Autoevaluación del Sistema de Control Interno y … · En el cuadro Nº 1, se observa que el...
Transcript of Autoevaluación del Sistema de Control Interno y … · En el cuadro Nº 1, se observa que el...
Oficina de Planificación de la Educación Superior Oficina de Desarrollo Institucional
Autoevaluación del Sistema de Control Interno y Planes de Mejora
2017
Elaborado por: Gabriela Villalobos Arias - Encargada, Control Interno
Diciembre, 2017
i
TABLA DE CONTENIDO
Introducción ............................................................................................................. 1
Metodología ............................................................................................................. 3
Resultados .............................................................................................................. 5
CONARE ............................................................................................................. 5 Programa OPES .............................................................................................. 7 SINAES ............................................................................................................ 9 CeNAT ............................................................................................................. 9 Estado de la Nación ....................................................................................... 10
Detalle de criterios cumplidos de las disposiciones de Control Interno para los cinco componentes del Sistema de Control Interno para el año 2015 en el Conare ............................................................................................................... 11 Planes de mejora propuestos para atender las acciones que no se han cumplido en los cinco componentes del Sistema de Control a la luz de lo que la Normativa de Control Interno establece. ............................................................................. 14
Programa OPES ............................................................................................ 14 Programa SINAES ......................................................................................... 17 Programa CeNAT ........................................................................................... 17 Programa Estado de la Nación ...................................................................... 18
Conclusiones y Recomendaciones ....................................................................... 19
Conclusiones ..................................................................................................... 19 Recomendaciones ............................................................................................. 21
Anexo 1 ................................................................................................................. 23
Guia de Autoevaluación del Sistema de Control Interno ....................................... 23
ii
TABLA DE CUADROS
Cuadro 1 ................................................................................................................. 6 Cuadro 2 ................................................................................................................. 7 Cuadro 3 ................................................................................................................. 8 Cuadro 4 ............................................................................................................... 11
TABLA DE GRÁFICOS
Gráfico 1 ................................................................................................................. 6
1
INTRODUCCIÓN
En cumplimiento a la Ley General de Control Interno (Nº 8292) y como parte del
proceso de mejora continua, el CONARE desarrolló durante el mes de octubre del
2017 el proceso de autoevaluación en todas sus dependencias
La Ley de Control Interno, dentro del proceso de autoevaluación, establece en
su artículo 17 inciso b):
“Que la administración realice, por lo menos una vez al año, las autoevaluaciones
que conduzcan al perfeccionamiento del sistema de control interno del cual es
responsable. Así mismo, que pueda detectar cualquier desvío que aleje a la
organización del cumplimiento de sus objetivos”
El objetivo del Proceso de Autoevaluación del Conare para el año 2017 fue
determinar, en cada dependencia, el grado de avance y cumplimiento de lo
establecido en la Ley de Control Interno y Normas de Control Interno para el Sector
público en los cinco componentes funcionales del sistema de control interno y la
definición de acciones de mejora, con la participación de todas las dependencias
del CONARE.
En la Autoevaluación 2017 participaron las siguientes dependencias:
1. Oficina de Planificación de la Educación Superior:
Dirección
Asesoría Legal
División de Académica
División de Coordinación
División de Sistemas
Centro de Tecnologías de Información y Comunicación (CETIC)
Oficina de Desarrollo Institucional (ODI)
Oficina Administrativa:
Departamento de Gestión del Talento Humano (DGTH)
2
Departamento de Gestión Financiera (DGF)
Proveeduría Institucional
Unidad de Mantenimiento
Archivo Central
Biblioteca
Servicios Generales
Oficina de reconocimiento y equiparación (ORE)
2. Sistema Nacional de Acreditación de la Educación Superior (SINAES)
3. Centro Nacional de Alta Tecnología (CeNAT)
4. Programa Estado de la Nación (PEN)
3
METODOLOGÍA
El Proceso de Autoevaluación 2017 en el Conare se desarrolló con la siguiente
metodología:
Se utilizó la misma guía de autoevaluación del 2016, con el fin de facilitar el
llenado y conocer el grado de avance en el cumplimiento de las disposiciones
en materia de control interno, con 38 ítems basados en la Ley General de
Control Interno, las Normas Técnicas de Control interno y el modelo de
madurez del sistema de control interno de la Contraloría General de la
República.
Se definieron las preguntas de manera que permitieran valorar el avance del
CONARE en los cinco componentes funcionales de sistema de control
interno:
Ambiente de control
Valoración de riesgos
Actividades de control
Sistemas de información
Seguimiento
Se estableció para cada ítem una guía de posibles respaldos, que permitieran
orientar a las dependencias en el momento de responder la guía de
autoevaluación.
Se remitió el formulario OPES.F.12 Guía de Autoevaluación del Sistema de
Control Interno a los diferentes programas, divisiones y oficinas, para que
realizaran el proceso y definieran sus nuevos planes de mejora, indicando:
acciones de mejora, responsables y plazo de implementación.
Para la autoevaluación, el estado de cumplimiento de los diferentes ítems, se
consideraron dos opciones:
4
SI: Corresponde al cumplimiento de los criterios consultados.
NO: Corresponde al incumplimiento de los criterios consultados.
Se recopiló y revisaron todos los instrumentos remitidos por las
dependencias, así como sus planes de mejora.
En los casos en que la información no estaba completa o totalmente clara,
se solicitó su ampliación o aclaración.
