GTI-MA-M502-001-003 Manual Monitorear y Evaluar El Control Interno de TI

Coope San Marcos R.L.
Manual
Monitorear y Evaluar el
Control Interno de TI
COOPESANMARCOS R.L. Versión: 003
CODIGO: GTI-MA-M502-001-003 Página: 2
Fecha creación: 13-07-2023

MANUAL
Rige hasta: Uso Indefinido
MONITOREAR Y EVALUAR EL CONTROL INTERNO DE TI
Tipo documento: Uso Interno
Responsable: Jefe de TI Aprobado por: Consejo de Administración
Tabla de contenido
Monitorear y evaluar el Control Interno de TI ...................................................................................3
1. Objetivo ..................................................................................................................................3
2. Alcance ...................................................................................................................................3
3. Responsables ..........................................................................................................................3
4. Documentos relacionados ......................................................................................................4
5. Definiciones ............................................................................................................................4
6. Lineamientos ..........................................................................................................................7
7. Proceso para supervisar el Control Interno de TI .................................................................12
8. Proceso para revisar la efectividad de los controles.............................................................13
9. Proceso para realizar la autoevaluación ...............................................................................14
10. Proceso de administración de excepciones de control .....................................................16
11. Proceso para llevar a cabo iniciativas de aseguramiento del control interno (Auditorías
internas o externas) .....................................................................................................................18
12. Instrucciones para la Contratación de la Auditoría Normativa de TI ................................20
Frecuencia de la auditoría externa independiente ...............................................................20
Alcance de la auditoría externa independiente .....................................................................20
Requisitos y Adquisición de la auditoría externa independiente .........................................21
13. Control de versiones:........................................................................................................21

MANUAL
Monitorear y evaluar el Control Interno de TI
1. Objetivo
Establecer un marco de trabajo que permita supervisar y evaluar de forma continua el

entorno de control, incluyendo tanto autoevaluaciones como revisiones externas
independientes, con el fin de mejorar el ambiente de control de TI y aplicar acciones de
mejora.
2. Alcance
Este manual guía al Departamento de Tecnología de Información durante el proceso de
validación el cumplimiento del esquema de control interno establecido al área de TI, facilitando
la planificación, organización y mantenimiento de normas para la evaluación del control interno
y las actividades de aseguramiento.
3. Responsables
El Jefe de TI será responsable de velar por mantener procesos de evaluación del sistema de
control interno de TI, ya sea por contrataciones de terceros que ejecutarán la evaluación o por
la aplicación de autoevaluaciones, en ambos casos las respuestas las deben brindar el Jefe de
TI, los funcionarios de TI y los involucrados en el marco de gestión de TI.
El Jefe de TI es el responsable de gestionar las excepciones de control.


MANUAL
4. Documentos relacionados
Código Nombre del documento

FO-TI-40-01 Formulario de Excepción de Control
FO-TI-40-02 Plantilla para desarrollar una auditoría interna de TI
FO-TI-40-03 Revisión de requisitos Auditoría Externa de TI
COA-MT-001- Metodología para la valoración previa a la contratación de auditoría
001 Externa e Interna
FO-TI-40-05 Formulario Plan de Actividades de Monitoreo
Matriz de Evaluación de TI – emitida por SUGEF
MT-001-001 Metodología de Contratación de Auditoría
5. Definiciones
Análisis de causa raíz: Proceso de aprendizaje a partir de las consecuencias, típicamente de
los errores y problemas.
Cobit®: Marco de referencia de buenas prácticas para el control de TI. Acrónimo en inglés de
Objetivos de Control para la Información y la Tecnología Relacionada, emitido por el IT
Governance Institute®.
Hallazgo: Se refiere a las debilidades, deficiencias o brechas apreciables respecto a un criterio

o estándar previamente definido.

