INFORME DE AUDITORÍA. Al Dr. Ricardo Daniel Echegaray Administrador Federal de Ingresos Públicos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA. Al Dr. Ricardo Daniel Echegaray Administrador Federal de Ingresos Públicos"

Transcripción

1 INFORME DE AUDITORÍA Al Dr. Ricardo Daniel Echegaray Administrador Federal de Ingresos Públicos En uso de las facultades conferidas por el artículo 118 de la Ley , la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de Economía y Finanzas, con el objeto que se detalla en el apartado Objeto de la auditoría Evaluación de la Tecnología Informática de la Dirección General Impositiva en la Administración Federal de Ingresos Públicos, organismo autárquico en la órbita del Ministerio de Economía, con el objeto de determinar debilidades y fortalezas de la gestión informática. Período auditado: año Alcance del examen 2.1. El equipo de auditoría en la etapa de planificación identificó los temas de mayor exposición al riesgo y comprendió los siguientes ítems: Relevamiento de la documentación normativa del área de tecnología informática del Organismo. Relevamiento de la infraestructura informática del Organismo. Relevamiento de los sistemas existentes en producción y desarrollo. Verificación de la existencia de la documentación recomendada por la Secretaría de la Gestión Pública (SGP) y los estándares internacionales. Verificación de la adecuación de los sistemas, de la infraestructura existentes y de la planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su actividad. Verificación del modelo de arquitectura de la información y su seguridad. Relevamiento y Análisis del organigrama del área de tecnología informática y su 1

2 funcionamiento. Relevamiento y Análisis del presupuesto operativo anual del área. Verificación del cumplimiento de la comunicación de los objetivos y las directivas de la Gerencia. Análisis de la administración de recursos humanos, la evaluación de riesgos, la administración de proyectos, la administración de calidad y las prácticas de instalación y acreditación de sistemas y de administración de cambios. Análisis de: la definición de los niveles de servicio, la administración de los servicios prestados por terceros, la administración de la capacidad y el desempeño, los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas, la imputación de costos, la educación y capacitación de los usuarios, la asistencia a los clientes de la Tecnología de la Información, la administración de la configuración de hardware y software, la administración de problemas e incidentes, la administración de datos, de instalaciones y de operaciones. Análisis del monitoreo de los procesos, la idoneidad del control interno y la existencia de auditoría interna La tarea abarcó la auditoría del estado de utilización de la Tecnología Informática en la Sede Central de la Administración Federal de Ingresos Públicos, en base a la información obtenida de las siguientes fuentes: Entrevistas realizadas con las principales autoridades de la Administración. Cuestionario para la determinación de las necesidades de análisis detallado. Cuestionarios para el análisis detallado de los temas que lo requerían. Manuales de Documentación de los Sistemas. Inspecciones directas efectuadas en el área de Sistemas de AFIP Limitaciones: No formó parte de la presente auditoría la evaluación del uso de la Tecnología Informática en las delegaciones del interior del país, ni en otras dependencias 2

3 que no fuesen las instalaciones centrales. Las tareas de campo abarcaron desde mayo 2012 hasta diciembre Metodología: La auditoría incluyó dos etapas: la primera de planificación del análisis detallado y la segunda de verificación del cumplimiento de lo informado en la primera etapa. La etapa de planificación incluyó las siguientes actividades: Análisis del marco legal e institucional del funcionamiento de la Administración. Análisis de los informes de Auditoría Interna en temas informáticos. Entrevistas con los responsables de la Auditoría Interna y de cada una de las Direcciones de la Administración Federal, en cuanto a la participación y experiencia propia y de su personal en el uso de la Tecnología de la Información. Entrevistas con el responsable del Área Informática de la Administración Federal de Ingresos Públicos. En la etapa de análisis detallado se ejecutó: Análisis de las respuestas a los cuestionarios para determinación de las necesidades de análisis detallado. Determinación de las necesidades de verificación de las respuestas obtenidas. Verificación mediante inspecciones in situ y entrevistas con personal subalterno, realizada por especialistas en diversas ramas de la informática, a través del trabajo directo en el campo. En función de la información relevada y los niveles de riesgo estimados se definieron los trabajos de campo convenientes para realizar las verificaciones necesarias. Este informe es producto de la evaluación de la información recabada en las entrevistas mantenidas y de las observaciones realizadas en el trabajo de campo. Por otra parte se realizó un análisis de los riesgos asociados a los Objetivos de Control definidos para cada uno de los procedimientos relevados. Se han encontrado observaciones que se detallan por separado. 3

