INFORME DE AUDITORÍA. Al Dr. Ricardo Daniel Echegaray Administrador Federal de Ingresos Públicos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INFORME DE AUDITORÍA. Al Dr. Ricardo Daniel Echegaray Administrador Federal de Ingresos Públicos"

Transcripción

1 INFORME DE AUDITORÍA Al Dr. Ricardo Daniel Echegaray Administrador Federal de Ingresos Públicos En uso de las facultades conferidas por el artículo 118 de la Ley , la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de Economía y Finanzas, con el objeto que se detalla en el apartado Objeto de la auditoría Evaluación de la Tecnología Informática de la Dirección General Impositiva en la Administración Federal de Ingresos Públicos, organismo autárquico en la órbita del Ministerio de Economía, con el objeto de determinar debilidades y fortalezas de la gestión informática. Período auditado: año Alcance del examen 2.1. El equipo de auditoría en la etapa de planificación identificó los temas de mayor exposición al riesgo y comprendió los siguientes ítems: Relevamiento de la documentación normativa del área de tecnología informática del Organismo. Relevamiento de la infraestructura informática del Organismo. Relevamiento de los sistemas existentes en producción y desarrollo. Verificación de la existencia de la documentación recomendada por la Secretaría de la Gestión Pública (SGP) y los estándares internacionales. Verificación de la adecuación de los sistemas, de la infraestructura existentes y de la planificación a la misión y metas del Organismo y a las leyes y decretos que regulan su actividad. Verificación del modelo de arquitectura de la información y su seguridad. Relevamiento y Análisis del organigrama del área de tecnología informática y su 1

2 funcionamiento. Relevamiento y Análisis del presupuesto operativo anual del área. Verificación del cumplimiento de la comunicación de los objetivos y las directivas de la Gerencia. Análisis de la administración de recursos humanos, la evaluación de riesgos, la administración de proyectos, la administración de calidad y las prácticas de instalación y acreditación de sistemas y de administración de cambios. Análisis de: la definición de los niveles de servicio, la administración de los servicios prestados por terceros, la administración de la capacidad y el desempeño, los mecanismos que garantizan el servicio continuo y la seguridad de los sistemas, la imputación de costos, la educación y capacitación de los usuarios, la asistencia a los clientes de la Tecnología de la Información, la administración de la configuración de hardware y software, la administración de problemas e incidentes, la administración de datos, de instalaciones y de operaciones. Análisis del monitoreo de los procesos, la idoneidad del control interno y la existencia de auditoría interna La tarea abarcó la auditoría del estado de utilización de la Tecnología Informática en la Sede Central de la Administración Federal de Ingresos Públicos, en base a la información obtenida de las siguientes fuentes: Entrevistas realizadas con las principales autoridades de la Administración. Cuestionario para la determinación de las necesidades de análisis detallado. Cuestionarios para el análisis detallado de los temas que lo requerían. Manuales de Documentación de los Sistemas. Inspecciones directas efectuadas en el área de Sistemas de AFIP Limitaciones: No formó parte de la presente auditoría la evaluación del uso de la Tecnología Informática en las delegaciones del interior del país, ni en otras dependencias 2

3 que no fuesen las instalaciones centrales. Las tareas de campo abarcaron desde mayo 2012 hasta diciembre Metodología: La auditoría incluyó dos etapas: la primera de planificación del análisis detallado y la segunda de verificación del cumplimiento de lo informado en la primera etapa. La etapa de planificación incluyó las siguientes actividades: Análisis del marco legal e institucional del funcionamiento de la Administración. Análisis de los informes de Auditoría Interna en temas informáticos. Entrevistas con los responsables de la Auditoría Interna y de cada una de las Direcciones de la Administración Federal, en cuanto a la participación y experiencia propia y de su personal en el uso de la Tecnología de la Información. Entrevistas con el responsable del Área Informática de la Administración Federal de Ingresos Públicos. En la etapa de análisis detallado se ejecutó: Análisis de las respuestas a los cuestionarios para determinación de las necesidades de análisis detallado. Determinación de las necesidades de verificación de las respuestas obtenidas. Verificación mediante inspecciones in situ y entrevistas con personal subalterno, realizada por especialistas en diversas ramas de la informática, a través del trabajo directo en el campo. En función de la información relevada y los niveles de riesgo estimados se definieron los trabajos de campo convenientes para realizar las verificaciones necesarias. Este informe es producto de la evaluación de la información recabada en las entrevistas mantenidas y de las observaciones realizadas en el trabajo de campo. Por otra parte se realizó un análisis de los riesgos asociados a los Objetivos de Control definidos para cada uno de los procedimientos relevados. Se han encontrado observaciones que se detallan por separado. 3

