Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
Procesos de tecnologías de la información en instituciones públicas
Information technology processes in public institutions
Kevin Daniel Cusme Zambrano 1
Yasmina Lizetty Zambrano Loor 2
Leydi Talía Zambrano Mendoza 3
Jessica Johanna Morales Carrillo 4
1Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López (ESPAM
MFL), Maestría en Tecnologías de la Información. Calceta, Ecuador, Email:
kdcusme@espam.edu.ec
2Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López (ESPAM
MFL), Maestría en Tecnologías de la Información. Calceta, Ecuador, Email:
yasmi_zambranoloor@espam.edu.ec
3Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López (ESPAM
MFL), Maestría en Tecnologías de la Información. Calceta, Ecuador, Email:
ltzm2397@espam.edu.ec
4Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López (ESPAM
MFL), Docente Investigador. Calceta, Ecuador, Email: jmorales@espam.edu.ec
Contacto: jmorales@espam.edu.ec
Resumen
El trabajo descrito a continuación, tiene por objetivo identificar las áreas de evaluación
de los procesos de tecnología de información en entidades públicas aplicando la norma
de control interno en su apartado 410 de la Contraloría General del Estado para establecer
un instrumento guía de evaluación en las instituciones públicas de Ecuador. Para la
ejecución del trabajo se empleó el método bibliográfico, estableciendo para ello tres
etapas: búsqueda de información, organización y análisis de los datos. Una vez ejecutado
el trabajo, se pudo obtener como resultado que, de acuerdo a la norma indicada, se
consideraron los 17 ítems, estableciendo para cada uno de ellos la respectiva interrogante
de cumplimiento mediante 20 preguntas, determinado por cuatro niveles, lo que permitió
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
bosquejar un adecuado formulario de recolección de información en el área de TI de las
instituciones públicas en las que se desee evaluar el cumplimiento de estos procesos.
Palabras clave: Control interno, evaluación de TI, organizaciones públicas, servicios de
TI.
Abstract
The work described below, aims to identify the areas of evaluation of information
technology processes in public entities by applying the internal control standard in its
section 410 of the Comptroller General of the State to establish an evaluation guide
instrument in institutions. public of Ecuador. For the execution of the work, the
bibliographic method was used, establishing three stages: information search,
organization and data analysis. Once the work was executed, it was possible to obtain as
a result that, according to the indicated norm, the 17 items were considered, establishing
for each one of them the respective compliance question through 20 questions, determined
by four levels, which allowed sketching an adequate information collection form in the
IT area of the public institutions in which it is desired to evaluate compliance with these
processes.
Keywords: Internal control, IT assessment, public organizations, IT services.
Introducción
En el Ecuador existen normas nacionales para evaluar las tecnologías de la información,
estas se encuentran inmersas en las Normas de Control Interno en su apartado 410 de la
Contraloría General del Estado (CGE), quien es el superior organismo de control fiscal
ecuatoriano, dicha entidad es de carácter diversificado profesional, con autonomía
administrativa y presupuestaria, que controla y vigila la gestión fiscal en la administración
anterior y la consiguiente, de los particulares o entidades que manejan fondos o bienes de
la nación y sus habitantes (Durán, 2018).
Por lo tanto, en el apartado 410 de la Norma de Control Interno, se menciona que las
entidades y organismos del sector público deben estar acopladas en un marco de trabajo
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
para procesos de tecnología de información que aseguren la transparencia y el control, así
como el involucramiento de la alta dirección, por lo que las actividades y procesos de
tecnología de información de la organización deben estar bajo la responsabilidad de una
unidad que se encargue de regular y estandarizar los temas tecnológicos a nivel
institucional (Contraloria General del Estado, 2019). La aplicación de la norma, propicia
el mejoramiento de los sistemas de control interno y la administración pública.
Es aque, si se desea realizar una auditoria informática, es necesario basarse en las
normas de la Contraloría del Estado, en las cuales se mencionan las pautas que se deben
lograr para determinar que la Unidad de Tecnología de Información de una organización
cumpla con los requisitos señalados para conservar la seguridad y confiabilidad de los
datos, y de esta manera proponer medidas correctivas en esta área. La presente
investigación describe de manera detallada el apartado 410 de la Normas de Control
Interno, expresas en las normas de la contraloría general del estado mismas que facilitan
la regularización de las actividades relacionadas con la tecnología de información.
