Byron Napoleón Cadena Oleas*
Irene García Rondón**
Escuela Superior Politécnica de Chimborazo, Ecuador
Universidad de La Habana, Cuba
Resumen
La República del Ecuador se encuentra inmersa en un entorno mundial orientado principalmente por el avance de las Tecnologías de Información, las que definen nuevos paradigmas de desarrollo, en un escenario en el que se plantean sociedades más integradas, gobiernos más transparentes, mejor educación y salud, y la participación rápida así como ágil en mercados a nivel regional, nacional y mundial. Es así que, resulta importante implementar mecanismos y estrategias de gestión que permitan la incorporación nuevos enfoques y metodologías para llevar a cabo procedimientos de control en este caso sobre la gestión de tecnologías de la información, y la dotación de herramientas que aseguren el cumplimiento de los objetivos institucionales.
Palabras clave: Control de Tecnologías de la Información, Control Integrado de Tecnologías de la información, Control Interno de Tecnologías de la Información.
Abstract
The Republic of Ecuador is immersed in a mainly guided by the progress of Information Technology, which define new paradigms of development, in a scenario in which more integrated societies, more transparent government, better education and health are raised global environment and quick and agile markets participation in regional, national and global levels. It is so, it is important to implement mechanisms and management strategies that enable new integration approaches and methodologies to carry out control procedures in this case on the management of information technology, and the provision of tools to ensure compliance with the institutional objectives.
Keywords: Control of Information Technology, Integrated Control of Information Technology, Internal Control Information Technology
Para citar este artículo puede utilizar el siguiente formato:
Byron Napoleón Cadena Oleas e Irene García Rondón (2016): “Metodología para la evaluación de las normas de control interno de tecnologías de la información en las entidades del sector público de la República del Ecuador”, Revista Caribeña de Ciencias Sociales (octubre 2016). En línea: https://www.eumed.net/rev/caribe/2016/10/normas.html
http://hdl.handle.net/20.500.11763/CARIBE-2016-10-normas
INTRODUCCIÓN
La revolución de las Tecnologías de Información ha tenido un profundo efecto en la administración de las organizaciones, mejorando la habilidad de los administradores para coordinar y controlar las actividades de la organización, ayudándolos a tomar decisiones mucho más efectivas. Actualmente su uso, se ha convertido en uno de los componentes centrales de toda empresa o negocio que busca un crecimiento sostenido. Es así que el país no pudo quedar al margen de estos cambios; razones por las que muchas organizaciones y entre ellas las entidades del sector público, implantaron modelos de gestión de Tecnologías de Información con el propósito de mejorar y elevar el trabajo que realizan; así como, los servicios que ofertan.
El Estado Ecuatoriano, en los últimos años realizó inversiones importantes en la incorporación de Tecnologías de la información en el sector público. Según los datos de la SENESCYT, el Ecuador invirtió el 0,47% de su PIB en Tecnología, la meta fue llegar al 1%; es así que en el año 2012 se invirtieron alrededor de 423 millones de dólares, y en el 2013, alrededor de 477 millones de dólares. Cifras realmente halagadoras, sin embargo, el solo hecho de invertir en esta área no garantiza que los servicios públicos cumplan con los objetivos propuestos.
En el año 2012, se crea la Subsecretaría de Tecnologías de la Información, cuyo proyecto bandera es la implementación de los Gobiernos Electrónicos en las entidades del sector público, identificado por las siglas eGOV 1.
El Gobierno Electrónico se refiere al uso de las Tecnologías de Información y Comunicación, por parte de las entidades gubernamentales para transformar las relaciones con los ciudadanos, entre entidades gubernamentales y empresas privadas. Busca mejorar la calidad de los servicios públicos y a la ciudadanía, promover y viabilizar el intercambio de información interinstitucional y convenios con las empresas privadas, fortalecer la participación ciudadana a través del acceso a la información con servicios públicos que se rijan por los principios de eficacia, eficiencia y calidad consagrados en el artículo 227 de la Constitución de la República del Ecuador.