4 3. Aclaraciones previas Por Dto. 1156/96, conforme art. 1º, se fusionó la Administración Nacional de Aduanas y la Dirección General Impositiva, constituyendo la Administración Federal de Ingresos Públicos, entendiendo que la citada Administración funcionará como ente autárquico en el ámbito del entonces Ministerio de Economía y Obras y Servicios Públicos, asumiendo las competencias, facultades, derechos y obligaciones de las entidades que se fusionan por ese acto. La DGRSS (Dirección General de los Recursos de la Seguridad Social) integra también la Administración Federal de Ingresos Públicos, encargándose de la recaudación y fiscalización de los fondos que financian las prestaciones de la Seguridad Social en la República Argentina. La Dirección General Impositiva (DGI) tiene a su cargo la aplicación, percepción, recaudación y fiscalización de tributos interiores. 4. Comentarios y observaciones Basamos nuestra tarea en la verificación de los Objetivos de Control establecidos por las normas COBIT (Control OBjectives in Information Technologies) versión 4. Los Objetivos de Control describen los resultados que debe alcanzar un organismo implantando procedimientos de control, basados en las mejores prácticas aplicables, a los procesos de TI. Para cada uno de los Objetivos se menciona el nivel de madurez que le corresponde, conforme al Modelo de Madurez de la Capacidad incluido en el Anexo I. En el punto 6, se encuentran las Recomendaciones para mejorar el ambiente de control y reducir los riesgos. Además, para cada uno de los Objetivos de Control, se indica qué requerimientos de la información (detallados en el Anexo III) son afectados. Se destaca que cada Objetivo de Control va acompañado de su nivel de riesgo genérico (alto, medio o bajo) que le es propio, poniendo en evidencia el impacto provocado por su incumplimiento y sin estar vinculado con la situación del Organismo. Ese nivel genérico es modificado por el índice de madurez correspondiente (dependiente de las observaciones 4

5 realizadas) para establecer el riesgo específico para ese objetivo, en el caso particular. Puede observarse en los gráficos de los Anexos II y IV que un Objetivo de Control que tiene implícito un riesgo genérico alto y fue calificado con un índice de madurez alto, genera un riesgo específico menor que aquel que tenga un riesgo genérico medio o bajo y un índice de madurez bajo Planificar y organizar Definir un plan estratégico para TI Objetivo de control: Se requiere una planeación estratégica de Tecnología de la Información (TI) para administrar y dirigir todos los recursos de TI de acuerdo con los objetivos estratégicos del Organismo y las prioridades. La función de TI y los participantes del negocio son responsables de garantizar que se materialice el valor óptimo de los proyectos y servicios. El plan estratégico debe mejorar el entendimiento de los interesados clave respecto a las oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión requerido. La estrategia de negocio y las prioridades se deben reflejar en los proyectos de inversión y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos, planes y tareas específicas, entendidas y aceptadas tanto por el negocio como por TI. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La planeación estratégica de TI se comparte con la gerencia correspondiente según se necesite. La actualización de los planes de TI ocurre como respuesta a las solicitudes de la dirección. Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global del Organismo. Los riesgos y beneficios al usuario, resultado de decisiones estratégicas importantes, se reconocen de forma intuitiva. 5

6 Observaciones: La normativa vigente (Anexo VI Nota 1) exige la existencia de un Plan de Gestión Anual que deberá cumplir el Administrador Federal de Ingresos Públicos. Indicando además cómo y cuándo se controlará su cumplimiento y las penalidades para el caso en que ello no ocurra. Para el período analizado por esta auditoría, no existía un Plan Estratégico de TI formalizado, alineado con el Plan Estratégico del Organismo aunque existen iniciativas, relacionadas con la infraestructura, incluidas en este último. Al cierre de los trabajos de campo está en etapa de revisión y aprobación final el Plan Estratégico de TI del presente año Definir la arquitectura de información Objetivo de control: La función de los sistemas de información debe crear y actualizar de forma regular un modelo de información y definir los sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos que contiene las reglas de sintaxis de los datos del Organismo, el esquema de clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura, y permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del Organismo. Este proceso de TI también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y control de la información compartida a lo largo de las aplicaciones y de las entidades. Este objetivo de control afecta, primariamente: la eficiencia la integridad y en forma secundaria: la efectividad la confidencialidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un proceso de arquitectura de información y procedimientos similares, aunque intuitivos e informales, que se siguen por distintos 6

7 individuos dentro de la organización. Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. Los requerimientos tácticos impulsan el desarrollo de los componentes de la arquitectura de la información por parte de los individuos. Observaciones: No existe un diccionario de datos de la organización ni un procedimiento formalizado que obligue a la progresiva constitución del mismo. Tampoco existe un modelo de datos del Organismo. Queda a criterio de cada sector del Organismo la administración de la información, por lo cual se es proclive a generar redundancia de datos. No existe un esquema de clasificación de datos basado en la criticidad y sensibilidad la información. Se está trabajando en la homogeneización de los múltiples entornos de trabajo, producto de la fusión de los distintos organismos originales en la actual AFIP. Existen algunas iniciativas como el Padrón Único de Contribuyentes (PUC), el Sistema Único de Parámetros de AFIP (SUPA), el Repositorio Único de Declaraciones Juradas (RUCD) o Repositorio de Documentos Internos (RUCDI) que tienen un uso común para todas las aplicaciones del Organismo Determinar la dirección tecnológica Objetivo de control: La función de servicios de información debe determinar la dirección tecnológica para dar soporte a los objetivos de la organización. Esto requiere de la creación de un plan de infraestructura tecnológica y de un consejo de arquitectura que establezca y administre expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. El plan se debe actualizar de forma regular y debe abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición, estándares, estrategias de migración y contingencias. Esto permite mejorar los tiempos de reacción manteniendo entornos competitivos, mejorar la economía de escala en los sistemas de información utilizados por el personal o para la toma de decisiones, como también en interoperabilidad entre las plataformas y las aplicaciones. Este objetivo de control afecta, primariamente: la efectividad 7