MANUAL
Control general: También conocido como control general de TI. Un control que se aplica al
funcionamiento general de los sistemas de TI de la organización y a un conjunto amplio de
soluciones automatizadas (aplicaciones).
Control Interno: Las políticas, procedimientos, prácticas y estructuras organizacionales

diseñadas para brindar una garantía razonable de que los objetivos del negocio se alcanzarán y
de que los eventos indeseables serán prevenidos o detectados y corregidos.
Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para

proporcionar una garantía razonable de que los objetivos del negocio se alcanzarán y los
eventos no deseados serán prevenidos o detectados.
Estándar: Una práctica de negocio o producto tecnológico que es una práctica aceptada,
avalada por la empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar
para dar soporte a una política o a un proceso, o como respuesta a una necesidad operativa. Así
como las políticas, los estándares deben incluir una descripción de la forma en que se detectará
el incumplimiento.
Excepción de control: Una práctica de la organización que incumple los controles establecidos,
es decir, que no sigue las políticas, procedimientos, practicas, estructuras organizacionales y
metas diseñadas para proporcionar una garantía razonable de que los objetivos del negocio se
alcanzarán y los eventos no deseados serán prevenidos o detectados.
Marco de control: Una herramienta para los dueños de los procesos de negocio que facilita la
descarga de sus responsabilidades a través de la procuración de un modelo de control de
soporte. El marco de gestión incluye los procesos de Cobit® que la organización establece
conforme a la naturaleza y la complejidad de sus operaciones. El marco de gestión incluye los
procesos seleccionados del Anexo 1 del Reglamento General de Gestión de la Tecnología de
Información, Acuerdo SUGEF 14-17

MANUAL
Métrica: Un estándar para medir el desempeño contra la meta.
Objetivo de control: Una declaración del resultado o propósito que se desea alcanzar al
Implementar procedimientos de control en un proceso en particular.
Perfil tecnológico: Descripción de la estructura organizacional, los procesos y la

infraestructura de TI de la entidad, así como del nivel de automatización de sus procesos de
negocio y de gestión del riesgo.
Proceso: Por lo general, un conjunto de procedimientos influenciados por las políticas y

estándares de la organización, que toma las entradas provenientes de un número de fuentes,
incluyendo otros procesos, manipula las entradas, y genera salidas, incluyendo a otros
procesos, para los clientes de los procesos. Los procesos tienen razones claras de negocio para
existir, dueños responsables, roles claros y responsabilidades alrededor de la ejecución del
proceso, así como los medios para medir el desempeño.
Proveedor de tecnologías de información: Persona física o jurídica que provee o presta un

servicio relacionado con la tecnología de información, sea independiente o que pertenezca al
mismo grupo o conglomerado financiero, incluyendo las casas matrices.
Tecnología de información (TI): Conjunto de técnicas que permiten la captura,

almacenamiento, transformación, transmisión y presentación de la información generada o
recibida a partir de procesos, de manera que pueda ser organizada y utilizada en forma
consistente y comprensible por los usuarios que estén relacionados con ella. Incluye elementos
de hardware, software, telecomunicaciones y conectividad.
TI: Tecnología de Información.


MANUAL
6. Lineamientos
Alcance del monitoreo y evaluación
• La evaluación del marco de control interno de TI se aplicará para los procesos que se
hayan marcado en el marco de gestión de TI en el último perfil tecnológico enviado a la
SUGEF. Este marco para la gestión de TI debe ser congruente con la naturaleza y la
complejidad de sus operaciones.
• El monitoreo y evaluación del marco de control interno de TI deberá ser continuo. El

departamento de TI ejecutará autoevaluaciones anuales y podrá contratar auditorías
internas y externas, utilizando como período ya sea lo indicado por la SUGEF o cuando
considere pertinente pues se han finalizado las actividades de mejora continua del
último proceso contratado. El proceso de monitoreo del control interno de TI se
ejecutará durante la valoración del riesgo operativo, con la evaluación de la efectividad
de los controles de TI.
• El marco de control interno de TI deberá ser realimentado y mejorado producto de

auditorías internas, auditorías externas, autoevaluaciones, revisiones de terceros, y el
benchmarking versus organizaciones similares, versus organizaciones del sector o
versus las mejores prácticas de la industria.
• Los resultados de las revisiones y supervisión del control interno, así como los
resultados de estudios comparativos y otras evaluaciones serán documentados como
evidencia del proceso.
• Las deficiencias de controles identificadas en las revisiones deberán ser comunicadas a

las instancias que el Jefe de TI considere pertinentes, deberán ser atendidas por el

