisis de riesgos, siendo factible y con menor

15
inversin la administracin de stos, valor agregado que podr
denotar el auditor de TIC.
La evaluacin del control interno aporta a la entidad elementos de
medicin de la gestin informtica y de la cultura informtica; al rea
de TIC le brinda indicadores de satisfaccin de usuarios, tanto por las
aplicaciones, como por el nivel de servicio que proporciona de la
seguridad lgica y administracin de plataformas tecnolgicas, que los
alerta sobre las posibles fallas de seguridad y le brinda
retroalimentacin sobre polticas y medidas de control, que podran
mejorar el funcionamiento de los equipos.
Esta revisin permite a la alta gerencia reforzar el rea de
Tecnologa de Informacin y Comunicaciones, para que cumpla sus
objetivos y soporte, las estrategias del negocio, mientras que al rea
de Tecnologa de Informacin y Comunicaciones le brinda la
oportunidad de definir acciones preventivas y adoptar alternativas de
mejora continua de sus servicios.
El factor crtico en el proceso de la auditora es el conocimiento y
evaluacin del Control Interno Tecnolgico y la elaboracin de los
programas de auditora, por tal motivo es importante que el auditor
informtico, realice una revisin y evaluacin detallada del control

16
interno en las Tecnologas de Informacin y Comunicaciones (TIC) de
las entidades pblicas, en los siguientes puntos de control:
Gerenciales.
Desarrollo y Mantenimiento de Sistemas
Informticos.
Operacin.
Aplicaciones.
Tecnologa.
Continuidad y Oportunidad del Servicio.
Cumplimiento de Objetivos estratgicos y operativos
Se deber realizar una revisin y evaluacin de las condiciones de
seguridad lgica y fsica, que garanticen que las medidas de
seguridad en las plataformas tecnolgicas estn siendo administradas
de tal forma que cumplan con los propsitos para lo cual fueron
diseadas y gestin adecuada de los procesos sustantivos
sistematizados de la entidad y las metas de la organizacin y los
objetivos de los proyectos tecnolgicos implementados.
Esta evaluacin tiene un enfoque tcnico y es recomendable como
medida preventiva, para reducir el riesgo de los ataques externos e
internos hacia la informacin de la entidad, que puede afectar la
continuidad de las operaciones.

17
El auditor debe asegurarse que el control interno haya sido
implementado por la administracin de la entidad y monitoreado
peridicamente como medida preventiva, para anticiparse a
situaciones que pongan en peligro la informacin o la continuidad de
las operaciones de las entidades pblicas; as como para identificar a
tiempo oportunidades de mejora o desviaciones de las estrategias de
TIC.
2.2 M E T O D O LO G AS Y T C N I C AS D E I NV E S T I G AC I N
2.2.1 M T O D OS T E R I C OS
2.2.1.1 M T O D O A N AL T I C O
Este procedimiento permitir de un todo complejo, descomponerlo
en sus partes, se lo utilizar en la etapa inicial porque se necesita separar
el control interno informtico en partes bien diferenciadas que ayuden al
desarrollo de la gua.
2.2.1.2 M T O D O S I N T T I C O
Este mtodo se lo aplicar para el desarrollo de la gua, ya que una
vez identificadas las partes del control interno informtico, podremos
emplear en cada una de las reas de tecnologa de informacin.

18
2.2.1.3 M T O D O D E D U C T I V O
Se utilizar el mtodo deductivo para analizar las diferentes
metodologas que son aplicadas para la evaluacin del control interno de TI
para de esta manera llegar a conclusiones que sea tiles para nuestro
trabajo.
2.2.2 M E T O D O LO G AS C U ANT I T AT I V AS
Estn diseadas para producir una lista de riesgos que pueden
compararse entre s con facilidad por tener asignados unos valores
numricos. Estos valores en el caso de metodologas de anlisis de riesgos
o de planes de contingencias son datos de probabilidad de ocurrencia
(riesgo) de un evento que se debe extraer de un registro de incidencias
donde el nmero de ellas sea suficientemente grande.
Esto no pasa en la prctica, y se aproxima ese valor de forma
subjetiva restando, as, rigor cientfico al clculo pero dado que el clculo
se hace para ayudar a elegir el mtodo entre varias contramedidas
podramos aceptarlo.
En general, podemos observar con claridad dos grandes
inconvenientes que presentan estas metodologas. Por una parte, la
debilidad de los datos de la probabilidad de ocurrencia por los pocos

19
registros y la poca significacin de los mismos a nivel mundial; y por otro, la
imposibilidad o dificultad de evaluar econmicamente todos los impactos
que pueden acaecer frente a la ventaja de poder usar un modelo
matemtico para el anlisis.
Todas las metodologas (Roberto Sobrinos Snchez, Planificacin y
Gestin de Sistemas de Informacin 1999) existentes, desarrolladas y
utilizadas en la auditora y el control informticos, se pueden agrupar en:
2.2.3 M E T O D O LO G AS C U ALI T AT I V AS O S U BJ E T I V A
Estn basadas en mtodos estadsticos y lgica difusa (humana, no
matemtica FUZZY LOGIC). Precisan de la colaboracin de un profesional
experimentado, pero requieren menos recursos humanos/tiempo que las
metodologas cuantitativas.
2.2.4 M E T O D O LO G AS D E A N L I S I S D E R I E S G OS
Estn desarrolladas para la identificacin de la falta de controles y el
establecimiento de un plan de contramedidas. En base a unos
cuestionarios, se identifican vulnerabilidades y riesgos, y se evala el
impacto para ms tarde identificar las contramedidas y el coste. La
siguiente etapa es la ms importante, pues mediante un juego de
simulacin (que llamaremos Que pasa s?) analizamos el efecto de las

20
distintas contramedidas en la disminucin de los riesgos analizados,
eligiendo de esta manera un plan de contramedidas (plan de seguridad)
que compondr el informe final de la evaluacin.
Esquema
Etapa 1: Cuestionarios.
Etapa 2: Identificacin de riesgos
Etapa 3: Calcular el impacto
Etapa 4: Identificar las contramedidas y el coste.
Etapa 5: Simulaciones.
Etapa 6: Creacin de los informes.
2.3 B AS E L E G AL
2.3.1 C O N S T I T U C I N D E L A R E P B L I C A D E L E CU AD OR
De conformidad con los artculos 211 y 212 de la Constitucin de la
Repblica del Ecuador (Constitucin de la Republica del Ecuador, 2008) la
Contralora General es un organismo tcnico que cumple las siguientes
funciones:
Art. 211.- La Contralora General del Estado es un organismo tcnico
encargado del control de la utilizacin de los recursos estatales, y la
consecucin de los objetivos de las instituciones del Estado y de las
personas jurdicas de derecho privado que dispongan de recursos pblicos.

21
Art. 212.- Sern funciones de la Contralora General del Estado, adems
de las que determine la ley:
1. Dirigir el sistema de control administrativo que se compone de auditora
interna, auditora externa y del control interno de las entidades del sector
pblico y de las entidades privadas que dispongan de recursos pblicos.
2. Determinar responsabilidades administrativas y civiles culposas e
indicios de responsabilidad penal, relacionadas con los aspectos y
gestiones sujetas a su control, sin perjuicio de las funciones que en esta
materia sean propias de la Fiscala General del Estado.
3. Expedir la normativa para el cumplimiento de sus funciones.
4. Asesorar a los rganos y entidades del Estado cuando se le solicite.
Art. 226. Las instituciones del Estado, sus organismos, dependencias, las
servidoras o servidores pblicos y las personas que acten en virtud de
una potestad estatal, ejercern solamente las competencias y facultades,
que les sean atribuidas en la Constitucin y la ley. Tendrn el deber de
coordinar acciones para el cumplimiento de sus fines y hacer efectivo el
goce y ejercicio de derechos reconocidos en la Constitucin.
Art.- 280.- El Plan Nacional de Desarrollo es el instrumento al que se
sujetarn las polticas, programas y proyectos pblicos; la programacin y
ejecucin del presupuesto del Estado; y la inversin y la asignacin de los
recursos pblicos; y coordinar las competencias exclusivas entre el Estado
Central y los Gobiernos Autnomos Descentralizados. Su observancia
ser de carcter obligatorio para el sector pblico e indicativo para los
dems sectores.
22
2.3.2 C D I G O
2.3.2.1 C D I G O O R G N I C O D E P L AN I FI C AC I N Y F I N AN Z AS
Art. 87.- Planificacin fiscal plurianual y anual
La programacin fiscal del Sector Pblico no Financiero ser plurianual y
anual y, servir como marco obligatorio para la formulacin y ejecucin del
Presupuesto General del estado y la Programacin Presupuestaria
Cuatrianual y referencial para otros presupuestos del Sector Pblico.
Art. 97.- Contenido y finalidadFase del ciclo presupuestario en la que,
en base de los objetivos determinados por la planificacin y las
disponibilidades presupuestarias coherentes con el escenario fiscal
esperado, se definen los programas, proyectos y actividades a incorporar
en el presupuesto, con la identificacin de las metas, los recursos
necesarios, los impactos o resultados esperados de su entrega a la
sociedad; y los plazos para su ejecucin.
Las entidades sujetas al presente cdigo(Codigo Organico de Planificacin
y Finanzas Pblicas , 2010)efectuarn la programacin de sus
presupuestos en concordancia con lo previsto en el Plan Nacional de
Desarrollo, las directrices presupuestarias y la planificacin institucional.

23
2.3.3 L E Y E S
2.3.3.1 L E Y O R G NI C A D E L A C O N T R AL O R A G E NE R AL D E L E S T AD O
Art. 9.- Concepto y elementos del control interno.- El control interno
constituye un proceso aplicado por la mxima autoridad, la direccin y el
personal de cada institucin, que proporciona seguridad razonable de que
se protegen los recursos pblicos y se alcancen los objetivos
institucionales. Constituyen elementos del control interno: el entorno de
control, la organizacin, la idoneidad del personal, el cumplimiento de los
objetivos institucionales, los riesgos institucionales en el logro de tales
objetivos y las medidas adoptadas para afrontarlos, el sistema de
informacin, el cumplimiento de las normas jurdicas y tcnicas; y, la
correccin oportuna de las deficiencias de control.
El control interno ser responsabilidad de cada institucin del Estado y
tendr como finalidad primordial crear las condiciones para el ejercicio del
control externo a cargo de la Contralora General del Estado(Ley Orgnica
de la Contralora General del Estado, 2002)

24
2.3.3.2 L E Y D E L S I S T E M A N AC I ON AL D E R E GI S T ROS D E D AT OS
P B LI C OS
Art 23.- Sistema Informtico.- El sistema informtico tiene como objetivo, la
tecnificacin y modernizacin de los registros, empleando tecnologas de
informacin bases de datos y lenguajes informticos estandarizados,
protocolos de intercambio de datos seguros, que permitan un manejo de la
informacin adecuado que reciba, capture, archive, codifique, proteja,
intercambie, reproduzca, verifique, certifique o procese de manera
tecnolgica la informacin de los datos registrados.
El sistema informtico utilizado para el funcionamiento e interconexin de
los registros y entidades, es de propiedad estatal y del mismo se podrn
conceder licencias de uso limitadas a las entidades pblicas y privadas que
correspondan, con las limitaciones previstas en la Ley y el Reglamento.
Art 26.- Seguridad Toda base informtica de datos debe contar con su
respectivo archivo de respaldo, cumplir con los estndares tcnicos y plan
de contingencia que impidan la cada del sistema, robo de datos,
modificacin o cualquier otra circunstancia que pueda afectar la informacin
pblica.(Ley del sistema nacional de registro de datos publicos, 2010)

25
2.3.3.3 L E Y O R G NI C A D E T R ANS P AR E N CI A Y A C C E S O A L A
I N F O R M AC I N P B LI C A
Art.7.- Difusin de la Informacin Por la transparencia en la gestin
administrativa que estn obligadas a observar todas las instituciones del
Estado que conforman al sector pblico en los trminos del artculo 118 de la
Constitucin Poltica de la Repblica y dems entes sealados en el artculo
1 de la presente Ley, difundir a travs de un portal de informacin o pgina
web, as como de los medios necesarios a disposicin del pblico,
implementados en la misma institucin, la siguiente informacin mnima
actualizada, que para efectos de esta Ley, se considera de naturaleza
obligatoria:
a) Estructura orgnica funcional, base legal que la rige, regulaciones
y procedimientos internos aplicables a la entidad; las metas y
objetivos de las unidades administrativas de conformidad con sus
programas operativos;
b) El directorio completo de la institucin, as como el distributivo del
personal;
c) La remuneracin mensual por puesto y todo ingreso adicional,
incluso el sistema de compensacin, segn lo establezcan las
disposiciones correspondientes;
d) Los servicios que ofrece y las formas de acceder a ellos, horarios
de atencin y dems indicaciones necesarias, para que la

26
ciudadana pueda ejercer sus derechos y cumplir sus
obligaciones;
e) Texto ntegro de todos los contratos colectivos vigentes en la
institucin; as como sus anexos y reformas;
f) Se publicarn los formularios o formatos de solicitudes que
requieran para los trmites inherentes a su campo de accin;
g) Informacin total sobre el presupuesto anual que administra la
institucin, especificando ingresos, gastos, financiamiento y
resultados operativos de conformidad con los clasificadores
presupuestales, as como liquidacin del presupuesto,
especificando destinatarios de la entrega de recursos pblicos;
h) Los resultados de las auditoras internas y gubernamentales al
ejercicio presupuestal;
i) Informacin completa y detallada sobre los procesos
precontractuales, contractuales, de adjudicacin y liquidacin, de
las contrataciones de obras, adquisicin de bienes , prestacin de
servicios, arrendamientos mercantiles, etc, celebrados por la
institucin con personas naturales o jurdicas, incluidos
concesiones, permisos o autorizaciones;
j) Un listado de las empresas y personas que han incumplido
contratos con dicha institucin;
k) Planes y programas de la institucin en ejecucin;
l) El detalle de los contratos de crdito externos o internos; se
sealar la fuente de los fondos con los que se pagarn esos

27
crditos. Cuando se trata de prstamos o contratos de
financiamiento, se har constar, como lo prev la Ley Orgnica de
la Contralora General del Estado y la Ley Orgnica de
Responsabilidad y Transparencia Fiscal, las operaciones y
contratos de crdito, los montos, plazo, costos financieros o tipos
de inters;
m) Mecanismos de rendicin de cuentas a la ciudadana, tales como
metas e informes de gestin e indicadores de desempeo;
n) Los viticos, informes de trabajo y justificativos de movilizacin
nacional o internacional de las autoridades, dignatarios y
funcionarios pblicos;
o) El nombre, direccin de la oficina, apartado postal y direccin
electrnica del responsable de atender la informacin pblica de
que trata esta Ley;
p) La Funcin Judicial y el Tribunal Constitucional, adicionalmente
publicarn el texto ntegro de las sentencias ejecutoriadas ,
producidas en todas sus jurisdicciones ;
q) Los organismos de control del estado, adicionalmente, publicarn
el texto ntegro de las resoluciones ejecutoriadas, as como sus
informes, producidos en todas sus jurisdicciones;
r) El Banco Central, adicionalmente, publicar los indicadores e
informacin relevante de su competencia de modo asequible y de
fcil comprensin para la poblacin en general.

28
s) Los organismos seccionales, informarn oportunamente a la
ciudadana de las resoluciones que adoptaren , mediante la
publicacin de las actas de las respectivas sesiones de estos
cuerpos colegiados, as como sus planes de desarrollo local; y,
t) El Tribunal de lo Contencioso Administrativo, adicionalmente
publicar un texto ntegro de sus sentencias ejecutoriadas,
producidas en todas sus jurisdicciones.
La informacin deber ser publicada, organizndola por temas, tems,
orden secuencial o cronolgico, etc. sin agrupar o generalizar, de tal manera
que el ciudadano pueda ser informado correctamente y sin confusiones.(Ley
organica de transparencia y acceso a la informacin pblica , 2004)
2.3.3.4 L E Y D E C OM E RC I O E LE CT R NI C O , F I RM AS E L E CT R NI C AS Y
M E NS AJ E S D E D AT O S .
Art. 13.- Firma electrnica Son los datos en forma electrnica,
consignados en un mensaje de datos, adjuntados o lgicamente asociados
al mismo, y que puedan ser utilizados para identificar al titular de la firma en
relacin con el mensaje de datos, e indicar que el titular de la firma apruebe
y reconoce la informacin contenida en el mensaje de datos.
Art. 14.- Efectos de la firma electrnica La firma electrnica tendr igual
validez y se le reconocern los mismos efectos jurdicos que una firma

29
manuscrita en relacin con los datos consignados en documentos escritos, y
ser admitida como prueba en juicio.
Art 15.- Requisitos de la firma electrnica Para su validez, la firma
electrnica, reunir los siguientes requisitos, sin perjuicio de los que puedan
establecerse por acuerdo entre las partes:
a) Ser individual y estar vinculada exclusivamente a su titular;
b) Que permita verificar inequvocamente la autora e identidad del
signatario, mediante dispositivos tcnicos de comprobacin establecidos por
esta ley y sus reglamentos;
c) Que su mtodo de creacin y verificacin sea confiable, seguro e
inalterable para el propsito para el cual el mensaje fue generado o
comunicado;
d) Que al momento de creacin de firma electrnica los datos con los
que se creare se hallen bajo el control exclusivo, del signatario, y;
e) Que la firma sea controlada por la persona a quien pertenece.
Art 16.- La firma electrnica en el mensaje de datos Cuando se fijare
la firma electrnica en un mensaje de datos, aquella deber enviarse, en un
mismo acto como parte integrante, del mensaje de datos, o lgicamente
asociada a ste.
Art. 17.- Obligaciones del titular de la firma electrnica
El titular de la firma electrnica deber:
a) Cumplir con las obligaciones derivadas del uso de la firma electrnica;

30
b) Actuar con la debida diligencia tomar las medidas de seguridad
necesarias, para mantener la firma electrnica bajo su estricto control y
evitar toda utilizacin no autorizada;
c) Notificar por cualquier medio a las personas vinculadas, cuando exista
el riesgo de que su firma sea controlada por terceros no autorizados y
utilizada indebidamente;
d) Verificar la exactitud de sus declaraciones;
e) Responder por las obligaciones derivadas del uno no autorizado de su
firma, cuando no hubiere obrado con la debida diligencia para impedir su
utilizacin, salvo que el destinatario conociere de la inseguridad de la firma
electrnica o no hubiere actuado con la debida diligencia;
f) Notificar a la entidad de certificacin de informacin los riesgos sobre
su firma y solicitar oportunamente la cancelacin de los certificados; y,
g) Las dems sealadas en la ley y sus reglamentos.
Art.18.- Duracin de la firma electrnica Las firmas electrnicas tendrn
duracin indefinida. Podrn ser revocadas, anuladas o suspendidas de
conformidad con lo que el reglamento a esta ley seale.
Art. 19.- Extincin de la firma electrnica La firma electrnica se
extinguir por:
a) Voluntad de su titular;
b) Fallecimiento o incapacidad de su titular;
c) Disolucin o liquidacin de la persona jurdica, titular de la firma; y,
d) Por causa judicialmente declarada.

31
La extincin de la firma electrnica no exime a su titular de las obligaciones
previamente contradas derivadas de su uso
Art. 20.- Certificado de firma electrnica Es el mensaje de datos que
certifica la vinculacin de una firma electrnica con una persona
determinada, a travs de un proceso de comprobacin que confirma su
identidad
Art. 21.- Uso del certificado de firma electrnica El certificado de firma
electrnica se emplear para certificar la identidad del titular de una firma
electrnica y para otros usos, de acuerdo a esta ley y su reglamento.
Art. 22.- Requisitos del certificado de firma electrnica El certificado de
firma electrnica para ser considerado vlido contendr los siguientes
requisitos:
a) Identificacin de la entidad de certificacin de informacin;
b) Domicilio legal de la entidad de certificacin de informacin;
c) Los datos del titular del certificado que permitan su ubicacin e
identificacin;
d) El mtodo de verificacin de la firma del titular del certificado;
e) Las fechas de emisin y expiracin del certificado;
f) El nmero nico de serie que identifica el certificado;
g) La firma electrnica de la entidad de certificacin de informacin.
h) Las limitaciones o restricciones para los usos del certificado e,
i) Los dems sealados en esta ley y los reglamentos

32
Art. 23.- Duracin del certificado de firma electrnica Salvo acuerdo
contractual, el plazo de validez de los certificados de firma electrnica ser el
establecido en el reglamento a esta ley.
Art. 24.- Extincin del certificado de firma electrnica Los certificados
de firma electrnica, se extinguen por las siguientes causas:
a) Solicitud de su titular;
b) Extincin de la firma electrnica de conformidad con lo establecido en
el artculo 19 de esta ley; y,
c) Expiracin del plazo de validez del certificado de firma electrnica.
La extincin del certificado de firma electrnica se producir desde el
momento de su comunicacin a la entidad de certificacin de informacin
excepto en el caso de fallecimiento del titular de la firma electrnica, en cuyo
caso se extingue a partir de que acaece el fallecimiento. Tratndose de
personas secuestradas o desaparecidas, se extingue a partir de que se
denuncie ante las autoridades competentes tal secuestro o desaparicin. La
extincin del certificado de firma electrnica no exime a su titular de las
obligaciones previamente contradas derivadas de su uso.
Art.25.- Suspensin del certificado de firma electrnica La entidad de
certificacin de informacin, podr suspender temporalmente, el certificado
de firma electrnica cuando:
a) Sea dispuesto por el Consejo Nacional de Telecomunicaciones, de
conformidad con lo previsto en esta ley;
b) Se compruebe por parte de la entidad de certificacin de informacin,
falsedad en los datos consignados por el titular del certificado; y,

33
c) Se produzca el incumplimiento del contrato celebrado entre la entidad
de certificacin de informacin y el titular de la firma electrnica. La
suspensin temporal dispuesta por la entidad de certificacin de informacin
deber ser inmediatamente notificada al titular del certificado y al organismo
de control, dicha notificacin deber sealar las causas de la suspensin.
La entidad de certificacin de informacin deber levantar una suspensin
temporal una vez desvanecidas las causas que la originaron, o cuando
mediare resolucin del Consejo Nacional de Telecomunicaciones, en cuyo
caso la entidad de certificacin de la informacin, est en la obligacin de
habilitar de inmediato el certificado de firma electrnica.
Art.26.- Revocatoria del certificado de firma electrnica El certificado de
firma electrnica podr ser revocado por el Consejo Nacional de
Telecomunicaciones, de conformidad con lo previsto en esta ley, cuando:
a) La entidad de certificacin de informacin cese en sus actividades y los
certificados vigentes, no sean asumidos por otra entidad de certificacin; y,
b) Se produzca la quiebra tcnica de la entidad de certificacin judicialmente
declarada.
La revocatoria y sus causas debern ser inmediatamente notificadas al titular
del certificado.
Art. 27.- Tanto la suspensin temporal, como la revocatoria, surtirn efecto
desde el momento de su comunicacin, con relacin a su titular; y respecto
de terceros, desde el momento de su publicacin que deber efectuarse en
la forma que se establezca en el respectivo reglamento, y no eximen al titular

34
del certificado de firma electrnica, de las obligaciones previamente
contradas derivadas de su uso.
La entidad de certificacin de informacin ser responsable por los perjuicios
que ocasionare la falta de comunicacin, de publicacin o su retraso.
Art. 28.- Reconocimiento internacional de certificados de firma
electrnica Los certificados electrnicos emitidos por entidades de
certificacin extranjeras que cumplieren con los requisitos sealados en esta
ley y presenten un grado de fiabilidad equivalente, tendr el mismo valor
legal que los certificados acreditados, expedidos en el Ecuador. El Consejo
Nacional de Telecomunicaciones dictar el reglamento correspondiente para
la aplicacin de este artculo
Las firmas electrnicas creadas en el extranjero, para el reconocimiento de
su validez, en el Ecuador se sometern a lo previsto en esta ley y su
reglamento.
Cuando las partes acuerden entre s la utilizacin de determinados tipos de
firmas electrnicas y certificados, se reconocer que ese acuerdo es
suficiente en derecho.
Salvo aquellos casos en los que el Estado, en virtud de convenios o tratados
internacionales haya pactado la utilizacin de medios convencionales, los
tratados o convenios que sobre esta materia se suscriban, buscarn la
armonizacin de normas respecto de la regulacin de mensajes de datos, la
firma electrnica, los servicios de certificacin, la contratacin electrnica y
telemtica , la prestacin de servicios electrnicos, a travs de redes de
informacin, incluido el comercio electrnico, la proteccin a los usuarios de

35
estos sistemas, y el reconocimiento de los certificados de firma electrnica
entre los pases suscriptores.(Ley de comercio electrnico, firmas
electrnicas y mensajes de datos., 2002)
2.3.3.5 L E Y O R G NI C A D E L S I S T E M A N AC I ON AL D E C ONT R AT AC I N
P B LI C A
Art 22.- Plan anual de contratacin las entidades contratantes, para
cumplir con los objetivos del Plan Nacional de Desarrollo, sus objetivos y
necesidades institucionales, formularn el Plan Anual de contratacin con el
presupuesto correspondiente, de conformidad a la planificacin plurianual de
la Institucin, asociados al Plan Nacional de Desarrollo y a los presupuestos
del Estado.
El plan ser publicado obligatoriamente en la pgina Web de la Entidad
Contratante dentro de los 15 das del mes de enero de cada ao e
interoperar con el portal de compras pblicas. De existir reformas al Plan
Anual de contratacin, estas sern publicadas, siguiendo los mismos
mecanismos previstos en este inciso.
Art 23.- Estudios Antes de iniciar un procedimiento precontractual, de
acuerdo a la naturaleza de la contratacin, la entidad deber contar con los
estudios y diseos completos, definitivos y actualizados, planos y clculos,
especificaciones tcnicas, debidamente aprobados por las instancias
correspondientes, vinculados al Plan Anual de Contratacin de la entidad.