El Plan Nacional de Desarrollo 2009 – 2013 establece una estrategia nacional de largo plazo, que busca la diversificación de la matriz productiva. Por otro lado, el Plan Nacional de Desarrollo 2013-2017 plasma la estrategia para la reducción de la pobreza, para soportar y viabilizar estos dos grandes intereses nacionales, el Estado debe mejorar su gestión y la calidad en la prestación de sus servicios, para lo cual el uso de las Tecnologías de la Información y Comunicación (TIC) se convierten en un factor clave.2
Lo anterior precisa la gestión estratégica de las TIC. En ese sentido, El Plan de Gobierno Electrónico se constituye en el instrumento rector de todos los esfuerzos de automatización del Estado y en marco de referencia, inspiración y proyección para los distintos actores involucrados.
La primera versión del Plan de Gobierno Electrónico es el resultado de un esfuerzo coordinado a través de: talleres en los cuales participaron la sociedad civil, la industria, la academia y el gobierno; encuestas y aportes de servidoras y servidores públicos; y de la recopilación de las mejores prácticas internacionales de Gobierno Electrónico.
La Secretaría Nacional de la Administración Pública, en su afán de consolidar una gestión pública de excelencia, plasma sus esfuerzos y trabajo cotidiano para coordinar, ejecutar e impulsar las acciones de los distintos actores responsables para que este Plan se convierta en una realidad tangible a lo largo y ancho de todo el territorio nacional.
Bajo estos desafíos, siendo que las Tecnologías de Información juegan un papel importante en las actividades de todos los procesos institucionales, es motivo suficiente para determinar de manera formal las acciones de monitoreo y control de la gestión tecnológica y los servicios que se ofrecen a los clientes internos y externos; entonces, es necesario establecer un sistema de control eficaz, creando programas y sistemas que permiten medir resultados que proporcionen apoyo técnico y administrativo para lograr la consecución de la misión institucional.
Para ello, las entidades del sector público en el Ecuador, están sujetas al control y supervisión de la Contraloría General del Estado (CGE), quien mediante procesos de Auditoría evalúan su sistema de control interno. La CGE según Acuerdo N° 039 CG, de fecha 16 de noviembre del 2009 acuerda “Expedir las Normas de Control Interno para las entidades, organismos del sector público y personas jurídicas de derecho privado que dispongan de recursos públicos”, cuyo objetivo básico es propiciar con su aplicación, el mejoramiento de los sistemas de control interno y la gestión pública, en relación a la utilización de los recursos estatales y la consecución de los objetivos institucionales; en este compendio, en el componente Actividades de Control, Sub Componente Tecnologías de la Información, se encuentran el conjunto de normas que determinan la gestión de las TI.
Desarrollar estrategias y acciones que permitan realizar el control interno en las organizaciones es una necesidad urgente, tanto en cuanto, estas proporcionarán bases sólidas para realizar la toma de decisiones y examinar cómo están funcionando las tecnologías de información al interior de las instituciones públicas.
El estudio de la situación global del Ecuador que se expone en el diagnóstico para la construcción del Plan Nacional de Gobierno Electrónico, permite determinar varias oportunidades de desarrollo para sus instituciones, tales como: mayor acceso a los servicios públicos automatizados debido al creciente interés de la ciudadanía en la utilización de portales WEB 3 y redes sociales, interés creciente de la demanda ciudadana por nuevos espacios de participación, masificación de uso de las TIC, acceso de información por medio de dispositivos móviles y rápido desarrollo productivo e innovación tecnológica creciente a nivel nacional e internacional.
Sin embargo, la poca atención dada en la implementación de modelos de Gestión de Tecnologías de la Información, la falta de interoperabilidad entre las instituciones públicas, reglamentación escasa para la implementación de proyectos tecnológicos, proyectos dispersos y aislados sin diseño de procesos que evidencian la falta de optimización y eficiencia del servicio, tendencia de proyectos a corto plazo destinado a contrarrestar requerimientos urgentes, limitada oferta tecnológica de servicios en línea, insuficiente recurso humano especializado en desarrollo de sistemas, bases de datos, herramientas de automatización de procesos y gestión de proyectos en relación a la escala de operaciones de la institución, limitada integración organizacional y sistemática mediante aplicaciones TI, falta de lineamientos generales para la estandarización de sistemas y accesos a los mismos, parque de equipos y software obsoletos, sin licencias y no estandarizados, inadecuada organización informática, entre otras, son algunas de la debilidades encontradas en las entidades públicas que afectan a la prestación de servicios y a la seguridad de tecnologías de información.
Por lo indicado, la gran pregunta es: ¿Cómo mejorar la Gestión de Tecnologías de la Información a partir de la evaluación de las Normas de Control Interno en el sector público en la República del Ecuador?”