La auditoría informática, es considerada como agrupación de cnicas y ordenamientos
que le facilita a una organización evaluar el nivel de cumplimento de estándares internos
relacionados al software; verificar los niveles de protección de los recursos y activos,
además de identificar si las operaciones se desenvuelven correctamente de acuerdo con
los reglamentos o normativas informáticas y normativas generales (Martínez et al., 2013;
Salgado et al., 2017). De acuerdo con lo planteado por Proaño et al., (2017) indican que
la auditoría informática busca salvaguardar los activos de los sistemas informáticos,
considerando principalmente la integridad de la información, el acatamiento de normas
sean estas externas o internas, y de esta forma obtener los objetivos organizacionales de
manera eficiente.
Como propósito de esta investigación se pretende mostrar los resultados de un
instrumento de evaluación aplicable a las organizaciones del sector público que deseen
conocer el nivel de cumplimiento del área de tecnologías de información con respecto a
la norma de control interno en su apartado 410 de la Contraloría General del Estado de
Ecuador.
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
Metodología
De acuerdo con Ocities (2019), le método bibliográfico, es el sistema que se sigue para
obtener información contenida en documentos. En este sentido, el método de
investigación bibliográfica es el conjunto de técnicas y estrategias que se emplean para
localizar, identificar y acceder a aquellos documentos que contienen la información
pertinente para la investigación. Por lo mencionado, se puede decir que este método se
empleó en la recolección de información coherente y original relacionada con el objeto
de estudio, proporcionando una revisión actualizada y especifica. Para ello se siguieron
las tres fases:
Búsqueda de información: En esta fase se inició con la búsqueda de información
mediante diferentes medios informativos como libros, revistas de divulgación o de
investigación científica, sitios web y demás información necesaria para iniciar con la
investigación.
Organización de información: En este apartado se procedió a organizar los datos de
manera sistemática y de acuerdo a su relevancia.
Análisis de la información: En esta tercera y última fase se analizó la información ya
recolectada y organizada, además se procedió a instaurar mediante deducción la mejor
estrategia para establecer los criterios de levantamiento de información que permita
evidenciar el cumplimiento de la norma.
Resultados
De acuerdo con la norma de “Control Interno para las Entidades, Organismos del Sector
Público y de las Personas Jurídicas de Derecho Privado que dispongan de recursos
públicos”, en su apartado 410 referente al grupo Tecnologías de la Información”,
establece 17 ítems (o títulos) identificados [410-01:410-17]. Siendo los siguientes:
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
Tabla 1. Título de la Norma de Control Interno de la Contraloría General del Estado,
referente al grupo Tecnologías de la Información [410].
Código
Titulo
Descripción
410-01
Organización informática
Las entidades u organismos del
sector público establecerán una
estructura organizacional de
tecnología de información que
refleje las necesidades
institucionales, la cual debe ser
revisada de forma periódica para
ajustar las estrategias internas
que permitan satisfacer los
objetivos planteados y soporten
los avances tecnológicos.
410-02
Segregación de Funciones
Las funciones y
responsabilidades del personal de
tecnología de información y de
los usuarios de los sistemas de
información serán claramente
definidas y formalmente
comunicadas a la Unidad de
Tecnología de información para
la supervisión de roles y
funciones del personal dentro de
cada una de las áreas
410-03
Plan informático estratégico de
tecnología
La Unidad de Tecnología de la
Información elaborará e
implementará un plan
informático estratégico, el cual
permitirá la definición de planes
operativos de tecnología de
Información y especificará como
ésta contribuirá a los objetivos
estratégicos de la organización;
incluirá un análisis de la
situación actual y las propuestas
de mejora con la participación de
todas las unidades de la
organización.
