MA-TI-40-01 Monitorear y Evaluar El Control Interno de TI

COOPESANMARCOS R.L. Versión: 2.
CODIGO: GTI-MA-M502-001
Página: 1
Fecha creación: 15/06/2020

MANUAL
MONITOREAR Y EVALUAR EL CONTROL INTERNO DE Rige hasta: Uso Indefinido
TI Tipo documento: Uso Interno
Responsable: Jefe de TI Aprobado por: Jefe de TI
Monitorear y evaluar el Control Interno de TI
1. Objetivo
Establecer un marco de trabajo que permita supervisar y evaluar de forma continua el entorno de
control, incluyendo tanto autoevaluaciones como revisiones externas independientes, con el fin de
mejorar el ambiente de control de TI y aplicar acciones de mejora.
2. Alcance
Este manual guía al Departamento de Tecnología de Información durante el proceso de validación
el cumplimiento del esquema de control interno establecido al área de TI, facilitando la
planificación, organización y mantenimiento de normas para la evaluación del control interno y las
actividades de aseguramiento.
3. Responsables
El Jefe de TI será responsable de velar por mantener procesos de evaluación del sistema de control
interno de TI, ya sea por contrataciones de terceros que ejecutarán la evaluación o por la aplicación
de autoevaluaciones, en ambos casos las respuestas las deben brindar el Jefe de TI, los funcionarios
de TI y los involucrados en el marco de gestión de TI.
El Jefe de TI es el responsable de gestionar las excepciones de control.
4. Documentos relacionados
Código Nombre del documento

FO-TI-40-01 Formulario de Excepción de Control
FO-TI-40-02 Plantilla para desarrollar una auditoría interna de TI
FO-TI-40-03 Revisión de requisitos Auditoría Externa de TI
COA-MT-001- Metodología para la valoración previa a la contratación de auditoría Externa e
COOPESANMARCOS R.L. Versión: 2.0
Página: 2

MANUAL
001 Interna
FO-TI-40-05 Formulario Plan de Actividades de Monitoreo
Matriz de Evaluación de TI – emitida por SUGEF
MT-001-001 Metodología de Contratación de Auditoría
5. Definiciones
Análisis de causa raíz: Proceso de aprendizaje a partir de las consecuencias, típicamente de los
errores y problemas.
Cobit®: Marco de referencia de buenas prácticas para el control de TI. Acrónimo en inglés de
Objetivos de Control para la Información y la Tecnología Relacionada, emitido por el IT
Governance Institute®.
Hallazgo: Se refiere a las debilidades, deficiencias o brechas apreciables respecto a un criterio o

estándar previamente definido.
Control general: También conocido como control general de TI. Un control que se aplica al
funcionamiento general de los sistemas de TI de la organización y a un conjunto amplio de
soluciones automatizadas (aplicaciones).
Control Interno: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas

para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y de que los
eventos indeseables serán prevenidos o detectados y corregidos.
Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para

proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y los eventos no
deseados serán prevenidos o detectados.
Estándar: Una práctica de negocio o producto tecnológico que es una práctica aceptada, avalada
por la empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar para dar
soporte a una política o a un proceso, o como respuesta a una necesidad operativa. Así como las
políticas, los estándares deben incluir una descripción de la forma en que se detectará el
incumplimiento.
Excepción de control: Una práctica de la organización que incumple los controles establecidos, es
decir, que no sigue las políticas, procedimientos, practicas, estructuras organizacionales y metas
Página: 3

MANUAL
diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y
los eventos no deseados serán prevenidos o detectados.
Marco de control: Una herramienta para los dueños de los procesos de negocio que facilita la
descarga de sus responsabilidades a través de la procuración de un modelo de control de soporte. El
marco de gestión incluye los procesos de Cobit® que la organización establece conforme a la
naturaleza y la complejidad de sus operaciones. El marco de gestión incluye los procesos
seleccionados del Anexo 1 del Reglamento General de Gestión de la Tecnología de Información,
Acuerdo SUGEF 14-17
Métrica: Un estándar para medir el desempeño contra la meta.
Objetivo de control: Una declaración del resultado o propósito que se desea alcanzar al
Implementar procedimientos de control en un proceso en particular.
Perfil tecnológico: Descripción de la estructura organizacional, los procesos y la infraestructura de

