NORMAS DE CONTROL

INTERNO PARA EL AREA

DE
TECNOLOGA DE LA
INFORMACIN

Que es un Control Interno

Es el proceso integrado a las operaciones
efectuado por la direccin y el resto del personal
de una entidad para proporcionar una seguridad
RAZONABLE al logro de los objetivos siguientes:
Confiablidad de la informacin i
Eficiencia y eficacia de las operaciones
Cumplimiento de las leyes, reglamentos y
polticas establecidas
Control
de los recursos, de todo tipo, a
disposicin de la entidad.

Normas ISO 9000 y 9001

ISO 9000 es un conjunto de normas sobre

calidad y gestin de calidad, establecidas por la
Organizacin Internacional de Normalizacin
(ISO). Se pueden aplicar en cualquier tipo de
organizacin o actividad orientada a la
produccin de bienes o servicios. Las normas
recogen tanto el contenido mnimo como las
guas
y
herramientas
especficas
de
implantacin como los mtodos de auditora. El
ISO 9000 especifica la manera en que una
organizacin opera sus estndares de calidad,
tiempos de entrega y niveles de servicio.

Ventajas de las Normas

Ventajas
Su implementacin aunque supone un duro trabajo, ofrece numerosas ventajas para las
empresas, como pueden ser:

Estandarizar las actividades del personal que trabaja dentro de la organizacin

por medio de la documentacin.
Incrementar la satisfaccin del cliente al asegurar la calidad de productos y
servicios de manera consistente, dada la estandarizacin de los procedimientos
y actividades.
Medir y monitorear el desempeo de los procesos.
y/o eficiencia de Incrementar la eficacia la organizacin en el logro de sus
objetivos.
Mejorar continuamente en los procesos, productos, eficacia, entre otros.
Reducir las incidencias negativas de produccin o prestacin de servicios.
Mantienen la calidad.

Desventajas
Los esfuerzos y costos para preparar la documentacin e implantacin de los
sistemas.

Historia de las ISO

Las normas ISO 9000 de 1994 estaban principalmente

dirigidas a organizaciones que realizaban procesos
productivos y, por tanto, su implantacin en las
empresas de servicios planteaba muchos problemas.
Esto foment la idea de que son normas
excesivamente burocrticas.
Con la revisin de 2000 se consigui una norma menos
complicada, adecuada para organizaciones de todo
tipo, aplicable sin problemas en empresas de servicios
e incluso en la Administracin Pblica, con el fin de
implantarla y posteriormente, si lo deciden, ser
certificadas conforme a la norma ISO 9001.

La ISO 9001:2008 es la base del sistema de gestion de la calidad ya

que es una norma internacional y que se centra en todos los elementos
de administracin de calidad con los que una empresa debe contar
para tener un sistema efectivo que le permita administrar y mejorar la
calidad de sus productos o servicios.

Los clientes se inclinan por los proveedores que cuentan con esta
acreditacin porque de este modo se aseguran de que la empresa
seleccionada disponga de un buen sistema de gestin de calidad (SGC).

Existen ms de 640.000 empresas en el mundo que cuentan con la

certificacin ISO 9001.

La Organizacin Internacional de Estandarizacin (ISO, segn la

abreviacin aceptada internacionalmente) tiene su oficina central en
Ginebra, Suiza, y est formada por una red de institutos nacionales de
estandarizacin en 156 pases, con un miembro en cada pas.

NORMAS DE CONTROL INTERNO

DE
TECNOLOGA DE LA INFORMACIN

410-01 Organizacin informtica

Las entidades y organismos del sector pblico deben

estar acopladas en un marco de trabajo para procesos de
tecnologa de informacin que aseguren la transparencia
y el control, as como el involucramiento de la alta
direccin, por lo que las actividades y procesos de
tecnologa de informacin de la organizacin deben estar
bajo la responsabilidad de una unidad que se encargue
de regular y estandarizar los temas tecnolgicos a nivel
institucional.

410-02 Segregacin de funciones

Las funciones y responsabilidades del personal

de tecnologa de informacin y de los usuarios
de los sistemas de informacin sern
claramente definidas y formalmente
comunicadas para permitir que los roles y
responsabilidades asignados se ejerzan con
suficiente autoridad y respaldo.

41003 Plan informtico estratgico de

tecnologa

La unidad de tecnologa de la informacin elaborar

e implementar un plan informtico estratgico para
administrar
y
dirigir
todos
los
recursos
tecnolgicos, el mismo que estar alineado con el plan
estratgico institucional y ste con el Plan Nacional de
Desarrollo y las polticas pblicas de gobierno.

410-04 Polticas y procedimientos

La mxima autoridad de la entidad aprobar las

polticas y procedimientos que permitan organizar
apropiadamente el rea de tecnologa de
informacin y asignar el talento humano calificado
e infraestructura tecnolgica necesaria.

410-05 Modelo de informacin

organizacional

La unidad de tecnologa de informacin definir el

modelo de informacin de la organizacin a fin de
que se facilite la creacin, uso y comparticin de la
misma; y se garantice su disponibilidad, integridad,
exactitud y seguridad sobre la base de
la
definicin e implantacin de los procesos y
procedimientos correspondientes.

410-06 Administracin de
proyectos tecnolgicos

La unidad de tecnologa de informacin

definir
mecanismos
que
facilita en
la
administracin
de todos
los
proyectos
informticos que ejecuten las diferentes
reas que conformen dicha unidad. Los
aspectos a considerar son:

1. Descripcin de la naturaleza
2.Cronograma de actividades
3.La formulacin de los proyectos considerar el Costo Total de
Propiedad CTP;
4.Asegurar la ejecucin del proyecto
5.Cubrir, como mnimo las etapas de: inicio, planeacin,
ejecucin, control, monitoreo y cierre de proyectos
6.El inicio de las etapas importantes del proyecto
7.Incorporar el anlisis de riesgos.
8.Se deber monitorear y ejercer el control permanente de los
avances del proyecto.
9.Se establecer un plan de control de cambios y un plan de
aseguramiento de calidad que ser aprobado por las partes
interesadas.
10.El proceso de cierre incluir la aceptacin formal y pruebas
que certifiquen la calidad y el cumplimiento de los objetivos
planteados junto con los beneficios obtenidos.

