Dpto.

de Tecnología de la Inf
Propuesta de cuestionario de control interno para instituciones públicas con aplicación de COSO 2013 Respuesta

Componente
1
SCI
Principio Punto de enfoque Pregunta Explicación de la pregunta

3.2.1 2. Se establecen ¿La institución ha establecido una Un principio básico de control interno es la división de labores,
actividades de estructura formal del departamento mediante la cual se identifica a los responsables de ejecutar
control relevantes de TI (o similar), que contemple el actividades y procesos que, sumados, contribuyen al logro de
objetivos previamente establecidos. Lo anterior se pone de
a la infraestructura establecimiento de los roles y las
Selección y manifiesto en una estructura formal que defina roles y
de TI responsabilidades de sus responsabilidades para cada uno de sus miembros.
Actividades de desarrollo de funcionarios?
control controles generales
de TI

1. Determina la ¿La institución cuenta con un plan Debe existir un documento o un grupo de ellos que
dependencia entre estratégico de tecnologías de evidencie los resultados de un proceso de planificación
el uso de TI en los información vigente? en materia de TI vinculado con el proceso de
Selección y procesos del planificación institucional. Estos documentos contendrán
Actividades de desarrollo de negocio y los al menos objetivos, estrategias, indicadores y reservas
3.2.2
control controles generales controles presupuestarias que estarán alineados con su
de TI generales de TI contraparte institucional. Para que se considere oficial,
debe haber sido emitido por la máxima autoridad
jerárquica institucional.

1. Determina la ¿La institución cuenta con un modelo El modelo de plataforma tecnológica describe la
dependencia entre de plataforma tecnológica que defina configuración de los componentes tecnológicos de
el uso de TI en los los estándares, regulaciones y hardware y software de la organización y la forma en que
Selección y procesos del políticas para la adquisición, estos se acoplan con los componentes descritos en el
Actividades de desarrollo de negocio y los operación y administración de la modelo de aplicaciones. Esta descripción está
3.2.3
control controles generales controles capacidad tanto de hardware como acompañada de los estándares, regulaciones y políticas
de TI generales de TI de software? para la adquisición, operación y administración de la
capacidad de los componentes mencionados.
 Componente
1
SCI
Principio Punto de enfoque Pregunta Explicación de la pregunta

3. Se establecen ¿La institución ha oficializado Como medida final, se pretende la implementación de

actividades de lineamientos o políticas para la una arquitectura de seguridad institucional de la
control relevantes seguridad (tanto física como información. Para ello se requiere, al menos, visualizar
Selección y
para el proceso de electrónica) de la información, así las bases para dicha implementación, mediante un
Actividades de desarrollo de
3.2.4 gestión de como procesos de administración y documento que demuestre la ejecución de un proceso de
control controles generales
seguridad operación asociados a ellos? identificación de requerimientos generales de seguridad,
de TI
amenazas y el marco legal y regulatorio aplicable a la
institución.

3. Se establecen ¿La institución ha definido, La seguridad lógica alude a la seguridad en el uso de

actividades de oficializado y comunicado políticas y software y los sistemas, a la protección de los datos,
control relevantes procedimientos de seguridad lógica? procesos y programas, y al acceso ordenado y autorizado
para el proceso de de los usuarios a la información. Involucra todas aquellas
Selección y gestión de medidas establecidas para minimizar los riesgos de
Actividades de desarrollo de seguridad seguridad asociados con las operaciones que se
3.2.5
control controles generales efectúan utilizando TI. Como parte de esas medidas, las
de TI instituciones deben definir, oficializar y comunicar las
políticas y los procedimientos pertinentes.

2. Se establecen ¿Se han definido e implementado Los aspectos señalados por la pregunta son parte de los
Selección y actividades de procedimientos para otorgar, limitar y controles físicos mínimos en materia de TI.
Actividades de desarrollo de control relevantes revocar el acceso físico al centro de
3.2.6 a la infraestructura cómputo y a otras instalaciones que
control controles generales
de TI de TI mantienen equipos e información
sensibles?

3. Se establecen ¿Se aplican medidas de prevención, De acuerdo con la normativa vigente y con las sanas
Selección y actividades de detección y corrección para proteger prácticas en materia de TI, la organización debe
Actividades de desarrollo de control relevantes los sistemas contra software implementar las medidas de seguridad relacionadas con
3.2.7 para el proceso de malicioso (virus, gusanos, spyware, la operación de los recursos de TI y las comunicaciones,
control controles generales
de TI gestión de correo basura, software fraudulento, minimizar su riesgo de fallas y proteger la integridad del
seguridad etc.)? software y de la información.

1. Determina la ¿Las políticas de TI se comunican a Como medida de control, los usuario de la información y,
dependencia entre todos los usuarios internos y externos en general, de las facilidades de TI, deben conocer las
Selección y el uso de TI en los relevantes? políticas establecidas por la institución, de manera que
Actividades de desarrollo de procesos del tengan seguridad sobre el rol que les compete y las
3.2.9
control controles generales negocio y los responsabilidades correspondientes.
de TI controles
generales de TI
 Componente
1
SCI
Principio Punto de enfoque Pregunta Explicación de la pregunta

¿Los líderes de las unidades

1. Considera una
orgánicas realizan una revisión
Evaluaciones mezcla de
Actividades de periódica permanente de sus Es necesario propiciar la mejora continua en todos los
5.1.2 continuas y/o evaluaciones
supervisión procesos claves para propiciar la procesos de la institución.
separadas permanentes y
modificación del cambio normativo y
separadas
de procedimientos.?

Evaluación y ¿La comunicación entre la Alta

3. Moritorea las La comunicación debe ser clara, precisa, concisa,
Actividades de comunicación de Dirección y los líderes de los
5.2.2 acciones transparente que comprenda una retroalimentación de los
supervisión deficiencias de procesos facilita la supervisión de los
correctivas procesos y productos
control interno controles internos de la entidad?

Principio Punto de enfoque

1. Determina la dependencia entre el uso de TI en los procesos del negocio y los controles
Selección y generales de TI actividades de control relevantes a la infraestructura de TI
desarrollo de 2. Se establecen
controles generales 3. Se establecen actividades de control relevantes para el proceso de gestión de seguridad
de TI 4. Se establecen actividades de control relevantes para los procesos de adquisición, desarrollo y
mantenimiento de TI
1. Considera una mezcla de evaluaciones permanentes y separadas
2. Considera la velocidad del cambio
Evaluaciones
3. Establece una comprensión básica
continuas y/o 4. Utiliza personal experto
separadas 5. Se integra con los procesos del negocio
6. Se ajusta el alcance y la frecuencia
7. Se evalúa objetivamente

Evaluación y 1. Evalúa los resultados

comunicación de 2. Comunica las deficiencias
deficiencias de
control interno 3. Moritorea las acciones correctivas
Referencia al
documento Observaciones
probatorio