8 la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Definido. La gerencia está consciente de la importancia del plan de infraestructura tecnológica. El proceso para su planificación es sólido. Existe un plan de definido, documentado y bien difundido, aunque se aplica de forma inconsistente. La orientación de la infraestructura tecnológica incluye el entendimiento con la alineación de la estrategia del Organismo. Los proveedores clave se seleccionan en base a su entendimiento de la tecnología a largo plazo y de los planes de desarrollo de productos, de forma consistente con la dirección tecnológica del Organismo. Observaciones: La Dirección de Infraestructura Tecnológica actualiza anualmente el Plan de Infraestructura y ha desarrollado un sistema que permite el seguimiento de proyectos, facilita la ejecución de los procesos y la realización de controles con el propósito de optimizar la gestión del área. Sin embargo, la ausencia de planes estratégicos a nivel de la Subdirección General de Sistemas y Telecomunicaciones, para el período auditado, no permite establecer la dirección tecnológica. Se siguen procesos intuitivos y reactivos basados en un trabajo sobre tendencias del mercado y posibles necesidades futuras, tanto para establecer el mantenimiento de la infraestructura como su crecimiento. Las áreas de desarrollo de sistemas están poco involucradas en la definición de la dirección tecnológica Definir los procesos, organización y relaciones de TI Objetivo de control: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. La organización estará inserta en un marco de trabajo de procesos de TI que asegura la transparencia y el control, así como el involucramiento de los altos ejecutivos de nivel decisorio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre TI, y uno o más comités administrativos, en los cuales participan tanto los sectores operativos como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del Organismo. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el 8

9 aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte oportuno de los requerimientos, TI se debe involucrar en los procesos importantes de decisión. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Definido. Existen roles y responsabilidades definidos para la organización de TI y para terceros. La organización de TI se desarrolla, documenta, comunica y se alinea con la estrategia de TI. Se define el ambiente de control interno. Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores. La organización de TI está funcionalmente completa. Existen definiciones de las funciones a ser realizadas por parte del personal de TI y las que deben realizar los usuarios. Los requerimientos esenciales de personal de TI y experiencia están definidos y satisfechos. Existe una definición formal de las relaciones con los usuarios y con terceros. La división de roles y responsabilidades está definida e implantada. Observaciones: Existe normativa que aprueba la estructura, define responsabilidades y roles para cada perfil hasta el nivel de división. (Anexo VI Nota 2) Falta segregación de funciones a los niveles inferiores, lo que provoca que las definiciones para el personal subalterno sean difusas y poco precisas. Se depende de individuos clave para responsabilidades específicas. Existe una matriz de perfiles de puestos, agrupados por cada especialización, con las competencias técnicas requeridas para cubrirlo. Algunas áreas como las relativas a la administración de riesgos y aseguramiento de la calidad no se encuentran contempladas en el organigrama. La política utilizada para la incorporación de personal provoca que en algunas áreas exista dependencia crítica de individuos clave por falta de agentes especializados. Esto también 9

10 limita el intercambio de conocimientos, el planeamiento de la sucesión y la posibilidad de respaldarse o reemplazarse mutuamente. A esto se agrega que existe personal contratado realizando tareas relevantes. La ubicación del Departamento de Seguridad Informática dependiendo de la Dirección de Infraestructura no es la ideal, ya que debería encontrarse en un nivel superior Administrar la inversión en TI Objetivo de control: Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios y prioridades dentro del presupuesto. Trabajar con los interesados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias. El proceso fomenta la sociedad entre TI y los interesados, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo total de la propiedad, la materialización de los beneficios y el retorno sobre las inversiones en TI. Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI. La necesidad de un proceso de selección y presupuesto se da a conocer a los interesados. El cumplimiento depende de la iniciativa de individuos dentro de la organización. Surgen técnicas comunes para desarrollar componentes del presupuesto de TI. Se toman decisiones presupuestales reactivas y tácticas. Observaciones: Existe normativa (Anexo VI Nota 3) que establece el marco general del sistema presupuestario. Un área coordinadora elabora, con participación de las Áreas 10

11 Responsables, un anteproyecto de Plan de Gestión que contendrá las principales líneas de acción y actividades previstas para el año siguiente sobre la base de los lineamientos del Plan Estratégico de AFIP. Además, la SDG SIT quedó comprendida por el Régimen Económico Financiero vigente para las Direcciones Regionales Impositivas y Aduaneras, quedando en manos de la Subdirección General de Administración Financiera la determinación de qué contrataciones se efectuarán en forma centralizada. (Anexo VI Nota 4) No se ha establecido formalmente un marco de Administración Financiera de TI para elaborar y administrar un presupuesto que refleje las prioridades establecidas en los programas de inversión, la administración de costos y los beneficios esperados que permita medir la contribución de TI a los objetivos estratégicos del Organismo. Existen iniciativas aisladas en algunas direcciones pero no se ha formalizado un procedimiento de trabajo común a toda la SDG SIT. Las áreas de Desarrollo no contemplan en la metodología de ciclo de vida de desarrollo de sistemas, un marco de administración presupuestaria que comprenda cálculos de costos y beneficios esperados de los desarrollos, imputaciones por centro de costos y análisis comparativo entre lo presupuestado y lo efectivamente gastado Comunicar las aspiraciones y la dirección de la gerencia Objetivo de control: La dirección debe elaborar un marco de trabajo de control organizacional para TI, y definir y comunicar las políticas. Un programa de comunicación continua se debe implantar para articular la misión, los objetivos de servicio, las políticas y procedimientos aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concientización y el entendimiento de los riesgos. El proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: el cumplimiento Nivel de riesgo: [ ] Alto [X] Medio [ ] Bajo 11