410-04
Políticas y Procedimientos
La Unidad de Tecnología de
Información definirá,
documentará y difundirá las
políticas, estándares y
procedimientos que regulen las
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
actividades relacionadas con
tecnología de información y
comunicaciones en la
organización, estos se
actualizarán permanentemente e
incluirán las tareas, los
responsables de su ejecución, los
procesos de excepción, el
enfoque de cumplimiento y el
control de los procesos que están
normando.
410-05
Modelo de Información
organizacional
La Unidad de Tecnología de
Información definirá el modelo
de información de la
organización a fin de que se
facilite la creación, uso y
compartición de esta; el cual
deberá constar en un diccionario
de datos corporativo que será
actualizado y documentado de
forma permanente
410-06
Administración de Proyectos
Informáticos
La Unidad de Tecnología de
Información definirá
mecanismos que faciliten la
administración de todos los
proyectos informáticos que
ejecuten las diferentes áreas que
conformen dicha unidad como
Descripción de la naturaleza,
objetivos y alcance del proyecto
entre otros aspectos a considerar.
410-07
Desarrollo y adquisición de
software aplicativo
La Unidad de Tecnología de
Información regulará los
procesos de desarrollo y
adquisición de software
aplicativo con lineamientos,
metodologías y procedimientos.
Entre los aspectos a considerar
están la adquisición de software
o soluciones tecnológicas,
adopción, mantenimiento y
aplicación de políticas públicas.
410-08
Adquisición de infraestructura
tecnológica
La Unidad de Tecnología de
información definirá, justificará,
implantará y actualizará la
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
infraestructura tecnológica de la
organización.
410-09
Mantenimiento y control de la
infraestructura tecnológica
La Unidad de Tecnología de
Información de cada
organización definirá y regulará
los procedimientos que
garanticen el mantenimiento y
uso adecuado de la
infraestructura tecnológica de las
entidades.
410-10
Seguridad de Tecnología de
Información
La Unidad de Tecnología de
Información, establecerá
mecanismos que protejan y
salvaguarden contra pérdidas y
fugas los medios físicos y la
información que se procesa
mediante sistemas informáticos,
donde se aplicarán algunas
medidas como ubicación
adecuada y control de acceso
físico a la Unidad de Tecnología
de la Información.
410-11
Plan de Contingencias
Corresponde a la Unidad de
Tecnología de Información la
definición, aprobación e
implementación de un plan de
contingencias que describa las
acciones a tomar en caso de una
emergencia o suspensión en el
procesamiento de la información
por problemas en los equipos,
programas o personal
relacionado
410-12
Administración de soporte de
tecnología de información
La Unidad de Tecnología de
Información definirá, aprobará y
difundirá procedimientos de
operación que faciliten una
adecuada administración del
soporte tecnológico y garanticen
la seguridad, integridad,
confiabilidad y disponibilidad de
los recursos y datos, tanto como
la oportunidad de los servicios
tecnológicos que se ofrecen.
410-13
Monitoreo y evaluación de los
procesos y servicios
Es necesario establecer un marco
de trabajo de monitoreo y definir
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
el alcance, la metodología y el
proceso a seguir para monitorear
la contribución y el impacto de
tecnología de información en la
entidad. La Unidad de
Tecnología de Información
definirá sobre la base de las
operaciones de la entidad,
indicadores de desempeño y
métricas del proceso para
monitorear la gestión y tomar los
correctivos que se requieran.
410-14
Sitio Web, servicios de internet e
intranet
Es responsabilidad de la Unidad
de Tecnología de Información
elaborar las normas,
procedimientos e instructivos de
instalación, configuración y
utilización de los servicios de
internet, intranet, correo
electrónico y sitio web de la
entidad, a base de las
disposiciones legales y
normativas y los requerimientos
de los usuarios externos e
internos.
410-15
Capacitación Informática
Las necesidades de capacitación
serán identificadas tanto para el
personal de tecnología de
información como para los
usuarios que utilizan los
servicios de información, las
cuales constarán en un plan de
capacitación informático,
formulado juntamente con la
Unidad de Talento Humano.
410-16
Comité Informático
Para la creación de un comité
informático institucional, se
considerarán varios aspectos
entre ellos, el tamaño y
complejidad de la entidad, la
definición clara de los objetivos
y la conformación y funciones
del comité.