Se elaboró el informe final para presentar los resultados institucionales del
proceso, así como, por Programa o Dependencia.
Se remitirá posteriormente este informe al Conare para conocimiento y
aprobación.
5
RESULTADOS
Se presentan a continuación los principales resultados como institución y por
programa, del proceso de autoevaluación del sistema de control interno que se
realizó en el Conare durante el 2017.
CONARE
El instrumento utilizado para la Autoevaluación 2017 sobre los cinco
componentes funcionales del sistema de control interno fue aplicado en cada
Programa del CONARE, y respondido por 17 dependencias.
El análisis se hizo para 38 ítems en las 18 dependencias, para un total de 683
respuestas excluyendo las “No Aplica”, en el programa OPES de las respuestas
obtenidas, fue excluida 1 debido a que la Dirección, indicó que esta respuesta
corresponde a “No aplica” ya que el proceso de promoción y divulgación del marco
estratégico de TI, le corresponde al CETIC.
Así, del total de las 683 respuestas obtenidas a nivel institucional, el 90%
corresponde a criterios que, si se cumplen, el 10% de ítems no cumplidos
corresponden principalmente a los componentes de valoración de riesgos,
actividades de control y sistemas de información.
En el siguiente cuadro se muestra el número total de respuestas por Programa
según el estado de cumplimiento.
6
Cuadro 1
CONARE: Grado de cumplimiento de las disposiciones de la normativa de Control
Interno para el sistema de control interno institucional, por programa. 2017
Grado de cumplimiento
Programa
Absoluto
Total OPES SINAES CeNAT Estado de la
Nación
TOTAL 683 569 38 38 38
SI 596 533 33 37 31
NO 49 36 5 1 7
En el cuadro Nº 1, se observa que el programa CeNAT muestra el mayor
porcentaje de cumplimiento de los criterios considerados en la guía de
autoevaluación con un 97%, seguido por OPES (94%) y SINAES (87%) y por el
contrario el PEN el porcentaje menor con un 82% de cumplimiento.
Estos resultados se muestran gráficamente a continuación:
Gráfico 1
CONARE: Grado de cumplimiento de las disposiciones de la normativa de Control
Interno para el sistema de control interno institucional, por programa. 2017
94%87%
97%
82%
6%13%
3%
18%
0%
20%
40%
60%
80%
100%
120%
OPES SINAES CENAT PEN
Sí No
7
Programa OPES
En el Programa OPES el instrumento se remitió a 15 dependencias y de todas
ellas se obtuvo respuesta.
En el cuadro 2 se presentan los resultados para el Programa OPES por grado
de cumplimiento por dependencia.
Cuadro 2
Programa OPES-CONARE
Grado de cumplimiento de las disposiciones de la normativa de Control Interno para
el sistema de control interno institucional, por dependencia. 2015
OPES Dependencias
(Valores absolutos) (Valores relativos)
SI NO SI NO
Dirección 36 1 97 3
Asesoría Legal 34 4 89 11
División de Sistemas 30 8 79 21
División Académica 37 1 97 3
División de Coordinación 38 0 100 0
CETIC 36 2 95 5
ODI 38 0 100 0
DGTH 36 2 95 5
DGF 37 1 97 3
Proveeduría 35 3 92 8
Mantenimiento 36 2 95 5
Biblioteca 37 1 97 3
Archivo 37 1 97 3
Servicios Generales 32 6 84 16
ORE 34 4 89 11
TOTAL 2/ 533 36 94% 6% 2/ La Dirección presenta un total menor de 38 debido a que fue excluida una respuesta “No aplica”
Como se observa en el cuadro anterior, el cumplimiento total del programa con
respecto a los aspectos evaluados es del 94%, por otra parte, el incumplimiento fue
de un 6% de criterios valorados lo que representa un 23%.
Si se analiza el comportamiento por dependencia, la ODI y la División de
Coordinación presentan un cumplimiento total de los criterios evaluados y, por el
contrario, Servicios Generales muestra el menor cumplimiento con un 84%.
8
Así mismo, de los aspectos incumplidos la mayor parte corresponde a los
componentes ambiente de control con un 15% de incumplimiento y actividades de
control con un 8%, por el contrario, el componente de seguimiento presenta el
porcentaje más alto de cumplimiento (100%). Detalle que se presenta en el siguiente
cuadro:
Cuadro 3
Programa OPES-CONARE
Grado de cumplimiento de las disposiciones de la normativa de Control Interno para
el sistema de control interno institucional, por componente. 2015
Componentes % de cumplimiento
SI NO
Ambiente de Control 96% 4%
Valoración de riesgos 85% 15%
Actividades de Control 95% 5%
Sistemas de Información 92% 8%
Seguimiento 100% 0%
TOTAL 94% 6%
Por otra parte, si se analizan los ítems pendientes de cumplimiento se muestra
que en el caso del componente ambiente de control deben implementarse acciones
tendientes a promover que los funcionarios conozcan la responsabilidad que tienen
en sus actividades cotidianas, de cumplir con los diferentes aspectos que le
competen en la normativa del control interno, divulgación por parte del Jerarca de
la normativa de control interno en algunas dependencias, así como, evaluar al
personal para verificar la idoneidad para asumir el cargo que se le asigna.
En cuanto al componente valoración de riesgos es necesario que el personal
conozca los resultados del proceso de valoración del riesgo y que se consideren
además eventos asociados a las tecnologías y sistemas de información.