12 Nivel de Madurez: Repetible. La gerencia tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque las prácticas son, en su mayoría, informales. La gerencia ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboración se delega a la discreción de gerentes y áreas individuales. La calidad se reconoce como una filosofía deseable a seguir, pero las prácticas se dejan a discreción de los gerentes. El entrenamiento se realiza de forma individual, según se lo requiera. Observaciones: La Administración Federal de Ingresos Públicos, como entidad autárquica, se encuentra facultada para reglamentar su funcionamiento interno, dictar nomas reglamentarias e interpretativas de alcance general respecto de terceros y la de fijar las políticas y criterios generales de conducción. Existe normativa vigente (Anexo VI Nota 5) por la cual se regulan los actos de carácter individual y general, normativos o de ejecución, en el ámbito del Organismo, así como también la competencia de los distintos funcionarios, ya sea originaria o delegada en que se fundamenten los actos administrativos. En el caso de la implantación y comunicación de políticas de TI, se implementan y/o regulan a través de Disposiciones y/o Instrucciones Generales (Anexo VI Nota 6). Las mismas se encuentran disponibles para el personal del Organismo en su intranet. Sin embargo, la ausencia de un Plan Estratégico de TI, hace difícil transmitir las políticas de TI generales para la organización, salvo algunas iniciativas aisladas Administrar los recursos humanos de TI Objetivo de control: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. Este objetivo de control afecta, primariamente: la efectividad 12

13 la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente definido. Existe un proceso definido y documentado para administrar los recursos humanos de TI. Existe un plan informal de administración de recursos humanos. Existe un enfoque estratégico para la contratación y la administración del personal de TI. El plan de entrenamiento formal está diseñado para satisfacer las necesidades de los recursos humanos de TI. Está establecido un programa de rotación, diseñado para expandir las habilidades gerenciales. Observaciones: Existe normativa que regula la política de ingreso de personal, así como la estructura organizativa de la Administración Federal de Ingresos Públicos hasta el nivel de Subdirección General, inclusive. (Anexo VI Nota 7) También está definido el organigrama de la Subdirección con un detalle de los roles y responsabilidades para cada perfil hasta nivel de división. (Anexo VI Nota 8) En relación a las competencias del personal, existe una matriz de perfiles de puestos, agrupados por cada especialización, con las competencias técnicas requeridas para cubrirlo. (Anexo VI Nota 7) Como resultado de un proceso de integración de distintos organismos (impositivo, aduanero y seguridad social) persisten la convivencia de distintos convenios colectivos de trabajo que generan asimetrías tanto administrativas como funcionales dentro de una misma área de TI que brinda servicios a distintas Direcciones Generales. La política restrictiva de incorporación de personal, provoca que: En algunas áreas existe dependencia crítica de individuos clave por falta de personal especializado. Esto también limita el intercambio de conocimientos, el planeamiento de la sucesión y la posibilidad de respaldarse o disponer una adecuada rotación. Limita el establecimiento de un Plan de Carrera con movilidades ascendentes u horizontales, que permitan a los individuos una perspectiva de desarrollo a largo plazo. Existen concursos a niveles de jefaturas, pero no en los niveles inferiores. 13

14 También existe la posibilidad de ascender de categoría con la obtención de un título universitario. La política de retención del personal está basada en la estabilidad del empleo público y los niveles salariales. Existe un riesgo latente de que si cambian estas condiciones, podría originarse un éxodo de personal altamente especializado a otras organizaciones. Se realizan evaluaciones de desempeño anuales, de cuyo resultado depende un incentivo económico. El procedimiento, que está sistematizado, no contempla una evaluación de los niveles inferiores hacia los niveles superiores. No existen mecanismos de autoevaluación. En relación a la capacitación, el Organismo elabora un Plan de Capacitación en base a una Encuesta de necesidades de capacitación que se incluyen en la confección del Plan de Gestión Anual, no en función del Plan estratégico de la SDG SIT. La capacitación se realiza en forma interna y externa. Se cuenta con una herramienta de capacitación virtual denominada Campus Virtual donde se deja a disposición del personal materiales referidos a distintas temáticas. En relación a la capacitación de usuarios internos de las aplicaciones implantadas, las denominadas Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP, establecen los esquemas de documentación que son elaborados por las divisiones de control de calidad de las áreas de desarrollo, que posteriormente quedan disponibles en la página de la Dirección de Capacitación Administrar la calidad Objetivo de control: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor a los objetivos de la organización, mejora continua y transparencia para los interesados. 14

15 Este objetivo de control afecta, primariamente: la efectividad la eficiencia y en forma secundaria: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Inicial. Existe conciencia por parte de la dirección de la necesidad de un Sistema de Administración de Calidad (SAC). La administración de la calidad es impulsada por individuos cuando éste ocurre. La dirección realiza juicios informales sobre la calidad. Observaciones: Si bien en el Plan Estratégico del Organismo se plantea la necesidad de establecer lineamientos para desarrollar procesos de calidad, no se evidenció al momento de esta auditoría, la existencia de políticas de calidad, un plan de calidad y/o un sistema de administración de la misma, ni a nivel de la organización ni en la SDG SIT. No está definida en el organigrama el área correspondiente en la SDG SIT para llevarlo a cabo. Hay iniciativas aisladas en las direcciones de Operaciones y de Infraestructura Tecnológica para mantener la continuidad de los servicios a niveles razonables y en las áreas de desarrollo en la fase de homologación de aplicaciones Evaluar y administrar los riesgos de TI Objetivo de control: Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre las metas del Organismo, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los participantes y se debe expresar en términos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia. Este objetivo de control afecta, primariamente: 15