36
Los estudios y diseos incluirn obligatoriamente como condicin previa a su
aprobacin e inicio del proceso contractual, el anlisis de desagregacin
tecnolgica o de Compra de Inclusin, segn corresponda, los que
determinarn la proporcin mnima de participacin nacional o local de
acuerdo a la metodologa y parmetros determinados por el Instituto
Nacional de Contratacin Pblica.
La mxima autoridad de la Entidad Contratante y los funcionarios que
hubieren participado en la elaboracin de los estudios, en la poca en que
stos se contrataron y aprobaron, tendrn responsabilidad solidaria junto con
los consultores o contratistas, si fuere del caso, por la validez de sus
resultados y por los eventuales perjuicios que pudieran ocasionarse en su
posterior aplicacin.
Art 24.- Presupuesto Las entidades previamente a la convocatoria, debern
certificar la disponibilidad presupuestaria y la existencia presente o futura de
recursos suficientes para cubrir las obligaciones derivadas de la
contratacin.
El Reglamento establecer las formas en que se conferirn las
certificaciones o los mecanismos electrnicos para la verificacin a que se
refiere el inciso anterior.
Art. 69.- Suscripcin de contratos Los contratos que por su naturaleza o
expreso mandato de la Ley lo requieran se formalizarn en escritura pblica
dentro del trmino de quince (15) das desde la notificacin de la
adjudicacin. Los contratos cuya cuanta sea igual o superior a la base

37
prevista para la licitacin se protocolizarn ante Notario Pblico. Los gastos
derivados del otorgamiento del contrato son de cuenta del contratista.
Las contrataciones que se realicen por el sistema de catlogo se
formalizarn con la orden de compra y el acta de entrega.
Las contrataciones de menor cuanta se instrumentarn con la factura
correspondiente, sin perjuicio de que se puedan elaborar documentos que
contengan las obligaciones particulares que asuman las partes.
Los dems contratos se otorgarn por documento suscrito entre las partes
sin necesidad de escritura pblica.
Para la suscripcin del contrato, ser requisito previo la rendicin de las
garantas correspondientes.
Cuando por causas imputables al adjudicatario no se suscriba el contrato
dentro del trmino correspondiente, la entidad deber declararlo como
adjudicatario fallido y disponer su suspensin del RUP. De existir ofertas
habilitadas, la entidad, de convenir a sus intereses, adjudicar el contrato al
oferente que hubiera presentado la siguiente oferta de mejor costo.
Si el contrato no se celebrare por causas imputables a la Entidad
Contratante, el adjudicatario podr demandar la correspondiente
indemnizacin de los daos y perjuicios o reclamar administrativamente los
gastos en que ha incurrido, siempre que se encuentren debida y legalmente
comprobados. La entidad a su vez deber repetir contra el o los funcionarios
o empleados responsables.
En ningn caso se podr iniciar la ejecucin del contrato sin la previa
celebracin o formalizacin de los instrumentos expuestos en este artculo.

38
Art 70.- Administracin del contrato Los contratos contendrn
estipulaciones especficas relacionadas con las funciones y deberes de los
administradores del contrato, as como de quienes ejercern la supervisin o
fiscalizacin.
En el expediente se har constar todo hecho relevante que se presente en la
ejecucin del contrato, de conformidad a lo que se determine en el
Reglamento. Especialmente se referirn a los hechos, actuaciones y
documentacin relacionados con pagos; contratos complementarios;
terminacin del contrato; ejecucin de garantas; aplicacin de multas y
sanciones; y, recepciones.
Art 73.- Formas de garanta En los contratos a que se refiere esta Ley, los
contratistas podrn rendir cualquiera de las siguientes garantas:
1. Garanta incondicional, irrevocable y de cobro inmediato, otorgada por un
banco o institucin financiera establecidos en el pas o por intermedio de
ellos;
2. Fianza instrumentada en una pliza de seguros, incondicional e
irrevocable, de cobro inmediato, emitida por una compaa de seguros
establecida en el pas;
3. Primera hipoteca de bienes races, siempre que el monto de la garanta no
exceda del sesenta (60%) por ciento del valor del inmueble hipotecado,
segn el correspondiente avalo catastral correspondiente;
4. Depsitos de bonos del Estado, de las municipalidades y de otras
instituciones del Estado, certificaciones de la Tesorera General de la
Nacin, cdulas hipotecarias, bonos de prenda, Notas de crdito otorgadas

39
por el Servicio de Rentas Internas, o valores fiduciarios que hayan sido
calificados por el Directorio del Banco Central del Ecuador. Su valor se
computar de acuerdo con su cotizacin en las bolsas de valores del pas, al
momento de constituir la garanta. Los intereses que produzcan
pertenecern al proveedor; y,
5. Certificados de depsito a plazo, emitidos por una institucin financiera
establecida en el pas, endosados por valor en garanta a la orden de la
Entidad Contratante y cuyo plazo de vigencia sea mayor al estimado para la
ejecucin del contrato.
No se exigirn las garantas establecidas por la presente Ley para los
contratos referidos en el nmero 8 del artculo 2 de esta Ley.
Para hacer efectiva la garanta, la Entidad Contratante tendr preferencia
sobre cualquier otro acreedor, sea cual fuere la naturaleza del mismo y el
ttulo en que se funde su pretensin.
Las garantas otorgadas por bancos o instituciones financieras y las plizas
de seguros establecidas en los numerales 1 y 2 del presente artculo, no
admitirn clusula alguna que establezca trmite administrativo previo,
bastando para su ejecucin, el requerimiento por escrito de la entidad
beneficiaria de la garanta. Cualquier clusula en contrario, se entender
como no escrita.
Art 74.- Para seguridad del cumplimiento del contrato y para responder por
las obligaciones que contrajeren a favor de terceros, relacionadas con el
contrato, el adjudicatario, antes o al momento de la firma del contrato,
rendir garantas por un monto equivalente al cinco (5%) por ciento del valor
40
de aquel. En los contratos de obra, as como en los contratos integrales por
precio fijo, esta garanta se constituir para garantizar el cumplimiento del
contrato y las obligaciones contradas a favor de terceros y para asegurar la
debida ejecucin de la obra y la buena calidad de los materiales, asegurando
con ello las reparaciones o cambios de aquellas partes de la obra en la que
se descubran defectos de construccin, mala calidad o incumplimiento de las
especificaciones, imputables al proveedor.
En los contratos de obra o en la contratacin de servicios no normalizados,
si la oferta econmica corregida fuese inferior al presupuesto referencial en
un porcentaje igual o superior al diez (10%) por ciento de ste, la garanta de
fiel cumplimiento deber incrementarse en un monto equivalente al veinte
(20%) por ciento de la diferencia entre el presupuesto referencial y la cuanta
del contrato.
Tales cauciones podrn constituirse mediante la entrega de las garantas
contempladas en los nmeros: 1, 2; y, 5 del artculo 73 de esta Ley.
No se exigir este tipo de garanta en los contratos de compraventa de
bienes inmuebles y de adquisicin de bienes muebles que se entreguen al
momento de efectuarse el pago.
Tampoco se exigir esta garanta en los contratos cuya cuanta sea menor a
multiplicar el coeficiente 0.000003 por el Presupuesto Inicial del Estado del
correspondiente ejercicio econmico.
Con cargo a la garanta de fiel cumplimiento se podr efectivizar las multas
que le fueren impuestas al contratista.

41
Art 75.- Garanta por anticipo Si por la forma de pago establecida en el
contrato, la Entidad Contratante debiera otorgar anticipos de cualquier
naturaleza, sea en dinero, giros a la vista u otra forma de pago, el contratista
para recibir el anticipo, deber rendir previamente garantas por igual valor
del anticipo, que se reducirn en la proporcin que se vaya amortizando
aqul o se reciban provisionalmente las obras, bienes o servicios. Las cartas
de crdito no se considerarn anticipo si su pago est condicionado a la
entrega - recepcin de los bienes u obras materia del contrato.
El monto del anticipo lo regular la Entidad Contratante en consideracin de
la naturaleza de la contratacin.
Art. 99.- En todos los procedimientos precontractuales previstos en esta Ley,
los oferentes participarn a su riesgo.
Los miembros de la asociacin o consorcio contratista sern responsables
solidaria e indivisiblemente por el cumplimiento de las obligaciones
derivadas de la oferta y del contrato, indistintamente del plazo de duracin
de la asociacin. La ejecucin del contrato es indivisible y completa para los
asociados, a efectos de determinar su experiencia y cumplimiento.
La mxima autoridad de la entidad, as como los funcionarios o servidores
de la misma que hubieren intervenido en cualquiera de las etapas de los
procedimientos precontractuales de preparacin, seleccin, contratacin as
como en la ejecucin misma de los contratos sern personal y
pecuniariamente responsables por el cumplimiento de las disposiciones de
esta Ley, sin perjuicio, de ser el caso, de la responsabilidad penal a que
hubiere lugar.
42
Los contratistas o proveedores podrn demandar o recurrir contra el o los
funcionarios o empleados por cuya accin u omisin, la entidad incumpli
sus obligaciones contractuales.
(Ley orgnica del sistema nacional de contratacin pblica , 2008)
2.3.4 R E GL AM E N T O S
2.3.4.1 R E GL AM E N T O G E N E R AL A LA LEY O R G NI C A DE
T R AN S P ARE NC I A Y A C C E S O A L A I N F O RM ACI N P BL I C A Y
R E F O RM AS
Art. 6.- Obligatoriedad Todas las instituciones que se encuentran
sometidas al mbito de la Ley de Transparencia y acceso a la Informacin,
difundir en forma, obligatoria, permanente, a travs de su pgina web, la
informacin mnima actualizada prevista en el artculo 7 de dicho cuerpo
legal.
Esta informacin ser organizada por temas, en orden secuencial o
cronolgico de manera q facilite el acceso
(Reglamento general a la ley orgnica de transparencia y acceso a la
informacin pblica y reformas, 2005)

43
2.3.4.2 R E GL AM E N T O G E N E R AL D E B I E N E S D E L S E C T O R P B LI C O
Art. 95.- Plan de Mantenimiento Todas las entidades pblicas debern,
debern tener un Plan Anual de Mantenimiento de Equipos Informticos , el
mismo que debe contar con cronogramas, y financiamiento y estar aprobado
por las mximas autoridades
Art. 96.- Mantenimiento El mantenimiento de equipos informticos estar
a cargo de la Unidad responsable de esta actividad en cada institucin. En
las entidades que no dispongan de esta unidad, se debern contratar los
servicios externos para el efecto, de acuerdo a los procedimientos internos
de cada entidad y en atencin a las normas vigentes sobre la materia.
Art. 97.- Control Corresponde a la unidad responsable de cada entidad
independientemente del inventario que mantenga la Unidad de Activos Fijos,
mantener un listado actualizado de los equipos que conforman el parque
informtico de la institucin. El registro deber contener los datos bsicos de
cada equipo, como son: Cdigo de activo fijo, nmero de serie, marca,
ubicacin del bien, caractersticas principales, fecha de compra, perodo de
garanta, proveedor del equipo y estado del equipo, de manera que permita
conocer sus caractersticas . Con la finalidad de mantener actualizada la
informacin, las unidades administrativas, darn a conocer a la unidad
responsable las novedades de movilizacin efectuadas.
Adicionalmente, la unidad responsable deber mantener un historial de los
trabajos efectuados.
44
La unidad responsable de cada entidad deber mantener tambin un
registro actualizado del licenciamiento del software adquirido, el mismo que
comprender el cdigo de activo fijo, identificacin del producto, descripcin
del contenido, nmero de versin, nmero de serie, nombre del proveedor,
fecha de adquisicin y otros datos que sean necesarios.
Art 98.- Reparacin de talleres particulares Cuando los equipos de la
entidad u organismo deban ser reparados en talleres particulares,
previamente a su salida se debe, se debe contar con la autorizacin y
conocimiento de las correspondientes unidades administrativas y del
Guardalmacn de la entidad, y con los documentos de respaldo de la
persona que ha entregado el equipo y del taller que lo recibi.
Art 99.- Clases de mantenimiento El trmino mantenimiento se entender
como:
Mantenimiento correctivo, que es el conjunto de procedimientos utilizados
para reparar una mquina o equipos ya deteriorados. Mediante el
mantenimiento correctivo no solo ser repara maquinaria ya deteriorada sino
que se realizan ajustes de equipos cuyos procesos evidentemente tienen
fallas.
Mantenimiento preventivo, que es la inspeccin peridica de mquinas y
equipos, para evaluar su estado de funcionamiento, identificar fallas,
prevenir y poner en condiciones el equipo, para su ptimo funcionamiento,
limpieza, lubricacin y ajuste. Es tambin en este tipo de mantenimiento, en
el que se remplazan piezas, para las cuales el fabricante del equipo, ha
identificado que tiene un nmero especfico de horas de servicio.

45
Mantenimiento predictivo, que consiste en el monitorio continuo de
mquinas y equipos con el propsito de detectar y evaluar, cualquier
pequea variacin en su funcionamiento, antes de que se produzca una
falla.
(Reglamento General de Bienes del Sector Pblico, 2006)
2.3.4.3 R E GL AM E N T O G E NE R AL DE L A L E Y OR G NI C A D E L S I S T E M A
N AC I ON AL DE C O NT R AT A C I N P B L I C A
Art.121.- Administrador del contrato En todo contrato, la entidad
contratante designar de manera expresa, un administrador del mismo,
quien velar por el aval y oportuno cumplimiento de todas y cada una de las
obligaciones derivadas del contrato. Adoptar las acciones que sean
necesarias para evitar retrasos injustificados e impondr las multas y
sanciones a que hubiere lugar
Si el contrato es de ejecucin de obras, prev y requiere de los servicios de
fiscalizacin, el administrador del contrato velar porque est acte de
acuerdo a las especificaciones constantes en los pliegos o en el propio
contrato.
Art 124.- Contenido de las actas Las actas de recepcin provisional,
parcial, total y definitivas sern suscritas por el contratistas y los integrantes
de la Comisin designada por la mxima autoridad de la entidad contratante
o su delegado conformada por el administrador del contrato y un tcnico que
no haya intervenido en el proceso de ejecucin del contrato.

46
Las actas contendrn los antecedentes, condiciones generales de la
ejecucin, condiciones operativas, liquidacin econmica, liquidacin de
plazos, constancia de la recepcin, cumplimiento de las obligaciones
contractuales, reajustes de precios pagados, o pendientes de pago, o
cualquier otra circunstancia que se estime necesaria.
En las recepciones provisionales parciales, se har constar como
antecedente, los datos relacionados con la recepcin precedente. La ltima
recepcin provisional incluir la informacin sumaria de todas las anteriores.
(Reglamento general a la ley orgnica del sistema nacional de contratacin
publica, 2009)
2.4 N O R M AS D E C ON T R O L I NT E RN O I N F ORM T I C O
Normas de control interno para las entidades, organismos del sector
pblico y personas jurdicas de derecho privado que dispongan de recursos
pblicos y reforma (Normas de aplicacin obligatoria para las entidades del
sector pblico ecuatoriano expedidas por la Contralora General del Estado ,
2009)
T ABLA 1. N ORMAS DE CONTROL INTERNO

47
410 TECNOLOGA DE LA INFORMACIN

410-01 Organizacin Las entidades y organismos del sector pblico deben estar
Informtica acopladas a un marco de trabajo para procesos de tecnologa
de informacin que aseguren la transparencia y el control, as
como el involucramiento de la alta direccin, por lo que las
actividades y procesos de tecnologa de informacin de la
organizacin deben estar bajo la responsabilidad de una
unidad que se encargue de regular y estandarizar los temas
tecnolgicos a nivel institucional.
410-02 Segregacin de Las funciones y responsabilidades del personal de tecnologa
funciones de informacin y de los usuarios de los sistemas de
informacin, sern claramente definidas y formalmente
comunicadas para permitir que los roles y responsabilidades
asignados se ejerzan con suficiente autoridad y respaldo.
410-03 Plan informtico La unidad de tecnologa de informacin elaborar e
estratgico de tecnologa implementar un plan informtico estratgico para administrar
y dirigir todos los recursos tecnolgicos, el mismo que estar
alineado con el plan estratgico institucional y ste con el Plan
Nacional de Desarrollo y las polticas pblicas de gobierno.
410-04 Polticas y La mxima autoridad de la entidad aprobar las polticas y
procedimientos procedimientos que permitan organizar apropiadamente el
rea de tecnologa necesaria
410-05 Modelo de La unidad de tecnologa de informacin definir el modelo de
informacin informacin la organizacin a fin de que se facilite la creacin,
organizacional uso y comparticin de la misma; y se garantice su
disponibilidad, integridad, exactitud y seguridad sobre la base
de la definicin e implantacin de los procesos y
procedimientos correspondientes.
410-06 Administracin de La unidad de tecnologa de informacin definir mecanismos
proyectos tecnolgicos que faciliten la administracin de todos los proyectos
informticos que ejecuten las diferentes reas que conformen
dicha unidad.
410-07 Desarrollo y La unidad de tecnologa de informacin regular los procesos
adquisicin de software de desarrollo y adquisicin de software aplicativo con
aplicativo lineamientos, metodologas y procedimientos.
410-08 Adquisiciones de La unidad de tecnologa de informacin definir, justificar,
infraestructura implantar y actualizar la infraestructura tecnolgica de la
organizacin
410-09 Mantenimiento y La unidad de tecnologa de informacin de cada organizacin
control de infraestructura definir y regular los procedimientos que garanticen el
tecnolgica mantenimiento y uso adecuado de la infraestructura
tecnolgica de las entidades
410-10 Seguridad de La unidad de tecnologa de informacin, establecer
tecnologa de mecanismo que protejan y salvaguarden contra prdidas y
informacin fugas los medios fsicos y la informacin que se procesa
mediante sistemas informticos
410-11 Plan de Corresponde a la unidad de tecnologa de informacin la
contingencias definicin, aprobacin e implantacin de un plan de
contingencias que describa las acciones a tomar en caso de
una emergencia o suspensin en el procesamiento de la
informacin por problemas en los equipos, programas o
personal relacionado
410-12 Administracin de La unidad de tecnologa de informacin definir, aprobar y
soporte de tecnologa de difundir procedimientos de operacin que faciliten una
informacin adecuada administracin del soporte tecnolgico y garanticen
la seguridad, integridad, confiabilidad y disponibilidad de los
recursos y datos, tanto como la oportunidad de los servicios
Contina
48
tecnolgicos que se ofrecen

410-13 Monitoreo y Es necesario establecer un marco de trabajo de monitoreo y
evaluacin de los definir el alcance, la metodologa y el proceso a seguir para
procesos y servicios monitorear la contribucin y el impacto de tecnologa de
informacin en la entidad.
410-14 Sitio web, Es responsabilidad de la unidad de tecnologa de informacin
servicios de internet e elaborar las normas, procedimientos e instructivos de
intranet instalacin, configuracin y utilizacin de los servicios de
internet, intranet, correo electrnico y sitio WEB de la entidad,
a base de las disposiciones legales y normativas y los
requerimientos de los usuarios externos e internos.
410-15 Capacitacin Las necesidades de capacitacin sern identificadas tanto
Informtica para el personal de tecnologa de informacin como para los
usuarios que utilizan los servicios de informacin, los cuales
constarn en un plan de capacitacin informtico, formulado
conjuntamente con la unidad de talento humano. El plan
estar orientado a los puestos de trabajo y a las necesidades
de conocimiento especficas determinadas en la evaluacin de
desempeo e instituciones.
410-16 Comit Para la creacin de un comit informtico institucional, se
informtico considerar los siguientes aspectos: - El tamao y la
complejidad de la entidad y su interrelacin con entidades
adscritas. Definicin clara de los objetivos q persigue la
creacin de un comit de informtica..- La conformacin y
funciones del comit, su reglamentacin, la creacin de grupos
de trabajo, la definicin de las atribuciones y
responsabilidades de los miembros del comit entre otros
aspectos.
410-17 Firmas Las entidades, organismos y dependencias del sector pblico,
Electrnicas as como las personas jurdicas que acten en virtud de una
potestad estatal, ajustarn sus procedimientos y operaciones e
incorporarn los medios tcnicos necesarios, para permitir el
uso de la firma electrnica de conformidad con la Ley de
Comercio Electrnico, Firmas y Mensajes de Datos y su
Reglamento.
Fuente: Normas de Control Interno, Contralora General del Estado

49
2.5 M E J OR E S P R C T I C AS
2.5.1 P R O C E S OS I T I L 2011
2.5.1.1 E S T R AT E GI A D E S E R V I CI O
El objetivo es hacer que los proveedores del servicio IT, piensen
estratgicamente y consigan objetivos usando activos estratgicos. (Anexo
1.1 Estrategia de servicio)
PRINCIPIOS CLAVES
Ciclo de vida del servicio
Generacin de valor
Funcionalidad y garanta
Activos del servicio
Recursos y capacidades
Sistemas, procesos, roles, unidades y funciones.
Tipos de proveedores de servicios.
DOCUMENTOS CLAVES
Objetivos del servicio,
Estratgicas, polticas y planes.
Definicin de servicios, clasificacin y visualizacin.