Para el componente actividades de control las acciones que requieren atención
corresponden a actualización de los manuales de procedimientos, además se
9
requiere en algunas dependencias establecer controles para la asignación, el uso o
manejo de activos y evaluar periódicamente los controles según su funcionalidad.
En el componente sistemas están pendientes aspectos tales como: información
y capacitación al personal sobre las disposiciones institucionales y
responsabilidades en materia de seguridad, confidencialidad y riesgos asociados
con el uso de las TI, promoción y divulgación del marco estratégico de TI y en
algunas dependencias contar con una definición clara, completa y oportuna de los
requerimientos de TI y una participación activa en la implementación y
mantenimiento de las TI.
SINAES
El programa SINAES presenta un porcentaje de cumplimiento de 87% de los
criterios evaluados del sistema de control interno en sus cinco componentes, cabe
destacar, que el componente único componente que presenta incumplimiento
corresponde a sistemas de información, a continuación se detallan los aspectos
pendientes de implementar:
Información y capacitación al personal sobre las disposiciones
institucionales y responsabilidades en materia de seguridad,
confidencialidad y riesgos asociados con el uso de las TI
Generación de información oportuna y correcta
Repositorio documental físico, digital o mixto, actualizado, confiable y
completo
Proceso de promoción y divulgación del marco estratégico de TI
Es importante mencionar, que estas acciones ya fueron consideradas en los
planes de mejora que se presentan en el siguiente apartado de este informe.
CeNAT
En el programa CeNAT se presenta un porcentaje de cumplimiento muy
satisfactorio de los aspectos valorados (97%), incumpliendo únicamente con el
10
proceso de promoción y divulgación del marco estratégico de TI, elemento del
componente sistemas de información.
Estado de la Nación
En programa Estado de la Nación muestra el menor porcentaje de cumplimiento
de los criterios evaluados con un 82%, quedando pendiente acciones en los
componentes: ambiente de control en lo relacionado con la divulgación de la
normativa de control interno, actividades de control en cuanto a manuales de
procedimientos actualizados y sistemas de información donde se encuentran la
mayor cantidad de acciones incumplidas del programa, que se detallan
seguidamente:
Información y capacitación al personal sobre las disposiciones
institucionales y responsabilidades en materia de seguridad,
confidencialidad y riesgos asociados con el uso de las TI
Proceso de promoción y divulgación del marco estratégico de TI
Controles de acceso a las instalaciones físicas, que contemple: Seguridad
perimetral, mecanismos de control de acceso a recintos o áreas de
trabajo, protección de oficinas y separación adecuada de áreas
Continuidad, seguridad y control de suministro de energía eléctrica, del
cableado de datos y de las comunicaciones inalámbricas
11
Detalle de criterios cumplidos de las disposiciones de control interno para los cinco componentes del sistema de control interno para el año 2015 en el CONARE
Las dependencias en su autoevaluación establecen como cumplidos los siguientes
criterios:
Cuadro 4
Detalle de criterios cumplidos para la Autoevaluación del Sistema de Control
Interno, por Programa.2017
Criterio OPES SINAES CeNAT PEN
Ambiente de Control
¿Usted como titular subordinado ejecuta acciones en su gestión que apoyen y muestren compromiso con el control interno?
¿Cuenta su dependencia con mecanismos que permiten la evaluación y el fortalecimiento constante del sistema de control interno institucional?
¿Conocen los funcionarios de su dependencia la responsabilidad que tienen, en sus actividades cotidianas, de cumplir con los diferentes aspectos que le competen en la normativa del control interno?
¿Existen en su dependencia mecanismos para incorporar los elementos contenidos en el Manual de principios éticos del Conare en la cultura organizacional?
¿Existe un manual de puestos u otro documento formal en su dependencia que identifique las funciones y responsabilidades de los funcionarios?
¿Se ha divulgado por parte del Jerarca la normativa de Control Interno competente a su dependencia?
Al personal que labora en su oficina, se le evalúa para verificar la idoneidad para asumir el cargo que se le asigna?
¿Se realizan en su dependencia actividades de inducción, capacitación y actualización para fortalecer las competencias del personal a su cargo?
Valoración de riesgos
¿Se desarrolla en su dependencia la identificación, análisis, evaluación, administración,
12
Criterio OPES SINAES CeNAT PEN
revisión y documentación de riesgos de los principales procesos de su área?
¿Se utilizan en su dependencia los resultados de la valoración de riesgos como insumo en la formulación del Plan Anual Operativo?
Es del conocimiento del personal de la unidad a su cargo los resultados del proceso de valoración del riesgo?
En la valoración de riesgos que efectúa su dependencia se consideran eventos asociados a las tecnologías y sistemas de información?
Actividades de Control
¿Se evalúan de forma periódica los controles existentes en su dependencia, según su funcionalidad?
¿Se aplican en su dependencia controles para la asignación, el uso o manejo de activos?
¿Cuenta su dependencia con manuales de procedimientos actualizados de los principales procesos de su área?
¿Se presentan en su Dependencia, los informes de gestión pertinentes, donde se resuman las actividades de control realizadas durante el periodo de sus funciones, los logros obtenidos incluyendo los relativos al SCI, el estado de las recomendaciones de la Auditoría Interna y las disposiciones que establece la CGR?
¿En su dependencia las instrucciones o solicitudes de especial relevancia que no están contempladas en las funciones de cada colaborador, se comunican formalmente?