MANUAL
departamento de TI y se deberá dejar evidencia de los cambios efectuados como parte

de las acciones correctivas.
Revisiones de Auditoría
• Se deberán llevar a cabo evaluaciones formales del marco de control interno de TI por
medio de revisiones de auditoría, considerando dentro de su alcance el cumplimiento
de políticas y estándares de TI, elementos de seguridad de la información, y la aplicación
de controles que atiendan los principales riesgos.
• La frecuencia y el alcance de estas revisiones las definirá el Jefe de TI, considerando el

ciclo de las auditorías de la SUGEF o la necesidad de mejora en ciertos procesos
identificados. Las auditorías podrán ser parciales o totales al Marco de Gestión de TI, y
podrán ser internas o externas.
• Las revisiones de Auditoría deben ser ejecutadas por individuos cuyas credenciales
sean acordes al nivel de valoración de controles que se ejecutan, esto debe quedar
evidenciado en el informe de salida. Los auditores podrán ser contratados tanto por el
Jefe de TI como por la Auditoría Interna, sin embargo, la responsabilidad de asegurar
revisiones independientes recae sobre el Jefe de TI.
• Las Auditorías estarán orientadas a mejorar la efectividad de los controles internos.
• Cuando se recibe la carta de SUGEF solicitando los productos de la Auditoría Externa

normativa, se debe seguir el proceso de contratación según las especificaciones de la
normativa, considerando los requisitos del registro de auditores de SUGEVAL, y el
alcance de la carta emitida por la SUGEF.

MANUAL
Excepciones de control
• La organización deberá llevar un registro con las excepciones de control que se han
identificado a través de auditorías internas, auditorías externas, autoevaluaciones,
revisiones de terceros, reportes de usuarios o solicitudes de excepciones de control.
• Se deberán identificar las excepciones de control, y analizar e identificar sus causas raíz
subyacentes producto del monitoreo del marco de control interno de TI.
• Según el riesgo que representen, se deberán escalar las excepciones de control a los
interesados para establecer acciones correctivas necesarias.
• La Administración informará a las partes afectadas por la excepción de control.
Sobre las Autoevaluaciones
• Se deberá evaluar la completitud y efectividad de los controles internos de TI sobre los

procesos, las políticas y contratos para el beneficio de la organización, adicionalmente
de cumplir con un requisito legal de SUGEF para autoevaluar toda la organización.
• La autoevaluación general de los procesos de control interno de TI se aplicará

anualmente considerando como fecha límite para su finalización la que la organización
haya definido para que ésta sea integrada con la autoevaluación completa de la
organización.
• Los procesos que deben autoevaluarse son los procesos que se hayan seleccionado para
el Marco de Gestión de TI o los que indique el regulador.
• La herramienta para autoevaluarse será la Matriz de Evaluación de la Gestión de TI

emitida oficialmente por el regulador o cualquier otra herramienta que éste indique. En

MANUAL
esta herramienta se establecen los criterios de evaluación, la forma en que debe ser
aplicada, así como las salidas esperadas.
• Los resultados de autoevaluación deben ser considerados para establecer planes de

mejora.
• El Jefe de TI es el responsable de coordinar y ejecutar la evaluación y convocará a los

involucrados en el proceso.
• El marco de control interno deberá ser realimentado y mejorado producto de las
autoevaluaciones.
• Cuando la autoevaluación haya finalizado, sus resultados se comunicarán a los

involucrados según el proceso interno de autoevaluación de la organización y será
remitida a la SUGEF según la normativa vigente.
• Previo a la ejecución de la autoevaluación, se validan los criterios de evaluación vigentes

por normativa, los roles y responsabilidades de los participantes, las herramientas que
serán utilizadas y la comunicación y envío de los resultados.
Aseguramiento del control interno
• El Aseguramiento del control interno será efectuado mediante auditorías internas y

externas contratadas a un tercero con las credenciales adecuadas, las políticas de
“Revisiones de Auditoría” que se establecen en este manual son las que aplican para
este ámbito.

MANUAL
Control interno para terceros
• Para aquellos proveedores de servicios de TI cuyo fallo pueden afectar de forma

significativa las operaciones de la organización, se evaluará el cumplimiento de los
controles que respaldan las condiciones establecidas en el contrato y así confirmar que
sus servicios cumplen con los requerimientos legales y regulatorios y obligaciones
contractuales. Esto solo cuando el regulador lo solicite, pues la evaluación de
proveedores ejecuta revisiones de cumplimiento contractuales.
• La evaluación del estado de los controles internos de los proveedores de servicios

externos podrá:
o ser realizada por el Departamento de TI, sea de forma directa o por contratación
de un tercero.
o ser ejecutada por un tercero que contrate el proveedor de servicio.

o ser sustituida por una certificación de un tercero que asegure el cumplimiento
razonable de los controles.
Acciones correctivas
• Se deberán establecer y ejecutar acciones correctivas necesarias con base en las

evaluaciones y en los reportes de control.
• La organización contará con acciones correctivas que muestren las respuestas
administrativas, los responsables de su ejecución, y los resultados de ejecución.

