NORMATIVIDAD LEGAL VIGENTE PARA AUDITORÍA INFORMÁTICA

EN ECUADOR

SECTOR FINANCIERO

RESOLUCION No JB-2012-2307

ARTICULO N° 9

FUNCIONES DEL AUDITOR INTERNO

9.3 Evaluar los recursos informáticos y sistemas de información de la empresa de seguros o compañías de reaseguros, con el fin de determinar si son adecuados para proporcionar a la administración y demás áreas de la entidad, información oportuna y suficiente que permita tomar decisiones e identificar exposiciones de riesgo de manera oportuna y cuenten con todas las seguridades necesarias.

9.4 Verificar si la información que utiliza internamente la entidad para la toma de decisiones y la que reporta a la Superintendencia de Bancos y Seguros es fidedigna, oportuna y surge de sistemas de información y bases de datos institucionales;

http://www.sbs.gob.ec/medios/PORTALDOCS/downloads/normativa/2012/resol_JB-2012-2307.pdf

RESOLUCIÓN NO JB-2012-2090

ARTÍCULO N° 41.

Las instituciones financieras contratarán anualmente con las compañías de seguro privado, coberturas que aseguren a la entidad contra fraudes generados a través de su tecnología de la información, sistemas telemáticos, electrónicos o similares, como mínimo ante los siguientes riesgos:41.1 Alteraciones de bases de datos;41.2 Accesos a los sistemas informáticos y de información de forma ilícita;41.3 Falsedad informática;41.4 Estafa informática;41.5 Daño informático; y,41.6 Destrucción a la infraestructura a las instalaciones físicas necesarias para la transmisión, recepción o procesamiento de información.”

http://www.sbs.gob.ec/medios/PORTALDOCS/downloads/normativa/2012/resol_JB-2012-2307.pdf

RESOLUCION No JB-2001-287

2.7 INFORMATICA

Se verificara el funcionamiento correcto de los sistemas informáticos de la entidad que tienen relación con las siguientes temas:

Produccion Reaseguros Siniestros Calculo de reservas Estados Financieros Otros

Este análisis deberá abarcar como mínimo los aspectos que a continuación se señalan:

Operatividad y Seguridad Física.- se evaluara los mecanismos con que cuenta la entidad, para que funcionen normalmente sus sistemas computacionales, ante el evento de producirse algún problema, incluyendo el análisis de planes de contingencia, políticas y seguridad física de los respaldos.

Seguridad lógica.- se analizara los controles de acceso de datos y operación de los sistemas implantados.

Mantenimiento de sistemas.- se analizara los mecanismos con que cuenta la entidad para asegurar el correcto funcionamiento, incluyendo el estudio de las normas de revisión de los sistemas computacionales, antes y después de los procesos, determinando ciertos de control que permitan que permitan revisar la exactitud de los cálculos.

Mantenimiento de archivos históricos.- se analizara los periodos que la entidad mantiene la información, ya sea en línea o en medios magnéticos de respaldo, en este último caso se deberá analizar la factibilidad de recuperación de la información que contienen.

http://www.sbs.gob.ec/medios/PORTALDOCS/downloads/normativa/Seguros%20Privados/OtrosAnios/resol_JB-2001-287.pdf

SECTOR BANCARIO Y DE SEGUROS

BASE LEGAL NORMATIVA ECUATORIANA 2010

ARTÍCULO 21.-

La Superintendencia de Bancos y Seguros podrá disponer la adopción de medidas adicionales a las previstas en el presente capítulo, con el propósito de atenuar la exposición al riesgo operativo que enfrenten las instituciones controladas. Adicionalmente, la Superintendencia de Bancos y Seguros podrá requerir a las instituciones controladas, la información que considere necesaria para una adecuada supervisión del riesgo operativo. También se cuenta, en el mismo compendio legal, con el Título XIII, Capítulo III.- Evaluación y Recomendaciones sobre el control interno de la Institución del Sistema Financiero que dictamina lo siguiente:ARTICULO 1.-

Los inspectores de la Superintendencia de Bancos y Seguros evaluarán de manera integral las políticas, procedimientos, controles internos y sistemas de la administración gerencial establecidos en la entidad examinada y para el caso de los grupos financieros, el informe abarcará al grupo. Los y políticas de la institución del sistema financiero deberán constar por escrito, estableciéndose además controles contables, operativos, administrativos y de procesamiento de datos, funciones de revisión interna, de auditoríade riesgo de crédito, de mercado y tecnológicos, así como sistemas de información para el adecuado control de la gestión internaARTICULO 2.-