50
Modelos de servicio
Business Case
Patrones de actividad del negocio
Perfiles de usuario (UP)
Paquetes de servicios (SP)
Paquetes de nivel de servicios (SLP)
2.5.1.2 E S T R AT E GI A D E D I S E O
El objetivo es proporcionar una gua al diseo y despliegue de
servicios y los procesos de Gestin del Servicio. (Anexo 1.2 Estrategia de
diseo)
PRINCIPIOS CLAVES
5 Aspectos
Definicin de requerimientos y diseo de soluciones de servicio.
Arquitectura tecnolgica y de gestin
Diseo de procesos
Sistema y herramientas.- portafolio de servicios
Mtricas y mtodos de medicin
4P .- Son las herramientas que utiliza la empresa pata implementar
las estrategias de mercado y alcanzar los objetivos establecidos
Gente
51
Procesos
Productos
Aliados
DOCUMENTOS CLAVES
Polticas y planes del diseo del servicio
Criterios de aceptacin
Niveles de requerimientos de servicios (SLR)
Polticas de niveles de servicio, planes y reportes.
Acuerdos de niveles de servicio (SLAs-OLAs)
Planes de mejora del servicio (SIP)
Polticas de disponibilidad
Polticas de capacidad
Polticas de continuidad del negocio
Polticas de proveedores.
2.5.1.3 T R AN S I CI N D E L S E RV I C I O
Proporciona guiado para la transicin de operaciones de nuevos
servicios o servicios cambiados. (Anexo 1.3 Transicin del servicio)
PRINCIPIOS CLAVES
Polticas de la transicin del servicio

52
Administracin de comunicaciones y compromisos.
Administracin de cambios organizacionales
Gestin de stakeholders.
Big band vs phased
Push vs pull
Automatizacin vs. Manual
Modelo V del Servicio
Sabidura (Wisdom)
DOCUMENTOS CLAVES
Polticas y planes de la transicin del servicio
Paquete del diseo de servicios
Criterio de aceptacin de servicios
Polticas, planes y reportes de configuracin y cambios
Programacin de cambios
Agenda del CAB y Actas
Modelo de configuracin
Lneas de referencia en la configuracin
Informes de estado
Liberacin de polticas, planes, paquetes y documentacin
Polticas de calidad del servicio, polticas de riesgo, estrategias,
modelo de pruebas, planes e informes de pruebas
Construccin de planes y documentacin

53
Planes y reportes de evaluacin
Planes y reportes de la implementacin
Informe de cierre de la transicin
Estrategia de la gestin de conocimiento
2.5.1.4 O P E R AC I N D E L S E RV I C I O
Lleva a cabo las actividades y procesos que gestionan y ofrecen
servicios en los niveles acordados con los usuarios del negocio y los
clientes. Gestiona la tecnologa utilizada para prestar los servicios y recoger
la informacin del rendimiento y las mtricas. (Anexo 1.4 Operacin del servicio)
PRINCIPIOS CLAVES
Vista Interna de TI vs vista externa del negocio
Estabilidad vs responsabilidad
Calidad vs costo
Reactivo vs proactivo
Comunicaciones
Bases de datos de errores conocidos
Modelo de prioridades
DOCUMENTOS CLAVES
54
Polticas y planes de la operacin del servicio
Polticas, planes, reportes de gestin de eventos
Polticas, planes y reportes de gestin de incidentes
Modelo de incidentes
Procedimiento de incidentes principales
Polticas, planes y reportes de gestin de requerimientos
Modelo de requerimiento
Polticas planes y reportes de gestin de problemas
Modelo de problemas
Manual de procesos
Documentacin tcnica
Procedimientos operaciones e instrucciones
Documentacin funcional
Guas de usuario
2.5.1.5 S I E T E P AS OS D E L A M E J O R A C ONT I NU A
Identifica puntos de mejora en los servicios IT que apoya a los procesos
de negocio, asegurndose que se mantienen alineados con los cambios
necesarios en la organizacin. Est vigente a lo largo de todo el ciclo de
vida.
1. Identificar la estrategia de mejora.
2. Definir lo que se medir

55
3. Capturar los datos
4. Procesar los datos
5. Analizar la informacin
6. Presentar y utilizar la informacin
7. Implementar las mejoras
2.5.2 P R O C E S OS C O B I T 5
2.5.2.1 E V AL U AR O R I E NT AR Y S UP E RV I S AR
Corresponde al gobierno que asegura que los objetivos de la empresa
se logren mediante la evaluacin de las necesidades de las partes
interesadas, las condiciones y opciones, estableciendo la direccin a travs
de la priorizacin y decisin, y monitoreando el desempeo, el cumplimiento
y el progreso contra acordaron direccin y objetivos.(Anexo 2.1Evaluar
Orientar y Supervisar)
2.5.2.2 AL I N E AR , P L AN I FI C A R Y O R G AN I Z AR
Proporciona direccin para la entrega de soluciones y la entrega de
servicio. (Anexo 2.2 Alinear, Planificar y Organizar)

56
2.5.2.3 C O N S T R U I R , A D Q U I R I R E I M P LE M E NT AR
Proporciona las soluciones y las pasa para convertirlas en servicios.
(Anexo 2.3 Construir, adquirir e implementar)
2.5.2.4 E NT RE G AR D AR S E R V I C I O Y S OP O RT E
Recibe las soluciones y las hace utilizables por los usuarios finales.
(Anexo 2.4 Entregar dar servicio y soporte)
2.5.2.5 S U P E R V I S AR E V AL U AR Y V AL O R AR
Monitorear todos los procesos para asegurar que se sigue la direccin
provista (Anexo 2.5 Supervisar, evaluar y valorar)
2.5.3 I S O I E C 2700
Este Estndar Internacional abarca todos los tipos de organizaciones
como: empresas comerciales, agencias gubernamentales, organizaciones
sin fines de lucro.
Especifica los requerimientos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad

57
de la Informacin documentado dentro del contexto de los riesgos
comerciales generales de la organizacin. Especifica los requerimientos para
la implementacin de controles de seguridad personalizados para las
necesidades de las organizaciones individuales o partes de ella. (Anexo 3
ISO IEC 27000)

58
2.6 A N L I S I S C OM P AR AT I V O
2.6.1 N O R M AS D E C ONT R O L I NT E RN O V S M E J OR E S P R CT I C AS D E T I
T ABLA 2. N ORMAS DE CONTROL INTERNO VS MEJORES PRCTICAS DE TI
410 TECNOLOGA DE PROCESOS PROCESOS COBIT 5.0 ISO IEC 27001 ITIL
LA INFORMACIN COBIT 4.1 Primario Secundario
P04 APO01 APO07/ A.6.1.3, A.6.1.4, A.6.1.6, A.6.1.7 2.5, 4.5, 5.1
410-01 Organizacin APO11/ A.8.1.1, A.8.1.2
Informtica DSS06 A.8.1.3, A.8.2.1
A.8.2.2
P04 APO01 APO07/ A.6.1.3, A.6.1.4 A.6.1.5, A.6.1.6 2.5, 4.5, 5.1
APO11/
DSS06
APO01 A.8.1.1, A.8.1.2
410-02 Segregacin de A.8.1.3, A.8.2.1
funciones PO7 APO07 A.8.2.2, A.8.2.3
A.8.3.1, A.8.3.2
A.8.3.3, A.10.1.3
410-03 Plan informtico P01 APO02 EDM02 1.1, 1.2, 2.2

estratgico de /APO05
tecnologa
P02 APO03 APO01 4.2 2.5, 2.6, 2.7,
P04 APO01 APO07/ A.5.1.1, A.5.1.2 3.2, 3.3, 3.4,
APO11/ 3.7, 4.1, 4.2,
DSS06 4.3, 4.5, 5.1
410-04 Polticas y EDM03 A.6.1.1, A.6.1.2, A.6.1.3, A.6.1.4 A.6.1.5, A.6.1.6,
procedimientos A.6.1.8, A.6.2.1
APO01 A.6.2.2, A.6.2.3
P06 APO01 - A.7.1.1, A.7.1.2, A.7.1.3, A.8.1.1
PO7 APO07 EDM03/ A.8.1.2, A.8.1.3
APO01
Contina
59
PO8 APO11 BAI05 A.8.2.1, A.8.2.2

PO9 APO12 BAI03 A.8.2.3, A.8.3.1
- A.8.3.2, A.8.3.3
AI4 BAI08 APO13 A.9.1.1, A.9.1.2
AI5 APO10 - A.9.1.3, A.9.1.4
AI6 BAI06 DS002 A.9.1.5, A.9.2.1
DS5 DSS05 - A.9.2.2, A.9.2.3
DS8 DSS03 DSS02/ A.9.2.4, A.9.2.5
DS9 EAI10 DSS05/ A.9.2.6, A.9.2.7
DS10 DS003 DSS06 A.10.1.1, A.10.1.2
DS11 DSS04 - A.10.1.3, A.10.1.4
A.10.2.2, A.10.3.2
DSS05/ A.10.5.1, A.10.6.1, A.10.6.2, A.10.7.1
DS12 DSS01/ EAI09 A.10.7.3, A.10.7.4
DSS05
DSS01 - A.10.8.1, A.10.8.2
DS13 A.10.8.3, A.10.8.5
MEA02 A.10.9.3, A.10.10.2
ME2 A.10.10.4, A.11.1.1
A.11.2.1, A.11.2.2 A.11.2.3, A.11.2.4
A.11.3.1, A.11.3.2, A.11.3.3, A.11.4.3
A.11.5.4, A.12.3.1
A.12.4.1, , A.12.4.2
A.12.4.3, A.12.5.1
A.12.5.5, A.13.1.1
A.13.1.2, A.13.2.1
A.13.2.2, A.13.2.3
A.14.1.1, A.14.1.2
A.14.1.4, A.15.1.1
A.15.1.2, A.15.1.3
A.15.1.4, A.15.1.5
A.15.1.6, A.15.2.1
A.15.2.2, A.15.3.1
Contina
60
A.15.3.2,
10-05 Modelo de P02 APO03 APO01 A.7.1.1, A.7.2.1 5.1
informacin A.10.8.1, A.10.8.2
organizacional A.11.1.1,
PO10
4 BAI01 - A.8.2.2, 2.1
10-06 Administracin
de proyectos
tecnolgicos
P05 APO06 APO05 A.6.1.4, A.6.1.5 A.6.1.6, A.6.2.1 1.2, 1.3, 2,1
AI1 BAI02 - A.6.2.3, A.7.1.1 A.7.1.2, A.7.2.1 A.7.2.2, A.8.1.2 2.2, 2.3, 2.7,
AI2 BAI03 - A.8.1.3, A.10.1.1 A.10.1.4, A.10.2.1 2.8, 3.1, 3.3,
AI5 AP010 BAI03 A.10.2.2, A.10.2.3 3.4, 3.5, 3.6,
AI7 BAI07 BAI05 A.10.3.2, A.10.7.4 A.10.8.2, A.10.10.1 A.10.10.5, 4.2, 4.3, 5.1
4 A.11.4.3 A.11.6.2, A.12.1.1 A.12.2.1, A.12.2.2
10-07 Desarrollo y A.12.2.3, A.12.2.4 A.12.3.1, A.12.4.1 A.12.4.2,
adquisicin de A.12.4.3 A.12.5.1, A.12.5.2 A.12.5.3, A.12.5.4
software aplicativo A.12.5.5, A.12.6.1 A.13.2.2, A.13.2.3 A.15.1.1,
A.15.1.4 A.15.1.5, A.15.3.1 A.15.3.2
DS2 APO10 -
DS9 EAI10 DSS02
ME3 MEA03 -
P03 AP002/ EDM01/ A.6.1.5, A.6.1.6 1.1, 1.2, 1.3,
AP004 AP003/ 2.2, 2.4, 2.5,
AP001 2.7, 4.2, 4.3,
APO05 A.6.2.3, A.9.1.5 5.1
4 APO06 DSS02 A.9.2.4, A.10.3.1
10-08 Adquisiciones de P05 BAI03 BAI03 A.10.3.1, A.10.8.2
infraestructura AI3 APO10 - A.12.1.1, A.12.4.2
AI5 BAI04 - A.12.5.2, A.12.6.1
DS3 MEA03 A.14.1.1, A.14.1.5
ME3 A.15.1.1, A.15.1.8
AI3
4 BAI03 DSS02 A.7.1.1, A.8.3.2 A.9.1.5, A.9.2.4 3.2, 4.2, 4.3
10-09 Mantenimiento y AI4 BAI08 BAI05 A.10.1.1, A.10.1.2
control de AI6 BAI06 - A.10.1.4, A.10.3.2
infraestructura A.10.7.4, A.11.5.4
Contina
61
tecnolgica A.12.1.1, A.12.4.2

A.12.5.1, A.12.5.2
A.12.5.3, A.12.6.1
A.13.2.2,
DS4 DSS04 - A.6.1.6, A.6.1.7 2.6, 2.7, 4.1,
DS11 DSS04 DSS01/ A.6.2.1, A.9.1.1 4.5
DSS05/
DS006 A.9.1.2, A.9.1.3
- A.9.1.4, A.9.1.5
DS12 DSS01/ A.9.1.6, A.9.2.1
DSS05
A.9.2.2, A.9.2.3
4 A.9.2.4, A.9.2.5
10-10 Seguridad de A.9.2.6, A.9.2.7
tecnologa de
A.10.5.1, A.10.7.1
informacin
A.10.7.2, A.10.7.3
A.10.8.1, A.10.8.3
A.10.8.4, A.10.8.5
A.12.4.2, A.12.4.3
A.14.1.1, A.14.1.2
A.14.1.3, A.14.1.4
A.14.1.5, A.15.1.3
DS4 DSS04 - A.6.1.6, A.6.1.7 2.6
4
A.14.1.1, A.14.1.2
10-11 Plan de
A.14.1.3, A.14.1.4
contingencias
A.14.1.5
DS1 APO09 - A.6.1.1, A.6.1.2, A.6.1.4, A.6.1.5, A.6.1.8, A.6.2.1 1.2, 1.4, 2.2,
DS3
4 BAI04 - A.6.2.2, A.6.2.3 2.3, 2.4, 2.5,
10-12 Administracin DS5 DSS05 AP013 A.7.1.1, A.7.1.2 2.7, 3.3, 3.4,
de soporte de DS8 DSS02 - A.7.2.2, A.8.1.1 4.2, 4.3, 5.2
tecnologa de DS9 EAI10 DSS02 A.8.2.2, A.8.3.1
informacin DS10 DSS03 - A.8.3.3, A.9.1.6
A.9.2.1, A.9.2.3
Contina
62
A.10.1.3, A.10.2.1
A.10.2.2, A.10.2.3
A.10.4.1, A.10.4.2
A.10.6.1, A.10.6.2
A.10.7.4, A.10.8.4
A.10.9.1, A.10.10.2
A.10.10.3, A.10.10.4
A.10.10.5, A.11.1.1
A.11.2.1, A.11.2.2 A.11.2.3, A.11.2.4
A.11.3.1, A.11.3.2 A.11.3.3, A.11.4.1
A.11.4.2, A.11.4.3
A.11.4.4, A.11.4.5 A.11.4.6, A.11.4.7
A.11.5.1, A.11.5.2
A.11.5.3, A.11.5.4, A.11.5.5, A.11.5.6
A.11.6.1, A.11.6.2
A.12.2.3, A.12.3.1
A.12.3.2, A.12.4.1
A.12.4.2, A.12.5.1
A.12.5.3, A.12.5.5
A.12.6.1, A.13.1.1
A.13.1.2, A.13.2.1
A.13.2.2, A.13.2.3
A.14.1.1, A.14.1.4
A.15.1.5, A.15.1.6
A.15.2.2, A.15.3.1
A.15.3.2,
ME1
4 MEA01 A.5.1.1, A.5.1.2, A.6.1.8, A.6.2.3, A.10.2.2, A.10.10.2 5.1, 5.2
10-13 Monitoreo y ME2 MEA02 A.10.10.4, A.15.2.1
evaluacin de los A.15.2.2, A.15.3.1
procesos y servicios
4
10-14 Sitio web,
Contina
63
servicios de internet e
intranet
DS7
4 APO07 A.8.2.2 2.5
10-15 Capacitacin
Informtica
ME4
4 EDM01/EDM02/ A.6.1.8 1.2, 1.4
10-16 Comit EDM03/EDM04/MEA02
informtico
4
10-17 Firmas
Electrnicas
64
2.6.2 N O R M AS D E C ONT R O L I NT E RN O V S L E Y E S Y R E GL AM E NT OS
T ABLA 3.- NORMAS DE CONTROL INTERNO VS LEYES Y REGLAMENTOS
410 TECNOLOGA DE LA LEY LEY REGLAMENT LEY DE REGLA LEY REGLAMEN

INFORMACIN DEL ORGNICA O GENERAL COMERCIO MENTO ORGNICA TO
SISTEM DE DE LA LEY ELECTRNIC GENER DEL GENERAL
A TRANSPARE ORGNICA O, FIRMAS AL DE SISTEMA DE LA LEY
NACION NCIA Y DE ELECTRNIC BIENES NACIONAL ORGNICA
AL DE ACCESO A TRANSPARE AS Y DEL DE DEL
REGIST LA NCIA Y MENSAJES SECTO CONTRATA SISTEMA
RO DE INFORMACI ACCESO A DE DATOS. R CIN NACIONAL
DATOS N PBLICA LA PBLIC PBLICA DE
PBLIC INFORMACI O CONTRATA
AS N PBLICA Y CIN
REFORMAS PBLICA
410-01 Organizacin Informtica
410-02 Segregacin de funciones
410-03 Plan informtico estratgico de
tecnologa
410-04 Polticas y procedimientos
410-05 Modelo de informacin
organizacional
410-06 Administracin de proyectos
tecnolgicos
410-07 Desarrollo y adquisicin de Art.23 Art 22, Art 23 Art.121,Art
software aplicativo Art 24, Art. 124
69
Art 70, Art 73
Art 74, Art 75
Art 99
410-08 Adquisiciones de infraestructura Art 22, Art 23 Art.121,Art
Art 24, Art. 124
Contina
65
69
Art 70, Art 73
Art 74, Art 75
Art 99
410-09 Mantenimiento y control de Art. 95
infraestructura tecnolgica
Art. 96
Art. 97
Art 98
Art 99
410-10 Seguridad de tecnologa de Art.26
informacin
410-11 Plan de contingencias
410-12 Administracin de soporte de
tecnologa de informacin
410-13 Monitoreo y evaluacin de los
procesos y servicios
410-14 Sitio web, servicios de internet e Art.7 Art. 6
intranet
410-15 Capacitacin Informtica
410-16 Comit informtico
410-17 Firmas Electrnicas Art. 13, Art. 14
Art.15, Art 16
Art 17, Art.18
Art. 19, Art. 20
Art. 21, Art. 22
Art. 23, Art. 24
Art.25, Art.26
Art.27, Art. 28
66
C AP TULO III
G U A P AR A L A EVALU ACI N DEL CO NTROL I NTER NO
3.1 I N T R OD U C C I N
De acuerdo al anlisis de la estructura organizacional de la Unidad de
Tecnologa diferentes entidades pblicas y de acuerdo a las Normas de
Control Interno se identificaron las siguientes reas e identificamos los
medios de verificacin para su cumplimiento.
3.1.1 R E AS A E V AL U AR
3.1.1.1 O R G AN I Z AC I N Y A D M I NI S T R AC I N
a) Estructura Organizacional
La estructura organizacional de la Unidad de Tecnologa de
Informacin se encontrar en un nivel que permita realizar
actividades de asesora y apoyo a la alta direccin y unidades
usuarias.
Debe reflejar las necesidades institucionales, garantizar
independencia con las otras reas y que la cobertura del servicio
se brinde a todas las unidades de la entidad.
Revisar de forma peridica para actualizar de acuerdo a las
estrategias internas, objetivos planteados y avances tecnolgicos.

67
ESQUEMA MNIMO
Proyectos Tecnolgicos
Infraestructuras Tecnolgicas
Soporte Interno
MEDIOS DE VERIFICACIN
Organigrama de la Unidad de Tecnologa de Informacin y
Comunicacin.
Orgnico funcional aprobado.
b) Segregacin de Funciones
Asignar funciones y responsabilidades considerando que no se
presente funciones incompatibles
Supervisar roles y funciones del personal en cada una de las
reas.
Evaluar las posibilidades de reubicacin e incorporacin de nuevo
personal.
Evaluar el desempeo en base a la descripcin documentada.

68
Descripcin documentada y aprobada de los puestos de trabajo
del rea de tecnologa que contenga: Deberes, responsabilidades,
habilidades y experiencia considerando procedimientos que
eliminen la dependencia de personal clave.
Resultados de la evaluacin de desempeo.
c) Plan Estratgico y Tecnologa
Elaborar e implementar un plan informtico estratgico alineado
con el plan estratgico institucional y este con el Plan Nacional de
Desarrollo y las polticas pblicas de gobierno.
El plan informtico estratgico tendr un nivel de detalle suficiente
que permita la definicin de planes operativos.
Los planes operativos debern estar alineados al plan estratgico
informtico y a los objetivos estratgicos de la institucin.
Actualizar, monitorear y evaluar de forma trimestral el grado de
ejecucin.
El Plan estratgico y operativo de tecnologa de informacin y su
presupuesto analizados y aprobados por la mxima autoridad de
la entidad y que al menos incluya:

69
El Plan Informtico estratgico:
Anlisis de la Situacin Actual
Propuestas de mejora de todas las reas
Estructura Interna
Procesos
Infraestructura
Comunicaciones
Aplicaciones y Servicios
Definicin de Estrategias
Riesgos
Cronograma.
Presupuesto de Inversin y Operativo
Fuentes de Financiamiento
Requerimientos Legales y Regulatorios
Los planes operativos incluirn:
Portafolio de proyectos y de servicios
Arquitectura y direccin tecnolgica
Estrategias de migracin
Contingencia de infraestructura
Consideraciones para incorporacin de nuevas
tecnologas.
70
d) Polticas y Procedimientos
Definir, documentar y difundir las polticas, estndares y
procedimientos que regulen las actividades relacionadas con
tecnologa de informacin y comunicacin.
Alinear a las leyes afines y estndares de tecnologa de
informacin.
Actualizar permanentemente e incluir las tareas, responsables de
su ejecucin, los procesos de excepcin, el enfoque de
cumplimiento, el control de los procesos y las sanciones en el
caso de que no se cumpliera.
Promover y establecer convenios.
Polticas y procedimientos aprobados por la mxima autoridad y
difundidos en temas como:
Calidad
Seguridad
Confidencialidad
Controles Internos
Propiedad Intelectual
Firmas electrnicas y mensajera de datos
Legalidad del software
Sistema de aseguramiento de la calidad

71
Gestin de riesgos
Supervisin de funciones, e indicadores de desempeo
el permitan medir el cumplimiento de las regulaciones y
estndares.
e) Modelo de Informacin Organizacional
Definir un modelo de informacin de la organizacin que facilite y
garantice su creacin, uso, comparticin, disponibilidad,
integridad, exactitud y seguridad en base a los procesos y
procedimientos correspondientes
Diccionario de datos corporativo documentado y actualizado
permanentemente
Reglas de validacin y controles de integridad y consistencia
Identificacin de los mdulos y las relaciones que ayudan en las
aplicaciones y procesos institucionales
Clasificacin de datos para aplicar niveles de seguridad y
propiedad.
Diccionario de datos
Modelo entidad relacin
Modelo fsico
72
f) Proyectos Tecnolgicos
Descripcin de la naturaleza, objetivos y alcance y de ser el caso
exista relacin con otros proyectos institucionales con la debida
aceptacin de los usuarios interesados
Cronograma de actividades que incluya: talento humano,
tecnolgicos, financiero, planes de prueba y capacitacin.
Presupuesto referencial en el que incluya aspectos de uso y
mantenimiento, capacitacin para el personal de soporte y
usuarios.
Nombrar un servidor responsable para la ejecucin del proyecto
con la descripcin de sus funciones y responsabilidades.
El proyecto debe contener al menos las siguientes etapas: inicio,
planeacin, ejecucin, control, monitoreo, cierre. Las etapas
importantes sern aprobadas y comunicadas a los interesados.
Anlisis de riesgos.
Monitoreo y control del avance del proyecto
El cierre del proyecto incluir aceptacin formal y pruebas que
certifiquen la calidad y cumplimiento de los objetivos planteados.
Documentos entregables con sus respectivas aprobaciones,
documentos formales como actas o documentos electrnicos
legalizados.
73
Plan de control de cambios aprobado
Plan de aseguramiento de la calidad aprobado
g) Capacitacin
Necesidades de capacitacin identificadas para el personal de
tecnologa como para los usuarios que utilizan los servicios de
informacin.
El plan de capacitacin estar orientado a los puestos de trabajo
y a las necesidades de conocimiento especficas determinadas en
la evaluacin de desempeo e institucionales.
Plan de capacitacin informtico, formulado conjuntamente con la
unidad de talento humano.
h) Comit Informtico
Para la conformacin de un comit informtico institucional, se
tomar en cuenta lo siguiente:
El tamao y complejidad de la entidad y su interrelacin con
entidades adscritas.
Objetivos claros para la creacin de un comit de informtica, con
el propsito de definir, conducir y evaluar las polticas internas, la

