Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CODIGO: GTI-MA-M502-001
Página: 1
1. Objetivo
Establecer un marco de trabajo que permita supervisar y evaluar de forma continua el entorno de
control, incluyendo tanto autoevaluaciones como revisiones externas independientes, con el fin de
mejorar el ambiente de control de TI y aplicar acciones de mejora.
2. Alcance
Este manual guía al Departamento de Tecnología de Información durante el proceso de validación
el cumplimiento del esquema de control interno establecido al área de TI, facilitando la
planificación, organización y mantenimiento de normas para la evaluación del control interno y las
actividades de aseguramiento.
3. Responsables
El Jefe de TI será responsable de velar por mantener procesos de evaluación del sistema de control
interno de TI, ya sea por contrataciones de terceros que ejecutarán la evaluación o por la aplicación
de autoevaluaciones, en ambos casos las respuestas las deben brindar el Jefe de TI, los funcionarios
de TI y los involucrados en el marco de gestión de TI.
4. Documentos relacionados
CODIGO: GTI-MA-M502-001
Página: 2
001 Interna
FO-TI-40-05 Formulario Plan de Actividades de Monitoreo
Matriz de Evaluación de TI – emitida por SUGEF
MT-001-001 Metodología de Contratación de Auditoría
5. Definiciones
Análisis de causa raíz: Proceso de aprendizaje a partir de las consecuencias, típicamente de los
errores y problemas.
Cobit®: Marco de referencia de buenas prácticas para el control de TI. Acrónimo en inglés de
Objetivos de Control para la Información y la Tecnología Relacionada, emitido por el IT
Governance Institute®.
Control general: También conocido como control general de TI. Un control que se aplica al
funcionamiento general de los sistemas de TI de la organización y a un conjunto amplio de
soluciones automatizadas (aplicaciones).
Estándar: Una práctica de negocio o producto tecnológico que es una práctica aceptada, avalada
por la empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar para dar
soporte a una política o a un proceso, o como respuesta a una necesidad operativa. Así como las
políticas, los estándares deben incluir una descripción de la forma en que se detectará el
incumplimiento.
Excepción de control: Una práctica de la organización que incumple los controles establecidos, es
decir, que no sigue las políticas, procedimientos, practicas, estructuras organizacionales y metas
COOPESANMARCOS R.L. Versión: 2.0
CODIGO: GTI-MA-M502-001
Página: 3
diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y
los eventos no deseados serán prevenidos o detectados.
Marco de control: Una herramienta para los dueños de los procesos de negocio que facilita la
descarga de sus responsabilidades a través de la procuración de un modelo de control de soporte. El
marco de gestión incluye los procesos de Cobit® que la organización establece conforme a la
naturaleza y la complejidad de sus operaciones. El marco de gestión incluye los procesos
seleccionados del Anexo 1 del Reglamento General de Gestión de la Tecnología de Información,
Acuerdo SUGEF 14-17
Objetivo de control: Una declaración del resultado o propósito que se desea alcanzar al
Implementar procedimientos de control en un proceso en particular.
Proceso: Por lo general, un conjunto de procedimientos influenciados por las políticas y estándares
de la organización, que toma las entradas provenientes de un número de fuentes, incluyendo otros
procesos, manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de
los procesos. Los procesos tienen razones claras de negocio para existir, dueños responsables, roles
claros y responsabilidades alrededor de la ejecución del proceso, así como los medios para medir el
desempeño.
CODIGO: GTI-MA-M502-001
Página: 4
6. Lineamientos
Alcance del monitoreo y evaluación
La evaluación del marco de control interno de TI se aplicará para los procesos que se hayan
marcado en el marco de gestión de TI en el último perfil tecnológico enviado a la SUGEF.
Este marco para la gestión de TI debe ser congruente con la naturaleza y la complejidad de
sus operaciones.
Los resultados de las revisiones y supervisión del control interno, así como los resultados
de estudios comparativos y otras evaluaciones serán documentados como evidencia del
proceso.
Las deficiencias de controles identificadas en las revisiones deberán ser comunicadas a las
instancias que el Jefe de TI considere pertinentes, deberán ser atendidas por el
departamento de TI y se deberá dejar evidencia de los cambios efectuados como parte de
las acciones correctivas.
Revisiones de Auditoría
COOPESANMARCOS R.L. Versión: 2.0
CODIGO: GTI-MA-M502-001
Página: 5
Se deberán llevar a cabo evaluaciones formales del marco de control interno de TI por
medio de revisiones de auditoría, considerando dentro de su alcance el cumplimiento de
políticas y estándares de TI, elementos de seguridad de la información, y la aplicación de
controles que atiendan los principales riesgos.
Las revisiones de Auditoría deben ser ejecutadas por individuos cuyas credenciales sean
acordes al nivel de valoración de controles que se ejecutan, esto debe quedar evidenciado
en el informe de salida. Los auditores podrán ser contratados tanto por el Jefe de TI como
por la Auditoría Interna, sin embargo, la responsabilidad de asegurar revisiones
independientes recae sobre el Jefe de TI.
Excepciones de control
La organización deberá llevar un registro con las excepciones de control que se han
identificado a través de auditorías internas, auditorías externas, autoevaluaciones, revisiones
de terceros, reportes de usuarios o solicitudes de excepciones de control.
Se deberán identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes producto del monitoreo del marco de control interno de TI.
Según el riesgo que representen, se deberán escalar las excepciones de control a los
interesados para establecer acciones correctivas necesarias.