Sin perjuicio de lo señalado en el artículo anterior, los inspectores de la Superintendencia de Bancos y Seguros deberán evaluar si 38las instituciones controladas poseen instancias o unidades de control interno adecuadas según el volumen y complejidad de sus operaciones, y si tales instancias cuentan con personal suficiente en número y calificación. Para la apreciación de la suficiencia de los controles se tendrá presente, entre otras, las observaciones, evidenciadas en informes escritos, que éstas hubieren efectuado a la administración superior, su calidad y oportunidad y resultados obtenidos. Asimismo, los inspectores de la Superintendencia de Bancos y Seguros que las instancias o unidades encargadas del control interno actúen con

autonomía e independencia, comprobando que la dependencia jerárquico - funcional permita efectividad en su trabajo. De igual modo verificará la existencia de comités de auditoría así como su conformación. Para la apreciación de la autonomía será un factor relevante la comprobación que se corrigieron en la práctica las deficiencias presentadas en informes anteriores. ARTÍCULO 3.- Los auditores internos deberán, en el curso de sus actividades anuales, cubrir una parte significativa de los negocios y actividades de la institución vigilada y al menos las siguientes: 3.1 Supervisar las operaciones de la institución del sistema financiero con base a un programa general de las auditorías a realizar, estructurado de acuerdo con las necesidades de la institución. La naturaleza y profundidad de la auditoría requerida dependerá del tipo y complejidad de las actividades realizadas por la institución controlada; 3.2 Verificar que no se den prácticas que favorezcan a los socios, directores o Administradores de la entidad que pudieren constituir un menoscabo para el interés de los depositantes; 3.3 Promover la existencia de una cultura de control en toda la institución que favorezca una operación con adecuados estándares de seguridad; y, 3.4 Verificar que se cumplan las políticas, normas y procedimientos de la institución y se observen las leyes, normas y reglamentos vigentes, con el propósito de asegurar que no se infrinja la normatividad vigente. 39ARTICULO 4.-

Para efectuar la evaluación a que se refiere este capítulo, la Superintendencia de Bancos y Seguros podrá requerir la colaboración de los auditores externos

SECCION II.- DE LA INFORMACION

ARTICULO 8.-

De conformidad con lo previsto en el artículo 2 de la Ley sobre Sustancias Estupefacientes y Psicotrópicas y en la letra g) del articulo 91 de la Ley General de Instituciones del Sistema Financiero, la Superintendencia de

Bancos y Seguros remitirá al Consejo Nacional de Control de Sustancias Estupefacientes y Psicotrópicas CONSEP, la información que éste le requiera debidamente motivada y dentro del ámbito de su exclusiva competencia.

ARTICULO 10.-

El comité de ética tendrá las siguientes funciones:10.1 Recibir, analizar y tomar nota de los informes mensuales presentados por el oficial de cumplimiento y de ser el caso formular las recomendaciones que fueren pertinentes; 4210.2 Recibir y analizar los informes sobre operaciones o transacciones económicas inusuales e injustificadas, reportadas por el oficial de cumplimiento y resolver sobre su reporte por parte del representante legal de la institución a la Superintendencia de Bancos y Seguros, en tanto la Unidad de Inteligencia Financiera - UIF no se encuentre operativa; 10.3 Imponer sanciones a directivos, funcionarios y empleados de la institución, luego del proceso administrativo correspondiente, que hayan incumplido las políticas, normativas, manual y más disposiciones vigentes en la entidad o dispuestas por la Superintendencia de Bancos y Seguros; 10.4 Emitir recomendaciones al oficial de cumplimiento sobre las políticas de prevención de lavado de activos y efectuar el seguimiento a las mismas; 10.5 Impulsar el cumplimiento de los programas de capacitación emanados por el oficial de cumplimiento; y, 10.6 Emitir las políticas generales para la prevención de lavado de activos. En caso de incumplimiento de las funciones señaladas en este artículo, la Superintendencia de Bancos y Seguros sancionará a los integrantes del comité de ética en base a lo dispuesto en el artículo 134 de la Ley General de Instituciones del Sistema Financiero.

