NORMAS DE CONTROL INTERNO

PREGUNTA

RESPUESTA

Cul es el instrumento legal que faculta la aplicacin

de las Normas de Control Interno para las entidades,
organismos del sector pblico y personas jurdicas de
derecho privado que dispongan de recursos pblicos,
quien lo emiti y cundo?.

Cul es el objetivo de las Normas de Control Interno?

A qu instituciones se aplican las Normas de Control

Interno?

Cules son las Normas relacionas con la Tecnologa de la

Informacin?

Instrumento legal: Normas de Control Interno

para las entidades, organismos del sector
pblico y personas jurdicas de derecho privado
que dispongan de recursos pblicos. Fue
emitido
por:
Dr.
Carlos
Plit
Faggioni
CONTRALOR GENERAL DEL ESTADO. El 16 de
noviembre de 2009
Promover la eficiencia, eficacia y economa de
las operaciones bajo principios ticos y de
transparencia. Garantizar la confiabilidad,
integridad y oportunidad de la informacin.
Cumplir con las disposiciones legales y la
normativa de la entidad para otorgar bienes y
servicios pblicos de calidad. Proteger y
conservar el patrimonio pblico contra prdida,
despilfarro, uso indebido, irregularidad o acto
ilegal
El control interno ser responsabilidad de cada
institucin del Estado y de las personas jurdicas
de derecho privado que dispongan de recursos
pblicos y tendr como finalidad crear las
condiciones para el ejercicio del control.
Transferencia
de
fondos
por
medios
electrnicos.
Sistemas de informacin computarizados y
comunicacin de la deuda pblica.
TECNOLOGA DE LA INFORMACIN
Organizacin informtica
Segregacin de funciones
Plan informtico estratgico de tecnologa
Polticas y procedimientos
Modelo de informacin organizacional

N DE
NORMA
ACUERDO
039 CG

100-02

100-01

403-13
404-10
410
410-01
410-02
410-03
410-04
410-05
410-06
410-07

La Unidad que se encargue de regular y estandarizar los

temas tecnolgicos debe o no ser dependiente de las
reas usuarias? Justifique su respuesta

Cules son las reas mnimas que se deben incluir en la

estructura organizacional de la Unidad de Tecnologa de
la Informacin

Cul es la Norma que se relaciona con las funciones y

responsabilidades del personal que trabaja en la Unidad
de Tecnologa de la Informacin?
Que informacin acerca de los puestos de trabajo que
conforman la Unidad de tecnologa de Informacin debe

Administracin de proyectos tecnolgicos

Desarrollo y adquisicin de software aplicativo
Adquisiciones de infraestructura tecnolgica
Mantenimiento y control de la infraestructura
tecnolgica
Seguridad de tecnologa de informacin
Plan de contingencias
Administracin de soporte de tecnologa de
informacin
Monitoreo y evaluacin de los procesos y
servicios
Sitio web, servicios de internet e intranet
Capacitacin informtica
Comit informtico
Firmas electrnicas
INFORMACIN Y COMUNICACIN
Controles sobre sistemas de informacin
Canales de comunicacin abiertos
SEGUIMIENTO
Seguimiento continuo o en operacin
Evaluaciones peridicas
Si debe ser dependiente de las reas usuarias,
debido a que debe garantizar su independencia
respecto de las reas usuarias y asegurar la
cobertura de servicios a todas las unidades de
la entidad u organismo.
Bajo este esquema se dispondr como mnimo
de reas que cubran proyectos tecnolgicos,
infraestructura tecnolgica y soporte interno y
externo de ser el caso, considerando el tamao
de la entidad y de la unidad de tecnologa.
Segregacin de funciones

410-08
410-09
410-10
410-11
410-12
410-13
410-14
410-15
410-16
410-17
500
500-01
500-02
600
600-01
600-02

La descripcin documentada y aprobada de los

puestos de trabajo que conforman la unidad de

410-02

410-01

410-01

410-02

ser documentada?

Qu es un Plan Estratgico de Tecnologa?

10

Cul es la alineacin del Plan Estratgico de Tecnologa?

11

Cul es el Contenido del Plan Estratgico de Tecnologa?

12

Cul es la frecuencia con la que debe ser monitoreado y

evaluado un Plan Estratgico de Tecnologa ?. Cul es
el objetivo de esta evaluacin?