16 la confidencialidad la integridad la disponibilidad y en forma secundaria: la efectividad la eficiencia el cumplimiento la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente repetible. Existe un enfoque de evaluación de riesgos inmaduro y en evolución. La administración de riesgos se da por lo general a altos niveles y se aplica de manera típica sólo a proyectos grandes o como respuesta a problemas. Los procesos de mitigación de riesgos están en implantación donde éstos se identifican. Observaciones: No está definida la función correspondiente en el organigrama. Tampoco se dispone de un marco de trabajo general de administración de riesgos de TI, integrado al gobierno y el marco de control. Existen iniciativas aisladas en algunas direcciones o departamentos que corresponden a las misiones y funciones que se fijaron para ellos. El área de Auditoría Interna cuenta con un marco de administración de riesgos para poder priorizar los procesos a controlar, ya que éste no es provisto por un área específica a tal fin. El Organismo cuenta con una herramienta de Gobierno Corporativo, Administración de Riesgos y Cumplimiento Regulatorio (GRC), pero sólo es utilizada por el área de Auditoría Interna Administrar proyectos Objetivo de control: Establecer un programa y un marco de control administrativo de proyectos para la administración de todos los proyectos de TI. El marco de trabajo debe garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-implantación 16

17 para garantizar la administración de los riesgos del proyecto y la entrega de valor para el Organismo. Este enfoque reduce el riesgo de costos inesperados y de cancelación de proyectos, mejora la comunicación y el involucramiento de los interesados y de los usuarios finales, asegura el valor y la calidad de los entregables de los proyectos, y maximiza su contribución a los programas de inversión en TI. Este objetivo de control afecta, primariamente: la efectividad la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Repetible. La alta dirección ha obtenido y comunicado la conciencia de la necesidad de la administración de los proyectos de TI. La organización está en proceso de desarrollar y utilizar algunas técnicas y métodos proyecto por proyecto. Los proyectos de TI han definido objetivos técnicos y de negocio de manera informal. Hay participación limitada de los interesados en la administración de los proyectos de TI. Las directrices iniciales se han elaborado para muchos aspectos de la administración de proyectos. La aplicación a proyectos de las directrices administrativas se deja a discreción de cada responsable de proyecto. Observaciones: No se ha normalizado un proceso de administración de proyectos que se aplique a todas las áreas. Se utilizan distintas herramientas y distintos criterios para el seguimiento de los proyectos, según sea el sector involucrado Adquirir e implementar Identificar soluciones automatizadas Objetivo de control: La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del proyecto se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones minimizar 17

18 el costo para adquirir e implantar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del Organismo. Este objetivo de control afecta, primariamente: la efectividad y en forma secundaria: la eficiencia Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente definido. Existen orientaciones claras y estructuradas para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere la consideración de alternativas evaluadas entre otros, contra los requerimientos del proyecto o del usuario, las oportunidades tecnológicas, la factibilidad económica y las evaluaciones de riesgo. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de proyecto original. Se usan enfoques estructurados para definir requerimientos e identificar soluciones de TI. Observaciones: Está definido el proceso de Ciclo de Vida de Desarrollo de Sistemas, alineado a la política de seguridad, aprobada por normativa vigente. (Anexo VI Nota 9) Se establecen además procedimientos de interacción entre las áreas denominadas Definidoras y las áreas de desarrollo de aplicaciones de la SDG SIT, cuya documentación se encuentra formalizada en una serie de documentos entregables que incluyen desde la definición del requerimiento de las necesidades funcionales, determinación de los responsables tanto del área usuaria como del área informática, la asignación de recursos y el cronograma estimado de trabajo. Sin embargo, el procedimiento adolece de fuertes exclusiones, tales como: a) La atención de requerimientos de mantenimiento de sistemas del tipo correctivo originados debido a desvíos y/o errores en la programación. b) Los desarrollos realizados para satisfacer requerimientos puntuales de información. c) Los subcontratos o acuerdos de tercerización de software. 18

19 d) Los desarrollos realizados en carácter de pruebas de concepto como parte de tareas de investigación. Asimismo, la Subdirección General de Sistemas y Telecomunicaciones pueda autorizar la no utilización de estas pautas para determinados casos. Dada la ausencia de procedimientos para el tratamiento de situaciones de emergencia, en estos casos se utilizan las excepciones antes mencionadas, y no contempla un procedimiento de revisión de pistas de auditoría sobre las acciones tomadas. Por otra parte, el procedimiento carece, en su etapa de evaluación preliminar, de consideraciones relativas al análisis de factibilidad, análisis de riesgos y criterios formalizados para la administración de prioridades, estimación de costos y beneficios esperados que permitan la evaluación de cursos de acción alternativos, como la tercerización del desarrollo. Además, permite que la adopción de los documentos entregables sea a criterio de cada división de desarrollo, mientras cumpla con los contenidos mínimos requeridos para cada fase (definición, diseño, construcción e implementación) lo que genera que éstas hayan adoptado un conjunto distinto de documentos. (Anexo VI Nota 10) En relación al entregable REQ (Requerimiento de Sistemas) no todas las áreas definidoras formalizan su confección, por lo cual esta tarea suele ser hecha por las áreas de desarrollo. Al momento de esta auditoría se encuentra en elaboración una Instrucción General que establecerá una nueva metodología de ciclo de vida de desarrollo de sistemas, que reemplazará a la actual y que toma en consideración algunos aspectos aquí observados Adquirir o desarrollar y mantener software aplicativo Objetivo de control: Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del Organismo. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares elegidos. Esto permite al Organismo apoyar la operatividad de forma apropiada con las aplicaciones correctamente automatizadas. Este objetivo de control afecta, primariamente: 19