¿Existen actividades de divulgación en su dependencia sobre disposiciones institucionales en general?
¿Existen en su dependencia mecanismos de supervisión en tareas relevantes?
Sistemas de información
¿En su dependencia se ha informado y capacitado al personal sobre las disposiciones institucionales y responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI?
¿Se realizan periódicamente respaldos de la información que genera su dependencia?
¿Se cuenta en su dependencia con una definición clara, completa y oportuna de los requerimientos de TI
13
Criterio OPES SINAES CeNAT PEN
¿La información que genera su dependencia para sus usuarios es oportuna y correcta?
¿Cuenta su dependencia con un repositorio documental físico, digital o mixto, actualizado, confiable y completo?
¿Se cuenta con controles de acceso a las instalaciones físicas, que contemple: Seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas y separación adecuada de áreas?
¿Se controla el ingreso y salida de equipos de la organización?
¿Se tiene continuidad, seguridad y control de suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas?
¿Se ha establecido controles de acceso a los recursos de TI, acceso a información impresa, visible en pantallas, almacenada en medios físicos y no físicos y proteger adecuadamente dichos medios?
¿Su dependencia participa activamente en la implementación y mantenimiento de las TI?
¿Los datos procesados mediante TI se realizan en forma completa, exacta y oportuna? (por ejemplo GRP)
¿Se ha identificado, analizado y resuelto de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI?
Le permiten los canales de comunicación trasladar la información de manera transparente, ágil, segura, correcta y oportuna a los destinatarios (as) apropiados (as)?
Seguimiento
¿Realiza su dependencia la autoevaluación del sistema de control interno?
¿Su dependencia efectúa el seguimiento de planes de mejora de las autoevaluaciones anteriores?
¿En su dependencia se da seguimiento a las recomendaciones que le ha remitido la Auditoría Interna en sus informes?
¿Existen evaluaciones permanentes sobre la gestión de su dependencia?
¿Existen en su dependencia mecanismos que permitan informar las deficiencias y desviaciones oportunamente del sistema de control interno?
14
Planes de mejora propuestos para atender las acciones que no se han cumplido en los cinco componentes del sistema de control a la luz de lo que la normativa de control interno establece.
A las diferentes dependencias se les solicitó que detallaran las acciones de
mejora que serían implementadas por ellas, para atender aquellos aspectos que no
se hayan cumplido.
A continuación, se muestran los planes de mejora detallados por programa para
atender el incumplimiento de algunos criterios evaluados.
Programa OPES
Acciones de mejora Plazo Responsable
División de Sistemas
Solicitar a la Oficina de Desarrollo Institucional capacitación en este tema. Comunicaciones de la jefatura.
II semestre 2017
Jefatura y Secretaria de la División de Sistemas
Realizar las acciones para comunicar a los funcionarios la normativa institucional vigente en relación a este tema.
II Semestre 2017
Jefatura de la División de Sistemas
Revisar el SEVRI 2017 en la próxima reunión de la División de Sistemas
II Semestre 2017
Jefatura de la División de Sistemas
Valorar los controles existentes. I Semestre
2018
Funcionarios de la División de Sistemas
Jefatura de la División de Sistemas
Elaborar y tener aprobados dos de los procedimientos de la División de Sistemas.
II Semestre 2017
Jefatura de la División de Sistemas
Coordinar con CeTIC una capacitación para atender en la División las disposiciones institucionales y responsabilidades en estos temas.
I Semestre 2018
Jefatura de la División de Sistemas
Establecer un lineamiento a nivel interno de la División de Sistemas para el respaldo de información.
II Semestre 2018
Jefatura de la División de Sistemas
Realizar un inventario de las necesidades de TI de la División para identificar los requerimientos futuros.
II Semestre 2017
Investigador 4
15
Acciones de mejora Plazo Responsable
Solicitar a CeTIC una sesión informativa en relación al marco estratégico de TI
I Semestre 2018
Investigador 4
Solicitar a la Administración lineamientos al respecto.
II Semestre 2017
Jefatura de la División de Sistemas
Asesoría Legal
Publicar la información referente a los controles aplicados
II Semestre 2017
Director de la Asesoría Legal
Departamento de Gestión del Talento Humano
Implementar el nuevo sistema de planillas GRP, en el cual se establecerán los respectivos riesgos asociados a la implementación mediante manuales de uso, instructivos o procedimientos.
II Semestre 2018
Jefe DGTH
Dirección
a) Elaborar el plan de implementación del proceso de valoración del desempeño institucional y brechas en competencias para cada cargo. b)Elaborar el plan de trabajo para el proceso de reclutamiento y selección de personal
a) 2019- b)2017
DGTH
Coordinación
Solicitar al CeTIC, una evaluación que comprenda la caracterización y propuesta de implementación de necesidades tecnológicas en la DC.
I semestre 2018
División de Coordinación.
ORE
Incorporar a las compañeras en la evaluación que se realizará en setiembre y elaborar una Minuta.
2do semestre 2017
Encargada de ORE y Secretaria
Solicitar a CETIC mayor información sobre las disposiciones institucionales y responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI
I semestre 2018
Encargada de ORE
Solicitar a CETIC que divulgue el Marco Estratégico de TI
I semestre 2018
Encargada de ORE
CETIC
Formular el PETIC con sus respectivos indicadores.