13

Cules son los temas que deben ser considerados

dentro de las polticas y procedimientos definidos por

tecnologa de informacin, contemplar los

deberes y responsabilidades, as como las
habilidades y experiencia necesarias en cada
posicin, a base de las cuales se realizar la
evaluacin del desempeo. Dicha descripcin
considerar procedimientos que eliminen la
dependencia de personal clave
El Plan estratgico de Tecnologa es aquel que
administra y dirige todos los recursos
tecnolgicos.
Est
alineado
con
el
plan
estratgico
institucional y ste con el Plan Nacional de
Desarrollo y las polticas pblicas de gobierno.
El plan informtico estratgico tendr un nivel
de detalle suficiente para permitir la definicin
de planes operativos de tecnologa de
Informacin
y
especificar
como
sta
contribuir a los objetivos estratgicos de la
organizacin; incluir un anlisis de la situacin
actual y las propuestas de mejora con la
participacin de todas las unidades de la
organizacin, se considerar la estructura
interna,
procesos,
infraestructura,
comunicaciones, aplicaciones y servicios a
brindar, as como la definicin de estrategias,
riesgos, cronogramas, presupuesto de la
inversin y operativo, fuentes de financiamiento
y los requerimientos legales y regulatorios de
ser necesario.
Se actualizarn de manera permanente, adems
de ser monitoreados y evaluados en forma
trimestral para determinar su grado de
ejecucin y tomar las medidas necesarias en
caso de desviaciones.
Temas
como
la
calidad,
seguridad,
confidencialidad, controles internos, propiedad

410-03

410-03

410-03

410-03

410-04

las autoridades de las entidades?

14
15

Cul es la norma interna que faculta la realizacin de

un intercambio de informacin interinstitucional?
Cul es el objetivo del Modelo de Informacin
Organizacional?

16

Cules son los componentes que integran el diseo del

modelo de informacin organizacional?

17

Cules son los aspectos que deben ser considerados en

la administracin de proyectos tecnolgicos?

intelectual, firmas electrnicas y mensajera de

datos, legalidad del software, entre otros, sern
considerados dentro de las polticas y
procedimientos a definir, los cuales adems,
estarn alineados con las leyes conexas
emitidas por los organismos competentes y
estndares de tecnologa de informacin.
Polticas y procedimientos
410-04
La unidad de tecnologa de informacin definir 410-05
el modelo de informacin de la organizacin a
fin de que se facilite la creacin, uso y
comparticin de la misma; y se garantice su
disponibilidad, integridad, exactitud y seguridad
sobre la base de la definicin e implantacin de
los procesos y procedimientos correspondientes.
El diseo del modelo de informacin que se 410-05
defina deber constar en un diccionario de
datos corporativo que ser actualizado y
documentado de forma permanente, incluir las
reglas de validacin y los controles de
integridad y consistencia, con la identificacin
de los sistemas o mdulos que lo conforman,
sus relaciones y los objetivos estratgicos a los
que apoyan a fin de facilitar la incorporacin de
las aplicaciones y procesos institucionales de
manera transparente.
1. Descripcin de la naturaleza, objetivos y 410-06
alcance del proyecto, su relacin con otros
proyectos institucionales, sobre la base del
compromiso, participacin y aceptacin de los
usuarios interesados.
2. Cronograma de actividades que facilite la
ejecucin y monitoreo del proyecto que incluir
el talento humano (responsables), tecnolgicos
y financieros adems de los planes de pruebas y

de capacitacin correspondientes.
3. La formulacin de los proyectos considerar
el Costo Total de Propiedad CTP; que incluya no
slo el costo de la compra, sino los costos
directos e indirectos, los beneficios relacionados
con la compra de equipos o programas
informticos, aspectos del uso y mantenimiento,
formacin para el personal de soporte y
usuarios, as como el costo de operacin y de
los equipos o trabajos de consultora necesarios.
Direccin de Investigacin Tcnica, Normativa y
de Desarrollo Administrativo Pgina 76
4. Para asegurar la ejecucin del proyecto se
definir una estructura en la que se nombre un
servidor responsable con capacidad de decisin
y autoridad y administradores o lderes
funcionales y tecnolgicos con la descripcin de
sus funciones y responsabilidades.
5. Se cubrir, como mnimo las etapas de: inicio,
planeacin, ejecucin, control, monitoreo y
cierre de proyectos, as como los entregables,
aprobaciones y compromisos formales mediante
el uso de actas o documentos electrnicos
legalizados.
6. El inicio de las etapas importantes del
proyecto ser aprobado de manera formal y
comunicado a todos los interesados.
7. Se incorporar el anlisis de riesgos. Los
riesgos identificados sern permanentemente
evaluados para retroalimentar el desarrollo del
proyecto, adems de ser registrados y
considerados para la planificacin de proyectos
futuros.
8. Se deber monitorear y ejercer el control
permanente de los avances del proyecto.