En este contexto se presenta inicialmente el enfoque de la propuesta metodológica, definiendo con claridad los componentes y las relaciones que se generan al integrar las Normas de Control Interno de TI, los elementos del proceso administrativo y los indicadores de gestión.
La concepción de esta metodología para la evaluación de las Normas de Control Interno de Tecnologías de la Información en las entidades del Sector Público de la República del Ecuador, define en primera instancia a través del enfoque metodológico de la propuesta la integración de las Normas de Control Interno de TI, los elementos del proceso administrativo (planificación, organización, dirección y control) y los indicadores de gestión de TI (eficacia, eficiencia y calidad), precisando su integración y las relaciones que se generan para apoyar la toma de decisiones; a este enfoque se denomina Control Integrado de Tecnologías de la Información, identificado por la siglas CITI.
La Metodología, se puede convertir, sin duda alguna, en una herramienta referente, que, por su contenido tiene la capacidad de trascendencia de las fronteras hacia cualquier organización del sector público ya que se toma como línea base las Normas de Control Interno de la Contraloría General del Estado, que son de cumplimiento obligatorio para estas instituciones. El instrumentar la aplicación y evaluación de estas normas es la contribución no solo para las instituciones del sector público, sino también, para la sociedad ecuatoriana a través del mejoramiento de sus servicios.
Las Normas de Control Interno de la Contraloría General de Estado, son de uso obligatorio para las instituciones del sector público en el Ecuador. El Dr. Carlos Pólit Faggioni, Contralor General del Estado (2009)4 manifiesta que las Normas de Control Interno desarrolladas incluyen: normas generales y otras específicas relacionadas con la administración financiera gubernamental, talento humano, tecnología de la información y administración de proyectos y recogen la utilización del marco integrado de control interno emitido por el Comité de Organizaciones que patrocina la Comisión Treadway (COSO), que plantea cinco componentes interrelacionados e integrados al proceso de administración, con la finalidad de ayudar a las entidades a lograr sus objetivos. En una visión estructural el esquema general de las normas de control interno en el Ecuador se presenta en la Tabla 1.
La adopción de estándares y mejores prácticas facilitan la rápida aplicación de buenos procedimientos. Sin embargo, estas han de ser compatibles con un marco de gestión de riesgos y de control apropiados para la organización, debiendo integrarse con otros métodos y procesos que se estén utilizando. La efectividad de los estándares y las mejores prácticas, dependen de cómo se implementen y se mantengan actualizados. Son muy útiles cuando se aplican como un conjunto de principios y como punto de partida para la adaptación de procedimientos más específicos.
No existen referencias en la República del Ecuador de la existencia de ninguna metodología que permita evaluar las Normas de Control Interno de las Tecnologías de la Información en las entidades del sector público. Atendiendo a esta necesidad, se desarrolla una metodología para la evaluación de las NCI-TI en este tipo de entidades.
La Gestión de Tecnologías de la Información desde una perspectiva del Control se muestra en la Figura 3, esta a su vez, se presenta bajo un enfoque sistémico que relaciona 3 elementos: Normas de Control Interno de Tecnologías de la Información, el Proceso Administrativo y los indicadores de Gestión de Tecnologías de la Información.
Cada uno de los elementos, se relacionan unos con otros y funcionan a manera de un Sistema, en el que se aplica las características de Integración e Interrelación.
Al mismo tiempo, uno de los propósitos es determinar el alineamiento que tienen las Normas de Control Interno de TI y los indicadores con respecto al proceso administrativo (planificación, organización, dirección y control), en esa misma relación el enfoque a su vez entrega las diferentes posibilidades de intervención y evaluación que vista desde el práctica sistémica permite realizar análisis de tipo vertical y horizontal, como se muestra en la Figura 4.
Convirtiendo este esquema a una herramienta de trabajo, se presenta la Matriz para la evaluación de las Normas de Control Interno de TI, que se observa en la Tabla 3.
En la Figura 5, se presenta la metodología para la evaluación de las NCI-TI, según el enfoque de sistemas, en el que se definen los cuatro aspectos integradores: entrada, proceso, salida y retroalimentación.
Las entradas al sistema vienen dados básicamente por dos insumos que alimentan la primera etapa del proceso, estos son: Las Normas de Control Interno de Tecnologías de la Información, emitidos por la Contraloría General del Estado del Ecuador; y, los aspectos que definen las características y complejidad de la organización (autonomía, base legal, estructura organizacional, infraestructura tecnológica, presupuesto, talento humano, entre otros).