ARTICULO 11.-

El oficial de cumplimiento es el encargado de coordinar y vigilar la observancia por parte de la institución del sistema financiero, de las disposiciones legales y normativas, manuales y políticas internas; y, prácticas, procedimientos y controles implementados para prevenir el lavado de dinero proveniente de actividades ilícitas. (artículo renumerado con resolución No. JB-2007-993 de 12 de julio del 2007)

ARTICULO 12.-

El oficial de cumplimiento será designado por el directorio o el organismo que haga sus veces, y deberá contar con experiencia en la temática, tener capacidad de decisión y autonomía, de manera que pueda señalar las medidas que deban adoptarse en aplicación de los mecanismos de prevención diseñados, acogidos o requeridos a la institución. (Artículo renumerado con resolución No. JB-2007-993 de 12 de julio del 2007)43

ARTICULO 13.-

Para el cumplimiento de sus objetivos deberá contar con una estructura administrativa de apoyo independiente de cualquier área; y, recibir la colaboración de las unidades operativas, de riesgos, de sistemas y de auditoría interna.

ARTÍCULO 18.-

Son funciones del oficial de cumplimiento: 18.1 Elaborar el manual de control interno sobre la prevención de lavado de dinero proveniente de actividades ilícitas; y, reportar a la Superintendencia de Bancos y Seguros el cumplimiento de los objetivos de la institución, en la materia; 18.2 Verificar el cumplimiento de las disposiciones contenidas en el manual de control interno; 18.3 Monitorear permanentemente las operaciones de la institución, a fin de detectar transacciones inusuales; recibir los informes de dichas transacciones, de acuerdo al mecanismo implementado por la institución en el manual de control interno; y dejar constancia de lo actuado sobre estas transacciones; 18.4 Supervisar que las políticas y procedimientos respecto a la prevención de lavado de dinero sean adecuados y se mantengan actualizados; 18.5 Coordinar la capacitación periódica de los directores, funcionarios y empleados de la institución del sistema financiero, sobre las disposiciones legales, normativas, los manuales de control interno; y, las políticas y procedimientos establecidos para prevenir el lavado de dinero proveniente de actividades ilícitas; 18.6 Controlar permanentemente el cumplimiento de la política “Conozca a su cliente”;

ARTICULO 25.-

Los auditores internos y externos están obligados a verificar, dentro del ejercicio de sus atribuciones y de las de comisario, que las instituciones

controladas cumplan estrictamente con lo dispuesto en este 44capítulo y a informar oportunamente, tanto a los directores y administradores de la entidad como a la Superintendencia de Bancos y Seguros la existencia de irregularidades. Los informes anuales que el auditor interno, auditor externo y comisario deben remitir a la Superintendencia de Bancos y Seguros, contarán con un capítulo especial referido a la prevención de lavado de dinero proveniente de actividades ilícitas

http://dspace.ups.edu.ec/bitstream/123456789/642/3/Capitulo%202.pdf

SECTOR NO FINANCIERO

NEA 11:

Auditoria en un ambiente de sistemas de información

por computadora

Introducción

1. El propósito de esta Norma Ecuatoriana sobre Auditoría (NEA) es

establecer normas y proporcionar lineamientos sobre los

procedimientos que deben seguirse cuando se realiza una auditoría

en un ambiente de sistemas de información computarizada (SIC).

Para fines de las NEA, existe un ambiente SIC cuando está

involucrada una computadora de cualquier tipo o tamaño en el

procesamiento, por parte de la entidad, de información financiera de

importancia para la auditoría, ya sea que dicha computadora sea

operada por la entidad o por un tercero.

2. El auditor deberá considerar cómo afecta a la auditoría un

ambiente de sistemas de información computarizada (SIC).

3. El objetivo y alcance globales de una auditoría no cambia en un

ambiente SIC. Sin embargo, el uso de una computadora cambia el

procesamiento, almacenamiento y comunicación de la información

financiera y puede afectar los sistemas de contabilidad y de control

interno empleados por la entidad. Por consiguiente, un ambiente SIC

puede afectar:

· Los procedimientos seguidos por un auditor para obtener una

comprensión suficiente de los sistemas de contabilidad y de

control interno.

· La consideración del riesgo inherente y del riesgo de control a

través de la cual el auditor llega a la evaluación del riesgo.

· El diseño y desarrollo, por parte del auditor de pruebas de

control y procedimientos sustantivos apropiados para cumplir con

el objetivo de la auditoría.