4 3. Aclaraciones previas Por Dto. 1156/96, conforme art. 1º, se fusionó la Administración Nacional de Aduanas y la Dirección General Impositiva, constituyendo la Administración Federal de Ingresos Públicos, entendiendo que la citada Administración funcionará como ente autárquico en el ámbito del entonces Ministerio de Economía y Obras y Servicios Públicos, asumiendo las competencias, facultades, derechos y obligaciones de las entidades que se fusionan por ese acto. La DGRSS (Dirección General de los Recursos de la Seguridad Social) integra también la Administración Federal de Ingresos Públicos, encargándose de la recaudación y fiscalización de los fondos que financian las prestaciones de la Seguridad Social en la República Argentina. La Dirección General Impositiva (DGI) tiene a su cargo la aplicación, percepción, recaudación y fiscalización de tributos interiores. 4. Comentarios y observaciones Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por las normas COBIT (Control OBjectives in Information Technologies) versión 4. Los Objetivos de Control describen los resultados que debe alcanzar un organismo implantando procedimientos de control, basados en las mejores prácticas aplicables, a los procesos de TI. Para cada uno de los Objetivos se menciona el nivel de madurez que le corresponde, conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. En el punto 6, se encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos. Además, para cada uno de los Objetivos de Control, se indica qué requerimientos de la información (detallados en el Anexo III) son afectados. Se destaca que cada Objetivo de Control va acompañado de su nivel de riesgo genérico (alto, medio o bajo) que le es propio, poniendo en evidencia el impacto provocado por su incumplimiento y sin estar vinculado con la situación del Organismo. Ese nivel genérico es modificado por el índice de madurez correspondiente (dependiente de las observaciones 4

5 realizadas) para establecer el riesgo específico para ese objetivo, en el caso particular. Puede observarse en los gráficos de los Anexos II y IV que un Objetivo de Control que tiene implícito un riesgo genérico alto y fue calificado con un índice de madurez alto, genera un riesgo específico menor que aquel que tenga un riesgo genérico medio o bajo y un índice de madurez bajo Planificar y organizar Definir un plan estratégico para TI Objetivo de control: Se requiere una planeación estratégica de Tecnología de la Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los objetivos estratégicos del Organismo y las prioridades. La función de TI y los participantes del negocio son responsables de garantizar que se materialice el valor óptimo de los proyectos y servicios. El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia de negocio y las prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos, planes y tareas específicas, entendidas y aceptadas tanto por el negocio como por TI. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La planeación estratégica de TI se comparte con la gerencia correspondiente según se necesite. La actualización de los planes de TI ocurre como respuesta a las solicitudes de la dirección. Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global del Organismo. Los riesgos y beneficios al usuario, resultado de decisiones estratégicas importantes, se reconocen de forma intuitiva. 5

6 Observaciones: La normativa vigente (Anexo VI Nota 1) exige la existencia de un Plan de Gestión Anual que deberá cumplir el Administrador Federal de Ingresos Públicos. Indicando además cómo y cuándo se controlará su cumplimiento y las penalidades para el caso en que ello no ocurra. Para el período analizado por esta auditoría, no existía un Plan Estratégico de TI formalizado, alineado con el Plan Estratégico del Organismo aunque existen iniciativas, relacionadas con la infraestructura, incluidas en este último. Al cierre de los trabajos de campo está en etapa de revisión y aprobación final el Plan Estratégico de TI del presente año Definir la arquitectura de información Objetivo de control: La función de los sistemas de información debe crear y actualizar de forma regular un modelo de información y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos del Organismo, el esquema de clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura, y permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del Organismo. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones y de las entidades. Este objetivo de control afecta, primariamente: la eficiencia la integridad y en forma secundaria: la efectividad la confidencialidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un proceso de arquitectura de información y procedimientos similares, aunque intuitivos e informales, que se siguen por distintos 6

7 individuos dentro de la organización. Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. Los requerimientos tácticos impulsan el desarrollo de los componentes de la arquitectura de la información por parte de los individuos. Observaciones: No existe un diccionario de datos de la organización ni un procedimiento formalizado que obligue a la progresiva constitución del mismo. Tampoco existe un modelo de datos del Organismo. Queda a criterio de cada sector del Organismo la administración de la información, por lo cual se es proclive a generar redundancia de datos. No existe un esquema de clasificación de datos basado en la criticidad y sensibilidad la información. Se está trabajando en la homogeneización de los múltiples entornos de trabajo, producto de la fusión de los distintos organismos originales en la actual AFIP. Existen algunas iniciativas como el Padrón Único de Contribuyentes (PUC), el Sistema Único de Parámetros de AFIP (SUPA), el Repositorio Único de Declaraciones Juradas (RUCD) o Repositorio de Documentos Internos (RUCDI) que tienen un uso común para todas las aplicaciones del Organismo Determinar la dirección tecnológica Objetivo de control: La función de servicios de información debe determinar la dirección tecnológica para dar soporte a los objetivos de la organización. Esto requiere de la creación de un plan de infraestructura tecnológica y de un consejo de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar de forma regular y debe abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias. Esto permite mejorar los tiempos de reacción manteniendo entornos competitivos, mejorar la economía de escala en los sistemas de información utilizados por el personal o para la toma de decisiones, como también en interoperabilidad entre las plataformas y las aplicaciones. Este objetivo de control afecta, primariamente: la efectividad 7

