Revisiones de Control enfocadas a la Evaluación de Control Interno a la Tecnología de Información

1. Revisiones de Control enfocadas a la Evaluación de Control Interno a la Tecnología de Información

2. Se define de manera amplia como un proceso llevado a cabo por el consejo de administración, la gerencia y otro personal de la organización, diseñado para proporcionar una seguridad razonable sobre el logro de los objetivos de la organización clasificados en: Control Interno (según COSO): • Efectividad y eficiencia de las operaciones. • Confiabilidad de la información financiera. • Cumplimiento con las leyes, reglamentos, normas y políticas.

3. ¿Cuál debe ser el objetivo de la revisión de control al control interno de T.I.? Verificar que la dependencia o entidad cuente con la estructura de control interno adecuada para la administración y uso racional de los recursos asignados a tecnologías de información.

4. ¿Cómo alcanzar ese objetivo? • Evaluando la eficiencia y efectividad de los controles internos aplicados a la adquisición y operación de las TI. • Evaluando la seguridad, integridad y oportunidad de la información generada por TI

5. ¿Qué significa el término Tecnología de Información? Convergencia tecnológica entre las telecomunicaciones, los microprocesadores y la computación que permite el proceso, transmisión y almacenamiento de información que puede ser datos, audio o video en formato digital.

6. Ejemplos de T.I. (electrónica, informática y telecomunicaciones): • Internet/Intranet • Redes (por satélite o cable, telefonía fija o movil, servidores y grandes almacenadores de información) • T.V. digital • Equipos multimedia de CD-ROM • Ordenadores (computadoras personales y laptops) • Telecomunicaciones fijas y móviles • Sistemas de información automatizados de nóminas, presupuesto, contabilidad, etc.

7. ¿De qué depende la realización de una revisión de control a Evaluación de Control Interno a la Tecnología de Información? • Naturaleza, complejidad, infraestructura informática y automatización de las operaciones de la Institución. • Personal capacitado en el OIC.

8. ¿Cuáles son los aspectos básicos sujetos de revisión en la Evaluación de Control Interno a la Tecnología de Información? • Planeación estratégica y ámbito organizacional. • Función de T.I. (administración y operación). • Desarrollo y mantenimiento de sistemas. • Sistemas operativos. • Seguridad física, lógica y de datos. • Adquisición de tecnología. • Plan de contingencias. • Software/hardware, internet/intranet, redes y telecomunicaciones.

9. Planeación estratégica y ámbito organizacional ¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.? • Verificar que exista en la dependencia o entidad un Programa Institucional de Desarrollo Informático (PIDI) o Plan Estratégico de Tecnologías de Información. • Verificar que dicho Programa o Plan esté alineado a los fines de la APF en general y en particular a la consecución de los objetivos institucionales, así como a su misión y visión.

10. Función de T.I. (administración y operación) ¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.? • Evaluar los mecanismos de control para: • Las bibliotecas física y lógica de los medios magnéticos, software y datos. • La administración de la base de datos y sistema operativo. • La seguridad, integridad y confiabilidad de equipos, software e información.

11. DESCRIPCIÓN DEL CONTROL TIPO Preventivo Detectivo Correctivo Asignación de funciones o responsabilidades. x Capacitación en Control Interno. x Código de Conducta Institucional (integridad y valores éticos) x Cuadros de facultades (administrativas u operacionales) x Entrenamiento. x Indicadores y normas de desempeño. x Facultades de autorización. x Manual de Organización. x Personal competente. x Políticas y Procedimientos. x Programas y/o Presupuestos. x Segregación de funciones. x Automatización de transacciones. x x Evaluación de Riesgos. x x Registro de transacciones. x x Salvaguarda y acceso restringido a los activos. x x Auditoría (interna o externa) x Comparación. x x Conciliación. x x Evaluación de resultados o desempeño. x x Facultades de corrección y aplicación de ajustes. x Inspección. x x Supervisión del personal. x x Verificación o revisión de funciones. x x

12. Desarrollo y mantenimiento de sistemas ¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.? • Verificar que los sistemas en desarrollo estén respaldados y documentados en forma adecuada. • Verificar que existan mecanismos de control y mantenimiento para asegurar la protección de los sistemas y de la información que operan.

13. Sistemas operativos ¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.? • Comprobar la integridad y confiabilidad de los programas y datos del sistema automatizado de información. • Verificar que el sistema contenga y aplique procedimientos y herramientas de control y validación.

14. Seguridad física, lógica y de datos. ¿Cuál es la parte sustantiva de este aspecto de revisión de T.I.? • Verificar que existan políticas de seguridad que incluyan estándares y responsabilidad de la seguridad física y lógica (hardware, software y datos), así como verificar su vigilancia, comunicación y difusión en tiempo y forma. • Determinar que existan controles para identificar, autentificar, certificar y accesar información.