18
Cules son las etapas mnimas que deben ser
cubiertas por
un proyecto tecnolgico?

19

Qu es un Portafolio de Proyectos?

20

Cul es la norma que considera los derechos de autor y

licencias de uso de software?
Que aspectos deben ser documentados acerca de los
requerimientos funcionales y tcnicos de un software a
ser desarrollado?

21

22

Cules son los aspectos que deben considerarse en el

desarrollo, mantenimiento o adquisicin de software?

9. Se establecer un plan de control de cambios

y un plan de aseguramiento de calidad que ser
aprobado por las partes interesadas.
10. El proceso de cierre incluir la aceptacin
formal y pruebas que certifiquen la calidad y el
cumplimiento de los objetivos planteados junto
con los beneficios obtenidos.
Se cubrir, como mnimo las etapas de: inicio,
planeacin, ejecucin, control, monitoreo y
cierre de proyectos, as como los entregables,
aprobaciones y compromisos formales mediante
el uso de actas o documentos electrnicos
legalizados.
Es un proceso administrativo designado a
ayudar a un organizacin a adquirir y ver
informacin acerca de todos sus proyectos y
programas, luego priorizar cada proyecto de
acuerdo a ciertos criterios tales como valor
estratgico, impacto en recursos, costos etc.
Desarrollo y adquisicin de software aplicativo
Identificacin, priorizacin, especificacin y
acuerdos de los requerimientos funcionales y
tcnicos institucionales con la participacin y
aprobacin formal de las unidades usuarias.
Esto incluye, tipos de usuarios, requerimientos
de: entrada, definicin de interfaces, archivo,
procesamiento, salida, control, seguridad, plan
de pruebas y trazabilidad o pistas de auditora
de las transacciones en donde aplique.
1. La adquisicin de software o soluciones
tecnolgicas se realizarn sobre la base del
portafolio de proyectos y servicios priorizados
en
los
planes
estratgico
y
operativo
previamente
aprobados
considerando
las
polticas pblicas establecidas por el Estado,

410-06

410-07
410-07

410-08

caso contrario sern autorizadas por la mxima

autoridad
previa
justificacin
tcnica
documentada.
2. Adopcin, mantenimiento y aplicacin de
polticas pblicas y estndares internacionales
para: codificacin de software, nomenclaturas,
interfaz de usuario, interoperabilidad, eficiencia
de desempeo de sistemas, escalabilidad,
validacin contra requerimientos, planes de
pruebas unitarias y de integracin.
3. Identificacin, priorizacin, especificacin y
acuerdos de los requerimientos funcionales y
tcnicos institucionales con la participacin y
aprobacin formal de las unidades usuarias.
Esto incluye, tipos de usuarios, requerimientos
de: entrada, definicin de interfaces, archivo,
procesamiento, salida, control, seguridad, plan
de pruebas y trazabilidad o pistas de auditora
de las transacciones en donde aplique.
4. Especificacin de criterios de aceptacin de
los requerimientos que cubrirn la definicin de
las necesidades, su factibilidad tecnolgica y
econmica, el anlisis de riesgo y de costobeneficio, la estrategia de desarrollo o compra
del software de aplicacin, as como el
tratamiento que se dar a aquellos procesos de
emergencia que pudieran presentarse.
Direccin de Investigacin Tcnica, Normativa y
de Desarrollo Administrativo Pgina 77
5. En los procesos de desarrollo, mantenimiento
o adquisicin de software aplicativo se
considerarn: estndares de desarrollo, de
documentacin y de calidad, el diseo lgico y
fsico de las aplicaciones, la inclusin apropiada
de controles de aplicacin diseados para