74
calidad de los servicios informticos, y apoyar a las unidades
administrativas que conforman la entidad.
La conformacin y funciones del comit, su reglamentacin, la
creacin de grupos de trabajo, la definicin de las atribuciones y
responsabilidades de los miembros del comit, entre otros
aspectos.
Resolucin de la entidad en donde se encuentre:
Creacin y Objetivos
Integracin
Funciones
Sesiones
Subcomisiones de apoyo
3.1.1.2 S I S T E M AS I N F ORM T I C OS
a) Polticas de Software
Regular los procesos de desarrollo, adquisicin de software con
lineamientos metodologas y procedimientos.
Polticas pblicas y estndares internacionales para:
Codificacin de software
75
Nomenclatura,
Interfaz de usuario
Interoperabilidad
Eficiencia en el desempeo del sistema,
Escalabilidad,
Validacin contra requerimientos,
Planes de pruebas unitarias y de integracin.
Procesos de desarrollo, mantenimiento o adquisicin
Estndares de desarrollo
Documentacin
Calidad
Diseo Lgico y Fsico
Controles para prevenir, detectar, corregir errores e
irregularidades del procesamiento con el objeto de que sea
exacto, oportuno, aprobado y auditable
Mecanismos de autorizacin
Integridad de la informacin
Control de acceso
Respaldos
Diseo de Implementacin de pistas de auditoria
Requerimientos de seguridad
Especificacin del diseo: arquitecturas tecnolgicas y de
informacin definidas en la organizacin

76
Polticas y estndares de software aprobados y difundidos.
Metodologas y procedimientos definidos en el desarrollo de
software.
b) Adquisicin de Software
Verificar que esta adquisicin sean parte de:
Portafolio de proyectos y servicios priorizados en los planes
estratgicos y operativos aprobados.
Constar en el Plan Anual de Contrataciones de la Institucin
Autorizadas por la mxima autoridad previa justificacin
tcnica documentada.
Criterios para la aceptacin del requerimiento de software
Definicin de las necesidades.
Factibilidad tecnolgica y econmica.
Anlisis de riesgo.
Costo beneficio.
Estrategia de compra del software y as como los procesos
de emergencia de ser el caso.
Especificaciones tcnicas constantes en los pliegos.
En los contratos debe constar:

77
Mecanismos que aseguren el cumplimiento satisfactorio de
los requerimientos solicitados.
Procedimientos de recepcin de productos, documentacin
en general, garanta formal de soporte, mantenimiento y
actualizacin ofrecida por el proveedor.
Para el caso de software adquirido, el detalle suficiente q
garantice la obtencin de licencias de uso y servicios.
Para el caso de software desarrollado a la medida los
derechos de autor que ser de la entidad contratante y el
contratista entregar el cdigo fuente, el mismo que ser
registrado de acuerdo a las disposiciones de la Ley de
Propiedad Intelectual. Las excepciones sern tcnicamente
documentadas y aprobadas por la mxima autoridad o su
delegado.
La implementacin del software incluir:
Procedimientos de configuracin, aceptacin y pruebas
personalizados e implantados.
Validacin contra los trminos contractuales
Arquitectura de la informacin de la organizacin
Aplicaciones existentes
Interoperabilidad con las aplicaciones existentes y los
sistemas de bases de datos
Eficiencia en el desempeo del sistema
Manuales de integracin y planes de prueba del sistema.

78
Actas de aceptacin formalizadas por parte de los usuarios desde
el ambiente de desarrollo/ prueba al de produccin de los
sistemas probados y aprobados y su revisin en la post
implantacin.
Elaboracin de los manuales tcnicos, instalacin, configuracin,
usuario que se encuentre difundidos publicados y actualizados de
manera permanente
Plan Anual de Compras de la Institucin.
Portafolio de proyectos.
Documento que se solicita el requerimiento, la necesidad.
Pliegos
Contrato
Actas entrega-recepcin.
Procedimiento Precontractual
- Estudios, diseos o proyectos
- Certificacin presupuestaria para el objeto de contratacin
correspondiente.
- Convocatoria o invitacin a participar en el proceso segn el caso.
- Pliego
79
- Resolucin de aprobacin del pliego e inicio del proceso.
- Preguntas, respuestas y aclaraciones correspondientes al
proceso.
- Acta de apertura de ofertas presentadas por el oferente.
- Acta de los detalles de errores de forma de las ofertas y por la
cual se solicita convalidacin de errores presentados, as como el
acta por el cual se han convalidado esos errores de ser el caso.
- Informe de evaluacin de las ofertas realizadas por las
subcomisiones de apoyo a la comisin tcnica y/o por la comisin
tcnica de ser el caso.
- Cuadro resumen de calificacin de las ofertas presentadas.
- Informe de la comisin tcnica en el que se recomienda a la
mxima autoridad o su delegado, la adjudicacin o declaratoria de
desierto segn sea el caso de contratacin.
- Acta de Negociacin
- Resolucin de Adjudicacin
- Garantas presentadas antes de la firma del contrato.
- Resoluciones de cancelacin o declaratoria de desierto de los
procesos, segn el caso de existir.
Procedimiento contractual y de ejecucin.
- Contrato suscrito entre la entidad contratante y la empresa
contratista, as como los documentos habilitantes de ser el caso.

80
- Contratos modificatorios en caso de que sea necesario enmendar
errores.
- Contratos complementarios en caso de haberse celebrado.
- Notificacin de disponibilidad del anticipo, cuando su pago implica
que a partir de ese hecho corren los plazos de cumplimiento de
las obligaciones por parte del contratista.
- Garantas presentadas a la firma del contrato.
- Informe provisional y final o actas de recepcin provisional,
parcial, total o definitiva, debidamente suscritas segn el caso.
- Comunicaciones al contratista respecto de aplicacin de multas y
otras sanciones.
- Actos administrativos de sancin y multas.
c) Desarrollo de Software
Verificar que este desarrollo sean parte de:
Portafolio de proyectos y servicios priorizados en los planes
estratgicos y operativos aprobados.
Criterios para la aceptacin del requerimiento de software
Definicin de las necesidades.
Factibilidad tecnolgica y econmica.
Anlisis de riesgo.
Costo beneficio.
Estrategia de desarrollo del software.

81
Requerimientos funcionales y tcnicos:
Tipos de usuarios
Requerimientos de entrada
Definicin de interfaces, archivo, procesamiento, salida,
control, seguridad
Plan de pruebas
Trazabilidad
Pistas de auditora donde se aplique, con la participacin y
aprobacin de las unidades usuarias.
Actas de aceptacin formalizadas por parte de los usuarios desde
el ambiente de desarrollo/ prueba al de produccin de los
sistemas probados y aprobados y su revisin en la post
implantacin.
La implementacin del software incluir:
Procedimientos de configuracin, aceptacin y pruebas
personalizados e implantados.
Validacin contra los trminos contractuales
Arquitectura de la informacin de la organizacin
Aplicaciones existentes
Interoperabilidad con las aplicaciones existentes y los
sistemas de bases de datos
Eficiencia en el desempeo del sistema
Manuales de integracin y planes de prueba del sistema.

82
Elaboracin de los manuales tcnicos, instalacin, configuracin,
usuario que se encuentre difundidos publicados y actualizados de
manera permanente.
Portafolio de proyectos y servicios.
Requerimientos funcionales y tcnicos
Actas de aceptacin por parte de los usuarios.
Manuales tcnicos, instalacin, configuracin, y de usuario.
d) Mantenimiento de Software
Procedimientos para mantenimiento y liberacin de software de
aplicacin por:
Planeacin
Cambios a disposiciones legales y normativas.
Correccin y mejoramiento de los mismos.
Requerimientos de los usuarios.
Los cambios deben estar:
Registrados, evaluados y autorizados previa su
implementacin, con la finalidad de disminuir los riesgos de
integridad del ambiente de produccin.

83
Registrados en la bitcora e informar a todos los actores, y
usuarios finales relacionados, adjuntando las respectivas
evidencias.
Control y registro de versiones del software que entran a
produccin.
Actualizacin de los manuales tcnicos y de usuario por cada
cambio o mantenimiento que se realice, para luego difundirlos y
publicarlos.
Ambientes de desarrollo prueba y produccin independientes
Mantenimiento de un repositorio de diagramas y configuraciones
de hardware y software actualizado que garantice su integridad,
disponibilidad y faciliten una rpida resolucin de los problemas
de produccin.
Administracin adecuada de la informacin, libreras de software,
respaldos y recuperacin de datos.
Procedimientos para el mantenimiento y liberacin del software de
aplicacin.
Registro del control de cambios.
Registro de control de versiones.
Manuales tcnicos y de usuarios actualizados.
Verificar si existe ambientes de desarrollo, prueba y produccin.
Diagramas y configuraciones de hardware y software

84
e) Aplicaciones y Servicios
Elaborar normas, procedimientos e instructivos de instalacin,
configuracin y utilizacin de los servicios de internet, intranet,
correo electrnico y sitio WEB de la entidad,
Desarrollo de aplicaciones web y/o mviles que automaticen los
procesos o trmites institucionales y ciudadanos en general.
Instructivos de instalacin, configuracin y uso de los servicios de
intranet, internet y correo electrnico.
3.1.1.3 I N F R AE S T R U C T U R A T E C N O L GI C A
Definir, justificar, implementar y actualizar la infraestructura
tecnolgica
a) Administracin de la Infraestructura
Planificar el incremento de las capacidades
Evaluar los riesgos tecnolgicos, costos y vida til de la inversin
para futuras actualizaciones; considerando carga de trabajo,
almacenamiento, contingencias y ciclos de vida de los recursos
tecnolgicos.
85
Costo-Beneficio para el uso compartido de Data Center con otras
entidades del sector pblico optimar los recursos invertidos.
b) Adquisicin de la Infraestructura
Se debe realizar en base a un portafolio de proyectos y servicios
priorizados en los planes estratgicos y operativos, aprobados,
principios de calidad de servicio. Constar en el plan anual de
contrataciones aprobado de la institucin, caso contrario
autorizadas por la mxima autoridad previa justificacin tcnica
documentada.
Contratos tendrn el detalle suficiente de las caractersticas
tcnicas de los principales componentes tales como:
marca,
modelo,
nmero de serie,
capacidades,
unidades de entrada y salida,
garantas ofrecidas, entre otros.
Contratos de proveedores de servicios incluirn:
Acuerdos de nivel de servicio que contenga:
confidencialidad
seguridad de la informacin y otros requerimientos
legales que se apliquen.

86
Plan Anual de Compras de la Institucin.
Portafolio de proyectos.
Documento que se solicita el requerimiento, la necesidad.
Pliegos
Contrato
Actas entrega-recepcin.
Los mismos procedimientos precontractuales y contractuales
aplicados en la adquisicin de software.
Determinar la correspondencia de las caractersticas tcnicas
entre los equipos adquiridos, especificaciones tcnicos y
requerimientos establecidos en las fases precontractual,
contractual y confirmado en las actas entregas recepcin.
c) Mantenimiento y Soporte de la Infraestructura.
Implementar medidas y mecanismos lgicos y fsicos de
seguridad para proteger los recursos para garantizar la integridad,
disponibilidad, confiabilidad y seguridad.
Plan de Mantenimiento preventivo y correctivo de la
infraestructura tecnolgica
87
Inventario de bienes Informticos actualizado y detallado de las
caractersticas y responsables a cargo conciliado con los
registros contables.
Los bienes en garanta sern proporcionados por el proveedor, sin
costo adicional.
Niveles de servicio y de operacin para todos los procesos crticos
de tecnologa de informacin.
Revisin, monitoreo y notificacin de la efectividad y
cumplimiento de los servicios claves de tecnologas de
informacin.
Administracin de los incidentes reportados, requerimientos de
servicio y solicitudes de informacin y de cambios que demandan
los usuarios, a travs de mecanismos efectivos y oportunos como
mesas de ayuda o de servicios, entre otros.
Revisiones peridicas para determinar si la capacidad y
desempeo actual y futura de los recursos tecnolgicos son
suficientes para cubrir los niveles de servicio acordados con los
usuarios.
Polticas y procedimientos emitidos para el mantenimiento de la
infraestructura tecnolgica.
88
Plan de mantenimiento preventivo y correctivo de la
infraestructura tecnolgica, sustentado en revisiones peridicas y
monitoreo en funcin de las necesidades organizacionales:
Estrategias de actualizacin de hardware y software
Riesgos
Evaluacin de vulnerabilidades.
Requerimientos de seguridad.
Inventario de bienes informticos que permita realizar el
mantenimiento y control a travs de la siguiente informacin.
Cdigo de activo fijo.
Nmero de serie
Marca
Ubicacin del bien
Caractersticas principales.
Fecha de compra
Periodo de garanta
Proveedor del equipo
Estado del equipo
Acuerdos de nivel de Servicio
Reporte de incidentes.
89
3.1.1.4 S E G URI D AD E S
Mecanismos que protejan y salvaguarden contra prdidas y fuga
de medios fsicos e informacin que se procesa mediante
sistemas informticos.
Ubicacin adecuada y control de acceso fsico a la unidad de
tecnologa de informacin y en especial a las reas de: desarrollo
y bibliotecas;
Procedimientos de obtencin peridica de respaldos en base a un
cronograma definido y aprobado.
En caso de actualizacin de tecnologas de soporte se migrar la
informacin a los medios fsicos con estndares abiertos para
garantizar la perpetuidad de los datos y su recuperacin
Almacenamiento de respaldos de informacin crtica o sensible en
lugares externos a la organizacin
Implementacin y administracin de seguridades a nivel de
hardware y software sobre las vulnerabilidades o incidentes de
seguridad identificados, que se realizar con monitoreo de
seguridad, pruebas peridicas y acciones correctivas.
Instalaciones fsicas adecuadas:
Mecanismos, dispositivos y equipo especializado para
controlar el fuego
Mantener el ambiente con temperatura y humedad relativa
del aire controlado.

90
Energa acondicionada esto es estabilizada y polarizada
Sitios de procesamiento alternativos.
Procedimientos de seguridad para el personal que trabaja en
turnos por la noche o fin de semana.
Plan de Contingencia que describa acciones a tomar en caso de
emergencia o suspensin en el procesamiento de la informacin.
Identificacin nica de los usuarios internos, externos y
temporales que interacten con los sistemas y servicios de
tecnologa de informacin de la entidad.
Estandarizacin de la identificacin, autenticacin y autorizacin
de los usuarios, as como la administracin de sus cuentas.
Revisiones peridicas a las cuentas de usuarios y los privilegios
asociados por parte los responsables y administradores de los
sistemas de tecnologa de informacin.
Medidas de prevencin, deteccin y correccin de software
malicioso y virus informticos.
Mecanismos de seguridad aplicables a la recepcin,
procesamiento, almacenamiento fsico y entrega de informacin y
de mensajes sensitivos, as como la proteccin y conservacin de
informacin utilizada para encriptacin y autenticacin.
Firmas electrnicas.- Las servidoras y servidores autorizados por
las instituciones pblicas podrn utilizar la firma electrnica en un
mensaje de datos para el ejercicio y cumplimiento de las
funciones inherentes al cargo pblico.

91
Verificacin de la autenticidad de la firma electrnica.
Coordinacin interinstitucional de formatos para uso de firma
electrnica.
Conservacin de archivos electrnicos.
Actualizacin de datos de los certificados de firmas
electrnicas.
Seguridad de los certificados y dispositivos portables
seguros
Renovacin del certificado de firma electrnica
Capacitacin en el uso de firmas electrnicas.
Polticas y procedimientos aprobados y difundidos para proteger y
salvaguardar los bienes y la informacin.
Constatacin fsica de la ubicacin e instalaciones fsicas de la
Unidad de Tecnologa de Informacin y del Centro de Datos.
Polticas y procedimientos para la obtencin de respaldos.
Plan de Contingencia aprobado e implementado que contenga por
lo menos los siguientes aspectos:
Plan de respuesta a riesgos
Definicin y ejecucin de procedimientos de control de
cambios
Plan de continuidad de operaciones

92
Plan de recuperacin de desastres
Comit de roles especficos y nombres de los encargados.
3.1.1.5 M ON I T O R E O Y E V AL U AC I N
a) Procesos y Servicios.
Marco de trabajo de monitoreo y el alcance.
Metodologa y proceso a seguir para monitorear la contribucin y
el impacto de las tecnologas de informacin.
Definir indicadores de desempeo y mtricas del proceso para
monitorear la gestin y tomar los correctivos necesarios.
Definir y ejecutar procedimientos para la medicin, anlisis y
mejora del nivel de satisfaccin de los clientes internos y externos
por los servicios recibidos.
Informes peridicos de gestin a la alta direccin, para verificar el
cumplimiento y se identifiquen e implanten acciones correctivas.
Indicadores de desempeo definidos
Medidas o procedimientos definidos para el anlisis de
satisfaccin al cliente
Informes de gestin
Metodologas utilizadas para la evaluacin y monitoreo.

93
3.2 E V AL U AC I N D E R I E S G OS
La evaluacin de riesgos comprende su identificacin, anlisis, mapeo
y priorizacin. (31000, 2009)
3.2.1 I D E N T I F I C AC I N D E L OS R I E S G OS
Identificar los procesos de la unidad que est evaluando, podra
haber uno o ms procesos. Los procesos estn detallados en el
Reglamento Orgnico Funcional/ Estatuto de procesos de la
entidad. En el caso de no existir definicin por procesos identificar
las reas.
Definir el objetivo de cada proceso en un enunciado
Sealar las fuentes de riesgos o eventos que pueden dificultar o
impedir la consecucin del objetivo propuesto. Cules son los
eventos o circunstancias que podran afectar o impedir la
consecucin del objetivo de este proceso?
Identificar las causas de cada fuente de riesgo. Cul es la causa
de este evento o circunstancia?
Definir las consecuencias potenciales de no alcanzar o cumplir el
objetivo del rea o proceso
Redactar el enunciado del riesgo identificando:

94
Fuentes de riesgo + PODRIAN OCASIONAR + que no se
cumpla con el objetivo del rea. (Anexo 4.1. Identificacin de
los riesgos.)
3.2.2 A N L I S I S D E L OS R I E S G OS
3.2.2.1 N I V E L D E R I E S G O
Con los riesgos identificados
Identificar los controles existentes para el cumplimiento del
objetivo del rea. Un control puede ser proceso, poltica,
dispositivo, prctica, u otras acciones que contribuyan al
cumplimiento del objetivo de la actividad analizada. La siguiente
pregunta puede ayudar: Cules son los controles existentes en
este proceso?
Definir la efectividad de los controles eligiendo un rango que va
desde bueno hasta deficiente. No se trata de emitir un criterio
sobre el funcionamiento terico del control sino de medir su
efectividad en la realidad.
Definir la probabilidad de ocurrencia de los riesgos identificados.
Escogiendo un rango de la siguiente escala:
5 Casi cierta
4 Probable
3 Posible
95
2 Poco probable
Rara
La pregunta es Que tan probable es que el riesgo identificado ocurra?
Definir el impacto que podra generarse si el riesgo identificado se
hace realidad. Escogiendo un rango de la siguiente escala.
5: Grave.
4. Daos mayores.
3. Mediano.
2. Leve.
1. Muy leve.
La pregunta es Cual sera el impacto para la entidad si el riesgo
identificado ocurre?
Para obtener el nivel de riesgo, se debe multiplicar el valor
definido en el impacto por el valor de la probabilidad. (Anexo 4.2.
Anlisis de riesgos.)
3.2.3 M AP E O DE R I E S G OS
Una vez que se ha definido la probabilidad y el impacto de cada
riesgo identificado se procede a ubicarlos grficamente en el mapa de
riesgos. La probabilidad se ubica en el eje vertical (y), y el impacto en el eje
horizontal x. (Anexo 4.3 Mapeo de riesgos.)

96
Los riesgos identificados con un nivel de riesgo en el rango de 16 a 25
son considerados altos, de 9 a 15 moderados, y de 1 a 8 bajos.
3.2.4 P R I OR I Z AC I N DE R I E S G OS
El propsito de la priorizacin de riesgos es asistir en la toma de
decisiones, con base en los resultados del anlisis de riesgos, sobre los
riesgos que necesitan prioridad para su tratamiento.
Transcribir el nivel de riesgos y el nivel exposicin.
Definir el criterio de riesgo, de acuerdo a la siguiente escala:
Podemos tolerar este riesgo
Es un riesgo medianamente tolerable.
No podemos tolerar este riesgo
Riesgos a tratar, marcar con una x los riesgos que tanto por su
nivel o criterio previamente definido requieren ser tratados
Asignar la prioridad dcada riesgo identificado en forma ordinal.
(Anexo 4.4 Priorizacin de riesgos.)
3.2.5 P L AN D E T R AT AM I E N T O DE R I E S G OS
El tratamiento de los riesgos involucra seleccionar una o ms
acciones para implementarlas y mitigar los riesgos identificados.

97
a) Transcribir los riesgos identificados en el orden de prioridad
establecido.
b) Definir las acciones que deben cumplirse para mitigar (de ser
posible) el riesgo identificado.
Las opciones/acciones para el tratamiento del riesgo pueden ser:
- (E) Evitar el riesgo: es decidir no empezar o continuar con la
actividad que genera el riesgo; implica descontinuar las
actividades que los originan.
- (R) Reducir el riesgo: incluye los mtodos y tcnicas
especficas para tratar los riesgos, identificndolos y
proveyendo acciones para la reduccin de su probabilidad e
impacto.
- (C) Compartir el riesgo: reduce la probabilidad y el impacto
mediante la transferencia u otra manera de compartir una
parte del riesgo con terceros.
- (A) Aceptar el riesgo: no se realiza accin alguna para
afectar la probabilidad e impacto.
c) Definir un indicador de desempeo para la administracin de
riesgos, por cada accin propuesta.
Los indicadores de desempeo o de gestin para la
administracin de riesgos son variables o parmetros que
permiten medir de forma cuantitativa y cualitativa el grado de
cumplimiento que debern tener las acciones propuestas
(opciones de tratamiento) para reducir, compartir y aceptar el

98
riesgo, en trminos de eficiencia, economa, efectividad e impacto.
Un indicador es la fuente de medicin de cualquier objetivo, meta
o proceso y permite medir el grado de avance en la ruta para
alcanzarlos.
Los indicadores son concebidos como frases, que luego de su
aplicacin se transforman en cifras.
- Parmetros semnticos en la construccin de indicadores-
Uno de los problemas comunes en la redaccin de indicadores, es
la forma muy general en que se presentan. Se sugiere la siguiente
metodologa en su redaccin:
1) Agregacin ms preposicin
- 4 (cantidad de)
- 90% (porcentaje de)
- Un (Total de)
2) Sustantivo plural (variable)
- carreteras
- cuentas por cobrar
- plan de mantenimiento vehicular
Ejemplos adicionales de variables de indicadores: pliza
de seguro, reglamento de salud y seguridad
ocupacional, anteproyectos de ley, servidores, etc.
3) Verbo en participio pasado (accin)
mantenidas
recuperadas
99
implementado
4) Adjetivo
De acuerdo a las normas y procedimientos de
mantenimiento vial
dentro del plazo de cobro
en cumplimiento de las especificaciones y manuales
tcnicos de cada vehculo
5) Complemento circunstancial (tiempo, lugar, etc.)
por la Direccin de Obras Pblicas en el 2013.
por la Direccin Financiera a diciembre del 2013.
por la Direccin de Administracin General en el 2013.
Estos requisitos semnticos, procuran definir el indicador y
adecuarlo a las circunstancias que requiere la medicin.
Sealar quien es responsable del cumplimiento (cargo y unidad
en la que presta sus servicios) en el casillero 16.
Sealar la fecha en la se estima cumplir con la accin propuesta,
en el casillero 17.(Anexo 4.5 Tratamiento de riesgos.)