II Semestre 2017
Director CeTIC
16
Acciones de mejora Plazo Responsable
Definir acuerdos de servicios. II Semestre
2017 Director CeTIC
Documentar los Procesos / Procedimientos.
I semestre 2019
Director CeTIC
Solicitar charla introductoria al área de Control Interno
I semestre 2018
Director CeTIC
Implementar el plan de cumplimiento. Atención de hallazgos de la Auditoría Interna / IGI / Procesos CeTIC.
II Semestre 2017
Director CeTIC
Definir y ejecutar estrategia de comunicación de los lineamientos, directrices, estándares para gestión y gobierno de TI. (PETIC)
II semestre 2018
Director CeTIC
Levantar y formalizar un procedimiento para la gestión de respaldos
I semestre 2018
Director CeTIC
Levantar y formalizar un procedimiento para la gestión de requerimientos
I semestre 2018
Director CeTIC
Implementar solución para gestión documental.
I semestre 2018
Encargado de Sistemas de Información
Formalizar portafolio de proyectos y servicios.
I semestre 2018
Director CeTIC
Formalizar tablero de indicadores de TI.
I semestre 2018
Director CeTIC
Implementar el directorio activo en la infraestructura
I semestre 2018
Encargado de Redes y Comunicaciones
Proveeduría
Realizar reuniones internas en el departamento para dar a conocer los resultados
jun-18 Jefe de Proveeduría
Aprobar la versión 2 del procedimiento de compras y contrataciones.
dic-17 Jefe de Proveeduría y ODI
Mantenimiento
Realizar una valoración de riesgos del sistema de tiquetes de mantenimiento
I Semestre 2018
Jefe de Mantenimiento
Servicios Generales
Realizar una reunión para comentarles los resultados del proceso de valoración de riesgos
II Semestre 2018
Asistente Administrativo
Realizar una reunión para definir los riesgos asociados a las tecnologías de información
II Semestre 2018
Asistente Administrativo
17
Acciones de mejora Plazo Responsable
Solicitar un levantamiento de los activos que se tienen en este momento para administrarlos.
II Semestre 2018
Asistente Administrativo
Solicitar un espacio en la Red Institucional
I Semestre 2018
Asistente Administrativo
Solicitar a CETIC una valoración de los equipos existente
I Semestre 2018
Asistente Administrativo
Coordinar con el Archivo central , para ver si es oportuno un Archivo de Gestión para la documentación vinculada a estos procesos
I semestre 2018
Asistente Administrativo
Programa SINAES
Acciones de mejora Plazo Responsable
Revisar y mejorar el sitio web del SINAES
octubre 17-diciembre 2017
Comisión Designada
Mejorar la red del SINAES y la información que alberga
octubre 17-diciembre 2017
Dirección
Programa CeNAT
Acciones de mejora Plazo Responsable
Definir el Plan de capacitaciones II Semestre
2017
FunCeNAT, Directores de Laboratorio y Asistentes
Administrativas
Realizar los procedimientos generales de los laboratorio por proceso
II Semestre 2017
Directora Administrativa, Directores y Asistentes administrativas
Implementar las políticas para seguridad y riesgos con el uso de TI
II Semestre 2017
Directora Administrativa, Directores y Asistentes administrativas
Realizar reuniones por laboratorio terminada la misma para explicar los cambios y alcances
II Semestre 2017
Directora Administrativa, Directores y Asistentes administrativas
18
Programa Estado de la Nación
Acciones de mejora Plazo Responsable
Completar los procedimientos del programa
15 de diciembre de 2017
Asistente Administrativa, Coordinadora de Difusión
Solicitar al CETIC normativa sobre el uso de las TIC para que sea de conocimiento de todos
II Semestre 2017
Área Administrativa
Solicitar al CETIC normativa sobre el uso de las TIC para que sea de conocimiento de todos los Colaboradores del PEN
II Semestre 2017
Área Administrativa
Solicitar a la Administración del CONARE los lineamientos sobre controles de acceso a instalaciones físicas y se divulgará entre los Colaboradores del PEN
II Semestre 2017
Área Administrativa
Solicitar y enviar la información sobre el reporte de averías de TI a los Colabores del PEN y se solicitará información al Departamento de Mantenimiento sobre reporte de necesidades y planes de emergencia y mantenimiento
I Semestre 2018 Área Administrativa
19
CONCLUSIONES Y RECOMENDACIONES
Conclusiones
Los porcentajes de cumplimiento institucionales de las disposiciones de
control interno en los cinco componentes del sistema son satisfactorios.
En el 2017 la institución cumplió con las disposiciones de control interno
en los siguientes temas:
Ambiente de control: compromiso del titular subordinado con el
control interno, mecanismos que permiten la evaluación y el
fortalecimiento constante del sistema de control interno institucional,
mecanismos para incorporar los elementos contenidos en el manual
de principios éticos del Conare en la cultura organizacional,
actividades de inducción, capacitación y actualización para fortalecer
las competencias del personal, compromiso del titular subordinado
con el control interno, utilización de mecanismos para fortalecer el
sistema de control interno institucional.
Valoración de riesgos: desarrollo de las diferentes etapas del SEVRI,
utilización de los resultados de la valoración de riesgos como insumo
para la formulación del PAO
Actividades de control: las instrucciones o solicitudes de especial
relevancia que no están contempladas en las funciones de cada
colaborador, se comunican formalmente, actividades de divulgación
sobre disposiciones institucionales en general, supervisión de tareas
relevantes.