410-17
Firmas Electrónicas
Las entidades, organismos y
dependencias del sector público,
así como las personas jurídicas
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
que actúen en virtud de una
potestad estatal, ajustarán sus
procedimientos y operaciones e
incorporarán los medios técnicos
necesarios, para permitir el uso
de la firma electrónica de
conformidad con la Ley de
Comercio Electrónico, Firmas y
Mensajes de Datos y su
reglamento.
Fuente: Los autores
De acuerdo con la Tabla 1, se puede identificar cada uno de los títulos considerados en la
norma para ser evaluados, con una resumida descripción de cada uno, donde se deja
entrever la orientación del área a valorar.
En la construcción del instrumento (encuesta) que permita identificar, el nivel de
cumplimiento de los 17 ítems, se establecieron 4 niveles de valoración, siguiendo el
esquema de la escala de Likert de cinco criterios, donde 1 = cumplimiento total, 2 =
cumplimiento mediano, 3 = cumplimiento parcial, 4 no cumple y 5 no conoce.
Tabla 2. Descripción de valoración de cumplimiento.
Valor
Título
Descripción
1
Cumplimiento total
Identifica el nivel de satisfacción máxima
en el cumplimiento del proceso evaluado.
2
Cumplimiento mediano
Cumple en proporción media el proceso
evaluado.
3
Cumplimiento parcial
Cumple en parte el proceso evaluado
4
No cumple
No se evidencia el proceso
5
No conoce
No se posee conocimiento de la existencia
del proceso.
Fuente: Los autores
Lo referido en la Tabla 2, establece títulos del nivel de “cumplimiento”, donde la palabra
cumplimiento puede ser reemplazada, de acuerdo con el ámbito de la pregunta, por:
posee, existe, ejecuta, u otra.
Para la elaboración de las preguntas, se clasificó de acuerdo a cada título, referido en el
apartado 410 de Tecnologías de Información, donde en algunos casos se pudo abarcar en
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
el mismo el ámbito de la pregunta varios criterios de los procesos, tal como se muestra en
la Tabla 3.
Identificación de preguntas, según grupo Tecnologías de Información, apartado 410.
Código
Criterios
410-01
“Las entidades u organismos del sector
público, establecerán una estructura
organizacional de tecnología de
información que refleje las necesidades
institucionales”
410-02
“Descripción documentada y aprobada de
los puestos de trabajo que conforman la
unidad de tecnología de información,
contemplará los deberes y
responsabilidades, así como las
habilidades y experiencia necesarias en
cada posición, a base de las cuales se
realizará la evaluación del desempeño
410-03
“Plan estratégico y los planes operativos
de tecnología de información, así como el
presupuesto asociado a éstos serán
analizados y aprobados por la máxima
autoridad
de la organización e incorporados al
presupuesto anual de la organización; se
actualizarán de manera permanente,
además de ser monitoreados y evaluados
en forma trimestral para determinar su
grado de ejecución y tomar las medidas”
410-04
Se incorporarán controles, sistemas de
aseguramiento de la calidad y de gestión
de riesgos, al igual que directrices y
estándares tecnológicos.
Se implantarán procedimientos de
supervisión de las funciones de tecnología
de información, ayudados de la revisión de
indicadores de desempeño y se medirá el
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
cumplimiento de las regulaciones y
estándares definidos.
La unidad de tecnología de información
deberá promover y establecer convenios
con otras organizaciones o terceros a fin
de promover y viabilizar el intercambio de
información interinstitucional.
410-05
“El diseño del modelo de información que
se defina deberá constar en un diccionario
de datos corporativo que será actualizado
y documentado de forma permanente,
incluirá las reglas de validación y los
controles de integridad y consistencia, con
la identificación de los sistemas o módulos
que lo conforman, sus relaciones y los
objetivos estratégicos”
410-06
“Los aspectos a considerar son:
1. Descripción de la naturaleza, objetivos
y alcance del proyecto…2. Cronograma
de actividades …3. Presupuesto…4.