100
3.3 I D E N T I FI C AC I N D E L OS C O N T R O LE S C L AV E S
3.3.1 P R U E B AS S U S T AN T I V AS
El objetivo de las pruebas sustantivas es obtener la suficiente
evidencia para que el auditor pueda juzgar si ha habido prdidas materiales
o podran ocurrir en el ambiente de procesamiento de datos.
Pruebas sustantivas que pueden ser usadas.
a) Pruebas para identificar procesos errneos.
b) Pruebas para evaluar la calidad de los datos.
c) Pruebas para identificar datos inconsistentes.
d) Pruebas para comparar datos con conteos fsicos.
e) Confirmacin de datos con fuentes externas.
3.3.2 P R U E B AS D E C U M P L I M I E NT O
El objetivo de las pruebas de cumplimiento es determinar si el control
es adecuado y si est funcionando en la forma que se plane en el rea
informtica.
Las pruebas de cumplimiento deben apoyarse en el alcance que se
determin, pudiendo soportarlo a travs de:

101
a) Documentacin
b) Manuales de usuario, tcnicos y procedimientos.
c) Cambios en los programas
d) Solicitud por escrito.
e) Pruebas por parte de los usuarios.
f) Actualizacin de los manuales tcnicos y de usuarios.
g) Verificar que los cambios en los programas sean realizados por el
personal de informtica o por el proveedor de la aplicacin.
h) Copias de respaldo y de recuperacin.
i) Contenido de las copias
j) Periodicidad de las copias.
k) Persona responsable
l) Custodia, almacenamiento, inventario.
m) Acceso a datos y programas.
n) Verificar la lista de usuarios que tiene acceso.
o) Revisar el procedimiento para otorgar y eliminar los accesos.
p) Analizar la periodicidad de los cambios de claves.
q) Capacitacin de los usuarios
r) Controles en la entrada, proceso y salida.

102
3.4 P R O C E D I M I E N T OS DE AU D I T OR A A S E R AP LI C AD O S
Procedimientos que permitirn al auditor de sistemas guiarlo sobre los
puntos importantes a evaluar dentro de la organizacin, no obstante la
experiencia de este podr hacer la ampliacin o reduccin del mismo,
estando sujeto a su responsabilidad y objetividad. (Manual de Auditoria de
Sistemas, s.f.)
3.4.1 O R G AN I Z AC I N Y AD M I NI S T R AC I N
3.4.1.1 P L AN E S E S T R AT GI C OS Y OP E R AT I V OS
Verificar si en el plan estratgico institucional se encuentra
incluido el plan estratgico de TI.
Verificar si las actividades y metas del plan estratgico de TI estn
alineados, con los objetivos estratgicos institucionales y dar
seguimiento al cumplimiento de los proyectos a largo plazo.
Verificar la existencia de un plan operativo de TI para dar
seguimiento al cumplimiento de metas de los proyectos a corto
plazo.
Verificar las actividades, perodos, grado de avance y
responsables de ejecucin de las actividades del plan estratgico.

103
Verificar que el plan estratgico de TI sea traducido
peridicamente en planes a corto plazo.
3.4.1.2 E S T RUCT UR A O R G ANI Z AC I ON AL Y F U NC I ON E S
Solicitar el organigrama de la institucin e identificar la ubicacin
de TI, analizar su estructura jerrquica y que est conforme a la
situacin actual. As mismo verificar su vigencia y aprobacin.
Verificar si la estructura actual est encaminada a los logros de
los objetivos del rea de TI.
Verificar si los niveles jerrquicos establecidos actualmente son
necesarios y suficientes para el desarrollo de las actividades del
rea de TI.
Verificar si se consideran adecuados los departamentos y reas
en que est dividida la estructura de TI.
Solicitar los manuales de puestos del rea de TI y verificar que las
funciones descritas correspondan con las que ejecuta cada
empleado de TI.
Evaluar el manual de puestos, su claridad en la delegacin de
autoridades, y que deben ir acompaadas de definiciones de las
habilidades tcnicas necesarias, para utilizarse como base para la
evaluacin del desempeo.
Verificar si los puestos actuales son adecuados a la necesidad
que tiene el rea para cumplir con sus funciones.

104
Identificar las causas de incumplimiento de las funciones y
objetivos previstos por la Administracin, como por ejemplo: falta
de personal, personal no capacitado, cargas de trabajo excesivas,
realizacin de otras actividades, planificacin y la forma en que se
desarrollan.
Verificar que la posicin de la unidad de tecnologa est en un
nivel suficientemente alto para garantizar su independencia de los
departamentos usuarios.
Verificar que exista una separacin adecuada de tareas entre los
operadores de la computadora, los programadores de la
aplicacin y los analistas de sistemas.
Verificar que exista un plan de capacitacin y que ste responda a
las necesidades de la institucin en cumplimiento al plan
estratgico de TI.
Verificar que todo el personal tome un mnimo de cinco das
consecutivos de vacaciones, de manera que alguien ms pueda
ejecutar las funciones especficas de un puesto determinado.
Verificar que exista una poltica o norma apropiada para la
separacin de funciones y esta sea auditada.
Revisar las descripciones de los puestos por cada departamento o
unidad, de tal manera asegurar que cada una de ellas est
conforme al cargo.
105
3.4.1.3 N O R M AS Y P OL T I C AS
Solicitar las polticas y normas establecidas para TI.
Verificar que la Unidad de TI sea responsable de la formulacin,
desarrollo, documentacin, divulgacin y el control de las
polticas; y que todas ellas estn por escrito y debidamente
autorizadas y actualizadas.
Verificar que la Unidad de TI haya creado mecanismos de
divulgacin que permitan asegurar que las polticas sean
comunicadas y comprendidas por todo el personal involucrado
directa o indirectamente con el rea de TI.
Verificar que las polticas o normas emitidas sean actualizadas,
por lo menos anualmente o al momento de presentarse cambios
significativos en el ambiente operacional, para garantizar que
sean funcionales y aplicables.
Verificar si las polticas o normas son del conocimiento del
personal de TI.
Verificar la existencia de polticas o normas sobre reserva y
confidencialidad de informacin.
Verificar que las normas y polticas estn aprobadas por la
mxima autoridad y que presenten fecha de vigencia.

106
3.4.2 S I S T E M AS I N F ORM T I C OS
Verificar si existe un inventario de software aplicativo en el que se
detalle la versin, el proveedor y la vigencia de la licencia, etc.
Verificar el inventario de software contra las licencias, con el
objeto de evitar sanciones por la Ley de propiedad intelectual.
Verificar que no se permita a los programadores de las
aplicaciones, modificar y ejecutar directamente programas en
ambiente de produccin.
Verificar que existan controles sobre recursos compartidos en los
equipos informticos como: discos duros, carpetas o archivos.
Verificar si el diseo de las nuevas aplicaciones o de las
modificaciones a los mdulos puestos en produccin, son
aprobados o revisados por el jefe de la Unidad de Tecnologa.
Verificar si existen procedimientos definidos, estndares para las
etapas de desarrollo de un nuevo sistema o cambios a los ya
existentes.
Verificar si cuenta con mecanismos de seguridad para identificar
los requerimientos de seguridad y control interno para cada
proyecto de desarrollo y modificacin de sistemas de informacin
previo a su desarrollo.
Verificar e identificar si se incluye en el diseo de nuevas
aplicaciones o en las modificaciones de los sistemas de

107
informacin controles de aplicacin que garanticen que los datos
de entrada y salida estn completos.
Verificar si consideran aspectos bsicos de seguridad y control
interno del mdulo a ser desarrollado y modificado, y estos son
evaluados junto con el diseo conceptual del mismo.
Identificar si existe una metodologa estndar, para el desarrollo de
un plan de pruebas, en donde se incluyan pruebas unitarias,
pruebas de aplicacin, pruebas de integracin y pruebas de carga
para cada mdulo.
Verificar si la formulacin del procedimiento de prueba, y los datos
de prueba son revisados y aprobados.
Verificar si se aplican adecuadas medidas de seguridad para
prevenir divulgacin de informacin sensitiva durante las pruebas.
Verificar que los resultados de las pruebas son revisados y
aprobados por el usuario.
Verificar que exista un archivo lgico o bitcora, que permita
identificar los errores de ejecucin de aplicaciones, sistema
operativo y BD.
Verificar que exista una persona responsable en el rea de TI de
revisar peridicamente los archivos logs o bitcoras del sistema.
Verificar que la entidad cuente con un servidor de desarrollo que
sea de uso de los programadores para el desarrollo y pruebas de
aplicaciones internas.
108
Verificar que los programadores no tengan acceso a la lnea de
comandos en los servidores de produccin y acceso a estos para
consulta.
Verificar si existe una persona responsable dentro del rea de
tecnologa encargada de ejecutar programas de diagnstico de la
red institucional.
Verificar el reporte de cadas al sistema, medir la frecuencia y
magnitud de los mismos.
3.4.2.1 A D M I N I S T R AC I N D E C AM BI OS
Verificar si existe un sistema para el control de requerimientos de
usuarios que afecten la estructura de los sistemas de informacin.
Verificar el o los tipos de formularios utilizados para el control de
cambios.
Verificar si existen procedimientos definidos para determinar el
estatus de cada solicitud de cambios realizados.
Verificar el procedimiento de solicitudes identificadas como
urgentes.
Verificar que exista un procedimiento de control de cambios de los
programas y del traslado del ambiente de desarrollo a produccin.
Verificar si se mantiene un registro de cambios en los programas,
que indique, a fin de proveer el orden cronolgico exacto del

109
sistema. As mismo identificar el responsable de realizar el
cambio.
Verificar si se requiere de la aprobacin y autorizacin por escrito
del responsable de la Unidad de Tecnologa, para todas las
modificaciones antes de hacer los cambios.
Verificar si los cambios al sistema operacional o programas
aplicativos, sus pruebas y resultados son revisados por el
responsable de la programacin tcnica o quien hace sus
funciones.
3.4.2.2 A C R E D I T AC I N DE S I S T E M AS
Verificar si se planifica la migracin de los datos, y se define
responsabilidades.
Verificar si las pruebas a los nuevos sistemas o a las
modificaciones a los nuevos sistemas son llevadas a cabo por un
grupo de prueba independiente, diferente a los desarrolladores.
Verificar si cuentan con procedimientos establecidos para
asegurar que las pruebas piloto, o en paralelo sean llevadas a
cabo con planes pre establecidos.
Verificar si se incluye como parte de la instalacin y acreditacin
del sistema pruebas de aceptacin por parte de los usuarios
finales de los sistemas nuevos o de las modificaciones a los
sistemas de informacin.
110
Verificar como certifican los usuarios finales la aceptacin final de
los nuevos sistemas.
Verificar el proceso utilizado para el traslado de las nuevas
aplicaciones o modificaciones al sistema de produccin.
3.4.2.3 D O C U M E N T AC I N T CNI C A
Verificar la existencia y disponibilidad de diagramas entidad-
relacin.
Verificar la existencia de manuales de usuario de los aplicativos
puestos en produccin
Verificar si los manuales de usuario, se encuentran autorizados y
disponen de fecha de vigencia, con la finalidad de identificar su
actualizacin.
Verificar la existencia de diccionario de datos, de las tablas, o
archivos que conforman los sistemas puestos en produccin.
3.4.2.4 C O N T R O L D E E NT R AD AS Y S AL I D AS
Verificar si existe un control a nivel de perfil de usuario, que
ingresan datos, para evitar ingreso para usuarios no autorizados
Verificar que existan controles sobre los documentos de
propiedad con nmero de serie secuenciales, y el ingreso de
dichos nmeros al sistema para crear la relacin entre ambos.

111
Verificar que exista un registro de la fecha de proceso y la fecha
de transaccin para las transacciones de entrada.
Comprobar que el control utilizado para demostrar que la
informacin a ingresar se encuentra autorizada
Verificar que procedimientos existen para el manejo de errores
con el fin de proporcionar al personal usuario instrucciones sobre
la correccin de errores en los documentos fuentes.
Revisar los tipos de errores y las razones y su ocurrencia con el
fin de determinar si los problemas son ocasionados por el
programa o por el ingreso incorrecto de los datos.
Verificar si se obtiene una copia del log, que registra el sistema en
relacin a las entradas de datos.
3.4.2.5 A D M I N I S T R AC I N D E BD
Verificar que mecanismos y herramientas usa, el administrador de
la base de datos (DBA), para administrar y supervisar la base de
datos.
Verificar el procedimiento utilizado para definir el nivel de acceso
a los usuarios.
Verificar que nicamente el administrador de la base de datos
tiene privilegios a nivel de administrador para hacer cambios a la
base de datos.
112
Verificar los diferentes tipos de usuarios que tienen acceso a la
base de datos e identificar su clasificacin por medio de la
siguiente segmentacin: usuarios operativos, tcnicos, usuarios
que modifican los datos, usuarios que modifican la estructura.
Verificar que el administrador de la base de datos disponga de
procedimientos escritos para la restauracin de la base de datos,
en caso de una destruccin total o parcial.
Verificar que el usuario y la clave del DBA se registre en un sobre
lacrado y este se resguarde en un lugar seguro.
Verificar que el Administrador de la base de datos sea el
responsable de la integridad de la base de datos y desarrolle
reglas de validacin y acceso.
Verificar que el administrador de la Base de Datos documente
cualquier cambio que se realice en la base de datos.
Verificar que el administrador de la base de datos administra el
diccionario de datos.
Verificar que el administrador de la base de datos es el
responsable de la seguridad global de la base de datos.
Verificar que el administrador de la base de datos tiene el control
para que no se realicen prueba de base de datos de produccin,
sino que se dispongan de diferentes ambientes para este fin.
Verificar que los usuarios no tengan acceso directo a la base de
datos, sino que el acceso sea a travs del servidor de
aplicaciones.
113
Verificar que solo el usuario administrador tenga el privilegio de
acceso a las tablas usuarias y contraseas.
Verificar si el software de base de datos utilizado, cuenta con
registros de auditora para registrar los eventos que tienen
registros.
Verificar en las tablas de registros de auditora de las bases de
datos, las acciones de intentos de conexin, acceso a los objetos
y acceso a las bases.
Verificar las acciones que el administrador de la base de datos
realiza con las tablas de registros de auditora de la base, para
corregir posibles fallas o accesos no autorizados.
Verificar el parmetro para permitir auditora a la Base de Datos,
tenga el valor que equivale o permita auditora.
3.4.3 I N F R AE S T R U C T U R A T E C N O L GI C A
3.4.3.1 M AN T E N I M I E N T O DE H AR D W AR E
Verificar que existan contratos de mantenimiento preventivo y
correctivo para el equipo informtico de la institucin.
Verificar si existen informes sobre el mantenimiento a nivel fsico y
de parmetros efectuados por el proveedor a los servidores
principales de la institucin.
114
3.4.3.2 R E DE S Y C OM UNI C ACI ONE S
Verificar la existencia de un inventario de direcciones IP,
asignadas a los usuarios, con la informacin general asociada a
cada IP.
Verificar la existencia de un inventario actualizado de equipo de
comunicaciones: mdems, hubs, terminales, routers, firewalls, etc.
Verificar el software instalado en la red, por ejemplo sistema
operativo, lenguaje, programas, paqueteras, utileras.
Verificar el diagrama de red para identificar las interconexiones
internas y externas.
Verificar la existencia de servicios de Intranet, internet y sitio web.
Verificar la existencia de procedimientos de autorizacin para
conectar nuevo equipo en la red.
Verificar si el plan de contingencias considera el respaldo y
recuperacin de los sistemas de comunicaciones.
Verificar si existe el control y monitoreo de las conexiones a fin de
deshabilitar aquellas que no estn en uso.
Verificar que exista software de monitoreo de las conexiones
remotas, de forma que se documenten los incidentes o
interrupcin del servicio de comunicacin.
Verificar si disponen de reportes de incidentes contingencias y
circunstancias que afecten el funcionamiento de la red, conforme
a la bitcora.
115
3.4.3.3 A L M AC E N AM I E NT O
Verificar si la cintoteca se encuentra ubicada en el mismo edificio
o en otro.
Verificar que procedimientos utilizan para copiar: documentos,
datos, programas, reportes, etc y si estos estn documentados.
Verificar si el proceso de copiado de la informacin, utiliza
procesos de encriptacin y autenticacin.
Verificar la periodicidad con la que realizan pruebas de
restauracin con los medios magnticos, con la finalidad de
asegurar la recuperacin.
3.4.3.4 M AN T E N I M I E N T O DE H AR D W AR E
Verificar que exista contratos de mantenimiento preventivo y
correctivo para los equipos informticos de la entidad.
Verificar si el mantenimiento otorgado por el proveedor es
conforme a lo establecido en el contrato.
Verificar la programacin del mantenimiento preventivo y
correctivo con la finalidad de reducir la frecuencia y el impacto de
fallas de rendimiento.
Verificar cual es el proceso de notificacin de fallas del equipo
informtico y como se documenta dicho proceso.

116
Verificar si existen informes sobre el mantenimiento a nivel fsico y
de parmetros efectuados por el proveedor a los servidores
principales de la institucin.
3.4.4 S E G URI D AD E S
3.4.4.1 P L AN D E C ON T I N GE NCI AS
Identificar la existencia del plan de contingencias y obtener una
copia, que contenga la fecha de vigencia, ltima actualizacin y el
funcionario responsable de la autorizacin.
Verificar que el plan hace referencia a normas y polticas dictadas
por tecnologa.
Verificar si el plan est orientado a superar procesos crticos e
imprevistos en el menor tiempo posible.
Verificar que en el plan se encuentren definidas las tareas a
realizar para cada una de las personas involucradas en el plan.
Verificar que en el plan se hayan considerado pruebas para los
distintos escenarios y los mecanismos para la solucin, por
ejemplo fallas en los servidores centrales y de servicios, en los
suministros elctricos, fallas en los enlaces de comunicacin, falta
de insumos, respaldos actualizados, etc.
Identificar si el plan incluye o describe la participacin de un
comit de administracin de desastres o del equipo de

117
emergencia, el mismo que se encargar de ejecutar las
actividades previas durante y despus del desastre, contenidas en
el plan de desastres.
Verificar si existe un servidor de contingencia para todas las
aplicaciones crticas.
Verificar que el plan disponga un anexo con los nombres del
personal de soporte, administrativo y proveedores de servicio, el
cargo, nmero telefnico fijo y mvil.
Realizar llamadas telefnicas a parte del personal involucrado en
el plan con la finalidad que los nmeros son correctos y estn
actualizados.
Verificar que el plan haya sido probado al menos dos veces al
ao.
Entrevistar al personal para identificar si conocen las
responsabilidades que tienen asignadas en una situacin de
desastre.
Verificar si existen procedimientos definidos para actualizar el
manual. As mismo si aplican y distribuyen las actualizaciones a
los usuarios involucrados.
Verificar que el plan contenga los planos del centro de cmputo,
diagramas de cableado elctrico, diagramas de red, diagramas de
ducto e inventarios de hardware.

118
Comprobar que exista una copia de datos actualizada, programas
y documentacin tcnica del sistema, que se almacene en un
lugar externo a la empresa.
Verificar que el personal involucrado tiene el conocimiento de los
procedimientos establecidos para la continuidad de las
operaciones en caso de desastres.
3.4.4.2 S E G URI D AD L GI C A
Verificar que el software de comunicaciones, exige cdigo de
usuario y contrasea para su acceso.
Verificar que los usuarios no pueden acceder a ningn sistema sin
antes haberse autenticado correctamente a la red de la entidad
Verificar si se inhabilita al usuario despus de ingresar la
contrasea, despus de un nmero determinado de intentos
fallidos.
Verificar que el sistema operativo obliga a cambiar la contrasea
peridicamente.
Verificar que la contrasea no sea menor a 8 caracteres y que sea
una combinacin de nmeros y letras, entre ellos maysculas y
minsculas.
Verificar que las contraseas no son mostradas cuando se
ingresan.
119
3.4.4.3 S E G URI D AD I N F ORM T I C A
Verificar que existan polticas de seguridad definidas y aprobadas.
Verificar que las polticas de seguridad contengan elementos
como: confidencialidad, integridad y disponibilidad.
Verificar que las polticas contengan mecanismos para medir:
riesgos y amenazas, anlisis de riesgos, plan de seguridad,
controles preventivos y correctivos, plan de contingencia,
biometra, firma electrnica, proteccin y defensa.
Identificar informacin, que mecanismos utilizan para no revelar la
informacin a personas no autorizadas, acceso a informacin
confidencial y proteccin de datos.
Verificar como controlan las amenazas externas las amenazas
como hackers o espas.
Verificar que controles lgicos y fsicos se utilizan para asegurar
que solo el personal autorizado pueda acceder a la informacin,
dentro de los niveles de atencin.
Verificar como monitorean y rastrean la actividad de los usuarios
administrativos y operativos a fin de detectar y corregir
desviaciones en el uso correcto de la informacin, o en el
cumplimiento de las normas y procedimientos asociados a la
seguridad de la informacin.
120
Verificar si las firmas digitales son emitidas, manejadas, y/o
certificadas por una entidad de certificacin de informacin
acreditada y que el mismo se encuentre vigente.
3.4.4.4 S E G URI D AD F S I C A
Verificar el cumplimiento de lo establecido en las normas de
seguridad de acceso, al centro de cmputo implementadas por TI.
Verificar que exista formulario de registro para el ingreso, al centro
de cmputo, para el personal externo al rea.
Verificar que exista un sistema automtico de extincin de fuego
en el centro de cmputo.
Verificar la existencia de detectores de fuego y humo tanto en el
rea de techo y piso falso.
Verificar si el personal se encuentra capacitado para el uso y
manejo de extintores.
Verificar si existe vigilancia en el rea de TI las 24 horas.
Verificar si se registran las acciones de las operadoras
3.5 E L P R OCE S O D E L A A U D I T OR A
El proceso de auditora en las entidades pblicas es el mismo en todo
tipo de auditoras es por ello que se tom como referencia la gua de
Auditora Ambiental.(Contraloria General, Guia de auditoria Ambiental, 2013)

121
3.5.1 ORDEN D E T R AB AJ O
Los Directores de las Unidades de Control emite la orden de trabajo,
documento que determina: el tipo y nombre de la accin de control, la
institucin responsable de la ejecucin o manejo del proyecto, las
instituciones relacionadas, el alcance, el periodo a hacer examinado, los
objetivos, la conformacin del equipo de trabajo, la distribucin de las
responsabilidades y el tiempo asignado.
3.5.2 N OT I F I C AC I N DE I NI CI O
De manera simultnea a la emisin de la orden de trabajo, el Director
de la Unidad de Control o Delegado Provincial pertinente comunica el inicio
de la accin de control a la mxima autoridad de la entidad auditada,
incluyendo los contenidos establecidos en el artculo 20 del Reglamento a la
Ley Orgnica de la Contralora General del Estado.
3.5.3 S O LI C I T U D I N I C I AL D E I N F ORM AC I N
Luego de la emisin de la orden de trabajo y las notificaciones de inicio a
las mximas autoridades de la entidad auditada y de las instituciones
relacionadas, se emite las solicitudes iniciales de informacin con los
siguientes objetivos:
122
Recopilar informacin bsica, que permita al equipo auditor
alcanzar un nivel de conocimiento general de la entidad a ser
auditada.
Identificar aspectos significativos relevantes y sensibles, que
pasarn a constituir las reas crticas
Ayudar a elaborar la planificacin.
Las solicitudes iniciales de informacin son elaboradas por el jefe de
equipo, relacionadas para nuestro caso informacin sobre el control interno,
como por ejemplo:
Listado de leyes, reglamentos, ordenanzas de las entidades
auditadas.
Planificacin estratgica y operativa
Organigramas y manual de funciones
Polticas y procedimientos, etc.
En el oficio se determinar el plazo de 10 das, desde la fecha de
recepcin del requerimiento, para emitir la respuesta correspondiente, de
conformidad con lo establecido en los artculos 76 y 88 de la Ley Orgnica
de la Contralora General del Estado y 7 de su Reglamento de aplicacin.