Sistemas de información: Respaldos periódicos de la información
que se genera en las dependencias, control de ingreso y salida de
equipos en la organización, controles de acceso a los recursos de TI,
acceso a información impresa, visible en pantallas, almacenada en
medios físicos y no físicos y proteger adecuadamente dichos medios,
participación activa en la implementación y mantenimiento de las TI,
datos procesados mediante TI se realizan en forma completa, exacta
20
y oportuna, identificación, análisis y resolución de manera oportuna
los problemas, errores e incidentes significativos que se susciten con
las TI, canales de comunicación que permiten trasladar la información
de manera transparente, ágil, segura, correcta y oportuna a los
destinatarios apropiados, autoevaluaciones del sistema de control
interno, seguimiento de planes de mejora de la autoevaluación y
recomendaciones de Auditoría, evaluación de la gestión, mecanismos
para informar las deficiencias y desviaciones del sistema de control
interno.
Por el contrario, la institución debe ejecutar acciones para atender con
las disposiciones de control interno en los siguientes temas:
Ambiente de control: promover que los funcionarios conozcan la
responsabilidad que tienen en sus actividades cotidianas, de cumplir
con los diferentes aspectos que le competen en la normativa del
control interno, evaluar al personal para verificar la idoneidad para
asumir el cargo que se le asigna, divulgación de la normativa de
control interno
Valoración de riesgos: conocimiento del personal de los resultados
del proceso de valoración del riesgo y que se consideren además
eventos asociados a las tecnologías y sistemas de información
Actividades de control: manuales de procedimientos actualizados,
controles para la asignación, el uso o manejo de activos y evaluar
periódicamente los controles según su funcionalidad
Sistemas de información: información y capacitación al personal
sobre las disposiciones institucionales y responsabilidades en materia
de seguridad, confidencialidad y riesgos asociados con el uso de las
TI, generación de información oportuna y correcta, repositorio
documental físico, digital o mixto, actualizado, confiable y completo,
proceso de promoción y divulgación del marco estratégico de TI,
Controles de acceso a las instalaciones físicas, que contemple:
21
Seguridad perimetral, mecanismos de control de acceso a recintos o
áreas de trabajo, protección de oficinas y separación adecuada de
áreas, Continuidad, seguridad y control de suministro de energía
eléctrica, del cableado de datos y de las comunicaciones inalámbricas.
Recomendaciones
Promover en cada una de las dependencias, el uso de los planes de
mejora como instrumento de control, evaluación y seguimiento.
Continuar con los procesos de capacitación y sensibilización en materia
de control interno en la institución.
Aumentar la participación de los colaboradores en los procesos de control
interno de sus dependencias.
Continuar con el proceso de mapeo y actualización de los procedimientos
en las dependencias y programas del Conare.
Aprobar y divulgar el Plan Específico de Tecnologías de Información y
comunicación en los diferentes niveles de la organización.
ANEXO 1
CONSEJO NACIONAL DE RECTORES OFICINA DE DESARROLLO INSTITUCIONAL
GUIA DE AUTOEVALUACIÓN DEL SISTEMA DE CONTROL INTERNO
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
Ambiente de Control: Comprende el conjunto de factores organizacionales que propician una actitud positiva y de apoyo al SCI y a una gestión institucional que permita una rendición de cuentas efectiva.
SI/NO
1
¿Usted como titular subordinado ejecuta acciones en su gestión que apoyen y muestren compromiso con el control interno?
Desarrollo de procesos de control interno Correos Convocatorias Incorporación en planes de trabajo Capacitación
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
2
¿Cuenta su dependencia con mecanismos que permiten la evaluación y el fortalecimiento constante del sistema de control interno institucional?
Autoevaluaciones de Control Interno Seguimiento de acciones de los planes de mejora Revisión de controles Procedimientos
3
¿ Conocen los funcionarios de su dependencia la responsabilidad que tienen, en sus actividades cotidianas, de cumplir con los diferentes aspectos que le competen en la normativa del control interno?
Capacitaciones Comunicaciones Minutas de reunión
4
¿Existen en su dependencia mecanismos para incorporar los elementos contenidos en el Manual de principios éticos del CONARE en la cultura organizacional?
Plan de Implementación Actividades específicas desarrolladas
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
5
¿Existe un manual de puestos u otro documento formal en su dependencia que identifique las funciones y responsabilidades de los funcionarios?
Manual de puestos u otro documento
6
¿Se ha divulgado por parte del Jerarca la normativa de Control Interno competente a su dependencia?
Captura de pantalla del sitio web donde se divulgue la normativa. memorandorando indicando que el sitio web o algún medio de red es el repositorio oficial para comunicaciones internas Oficio o número de oficio (memorando) con la comunicación. Lista de asistencia actividad de
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
capacitación sobre el tema
7
Al personal que labora en su oficina, se le evalúa para verificar la idoneidad para asumir el cargo que se le asigna?
Evaluación del desempeño Instrumentos utilizados en el reclutamiento
8
¿Se realizan en su dependencia actividades de inducción, capacitación y actualización para fortalecer las competencias del personal a su cargo?