MANUAL
7. Proceso para supervisar el Control Interno de TI

ID Entrada Actividad Responsable Salida
1 Resultados de Desarrollar un plan de las Jefe de TI Plan de las
las actividades de monitoreo de actividades de
evaluaciones control interno que serán monitoreo de
de riegos ejecutadas durante un año. control interno
Considerar las mejoras que se han
Informes del efectuado, los riesgos relevantes y
SGSI estándares que permitan una
adecuada evaluación de los
Buenas controles de TI.
prácticas
Frecuencia: Anual
2 Plan de las Presentar el Plan de las Jefe de TI Plan de las
actividades de actividades de monitoreo de actividades de
monitoreo de control interno al Comité de TI, monitoreo de
control interno discutir de ser necesario el control interno
contenido presupuestario para el aprobado
desarrollo de éste y solicitar su
aprobación.
Frecuencia: Anual
3 Plan de las Comunicar a los involucrados de Jefe de TI Plan de las
actividades de plan para asegurar que se tengan actividades de
monitoreo de los recursos necesarios. monitoreo de
control interno control interno
aprobado Frecuencia: Anual aprobado y
comunicado
4 Plan de las Se ejecuta el plan según los Jefe de TI Actividades del
actividades de establecido y se justifican las plan ejecutadas
monitoreo de desviaciones si se dan.
control interno Desviaciones
aprobado y Frecuencia: Anual
comunicado
5 Actividades del Se comunica al Comité de TI el Jefe de TI Comunicación
plan ejecutadas avance del Plan de las actividades Oficial de de los controles
de monitoreo de control interno, Riesgos o mejoras
Desviaciones según los compromisos de fechas implementados
establecidos.

MANUAL

Frecuencia: Trimestral
8. Proceso para revisar la efectividad de los controles

1 Riesgo Una vez que se hayan Dueños de Controles
operativo de identificado los riesgos los procesos utilizados para
los procesos de operativos inherentes de Oficial de mitigar los
negocio los procesos de negocio, Riesgos riesgos
identificados y se identifican los operativos
evaluados controles utilizados para
mitigar dichos riesgos.
Frecuencia: Anual
2 Controles de TI Analizar si el control Dueños de Efectividad de

utilizados para trata de forma efectiva el los procesos los controles
mitigar los riesgo ya sea porque Oficial de utilizados para
riesgos disminuye el impacto o la Riesgos mitigar los
operativos probabilidad y asignar la riesgos
efectividad del control
según las escalas Deficiencias de
establecidas en la control
metodología de riesgo
operativo.
Frecuencia: Anual
3 Deficiencias de Para aquellos controles Dueños de Mejora de

control que requieren de una los procesos controles
mejora o para aquellos Oficial de deficientes o
Riesgos fuera riesgos que superen el Riesgos Planteamiento
de apetito sin apetito al riesgo, se de nuevos
controles deben plantear las controles
mejoras y ejecutar las
acciones correctivas.
Frecuencia: Anual
4 Mejora de Se comunica al Comité de Dueños de Comunicación

controles TI de las mejoras que los procesos de las mejoras
deficientes o al control

MANUAL

planteamiento deben ejecutarse y el Oficial de
de nuevos compromiso de fecha Riesgos
controles Frecuencia: Anual
5 Controles Se comunica al Comité de Comunicación

mejorados o TI los controles Oficial de de los
implementados implementados o Riesgos controles o
mejorado según los Jefatura TI mejoras
compromisos de fechas implementados
establecidos
Frecuencia: Trimestral
9. Proceso para realizar la autoevaluación