prevenir, detectar y corregir errores e

irregularidades de procesamiento, de modo que
ste, sea exacto, completo, oportuno, aprobado
y auditable. Se considerarn mecanismos de
autorizacin, integridad de la informacin,
control de acceso, respaldos, diseo e
implementacin de pistas de auditora y
requerimientos de seguridad. La especificacin
del diseo considerar las arquitecturas
tecnolgicas y de informacin definidas dentro
de la organizacin.
6. En caso de adquisicin de programas de
computacin (paquetes de software) se
prevern tanto en el proceso de compra como
en los contratos respectivos, mecanismos que
aseguren el cumplimiento satisfactorio de los
requerimientos de la entidad. Los contratos
tendrn el suficiente nivel de detalle en los
aspectos tcnicos relacionados, garantizar la
obtencin de las licencias de uso y/o servicios,
definir los procedimientos para la recepcin de
productos y documentacin en general, adems
de puntualizar la garanta formal de soporte,
mantenimiento y actualizacin ofrecida por el
proveedor.
7. En los contratos realizados con terceros para
desarrollo de software deber constar que los
derechos de autor ser de la entidad
contratante y el contratista entregar el cdigo
fuente. En la definicin de los derechos de autor
se aplicarn las disposiciones de la Ley de
Propiedad Intelectual. Las excepciones sern
tcnicamente documentadas y aprobadas por la
mxima autoridad o su delegado.
8. La implementacin de software aplicativo

23

Cules son los Manuales que deben elaborarse cuando

se desarrolla un sistema informtico?

24

Cules son los tipos de mantenimiento que se debe

realizar a la infraestructura tecnolgica?

adquirido incluir los procedimientos de

configuracin,
aceptacin
y
prueba
personalizados e implantados. Los aspectos a
considerar incluyen la validacin contra los
trminos contractuales, la arquitectura de
informacin de la organizacin, las aplicaciones
existentes,
la
interoperabilidad
con
las
aplicaciones existentes y los sistemas de bases
de datos, la eficiencia en el desempeo del
sistema, la documentacin y los manuales de
usuario, integracin y planes de prueba del
sistema.
9. Los derechos de autor del software
desarrollado a la medida pertenecern a la
entidad y sern registrados en el organismo
competente. Para el caso de software adquirido
se obtendr las respectivas licencias de uso.
10. Formalizacin con actas de aceptacin por
parte de los usuarios, del paso de los sistemas
probados y aprobados desde el ambiente de
desarrollo/prueba al de produccin y su revisin
en la post-implantacin.
11. Elaboracin de manuales tcnicos, de
instalacin y configuracin; as como de usuario,
los cuales sern difundidos, publicados y
actualizados de forma permanente.
Elaboracin
de
manuales
tcnicos,
de
instalacin y configuracin; as como de usuario,
los cuales sern difundidos, publicados y
actualizados de forma permanente.
Se elaborar un plan de mantenimiento
preventivo y/o correctivo de la infraestructura
tecnolgica sustentado en revisiones peridicas
y monitoreo en funcin de las necesidades
organizacionales
(principalmente
en
las

410-07

410-09

25

Los ambientes de desarrollo/pruebas y de produccin

deben ser dependientes? Si o no. Por qu?

26

Que informacin se debe registrar sobre el inventario de

los bienes informticos?

27

Cules son las medidas mnimas de seguridad que se

deben aplicar en una institucin para proteger la
tecnologa de la informacin?.

aplicaciones crticas de la organizacin),

estrategias de actualizacin de hardware y
software,
riesgos,
evaluacin
de
vulnerabilidades y requerimientos de seguridad.
Los ambientes de desarrollo/pruebas y de 410-09
produccin son independientes; ya que se
implementarn medidas y mecanismos lgicos y
fsicos de seguridad para proteger los recursos y
garantizar su integridad y disponibilidad a fin de
proporcionar una infraestructura de tecnologa
de informacin confiable y segura.
Se mantendr el control de los bienes 410-09
informticos a travs de un inventario
actualizado con el detalle de las caractersticas
y responsables a cargo, conciliado con los
registros contables.
1. Ubicacin adecuada y control de acceso fsico 410-10
a la unidad de tecnologa de informacin y en
especial a las reas de: servidores, desarrollo y
bibliotecas;
2. Definicin de procedimientos de obtencin
peridica de respaldos en funcin a un
cronograma definido y aprobado;
3. En los casos de actualizacin de tecnologas
de soporte se migrar la informacin a los
medios fsicos adecuados y con estndares
abiertos para garantizar la perpetuidad de los
datos y su recuperacin;
4.
Almacenamiento
de
respaldos
con
informacin crtica y/o sensible en lugares
externos a la organizacin;
5.
Implementacin
y
administracin
de
seguridades a nivel de software y hardware, que
se realizar con monitoreo de seguridad,
pruebas peridicas y acciones correctivas sobre

28

Qu es un Plan de Contingencia?

29

Qu actividades contempla un Plan de recuperacin de

desastres?

30
31

Cul es la norma tcnica que determina la proteccin

de los sistemas de informacin contra virus y software
malicioso?
Qu es una mesa de ayuda?