410-07 Desarrollo y adquisicin de

software aplicativo

La unidad de tecnologa de informacin

regular
los
procesos
de
desarrollo
y
adquisicin de software aplicativo con
lineamientos,
metodologas
y
procedimientos. Los aspectos a considerar son:

1.
2.
3.

4.

5.

6.
7.
8.

9.

10.
11.

La adquisicin de software o soluciones tecnolgicas

Adopcin, mantenimiento y aplicacin de polticas pblicas y estndares internacionales
Identificacin, priorizacin, especificacin y acuerdos de los requerimientos funcionales y
tcnicos institucionales .
Especificacin de criterios de aceptacin de los requerimientos que cubrirn la definicin de las
necesidades, su factibilidad tecnolgica y econmica, el anlisis de riesgo y de costo-beneficio, la
estrategia de desarrollo o compra del software de aplicacin, as como el tratamiento que se dar
a aquellos procesos de emergencia que pudieran presentarse.
En los procesos de desarrollo, mantenimiento o adquisicin de software aplicativo se
considerarn: estndares de desarrollo, de documentacin y de calidad, el diseo lgico y fsico
de las aplicaciones, la inclusin apropiada de controles de aplicacin diseados para prevenir,
detectar y corregir errores e irregularidades de procesamiento, de modo que ste, sea exacto,
completo, oportuno, aprobado y auditable. Se considerarn mecanismos de autorizacin,
integridad de la informacin, control de acceso, respaldos, diseo e implementacin de pistas de
auditora y requerimientos de seguridad. La especificacin del diseo considerar las
arquitecturas tecnolgicas y de informacin definidas dentro de la organizacin.
En caso de adquisicin de programas de computacin (paquetes de software)
En los contratos realizados con terceros para desarrollo de software
La implementacin de software aplicativo adquirido incluir los procedimientos de configuracin,
aceptacin y prueba personalizados e implantados.
Los derechos de autor del software desarrollado a la medida pertenecern a la entidad y sern
registrados en el organismo competente.
Formalizacin con actas de aceptacin por parte de los usuarios
Elaboracin de manuales tcnicos, de instalacin y configuracin de forma permanente.

410-08 Adquisiciones de
infraestructura tecnolgica

La unidad de tecnologa de informacin definir,

justificar,
implantar
y
actualizar
la
infraestructura tecnolgica de la organizacin.

410-09 Mantenimiento y control

de la infraestructura tecnolgica

La unidad de tecnologa de informacin de cada

organizacin
definir
y
regular
los
procedimientos
que
garanticen
el
mantenimiento y uso adecuado de la
infraestructura tecnolgica de las entidades.

410-10 Seguridad de tecnologa de

informacin

La unidad de tecnologa de informacin,

establecer mecanismos que protejan y
salvaguarden contra prdidas y fugas los
medios fsicos y la informacin que se procesa
mediante sistemas informticos.

410-11 Plan de contingencias

Corresponde a la unidad de tecnologa de informacin

la definicin, aprobacin e implementacin de un
plan de contingencias que describa las acciones a
tomar en caso de una emergencia o suspensin en el
procesamiento de la informacin por problemas en
los equipos, programas o personal relacionado.

410-12 Administracin de
soporte de tecnologa de
informacin

La unidad de tecnologa de informacin definir,

aprobar y difundir procedimientos de operacin
que faciliten una adecuada administracin del
soporte tecnolgico y garanticen la seguridad,
integridad, confiabilidad y disponibilidad de los
recursos y datos, tanto como la oportunidad de
los servicios tecnolgicos que se ofrecen.

410-14 Sitio web, servicios de

internet e intranet

Es responsabilidad de la unidad de tecnologa de

informacin elaborar las normas, procedimientos e
instructivos de instalacin, configuracin y utilizacin
de los servicios de internet, intranet, correo electrnico
y sitio WEB de la entidad, a base de las disposiciones
legales y normativas y los requerimientos de los
usuarios externos e internos.

410-15 Capacitacin informtica

Las necesidades de capacitacin sern identificadas tanto

para el personal de tecnologa de informacin como para
los usuarios que utilizan los servicios de informacin, las
cuales constarn en un plan de capacitacin informtico,
formulado conjuntamente con la unidad de talento humano.
El plan estar orientado a los puestos de trabajo y a las
necesidades de conocimiento especficas determinadas en
la evaluacin de desempeo e institucionales.

410-16 Comit informtico

Para la creacin de un comit informtico institucional, se
considerarn los siguientes aspectos:
El tamao y complejidad de la entidad y su interrelacin con
entidades adscritas.
La definicin clara de los objetivos que persigue la creacin de
un comit de informtica.
La conformacin y funciones del comit, su reglamentacin, la
creacin de grupos de trabajo, la definicin de las atribuciones y
responsabilidades de los miembros del comit, entre otros
aspectos.

410-17 Firmas electrnicas

Las entidades, organismos y dependencias del
sector pblico, as como las personas jurdicas
que acten en virtud de una potestad estatal,
ajustarn sus procedimientos y operaciones e
incorporarn los medios tcnicos necesarios, para
permitir el uso de la firma electrnica de
conformidad con la Ley de Comercio Electrnico,
Firmas y Mensajes de Datos y su Reglamento.