1 Matriz de Analizar la Matriz de Evaluación Jefe de TI Planes y
Evaluación de de la Gestión de TI para: criterios de
la Gestión de TI 1. Validar si se comprenden las autoevaluación
emitida instrucciones que se emiten
oficialmente 2. Definir las fechas de entrega
por el de la autoevaluación
regulador o 3. Establecer:
cualquier otra a. Responsable de
herramienta ejecutar el proceso
que éste b. Método que será
indique utilizado para obtener
los resultados
Fecha de envío c. Participantes
de la d. Comunicación de
autoevaluación resultados
al regulador
Frecuencia: Anual
2 Planes y Ejecutar las actividades para Responsable Matriz de
criterios de aplicar el método que se estableció de ejecutar el Evaluación de
Autoevaluación en el paso anterior, asegurar que proceso la Gestión de TI
los resultados obtenidos cumplan llena
con los requisitos del regulador
Frecuencia: Anual

MANUAL
3 Matriz de Validar los resultados Responsable Comparativo

Evaluación de comparando con años anteriores y de ejecutar el con el año
la Gestión de TI comprender las causas raíz en proceso anterior
caso de desmejora de resultados.
En caso de que el reglador emita Causas raíz de
datos se podrá evaluar la posición desviaciones
de la organización según otros
participantes del mercado.
Frecuencia: Anual
4 Matriz de Presentar los resultados según se Responsable Resultados

Evaluación de definió en el paso 3 y presentar las de ejecutar el analizados
la Gestión de TI actividades de mejora proceso o Jefe
llena Frecuencia: Anual de TI Actividades de
mejora
Comparativo
con el año
anterior
Causas raíz de
desviaciones
5 Actividades de Modificar los controles de TI para Jefe de TI Controles
mejora atender las deficiencias mejorados
encontradas
Frecuencia: la establecida

MANUAL
10. Proceso de administración de excepciones de control

1 Auditorías Registrar la excepción de control Solicitante o Registro de
internas, considerando: quien excepción de
auditorías 1. Solicitante identifique la control
externas, 2. Hallazgo que explica la excepción de excepción de
autoevaluaciones, control control
revisiones de 3. Causa raíz
terceros, reportes 4. Acciones correctivas propuestas con
de usuarios o su responsable de ejecución
solicitudes de Frecuencia: cada vez que haya una
excepciones de excepción de control
control
2 Registro de Validar las acciones correctivas Jefe de TI Registro de
excepción de propuestas en el registro de excepción de excepción de
control control. control
revisado
Si lo considera pertinente, puede
rechazar la solicitud de excepción.
Si lo considera pertinente, puede incluir o
modificar las acciones correctivas
propuestas para mejorar el marco de
gestión.
Frecuencia: cada vez que haya una
excepción de control
3 Registro de Comunicar las excepciones de control a la Jefe de TI Excepción de

excepción de Gerencia General. control
control revisado La Gerencia evaluará si es necesario comunicada
elevar dicha excepción para su
conocimiento al Consejo de
Administración.
4 Registro de Evaluar la excepción de control Jefe de TI Registro de

excepción de considerando: excepción de
control revisado 1. Patrones, es decir, si hay un patrón control
establecido aprobado
2. Riesgos o Consecuencias asociadas a
la excepción
3. Impactos ya causados, es decir, si no
existen acciones que comprueben
que las consecuencias o riesgos son

MANUAL

eventos que ya han causado algún
impacto mayor.
4. Escalación de comunicación del
hallazgo, es decir, si la comunicación
de la excepción y su impacto deberá
ser hacia el individuo involucrado o
será escalada a niveles superiores y
aprobará las acciones correctivas.
Si lo considera pertinente, puede incluir o

modificar las acciones correctivas
propuestas para mejorar el marco de
gestión.
Las excepciones que tienen impacto en
cumplimiento en normativa o en
indicadores financieros serán analizadas
inmediatamente y comunicada el
criterio/observación a la Administración
para que proceda a ejecutar acciones
correctivas. El resto de las excepciones
serán tomadas en cuenta para las
próximas evaluaciones de control
interno.
5 Registro de Informar a la Gerencia General sobre el Responsable Acciones

excepción de avance y completitud de las acciones de ejecutar correctivas
control aprobado correctivas asociadas a la excepción de acciones ejecutadas
control. correctivas
6 Acciones Dar seguimiento a las acciones Jefe de TI Registro de

correctivas correctivas asociadas a la excepción de excepción de
ejecutadas control, revisando su completitud. control
Si no se requieren acciones adicionales, cerrado
procede a cerrar el registro de excepción
de control.