8 la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Definido. La gerencia está consciente de la importancia del plan de infraestructura tecnológica. El proceso para su planificación es sólido. Existe un plan de definido, documentado y bien difundido, aunque se aplica de forma inconsistente. La orientación de la infraestructura tecnológica incluye el entendimiento con la alineación de la estrategia del Organismo. Los proveedores clave se seleccionan en base a su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la dirección tecnológica del Organismo. Observaciones: La Dirección de Infraestructura Tecnológica actualiza anualmente el Plan de Infraestructura y ha desarrollado un sistema que permite el seguimiento de proyectos, facilita la ejecución de los procesos y la realización de controles con el propósito de optimizar la gestión del área. Sin embargo, la ausencia de planes estratégicos a nivel de la Subdirección General de Sistemas y Telecomunicaciones, para el período auditado, no permite establecer la dirección tecnológica. Se siguen procesos intuitivos y reactivos basados en un trabajo sobre tendencias del mercado y posibles necesidades futuras, tanto para establecer el mantenimiento de la infraestructura como su crecimiento. Las áreas de desarrollo de sistemas están poco involucradas en la definición de la dirección tecnológica Definir los procesos, organización y relaciones de TI Objetivo de control: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. La organización estará inserta en un marco de trabajo de procesos de TI que asegura la transparencia y el control, así como el involucramiento de los altos ejecutivos de nivel decisorio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno o más comités administrativos, en los cuales participan tanto los sectores operativos como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del Organismo. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el 8

9 aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte oportuno de los requerimientos, TI se debe involucrar en los procesos importantes de decisión. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Definido. Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. Existe una definición formal de las relaciones con los usuarios y con terceros. La división de roles y responsabilidades está definida e implantada. Observaciones: Existe normativa que aprueba la estructura, define responsabilidades y roles para cada perfil hasta el nivel de división. (Anexo VI Nota 2) Falta segregación de funciones a los niveles inferiores, lo que provoca que las definiciones para el personal subalterno sean difusas y poco precisas. Se depende de individuos clave para responsabilidades específicas. Existe una matriz de perfiles de puestos, agrupados por cada especialización, con las competencias técnicas requeridas para cubrirlo. Algunas áreas como las relativas a la administración de riesgos y aseguramiento de la calidad no se encuentran contempladas en el organigrama. La política utilizada para la incorporación de personal provoca que en algunas áreas exista dependencia crítica de individuos clave por falta de agentes especializados. Esto también 9

10 limita el intercambio de conocimientos, el planeamiento de la sucesión y la posibilidad de respaldarse o reemplazarse mutuamente. A esto se agrega que existe personal contratado realizando tareas relevantes. La ubicación del Departamento de Seguridad Informática dependiendo de la Dirección de Infraestructura no es la ideal, ya que debería encontrarse en un nivel superior Administrar la inversión en TI Objetivo de control: Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios y prioridades dentro del presupuesto. Trabajar con los interesados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materialización de los beneficios y el retorno sobre las inversiones en TI. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y presupuesto se da a conocer a los interesados. El cumplimiento depende de la iniciativa de individuos dentro de la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de TI. Se toman decisiones presupuestales reactivas y tácticas. Observaciones: Existe normativa (Anexo VI Nota 3) que establece el marco general del sistema presupuestario. Un área coordinadora elabora, con participación de las Áreas 10

11 Responsables, un anteproyecto de Plan de Gestión que contendrá las principales líneas de acción y actividades previstas para el año siguiente sobre la base de los lineamientos del Plan Estratégico de AFIP. Además, la SDG SIT quedó comprendida por el Régimen Económico Financiero vigente para las Direcciones Regionales Impositivas y Aduaneras, quedando en manos de la Subdirección General de Administración Financiera la determinación de qué contrataciones se efectuarán en forma centralizada. (Anexo VI Nota 4) No se ha establecido formalmente un marco de Administración Financiera de TI para elaborar y administrar un presupuesto que refleje las prioridades establecidas en los programas de inversión, la administración de costos y los beneficios esperados que permita medir la contribución de TI a los objetivos estratégicos del Organismo. Existen iniciativas aisladas en algunas direcciones pero no se ha formalizado un procedimiento de trabajo común a toda la SDG SIT. Las áreas de Desarrollo no contemplan en la metodología de ciclo de vida de desarrollo de sistemas, un marco de administración presupuestaria que comprenda cálculos de costos y beneficios esperados de los desarrollos, imputaciones por centro de costos y análisis comparativo entre lo presupuestado y lo efectivamente gastado Comunicar las aspiraciones y la dirección de la gerencia Objetivo de control: La dirección debe elaborar un marco de trabajo de control organizacional para TI, y definir y comunicar las políticas. Un programa de comunicación continua se debe implantar para articular la misión, los objetivos de servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: el cumplimiento Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 11

