GTI-MA-M502-001-003 Manual Monitorear y Evaluar El Control Interno de TI
GTI-MA-M502-001-003 Manual Monitorear y Evaluar El Control Interno de TI
GTI-MA-M502-001-003 Manual Monitorear y Evaluar El Control Interno de TI
Manual
Monitorear y Evaluar el
Control Interno de TI
COOPESANMARCOS R.L. Versión: 003
Tabla de contenido
Monitorear y evaluar el Control Interno de TI ...................................................................................3
1. Objetivo ..................................................................................................................................3
2. Alcance ...................................................................................................................................3
3. Responsables ..........................................................................................................................3
4. Documentos relacionados ......................................................................................................4
5. Definiciones ............................................................................................................................4
6. Lineamientos ..........................................................................................................................7
7. Proceso para supervisar el Control Interno de TI .................................................................12
8. Proceso para revisar la efectividad de los controles.............................................................13
9. Proceso para realizar la autoevaluación ...............................................................................14
10. Proceso de administración de excepciones de control .....................................................16
11. Proceso para llevar a cabo iniciativas de aseguramiento del control interno (Auditorías
internas o externas) .....................................................................................................................18
12. Instrucciones para la Contratación de la Auditoría Normativa de TI ................................20
Frecuencia de la auditoría externa independiente ...............................................................20
Alcance de la auditoría externa independiente .....................................................................20
Requisitos y Adquisición de la auditoría externa independiente .........................................21
13. Control de versiones:........................................................................................................21
COOPESANMARCOS R.L. Versión: 003
1. Objetivo
2. Alcance
Este manual guía al Departamento de Tecnología de Información durante el proceso de
validación el cumplimiento del esquema de control interno establecido al área de TI, facilitando
la planificación, organización y mantenimiento de normas para la evaluación del control interno
y las actividades de aseguramiento.
3. Responsables
El Jefe de TI será responsable de velar por mantener procesos de evaluación del sistema de
control interno de TI, ya sea por contrataciones de terceros que ejecutarán la evaluación o por
la aplicación de autoevaluaciones, en ambos casos las respuestas las deben brindar el Jefe de
TI, los funcionarios de TI y los involucrados en el marco de gestión de TI.
4. Documentos relacionados
5. Definiciones
Análisis de causa raíz: Proceso de aprendizaje a partir de las consecuencias, típicamente de
los errores y problemas.
Cobit®: Marco de referencia de buenas prácticas para el control de TI. Acrónimo en inglés de
Objetivos de Control para la Información y la Tecnología Relacionada, emitido por el IT
Governance Institute®.
Control general: También conocido como control general de TI. Un control que se aplica al
funcionamiento general de los sistemas de TI de la organización y a un conjunto amplio de
soluciones automatizadas (aplicaciones).
Estándar: Una práctica de negocio o producto tecnológico que es una práctica aceptada,
avalada por la empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar
para dar soporte a una política o a un proceso, o como respuesta a una necesidad operativa. Así
como las políticas, los estándares deben incluir una descripción de la forma en que se detectará
el incumplimiento.
Excepción de control: Una práctica de la organización que incumple los controles establecidos,
es decir, que no sigue las políticas, procedimientos, practicas, estructuras organizacionales y
metas diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se
alcanzarán y los eventos no deseados serán prevenidos o detectados.
Marco de control: Una herramienta para los dueños de los procesos de negocio que facilita la
descarga de sus responsabilidades a través de la procuración de un modelo de control de
soporte. El marco de gestión incluye los procesos de Cobit® que la organización establece
conforme a la naturaleza y la complejidad de sus operaciones. El marco de gestión incluye los
procesos seleccionados del Anexo 1 del Reglamento General de Gestión de la Tecnología de
Información, Acuerdo SUGEF 14-17
COOPESANMARCOS R.L. Versión: 003
Objetivo de control: Una declaración del resultado o propósito que se desea alcanzar al
Implementar procedimientos de control en un proceso en particular.
6. Lineamientos
Alcance del monitoreo y evaluación
• La evaluación del marco de control interno de TI se aplicará para los procesos que se
hayan marcado en el marco de gestión de TI en el último perfil tecnológico enviado a la
SUGEF. Este marco para la gestión de TI debe ser congruente con la naturaleza y la
complejidad de sus operaciones.