CODIGO: GTI-MA-M502-001
Página: 6
Los procesos que deben autoevaluarse son los procesos que se hayan seleccionado para el
Marco de Gestión de TI o los que indique el regulador.
Los resultados de autoevaluación deben ser considerados para establecer planes de mejora.
CODIGO: GTI-MA-M502-001
Página: 7
El Aseguramiento del control interno será efectuado mediante auditorías internas y externas
contratadas a un tercero con las credenciales adecuadas, las políticas de “Revisiones de
Auditoría” que se establecen en este manual son las que aplican para este ámbito.
La evaluación del estado de los controles internos de los proveedores de servicios externos
podrá:
o ser realizada por el Departamento de TI, sea de forma directa o por contratación de
un tercero.
Acciones correctivas
CODIGO: GTI-MA-M502-001
Página: 8
Frecuencia: Anual
2 Plan de las Presentar el Plan de las Jefe de TI Plan de las
actividades de actividades de monitoreo de actividades de
monitoreo de control interno al Comité de TI, monitoreo de
control interno discutir de ser necesario el control interno
contenido presupuestario para el aprobado
desarrollo de éste y solicitar su
aprobación.
Frecuencia: Anual
3 Plan de las Comunicar a los involucrados de Jefe de TI Plan de las
actividades de plan para asegurar que se tengan actividades de
monitoreo de los recursos necesarios. monitoreo de
control interno control interno
aprobado Frecuencia: Anual aprobado y
comunicado
4 Plan de las Se ejecuta el plan según los Jefe de TI Actividades del
actividades de establecido y se justifican las plan ejecutadas
monitoreo de desviaciones si se dan.
control interno Desviaciones
aprobado y Frecuencia: Anual
comunicado
5 Actividades del Se comunica al Comité de TI el Jefe de TI Comunicación de
plan ejecutadas avance del Plan de las Oficial de los controles o
actividades de monitoreo de Riesgos mejoras
Desviaciones control interno, según los implementados
compromisos de fechas
COOPESANMARCOS R.L. Versión: 2.0
CODIGO: GTI-MA-M502-001
Página: 9
CODIGO: GTI-MA-M502-001
Página: 10
CODIGO: GTI-MA-M502-001
Página: 11
Frecuencia: Anual
2 Planes y criterios Ejecutar las actividades para Responsable de Matriz de
de aplicar el método que se ejecutar el Evaluación de la
Autoevaluación estableció en el paso anterior, proceso Gestión de TI
asegurar que los resultados llena
obtenidos cumplan con los
requisitos del regulador
Frecuencia: Anual
Frecuencia: Anual
Causas raíz de
desviaciones
5 Actividades de Modificar los controles de TI Jefe de TI Controles
mejora para atender las deficiencias mejorados
encontradas
COOPESANMARCOS R.L. Versión: 2.0
CODIGO: GTI-MA-M502-001
Página: 12
CODIGO: GTI-MA-M502-001
Página: 13
CODIGO: GTI-MA-M502-001
Página: 14
CODIGO: GTI-MA-M502-001
Página: 15
Según lo analizado se
selecciona el tipo de auditoría y
se procede con la contratación.
Tomando de guía la MT-001-
001 “Metodología para la
valoración previa a la
contratación de auditoría
externa e interna” la cual vela
por las especificaciones previas
a la contratación de la
Auditoría Interna Y Externa.
Frecuencia: la establecida
COOPESANMARCOS R.L. Versión: 2.0
CODIGO: GTI-MA-M502-001
Página: 16
CODIGO: GTI-MA-M502-001
Página: 17
La Cooperativa deberá someterse a una Auditoría externa de los procesos que integran el marco
para la gestión de TI por parte de un Auditor Externo, cada vez que la SUGEF lo solicite
formalmente mediante una circular. La SUGEF comunicará a la Cooperativa la fecha de remisión
de los productos de la Auditoría con una anticipación que se establece la Normativa vigente. Con
base en esta fecha de solicitud de los productos, la Cooperativa debe contratar los servicios de
auditoría externa, de forma tal que la Cooperativa cumpla con la entrega en el tiempo establecido
por el regulador.
El tipo de auditoría externa de TI requerida es una auditoría directa que brinde un alto nivel, pero no
absoluto, de aseguramiento acerca de la efectividad de los controles sobre los procesos y debe
involucrar al menos lo siguiente:
CODIGO: GTI-MA-M502-001
Página: 18
La contratación del Auditoría externa de TI debe cumplir con los requisitos establecidos por la
SUGEF, adicionalmente se debe valorar los métodos que serán solicitados para las validaciones de
alcance que el regulador solicite. En la “Metodología para la valoración previa a la contratación de
auditoría Externa e Interna” donde se detallan los requisitos a validar.
Control de versiones:
Descripción del
Número de versión Fecha de aprobación Origen del Cambio
cambio
2.0 Definiciones La definición de
marco de Gestión
hace referencia a
Acuerdo SUGEF 14-
17 ahora Acuerdo
CONASSIF 5-17. Esto
debido a los
mecanismos que
regulan el intercambio
de Información entre
las Superintendencias
del Sistema Financiero
adscritas al Banco
Central de Costa Rica.
2.0 Proceso para revisar
la efectividad de los
controles Se detalla que los
riesgos a los cuales se
deben tomar acciones
correctivas son los
que superen el apetito
al riesgo.
CODIGO: GTI-MA-M502-001
Página: 19