Listas de asistencia a inducciones internas Certificado o comprobante de participación en actividades académicas y/o profesionales. Plan de capacitación de la dependencia o institucional. Solicitudes de capacitación
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
Valoración de Riesgos: Corresponde a la identificación, el análisis, la evaluación, la administración, la revisión, la documentación y la comunicación de los riesgos, su importancia y la probabilidad e impacto de su materialización; y la toma de acciones para operar y fortalecer el SCI y promover el logro de los objetivos institucionales, así como para ubicar a la organización en un nivel de riesgo aceptable
9
¿Se desarrolla en su dependencia la identificación, análisis, evaluación, administración, revisión y documentación de riesgos de los principales procesos de su área?
Documento de SEVRI
10 ¿Se utilizan en su dependencia los resultados de la valoración de riesgos como insumo en la
Matrices de SEVRI y Seguimiento
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
formulación del Plan Anual Operativo?
Plan Anual de la Dependencia
11
Es del conocimiento del personal de la unidad a su cargo los resultados del proceso de valoración del riesgo?
Comunicaciones hacia el personal sobre sobre el tema: correos, minutas de reunión o memorando
12
En la valoración de riesgos que efectúa su dependencia se consideran eventos asociados a las tecnologías y sistemas de información?
Riesgos identificados por la dependencia cuya fuente esté vinculada a TI (respaldado en la matriz de identificación de riesgos) Diagnósticos realizados por la dependencia donde contemple este aspecto
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
Actividades de Control: Corresponde a las políticas y los procedimientos que el jerarca y los titulares subordinados deben diseñar, adoptar, evaluar y perfeccionar para asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos institucionales.
13
¿Se evalúan de forma periódica los controles existentes en su dependencia, según su funcionalidad?
Matrices de SEVRI, Autoevaluación Lista de verificación aplicada al control Reportes sobre mejoras de software (en caso que el control esté sistematizado) Actualización de procedimientos Actualización de puntos de control incluidos en los procedimientos.
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
14 ¿Se aplican en su dependencia controles para la asignación, el uso o manejo de activos?
Inventario de Activos Documentos de control de asignación, uso o manejo de activos Boletas de entrada, salida y préstamo de activos
15
¿Cuenta su dependencia con manuales de procedimientos actualizados de los principales procesos de su área?
Procedimientos actualizados
16
¿Se presentan en su Dependencia, los informes de gestión pertinentes, donde se resuman las actividades de control realizadas durante el periodo de sus funciones, los logros obtenidos incluyendo los relativos al SCI, el estado de las recomendaciones de la Auditoría Interna y las
Informes de Labores (sea trimestral, semestral o anual) Informes de fin de gestión
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
disposiciones que establece la CGR?
17
¿En su dependencia las instrucciones o solicitudes de especial relevancia que no están contempladas en las funciones de cada colaborador, se comunican formalmente?
Correos electrónicos Memorandos Minutas de reunión Cronograma de proyectos Planes de implementación de iniciativas institucionales
18
¿Existen actividades de divulgación en su dependencia sobre disposiciones institucionales en general ?
Correos electrónicos Memorandos Minuta de reunión Plan de capacitación Brochures
19 ¿Existen en su dependencia mecanismos de supervisión en tareas relevantes?
Cronogramas de trabajo de proyecto o planes Minutas de reunión
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
Informes de seguimiento
Sistemas de Información: Se refiere al conjunto de elementos y condiciones vigentes en una institución para ejecutar de manera organizada, uniforme y consistente las actividades de obtener, procesar, generar y comunicar, en forma eficaz, eficiente y económica, y con apego al bloque de legalidad, la información de la gestión institucional y otra de interés para la consecución de los objetivos institucionales.
20
¿En su dependencia se ha informado y capacitado al personal sobre las disposiciones institucionales y responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI?
Memorando Correo electrónico Listas de asistencia a inducciones internas Certificado o comprobante de participación en actividades
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
Plan de capacitación de la dependencia o institucional. Solicitudes de capacitación
21 ¿Se realizan periódicamente respaldos de la información que genera su dependencia?
Respaldos de Red Bitácora de respaldos realizados Inventario Listas de remisión al archivo institucional Listas de digitalización de documentos impresos
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
22
¿Se cuenta en su dependencia con una definición clara, completa y oportuna de los requerimientos de TI ?
Memorando o comunicado sobre lineamientos de TI. Reportes sobre funcionamiento de los sistemas automatizados Correos sobre disposiciones de TI, por parte del Jerarca o TI. Comunicaciones en reuniones (minuta de la reunión)
23 ¿La información que genera su dependencia para sus usuarios es oportuna y correcta?
Correos o comunicaciones Cronogramas de entrega Procedimientos Acuerdos de Nivel de Servicio en TI
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
24
¿Cuenta su dependencia con un repositorio documental físico, digital o mixto, actualizado, confiable y completo?
Archivo de gestión Capturas de pantalla sobre repositorio digital Bitácora de respaldos realizados Cuadro de clasificación documental
25 ¿Existe un proceso de promoción y divulgación del marco estratégico de TI?
Memorando o comunicado sobre lineamientos de TI. Comunicaciones en reuniones (minuta de reunión) Correo electrónico Plan de capacitación Brochures Banner Mensajes en pantallas
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
26
¿Se cuenta con controles de acceso a las instalaciones físicas, que contemple: Seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas y separación adecuada de áreas?
Comunicaciones en reuniones (minuta de reunión) Correo electrónico comunicando los controles Procedimientos instructivos dispositivos
27 ¿ Se controla el ingreso y salida de equipos de la organización?