Habilidad y competencia

4. El auditor debería tener suficiente conocimiento del SIC

para planificar, dirigir, supervisar y revisar el trabajo

desarrollado. El auditor debería considerar si se necesitan

habilidades especializadas en SIC en una auditoría. Estas

pueden necesitarse para:

· Obtener una suficiente comprensión de los sistemas de

contabilidad y de control interno afectados por el ambiente SIC.

· Determina el efecto del ambiente SIC sobre la evaluación del

riesgo global y del riesgo al nivel de saldo de cuenta y de clase

de transacciones.

· Diseñar y realizar pruebas de control y procedimientos

sustantivos apropiados.

Si se necesitan habilidades especializadas, el auditor buscaría la

ayuda de un profesional con dichas habilidades, quien puede

pertenecer al personal del auditor o ser un profesional externo. Si se

planea el uso de dicho profesional, el auditor debería obtener

apropiada evidencia suficiente de auditoría de que dicho

trabajo es adecuado para los fines de la auditoría, de

acuerdo con la NEA “Uso del Trabajo de un Experto”.

Planificación

5. De acuerdo con la NEA “Evaluaciones del Riesgo y Control

Interno” el auditor debería obtener una suficiente

comprensión de los sistemas de contabilidad y de control

interno, para planificar la auditoría y desarrollar un enfoque

de auditoría efectivo.

6. Al planificar las porciones de la auditoría que pueden verse

afectadas por el ambiente SIC del cliente, el auditor debería

obtener una comprensión de la importancia y complejidad de

las actividades del SIC y la disponibilidad de los datos para

uso en la auditoría. Esta comprensión incluiría asuntos como:

· La importancia y complejidad del procesamiento por

computadora en cada operación importante de contabilidad. La

importancia se refiere al carácter significativo de las

aseveraciones de los estados financieros afectados por el

procesamiento por computadora. Se puede considerar como

compleja una aplicación cuando, por ejemplo:

- El volumen de transacciones es tal que los usuarios

encontrarían difícil identificar y corregir errores en el

procesamiento.

- La computadora automáticamente genera transacciones o

entradas de carácter significativo directamente a otra

aplicación.

- La computadora desarrolla cálculos complicados de

información financiera y/o automáticamente genera

transacciones o entradas de carácter significativo que no

pueden ser (o no son) validadas independientemente.

- Las transacciones son intercambiadas electrónicamente con

otras organizaciones (como en los sistemas electrónicos de

intercambio de datos-EDI) sin revisión manual para la

propiedad o razonabilidad.

· La estructura organizacional de las actividades SIC del cliente y

el grado de concentración o distribución del procesamiento por

computadora en toda la entidad, particularmente en cuanto

puedan afectar la segregación de deberes.

· La disponibilidad de datos. Los documentos fuente, ciertos

archivos de computadora, y otro material de evidencia que

pueden ser requeridos por el auditor, pueden existir por un corto

período de tiempo o sólo en forma legible por computadora. El

SIC del cliente puede generar reportes internos que pueden ser

útiles para llevar a cabo pruebas sustantivas (particularmente

procedimientos analíticos). El potencial uso de técnicas de

auditoría con ayuda de computadora puede permitir una mayor

eficiencia en el desempeño de los procedimientos de auditoría, o

puede capacitar al auditor a aplicar en forma económica ciertos

procedimientos a una población completa de cuentas o

transacciones.

7. Cuando el SIC es significativo, el auditor deberá también

obtener una comprensión del ambiente SIC y de si puede

influir en la evaluación de los riesgos inherente y de control.

La naturaleza de los riesgos y las características del control interno

en ambientes SIC incluyen lo siguiente:

· Falta de rastros de las transacciones. Algunos SIC son diseñados

de modo que un rastro completo de una transacción, que podría

ser útil para fines de auditoría, podría existir por sólo un corto

período de tiempo o sólo en forma legible por computadora.

Donde un sistema complejo de aplicaciones desempeña un gran

número de pasos de procesamiento, puede no haber un rastro

completo. Por consiguiente, los errores incrustados en la lógica

de un programa de aplicaciones pueden ser difíciles de detectar

oportunamente por procedimientos (usuarios) manuales.