MANUAL
11. Proceso para llevar a cabo iniciativas de aseguramiento del

control interno (Auditorías internas o externas)
1 Estrategia para Establecer la auditoría a realizar Jefe de TI Auditoría
la validación de para ellos verificar: Consejo de contratada
controles Administración
1. Si la estrategia de atención
Requerimiento implica una auditoría interna
regulatorio o externa.
2. Si el Comité de auditoría
tiene planeada alguna
auditoría que podría ser
considerada como parte de la
estrategia.
3. Si se requiere la contratación
de la auditoría interna o
externa.
4. Si se requiere la contratación
de la auditoría regulatoria
Según lo analizado se selecciona

el tipo de auditoría y se procede
con la contratación. Tomando de
guía la MT-001-001
“Metodología para la valoración
previa a la contratación de
auditoría externa e interna” la
cual vela por las especificaciones
previas
a la contratación de la Auditoría
Interna Y Externa.
2 Auditoría La auditoría contratada presenta Auditoría Plan de trabajo

contratada el plan de trabajo en el cual se contratada
define al menos las actividades
por ejecutar, las personas
involucradas, y la información
requerida.

MANUAL

Se debe validar que las
actividades incluyan:
evaluaciones de alto nivel,
evaluaciones detalladas,
criterios de evaluación, alcance
de evaluación, estándares
utilizados, entre otros.
3 Plan de trabajo La auditoría contratada presenta Auditoría Informe final
el plan de trabajo y recaba las contratada de Auditoría
evidencias necesarias, construye
el informe, lo presenta, se
resuelven discrepancias y se
emite el Informe final de
Auditoría.
4 Informe final Si la Auditoría es regulatoria se Jefe de TI Productos de

de Auditoría siguen las actividades auditoría
establecidas por el regulador. enviados al
Sino se comunican los resultados regulador si es
y se establecen acciones normativa
correctivas
Frecuencia: la establecida Acciones
correctivas
5 Acciones Se aplican las mejoras a los Jefe de TI Controles
correctivas controles para asegurar la mejorados
efectividad de éstos y el
tratamiento del riesgo presente

MANUAL
12. Instrucciones para la Contratación de la Auditoría Normativa

de TI
Frecuencia de la auditoría externa independiente
La Cooperativa deberá someterse a una Auditoría externa de los procesos que integran el marco
para la gestión de TI por parte de un Auditor Externo, cada vez que la SUGEF lo solicite
formalmente mediante una circular. La SUGEF comunicará a la Cooperativa la fecha de remisión
de los productos de la Auditoría con una anticipación que se establece la Normativa vigente.
Con base en esta fecha de solicitud de los productos, la Cooperativa debe contratar los servicios
de auditoría externa, de forma tal que la Cooperativa cumpla con la entrega en el tiempo
establecido por el regulador.
El tipo de auditoría externa de TI requerida es una auditoría directa que brinde un alto nivel,
pero no absoluto, de aseguramiento acerca de la efectividad de los controles sobre los
procesos y debe involucrar al menos lo siguiente:
1. Planificación del trabajo a realizar, identificando los recursos requeridos.

2. Evaluación de la efectividad del diseño de los procedimientos de control.
3. Prueba de la efectividad operativa de los procedimientos de control.
4. Formulación de una conclusión sobre el diseño y la efectividad operativa de los
procedimientos de control.
Alcance de la auditoría externa independiente

La Auditoría externa de TI abarca como mínimo los procesos contemplados en el Marco de
gestión de TI de la Cooperativa, indiferentemente de que dichos procesos sean provistos, en
parte o totalmente, por el Departamento de Tecnología de Información o por un Proveedor de
tecnologías de información por subcontratación, sin embargo. el alcance de la auditoría será
definido por la SUGEF según el oficio enviado a la Cooperativa.

MANUAL
Requisitos y Adquisición de la auditoría externa independiente
La contratación del Auditoría externa de TI debe cumplir con los requisitos establecidos por la
SUGEF, adicionalmente se debe valorar los métodos que serán solicitados para las
validaciones de alcance que el regulador solicite. En la “Metodología para la valoración previa
a la contratación de auditoría Externa e Interna” donde se detallan los requisitos a validar.
13. Control de versiones:
Fecha de Descripción del

Número de versión Origen del Cambio
aprobación cambio
003 Definiciones La definición de
marco de Gestión
hace referencia a
Acuerdo SUGEF 14-
17 ahora Acuerdo
CONASSIF 5-17. Esto
debido a los
mecanismos que
regulan el
intercambio de
Información entre las
Superintendencias
del Sistema
Financiero adscritas
al Banco Central de
Costa Rica.