123
3.5.4 D I AG N S T I C O GE NE R AL Y P L AN I FI C AC I N
A ms de la documentacin de la informacin recibida y recopilada, es
necesario realizar reuniones de trabajo con las personas vinculadas con la
auditora, y de ser el caso inspecciones de campo a las instalaciones de la
entidad, a las diferentes reas a evaluar.
El equipo de auditora debe cumplir con lo siguiente:
Revisar la informacin general disponible.
Visualizar la naturaleza de la entidad.
Definir el marco regulatorio informtico aplicable: leyes,
reglamentos, ordenanzas, acuerdos particulares de la institucin,
entre otros, con el fin de establecer puntos de control.
Identificar las funciones de las unidades y personas responsables
del diseo, ejecucin y control del rea de informtica. Elaborar
un listado de funcionarios y autoridades relacionados con la
auditoria a ser notificados.
Elaborar y distribuir las notificaciones de inicio de la auditora, de
conformidad con las disposiciones establecidas en el artculo 90
de la Ley Orgnica de la Contralora General del Estado y 21 de
su Reglamento.
124
En la planificacin se establece, el enfoque propuesto para la auditora,
detallando las actividades a desarrollar, la estrategia a emplear, las fechas
necesarias y los recursos necesarios.
3.5.5 D E S AR R O L L O Y R E C OP I L ACI N DE L A I N F ORM AC I N
En esta etapa comprende el desarrollo de los cuestionarios de control
interno y la evaluacin de riesgos con la finalidad de identificar las reas
crticas.
Luego de ser identificadas las reas crticas, y aplicar los procedimientos
de auditora, y si es necesario solicitar informacin como evidencia de los
hallazgos realizados, se los puede solicitar.
3.5.6 C OM E N T AR I O S , C O N C L U S I O N E S Y R E C OM E ND AC I O NE S
Los comentarios consisten en la exposicin de condicin, criterio, causa y
efecto de los hallazgos obtenidos en la ejecucin de la accin de control.
Las conclusiones representan los pronunciamientos profesionales del
auditor sobre el anlisis del control interno, se sustentan en el anlisis de la
evidencia de la auditora, identificando los responsables de las
inobservancias de carcter tcnico, legal o econmico, describiendo la
norma que inobserv y las consecuencias y efectos para la institucin.

125
Las recomendaciones son las acciones que se requiere para corregir los
incumplimientos detectados. En las recomendaciones se puede tomar como
base la aplicacin de buenas prcticas de TI.
3.5.7 C OM U N I C AC I N DE R E S UL T AD OS E I N F OR M E FI N A L
En cumplimiento a lo establecido en el artculo 90 de la Ley Orgnica de
la Contralora General del Estado y 22 de su Reglamento, los auditores en
el desarrollo de la accin de control deben mantener la comunicacin con los
servidores de la organizacin auditada y dems personas relacionadas con
las actividades relacionadas.
La comunicacin de resultados provisionales, se realizar al finalizar el
trabajo de campo mediante un documento escrito en el que se incluir los
comentarios y conclusiones referentes a los hallazgos significativos
detectados.
No se incluirn las recomendaciones con la finalidad de cumplir con el
debido proceso y dar oportunidad a los auditados de presentar documentos
que aclaren o desvirten los hallazgos.
El borrador del informe revisado por el supervisor del equipo de control,
se da a conocer en la conferencia final.

126
El informe final est sujeto a los procesos de control de calidad
institucionales, cuyo objetivo fundamental es la descripcin jerrquica de los
hallazgos, identificados por el equipo de auditora para establecer las
acciones que permitan corregir los incumplimientos.
La estructura general del informe deber sujetarse a lo establecido en el
Reglamento para elaboracin y trmite de informes de auditora.
3.5.8 S E G UI M I E NT O
Una vez receptado el informe final aprobado por la Contralora
General del Estado, las entidades auditadas, debern elaborar un plan que
permita aplicar las recomendaciones emitidas, en el cual se determinar las
actividades necesarias como: recursos, responsables y tiempos.
La Contralora General del Estado puedo evaluar, la efectividad de las
recomendaciones emitidas a travs del seguimiento.
3.6 I N D I C AD O R E S DE LA S I T U AC I N RE AL D E L A E V AL U ACI N D E L
C O N T R O L I N T E R N O E N L AS E N T I D AD E S P B L I C A S .
Con la finalidad de conocer la estructura organizacional de las
entidades del sector pblico, el manejo de procesos as como tambin el

127
conocimiento de la normas de control interno, se realiz la encuesta a 15
entidades. (Anexo 5.1 Encuestas).
Se efectuaron las siguientes preguntas y se obtuvo los siguientes
resultados. (Anexo 5.2 Tabulacin de resultados)
La pregunta 1, da a conocer las reas de TI que son parte de la
estructura de organizacional implementada en las diferentes
instituciones. Las reas que se encuentran en todas las
instituciones son infraestructura tecnolgica y soporte tcnico con
un 33%, seguido de desarrollo y mantenimiento de sistemas con
un 20%, con un 8% se encuentran las instituciones que solo
realizan mantenimiento de sistemas, el 4% le corresponde al rea
de seguridad y en ltimo lugar se encuentra otros con 2%.
T ABLA 4.- REAS DE TI
Nro. Pregunta Opciones de Cdigo % Ponderado

respuesta respuesta
1 Cul de las Infraestructura 1.1 100 33

siguientes Tecnolgica
reas de TI,
son parte de Desarrollo y 1.2 60 20
la estructura Mantenimiento
de de Sistemas
organizacional
Mantenimiento 1.3 27 8
implementada
de Sistemas
en su
Institucin? Soporte 1.4 100 33
Tcnico
Seguridades 1.5 13 4
Ninguna 1.6 0 0
Otros 1.7 7 2
307
128
0%
reas de Tecnologa Infraestructura
Tecnolgica
4% 2%
Desarrollo y
33% Mantenimiento
33% de Sistemas
Mantenimiento
de Sistemas
8% 20%
Soporte Tcnico
G RFICO 1.- REAS DE TI
La pregunta 2, da a conocer si existe un manual de procesos en el
rea de TI. El 87% de los encuestados indicaron que no tienen
definido los procesos mientras que el 37% si lo tiene.
T ABLA 5.- MANUAL DE PROCESOS
Nro. Pregunta Opciones Cdigo % Ponderado

de respuesta
respuesta
2 Cuenta con un Si 2.1 13% 13%

manual de procesos
para el rea de TI? No 2.2 87% 87%
100%
129
Manual de procesos
13%
Si
87% No
GRFICO 2.- MANUAL DE PROCESOS
La pregunta 3, da a conocer si se han asignado funciones y
responsabilidades en el rea de TI. El 73% de los encuestados
indicaron que no se han definido mientras que el 27% si lo tiene.
TABLA 6. FUNCIONES Y RESPONSABILIDADES
Nro Pregunta Opciones Cdigo % Ponderad

. de respuest o
respuesta a
3 Se le han asignado Si 3.1 27% 27%

funciones y No 3.2 73% 73%
responsabilidades al
persona de tecnologa?
100%
130
Funciones y responsabilidades del

personal de TI
27%
Si
73% No
G RFICO 3.- FUNCIONES Y RESPONSABILIDADES
La pregunta 4, hace referencia al conocimiento de las normas de
control interno emitidas por la Contralora General del Estado. El
73% de los encuestados indicaron que no tiene conocimiento,
mientras que el 27% si las conoce.
T ABLA 7.- FUNCIONES Y RESPONSABILIDADES DEL PERSONAL DE TI

Nro. Pregunta Opciones Cdigo % Ponderado
de respuesta
respuesta
4 Tiene conocimiento de Si 4.1 27% 27%
las normas de control No 4.2 73% 73%
interno emitidas por la
Contralora General del
Estado?
100%
131
Normas de Control Interno
27%
1
73% 2
GRFICO 4.- NORMAS DE CONTROL INTERNO
La pregunta 5, hace referencia a la frecuencia en que las
entidades realizan la evaluacin del control interno. El 73% de los
encuestados indicaron que no tiene conocimiento, mientras que el
27% si las conoce.
T ABLA 8.- EVALUACIN DE CONTROL INTERNO
Nro. Pregunta Opciones de Cdigo % Ponderado

respuesta respuesta
5 Con qu Anual 5.1 7 7
frecuencia Semestral 5.2 7 7
realiza
evaluaciones
Trimestral 5.3 0 0
de control Mensual 5.4 0 0
interno? Semanal 5.5 0 0
Diario 5.6 0 0
Ninguno 5.7 87 86
101 100
132
Evaluacin del Control Interno

0%
7% 0% 0% Anual
7%
0% Semestral
Trimestral
Mensual
86% Semanal
Diario
Ninguno
G RFICO 5.- EVALUACIN DE CONTROL INTERNO

133
C AP TULO IV
APLI C ACIN P R C TI C A DE L A G U A D E EV ALU ACIN DE
CONTROL INTERNO
4.1 D I AG N S T I C O P RE LI M I N A R
4.1.1 F O R T AL E Z AS
Aplicaciones con estndares abiertos.
Conocimiento y profesionalismo del personal del rea de
tecnologa.
Posicionamiento de la institucin como referente en el uso de
software libre en el sector pblico.
Plataforma tecnolgica.
4.1.2 O P O RT UN I D ADE S
Aplicar tecnologa de punta en los procesos que se realizan
manualmente.
Polticas pblicas que apalancan el desarrollo del software libre o
de cdigo abierto.
Establecer alianzas estratgicas para la gestin de TIC con
entidades pblicas similares en Latinoamrica.
4.1.3 D E B I L I D ADE S
Falta de soluciones tecnolgicas que soporten los procesos.

134
Falta de un comit que procese, valide y apalanque los proyectos
tecnolgicos.
Insuficiente personal capacitado.
Salida de personal tcnico capacitado en reas crticas.
Mantener enlaces de comunicacin alternos.
4.1.4 A M E N AZ AS
Agitacin social.
Vulnerabilidad en el acceso a la Institucin.
Posibles ataques a la infraestructura tecnolgica por hackers.
4.2 C U E S T I O N AR I OS DE E V AL U ACI N DE C ON T RO LE S
Consiste en un conjunto amplio de preguntas, que estn orientadas a
comprobar el cumplimiento de polticas, planes, programas, normas,
procedimientos y funciones tanto generales como especficas relacionados
con algn aspecto en particular. Las preguntas debe ser sencillas, directas,
concisas, y orientadas hacia los diferentes niveles jerrquicos de la entidad
objeto de la auditoria.
135
4.2.1 A D M I N I S T R AC I N Y O RG A N I Z AC I N
T ABLA 9 O RGANIZACIN Y ADMINISTRACIN
PREGUNTAS SI NO OBSERVACIONES
Existe algn documento que contiene las funciones que son El Reglamento Orgnico Funcional se encuentra aprobado
competencia de la Coordinacin General de Servicios
Tecnolgicos, est aprobado y se respeta?
Existe un organigrama con la estructura de organizacin del
rea de TI adecuada para el tamao y las actividades de sus
operaciones? Con que reas cuenta?
Se revisa y modifica peridicamente la estructura
organizacional, con la finalidad de reflejar los cambios en la
unidad o coordinacin de servicios tecnolgicos?
El marco de trabajo para los procesos de tecnologa de
informacin permite la definicin y seguimiento de los
objetivos de los procesos que han sido definidos e
implementados, as como formalmente documentados y
aprobados?
Las funciones y responsabilidades del personal han sido, Falta asignar funciones al nuevo personal que ingres.
correctamente establecidos, formalizados, documentados y
satisfacen los requisitos del rea. Son ejecutados por el
personal con la suficiente formacin y experiencia en la
materia?
Existe un manual de funciones? Existe un orgnico
funcional?
Se realizan evaluaciones peridicas de desempeo a los
servidores?
Existe un Plan Informtico Estratgico y Tecnolgico, Existe un plan estratgico de tecnologa para el ao 2012-
alineado al Plan Estratgico Institucional, Plan Nacional de 2016 no aprobado. En este momento se est realizando la
Desarrollo y a las polticas pblicas aprobados por la mxima Planificacin Estratgica Institucional 2013-2017
autoridad?
Contina
136
Existen Planes operativos de tecnologa de informacin Plan operativo 2013 no aprobado.

alineados con el plan estratgico informtico y objetivos
estratgicos de la institucin aprobados por la mxima
autoridad?
El Plan Estratgico y planes operativos se revisa y actualiza
de manera permanente?. Se monitorea y evala de forma
trimestral?
Existen polticas, estndares y procedimientos aprobados y Solo existe las polticas de utilizacin de software libre No
difundidos por la mxima autoridad, que permitan regular las existen polticas para las dems reas.
actividades del rea de TI?
Estn definidas mtricas de calidad, seguridad, Se estn realizando evaluaciones de control interno,
confidencialidad, controles internos, propiedad intelectual, implementando firmas electrnicas, Falta calidad,
firmas electrnicas, mensajera de datos, legalidad del seguridad, propiedad intelectual, mensajera de datos.
software entre otros, alineados con leyes conexas, y
estndares de TI?
Se tiene incorporado la gestin de riesgos e indicadores de
gestin de desempeo?
Existe un diccionario de datos con las reglas de sintaxis de
la organizacin, el esquema de clasificacin de datos y sus
niveles de seguridad correspondientes, actualizado y
documentado de forma permanente?
Se garantiza la consistencia y seguridad de la informacin de Grabaciones de informacin
los SI con los recursos proporcionales y dicha informacin Control de acceso a los sistemas y al Data Center.
se alinea con la estrategia y objetivos de la institucin. Cumplimiento del Reglamento Interno.
Cuentan con un modelo entidad-relacin, modelo fsico, No todos los sistemas cuentan con los modelos entidad-
modelo conceptual? relacin.
En los proyectos se realiza la descripcin de la naturaleza,
objetivos, alcance, relacin con otros proyectos
institucionales, cronograma de actividades, presupuesto
referencial, servidor responsable, participacin y aceptacin
de los usuarios interesados?
Se ha descrito y dimensionado el proyecto segn las normas
establecidas?
Se han evaluado los riesgos asociados al proyecto?
Existe documentacin formal de los entregables,
aprobaciones compromisos formales mediante el uso de
Contina
137
actas o documentos electrnicos legalizados en las

diferentes etapas del proyecto inicio, planeacin, ejecucin
control, monitoreo y cierre del proyecto.
Se registran, monitorea y controlan el avance de los
proyectos, as como los recursos invertidos en los mismos.
En la parte del cierre de los proyectos se realiza la
aceptacin formal de las pruebas que certifican con el
cumplimiento de los objetivos planteados?
Se tiene aprobado un plan de capacitacin para el personal
de tecnologa y para los usuarios que utilizan los servicios
de informacin, formulado conjuntamente con el rea de
talento humano?
Cuentan con un comit informtico?. Se encuentra definido
sus objetivos, integracin, funciones entre otros aspectos.
138
4.2.2 S I S T E M AS I N F ORM T I C OS
T ABLA 10 S ISTEMAS INFORMTICOS
Se han adoptado y difundido polticas y estndares para
codificacin de software, nomenclaturas, interfaz de usuario,
eficiencia del desempeo de sistemas, planes de pruebas,
entre otros?
Hay un estndar general para toda la documentacin No se tiene estndares definidos, existen algunos formatos
generada incluyendo documentacin tcnica (anlisis, como el de control de cambios.
diseo, documentacin de los programas), manuales de
usuario, etc
Estn definidas las prcticas de anlisis y diseo e incluye
las tcnicas y herramientas a usar. As como tambin hay
una gua o prcticas de programacin para cada uno de los
lenguajes homologados?
Definicin de procedimientos para mantenimiento y Se tiene documentacin en excel y en el sistema mantis
liberacin de software de aplicacin, por cambios a las
disposiciones legales y normativas, por correccin y
mejoramiento o por requerimientos de los usuarios.
Se cuenta con polticas y procedimientos relacionados con
la captura, actualizacin, procesamiento, almacenamiento y
salida de datos, que aseguren que los mismos sean
completos, precisos, confiables y vlidos?
Polticas y procedimientos actualizados, relacionados con la
instalacin, administracin, migracin, mantenimiento y
seguridad de la base de datos?
Las adquisiciones de software o las soluciones tecnolgicas
son ejecutadas de acuerdo al portafolio de servicios, a los
planes estratgicos y operativos, al plan de compras
aprobados?
En los contratos para la adquisicin de software contienen el
detalle suficiente como: aspectos tcnicos, licencias de uso
Contina
139
y servicio, procedimientos de recepcin del producto,

garantas de soporte, mantenimiento y actualizacin?
Existe un documento que recoge la descripcin general de la
necesidad planteada por el usuario y los objetivos generales,
as como las posibles restricciones tcnicas operativas y
econmicas.
Se ha determinado formalmente, el grupo de usuarios que
participar en el proyecto identificndose sus perfiles,
dejando claro sus tareas y responsabilidades.
Se ha realizado un plan detallado de entrevistas, con el Si se realizan entrevistas con las unidades requirientes, con
grupo de usuarios y con los responsables de las unidades los usuarios no.
afectadas que permitan conocer como valoran el sistema
actual y lo que esperan del nuevo sistema
Existe un catlogo de requisitos? Que requisitos incluyen?
Cada requisito tiene una prioridad y est clasificado en
funcional y no funcional
El catlogo de requisitos ha sido revisado y aprobado por el
grupo de usuarios y responsables?
Las especificaciones del sistema incluye requisitos de: tipos Para algunos sistemas existen para otros no
de usuario, definicin de interfaces, entradas,
procesamiento, salidas, control, seguridad, trazabilidad o
pistas de auditoria?
Se han descrito con suficiente detalle, las interfaces: Para algunos sistemas existen para otros no
pantallas a travs de las cuales el usuario navegar por la
aplicacin, incluyendo todos los campos significativos,
mens, botones, etc, as como informes y formularios
asociados si existen. Si hay normas de diseo o estilo de
pantallas, informes, formularios, etc. En el rea se verificar
que se respeta.
Existen controles permanentes que permiten prevenir, Faltan controles en algunos sistemas
detectar y corregir inconsistencias ocurridas durante el
procesamiento de datos?
Se han definido los requisitos del entorno de pruebas y el
alcance de las pruebas?
Se ha elaborado el plan de pruebas de aceptacin del
sistema, este es coherente con el catlogo de requisitos, la
Contina
140
especificacin funcional del sistema y contempla todos los

recursos necesarios para llevarlos a efecto ?
Los usuarios ratifican, que los requisitos especificados en el Para algunos sistemas si se realizaron las aprobaciones con
catlogo de requisitos, asi como los casos de uso son los usuarios
vlidos, consistentes y completos?
Cualquier peticin de cambio de los requisitos que pueda
surgir posteriormente debe ser evaluada y aprobada.
Estn definidos todos los elementos que configuran el Se encuentra definido falta documentar
entorno tecnolgico esto es (servidores, PC, perifricos,
conexiones de red, sistemas gestores de base de datos),
junto con su planificacin de capacidades y sus requisitos
de operacin, administracin, seguridad y control de
acceso?
El modelo de datos tiene en cuenta el entorno tecnolgico y
los requisitos de rendimiento para los volmenes y
frecuencias de acceso estimados, migracin de datos?
Se tiene en cuenta el criterio de los usuarios de la aplicacin
durante las diferentes etapas del ciclo de vida del sistema?
Se formalizan con actas de aceptacin por parte de los
usuarios?
Estn definidos los distintos perfiles de usuario requeridos
para la formacin y explotacin del nuevo sistema?
En la fase de implementacin del software aplicativo se Falta documentar el procedimiento.
consideran procedimientos de configuracin, aceptacin y
prueba?
Existen controles adecuados cuando se estn probando Para el sistema financiero se realiza respaldo de la versin
nuevas versiones del software o cuando se estn aplicando anterior
programas de diagnstico? Procedimientos manuales en el sistema de recursos
humanos
Existe un registro de aquellos problemas que se presentan No se lleva registro
en el software?
Los cambios y mejoras del software estn debidamente
justificados?. Se lleva un registro de cambios en los
programas? Son evaluados ya autorizados de forma previa a
su implantacin?
Son autorizadas y probadas las correcciones de programas
Contina
141
antes de puesta en marcha?