12 Nivel de Madurez: Repetible. La gerencia tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque las prácticas son, en su mayoría, informales. La gerencia ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboración se delega a la discreción de gerentes y áreas individuales. La calidad se reconoce como una filosofía deseable a seguir, pero las prácticas se dejan a discreción de los gerentes. El entrenamiento se realiza de forma individual, según se lo requiera. Observaciones: La Administración Federal de Ingresos Públicos, como entidad autárquica, se encuentra facultada para reglamentar su funcionamiento interno, dictar nomas reglamentarias e interpretativas de alcance general respecto de terceros y la de fijar las políticas y criterios generales de conducción. Existe normativa vigente (Anexo VI Nota 5) por la cual se regulan los actos de carácter individual y general, normativos o de ejecución, en el ámbito del Organismo, así como también la competencia de los distintos funcionarios, ya sea originaria o delegada en que se fundamenten los actos administrativos. En el caso de la implantación y comunicación de políticas de TI, se implementan y/o regulan a través de Disposiciones y/o Instrucciones Generales (Anexo VI Nota 6). Las mismas se encuentran disponibles para el personal del Organismo en su intranet. Sin embargo, la ausencia de un Plan Estratégico de TI, hace difícil transmitir las políticas de TI generales para la organización, salvo algunas iniciativas aisladas Administrar los recursos humanos de TI Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. Este objetivo de control afecta, primariamente: la efectividad 12

13 la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente definido. Existe un proceso definido y documentado para administrar los recursos humanos de TI. Existe un plan informal de administración de recursos humanos. Existe un enfoque estratégico para la contratación y la administración del personal de TI. El plan de entrenamiento formal está diseñado para satisfacer las necesidades de los recursos humanos de TI. Está establecido un programa de rotación, diseñado para expandir las habilidades gerenciales. Observaciones: Existe normativa que regula la política de ingreso de personal, así como la estructura organizativa de la Administración Federal de Ingresos Públicos hasta el nivel de Subdirección General, inclusive. (Anexo VI Nota 7) También está definido el organigrama de la Subdirección con un detalle de los roles y responsabilidades para cada perfil hasta nivel de división. (Anexo VI Nota 8) En relación a las competencias del personal, existe una matriz de perfiles de puestos, agrupados por cada especialización, con las competencias técnicas requeridas para cubrirlo. (Anexo VI Nota 7) Como resultado de un proceso de integración de distintos organismos (impositivo, aduanero y seguridad social) persisten la convivencia de distintos convenios colectivos de trabajo que generan asimetrías tanto administrativas como funcionales dentro de una misma área de TI que brinda servicios a distintas Direcciones Generales. La política restrictiva de incorporación de personal, provoca que: En algunas áreas existe dependencia crítica de individuos clave por falta de personal especializado. Esto también limita el intercambio de conocimientos, el planeamiento de la sucesión y la posibilidad de respaldarse o disponer una adecuada rotación. Limita el establecimiento de un Plan de Carrera con movilidades ascendentes u horizontales, que permitan a los individuos una perspectiva de desarrollo a largo plazo. Existen concursos a niveles de jefaturas, pero no en los niveles inferiores. 13

14 También existe la posibilidad de ascender de categoría con la obtención de un título universitario. La política de retención del personal está basada en la estabilidad del empleo público y los niveles salariales. Existe un riesgo latente de que si cambian estas condiciones, podría originarse un éxodo de personal altamente especializado a otras organizaciones. Se realizan evaluaciones de desempeño anuales, de cuyo resultado depende un incentivo económico. El procedimiento, que está sistematizado, no contempla una evaluación de los niveles inferiores hacia los niveles superiores. No existen mecanismos de autoevaluación. En relación a la capacitación, el Organismo elabora un Plan de Capacitación en base a una Encuesta de necesidades de capacitación que se incluyen en la confección del Plan de Gestión Anual, no en función del Plan estratégico de la SDG SIT. La capacitación se realiza en forma interna y externa. Se cuenta con una herramienta de capacitación virtual denominada Campus Virtual donde se deja a disposición del personal materiales referidos a distintas temáticas. En relación a la capacitación de usuarios internos de las aplicaciones implantadas, las denominadas Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP, establecen los esquemas de documentación que son elaborados por las divisiones de control de calidad de las áreas de desarrollo, que posteriormente quedan disponibles en la página de la Dirección de Capacitación Administrar la calidad Objetivo de control: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor a los objetivos de la organización, mejora continua y transparencia para los interesados. 14