Estructura organizativa…5. Se cubrirá,
como mínimo las etapas de: inicio,
planeación, ejecución, control, monitoreo
y cierre de proyectos (con entregables) ...
6. El inicio de las etapas importantes del
proyecto será aprobado de manera formal
y comunicado a todos los interesados… 7.
Se incorporará el análisis de riesgos… 8.
Se deberá monitorear y ejercer el control
permanente de los avances del
proyecto…9. Se establecerá un plan de
control de cambios y un plan de
aseguramiento de Calidad…10. El
proceso de cierre incluirá la aceptación
formal y pruebas que certifiquen la calidad
y el cumplimiento de los objetivos...”
410-07
Los aspectos a considerar son:
1. La adquisición de software o soluciones
tecnológicas se realizarán sobre la base del
portafolio de proyectos y servicios
priorizados en los planes estratégico y
operativo …
2. Adopción, mantenimiento y aplicación
de políticas públicas y estándares
internacionales para: codificación de
software, nomenclaturas, interfaz de
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
usuario…3. Identificación, priorización,
especificación y acuerdos de los
requerimientos funcionales y técnicos
institucionales con la participación y
aprobación formal de las unidades
usuarias…4. Especificación de criterios
de aceptación de los requerimientos…5.
En los procesos de desarrollo,
mantenimiento o adquisición de software
aplicativo se considerarán: estándares de
desarrollo, de documentación y de
calidad…6. En caso de adquisición de
programas de computación (paquetes de
software) se preverán tanto en el proceso
de compra como en los contratos
respectivos, mecanismos que aseguren el
cumplimiento satisfactorio de los
requerimientos…7. En los contratos
realizados con terceros para desarrollo de
software deberá constar que los derechos
de autor serán de la entidad contratante y
el contratista entregará el código
fuente…8. La implementación de
software aplicativo adquirido incluirá los
procedimientos de configuración,
aceptación y prueba personalizados e
implantados…9. Los derechos de autor
del software desarrollado a la medida
pertenecerán a la entidad y serán
registrados en el organismo competente...
10. Formalización con actas de aceptación
por parte de los usuarios…11. Elaboración
de manuales técnicos, de instalación y
configuración; así como de usuario, los
cuales serán difundidos, publicados y
actualizados de forma permanente.
410-08
“Se considerarán los siguientes aspectos:
1. Las adquisiciones tecnológicas estarán
alineadas a los objetivos de la
Organización…2. La unidad de tecnología
de información planificará el incremento
de capacidades, evaluará los riesgos
tecnológicos, los costos y la vida útil de la
inversión para futuras actualizaciones…3.
En la adquisición de hardware, los
contratos respectivos, tendrán el detalle
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
suficiente que permita establecer las
características técnicas de los principales
componentes… 4. Los contratos con
proveedores de servicio incluirán las
especificaciones formales
sobre acuerdos de nivel de servicio…”
410-09
“Se considera: 1. Definición de
procedimientos para manteniendo y
liberación de software…2. Registro de
procesos de cambio…. 3.Control y
registro de versiones de software en
producción. 4. Actualización de
manuales… 5. Ambientes de desarrollo y
producción…6. Plan de mantenimiento
preventivo y correctivo…”
410-10
“Se aplicarán al menos las siguientes
medidas:
1. Ubicación adecuada y control de acceso
físico a la unidad de tecnología de
Información… 2. Definición de
procedimientos de obtención periódica de
respaldos en función a un cronograma
definido y aprobado;
3. En los casos de actualización de
tecnologías de soporte se migrará la
información… 4. Almacenamiento de
respaldos 5. Implementación y
administración de seguridades a nivel de
software y hardware… 6. Instalaciones
físicas adecuadas… 7. Consideración y
disposición de sitios de procesamiento
alternativos. 8. Definición de
procedimientos de seguridad a observarse
por parte del personal …”
410-11
“Se considera: 1. Plan de riesgos…2.
Definición y ejecución de procedimientos
de control de cambios…3. Plan de
continuidad… 4. Plan de recuperación de
desastres… 5. Comité de ejecución de
plan de contingencia… 6. El plan de
contingencia será confidencial 7. El
plan aprobado será difundido entre los
responsables…”
410-12
Los aspectos a considerar son: 1.