TI de la entidad, así como del nivel de automatización de sus procesos de negocio y de gestión del
riesgo.
Proceso: Por lo general, un conjunto de procedimientos influenciados por las políticas y estándares
de la organización, que toma las entradas provenientes de un número de fuentes, incluyendo otros
procesos, manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de
los procesos. Los procesos tienen razones claras de negocio para existir, dueños responsables, roles
claros y responsabilidades alrededor de la ejecución del proceso, así como los medios para medir el
desempeño.
Proveedor de tecnologías de información: Persona física o jurídica que provee o presta un

servicio relacionado con la tecnología de información, sea independiente o que pertenezca al mismo
grupo o conglomerado financiero, incluyendo las casas matrices.
Tecnología de información (TI): Conjunto de técnicas que permiten la captura, almacenamiento,

transformación, transmisión y presentación de la información generada o recibida a partir de
procesos, de manera que pueda ser organizada y utilizada en forma consistente y comprensible por
los usuarios que estén relacionados con ella. Incluye elementos de hardware, software,
telecomunicaciones y conectividad.
TI: Tecnología de Información.

Página: 4

MANUAL
6. Lineamientos
Alcance del monitoreo y evaluación
 La evaluación del marco de control interno de TI se aplicará para los procesos que se hayan
marcado en el marco de gestión de TI en el último perfil tecnológico enviado a la SUGEF.
Este marco para la gestión de TI debe ser congruente con la naturaleza y la complejidad de
sus operaciones.
 El monitoreo y evaluación del marco de control interno de TI deberá ser continuo. El

departamento de TI ejecutará autoevaluaciones anuales y podrá contratar auditorías internas
y externas, utilizando como período ya sea lo indicado por la SUGEF o cuando considere
pertinente pues se han finalizado las actividades de mejora continua del último proceso
contratado. El proceso de monitoreo del control interno de TI se ejecutará durante la
valoración del riesgo operativo, con la evaluación de la efectividad de los controles de TI.
 El marco de control interno de TI deberá ser realimentado y mejorado producto de

auditorías internas, auditorías externas, autoevaluaciones, revisiones de terceros, y el
benchmarking versus organizaciones similares, versus organizaciones del sector o versus
las mejores prácticas de la industria.
 Los resultados de las revisiones y supervisión del control interno, así como los resultados
de estudios comparativos y otras evaluaciones serán documentados como evidencia del
proceso.
 Las deficiencias de controles identificadas en las revisiones deberán ser comunicadas a las
instancias que el Jefe de TI considere pertinentes, deberán ser atendidas por el
departamento de TI y se deberá dejar evidencia de los cambios efectuados como parte de
las acciones correctivas.
Revisiones de Auditoría
Página: 5

MANUAL
 Se deberán llevar a cabo evaluaciones formales del marco de control interno de TI por
medio de revisiones de auditoría, considerando dentro de su alcance el cumplimiento de
políticas y estándares de TI, elementos de seguridad de la información, y la aplicación de
controles que atiendan los principales riesgos.
 La frecuencia y el alcance de estas revisiones las definirá el Jefe de TI, considerando el

ciclo de las auditorías de la SUGEF o la necesidad de mejora en ciertos procesos
identificados. Las auditorías podrán ser parciales o totales al Marco de Gestión de TI, y
podrán ser internas o externas.
 Las revisiones de Auditoría deben ser ejecutadas por individuos cuyas credenciales sean
acordes al nivel de valoración de controles que se ejecutan, esto debe quedar evidenciado
en el informe de salida. Los auditores podrán ser contratados tanto por el Jefe de TI como
por la Auditoría Interna, sin embargo, la responsabilidad de asegurar revisiones
independientes recae sobre el Jefe de TI.
 Las Auditorías estarán orientadas a mejorar la efectividad de los controles internos.
 Cuando se recibe la carta de SUGEF solicitando los productos de la Auditoría Externa