15 Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de un Sistema de Administración de Calidad (SAC). La administración de la calidad es impulsada por individuos cuando éste ocurre. La dirección realiza juicios informales sobre la calidad. Observaciones: Si bien en el Plan Estratégico del Organismo se plantea la necesidad de establecer lineamientos para desarrollar procesos de calidad, no se evidenció al momento de esta auditoría, la existencia de políticas de calidad, un plan de calidad y/o un sistema de administración de la misma, ni a nivel de la organización ni en la SDG SIT. No está definida en el organigrama el área correspondiente en la SDG SIT para llevarlo a cabo. Hay iniciativas aisladas en las direcciones de Operaciones y de Infraestructura Tecnológica para mantener la continuidad de los servicios a niveles razonables y en las áreas de desarrollo en la fase de homologación de aplicaciones Evaluar y administrar los riesgos de TI Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre las metas del Organismo, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los participantes y se debe expresar en términos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia. Este objetivo de control afecta, primariamente: 15

16 la confidencialidad la integridad la disponibilidad y en forma secundaria: la efectividad la eficiencia el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente repetible. Existe un enfoque de evaluación de riesgos inmaduro y en evolución. La administración de riesgos se da por lo general a altos niveles y se aplica de manera típica sólo a proyectos grandes o como respuesta a problemas. Los procesos de mitigación de riesgos están en implantación donde éstos se identifican. Observaciones: No está definida la función correspondiente en el organigrama. Tampoco se dispone de un marco de trabajo general de administración de riesgos de TI, integrado al gobierno y el marco de control. Existen iniciativas aisladas en algunas direcciones o departamentos que corresponden a las misiones y funciones que se fijaron para ellos. El área de Auditoría Interna cuenta con un marco de administración de riesgos para poder priorizar los procesos a controlar, ya que éste no es provisto por un área específica a tal fin. El Organismo cuenta con una herramienta de Gobierno Corporativo, Administración de Riesgos y Cumplimiento Regulatorio (GRC), pero sólo es utilizada por el área de Auditoría Interna Administrar proyectos Objetivo de control: Establecer un programa y un marco de control administrativo de proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación 16

17 para garantizar la administración de los riesgos del proyecto y la entrega de valor para el Organismo. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento de los interesados y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza su contribución a los programas de inversión en TI. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La alta dirección ha obtenido y comunicado la conciencia de la necesidad de la administración de los proyectos de TI. La organización está en proceso de desarrollar y utilizar algunas técnicas y métodos proyecto por proyecto. Los proyectos de TI han definido objetivos técnicos y de negocio de manera informal. Hay participación limitada de los interesados en la administración de los proyectos de TI. Las directrices iniciales se han elaborado para muchos aspectos de la administración de proyectos. La aplicación a proyectos de las directrices administrativas se deja a discreción de cada responsable de proyecto. Observaciones: No se ha normalizado un proceso de administración de proyectos que se aplique a todas las áreas. Se utilizan distintas herramientas y distintos criterios para el seguimiento de los proyectos, según sea el sector involucrado Adquirir e implementar Identificar soluciones automatizadas Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones minimizar 17

18 el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del Organismo. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente definido. Existen orientaciones claras y estructuradas para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere la consideración de alternativas evaluadas entre otros, contra los requerimientos del proyecto o del usuario, las oportunidades tecnológicas, la factibilidad económica y las evaluaciones de riesgo. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de proyecto original. Se usan enfoques estructurados para definir requerimientos e identificar soluciones de TI. Observaciones: Está definido el proceso de Ciclo de Vida de Desarrollo de Sistemas, alineado a la política de seguridad, aprobada por normativa vigente. (Anexo VI Nota 9) Se establecen además procedimientos de interacción entre las áreas denominadas Definidoras y las áreas de desarrollo de aplicaciones de la SDG SIT, cuya documentación se encuentra formalizada en una serie de documentos entregables que incluyen desde la definición del requerimiento de las necesidades funcionales, determinación de los responsables tanto del área usuaria como del área informática, la asignación de recursos y el cronograma estimado de trabajo. Sin embargo, el procedimiento adolece de fuertes exclusiones, tales como: a) La atención de requerimientos de mantenimiento de sistemas del tipo correctivo originados debido a desvíos y/o errores en la programación. b) Los desarrollos realizados para satisfacer requerimientos puntuales de información. c) Los subcontratos o acuerdos de tercerización de software. 18