El proceso integra las 6 etapas: definición del alcance, definición y diseño de indicadores, política de adopción y definición de estándares, medición, análisis de indicadores y plan de mejoras. Es importante mencionar también, que durante este proceso, se encuentra la retroalimentación que según el diseño de la propuesta permite analizar el comportamiento del sistema de principio a fin, para validar los resultados del proceso si es el caso, o para corregir posibles desviaciones.
En cada una de las etapas del proceso, está en condiciones de poder tomar decisiones; esta, constituye un proceso sistemático a través del cual se selecciona una alternativa de entre varias, siendo la seleccionada la mejor para nuestro propósito; cumple con características como: ser oportuna y fundamentada en información concreta, que permita tomar decisiones eficientes, efectivas. 5
A continuación se mencionan los aspectos más relevantes de cada una de las etapas de la propuesta metodológica.
Etapa 1. Definición del alcance.
Objetivo: determinar las Normas de Control Interno de Tecnologías de la Información que se van a evaluar.
Descripción: Rodríguez (2010) manifiesta que el alcance se puede dar por el ámbito de aplicaciones de una evaluación, es decir ¿en dónde se puede aplicar? y ¿qué se debe aplicar?
Es importante señalar que las empresas o instituciones no son iguales unas con otras, para el cumplimiento de esta etapa se sugiere la utilización de técnicas para obtención de datos de fuentes primarias como la entrevista con la máxima autoridad y el responsable de la Unidad de Tecnologías de la Información, la observación con relación a procesos e infraestructura para poder tener un criterio adecuado sobre aspectos como: grado de autonomía de gestión, situación legal de la institución, estructura organizacional, infraestructura tecnológica, presupuesto, talento humano y procesos de comercialización, entre otros.
Etapa 2. Definición y diseño de indicadores de tecnologías de la información.
Objetivo: definir y elaboración de los indicadores de Tecnologías de la Información.
Descripción: Subía (2013: 14) señala “un indicador es la medición de un objetivo, meta o proceso. Se debe identificar claramente la variable a medir”; por lo que una vez realizada la definición del alcance de las normas de control interno a la condición de la empresa, se encuentra en la posición en la que se puede definir qué Normas de Control Interno de Tecnologías de la Información son las que afectan al quehacer institucional, es decir, se está en condiciones para poder establecer ¿qué es lo que se tiene que controlar y medir? y ¿cómo realizar esta medición?
Etapa 3. Política de adopción de uso de indicadores y definición de estándares.
Objetivo: definir las políticas de adopción de uso de indicadores y definición de estándares.
Descripción: en esta etapa se busca establecer la formalidad para que el equipo encargado del control realice sus actividades de manera adecuada, y por otro lado, las normas y el uso de indicadores sean parte del modelo de gestión institucional.
Etapa 4. Medición de Indicadores de TI.
Objetivo: medir los indicadores de tecnologías de la información.
Descripción: la medición consiste en la aplicación de una fórmula de cálculo en base a la obtención de información suficiente y pertinente para determinar la condición de cada uno de los indicadores que se aplican para la empresa.
Etapa 5. Análisis de la información.
Objetivo: estudiar la información obtenida a través de la medición de los indicadores.
Descripción: una vez cumplida la medición, se tiene los insumos para la etapa de análisis, este se realiza de manera vertical para observar la incidencia del cumplimiento de las Normas de Control Interno con respecto a los indicadores de gestión (eficiencia, eficacia y calidad) y de forma horizontal para su análisis con relación al proceso administrativo en cada uno de sus componentes (planificación, organización, dirección y control).
Esta etapa por su amplitud está desagregada en 3 pasos a realizar: análisis del Tablero de Control de Indicadores, análisis bajo el Enfoque CITI 6, y determinación de Hallazgos.
Paso 1. Análisis del Tablero de Control de Indicadores.
El tablero de control permite identificar, calcular, analizar e interpretar los indicadores de gestión. Las tareas a realizar en este paso son:
Paso 2. Análisis bajo el enfoque de Control Integrado de Tecnologías de la Información.