normativa, se debe seguir el proceso de contratación según las especificaciones de la
normativa, considerando los requisitos del registro de auditores de SUGEVAL, y el alcance
de la carta emitida por la SUGEF.
Excepciones de control
 La organización deberá llevar un registro con las excepciones de control que se han
identificado a través de auditorías internas, auditorías externas, autoevaluaciones, revisiones
de terceros, reportes de usuarios o solicitudes de excepciones de control.
 Se deberán identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes producto del monitoreo del marco de control interno de TI.
 Según el riesgo que representen, se deberán escalar las excepciones de control a los
interesados para establecer acciones correctivas necesarias.
 La Administración informará a las partes afectadas por la excepción de control.

Página: 6

MANUAL
Sobre las Autoevaluaciones
 Se deberá evaluar la completitud y efectividad de los controles internos de TI sobre los

procesos, las políticas y contratos para el beneficio de la organización, adicionalmente de
cumplir con un requisito legal de SUGEF para autoevaluar toda la organización.
 La autoevaluación general de los procesos de control interno de TI se aplicará anualmente

considerando como fecha límite para su finalización la que la organización haya definido
para que ésta sea integrada con la autoevaluación completa de la organización.
 Los procesos que deben autoevaluarse son los procesos que se hayan seleccionado para el
Marco de Gestión de TI o los que indique el regulador.
 La herramienta para autoevaluarse será la Matriz de Evaluación de la Gestión de TI emitida

oficialmente por el regulador o cualquier otra herramienta que éste indique. En esta
herramienta se establecen los criterios de evaluación, la forma en que debe ser aplicada, así
como las salidas esperadas.
 Los resultados de autoevaluación deben ser considerados para establecer planes de mejora.
 El Jefe de TI es el responsable de coordinar y ejecutar la evaluación y convocará a los

involucrados en el proceso.
 El marco de control interno deberá ser realimentado y mejorado producto de las
autoevaluaciones.
 Cuando la autoevaluación haya finalizado, sus resultados se comunicarán a los involucrados

según el proceso interno de autoevaluación de la organización y será remitida a la SUGEF
según la normativa vigente.
 Previo a la ejecución de la autoevaluación, se validan los criterios de evaluación vigentes

por normativa, los roles y responsabilidades de los participantes, las herramientas que serán
utilizadas y la comunicación y envío de los resultados.
Aseguramiento del control interno

Página: 7

MANUAL
 El Aseguramiento del control interno será efectuado mediante auditorías internas y externas
contratadas a un tercero con las credenciales adecuadas, las políticas de “Revisiones de
Auditoría” que se establecen en este manual son las que aplican para este ámbito.
Control interno para terceros
 Para aquellos proveedores de servicios de TI cuyo fallo pueden afectar de forma

significativa las operaciones de la organización, se evaluará el cumplimiento de los
controles que respaldan las condiciones establecidas en el contrato y así confirmar que sus
servicios cumplen con los requerimientos legales y regulatorios y obligaciones
contractuales. Esto solo cuando el regulador lo solicite, pues la evaluación de proveedores
ejecuta revisiones de cumplimiento contractuales.
 La evaluación del estado de los controles internos de los proveedores de servicios externos
podrá:
o ser realizada por el Departamento de TI, sea de forma directa o por contratación de
un tercero.
o ser ejecutada por un tercero que contrate el proveedor de servicio.

o ser sustituida por una certificación de un tercero que asegure el cumplimiento
razonable de los controles.
Acciones correctivas
 Se deberán establecer y ejecutar acciones correctivas necesarias con base en las

evaluaciones y en los reportes de control.
 La organización contará con acciones correctivas que muestren las respuestas
administrativas, los responsables de su ejecución, y los resultados de ejecución.
Página: 8