19 d) Los desarrollos realizados en carácter de pruebas de concepto como parte de tareas de investigación. Asimismo, la Subdirección General de Sistemas y Telecomunicaciones pueda autorizar la no utilización de estas pautas para determinados casos. Dada la ausencia de procedimientos para el tratamiento de situaciones de emergencia, en estos casos se utilizan las excepciones antes mencionadas, y no contempla un procedimiento de revisión de pistas de auditoría sobre las acciones tomadas. Por otra parte, el procedimiento carece, en su etapa de evaluación preliminar, de consideraciones relativas al análisis de factibilidad, análisis de riesgos y criterios formalizados para la administración de prioridades, estimación de costos y beneficios esperados que permitan la evaluación de cursos de acción alternativos, como la tercerización del desarrollo. Además, permite que la adopción de los documentos entregables sea a criterio de cada división de desarrollo, mientras cumpla con los contenidos mínimos requeridos para cada fase (definición, diseño, construcción e implementación) lo que genera que éstas hayan adoptado un conjunto distinto de documentos. (Anexo VI Nota 10) En relación al entregable REQ (Requerimiento de Sistemas) no todas las áreas definidoras formalizan su confección, por lo cual esta tarea suele ser hecha por las áreas de desarrollo. Al momento de esta auditoría se encuentra en elaboración una Instrucción General que establecerá una nueva metodología de ciclo de vida de desarrollo de sistemas, que reemplazará a la actual y que toma en consideración algunos aspectos aquí observados Adquirir o desarrollar y mantener software aplicativo Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares elegidos. Esto permite al Organismo apoyar la operatividad de forma apropiada con las aplicaciones correctamente automatizadas. Este objetivo de control afecta, primariamente: 19

20 la efectividad la eficiencia y en forma secundaria: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente definido. Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y de la organización. Se intenta aplicar los procesos de manera consistente a través de diferentes aplicaciones y proyectos. Las metodologías son, por lo general, inflexibles y difíciles de aplicar en todos los casos, por lo que es muy probable que se salten pasos. Las actividades de mantenimiento se planean, programan y coordinan. Observaciones: La Subdirección General de Informática y Telecomunicaciones implementó las Pautas para el desarrollo y mantenimiento de Sistemas Informáticos en la AFIP (Anexo VI Nota 9) donde se define el proceso de Ciclo de Vida de Desarrollo de Sistemas (CVDS). Las Pautas, están alineadas a la política de seguridad, aprobada mediante Pautas y consideraciones de seguridad a tener en cuenta en el Ciclo de Vida del Desarrollo y Mantenimiento de Sistemas en relación con la Seguridad de la Información. La misma contempla documentación, aprobaciones y escalamiento en las etapas relevantes tales como el diseño de alto nivel, el diseño detallado, fase de construcción, pruebas, implementación y el pase a producción de aplicaciones. Las misiones y funciones de las divisiones de Control de Calidad de las áreas de desarrollo contemplan la etapa de aseguramiento de la calidad del software enfocada a las pruebas y a la calidad de la documentación. Falta incluir en la metodología de CVDS un análisis de la calidad del desarrollo del software (Anexo VI Nota 11) aunque existen algunas iniciativas para los desarrollos de servicios web. 20

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Este dominio consta de 7 procesos que se describen a continuación.

Este dominio consta de 7 procesos que se describen a continuación. Dominio: Adquirir e Implementar. Este dominio consta de 7 procesos que se describen a continuación. AI1 Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de análisis

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS Mónica Beatriz Rela Responsable de la Unidad Auditoría de Sistemas Banco de la Nación Argentina mrela@bna.com.ar Representante por

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega Contenido 1. Presentación de la empresa 2. Objetivo de la auditoria Verificación de Control sobre el proceso de TI Definición de la organización y de las relaciones de TI que satisface los requerimientos

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010. Principio Básico de Seguros IAIS No. 10 Control Interno Experiencia Peruana Tomás Wong-Kit Superintendencia de Banca, Seguros y AFP Abril 2010 Contenido Definición de PBS IAIS No. 10 Objetivos exposición

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO Lima, Noviembre de 2014 CONSTITUCIÓN POLÍTICA DEL ESTADO Artículo

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO I. INTRODUCCIÓN El propósito del presente documento es resumir algunos conceptos básicos sobre el tema de los planes informáticos formales que las organizaciones

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

MODELO ESTANDAR DE CONTROL INTERNO - MECI

MODELO ESTANDAR DE CONTROL INTERNO - MECI 1 de 14 25/11/2015 06:02 a.m. MODELO ESTANDAR DE CONTROL INTERNO - MECI A. ENTORNO DE CONTROL A1 La entidad: Pregunta a. ha organizado el equipo MECI. b. Ha identificado sus funciones acorde con la normatividad

Más detalles

Central de Inversiones S.A. CISA

Central de Inversiones S.A. CISA VERIFICACIÓN DEL CUMPLIMIENTO DE LA LEY DE TRANSPARENCIA Y DEL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA NACIONAL Mayo 22 de 2015 Central de Inversiones S.A. CISA OBJETIVO Verificar el cumplimiento de

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

Procedimiento para la Evaluación de Competencias y Capacitación

Procedimiento para la Evaluación de Competencias y Capacitación Procedimiento para la Evaluación de Competencias y Capacitación Objetivo: Establecer los lineamientos para evaluar las competencias, diagnosticar las necesidades de capacitación y formular el Plan de Capacitación

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES

ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PLANEAR Y ORGANIZAR ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PROCESOS PO1 Definir un Plan Estratégico de TI P S * * * * P Facilitador primario Definir un plan estrtágico para TI S Facilitador secundario

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ Tabla de contenido 1 INTRODUCCIÓN... 3 2 ALCANCE... 3 3 OBJETIVO GENERAL... 4 3.1 OBJETIVOS ESPECÍFICOS... 4 4 REQUISITOS PARA LA IMPLEMENTACIÓN DEL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 4.1 REQUISITOS NORMATIVOS...