Se encuentra el análisis bajo el enfoque de Control Integrado de Tecnologías de la Información, que se le denomina CITI. Dentro de este, es importante conocer los niveles de confianza y de riesgo por cada una de las normas. Velásquez (2012) indica que el nivel de confianza es un valor relativo o porcentual que indica el grado de cumplimiento de los controles internos diseñados a nivel general y para cada componente, sistema, rubro, cuenta, etc., que se relacionan con las afirmaciones. Se representa como NC y se calcula con la fórmula:
donde:
NC: El nivel de confianza. CT: Calificación Total, que es la suma de respuestas positivas resultantes de la aplicación de la matriz de pruebas y/o indicadores. PT: Es la ponderación total.
Utilizando los niveles de confianza obtenidos, se pueden calcular los resultados para cada componente del proceso administrativo (planificación, organización, dirección y control).
En análisis vertical relacionando la Normas de Control Interno de Tecnologías de la Información con los indicadores de gestión (eficacia, eficacia y control).
“Un hallazgo es considerado un área crítica en auditoría, se refiere a cualquier error, deficiencia o irregularidad detectada en una evaluación” (Dávalos, 2003: 44). Este paso resulta fundamental, permite tener objetivamente la condición de la empresa, no solo desde la perspectiva numérica, sino de una forma ampliada y descriptiva, que permita determinar las desviaciones que existe en la aplicación de la Normas de Control Interno.
Etapa 6. Plan de mejoras.
Objetivo: establecer el conjunto de medidas de cambio y las acciones para mejorar el desempeño.
Descripción: constituye un plan de trabajo que permite precisar los resultados de lo que será necesario implantar, como producto de una deficiencia encontrada. (Manual General de Auditoría Gubernamental, 2003).
En la Tabla 4, se presenta un resumen de la propuesta metodológica, en la que se puede observar de manera sistematizada cada una de las etapas, pasos, tareas, técnicas utilizadas y los productos a obtener en cada instancia del proceso.
CONCLUSIONES
No existen referencias en la República del Ecuador de la existencia de ninguna metodología que en una relación entre indicadores de gestión y el proceso administrativo, permita evaluar las Normas de Control Interno de las Tecnologías de la Información en las entidades del sector público.
El enfoque de Control Integral de Tecnologías de la Información (CITI) interrelaciona tres elementos: proceso administrativo, Normas de Control Interno e indicadores de gestión en términos de eficiencia, eficacia y calidad.
La metodología propuesta mediante la ejecución de 6 etapas, establece 4 dominios, 17 objetivos de control e integra el uso de indicadores en relación a las Normas de Control Interno de Tecnologías de la Información, y en función a las deficiencias encontradas establece los niveles de confianza y de riesgo.
BIBLIOGRAFÍA
1 Control Integrado Tecnologías de la Información (CITI), propuesta del autor para la metodología para la evaluación de las normas de control interno de TI.
2 eGOV significa eGovernment en inglés y Gobierno Electrónico para los países latinos, como el Ecuador.
3 Lo manifiesta Vinicio Alvarado, Secretario Nacional de la Administración Pública en la presentación del Plan en el mes de mayo del 2014.
4 Vilchis (2013) manifiesta que la WEB es un sistema de información que se transmite por medio de Internet. La web es entonces, sólo uno de los servicios de comunicación e información. Cuando se habla de información o contenidos, se está haciendo referencia a recursos digitales multimedia tanto de texto, imágenes, sonido, video y los que, nunca se sabe, vayan surgiendo y sean transportables por estas redes o similares.
5 Entran en vigencia en el Ecuador, mediante Acuerdo 039 en el año 2009.
6 Villanueva, L. (2015) a más de señalar la importancia de la toma de decisiones, establece los momentos en que se ha de adoptar, ya que por medio de ella podemos estudiar un problema determinado o situación que es valorada y considerada profundamente para elegir la vía más adecuada a seguir según las diferentes opciones.
Los comentarios al artículo son responsabilidad exclusiva del remitente.
Si necesita algún tipo de información referente al articulo póngase en contacto con el email suministrado por el autor del articulo al principio del mismo.
Un comentario no es mas que un simple medio para comunicar su opinion a futuros lectores.
El autor del articulo no esta obligado a responder o leer comentarios referentes al articulo.
Al escribir un comentario, debe tener en cuenta que recibirá notificaciones cada vez que alguien escriba un nuevo comentario en este articulo.
Eumed.net se reserva el derecho de eliminar aquellos comentarios que tengan lenguaje inadecuado o agresivo.
Si usted considera que algún comentario de esta página es inadecuado o agresivo, por favor,pulse aqui.