Estn adecuadamente documentados y probados los nuevos Los sistemas si se encuentran probados, lo que no se
programas? encuentra es documentado.
Existe un mecanismo especial para reportar las dificultades
e inconsistencias?
Est totalmente legalizado el software utilizado en la Si se encuentra el software legalizado, la mayor parte del
entidad? software es libre.
Tiene el software adquirido contrato de mantenimiento? Si durante el contrato, se da mantemienot durante un ao,
luego el mantenimiento del software se lo realiza en la
entidad
El software en funcionamiento contiene mdulos de Existen algunos sistemas q tienen y otros no.
auditora?
Existe un repositorio con los diagramas y configuraciones
de hardware y software actualizado?
Existe documentacin del software del sistema. Las No todos los sistemas cuentan con esa informacin
aplicaciones tienen manuales tcnico, de operacin y de
usuario? Estos manuales se encuentran actualizados?
Existen actas de aceptacin por parte de los usuarios del
paso de los sistemas probados y aprobados desde el
ambiente de desarrollo y pruebas al de produccin y su
revisin en el de post-implementacin?
Existe un plan de mantenimiento de las aplicaciones?
Se establecen ambientes de desarrollo, pruebas y de NO presentan las seguridades adecuadas como la
produccin independientes? Qu tipo de seguridades se asignacin de usuarios con claves nicas para cada servidor
implementan?
Polticas y procedimientos para la utilizacin del correo
electrnico?
142
4.2.3 I N F R AE S T R U CT U R A T E C N O L GI C A
T ABLA 11. INFRAESTRUCTURA TECNOLGICA
Existen polticas y procedimientos para la instalacin y Falta documentar
mantenimiento del hardware y su configuracin base
Existen polticas y procedimientos para la ubicacin, Constantes cambios y reubicacin y puntos de red,
proteccin y mantenimiento de los puntos de red y switches
Existen polticas y procedimientos para la comunicacin al
cliente sobre el uso adecuado de las estaciones de trabajo y
sistemas lgicos.
Las adquisiciones de infraestructura tecnolgica son
ejecutadas de acuerdo al portafolio de servicios, a los planes
estratgicos y operativos, al plan de compras aprobados?
Existe una planificacin del incremento de las capacidades,
evaluacin de riesgos tecnolgicos, costos, vida til para
inversiones futura?
Al realizar las adquisiciones de hardware los contratos
contienen el detalle de los principales componentes como:
marca. Modelo, nmero de serie, capacidades, unidades de
entrada y salida, garantas, entre otros.
Se valida que las especificaciones tcnicas establecidas en
las fases precontractual (pliegos), contractual (contrato), y
las actas entrega recepcin son las mismas?
En el caso de contratos de servicios, se realiza acuerdos de
nivel de servicios puntualizando la seguridad y confiabilidad
de la informacin?
Existe un Plan de mantenimiento de la infraestructura Se tiene un plan de mantenimiento que no se encuentra
tecnolgica? aprobado ni formalizado
Como se controla el mantenimiento a los equipos de Con los contratos de mantenimiento que se dan a los
computacin? equipos.
Se lleva un registro del mantenimiento de los ups? Este mantenimiento no est a cargo de la unidad de
servicios tecnolgicos.
Contina
143
Son atendidas oportunamente las quejas, reclamos y Se lo realiza a travs de la mesa de ayuda
sugerencias formuladas por los usuarios?
Se cuenta con un inventario de equipos tecnolgicos
Que informacin contienen los inventarios? Serie, cdigo, ubicacin, responsable.
Que mecanismos se han utilizado para que las redes Se cuenta solo en los lugares que se tiene realizada la
instaladas ya sean elctricas de voz o de datos, cumplan con planificacin previa de la red
los requerimientos mnimos vigentes de cableado
estructurado? (documentacin, etiquetados, ductos y el
aterrizamiento del mismo)
Cmo se realiza la administracin de incidentes, A travs del sistema, llamadas telefnicas, o pedido
requerimientos de servicio, solicitudes de informacin, personal
cambios que demandan los usuarios?
144
4.2.4 S E G URI D AD E S
T ABLA 12. S EGURIDADES

Se han adoptado medidas de seguridad en el departamento de Cuenta con registro de tarjetaselectrnicas
sistemas de informacin, tiene una ubicacin adecuada,
control de acceso fsico? En especial a las reas de
servidores, desarrollo y biblioteca. La ubicacin es la
adecuada?
Procedimientos de obtencin peridica de respaldos.
Cronograma definido y aprobado?
Se almacenan los respaldos de la informacin crtica y/o El sitio alterno se encuentra en Cuenca
sensibles en lugares externos a la organizacin?
Existe documentacin escrita relacionada con el respaldo y
recuperacin de la base de datos en caso de presentarse
destruccin total o parcial de esta?
Que seguridades tiene implementada a nivel de software y Firewall, IPs, se ha realizado la contratacin de equipos
hardware? Que pruebas realiza y que acciones correctivas de seguridad.
realiza?
Las instalaciones del Data Center cuenta con equipos y Netboss el software de monitoreo
dispositivos para monitorear y controlar el fuego, mantener
ambiente de temperatura y humedad relativa del aire
controlado, energa acondicionada?
Cuenta con un sitio de procesamiento alterno?
Se han establecido polticas, procedimientos, que permitan
identificar, autentificar y autorizar a los sistemas de
informacin, sistemas de base de datos, y sistemas
operativos?
Se ha estandarizado la identificacin, autenticacin y Si esta, pero no est reglamentado.
autorizacin de los usuarios as como la administracin de
sus cuentas?
Con que frecuencia se revisan las cuentas de los usuarios y 3 veces al ao a los usuarios, a los administradores, no se
Contina
145
los privilegios asociados; asi como a los administradores de les revisa que privilegios tienen.
los sistemas?
Identificacin nica a los usuarios internos, externos y
temporales que interactan con los sistemas y servicios
tecnolgicos?
Existe control sobre las claves de acceso al sistema? Zimbraencriptada
Son verificados los accesos y restricciones a las tablas que No est a nivel de base de datos sino de tablas
autorizan las contraseas a los usuarios?
Se llevan reseas de estadsticas o reseas de fraudes
cometidos con respecto al software del sistema?
Con que periodicidad se saca los back-up (copia de No se estn realizando los backups, no se tiene el storage
seguridad) a la aplicacin?
Pueden los operadores o usuarios modificar los programas
fuente de la aplicacin?
Existe control sobre el ingreso de los funcionarios a la Mediante las tarjetas
entidad?
Se permite el uso de la computadora a personas extraas a la Para las personas que no se encuentran laborando en el
dependencia? Edificio Central se han instalado computadoras para que
utilicen
Existe un plan de contingencia aprobado?
El Plan de Contingencias se encuentra probado y actualizado?
Existen un plan de seguridad?
Hay informacin de carcter confidencial o privada Informacin privada de los funcionarios
relacionada con la aplicacin?
Existen procedimientos formales que garanticen la seguridad
fsica y lgica de los datos en la red, de tal manera que
garanticen la oportunidad, totalidad y exactitud?
Brinda el sistema de administracin de base de datos una Por la naturaleza de la base de datos (Postgres y Mysql )
adecuada proteccin a la informacin y datos almacenados? no permite tener toda la seguridad, se lo realiza
restricciones a las tablas.
Se revisa la bitcora de la base de datos?
Se realizan revisiones peridicas de los recursos tecnolgicos
(hardware y lneas de comunicacin) que permitan determinar
de forma oportuna las necesidades de ampliacin de
Contina
146
capacidades o actualizaciones de los equipos.

Se han establecido polticas y procedimientos de prevencin,
deteccin y correccin de virus?
Q medidas de prevencin, deteccin y correccin se han Servidor de antivirus (Northon) y para el servidor de
implementado para proteger los sistemas y tecnologas de la correo se tiene un antivirus. PCS Kaspersky.
entidad contra software malicioso y virus?
Se han diseado lineamientos de tal manera que todas las Algunos sistemas, si contienen pistas de auditoria.
transacciones efectuadas por los usuarios de los sistemas
posean huellas o pistas de auditora que permitan rastrear a
los responsables de ingresar, eliminar o modificar, los
registros de la base de datos.
Qu mecanismos de seguridad fsica y lgica se han Se ha implementado VPN. Encriptacin de conexiones
implementado para que se proteja la integridad y privacidad
de la informacin sensible cuando el canal de transmisin era
internet
Qu procedimientos se han establecido para el uso de internet Administrador del Ancho de Banda (Polticas), conjunto de
y correo electrnico? sitios restringidos de acuerdo a los perfiles
Qu mecanismos de seguridad aplicables a la recepcin, Segmentacin de red en VLAN. Autenticacin para
procesamiento, almacenamiento fsico, entrega de conexin y autorizacin de acuerdo a los perfiles
informacin y de mensajes sensitivos: as como la proteccin
y conservacin de la informacin utilizada para la encriptacin
y autenticacin?
Se cuenta con dispositivos de firma electrnica? Se encuentra en proceso de contratacin
Los aplicativos que incluyen firma electrnica, contienen No aplica
mecanismos y reportes que facilitan la auditora de los
mensajes firmados electrnicamente?
El certificado recibido de firma electrnica es emitido por una
entidad de certificacin de informacin acreditada y que el
mismo se encuentre vigente?
Se han establecido polticas internas de manejo y archivo de No aplica
informacin digital?
Los titulares del certificado notifican a la entidad de No aplica
certificacin sobre algn cambio , modificacin o variacin de
los datos que proporciona la emisin del certificado
Cuando el servidor pblico deja de prestar sus servicios No aplica
Contina
147
temporal o definitivamente y cuenta con un certificado de

firma electrnica.
El servidor solicita a la entidad de certificacin la revocacin
del mismo?
El superior jerrquico ordena la cancelacin del mismo?
El dispositivo portable se lo considera como un bien?. Es No aplica
entregado y devuelto con alta entrega recepcin?
Los usuarios conocen de que son responsables de su buen No aplica
uso y proteccin que no deben divulgar sus claves?
Que se realiza en el caso de alguna circunstancia que No aplica
comprometa su utilizacin?
Quien y como se realiza la renovacin del certificado de la No aplica
firma electrnica?
Se recibi capacitacin en el uso de firmas electrnicas? No aplica
148
4.2.5 M ON I T O R E O Y E V AL U AC I N
T ABLA 13. M ONITOREO Y E VALUACIN .

Se han definido indicadores de desempeo y mtricas del
proceso para monitorear gestin y tomar los correctivos que
se requieran?
Q procedimientos y mecanismos se utilizan para la medicin, Se realiza a travs del Mdulo de Encuestas de Satisfaccin.
anlisis y mejora del nivel de satisfaccin de los clientes
internos y externos por los servicios recibidos?
Con que frecuencia la Unidad de Tecnologas de Informacin
presenta informes de gestin a la alta direccin
149
4.3 E V AL U AC I N D E R I E S G OS
4.3.1 I D E N T I F I C AC I N DE L OS RI E S G OS
4.3.1.1 R E A D E D E S AR R O L L O , A DM I N I S T R AC I N Y M AN T E NI M I E NT O D E S I S T E M AS
1. Desarrollo de aplicaciones
T ABLA 14. I DENTIFICACIN DE RIESGOS DESARROLLO DE APLICACIONES
OBJETIVOS DEL REA FUENTES DE RIESGO CAUSAS CONSECUENCIAS RIESGOS

POTENCIALES IDENTIFICADOS
Desarrollar aplicaciones Falta de involucramiento de Temor de automatizar Se extienden los tiempos La falta de
que sirvan de apoyo a las las unidades requirentes procesos. en el desarrollo. involucramiento de las
unidades requirentes Falta de inters. unidades requirentes,
para el logro de los Temor al cambio alta rotacin del
objetivos institucionales Alta rotacin del personal con Personal con contrato Perdida del know-how y personal, falta de
conocimiento ocasional de la experiencia de los formalidad en el manejo
tcnicos de los procesos y
Falta de planificacin en el Falta de tiempo del La funcionalidad no se metodologas de trabajo
levantamiento de la usuario final adapta a lo que requiere y la no disponibilidad de
informacin. el usuario equipamiento
No existen procesos No se ha realizado el No se realice un control tecnolgico suficiente
definidos levantamiento de la adecuado a los procesos PODRIA OCASIONAR
informacin que las aplicaciones
Falta de estandarizacin de No existen procesos de El mantenimiento del desarrolladas no
la metodologa y tecnologa estndares definidos sistema es ms cumplan con la
de trabajo. complicado. funcionalidad requerida
No disponibilidad de equipo Departamento de activos No se pueda trabajar por los clientes internos.
tecnolgico y espacio de fijos no cuenta con los con equipos de
trabajo recursos tecnolgicos. caractersticas
necesarias para el
desarrollo
No existe ambientes de No se cuenta con los No se puede garantizar
desarrollo prueba y equipos. el buen funcionamiento
produccin independiente de la aplicacin.
150
Mantenimiento de sistemas
T ABLA 15. I DENTIFICACIN DE RIESGOS - MANTENIMIENTO DE SISTEMAS

Mantener las Falta de recursos de la Falta de asignacin de Deje de funcionar los La falta de recursos de
aplicaciones infraestructura en los recursos para la Unidad sistemas la infraestructura en
institucionales operativas servidores de Tecnologa los servidores, que el
y actualizadas personal que utiliza los
sistemas no est
No poder dar soluciones de No existe documentacin El tiempo para dar
capacitado, el no
mantenimiento por peticin del sistema. solucin a los
poder dar soluciones
del usuario No existe el cdigo requerimientos del
de mantenimiento, ni
fuente. usuario aumenta.
realizar
No poder realizar Tecnologa obsoleta, Limita, el rendimiento,
actualizaciones a los
actualizaciones en los desactualizada. realizar cambios, a
sistemas PODRIAN
sistemas enfocarse a solo un
OCASIONAR que no
versionamiento de las
se mantengan las
herramientas de
aplicaciones
desarrollo
institucionales
El personal que utiliza los Desinters No utilizan los
operativas y
sistemas no estn Alta rotacin del personal sistemas
actualizadas.
capacitados Realizan procesos
errneos
Falta de una bitcora de los Falta de definicin de No se conozca y se
soportes realizados a los procedimientos y mantengan
usuarios polticas. estadsticas de los
problemas comunes
q tengan los usuarios.
151
4.3.1.2 R E A D E I NF R AE S T R UCT U R A T E CN O L GI C A
2. Administracin de Servidores, Redes y Comunicaciones
T ABLA 16. IDENTIFICACIN DE RIESGOS - A DMINISTRACIN DE S ERVIDORES , R EDES Y C OMUNICACIONES

Garantizar que los 1. Falla en la energa Falla de los equipos por Se apagan los equipos y La falla de componentes
servicios estn elctrica para el Data Center tiempo de vida til no se da el servicio que conforman el centro
disponibles, seguros y 2. Falla en el sistema de Falta de mantenimiento Dao e inoperabilidad de de datos, el acceso no
confiables para el refrigeracin de los equipos los equipos autorizado a los equipos y
usuario final. 3. Ingreso de personas no Pared de gypsum Desconecte los equipos. a la informacin, el
autorizadas al Data Center y Prdida de tarjetas Perdida de informacin ingreso de personas no
a los cuartos de autorizadas al Data
comunicacin. Center, falta de
4. Dao de los componentes Vida til Perdida de los servicios ambientes de desarrollo,
de los equipos en el Data Fallas de fabricacin prueba y produccin y de
Center Elctrico. almacenamiento, el mal
5. Acceso no autorizado a los No contar con las Alteracin de uso de los servicio por
equipos seguridades perimetrales informacin parte de los usuarios y la
adecuadas. Denegacin de servicios. falta de procedimientos
Ataques de fuerza bruta. Perdida de informacin. definidos PODRIAN
6. Falta de ambientes de Falta de infraestructura Perdida de servicios OCASIONAR que no se
desarrollo, prueba y fsica No se garantiza la garantice que los
produccin. integridad y servicios estn
disponibilidad de la disponibles, seguros y
informacin confiables para el usuario
final.
7. Falta de espacio para el Falta de infraestructura Perdida de informacin.
almacenamiento de la tecnolgica
informacin No hay planificacin del
Contina
152
crecimiento de las
capacidades de la
infraestructura
8. Mal uso de los servicios Instalan software Mandar a listas negras
por parte de los usuarios. malicioso Envan spam
No existen polticas para
el usuario
No cuidan las claves
9. Acceso a la Informacin de No existe control de Prdida de Informacin
los equipos de los usuarios acceso al equipo
finales mediante clave
personalizada, se
maneja con una sola
clave para todos los
equipos.
No existen polticas para
asignacin de perfiles a
los usuarios
10. Falta de procedimientos No existe un plan de Perdida de servicios por
definidos para mantener la contingencias y de tiempo indefinido.
continuidad de los servicios seguridades.
153
4.3.1.3 R E A D E A DM I N I S T R AC I N Y O R G ANI Z AC I N
3. Organizacin y Administracin.
T ABLA 17. IDENTIFICACIN DE RIESGOS ORGANIZACIN Y ADMINISTRACIN

Planificar y administrar Alta rotacin del personal Cambios polticos Perdida del know-how La alta rotacin del
los Recursos Personal sin y experiencia de los personal, alta
Tecnolgicos y de nombramiento tcnicos depreciacin y
Talento Humano en cada caducidad del soporte
una de las reas de la y mantenimiento de la
Alta depreciacin de la Falta de la Planificacin No pueden operar los
Unidad de Tecnologa. infraestructura
infraestructura tecnolgica y de las TIC en la servicios.
tecnolgica y que los
caducidad del soporte y Institucin.
proyectos elaborados
mantenimiento de la
no puedan tener su
Infraestructura
curso normal para su
Los proyectos elaborados no Demora en el proceso en Fracaso del proyecto
ejecucin, PODRIAN
puedan tener su curso la obtencin de los en el tiempo
OCASIONAR que no
normal para la ejecucin recursos adecuado.
se planifique y
administre
adecuadamente los
recursos tecnolgicos
de la institucin.
154
4.3.1.4 R E A D E S OP O RT E A US U ARI OS Y M ANT E NI M I E NT O DE S I S T E M AS
4. Soporte a usuarios y mantenimiento de equipos.
T ABLA 18 IDENTIFICACIN DE RIESGOS SOPORTE A USUARIOS Y MANTENIMIENTO DE EQUIPOS

Brindar oportunamente Que el personal tcnico no Falta de planificacin No se pueda La falta de
ayuda tcnica a los est actualizado en sus Constante evolucin operativizar los planificacin de los
usuarios y capacitar conocimientos tecnolgica. equipos. trabajos, que el
sobre el uso de manejo No se pueda capacitar personal tcnico no
de las herramientas al usuario est actualizado en
tecnolgicas q dispone la eficientemente. sus conocimientos,
institucin. Anticipar a Falta de planificacin del Falta de control y Acumulacin de alta rotacin de
futuros daos en equipos trabajo. seguimiento trabajo por equipos usuario final, el no
de la Institucin. inactivos contar con los
recursos tecnolgicos
Alta rotacin de personal Compromisos polticos Aumento de necesarios PODRIA
contratado por los usuarios requerimientos OCASIONAR que no
finales tcnicos y de se pueda dar una
capacitaciones ayuda tcnica y
No contar con los recursos No tener un diagnstico No atender capacitacin oportuna
tecnolgicos necesarios tcnico de los equipos. eficientemente los y eficiente al usuario
requerimientos de los final, as tambin
usuarios finales mantener los equipos
en buen estado.
155
4.3.2 A N L I S I S D E L OS R I E S G OS
4.3.2.1 R E A D E D E S AR R O L L O A DM I NI S T R AC I N Y M AN T E N I M I E NT O D E S I S T E M AS
+Probabilidad ++Impacto
5. Casi cierta 5. Grave
1. Desarrollo de aplicaciones 4. Probable 4. Daos mayores
3. Posible 3. Mediano
2. Poco probable 2. Leve
1. Rara 1. Muy leve
T ABLA 19. ANLISIS DE RIESGOS DESARROLLO DE APLICACIONES
RIESGOS CONTROLES EXISTENTES EFECTIVIDAD DE LOS PROBABILIDAD IMPACTO NIVEL DE

IDENTIFICADOS CONTROLES (BUENO, (1 AL 5) (1 AL 5) RIESGO
MEDIANO Y DEFICIENTE) (I X P)
La falta de Elaboracin de flujos con la Deficiente. 3 5 15
involucramiento de las aprobacin del solicitante
unidades requirentes, A travs del sistema mantis se Bueno
alta rotacin del asignan los requerimientos de
personal, falta de los programadores.
formalidad en el manejo Formato de control de cambios Bueno
de los procesos y aprobado
metodologas de trabajo
y la no disponibilidad de
equipamiento
tecnolgico suficiente
PODRIA OCASIONAR
que las aplicaciones
desarrolladas no
cumplan con la
funcionalidad requerida
por los clientes
internos.
156
2. Mantenimiento de sistema
T ABLA 20 ANLISIS DE RIESGOS MANTENIMIENTO DE SISTEMAS
RIESGOS CONTROLES EXISTENTES EFECTIVIDAD DE PROBABILID IMPACTO NIVEL DE

IDENTIFICADOS LOS CONTROLES AD (1 AL 5) RIESGO
(BUENA, MEDIANA (1 AL 5) (I X P)
Y DEFICIENTE)
La falta de recursos de Monitoreo de los recursos, como Deficiente. 4 3 12

la infraestructura en espacio en disco.
los servidores, que el
personal que utiliza Se realiza capacitaciones Bueno.
los sistemas no est permanentes
capacitado, el no
poder dar soluciones Formulario de control de cambios Bueno.
de mantenimiento, ni para las solicitudes de los
realizar usuarios.
actualizaciones a los
sistemas PODRIAN SVN. Sistema de Versiones de Bueno.
OCASIONAR que no cdigo fuente
se mantengan las
aplicaciones
institucionales
operativas y
actualizadas.
157
4.3.2.2 R E A D E I NF R AE S T R UCT U R A T E CN O L GI C A
3. Administracin de Servidores, Redes y Comunicaciones
T ABLA 21. ANLISIS DE RIESGOS ADMINISTRACIN DE SERVIDORES , REDES Y COMUNICACIONES
RIESGOS IDENTIFICADOS CONTROLES EXISTENTES EFECTIVIDAD DE PROBABILIDAD IMPACTO NIVEL DE

LOS CONTROLES (1 AL 5) (1 AL 5) RIESGO
(BUENO, (I X P)
MEDIANO Y
DEFICIENTE)
La falla de componentes que Ingreso al Data Center con tarjeta Bueno 4 4 16
conforman el centro de y huella digital para (5) personas.
datos, el acceso no NetBotz software que notifica Bueno
autorizado a los equipos y a novedades en el ambiente del
la informacin, el ingreso de centro de datos.
personas no autorizadas al Multmetro panel de distribucin Bueno
Data Center, falta de en el Centro de Datos.
ambientes de desarrollo, IPS Mediano
prueba y produccin y de Whatsup (Sistema de monitoreo Bueno
almacenamiento, el mal uso de prdida de enlaces con
de los servicio por parte de equipamiento activo de la red).
los usuarios y la falta de PRTG (Monitorea el ancho de Bueno
procedimientos definidos banda, grafica el trfico)
PODRIAN OCASIONAR que Karty (Monitorea los enlaces a Deficiente
no se garantice que los nivel nacional.)
servicios estn disponibles,
Llaves de acceso solo tienen las Bueno
seguros y confiables para el
personas autorizadas
usuario final.
158
4.3.2.3 R E A D E A DM I N I S T R AC I N Y O R G A N I Z AC I N
4. Organizacin y Administracin
T ABLA 22 ANLISIS DE RIESGO ORGANIZACIN Y ADMINISTRACIN
RIESGOS IDENTIFICADOS CONTROLES EXISTENTES EFECTIVIDAD DE PROBABILID IMPACTO NIVEL DE

LOS AD (1 AL 5) RIESGO (I X P)
CONTROLES (1 AL 5)
(BUENO,
MEDIANO Y
DEFICIENTE)
La alta rotacin del Renovacin de los contratos al Bueno. 4 5 20

personal, alta depreciacin personal.
y caducidad del soporte y Definicin de funciones a los Bueno.
mantenimiento de la funcionarios.
infraestructura tecnolgica Polticas de utilizacin de Bueno.
y que los proyectos software libare
elaborados no puedan Elaboracin del PAC Bueno.
tener su curso normal para Reporte de actividades Bueno.
su ejecucin, PODRIAN mensuales de los servidores
OCASIONAR que no se
planifique y administre
adecuadamente los
recursos tecnolgicos de
la institucin.
159
4.3.2.4 R E A D E S OP O RT E Y M ANT E NI M I E N T O A US U AR I O S .
5. Soporte a usuarios y mantenimiento de sus equipos
T ABLA 23. SOPORTE A USUARIOS Y MANTENIMIENTO DE EQUIPOS .
RIESGOS IDENTIFICADOS CONTROLES EXISTENTES EFECTIVIDAD PROBABILIDAD IMPACTO NIVEL DE

DE LOS (1 AL 5) (1 AL 5) RIESGO
CONTROLES (I X P)
(BUENO,
MEDIANO Y
DEFICIENTE)
La falta de planificacin de
los trabajos, que el Plan Anual de Mantenimiento. Mediano 44 16
personal tcnico no est Registro de requerimientos de Bueno
actualizado en sus los usuarios; control y registro de
conocimientos, alta actividades del personal tcnico
rotacin de usuario final, el mediante el sistema (GLPI)
no contar con los recursos Capacitaciones a los usuarios
tecnolgicos necesarios finales. Mediano
PODRIA OCASIONAR que Inventario de Recursos
no se pueda dar una ayuda Tecnolgicos. Bueno
tcnica y capacitacin Reporte mensual de las
oportuna y eficiente al actividades de los tcnicos. Bueno
usuario final, as tambin Horarios de Ingreso y rotacin
mantener los equipos en del personal a los diferentes Bueno
buen estado. edificios de la institucin.
160
4.3.3 M AP A D E R I E S G OS
Enunciado del riesgo identificado. (Probabilidad x Impacto = Nivel de riesgo)
G RFICO 6.- MAPA DE RIESGOS

15
Clasificacin del 5 5 10 20 25
riesgo (1)
Alto
Moderado
Bajo P 12 16 20 AREAS
4 4 8
(2) (3) (5) (4)
r 1.- Desarrollo de aplicaciones
o
2.- Mantenimiento de sistemas.
b 3 3 6 9 12 15
a 3.- Administracin de servidores, redes y
comunicaciones.
b
2 2 4 6 8 10
i 4.- Organizacin y administracin.
l 5.- Soporte a usuarios y mantenimiento de
i 1 1 2 3 4 5 equipos.
d
1 2 3 4 5
a
d
Impacto
161
4.3.4 P R I OR I Z AC I N D E R I E S G OS
T ABLA 24. PRIORIZACIN DE RIESGOS .
RIESGOS IDENTIFICADOS NIVEL DE CRITERIO RIESGOS QUE PRIORIDAD PARA