MANUAL
7. Proceso para supervisar el Control Interno de TI

ID Entrada Actividad Responsable Salida
1 Resultados de Desarrollar un plan de las Jefe de TI Plan de las
las evaluaciones actividades de monitoreo de actividades de
de riegos control interno que serán monitoreo de
ejecutadas durante un año. control interno
Informes del Considerar las mejoras que se
SGSI han efectuado, los riesgos
relevantes y estándares que
Buenas permitan una adecuada
prácticas evaluación de los controles de
TI.
Frecuencia: Anual
2 Plan de las Presentar el Plan de las Jefe de TI Plan de las
actividades de actividades de monitoreo de actividades de
monitoreo de control interno al Comité de TI, monitoreo de
control interno discutir de ser necesario el control interno
contenido presupuestario para el aprobado
desarrollo de éste y solicitar su
aprobación.
Frecuencia: Anual
3 Plan de las Comunicar a los involucrados de Jefe de TI Plan de las
actividades de plan para asegurar que se tengan actividades de
monitoreo de los recursos necesarios. monitoreo de
control interno control interno
aprobado Frecuencia: Anual aprobado y
comunicado
4 Plan de las Se ejecuta el plan según los Jefe de TI Actividades del
actividades de establecido y se justifican las plan ejecutadas
monitoreo de desviaciones si se dan.
control interno Desviaciones
aprobado y Frecuencia: Anual
comunicado
5 Actividades del Se comunica al Comité de TI el Jefe de TI Comunicación de
plan ejecutadas avance del Plan de las Oficial de los controles o
actividades de monitoreo de Riesgos mejoras
Desviaciones control interno, según los implementados
compromisos de fechas
Página: 9

MANUAL

establecidos.
Frecuencia: Trimestral
8. Proceso para revisar la efectividad de los controles
I Entrada Actividad Responsable Salida
D
1 Riesgo operativo Una vez que se hayan Dueños de los Controles
de los procesos de identificado los riesgos procesos utilizados para
negocio operativos inherentes Oficial de mitigar los riesgos
identificados y de los procesos de Riesgos operativos
evaluados negocio, se identifican
los controles utilizados
para mitigar dichos
riesgos.
Frecuencia: Anual
2 Controles de TI Analizar si el control Dueños de los Efectividad de los

utilizados para trata de forma efectiva procesos controles
mitigar los riesgos el riesgo ya sea porque Oficial de utilizados para
operativos disminuye el impacto o Riesgos mitigar los riesgos
la probabilidad y
asignar la efectividad Deficiencias de
del control según las control
escalas establecidas en
la metodología de
riesgo operativo.
Frecuencia: Anual
3 Deficiencias de Para aquellos controles Dueños de los Mejora de

control que requieren de una procesos controles
mejora o para aquellos Oficial de deficientes o
Riesgos fuera de riesgos que superen el Riesgos Planteamiento de
apetito sin apetito al riesgo, se nuevos controles
controles deben plantear las
mejoras y ejecutar las
acciones correctivas.
Frecuencia: Anual
Página: 10

MANUAL

D
4 Mejora de Se comunica al Comité Dueños de los Comunicación de
controles de TI de las mejoras procesos las mejoras al
deficientes o que deben ejecutarse y Oficial de control
planteamiento de el compromiso de Riesgos
nuevos controles fecha
Frecuencia: Anual
5 Controles Se comunica al Comité Comunicación de

mejorados o de TI los controles Oficial de los controles o
implementados implementados o Riesgos mejoras
mejorado según los Jefatura TI implementados
compromisos de fechas
establecidos
Frecuencia: Trimestral
9. Proceso para realizar la autoevaluación

D
1 Matriz de Analizar la Matriz de Jefe de TI Planes y criterios
Evaluación de la Evaluación de la Gestión de TI de
Gestión de TI para: autoevaluación
emitida 1. Validar si se comprenden
oficialmente por el las instrucciones que se
regulador o emiten
cualquier otra 2. Definir las fechas de
herramienta que entrega de la
éste indique autoevaluación
3. Establecer:
Fecha de envío de a. Responsable de
la autoevaluación ejecutar el proceso
al regulador b. Método que será
utilizado para
obtener los
resultados
c. Participantes
d. Comunicación de
Página: 11

MANUAL

D
resultados
Frecuencia: Anual
2 Planes y criterios Ejecutar las actividades para Responsable de Matriz de
de aplicar el método que se ejecutar el Evaluación de la
Autoevaluación estableció en el paso anterior, proceso Gestión de TI
asegurar que los resultados llena
obtenidos cumplan con los
requisitos del regulador
Frecuencia: Anual
3 Matriz de Validar los resultados Responsable de Comparativo con