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL EXPOSITOR: C.P. JOSÉ LUIS MUNGUÍA HERNÁNDEZ MUNGUÍA RAMÍREZ Y ASOCIADOS, S. C. mura_sc@prodigy.net.mx teléfonos:

Más detalles

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Consejo Superior Universitario Acuerdo 046 de 2009 página 2 CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional

Más detalles

Definición de PMO Características de una PMO

Definición de PMO Características de una PMO Definición de PMO Existen varios conceptos de una oficina de proyectos (PMO) una de ella la define como una unidad organizacional, física o virtual, especialmente diseñada para dirigir y controlar el desarrollo

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN.

REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN. REGLAMENTO INTERNO PARA LA ORGANIZACIÓN, OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DEL CONSEJO NACIONAL DE PRODUCCIÓN Generalidades CAPÍTULO I Del Objeto y Ámbito de Aplicación Artículo

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

[Guía de auditoría AudiLacteos]

[Guía de auditoría AudiLacteos] [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar: COMITÉ DE AUDITORÍA ESTATUTO DEL COMITÉ DE AUDITORÍA 1. Marco referencia. La aplicación de cualquier otro tema no incluido en el presente Estatuto, se realizará con sujeción al Marco Internacional para

Más detalles

MUNICIPALIDAD DE SAN JOSÉ REGLAMENTO INTERNO PARA LA OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DE LA MUNICIPALIDAD DE SAN JOSÉ

MUNICIPALIDAD DE SAN JOSÉ REGLAMENTO INTERNO PARA LA OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DE LA MUNICIPALIDAD DE SAN JOSÉ MUNICIPALIDAD DE SAN JOSÉ REGLAMENTO INTERNO PARA LA OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DE LA MUNICIPALIDAD DE SAN JOSÉ APROBADO POR: CONCEJO MUNICIPAL DEL MUNICIPALIDAD DE SAN JOSÉ.

Más detalles

DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin

DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin AUDITORÍA GENERAL DE LA NACIÓN GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES C.P.N. Gerardo Prataviera DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin Objeto de Auditoría: Análisis de la

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL

COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PO PLANEACION Y ORGANIZACION PO4 Definición de la Organización y las Relaciones de la Tecnología de la Información Control sobre el proceso de TI de: Definición

Más detalles

Curso. Introducción a la Administracion de Proyectos

Curso. Introducción a la Administracion de Proyectos Curso Introducción a la Administracion de Proyectos Tema 5 Procesos del área de Integración INICIAR PLANEAR EJECUTAR CONTROL CERRAR Desarrollar el Acta de Proyecto Desarrollar el Plan de Proyecto Dirigir

Más detalles

PROCESOS Y PROCEDIMIENTO METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC S.A.

PROCESOS Y PROCEDIMIENTO METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC S.A. 214 CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC SA Área de Organización y Métodos CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN

Más detalles

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa.

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa. UNIDAD 1: GESTION DE SISTEMAS Y TECNOLOGÍA DE INFORMACIÓN 1. Gobierno de TI: Alineamiento estratégico. Entrega de Valor. Administración de riesgos. Administración de Recursos. de desempeño. Aseguramiento

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015 MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II VERSION: 5 CODIGO: GH-MN- FUN.REQ.COMP GESTION HUMANA FECHA: 11/May/2015 APROBADO MEDIANTE RESOLUCION

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Superintendencia de Pensiones Junio de 2010 Índice de Contenidos LA SUPERINTENDENCIA

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.

Estándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados. GUÍA 43 Diagnóstico Comunicación Institucional Descripción La comunicación Institucional se da al interior de la entidad y se orienta al cumplimiento de los principios de economía, eficiencia y eficacia,

Más detalles

AUDITORÍA INTERNA INFORME Nº 02-10 Gestión de Compras Dirección de Informática de Gestión

AUDITORÍA INTERNA INFORME Nº 02-10 Gestión de Compras Dirección de Informática de Gestión AUDITORÍA INTERNA INFORME Nº 02-10 Gestión de Compras Dirección de Informática de Gestión 1. INTRODUCCIÓN 1.1 Origen El presente estudio se realizó en concordancia con lo definido en el Plan de Trabajo