20 la efectividad la eficiencia y en forma secundaria: la integridad la confiabilidad Nivel de riesgo: [X] Alto [ ] Medio [ ] Bajo Nivel de Madurez: Parcialmente definido. Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y de la organización. Se intenta aplicar los procesos de manera consistente a través de diferentes aplicaciones y proyectos. Las metodologías son, por lo general, inflexibles y difíciles de aplicar en todos los casos, por lo que es muy probable que se salten pasos. Las actividades de mantenimiento se planean, programan y coordinan. Observaciones: La Subdirección General de Informática y Telecomunicaciones implementó las Pautas para el desarrollo y mantenimiento de Sistemas Informáticos en la AFIP (Anexo VI Nota 9) donde se define el proceso de Ciclo de Vida de Desarrollo de Sistemas (CVDS). Las Pautas, están alineadas a la política de seguridad, aprobada mediante Pautas y consideraciones de seguridad a tener en cuenta en el Ciclo de Vida del Desarrollo y Mantenimiento de Sistemas en relación con la Seguridad de la Información. La misma contempla documentación, aprobaciones y escalamiento en las etapas relevantes tales como el diseño de alto nivel, el diseño detallado, fase de construcción, pruebas, implementación y el pase a producción de aplicaciones. Las misiones y funciones de las divisiones de Control de Calidad de las áreas de desarrollo contemplan la etapa de aseguramiento de la calidad del software enfocada a las pruebas y a la calidad de la documentación. Falta incluir en la metodología de CVDS un análisis de la calidad del desarrollo del software (Anexo VI Nota 11) aunque existen algunas iniciativas para los desarrollos de servicios web. 20

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Este dominio consta de 7 procesos que se describen a continuación.

Este dominio consta de 7 procesos que se describen a continuación. Dominio: Adquirir e Implementar. Este dominio consta de 7 procesos que se describen a continuación. AI1 Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de análisis

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS Una vez realizada la auditoría a los directivos y a los gerentes de la Agencia de Conferencistas Divulga, se encontró una serie

Más detalles

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS Mónica Beatriz Rela Responsable de la Unidad Auditoría de Sistemas Banco de la Nación Argentina mrela@bna.com.ar Representante por

Más detalles

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa.

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa. UNIDAD 1: GESTION DE SISTEMAS Y TECNOLOGÍA DE INFORMACIÓN 1. Gobierno de TI: Alineamiento estratégico. Entrega de Valor. Administración de riesgos. Administración de Recursos. de desempeño. Aseguramiento

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega Contenido 1. Presentación de la empresa 2. Objetivo de la auditoria Verificación de Control sobre el proceso de TI Definición de la organización y de las relaciones de TI que satisface los requerimientos

Más detalles

DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin

DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin AUDITORÍA GENERAL DE LA NACIÓN GERENCIA DE PLANIFICACIÓN Y PROYECTOS ESPECIALES C.P.N. Gerardo Prataviera DEPARTAMENTO DE AUDITORÍA INFORMÁTICA Ing. Ernesto T. Casin Objeto de Auditoría: Análisis de la

Más detalles

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO I. INTRODUCCIÓN El propósito del presente documento es resumir algunos conceptos básicos sobre el tema de los planes informáticos formales que las organizaciones

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I DECRETO No. 24 EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA, CONSIDERANDO: I. El acelerado incremento y desarrollo de las Tecnologías de Información y Comunicación (TIC), en las entidades gubernamentales

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES

ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PLANEAR Y ORGANIZAR ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PROCESOS PO1 Definir un Plan Estratégico de TI P S * * * * P Facilitador primario Definir un plan estrtágico para TI S Facilitador secundario

Más detalles

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO Lima, Noviembre de 2014 CONSTITUCIÓN POLÍTICA DEL ESTADO Artículo

Más detalles

DIRECCIÓN EJECUTIVA DE INFORMÁTICA

DIRECCIÓN EJECUTIVA DE INFORMÁTICA NOVIEMBRE 20 ÍNDICE CONTENIDO PÁGINA I.- Introducción 3 II.- Antecedentes 5 III.- Marco Jurídico 8 IV.- Objetivo del Área 9 V.- Estructura Orgánica VI.- Organigrama 12 VII.- Descripción de Funciones 13

Más detalles

Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A.

Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A. 2013 Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A. Metodología de Integral de Gestión de Proyectos - MIGP V2.0 Proyecto: Elaboración del Plan Estratégico

Más detalles

El enfoque ideal para la erm se diseña de forma personalizada para que se adecue a los

El enfoque ideal para la erm se diseña de forma personalizada para que se adecue a los ALEXANDRA PSICA, CMC DIRECTORA GENERAL INTERIS CONSULTING INC. El enfoque ideal para la erm se diseña de forma personalizada para que se adecue a los objetivos de la organización, al nivel de riesgo inherente

Más detalles

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN

Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Modelo de Supervisión Basada en Riesgos (SBR) SISTEMA DE EVALUACIÓN DE RIESGOS Y ORIENTACIÓN DE LA ACTITUD DE SUPERVISIÓN Superintendencia de Pensiones Junio de 2010 Índice de Contenidos LA SUPERINTENDENCIA

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Objetivos Generales de Control Interno y Lineamientos para su Implementación

Objetivos Generales de Control Interno y Lineamientos para su Implementación Objetivos Generales de Control Interno y Lineamientos para su Implementación Alcance: Los Objetivos Generales de Control Interno y los Lineamientos para su implementación son de aplicación general para

Más detalles

MANUAL DE PROCEDIMIENTOS ADMINISTRACIÓN DE PROYECTOS. Aprobado por: Contraloría mediante CON-03-1094-06 d/f 13-10-2006

MANUAL DE PROCEDIMIENTOS ADMINISTRACIÓN DE PROYECTOS. Aprobado por: Contraloría mediante CON-03-1094-06 d/f 13-10-2006 MANUAL DE PROCEDIMIENTOS ADMINISTRACIÓN DE PROYECTOS Aprobado por: Contraloría mediante CON-03-1094-06 d/f 13-10-2006 Octubre 2006 INTRODUCCIÓN ÍNDICE Pág. I. Puestos que Intervienen en los Procedimientos