Evaluación de la comparando con años ejecutar el el año anterior
Gestión de TI anteriores y comprender las proceso
causas raíz en caso de Causas raíz de
desmejora de resultados. En desviaciones
caso de que el reglador emita
datos se podrá evaluar la
posición de la organización
según otros participantes del
mercado.
Frecuencia: Anual
4 Matriz de Presentar los resultados según Responsable de Resultados

Evaluación de la se definió en el paso 3 y ejecutar el analizados
Gestión de TI presentar las actividades de proceso o Jefe
llena mejora de TI Actividades de
Frecuencia: Anual mejora
Comparativo con
el año anterior
Causas raíz de
desviaciones
5 Actividades de Modificar los controles de TI Jefe de TI Controles
mejora para atender las deficiencias mejorados
encontradas
Página: 12

MANUAL

D
Frecuencia: la establecida
Página: 13

MANUAL
10.Proceso de administración de excepciones de control

1 Auditorías internas, Registrar la excepción de control Solicitante o Registro de
auditorías externas, considerando: quien excepción de
autoevaluaciones, 1. Solicitante identifique la control
revisiones de terceros, 2. Hallazgo que explica la excepción de
reportes de usuarios o excepción de control control
solicitudes de 3. Causa raíz
excepciones de 4. Acciones correctivas propuestas
control con su responsable de ejecución
Frecuencia: cada vez que haya una
excepción de control
2 Registro de excepción Validar las acciones correctivas Jefe de TI Registro de
de control propuestas en el registro de excepción excepción de
de control. control
revisado
Si lo considera pertinente, puede
rechazar la solicitud de excepción.
incluir o modificar las acciones
correctivas propuestas para mejorar el
marco de gestión.
3 Registro de excepción Comunicar las excepciones de control Jefe de TI Excepción de

de control revisado a la Gerencia General. control
La Gerencia evaluará si es necesario comunicada
elevar dicha excepción para su
conocimiento al Consejo de
Administración.
4 Registro de excepción Evaluar la excepción de control Jefe de TI Registro de

de control revisado considerando: excepción de
1. Patrones, es decir, si hay un control
patrón establecido aprobado
2. Riesgos o Consecuencias
asociadas a la excepción
3. Impactos ya causados, es decir, si
Página: 14

MANUAL

no existen acciones que
comprueben que las
consecuencias o riesgos son
eventos que ya han causado algún
impacto mayor.
4. Escalación de comunicación del
hallazgo, es decir, si la
comunicación de la excepción y
su impacto deberá ser hacia el
individuo involucrado o será
escalada a niveles superiores y
aprobará las acciones correctivas.

incluir o modificar las acciones
correctivas propuestas para mejorar el
marco de gestión.
Las excepciones que tienen impacto
en cumplimiento en normativa o en
indicadores financieros serán
analizadas inmediatamente y
comunicada el criterio/observación a
la Administración para que proceda a
ejecutar acciones correctivas. El resto
de las excepciones serán tomadas en
cuenta para las próximas evaluaciones
de control interno.
5 Registro de excepción Informar a la Gerencia General sobre Responsable de Acciones

de control aprobado el avance y completitud de las ejecutar correctivas
acciones correctivas asociadas a la acciones ejecutadas
excepción de control. correctivas
6 Acciones correctivas Dar seguimiento a las acciones Jefe de TI Registro de

ejecutadas correctivas asociadas a la excepción excepción de
de control, revisando su completitud. control cerrado
Si no se requieren acciones
adicionales, procede a cerrar el
registro de excepción de control.
Página: 15