· Procesamiento uniforme de transacciones. El procesamiento por

computadora procesa uniformemente transacciones iguales con

las mismas instrucciones de procesamiento. Así, los errores de

oficina ordinariamente asociados con el procesamiento manual

son virtualmente eliminados. Por el lado contrario, la

programación de errores (u otros errores sistemáticos en el

hardware o software) ordinariamente darán como resultado que

todas las transacciones sean procesadas incorrectamente.

· Falta de segregación de funciones. Muchos procedimientos de

control que ordinariamente serían desempeñados por individuos

por separado en los sistemas manuales, pueden ser concentrados

en SIC. Así, un individuo que tiene acceso a los programas de

computadora, al procesamiento o a los datos, puede estar en

posición de desempeñar funciones incompatibles.

· Potencial para errores e irregularidades. El potencial para error

humano en el desarrollo, mantenimiento y ejecución de SIC

puede ser mayor que en los sistemas manuales, parcialmente a

causa del nivel de detalle inherente a estas actividades. También,

el potencial para que los individuos ganen acceso no autorizado a

los datos o a la alteración de datos sin evidencia visible puede ser

mayor en SIC que en los sistemas manuales.

· Además, la disminución de involucramiento humano en el

manejo de transacciones procesadas por SIC puede reducir el

potencial para observar errores e irregularidades. Los errores o

irregularidades que ocurren durante el diseño o modificación de

programas de aplicación o del software de los sistemas pueden

permanecer sin ser detectados por largos períodos de tiempo.

· Iniciación o ejecución de transacciones. El SIC puede incluir la

capacidad de iniciar o causar la ejecución de ciertos tipos de

transacciones, automáticamente. La autorización de estas

transacciones puede estar implícita en su aceptación del diseño

del SIC y posterior modificación.

· Dependencia de otros controles del procesamiento por

computadora. El procesamiento por computadora puede producir

reportes y otros datos de salida que son usados en la realización

de procedimientos de control manuales. La efectividad de estos

procedimientos de control manuales puede depender de la

efectividad de controles sobre la integridad y precisión del

procesamiento por computadora. A su vez, la efectividad y

funcionamiento consistente de los controles de procesamiento de

transacciones en las aplicaciones de computadora a menudo

depende de la efectividad de los controles generales de SIC.

· Potencial para mayor supervisión de la administración. SIC

puede ofrecer a la administración una variedad de herramientas

analíticas que pueden ser usadas para revisar y supervisar las

operaciones de la entidad. La disponibilidad de estos controles

adicionales, si se usan, pueden servir para mejorar toda la

estructura de control interno.

· Potencial para el uso de técnicas de auditoría con ayuda de

computadora. El caso del procesamiento y análisis de grandes

cantidades de datos usando computadoras puede brindar al

auditor oportunidades para aplicar técnicas y herramientas

generales o especializadas de auditoría con computadora en la

ejecución de pruebas de auditoría.

Tanto los riesgos como los controles introducidos como resultado de

estas características de SIC tienen un impacto potencial sobre la

evaluación del auditor del riesgo, y sobre la naturaleza, oportunidad

y alcance de los procedimientos de auditoría.

Evaluación del riesgo

8. De acuerdo con la NEA “Evaluación del riesgo y control

interno”, el auditor debería hacer una evaluación de los

riesgos inherente y de control para las aseveraciones

importantes de los estados financieros.

9. Los riesgos inherentes y los riesgos de control en un ambiente SIC

pueden tener tanto un efecto general como un efecto específico por

cuenta en la probabilidad de exposiciones erróneas importantes,

como sigue:

· Los riesgos pueden resultar de deficiencias en actividades

generales de SIC como desarrollo y mantenimiento de

programas, respaldo al software de sistemas, operaciones,

seguridad física de SIC, y control sobre el acceso a programas de

utilería de privilegio especial. Estas deficiencias tenderían a tener

un efecto penetrante en todos los sistemas de aplicación que se

procesan en la computadora.

· Los riesgos pueden incrementar el potencial de errores o

actividades fraudulentas en aplicaciones específicas, en bases de

datos específicas o en archivos maestros, o en actividades de

procesamiento específicas. Por ejemplo, los errores no son poco

comunes en los sistemas que desarrollan una lógica o cálculos

complejos, o que deben manejar muchas diferentes condiciones

de excepción. Los sistemas que controlan desembolsos de

efectivo u otros activos líquidos son susceptibles a acciones

fraudulentas por los usuarios o por personal de SIC.