RIESGOS DEL REQUIEREN SER EL TRATAMIENTO
(I X P) RIESGO* TRATADOS DEL RIESGO
(1, 2 O 3) (MARCAR CON UNA (ORDINAL)
X)
1. La falta de involucramiento de las unidades requirientes, alta 15 2 3
rotacin del personal, falta de formalidad en el manejo de los
procesos y metodologas de trabajo y la no disponibilidad de
equipamiento tecnolgico suficiente PODRIA OCASIONAR que
las aplicaciones desarrolladas no cumplan con la funcionalidad
requerida por los clientes internos.
2. La falta de recursos de la infraestructura en los servidores, 12 1 X 2
que el personal que utiliza los sistemas no est capacitado, el
no poder dar soluciones de mantenimiento, ni realizar
actualizaciones a los sistemas PODRIAN OCASIONAR que no
se mantengan las aplicaciones institucionales operativas y
actualizadas.
3. La falla de componentes que conforman el centro de datos, el 16 1 X 1
acceso no autorizado a los equipos y a la informacin, el
ingreso de personas no autorizadas al Data Center, falta de
ambientes de desarrollo, prueba y produccin y de
almacenamiento, el mal uso de los servicio por parte de los
usuarios y la falta de procedimientos definidos PODRIAN
OCASIONAR que no se garantice que los servicios estn
disponibles, seguros y confiables para el usuario final.
4. La alta rotacin del personal, alta depreciacin y caducidad 20 2 5
del soporte y mantenimiento de la infraestructura tecnolgica y
que los proyectos elaborados no puedan tener su curso normal
Contina
162
para su ejecucin, PODRIAN OCASIONAR que no se planifique

y administre adecuadamente los recursos tecnolgicos de la
institucin.
5. La falta de planificacin de los trabajos, que el personal
tcnico no est actualizado en sus conocimientos, alta rotacin
de usuario final, el no contar con los recursos tecnolgicos
necesarios PODRIA OCASIONAR que no se pueda dar una 16 2 4
ayuda tcnica y capacitacin oportuna y eficiente al usuario
final, as tambin mantener los equipos en buen estado.
*(1) No podemos tolerar este riesgo.
(2) Es un riesgo medianamente tolerable.
(3) Podemos tolerar este riesgo.
163
4.3.5 T R AT AM I E NT O D E R I E S G OS
T ABLA 25. TRATAMIENTO DE RIESGOS
RIESGOS IDENTIFICADOS ACCIONES INDICADORES DE DESEMPEO RESPONSABLE FECHA DE

(EN ORDEN DE PRIORIDAD) PROPUESTAS PARA LA ADMINISTRACIN DE CUMPLIMIENTO
(OPCIONES DE RIESGOS
TRATAMIENTO)*
1. La falla de componentes que Reducir Cantidad de usuarios que mal F Primer
conforman el centro de datos, el utilizaron los servicios de TI en Lder de Trimestre 2014
acceso no autorizado a los equipos entidad Infraestructura m
y a la informacin, el ingreso de Nmero de procedimientos Tecnolgica e
personas no autorizadas al Data definidos de acuerdo a las r
Center, falta de ambientes de Normas de Control Interno por la
desarrollo, prueba y produccin y Unidad de Tecnologa en el
de almacenamiento, el mal uso de 2014.
los servicio por parte de los Porcentaje de componentes que
usuarios y la falta de fallaron fuera del periodo de
procedimientos definidos PODRIAN garanta en el Centro de Datos
OCASIONAR que no se garantice de la entidad.
que los servicios estn disponibles, Total de personal que ingresa en
seguros y confiables para el el centro de datos de acuerdo a
usuario final. las restricciones definidas por la
Unidad de Tecnologa.
Nmero de ambientes
implementados para el
Desarrollo, Pruebas y
Produccin por el rea de
Infraestructura.
Contina
164
2. La falta de recursos de la Reducir Cantidad de equipos adquiridos . Lder de Primer

infraestructura en los servidores, de acuerdo a las Infraestructura Semestre
que el personal que utiliza los especificaciones tcnicas Tecnolgica 2014
sistemas no est capacitado, el no requeridas por la Unidad de
poder dar soluciones de Tecnologa a julio del 2014.
mantenimiento, ni realizar
G
Nmero de capacitaciones
actualizaciones a los sistemas realizadas a los usuarios finales u
PODRIAN OCASIONAR que no se que utilizan los sistemas por la i
mantengan las aplicaciones Unidad de Tecnologa a julio de l
institucionales operativas y 2014. l
actualizadas. Nmero de actualizaciones y
mantenimientos realizados a los
sistemas a julio de 2014 n
.
3. La falta de involucramiento Compartir Cantidad de actas de trabajo Lder de Anual
de las unidades requirentes, efectuadas entre las unidades Desarrollo y
alta rotacin del personal, falta requirentes y la Unidad de Mantenimiento de
de formalidad en el manejo de Tecnologa dentro del desarrollo Sistemas.
los procesos y metodologas de de la aplicacin
trabajo y la no disponibilidad de Cantidad del personal de
equipamiento tecnolgico desarrollo que renunci a la
suficiente PODRIA OCASIONAR Unidad de Tecnologa en el
que las aplicaciones 2014.
desarrolladas no cumplan con Nmero de procesos y
la funcionalidad requerida por metodologas implementadas por
los clientes internos. el rea de desarrollo en el 2014.
Porcentaje de equipos
tecnolgicos que ingresaron a la
Coordinacin General de
Servicios Tecnolgicos en el
2014.
Contina
165
4. La falta de planificacin de Reducir Nmero de planificaciones Trimestral

los trabajos, que el personal realizadas por las reas de Director de la
tcnico no est actualizado en Tecnologa en el 2014. Unidad de
sus conocimientos, alta Cantidad de capacitaciones Tecnologa
rotacin de usuario final, el no realizadas al personal de
contar con los recursos soporte tcnico de la Unidad de
tecnolgicos necesarios Tecnologa en el 2014
PODRIA OCASIONAR que no se Porcentaje de personal que
pueda dar una ayuda tcnica y salieron de la Institucin a marzo
capacitacin oportuna y del 2014.
eficiente al usuario final, as Nmero de adquisiciones
tambin mantener los equipos realizadas para dar soporte y
en buen estado. mantenimiento a los equipos de
la institucin.
5. La alta rotacin del personal, alta Reducir Cantidad del personal de la Lder de Soporte A
depreciacin y caducidad del Coordinacin General de Tcnico n
soporte y mantenimiento de la Servicios Tecnolgicos que L u
infraestructura tecnolgica y que renunci en el 2014. i
los proyectos elaborados no Nmero de adquisiciones y a
puedan tener su curso normal para A l
mantenimiento realizados a los
su ejecucin, PODRIAN equipos informticos en el 2014. c
OCASIONAR que no se planifique y Estado de los proyectos que t
administre adecuadamente los contrat la Coordinacin General i
recursos tecnolgicos de la de Servicios Tecnolgicos en el v
institucin. 2014. o
s
F
(E) Evitar el riesgo: es decidir no empezar o continuar con la actividad que genera el riesgo; implica descontinuar las actividades que los originan.
(R) Reducir el riesgo: incluye los mtodos y tcnicas especficas para tratar los riesgos, identificndolos y proveyendo acciones para la reduccin de su probabilidad e impacto.
(C) Compartir el riesgo: reduce la probabilidad y el impacto mediante la transferencia u otra manera de compartir una parte del riesgo con terceros.
(A) Aceptar el riesgo: no se realiza accin alguna para afectar la probabilidad e impacto.
166
4.4 C OM E N T ARI O S DE C ONT R OL I NT E RN O
Registro de informacin incompleto del inventario de equipos

informticos y licenciamiento de software
Con oficio (nmero de oficio) (fecha) se requiri al Director de
Tecnologa y Desarrollo la entrega del Inventario del equipamiento
informtico por unidad administrativa y dependencias de la entidad a nivel
nacional.
Con oficio (nmero de oficio) (fecha) el Director de Tecnologa
contest y adjunt la informacin solicitada. De la revisin a la informacin
se identific que no se mantiene un registro completo con la informacin de
los equipos informticos, pues no dispone de las caractersticas principales,
fecha de compra, perodo de garanta, proveedor del equipo, para el caso
del software adquirido no consta el cdigo de activo fijo, fecha de
adquisicin, serie, nombre del proveedor; y, para el software de propiedad
de la institucin, no consta su registro en el Instituto Ecuatoriano de
Propiedad Intelectual.
Por lo que el Director de Tecnologa inobserv el artculo 97 del
Reglamento General Sustitutivo para el Manejo y Administracin de Bienes
del Sector Pblico, mantenimiento y control de equipos informticos, del
Estatuto Orgnico de Gestin por Proceso de la entidad, emitido mediante

167
(resolucin), (fecha); y la NCI 400-02 "Plan Informtico, adquisicin o
actualizacin del sistema".
Conclusin
La entidad no cuenta con un registro completo de los equipos
informticos y software, lo que ocasiona que no se tenga un control sobre
estos bienes, que facilite su administracin como requerimientos para
adquisicin y mantenimiento de estos recursos.
Recomendacin
A los Directores Administrativo y de Tecnologa
Elaborarn de manera coordinada un inventario completo y
pormenorizado de todos los activos informticos a nivel nacional, mismo que
contendr entre otros los siguientes aspectos: descripcin del bien, cdigo
de activo fijo, serie, modelo, tipo, estado, proveedor, ao de fabricacin, si
est en garanta, ubicacin, custodio, etc. Para el software adquirido,
registrar el cdigo de activo fijo, identificacin del producto, descripcin del
contenido, nmero de versin, nmero de serie, nombre del proveedor,
fecha de adquisicin y otros datos necesarios; y, para el software creado por
la entidad, harn constar su registro en el Instituto Ecuatoriano de Propiedad
Intelectual.
Plan Integral Informtico Incompleto
El Director de Tecnologa, como parte de la documentacin entregada
con (oficio) de (fecha), adjunt el "Plan Estratgico de Tecnologa de
Informacin", del 2013, documento sin fecha de presentacin y aprobacin.

168
El plan no contena: la estimacin de recursos financieros, humanos,
materiales y tecnolgicos; as como, la definicin de fechas tentativas de
inicio y terminacin de las actividades, productos a obtener, responsables e
indicadores de cumplimiento.
Por lo expuesto, el Director Ejecutivo y Director de Tecnologa y
Desarrollo inobservaron el (numeral) del Estatuto Orgnico de Gestin por
Proceso de la entidad, emitido (documento)(fecha); y, la NCI 400-02 "Plan
Informtico, adquisicin o actualizacin del sistema".
Conclusin
La entidad no cont con Plan Estratgico de Tecnologa de la
Informacin aprobado, con la definicin de los proyectos tecnolgicos a
desarrollarse a corto y mediano plazo; as como, la estimacin de recursos
necesarios para su ejecucin e indicadores que permitan medir su
cumplimiento.
Recomendaciones
Al Director Administrativo.
Dispondr al responsable de planificacin que en coordinacin con el
Director de Tecnologa, definan la metodologa para la formulacin del Plan
Estratgico de Tecnologa de la Informacin, la que contendr entre otros
aspectos: las estrategias, inventario de soluciones tecnolgicas e
infraestructura actual, estructura organizacional requerida, proyectos
tecnolgicos con sus respectivos cronogramas de actividades a

169
desarrollarse para la ejecucin del plan a corto y mediano plazo, con la
estimacin de los recursos humanos, materiales, tecnolgicos y financieros
necesarios para su cumplimiento, responsables, indicadores y productos a
obtenerse.
Dispondr al Director de Tecnologa formule los Planes Informtico
Estratgico, aplicando la metodologa definida.
Aprobar el Plan Informtico Estratgico, dispondr su difusin y
ejecucin y gestionar la asignacin de recursos financieros necesarios para
su cumplimiento.
Al Director de Tecnologa
Elaborar el Plan Informtico Estratgico con la participacin de los
coordinadores de las reas tecnolgicas y usuarios de las reas respectivas,
en el que constar el portafolio de proyectos de infraestructura de
comunicaciones, sistemas y servicios encaminados a mejorar las actividades
que realizan las diferentes unidades usuarias y clientes externos. Los
proyectos debern contar con la cuantificacin de recursos humanos,
materiales y tecnolgicos con sus respectivos cronogramas de ejecucin e
indicadores.
Presentar al Director Administrativo, el Plan Informtico Estratgico
para su aprobacin.
170
C AP TULO V
C ONCLUSIONES Y R ECOMEND ACIO NES
5.1 CONCLUSIONES
Se ha elaborado una gua de auditora para la evaluacin del
control interno del rea de TI en las entidades pblicas del
Ecuador cuyo resultado ha servido para determinar: la normativa
vigente, los controles y medios de verificacin, metodologa de
riesgos y cuestionarios de control interno que hay que considerar
en la evaluacin del control interno y la identificacin de las reas
crticas.
De acuerdo a las encuestas realizadas se concluye que existe un
gran desconocimiento de las normas de control interno por parte
de los servidores pblicos, que hace que no estn familiarizados
con los controles que deben implementar, sin embargo est
vigente el principio jurdico que dice el desconocimiento de la ley
no justifica la culpa.
El 87% de las instituciones pblicas encuestadas indicaron que no
tienen definidos los procesos del TI, es por ello que para el diseo
de la presente gua de auditora se efectu por reas.

171
No existen controles permanentes, ya que de acuerdo a la encuesta
realizada el 86% de las instituciones pblicas indicaron que no se
realizan evaluaciones de control interno en el rea de TI.
De la aplicacin de la metodologa de riesgos se obtuvo que las
reas con mayor nivel de riesgos son: la de organizacin y
administracin, seguida por la administracin de servidores, redes
y comunicaciones y la de soporte a usuarios y mantenimiento a
equipos.
Se desarroll e implement cuestionarios de control interno para
cada rea de TI, incluyendo preguntas de acuerdo a las Normas
de Control Interno para las entidades pblicas.
Los medios de verificacin o controles identificados en las
diferentes reas, ayudan en el proceso de solicitud de
informacin, que de no ser presentados, sirven de evidencia por
incumplimiento de los mismos.
5.2 R E C OM E N D AC I ON E S .
Socializar los contenidos de las legislaciones pertinentes con la
finalidad que se den cumplimiento.
Aplicar los cuestionarios de control interno de acuerdo a la
estructura organizacional de la institucin.

172
Se recomienda que en las instituciones pblicas se haga el
levantamiento de procesos del rea de TI.
Realizar evaluaciones peridicas de control interno con la
finalidad de evitar riesgos y tener una mejora continua en los
procesos.
En la fase de evaluacin de riesgos, se recomiendan realizar
reuniones de trabajo con las diferentes reas con la finalidad de
conocer las deficiencias que presenta cada una de ellas.
Al realizar el pedido de informacin es importante tomar en cuenta
los medios de verificacin de la presente gua.
Realizar el tratamiento de los riesgos con la finalidad de minimizar
la probabilidad de ocurrencia y el impacto que estos generan.

173
5.3 B I B LI O G R AF A .
31000, I. O. (2009). ISO 31000.
AUDITORIA DE SISTEMAS. (s.f.). Recuperado el 17 de 12 de 2013, de

wwwisis.ufg.edu.sv/wwwisis/.../TE/004.../004-C146m-
Capitulo%20IV.p...
Auditoria de Sistemas. (10 de 06 de 2011). Obtenido de Blog:

http://noris14.wordpress.com/2011/06/10/control-interno-informatico
COBIT. (2009). The Cobit Framework. Obtenido de

http://isaca.org/Content/NavagationMenu/Members_and_Leaders/CO
BIT6/Obtain_COBIT/Cobit4_Espaol.pdf
Codigo Organico de Planificacin y Finanzas Pblicas . (2010). Registro

Oficial 306 del 22 de octubre del 2010.
Comisin de Auditora. CCPM. (s.f.). Colegio de Contadores Pblicos de

Mxico. Obtenido de CCPM:
http://www.ccpm.org.mx/avisos/boletines/boletinauditoria3.pdf
Constitucin de la Republica del Ecuador. (2008). Registro oficial 449 del 20

de octubre del 2008.
Constituyente, A. (2008). Constitucin de la Republica del Ecuador.
Contraloria General, d. (2010). Normas de Control Interno. Quito.
Contraloria General, d. (2013). Guia de auditoria Ambiental. Quito: Acuerdo

037-CG-2013.
Ley de comercio electrnico, firmas electrnicas y mensajes de datos.

(2002). Registro Oficial 557 del 17 de abril del 2002.
Ley del sistema nacional de registro de datos publicos. (2010). Resgistro

oficial 162, 31 de marzo del 2010.
Ley Orgnica de la Contralora General del Estado. (2002). Registro Oficial

595 del 16 de junio del 2002.
Ley organica de transparencia y acceso a la informacin pblica . (2004).

Registro oficial 337 del 18 de mayo del 2004.
Ley orgnica del sistema nacional de contratacin pblica . (2008). Registro

oficial 395 del 4 de agosto del 2008.
174
Manual de Auditoria de Sistemas. (s.f.). Obtenido de CAPITULO IV:

http://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd
=2&cad=rja&ved=0CCsQFjAB&url=http%3A%2F%2Fwwwisis.ufg.edu.
sv%2Fwwwisis%2Fdocumentos%2FTE%2F004-C146m%2F004-
C146m-
Capitulo%2520IV.pdf&ei=x50PU7XqNou3kAev74HYBw&usg=AFQjC
NE9y1j5HqtO_Cg9Iq55wu8gq
Merida Muoz, J. (2012). Guia del Participante, Curso de Auditora de

Tecnologas de Informacin.
Nava Garcia , F. (s.f.). Apuntes de Auditoria Informatica.
NETCONSULT. (2009). Nuevos conceptos de control interno: Informe Coso.

Obtenido de http://netconsul.com/tecnicas/index.php?ver=coso
Normas de aplicacin obligatoria para las entidades del sector pblico

ecuatoriano expedidas por la Contralora General del Estado . (2009).
Acuerdo 039-CG Registros Oficiales 78 y Suplemento 87 del 1 y 14
de diciembre del 2009.
OLACEFs. (2011). Manual de Auditora de Gestin a las Tecnologas de

Informacin y Comunicaciones.
Pinilla, J. D. (s.f.). Auditori Informtica - Aplicaciones en Produccin.
Reglamento general a la ley orgnica de transparencia y acceso a la

informacin pblica y reformas. (2005). Registro oficial 507 del 19 de
enero del 2005.
Reglamento general a la ley orgnica del sistema nacional de contratacin

publica. (2009). Registro Oficial 588 del 8 de mayo del 2009.
Reglamento General de Bienes del Sector Pblico. (2006). Registro oficial

378 del 17 de octubre del 2006.
175
ABREVIATURAS Y ACRNIMOS
IT. Tecnologas de Informacin y comunicacin.
NCI.- Normas de Control Interno.
Art.- Artculo.
CPD.- Centro de Proceso de Datos.
TIC.- Tecnologas de Informacin y Comunicaciones.
COBIT.- Objetivos de Control para las Tecnologas de Informacin
ITIL.-Biblioteca de Infraestructura de Tecnologas de Informacin.
OLACEFS.- Organizacin Latinoamericana y del Caribe de Entidades

Fiscalizadoras Superiores.
CAB.- Comit Asesor de Cambios.
BD.- Base de Datos.
DBA.- Administrador de la Base de Datos.
SIP.- Planes de Mejoras de Servicio
SLAs.- Acuerdos de Nivel de Servicio
OLAs.- Acuerdos de Nivel Operativo
UP.- Perfiles de Usuario.
SP.- Paquetes de Servicio
SLP.- Paquetes de Niveles de Servicio.
SLR.- Niveles de Requerimiento de Servicio.

TM 6 Evalucion Del Control Interno Ufa 2014

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TM 6 Evalucion Del Control Interno Ufa 2014

Uploaded by

Copyright:

Available Formats

VICERRECTORADO DE INVESTIGACIN Y VINCULACIN CON LA

MAESTRA EN EVALUACIN Y AUDITORIA DE SISTEMAS TECNOLGICOS

TESIS DE GRADO MAESTRA EN EVALUACIN Y AUDITORIA DE SISTEMAS

TEMA: GUA DE AUDITORA PARA LA EVALUACIN DEL CONTROL INTERNO EN

AUTOR: TINOCO TINOCO, DIANA ELIZABETH

DIRECTOR: ING. AGUIRRE MANOSALVAS, HAROLD FRANCISCO

El presente trabajo de tesis realizado por la Ing. Diana Elizabeth Tinoco

Tinoco, cuyo tema es DESARROLLO DE UNA GUA DE AUDITORA

PARA LA EVALUACIN DEL CONTROL INTERNO EN EL REA DE TI

EN LAS ENTIDADES PBLICAS DEL ECUADOR, ha sido dirigido,

orientado y evaluado en todas sus fases, habiendo constatado que cumple

con los requisitos exigidos por el programa de Maestra en Evaluacin de

Auditora de Sistemas Tecnolgicos del Nivel de Postgrados de la

Universidad de las Fuerzas Armadas, en consecuencia autorizo su

presentacin, sustentacin y defensa.

Sangolqu, enero del 2014

Ing. Francisco Aguirre

TEMA: GUA DE AUDITORA PARA LA EVALUACIN DEL CONTROL INTERNO EN

AUTOR: Ing. Diana Elizabeth Tinoco Tinoco,

Los conceptos, ideas y opiniones desarrolladas en el presente trabajo son de

exclusiva responsabilidad de la autora.

Sangolqu, enero del 2014

Ing. Diana Tinoco

Yo, Ing. Diana Elizabeth Tinoco Tinoco, aautoriz a la Universidad de las

Sangolqu, enero del 2014

Ing. Diana Tinoco

Este trabajo lo dedico a mi familia, por su apoyo incondicional, por estar

A mis amigos por ser la fuente de inspiracin y motivacin.

A la Universidad de las Fuerzas Armadas, a travs del nivel de Postgrado

con el programa de Maestra en Evaluacin y Auditora de Sistemas

Tecnolgicos, a sus directivos y docentes por los conocimientos impartidos

en el transcurso de preparacin y estudio.

Expreso el ms sincero agradecimiento al director de tesis Ing. Francisco

Aguirre, por su acertada gua y apoyo en el desarrollo de este proyecto

contribuido en el desarrollo del presente proyecto.

AUTORA DE RESPONSABILIDAD .......................................................................... II

NDICE DE TABLAS ............................................................................................ XVI

NDICE DE GRFICOS........................................................................................ XVII

CONTROL INTERNO EN EL SECTOR PBLICO ......................................................... 1

1.1 JUSTIFICACIN E IMPORTANCIA ............................................................... 1

1.2 PLANTEAMIENTO DEL PROBLEMA ............................................................. 2

1.3 HIPTESIS ................................................................................................ 4

1.4 OBJETIVO GENERAL .................................................................................. 5

1.5 OBJETIVOS ESPECFICOS............................................................................ 5

MARCO TERICO REFERENCIAL PARA EL CONTROL INTERNO ............................... 6

2.1.1 MARCO TERICO ...................................................................................... 6

2.1.1.1 CONTROL INTERNO ............................................................................... 6

2.1.2 MARCO CONCEPTUAL ............................................................................... 8

2.1.2.1 CONTROL INTERNO ............................................................................... 8

2.1.2.2 CONTROL INTERNO INFORMTICO........................................................ 8

2.1.2.3 CLASIFICACIN DE LOS CONTROLES ...................................................... 9

2.1.2.4 FUNCIONES DEL CONTROL INTERNO INFORMTICO ............................ 11

2.1.2.5 EVALUACIN DE RIESGO DE TI ............................................................ 12

2.1.2.6 MEJORES PRCTICAS RELACIONADAS CON EL CONTROL INTERNO ....... 12

2.1.3 ESTADO DEL ARTE................................................................................... 14

2.1.3.1 EVALUACIN DEL CONTROL INTERNO TECNOLGICO .......................... 14

2.2 METODOLOGAS Y TCNICAS DE INVESTIGACIN .................................... 17

2.2.1 MTODOS TERICOS .............................................................................. 17

2.2.1.1 MTODO ANALTICO ........................................................................... 17

2.2.1.2 MTODO SINTTICO............................................................................ 17

2.2.1.3 MTODO DEDUCTIVO ......................................................................... 18

2.2.2 METODOLOGAS CUANTITATIVAS ........................................................... 18

2.2.3 METODOLOGAS CUALITATIVAS O SUBJETIVA ......................................... 19