Revisiones periódicas para evaluar el
desempeño…2. Seguridad de los sistemas
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
con identificación de usuarios…3.
Estandarización de identificación,
autentificación y autorización de
usuarios…4. Revisión periódica de las
cuentas de usuarios 5. Medidas de
prevención, detección, y corrección de
protección a los sistemas…6. Definición y
manejo de niveles de servicio y operación
para los procesos de TI… 7. Alineación de
los servicios de TI con los requerimientos
de la organización…8. Administración de
incidentes reportados…9. Repositorio de
diagramas y configuraciones de hardware
y software actualizados…10.
Administración de la información
(software, respaldo y recuperación) …11.
Mecanismos de seguridad …”
410-13
Definirá indicadores de desempeño y
métricas del proceso de gestión; definirá y
ejecutará procesos de mejora según
niveles de satisfacción de clientes
externo/internos; presentará informes
periódicos de gestión, que identifiquen el
cumplimiento de los objetivos de la
organización.
410-14
Considerará el desarrollo de aplicaciones
web
y/o móviles que automaticen los procesos
o trámites orientados al uso de
instituciones
y ciudadanos en general.
410-15
Plan orientado a los puestos de trabajo y a
las necesidades de conocimiento
específicas determinadas en la evaluación
de desempeño e institucionales.
410-16
La conformación y funciones del comité,
objetivos, su reglamentación, la creación
de
grupos de trabajo, la definición de las
atribuciones y responsabilidades de los
miembros del comité, concomitante al
tamaño y complejidad de la empresa.
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
410-17
De conformidad con la Ley de
Comercio Electrónico, Firmas y Mensajes
de Datos y su Reglamento.
Fuente: Los autores
Los criterios descritos en la Tabla 3, es un extracto de la norma de control interno, referido
en el presente trabajo. Se puede identificar que se definieron 20 preguntas generales
abarcadoras, para el levantamiento de información con respectos a todos los 17 ítems
concerniente a Tecnologías de Información.
Es necesario destacar que, para evaluar un ítem puntual de la norma, se pueden establecer
preguntas disgregadas y exactas donde se identifique cada característica a validar. Se
pretende que los presentes resultados sean aplicados para el levantamiento de línea base
de las empresas públicas en la provincia de Manabí y que estos sirvan de referente para
que, desde la académica, específicamente desde los programas de grado y posgrado, se
puede contribuir al mejoramiento del sector de tecnologías de información.
Una vez realizada la recolección de información y obtenido los resultados acerca del
apartado 410 de la Normas de Control Interno de la Contraloría General del Estado del
Ecuador, se puede determinar que comparando la norma ISO/IEC 20000, la norma ISO
20000 se enfoca en sus 8 partes en el sistema de gestión de servicios en TI en como guiar,
proveer, modelar, ejemplificar un modelo para los requisitos iniciales de los servicios,
además de hacer guías para servicios cloud, guías para la relación entre esta norma y los
modelos de gestión de servicios (ITIL) en conjunto con los modelos de gestión de
servicios (CMMI-SVC), todo esto llevando en una armonización dos normas adicionales,
las cuales son la norma ISO 9001 y la ISO 27001.
Siguiendo con la discusión y acoplando la investigación a normas o sistemas de gestión
y control de las TI se encuentra a COBIT 5 que se enfoca directamente al gobierno TI y
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
el gobierno corporativo, lo que hace es posibilitar que TI sea gobernada y gestionada en
forma holística para toda la organización, tomando en consideración el negocio y áreas
funcionales de punta a punta, acomo los interesados internos y externos, proveyendo
calidad, confiabilidad y control de TI. Lo que hace que, entre todas las normas o sistemas
de gestión y control de TI, el apartado 410 abarque a ambas partes y se plantee de forma
versátil para los servicios, la mejora continua, monitoreo, el gobierno TI y corporativo,
tanto así, como también lo hace con las políticas, roles, responsabilidades, gestión de
planificación tanto para plan estratégico y operativo. En pocas palabras esto hace que el
apartado 410 de la Normas de control interno de la Contraloría General del Estado sea
abarcadora y congruente con la gestión de proceso de TI, y que esta sea aplicable para
garantizar el emprende acciones de calidad en las organizaciones del sector público.