• Los resultados de las revisiones y supervisión del control interno, así como los
resultados de estudios comparativos y otras evaluaciones serán documentados como
evidencia del proceso.
Revisiones de Auditoría
• Se deberán llevar a cabo evaluaciones formales del marco de control interno de TI por
medio de revisiones de auditoría, considerando dentro de su alcance el cumplimiento
de políticas y estándares de TI, elementos de seguridad de la información, y la aplicación
de controles que atiendan los principales riesgos.
• Las revisiones de Auditoría deben ser ejecutadas por individuos cuyas credenciales
sean acordes al nivel de valoración de controles que se ejecutan, esto debe quedar
evidenciado en el informe de salida. Los auditores podrán ser contratados tanto por el
Jefe de TI como por la Auditoría Interna, sin embargo, la responsabilidad de asegurar
revisiones independientes recae sobre el Jefe de TI.
Excepciones de control
• La organización deberá llevar un registro con las excepciones de control que se han
identificado a través de auditorías internas, auditorías externas, autoevaluaciones,
revisiones de terceros, reportes de usuarios o solicitudes de excepciones de control.
• Se deberán identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes producto del monitoreo del marco de control interno de TI.
• Según el riesgo que representen, se deberán escalar las excepciones de control a los
interesados para establecer acciones correctivas necesarias.
• Los procesos que deben autoevaluarse son los procesos que se hayan seleccionado para
el Marco de Gestión de TI o los que indique el regulador.
esta herramienta se establecen los criterios de evaluación, la forma en que debe ser
aplicada, así como las salidas esperadas.
o ser realizada por el Departamento de TI, sea de forma directa o por contratación
de un tercero.
Acciones correctivas
Frecuencia: Anual
3 Plan de las Comunicar a los involucrados de Jefe de TI Plan de las
actividades de plan para asegurar que se tengan actividades de
monitoreo de los recursos necesarios. monitoreo de
control interno control interno
aprobado Frecuencia: Anual aprobado y
comunicado
4 Plan de las Se ejecuta el plan según los Jefe de TI Actividades del
actividades de establecido y se justifican las plan ejecutadas
monitoreo de desviaciones si se dan.
control interno Desviaciones
aprobado y Frecuencia: Anual
comunicado
5 Actividades del Se comunica al Comité de TI el Jefe de TI Comunicación
plan ejecutadas avance del Plan de las actividades Oficial de de los controles
de monitoreo de control interno, Riesgos o mejoras
Desviaciones según los compromisos de fechas implementados
establecidos.
COOPESANMARCOS R.L. Versión: 003
Frecuencia: Anual
COOPESANMARCOS R.L. Versión: 003
Frecuencia: Anual
Causas raíz de
desviaciones
5 Actividades de Modificar los controles de TI para Jefe de TI Controles
mejora atender las deficiencias mejorados
encontradas
Frecuencia: la establecida
COOPESANMARCOS R.L. Versión: 003
Frecuencia: la establecida
La Cooperativa deberá someterse a una Auditoría externa de los procesos que integran el marco
para la gestión de TI por parte de un Auditor Externo, cada vez que la SUGEF lo solicite
formalmente mediante una circular. La SUGEF comunicará a la Cooperativa la fecha de remisión
de los productos de la Auditoría con una anticipación que se establece la Normativa vigente.
Con base en esta fecha de solicitud de los productos, la Cooperativa debe contratar los servicios
de auditoría externa, de forma tal que la Cooperativa cumpla con la entrega en el tiempo
establecido por el regulador.
El tipo de auditoría externa de TI requerida es una auditoría directa que brinde un alto nivel,
pero no absoluto, de aseguramiento acerca de la efectividad de los controles sobre los
procesos y debe involucrar al menos lo siguiente:
La contratación del Auditoría externa de TI debe cumplir con los requisitos establecidos por la
SUGEF, adicionalmente se debe valorar los métodos que serán solicitados para las
validaciones de alcance que el regulador solicite. En la “Metodología para la valoración previa
a la contratación de auditoría Externa e Interna” donde se detallan los requisitos a validar.