32

Qu aspectos se deben considerar en la administracin

las vulnerabilidades o incidentes de seguridad

identificados.
6. Instalaciones fsicas adecuadas que incluyan
mecanismos,
dispositivos
y
equipo
especializado para monitorear y controlar fuego,
mantener
ambiente
con
temperatura
y
humedad relativa del aire contralado, disponer
de energa acondicionada, esto es estabilizada y
polarizada, entre otros;
7. Consideracin y disposicin de sitios de
procesamiento alternativos.
8. Definicin de procedimientos de seguridad a
observarse por parte del personal que trabaja
en turnos por la noche o en fin de semana.
Un plan de contingencias es aquel que describe 410-11
las acciones a tomar en caso de una
emergencia o suspensin en el procesamiento
de la informacin por problemas en los equipos,
programas o personal relacionado.
Plan de recuperacin de desastres que 410-11
comprender:
Actividades previas al desastre (bitcora de
operaciones) Actividades durante el desastre
(plan de emergencias, entrenamiento)
Actividades despus del desastre.
Administracin de soporte de tecnologa de 410-12
informacin
Es un conjunto de recursos tecnolgicos y
humanos, para prestar servicios con la
posibilidad de gestionar y solucionar todas las
posibles incidencias de manera integral, junto
con la atencin de requerimientos relacionados
a las Tecnologas de la Informacin y la
Comunicacin (TIC)
Los aspectos a considerar son:

410-12

de soporte de la tecnologa de la informacin?

1. Revisiones peridicas para determinar si la

capacidad y desempeo actual y futura de los
recursos tecnolgicos son suficientes para cubrir los
niveles de servicio acordados con los usuarios.
2. Seguridad de los sistemas bajo el otorgamiento de
una identificacin nica a todos los usuarios internos,
externos y temporales que interacten con los
sistemas y servicios de tecnologa de informacin de
la entidad.
3. Estandarizacin de la identificacin, autenticacin
y autorizacin de los usuarios, as como la
administracin de sus cuentas.
4. Revisiones regulares de todas las cuentas de
usuarios y los privilegios asociados a cargo de los
dueos de los procesos y administradores de los
sistemas de tecnologa de informacin.
5. Medidas de prevencin, deteccin y correccin que
protejan a los sistemas de informacin y a la
tecnologa de la organizacin de software malicioso y
virus informticos.
6. Definicin y manejo de niveles de servicio y de
operacin para todos los procesos crticos de
tecnologa de informacin sobre la base de los
requerimientos de los usuarios o clientes internos y
externos de la entidad y a las capacidades
tecnolgicas.
7. Alineacin de los servicios claves de tecnologa de
informacin con los requerimientos y las prioridades
de la organizacin sustentados en la revisin,
monitoreo y notificacin de la efectividad y
cumplimiento de dichos acuerdos.
8. Administracin de los incidentes reportados,
requerimientos de servicio y solicitudes de
informacin y de cambios que demandan los
usuarios, a travs de mecanismos efectivos y
oportunos como mesas de ayuda o de servicios,
entre otros.
9. Mantenimiento de un repositorio de diagramas y
configuraciones de hardware y software actualizado

que garantice su integridad, disponibilidad y faciliten

una rpida resolucin de los problemas de
produccin.
10. Administracin adecuada de la informacin,
libreras de software, respaldos y recuperacin de
datos.
11. Incorporacin de mecanismos de seguridad
aplicables
a
la
recepcin,
procesamiento,
almacenamiento fsico y entrega de informacin y de
mensajes sensitivos, as como la proteccin y
conservacin
de
informacin
utilizada
para
encriptacin y autenticacin.

33

A quienes debe estar orientado el Plan de Capacitacin

Informtica?

34

Cules son las principales funciones

Informtico de una institucin?

del

Comit

El plan estar orientado a los puestos de trabajo 410-15

y a las necesidades de conocimiento especficas
determinadas en la evaluacin de desempeo e
institucionales.
El tamao y complejidad de la entidad y su 410-16
interrelacin con entidades adscritas.
La definicin clara de los objetivos que persigue
la creacin de un comit de informtica, como
un rgano de decisin, consultivo y de gestin
que tiene como propsito fundamental definir,
conducir y evaluar las polticas internas para el
crecimiento ordenado y progresivo de la
tecnologa de la informacin y la calidad de los
servicios informticos, as como apoyar en esta
materia a las unidades administrativas que
conforman la entidad.
La conformacin y funciones del comit, su
reglamentacin, la creacin de grupos de
trabajo, la definicin de las atribuciones y
responsabilidades de los miembros del comit,
entre otros aspectos.