10. Al surgir nuevas tecnologías de SIC, frecuentemente son

empleadas por los clientes para construir sistemas de computación

cada vez más complejos que pueden incluir enlaces micro a redes,

bases de datos distribuidas, procesamiento de usuario final, y

sistemas de administración de negocios que alimentan información

directamente a los sistemas de contabilidad. Dichos sistemas

aumentan la sofisticación total de SIC y la complejidad de las

aplicaciones específicas a las que afectan. Como resultado, pueden

aumentar el riesgo y requerir una consideración adicional.

Procedimientos de auditoría

11. De acuerdo con la NEA “Evaluaciones del riesgo y control

interno” el auditor debería considerar el ambiente SIC al

diseñar los procedimientos de auditoría para reducir el riesgo

de auditoría a un nivel aceptablemente bajo.

12. Los objetivos específicos de auditoría del auditor no cambian ya

sea que los datos de contabilidad se procesen manualmente o por

computadora. Sin embargo, los métodos de aplicación de

procedimientos de auditoría para reunir evidencia pueden ser

influenciados por los métodos de procesamiento por computadora. El

auditor puede usar procedimientos de auditoría manuales, técnicas

de auditoría con ayuda de computadora, o una combinación de

ambos para obtener suficiente material de evidencia. Sin embargo,

en algunos sistemas de contabilidad que usan una computadora para

procesar aplicaciones significativas, puede ser difícil o imposible para

el auditor obtener ciertos datos para inspección, investigación, y

confirmación sin la ayuda de la computadora.

http://ecuadorcontable.com/casa/index.php/biblioteca/auditoria/neas/67-

nea-11-auditoria-en-un-ambiente-de-sistemas-de-informacion-por-

computadora

SUPERINTENDENTE DE COMPAÑIAS

SECCION III

DE LA UNIDAD DE AUDITORÍA INTERNA

Son funciones de la Unidad de Auditoría Interna:

Cumplir con lo previsto en la Ley Orgánica de la Contraloría General del

Estado y demás normas legales y técnicas que sean aplicables a la

actividad de las Unidades de Auditoría Interna en las entidades

públicas;

b) Emitir y actualizar el Manual Específico de Auditoría Interna y

someterlo a la aprobación de la Contraloría General;

c) Elaborar el proyecto del Plan Anual de Trabajo de la Unidad someterlo

a la decisión del Contralor General del Estado;

d) Efectuar auditorías y exámenes especiales; preparar y presentar a la

Contraloría General del Estado y al Superintendente los informes de

los exámenes practicados, incluyendo sus conclusiones sobre

eficiencia, efectividad y economía en las operaciones financieras y

administrativas, y recomendaciones tendentes a mejorar la

administración;

e) Revisar posteriormente las operaciones efectuadas por la Entidad,

comprobando su legalidad, propiedad, exactitud, necesidad,

conveniencia, veracidad y conformidad con las normas vigentes;

f) Revisar y evaluar periódicamente el sistema de control interno y de

información aplicado en la Institución y sugerir recomendaciones

para mejorarlo;

g) Prestar a los auditores externos de la Contraloría General del Estado

la colaboración que soliciten, incluyendo la información sobre los

exámenes efectuados y la documentación pertinente;

h) Asesorar al Nivel Directivo de la Superintendencia de Compañías y a

las demás unidades que lo requieran en las áreas de su

competencia;

i) Realizar el seguimiento de las recomendaciones presentadas en los

informes de auditoría emitidos tanto por la Contraloría General del

Estado, como por esta Unidad; y,

j) Las demás que le asigne o delegue la ley, el Contralor General del

Estado o el Superintendente de Compañías.

La Intendencia Nacional de Tecnología de Información y

Comunicación, está conformada por dos unidades, cuyas

funciones son:

UNIDAD DE TECNOLOGÍA

Elaborar y participar en el estudio, análisis, diseño y ejecución de los

sistemas, programas y aplicaciones automatizados institucionales;

a) Establecer la nomenclatura para todos los tipos de datos elementales

(campos) que se RESOLUCION No. ADM-10-002 33vayan a considerar;

combinarlos a éstos en grupos con denominación propia (arreglos,

registros, segmentos o relaciones); y, documentarlos incluyendo sus

definiciones;

b) Crear la definición del esquema, conviniendo en las relaciones lógicas

entre los grupos y mantenerlo actualizado;

c) Documentar detalladamente las diversas partes de los sistemas

desarrollados y conformar los manuales correspondientes;

d) Controlar el desarrollo de los programas, rutinas y más aplicaciones;

y, verificar la información de salida del computador;

e) Diseñar bases de datos, archivos y sus respectivos métodos de

acceso; codificar los datos requeridos para pruebas y archivos; aplicar la

normas técnicas para su mantenimiento y actualización; y, participar en

la implantación de los sistemas desarrollados y en el plan de difusión de

estos;

f) Optimizar los programas, con el empleo de técnicas y estructuras de

programación adecuadas y propender a la uniformidad metodológica en

la elaboración de los mismos, de acuerdo con las normas establecidas;

g) Definir reglas y funciones que aseguren la validez, consistencia,

exactitud y confiabilidad de los datos;

h) Diseñar medios para reiniciar y recuperar los sistemas después de

fallas producidas, los mecanismos de back-up; y métodos de

reconstrucción de datos en la eventualidad de pérdida de registros o

destrucción de archivos;

i) Recomendar que software y hardware deberá ser usado en la base de

datos, especificando cualquier aumento o modificación que pueda ser

necesario; y, diseñar métodos de acceso apropiados;

j) Definir normas de seguridad, restricción de acceso y privacidad,

diseñando las estructuras en detalle, incluyendo reglas para prevenir

actualizaciones concurrentes o bloqueos;

k) Determinar políticas para borrar o vaciar datos antiguos y la

migración de datos; y,

l) Capacitar y difundir tanto los programas que la Institución

implemente, así como del uso y operación de los equipos asignados a los

usuarios que lo requieran.

UNIDAD DE CONTROL INFORMATICO Y PROYECTOS

a) Velar por el buen funcionamiento del área de control informático, del

cumplimiento de los planes de la Dirección y de las funciones de las

personas bajo su cargo.

b) Controlar y monitorear la ejecución de los proyectos generados por el

área. (Gerenciamiento).

c) Supervisar que se mantenga física y electrónicamente expedientes

completos de los proyectos de implementación y desarrollo del área de

sistemas.

d) Controlar el cumplimiento de la metodología y estándares para

desarrollo e implementación de sistemas desarrollados internamente y

de terceros.

e) Efectuar conjuntamente con la Dirección, la planificación de los

procesos de auditoria periódicos de los sistemas, que permitan pruebas

y evaluaciones para identificar inconsistencias o no conformidades

respecto a su funcionamiento.

f) Tomar acciones correctivas y dar seguimiento al cumplimiento de las

recomendaciones de los resultados de los informes de auditoría interna

o externa. RESOLUCION No. ADM-10-002 34

g) Controlar el levantamiento y actualización de Procesos y

Procedimientos que se requieran reformular (actualizar su versión) o

crear y que están dentro del ámbito de gestión de esta Dirección.

h) Controlar lo concerniente a procedimientos de su competencia y

autorizaciones establecidas dentro de los mismos.

i) Revisar que se cumpla con el esquema de licenciamiento y

actualización de las herramientas y aplicativos que utiliza la

Superintendencia de Compañías.

j) Revisar que se cumpla con el esquema de versionamiento

determinado por la Intendencia.

k) Evaluar el cumplimiento de las políticas de seguridad por parte de las

unidades de la Dirección.

l) Revisar y actualizar la información de la Planificación Estratégica de la

ITIC.

m) Revisión de objetivos planteados y avances del área.

n) Controlar que se ejecuten los SLA´s (acuerdos firmados de nivel de

servicios) y contratos que mantenga el área.

o) Presentar informes consolidados de proyectos.

p) Mantener actualizada las matrices de seguimiento de ejecución

presupuestaria. (General y de proyectos).

q) Dar seguimiento de las garantías otorgadas por los proveedores.

r) Custodiar el software institucional y controlar su asignación.

s) Preparar informes periódicos o especiales sobre su departamento.

t) Participar en la implementación de proyectos como Líder o como parte

del Equipo de

Proyecto

u) Formar un back up de acuerdo a lo establecido para que asuma las

funciones en caso de su ausencia temporal o definitiva.

v) Capacitar a usuarios finales en temas específicos y a los demás

integrantes de la Dirección cuando los casos así lo ameriten.

w) Participar en la definición del plan operativo.

http://www.supercias.gob.ec/bd_supercias/descargas/lotaip/1a.pdf