MANUAL
003 Proceso para revisar Se detalla que los

la efectividad de los riesgos a los cuales
controles se deben tomar
acciones correctivas
son los que superen
el apetito al riesgo.
003 Proceso para llevar a Se hace referencia a

cabo iniciativas de la Metodología para
aseguramiento del la valoración previa
control interno a la contratación de
(Auditorías internas auditoría externa e
o externas). interna.
003 Requisitos y Se homologa la
Adquisición de la referencia de
auditoría externa requisitos y
independiente. adquisiciones las
cuales se toma la
Metodología para la
valoración previa a
la contratación de
auditoría Externa e
Interna como guía de
referencia.
003 Documentos Se elimina la
Relacionados referencia al
documento
“Especificaciones y
criterios de decisión
de adquisición -
Auditoría Externa
TI” y se referencia la
“Metodología para la
valoración previa a
la contratación de
auditoría Externa e
Interna”

GTI-MA-M502-001-003 Manual Monitorear y Evaluar El Control Interno de TI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GTI-MA-M502-001-003 Manual Monitorear y Evaluar El Control Interno de TI

Cargado por

Copyright:

Formatos disponibles

Coope San Marcos R.L.

CODIGO: GTI-MA-M502-001-003 Página: 2

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

CODIGO: GTI-MA-M502-001-003 Página: 3

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

Monitorear y evaluar el Control Interno de TI

Establecer un marco de trabajo que permita supervisar y evaluar de forma continua el

El Jefe de TI es el responsable de gestionar las excepciones de control.

CODIGO: GTI-MA-M502-001-003 Página: 4

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

Código Nombre del documento

Hallazgo: Se refiere a las debilidades, deficiencias o brechas apreciables respecto a un criterio

CODIGO: GTI-MA-M502-001-003 Página: 5

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

Control Interno: Las políticas, procedimientos, prácticas y estructuras organizacionales

Control: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para

CODIGO: GTI-MA-M502-001-003 Página: 6

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

Métrica: Un estándar para medir el desempeño contra la meta.

Perfil tecnológico: Descripción de la estructura organizacional, los procesos y la

Proceso: Por lo general, un conjunto de procedimientos influenciados por las políticas y

Proveedor de tecnologías de información: Persona física o jurídica que provee o presta un

Tecnología de información (TI): Conjunto de técnicas que permiten la captura,

TI: Tecnología de Información.

CODIGO: GTI-MA-M502-001-003 Página: 7

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

• El monitoreo y evaluación del marco de control interno de TI deberá ser continuo. El

• El marco de control interno de TI deberá ser realimentado y mejorado producto de

• Las deficiencias de controles identificadas en las revisiones deberán ser comunicadas a

CODIGO: GTI-MA-M502-001-003 Página: 8

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

departamento de TI y se deberá dejar evidencia de los cambios efectuados como parte

• La frecuencia y el alcance de estas revisiones las definirá el Jefe de TI, considerando el

• Las Auditorías estarán orientadas a mejorar la efectividad de los controles internos.

• Cuando se recibe la carta de SUGEF solicitando los productos de la Auditoría Externa

CODIGO: GTI-MA-M502-001-003 Página: 9

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

• La Administración informará a las partes afectadas por la excepción de control.

Sobre las Autoevaluaciones

• Se deberá evaluar la completitud y efectividad de los controles internos de TI sobre los

• La autoevaluación general de los procesos de control interno de TI se aplicará

• La herramienta para autoevaluarse será la Matriz de Evaluación de la Gestión de TI

CODIGO: GTI-MA-M502-001-003 Página: 10

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

• Los resultados de autoevaluación deben ser considerados para establecer planes de

• El Jefe de TI es el responsable de coordinar y ejecutar la evaluación y convocará a los

• Cuando la autoevaluación haya finalizado, sus resultados se comunicarán a los

• Previo a la ejecución de la autoevaluación, se validan los criterios de evaluación vigentes

Aseguramiento del control interno

• El Aseguramiento del control interno será efectuado mediante auditorías internas y

CODIGO: GTI-MA-M502-001-003 Página: 11

Fecha creación: 13-07-2023

Responsable: Jefe de TI Aprobado por: Consejo de Administración

Control interno para terceros

• Para aquellos proveedores de servicios de TI cuyo fallo pueden afectar de forma