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7 LINEAMIENTOS GENERALES PARA LA ESTRUCTURACIÓN DE UN DOCUMENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA APLICACIÓN DE LAS AUDITORÍAS DE SEGURIDAD VIAL EN COLOMBIA 1 PRINCIPIOS GENERALES DE AUDITORÍA DE

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza El Alcalde del municipio de Matanza, en uso de sus atribuciones Constitucionales y

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI)

Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI) Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI) SECRETARIA DE ADMINISTRACIÓN FECHA FECHA ACTUALIZACION: V. 01 V. 01 VERSIÓN: 01 2 DE 110 Bitácora de Revisiones: No.

Más detalles

PLAN ESTRATÉGICO DE SISTEMAS DE INFORMACIÓN COMITÉ INFORMÁTICO ESPOCH 2002

PLAN ESTRATÉGICO DE SISTEMAS DE INFORMACIÓN COMITÉ INFORMÁTICO ESPOCH 2002 Revisión : 1 Página 1 de 12 PLAN ESTRATÉGICO DE SISTEMAS DE INFORMACIÓN COMITÉ INFORMÁTICO ESPOCH 2002 Revisión : 1 Página 2 de 12 CONTENIDO CONTENIDO... 2 ANÁLISIS DE LA SITUACIÓN... 3 ANÁLISIS DEL PROBLEMA...

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA CAPITULO II PLANIFICACION INSTITUCIONAL DE LA AUDITORIA 1. Generalidades La Contraloría General del Estado inmersa en el proceso estratégico de cambio que tiende a mejorar los servicios de auditoría que

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 2015 SISTEMA INTEGRADO DE MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 1 SISTEMA INTEGRADO DE CONTENIDO 1. INTRODUCCIÓN...

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL CÁMARA DE COMERCIO Bogotá, D.C.; Octubre de 2015 Versión 1.0 Tabla de contenido 1 INTRODUCCIÓN... 5 2 ALCANCE... 6 3 OBJETIVO GENERAL... 6 3.1 OBJETIVOS ESPECÍFICOS... 6

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

Calidad. Calidad en procesos y productos

Calidad. Calidad en procesos y productos Calidad Calidad en procesos y productos La calidad es el conjunto de características de un elemento, producto o servicio, que le confieren la aptitud de satisfacer una necesidad implícita y explícita.

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de:

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de: SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión Tema: Diagnóstico para

Más detalles

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA Guatemala, 2,007 CAMINOS ES DESARROLLO 1 I. FICHA TÉCNICA DEL DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA: 1.1 TITULO DE LA UNIDAD: Departamento

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

2. MARCO DE REFERENCIA

2. MARCO DE REFERENCIA 2. MARCO DE REFERENCIA 2.1. MARCO NORMATIVO Las leyes han hecho cambiar el fenómeno en el tiempo; se puede decir que antes de la vigencia del Código Tributario, la auditoría financiera le era de utilidad

Más detalles

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Consejo Superior Universitario Acuerdo 046 de 2009 página 2 CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

El aporte del Mantenimiento Productivo Total (TPM) a la Gestión de Activos (PAS 55) Ing. Julio Carvajal Brenes, MSc. jucarvajal@itcr.ac.

El aporte del Mantenimiento Productivo Total (TPM) a la Gestión de Activos (PAS 55) Ing. Julio Carvajal Brenes, MSc. jucarvajal@itcr.ac. El aporte del Mantenimiento Productivo Total (TPM) a la Gestión de Activos (PAS 55) Ing. Julio Carvajal Brenes, MSc. jucarvajal@itcr.ac.cr Mejorar la eficiencia global del equipo Gestión temprana de equipos

Más detalles

GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PLAN DE PREVENCION Y PROCEDIMIENTOS DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES.

GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PLAN DE PREVENCION Y PROCEDIMIENTOS DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. ADMINISTRACIÓN DE LA JUNTA DE ANDALUCÍA GUÍA TÉCNICA PARA LA ELABORACIÓN DEL PLAN DE PREVENCION Y PROCEDIMIENTOS DE GESTIÓN DE LA PREVENCIÓN. Edición: 1 Fecha: 13.11.2012 Página 1 de 37 GUÍA TÉCNICA PARA

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

CONTROL INTERNO DEFINICIÓN

CONTROL INTERNO DEFINICIÓN CONTROL INTERNO DEFINICIÓN Es el conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin de asegurar que: Los activos estén debidamente protegidos Los registros contables

Más detalles

MANUAL DE REGLAS DE NEGOCIO ASOCIADAS AL PROCESO DE ESTRATEGIA DEL SERVICIO DE TI PERTENECIENTES AL MACRO PROCESO GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

MANUAL DE REGLAS DE NEGOCIO ASOCIADAS AL PROCESO DE ESTRATEGIA DEL SERVICIO DE TI PERTENECIENTES AL MACRO PROCESO GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN Página 1 de 20 MANUAL DE REGLAS DE NEGOCIO ASOCIADAS AL PROCESO DE ESTRATEGIA DEL SERVICIO DE TI PERTENECIENTES AL MACRO PROCESO GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN VERSIÓN 001 Junio 2012 Página 1 Página

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 22 Elaborado por: Revisado por: PLANEACIÓN Y EJECUCION AUDITORIAS Aprobado por: Profesional de la Jefe de la TABLA DE CONTENIDO 1. OBJETIVO... 4 2. ALCANCE... 4 3. DEFINICIONES... 4 3.1. Auditorías

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,

Más detalles

REFORMAS E INCORPORACIONES AL DECRETO 20-2003. DECRETO No. 1-2005. Aprobado el 03 de Enero del 2005.