MANUAL

11.Proceso para llevar a cabo iniciativas de aseguramiento del control

interno (Auditorías internas o externas)
1 Estrategia para la Establecer la auditoría a Jefe de TI Auditoría
validación de realizar para ellos verificar: Consejo de contratada
controles Administración
1. Si la estrategia de atención
Requerimiento implica una auditoría
regulatorio interna o externa.
2. Si el Comité de auditoría
tiene planeada alguna
auditoría que podría ser
considerada como parte de
la estrategia.
3. Si se requiere la
contratación de la auditoría
interna o externa.
4. Si se requiere la
contratación de la auditoría
regulatoria
Según lo analizado se
selecciona el tipo de auditoría y
se procede con la contratación.
Tomando de guía la MT-001-
001 “Metodología para la
valoración previa a la
contratación de auditoría
externa e interna” la cual vela
por las especificaciones previas
a la contratación de la
Auditoría Interna Y Externa.
Página: 16

MANUAL

2 Auditoría La auditoría contratada Auditoría Plan de trabajo
contratada presenta el plan de trabajo en el contratada
cual se define al menos las
actividades por ejecutar, las
personas involucradas, y la
información requerida.
Se debe validar que las
actividades incluyan:
evaluaciones de alto nivel,
evaluaciones detalladas,
criterios de evaluación, alcance
de evaluación, estándares
utilizados, entre otros.
3 Plan de trabajo La auditoría contratada Auditoría Informe final
presenta el plan de trabajo y contratada de Auditoría
recaba las evidencias
necesarias, construye el
informe, lo presenta, se
resuelven discrepancias y se
emite el Informe final de
Auditoría.
4 Informe final de Si la Auditoría es regulatoria se Jefe de TI Productos de

Auditoría siguen las actividades auditoría
establecidas por el regulador. enviados al
Sino se comunican los regulador si es
resultados y se establecen normativa
acciones correctivas
Frecuencia: la establecida Acciones
correctivas
5 Acciones Se aplican las mejoras a los Jefe de TI Controles
correctivas controles para asegurar la mejorados
efectividad de éstos y el
tratamiento del riesgo presente
Página: 17

MANUAL
12.Instrucciones para la Contratación de la Auditoría Normativa de TI

Frecuencia de la auditoría externa independiente
La Cooperativa deberá someterse a una Auditoría externa de los procesos que integran el marco
para la gestión de TI por parte de un Auditor Externo, cada vez que la SUGEF lo solicite
formalmente mediante una circular. La SUGEF comunicará a la Cooperativa la fecha de remisión
de los productos de la Auditoría con una anticipación que se establece la Normativa vigente. Con
base en esta fecha de solicitud de los productos, la Cooperativa debe contratar los servicios de
auditoría externa, de forma tal que la Cooperativa cumpla con la entrega en el tiempo establecido
por el regulador.
El tipo de auditoría externa de TI requerida es una auditoría directa que brinde un alto nivel, pero no
absoluto, de aseguramiento acerca de la efectividad de los controles sobre los procesos y debe
involucrar al menos lo siguiente:
1. Planificación del trabajo a realizar, identificando los recursos requeridos.

2. Evaluación de la efectividad del diseño de los procedimientos de control.
3. Prueba de la efectividad operativa de los procedimientos de control.
4. Formulación de una conclusión sobre el diseño y la efectividad operativa de los procedimientos
de control.
Alcance de la auditoría externa independiente

La Auditoría externa de TI abarca como mínimo los procesos contemplados en el Marco de gestión
de TI de la Cooperativa, indiferentemente de que dichos procesos sean provistos, en parte o
totalmente, por el Departamento de Tecnología de Información o por un Proveedor de tecnologías
de información por subcontratación, sin embargo. el alcance de la auditoría será definido por la
SUGEF según el oficio enviado a la Cooperativa.
Requisitos y Adquisición de la auditoría externa independiente