Disposiciones y/o boletas sobre ingreso y salida de activos Boleta o formulario de entrada y salida de vehículos institucionales
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
28
¿ Se tiene continuidad, seguridad y control de suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas?
Plan de emergencia con la indicación del uso de planta eléctrica para el suministro de energía Plan de mantenimiento del edificio donde contemple la planta de emergencia Plan de mantenimiento de equipos Disposiciones o instrucciones brindadas al personal sobre el correcto del equipo (memorando, correo electrónico, minuta de reunión) Disposiciones o instrucciones
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
brindadas al personal sobre el reporte de averías o daños en los equipos y elementos periféricos (memorando, correo electrónico, minuta de reunión)
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
29
¿Se ha establecido controles de acceso a los recursos de TI, acceso a información impresa, visible en pantallas, almacenada en medios físicos y no físicos y proteger adecuadamente dichos medios?
Disposiciones o instrucciones brindadas al personal sobre el manejo y publicación de información. (memorando, correo electrónico, procedimiento, minuta de reunión) Disposiciones o instrucciones brindadas a TI sobre perfiles de acceso a sistemas. Comunicación y retroalimentación al personal sobre la existencia de disposiciones sobre acceso a información y sistemas
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
automatizados o físicos (memorando, correo electrónico, procedimiento, minuta de reunión)
30
¿ Su dependencia participa activamente en la implementación y mantenimiento de las TI?
Comunicación a TI, mantenimiento o proveeduría sobre las necesidades de TI. Comunicación a las instancias correspondientes sobre nuevas o necesidades de mantenimiento preventivo o correctivo (memorando, correo electrónico,
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
procedimiento, minuta de reunión).
31
¿Los datos procesados mediante TI se realizan en forma completa, exacta y oportuna? (por ejemplo GRP)
Cronogramas de entrega de informes o requerimientos de información. Procedimientos (contemplando el uso de sistemas) Instructivos (contemplando la forma en que debe ingresar la información y el sistema donde debe ingresarse) Bitácoras sobre reporte de fallos del sistema por parte de la dependencia.
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
32
¿Se ha identificado, analizado y resuelto de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI?
Bitácora de la dependencia sobre reporte de averías Resultados por dependencia de encuesta de satisfacción de servicios de TI Disposiciones o instrucciones brindadas al personal sobre el reporte de averías o errores en equipo y sistemas de información (Memorandos, correos electrónicos, circulares, minutas de reunión, procedimientos)
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
33
Le permiten los canales de comunicación trasladar la información de manera transparente, ágil, segura, correcta y oportuna a los destinatarios (as) apropiados (as)?
Bitácora sobre reporte de fallas de correo electrónico Procedimiento sobre uso de medios de comunicación oficial Políticas sobre uso del correo electrónico u otros medios de comunicación
Seguimiento: Incluye las actividades que se realizan para valorar la calidad del funcionamiento de los elementos del SCI a través del tiempo y para asegurar que se implementen con prontitud y efectividad las medidas adoptadas como producto de los hallazgos de auditoría y los resultados de otras revisiones.
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
34 ¿Realiza su dependencia la autoevaluación del sistema de control interno?
Guía de Autoevaluación
35
¿Su dependencia efectúa el seguimiento de planes de mejora de las autoevaluaciones anteriores?
Matriz de Seguimiento de planes de mejora. Oficios de remisión del seguimiento a los planes de mejora de autoevaluaciones Informes periódicos de labores (trimestral, semestral, anual) que contemple los resultados de Control Interno y Atención de recomendaciones de Auditoría.
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
36
¿En su dependencia se da seguimiento a las recomendaciones que le ha remitido la Auditoría Interna en sus informes?
Control de seguimiento de informes de Auditoría Informes periódicos de labores (trimestral, semestral, anual) que contemple los resultados de Control Interno y Atención de recomendaciones de Auditoría. Informe de seguimiento de recomendaciones de Auditoría o similares Matriz de seguimiento de recomendaciones de Auditoría o similares
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
Memorandos u oficios que responden los estudios o recomendaciones de Auditoría.
37 ¿Existen evaluaciones permanentes sobre la gestión de su dependencia?
Informes relacionados con el PAO Evaluaciones del desempeño Informes de Labores (sea trimestral, semestral o anual) Informes de fin de gestión
No. Criterio [Enunciado que permite
evaluar el sistema de control interno]
Respuesta [En el caso
de respuestas afirmativas
se debe contar con el respaldo correspondi
ente]
Documentación de Respaldo [Indique el nombre de
documento o archivo de
respaldo. Se presenta una
guía de posibles
respaldos para su
consideración]
Guía de Respaldos [Se presenta una guía de posibles
respaldos para su consideración, sin
embargo puede incluir otros respaldos]
Acciones de mejora
[Acciones propuestas
para cumplir con el criterio
solicitado]
Plazos [Considerar
plazos menores a
un año]
Responsables [Detallar
responsable considerando el nombre del
puesto que ocupa]
Observaciones
[Incluir cualquier observación que se
estime convenien
te]
38
¿Existen en su dependencia mecanismos que permitan informar las deficiencias y desviaciones oportunamente del sistema de control interno?
Revisión de cumplimiento de procedimientos Disposiciones emitidas hacia el personal sobre informar deficiencias y desviaciones Disposiciones emitidas hacia el personal para atender las disposiciones institucionales sobre el tema.(Correo electrónico, minuta de reunión o memorando que lo respalde) Reglamentos Políticas