Conclusiones
Es importante que tanto las entidades y organismos del sector público incursionen en el
análisis estudio e implementación de buenas normas de Tecnologías de información, de
manera que asegure la transparencia y seguridad de los datos. Cabe mencionar que en
caso de no implementar una normativa de cumplimiento obligatorio que llene los vacíos
legales existentes en el apartado 410 de la Normas de Control Interno, de tecnologías de
la información, se pone en riesgo tanto la confidencialidad, integridad y disponibilidad
de la información, acomo de los servicios tecnológicos provistos por las unidades, áreas
y gerencias de la TI.
La Normas de Control Interno (en su apartado 410) es muy amplia, contiene ítems de
control general y de control específico; estos ítems de control cubren temas tan variados
como la organización informática, el Plan Informático, las políticas y procedimientos,
modelos de información, administración de proyectos informáticos, desarrollo y
adquisición de software, mantenimiento, seguridades, planes de contingencia, soporte,
evaluación de los procesos, sitio web, capacitación y comité informático.
Además las entidades y organismos del sector público deben estar ajustadas en un marco
de trabajo para procesos de tecnología de información que aseguren la transparencia y el
control, así como el involucramiento de la alta dirección, mismos que se encuentran
Revista Sinapsis. Vol. 2, Nro 21, diciembre de 2022, ISSN 1390 9770
https://www.itsup.edu.ec/sinapsis
enmarcadas dentro del artículo 410, de la Contraloría General del Estado, por lo tanto las
actividades y procesos de tecnología de información de la organización deben estar bajo
la responsabilidad de una de una unidad que se encargue de regular y estandarizar los
temas tecnológicos a nivel institucional.
Bibliografía
Contraloria General del Estado. (2019). Normas De Control Interno De La Contraloria
General Del Estado. Registro Oficial, 87, 179. Recuperado de:
http://www.oas.org/juridico/PDFs/mesicic5_ecu_ane_cge_12_nor_con_int_400_cge.pdf
Durán, A. (2018). Controlaría General del Estado. Recuperado de:
https://derechoecuador.com/contraloria-general-del-estado
Martínez, Y; Blanco, B; Loy L. (2013). Propuesta del Sistema de Acciones para la
implementación de la Auditoría con Informática. Revista de Arquitectura e Ingeniería, 7
(2), 1-13. Recuperado de: https://www.redalyc.org/pdf/1939/193924743004.pdf
Oocities. (2019). El Método De Investigación Bibliográfica. (En línea). Formato HTML.
Recuperado de: https://www.oocities.org/zaguan2000/metodo.html
Proaño, D; Gisbert, V; & Pérez, E. (2017). METODOLOGÍA PARA ELABORAR UN
PLAN DE MEJORA CONTINUA. Revista 3C Empresa: Investigación y pensamiento
crítico, 6(5), 50-56. https://doi.org/10.17993/3cemp.2017.especial.50-56
Pulido, M. (2015). Ceremonial y protocolo: métodos y técnicas de investigación
científica. (En línea). Formato PDF: Recuperado de:
https://www.redalyc.org/pdf/310/31043005061.pdf
Salgado, M; Osuna, N; Sevilla, M; Morales., J. (2017). La Auditoría Informática en las
organizaciones. Revista Electrónica sobre Cuerpos Académicos y Grupos de
Investigación en Iberoamérica, 4. 8. Recuperado de:
https://www.cagi.org.mx/index.php/CAGI/article/view/165
Schettini, P. & Cortazzo, I. (2016). Técnicas y estrategias en la investigación cualitativa.
(En línea). Formato PDF: Recuperado de:
http://sedici.unlp.edu.ar/bitstream/handle/10915/53686/Documento_completo__.-
%20Cortazzo%20CATEDRA%20.pdf-PDFA.pdf?sequence=1