Página: 18

MANUAL
La contratación del Auditoría externa de TI debe cumplir con los requisitos establecidos por la
SUGEF, adicionalmente se debe valorar los métodos que serán solicitados para las validaciones de
alcance que el regulador solicite. En la “Metodología para la valoración previa a la contratación de
auditoría Externa e Interna” donde se detallan los requisitos a validar.
Control de versiones:
Descripción del
Número de versión Fecha de aprobación Origen del Cambio
cambio
2.0 Definiciones La definición de
marco de Gestión
hace referencia a
Acuerdo SUGEF 14-
17 ahora Acuerdo
CONASSIF 5-17. Esto
debido a los
mecanismos que
regulan el intercambio
de Información entre
las Superintendencias
del Sistema Financiero
adscritas al Banco
Central de Costa Rica.
2.0 Proceso para revisar
la efectividad de los
controles Se detalla que los
riesgos a los cuales se
deben tomar acciones
correctivas son los
que superen el apetito
al riesgo.
2.0 Proceso para llevar a Se hace referencia a la

cabo iniciativas de Metodología para la
Página: 19

MANUAL
aseguramiento del valoración previa a la

control interno contratación de
(Auditorías internas o auditoría externa e
externas). interna.
2.0 Requisitos y Se homologa la
Adquisición de la referencia de
auditoría externa requisitos y
independiente. adquisiciones las
cuales se toma la
Metodología para la
contratación de
auditoría Externa e
Interna como guía de
referencia.
2.0 Documentos Se elimina la
Relacionados referencia al
documento
“Especificaciones y
criterios de decisión
de adquisición -
Auditoría Externa TI”
y se referencia la
“Metodología para la
contratación de
auditoría Externa e
Interna”

MA-TI-40-01 Monitorear y Evaluar El Control Interno de TI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MA-TI-40-01 Monitorear y Evaluar El Control Interno de TI

Cargado por

Copyright:

Formatos disponibles

COOPESANMARCOS R.L. Versión: 2.

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

Monitorear y evaluar el Control Interno de TI

El Jefe de TI es el responsable de gestionar las excepciones de control.

Código Nombre del documento

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

Hallazgo: Se refiere a las debilidades, deficiencias o brechas apreciables respecto a un criterio o

Control Interno: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas

Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

Métrica: Un estándar para medir el desempeño contra la meta.

Perfil tecnológico: Descripción de la estructura organizacional, los procesos y la infraestructura de

Proveedor de tecnologías de información: Persona física o jurídica que provee o presta un

Tecnología de información (TI): Conjunto de técnicas que permiten la captura, almacenamiento,

TI: Tecnología de Información.

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

 El monitoreo y evaluación del marco de control interno de TI deberá ser continuo. El

 El marco de control interno de TI deberá ser realimentado y mejorado producto de

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

 La frecuencia y el alcance de estas revisiones las definirá el Jefe de TI, considerando el

 Las Auditorías estarán orientadas a mejorar la efectividad de los controles internos.

 Cuando se recibe la carta de SUGEF solicitando los productos de la Auditoría Externa

 La Administración informará a las partes afectadas por la excepción de control.

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

Sobre las Autoevaluaciones

 Se deberá evaluar la completitud y efectividad de los controles internos de TI sobre los

 La autoevaluación general de los procesos de control interno de TI se aplicará anualmente

 La herramienta para autoevaluarse será la Matriz de Evaluación de la Gestión de TI emitida

 El Jefe de TI es el responsable de coordinar y ejecutar la evaluación y convocará a los

 Cuando la autoevaluación haya finalizado, sus resultados se comunicarán a los involucrados

 Previo a la ejecución de la autoevaluación, se validan los criterios de evaluación vigentes

Aseguramiento del control interno

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

Control interno para terceros

 Para aquellos proveedores de servicios de TI cuyo fallo pueden afectar de forma

o ser ejecutada por un tercero que contrate el proveedor de servicio.

 Se deberán establecer y ejecutar acciones correctivas necesarias con base en las

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

7. Proceso para supervisar el Control Interno de TI

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

ID Entrada Actividad Responsable Salida

2 Controles de TI Analizar si el control Dueños de los Efectividad de los

3 Deficiencias de Para aquellos controles Dueños de los Mejora de

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

I Entrada Actividad Responsable Salida

5 Controles Se comunica al Comité Comunicación de

9. Proceso para realizar la autoevaluación

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI

I Entrada Actividad Responsable Salida

3 Matriz de Validar los resultados Responsable de Comparativo con

4 Matriz de Presentar los resultados según Responsable de Resultados

Fecha creación: 15/06/2020

Responsable: Jefe de TI Aprobado por: Jefe de TI