Más detalles

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) EVALUACION FINAL Grupal Entre las semanas 17 y 18 se sarrolla la evaluación final que con base en el (trabajo realizado, resultados obtenidos y bilidas intificadas en la auditoría) dar recomendación y

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Etapa de Implementación de la Ejecución del Plan

Etapa de Implementación de la Ejecución del Plan MINISTERIO DE OBRAS PÚBLICAS Gestión y Monitoreo de Planes de Obras Públicas Etapa de Implementación de la Ejecución del Plan Dirección de Planeamiento SUBDIRECCION DE PLANIFICACION ESTRATEGICA Noviembre

Más detalles

1. Planificación en DGI: Antecedentes

1. Planificación en DGI: Antecedentes PLANIFICACIÓN, EVALUACIÓN Y CONTROL DE GESTIÓN EN DGI 1. Planificación en DGI: Antecedentes 2. Instrumentos de planificación 3. Evaluación y control de gestión 4. Tablero de Indicadores y Reportes 5. Arquitectura

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD PROYECTO DE NORMA MEXICANA PROY-NMX-R-051-SCFI-2006 AGENCIAS DE PUBLICIDAD SERVICIOS - REQUISITOS 0 INTRODUCCIÓN El mundo actual de los negocios en

Más detalles

Calidad. Calidad en procesos y productos

Calidad. Calidad en procesos y productos Calidad Calidad en procesos y productos La calidad es el conjunto de características de un elemento, producto o servicio, que le confieren la aptitud de satisfacer una necesidad implícita y explícita.

Más detalles

DECLARACIÓN DE POSICIÓN DEL IIA SOBRE

DECLARACIÓN DE POSICIÓN DEL IIA SOBRE DECLARACIÓN DE POSICIÓN DEL IIA SOBRE ALTERNATIVAS DE OBTENCIÓN DE RECURSOS PARA LA FUNCIÓN DE AUDITORÍA INTERNA (Consideraciones a tener en cuenta al evaluar las alternativas de outsourcing) Página 1

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

Encuesta de Control Interno

Encuesta de Control Interno Encuesta de Control Interno MUNICIPIO: APULO ENTIDAD: ALCALDIA MUNICIPAL NOMBRE DEL RESPONSIBLE O JEFE DE CONTROL INTERNO: ISAIAS GONZALEZ.V. FIRMA: FECHA: 1 En la identificación de los valores existe

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R-839-2009

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R-839-2009 1 RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R-839-2009 Lineamientos Generales para la aplicación del Reglamento sobre la Gestión de la Tecnología de Información, Acuerdo SUGEF 14-09 A. FORMULARIOS DEL PERFIL

Más detalles

Boletín de Asesoría Gerencial* Gestión de la demanda de Tecnología de Información: Una planificación efectiva a los requerimientos del negocio

Boletín de Asesoría Gerencial* Gestión de la demanda de Tecnología de Información: Una planificación efectiva a los requerimientos del negocio Espiñeira, Sheldon y Asociados * No. 10-2009 *connectedthinking Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4Introducción

Más detalles

REFORMAS E INCORPORACIONES AL DECRETO 20-2003. DECRETO No. 1-2005. Aprobado el 03 de Enero del 2005.

REFORMAS E INCORPORACIONES AL DECRETO 20-2003. DECRETO No. 1-2005. Aprobado el 03 de Enero del 2005. REFORMAS E INCORPORACIONES AL DECRETO 20-2003 DECRETO No. 1-2005. Aprobado el 03 de Enero del 2005. Publicado en La Gaceta No. 6 del 10 de Enero del 2005. EL PRESIDENTE DE LA REPÚBLICA DE NICARAGUA En

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE RIESGOS Aprobado por Resolución de Gerencia General N 30-2013-FMV/GG del 04.06.2013 ÍNDICE 1. ESTRUCTURA DE CARGOS 1.1 Estructura de Cargos 1.2 Organigrama

Más detalles

NORMAS DE GESTIÓN DE RIESGOS DE CRÉDITO E INVERSIONES CAPÍTULO I CONSIDERACIONES GENERALES

NORMAS DE GESTIÓN DE RIESGOS DE CRÉDITO E INVERSIONES CAPÍTULO I CONSIDERACIONES GENERALES NORMAS DE GESTIÓN DE RIESGOS DE CRÉDITO E INVERSIONES CAPÍTULO I CONSIDERACIONES GENERALES ARTÍCULO 1.- OBJETIVO Y CRITERIOS El objetivo de las presentes normas es establecer los principios, criterios

Más detalles

PROCEDIMIENTO AUDITORÍAS INTERNAS

PROCEDIMIENTO AUDITORÍAS INTERNAS P-08-01 Marzo 2009 05 1 de 16 1. OBJETIVO Definir los lineamientos de planeación, documentación, ejecución y seguimiento de las Auditorías Internas de Calidad para determinar que el Sistema de Gestión

Más detalles