REFORMAS E INCORPORACIONES AL DECRETO 20-2003. DECRETO No. 1-2005. Aprobado el 03 de Enero del 2005. REFORMAS E INCORPORACIONES AL DECRETO 20-2003 DECRETO No. 1-2005. Aprobado el 03 de Enero del 2005. Publicado en La Gaceta No. 6 del 10 de Enero del 2005. EL PRESIDENTE DE LA REPÚBLICA DE NICARAGUA En

Más detalles

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna)

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) Guatemala, Junio de 2006 1 PRESENTACIÓN Según el artículo 232 de

Más detalles

Definir el problema/oportunidad. Desarrollar soluciones alternativas. Seleccionar la solución. Desarrollar / Seleccionar-Adquirirconfigurar

Definir el problema/oportunidad. Desarrollar soluciones alternativas. Seleccionar la solución. Desarrollar / Seleccionar-Adquirirconfigurar 1 Definir el problema/oportunidad Definir problema de negocio o la oportunidad de mejora utilizando el pensamiento sistémico. Mapa Conceptual Desarrollar soluciones alternativas Seleccionar la solución

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Central de Inversiones S.A. CISA

Central de Inversiones S.A. CISA VERIFICACIÓN DEL CUMPLIMIENTO DE LA LEY DE TRANSPARENCIA Y DEL DERECHO DE ACCESO A LA INFORMACIÓN PÚBLICA NACIONAL Mayo 22 de 2015 Central de Inversiones S.A. CISA OBJETIVO Verificar el cumplimiento de

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5. Lic. Franco N. Rigante, CISA,CRISC,PMP

Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5. Lic. Franco N. Rigante, CISA,CRISC,PMP Auditando con COBIT una Oficina de Gestión de Proyectos (PMO) basada en PMBOK 5 Lic. Franco N. Rigante, CISA,CRISC,PMP Conferencista Biografía Franco Nelson Rigante, CISA, CRISC licenciado en Sistemas

Más detalles

GENERALIDADES: Para la aplicación del presente procedimiento deben considerarse las siguientes generalidades y definiciones:

GENERALIDADES: Para la aplicación del presente procedimiento deben considerarse las siguientes generalidades y definiciones: PROCESO: GESTIÓN DE TECLOGÍAS DE INFORMACIÓN PROCEDIMIENTO: GESTIÓN DE STEMAS DE INFORMACIÓN Objetivo: Establecer las actividades para planificar, ejecutar, administrar y verificar las fases de desarrollo,

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

1. Planificación en DGI: Antecedentes

1. Planificación en DGI: Antecedentes PLANIFICACIÓN, EVALUACIÓN Y CONTROL DE GESTIÓN EN DGI 1. Planificación en DGI: Antecedentes 2. Instrumentos de planificación 3. Evaluación y control de gestión 4. Tablero de Indicadores y Reportes 5. Arquitectura

Más detalles

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL

IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL IMPLEMENTACIÓN DE LOS SISTEMAS DE CONTROL INTERNO EN LA ADMINISTRACIÓN PÚBLICA MUNICIPAL EXPOSITOR: C.P. JOSÉ LUIS MUNGUÍA HERNÁNDEZ MUNGUÍA RAMÍREZ Y ASOCIADOS, S. C. mura_sc@prodigy.net.mx teléfonos:

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) EVALUACION FINAL Grupal Entre las semanas 17 y 18 se sarrolla la evaluación final que con base en el (trabajo realizado, resultados obtenidos y bilidas intificadas en la auditoría) dar recomendación y

Más detalles

LOS INDICADORES DE GESTIÓN

LOS INDICADORES DE GESTIÓN LOS INDICADORES DE GESTIÓN Autor: Carlos Mario Pérez Jaramillo Todas las actividades pueden medirse con parámetros que enfocados a la toma de decisiones son señales para monitorear la gestión, así se asegura

Más detalles

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP Índice 1. Razones para su emisión 2. Principales características 3. Introducción 4. Consideraciones claves 5. Elementos básicos Anexos

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

LINEAMIENTOS DE MONITOREO Y CONTROL

LINEAMIENTOS DE MONITOREO Y CONTROL Bogotá D.C., Agosto de 2014 TABLA DE CONTENIDO INTRODUCCIÓN ------------------------------------------------------------------------------------------- --3 1. OBJETIVO --------------------------------------------------------------------------------------------

Más detalles

Definición de PMO Características de una PMO

Definición de PMO Características de una PMO Definición de PMO Existen varios conceptos de una oficina de proyectos (PMO) una de ella la define como una unidad organizacional, física o virtual, especialmente diseñada para dirigir y controlar el desarrollo

Más detalles

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

PROGRAMA MARCO PMG 2011 Objetivos de Gestión por Sistemas

PROGRAMA MARCO PMG 2011 Objetivos de Gestión por Sistemas Marco : Marco Básico Area : Recursos Humanos Sistema : Capacitación Objetivo : Desarrollar el ciclo de gestión de la capacitación, en el marco de la gestión de Recursos Humanos, con énfasis en la detección

Más detalles

Procedimiento para la Evaluación de Competencias y Capacitación

Procedimiento para la Evaluación de Competencias y Capacitación Procedimiento para la Evaluación de Competencias y Capacitación Objetivo: Establecer los lineamientos para evaluar las competencias, diagnosticar las necesidades de capacitación y formular el Plan de Capacitación

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles