Byron Napoleón Cadena Oleas*
Irene García Rondón**
Escuela Superior Politécnica de Chimborazo, Ecuador
Universidad de La Habana, Cuba
Resumen
El presente trabajo, expone la aplicación de la metodología para la evaluación de las Normas de Control Interno de Tecnologías de la Información (NCI-TI), en relación a la propuesta realizada producto del trabajo de investigación ejecutada por los autores de este artículo, previo la obtención del grado de Doctor en Ciencias Económicas. Esta metodología se desarrolla bajo un nuevo enfoque de control denominado CITI (Control Integrado de Tecnologías de la Información), el mismo se enmarca en una nueva perspectiva de gestión, que bajo la teoría sistémica, integra las normas de control interno, el proceso administrativo y los indicadores de gestión, para evaluar el desempeño de una institución con respecto a las Tecnologías de la información (TI).
Se selecciona como caso de estudio al Gobierno Autónomo Descentralizado Municipal de Riobamba, por su complejidad y por las desviaciones en cuanto a la aplicación de las normas de control interno observadas.
Palabras clave: Control Integrado de TI, Normas de Control Interno de TI, Evaluación de la Gestión de TI.
Abstract
This work focuses on the application of the methodology for the assessment of Internal Control Standards for Information Technology (NCI-TI) in relation to the proposal made product of the research work carried out by the authors of this article, prior obtaining the degree of Doctor of Economics. This methodology is developed under a new control approach called CITI (Integrated Information Technology Control), it is part of a new management perspective, which, under the systemic theory, integrates internal control standards, the administrative process and management indicators to assess the performance of an institution with respect to information Technology (IT).
It is selected as a case study to the Autonomous Decentralized Municipal Government of Riobamba, because of its complexity and deviations regarding the implementation of internal control standards observed.
Para citar este artículo puede utilizar el siguiente formato:
Byron Napoleón Cadena Oleas e Irene García Rondón (2016): “Aplicación de la metodología para la evaluación de las normas de control interno de TI, bajo en enfoque CITI (Control Integrado de Tecnologías de la Información). Caso de estudio: gobierno autónomo descentralizado municipal de Riobamba - Ecuador”, Revista Caribeña de Ciencias Sociales (octubre 2016). En línea: https://www.eumed.net/rev/caribe/2016/10/control.html
http://hdl.handle.net/20.500.11763/CARIBE-2016-10-control
INTRODUCCIÓN
La metodología para la evaluación de las Normas de Control Interno de TI para las entidades del sector público en la república del Ecuador, bajo el enfoque CITI (Control Integrado de Tecnologías de la Información), establece de forma general las relaciones entre las Normas de Control Interno emitidas por la Contraloría General del Estado, el proceso administrativo y de los principales indicadores de gestión.
Uno de los propósitos es determinar el alineamiento que tienen las Normas de Control Interno de TI, con respecto a los elementos del proceso administrativo y a los indicadores de gestión, en esa misma relación el enfoque a su vez entrega como resultado varias posibilidades de análisis para la evaluación, que visto desde el práctica sistémica, se muestra en la Figura 1.
Es fundamental realizar esta referencia ya que la Gestión de Tecnologías de la Información desde una perspectiva del Control tiene también un enfoque sistémico en el que se relacionan los 3 elementos ya observados:
En concordancia a los elementos que la integran, la metodología para la evaluación de las Normas de Control Interno de Tecnologías de la Información, bajo el enfoque CITI, establece 4 dominios determinados por los elementos de la Gestión de TI (planificación, organización, dirección y control), 17 objetivos de control definidos por las Normas de Control Interno de Tecnologías de la Información, y 70 indicadores, los mismos que se observarán en la aplicación de la metodología. El alineamiento que se genera entre todos los elementos, permite realizar análisis de tipo horizontal y vertical, este se muestra en la Figura 2.
Una vez definido el enfoque, se plantea los componentes de la Metodología para la evaluación de la Normas de Control Interno de Tecnologías de la Información en el Sector Público que consta de seis etapas que se muestran en la Figura 3.
Es importante mencionar que dentro de la programación de la etapas, estas se realizan de manera secuencial, dejando al conocimiento, experiencia y habilidad de los encargados de llevar a cabo la aplicación de esta metodología, para realizar tareas y subtareas de manera simultánea.
APLICACIÓN DE LA METODOLOGÍA BAJO EL ENFOQUE CITI, EN EL GOBIERNO AUTÓNOMO DESCENTRALIZADO MUNICIPAL DE RIOBAMBA
El Ilustre Municipio del Cantón Riobamba, fue creado el 15 de agosto de 1534, fecha en la que se instaló el Primer Cabildo en el pueblo de Riobamba; según mandato del Señor Mariscal Don Diego de Almagro, como consta en el Acta Copia del Libro del Cabildo Antiguo.
La Asamblea Nacional, de conformidad con las atribuciones que le confiere la Constitución de la República del Ecuador y la Ley Orgánica de la Función Legislativa, discutió y aprobó el “Código Orgánico de Organización Territorial, Autonomía y Descentralización”, el cual entró en vigencia a partir del 19 de octubre de 2010, y fue publicado en el Registro Oficial Nro. 303 de igual fecha.
El Consejo Municipal de Riobamba, en sesión realizada el 7 de noviembre de 2011, resolvió que se denomine a la Municipalidad de Riobamba, como Gobierno Autónomo Descentralizado Municipal de Riobamba, pudiendo identificárselo como GADM Riobamba, según Resolución 2011-345-SEC de 8 de noviembre de 2011.
El Departamento de Sistemas empezó a funcionar, entre el año de 1990 y 1992, cuando se encontraba desempeñando sus funciones como Alcalde el Lic. José Mancero, y como bien manifiesta la Ordenanza N° 009-2007 de la Estructura Orgánica y Funcional de la Ilustre Municipalidad del Cantón Riobamba, se encontraba en el nivel operativo, en el área de apoyo administrativo, desprendiéndose de la Dirección Administrativa y Recursos Humanos.
Mediante la Resolución Administrativa N° 2014-026-SEC, se aprueba la estructura orgánica por procesos del Gobierno Autónomo Descentralizado Municipal de Riobamba, que es una herramienta técnica administrativa basada en procesos. La Gestión de Tecnologías de la Información se ubica dentro de los procesos habilitantes de apoyo y es la encargada de planificar, organizar, dirigir, ejecutar y asesorar aspectos relacionados con la gestión automática de la información dotando de modelos para la organización, seguridad e integridad de la información institucional.
Etapa 1. Definición del alcance.
Es preciso conocer las generalidades del GADMR, por lo que se muestra en la Tabla 1, una revisión del alineamiento estratégico de la organización en mención.
Blanco (2012), indica que uno de los primeros pasos en un proceso de control es la definición del alcance de la evaluación, y acorde a la descripción efectuada y luego de realizar un análisis de la información obtenida mediante observación directa, entrevistas y encuestas es posible establecer el Formulario de Alineamiento de las Normas de Control Interno al GADMR (Tabla 2).
La Dirección de Gestión de Tecnologías de la Información del Gobierno Autónomo Descentralizado Municipal de Riobamba aplica los parámetros establecidos para la ejecución propuesta por el autor del presente trabajo de aplicación.
Etapa 2. Definición y diseño de indicadores de Tecnologías de la Información.
En la Etapa 2, de la propuesta metodológica se definen y diseñan los indicadores, los mismos que, para su validación se aplican al Gobierno Autónomo Descentralizado Municipal de Riobamba.
Etapa 3. Política de adopción de uso de indicadores y definición de estándares.
Tarea 1. Declaración de adopción de uso de indicadores.
Se lo realiza mediante resolución emitida por Ing. Edwin Pombosa, Director Administrativo del GADMR.
Tarea 2. Definición de estándares para cada indicador.
En razón se realizarse la primera aplicación de la metodología, el equipo de técnicos de la institución evaluada conjuntamente con el equipo de investigación, determinar que los estándares se establecen al 100% para su cumplimiento, según lo planificado.
Etapa 4. Medición de indicadores de TI.
A continuación se efectúa la medición de los indicadores, los mismos que se exponen en la Tabla 3.
Paso 1. Análisis del Tablero de Control de Indicadores.
Siguiendo la metodología propuesta se presenta en la Tabla 4, los tableros de control para el caso GADM Riobamba, con respecto a: asesoría informática y planes de contingencia.
Paso 2. Análisis bajo el Enfoque de Control Integrado de Tecnologías de la Información.
Tarea 1. Tabulación de indicadores.
En la Tabla 5, se presenta los 70 indicadores tabulados, de esta, se alimentan las demás etapas de la metodología.
La tabla una vez tabulada muestra las valoraciones obtenidas de la medición de los indicadores por cada una de la NCI-TI, al mismo tiempo se puede visualizar como tributan en relación a los indicadores de gestión (eficacia, eficiencia y calidad).
De igual forma, en la Tabla 6, se calculan los niveles de confianza por cada norma mediante el promedio del resultado de los indicadores.
Tarea 2. Elaboración de la matriz de medición de cumplimiento general por norma.
En esta parte del proceso, se puede observar que existen normas y por ende objetivos de control que no se cumplen, como es el caso de: la planificación estratégica de tecnología, segregación de funciones, plan de contingencias, capacitación informática, firmas electrónicas, comité informático que presentan niveles de confianza bajos, estos aspectos merecen atención, para que no afecten el normal desarrollo de las actividades en el GADM Riobamba.
El plan informático estratégico de tecnología se cumple parcialmente, presenta un nivel de confianza bajo correspondiente al 39% y un de riego alto con el 61%, Figura 4; mientras que, el plan de contingencias como la segregación de funciones presentan el nivel más bajo de confianza que es de 0%, Figura 5 y 7, lo que significa que durante la evaluación se determinó que no se aplican las Normas de Control Interno de TI correspondientes, no existen planes de contingencias y el comité informático no se encuentra conformado. La Figura 6 muestra los procesos de asesoría que se cumplen en su totalidad por tal razón la Organización informática se encuentra con un nivel de confianza alto del 100%.
Tarea 3. Matriz para el cálculo del nivel de confianza general de la evaluación de las NCI-TI.
Esta Tarea es una de las más relevantes, en la práctica en esta se calcula el nivel de confianza de todo el proceso de control, ver Tabla 7.
Según la metodología el, donde:
CT = 60 y PT = 100, se tiene:, dando como resultado NC = 60%
El nivel de riesgo es igual a NR = 100% - NC, entonces:
NR = 100% - 60%, dando como resultado NR = 40%
Tarea 4. Análisis relacionado a los componentes del proceso administrativo.
En la Tabla 8, a partir del nivel de confianza de cada norma, por agrupación y aplicando el promedio a cada dominio, se obtiene los niveles de confianza para cada elemento del proceso administrativo: planificación (39%), organización (63%), dirección (0%) y control (78%).
Evidentemente el de mayor preocupación constituye la dirección, esto se debe a que no se encuentra conformado el comité informático, presentando un nivel de riesgo alto; al mismo tiempo la planificación se encuentra con un nivel de riesgo alto y la organización y el control se hallan en un nivel de confianza y riesgo moderado, es una situación que preocupa porque existen deficiencias en el cumplimiento de Normas de Control Interno de TI, afecta los bajos niveles de cumplimiento que se tiene en el plan de contingencias, capacitación informática y firmas electrónicas.
En la Figura 9 se hace un resumen del análisis de las Normas de Control Interno enfocado al proceso administrativo.
Especial atención merece la conformación del Comité Informático, que en una institución tan grande como el GADMR, se torna indispensable para poder articular tareas de asesoría a la máxima autoridad y de apoyo a las unidades usuarias.
Tarea 5. Análisis relacionado a los indicadores de eficacia, eficiencia y calidad.
Según los resultados se obtiene: eficacia (49%), eficiencia (72%) y calidad (77%). La figura 10, resume el análisis realizado de las Normas de Control Interno asociado a los indicadores de gestión.
Si se ubican los resultados dentro de la tabla de identificación del nivel de confianza y riesgo, se puede establecer que la eficacia se encuentra con un nivel de confianza bajo y la eficacia y calidad en nivel de confianza y riesgo moderado. En el primer caso deja claro que el cumplimiento de metas y objetivos no se están cumpliendo conforme lo planificado.
El análisis de la información anterior permitió determinar ocho hallazgos:
A continuación se presenta la forma de tratamiento y aplicación del hallazgo según la metodología, se detallan la condición, el criterio, la causa y el efecto de cada hallazgo.
Etapa 6. Plan de Mejoras.
Planteado por Subía (2013), se detalla para cada hallazgo una recomendación, las actividades a ejecutar, su fecha de inicio y finalización de actividades, medios de verificación y responsable de la ejecución de cada una de las tareas correspondientes para la corrección de los problemas encontrados.
Como demostración de la aplicación de la metodología en la Tabla 11, se muestra el Plan de Mejora de tres hallazgos analizados:
La aplicación de la metodología propuesta en la GADMR mostró su validez, al haberse aplicado todas las fases del proceso.
CONCLUSIONES
BIBLIOGRAFÍA
** Licenciada en Economías. Máster en Marketing y Diseño Comercial. Doctora en Ciencias Económicas. Ponente en eventos científicos nacionales e internacionales. Autor de artículos científicos publicados en revistas indexadas
Los comentarios al artículo son responsabilidad exclusiva del remitente.
Si necesita algún tipo de información referente al articulo póngase en contacto con el email suministrado por el autor del articulo al principio del mismo.
Un comentario no es mas que un simple medio para comunicar su opinion a futuros lectores.
El autor del articulo no esta obligado a responder o leer comentarios referentes al articulo.
Al escribir un comentario, debe tener en cuenta que recibirá notificaciones cada vez que alguien escriba un nuevo comentario en este articulo.
Eumed.net se reserva el derecho de eliminar aquellos comentarios que tengan lenguaje inadecuado o agresivo.
Si usted considera que algún comentario de esta página es inadecuado o agresivo, por favor,pulse aqui.