Autoevaluación del Sistema de Control Interno y … · En el cuadro Nº 1, se observa que el programa CeNAT muestra el mayor porcentaje de cumplimiento de los criterios considerados

Oficina de Planificación de la Educación Superior Oficina de Desarrollo Institucional

Autoevaluación del Sistema de Control Interno y Planes de Mejora

2017

Elaborado por: Gabriela Villalobos Arias - Encargada, Control Interno

Diciembre, 2017

i

TABLA DE CONTENIDO

Introducción ............................................................................................................. 1

Metodología ............................................................................................................. 3

Resultados .............................................................................................................. 5

CONARE ............................................................................................................. 5 Programa OPES .............................................................................................. 7 SINAES ............................................................................................................ 9 CeNAT ............................................................................................................. 9 Estado de la Nación ....................................................................................... 10

Detalle de criterios cumplidos de las disposiciones de Control Interno para los cinco componentes del Sistema de Control Interno para el año 2015 en el Conare ............................................................................................................... 11 Planes de mejora propuestos para atender las acciones que no se han cumplido en los cinco componentes del Sistema de Control a la luz de lo que la Normativa de Control Interno establece. ............................................................................. 14

Programa OPES ............................................................................................ 14 Programa SINAES ......................................................................................... 17 Programa CeNAT ........................................................................................... 17 Programa Estado de la Nación ...................................................................... 18

Conclusiones y Recomendaciones ....................................................................... 19

Conclusiones ..................................................................................................... 19 Recomendaciones ............................................................................................. 21

Anexo 1 ................................................................................................................. 23

Guia de Autoevaluación del Sistema de Control Interno ....................................... 23

ii

TABLA DE CUADROS

Cuadro 1 ................................................................................................................. 6 Cuadro 2 ................................................................................................................. 7 Cuadro 3 ................................................................................................................. 8 Cuadro 4 ............................................................................................................... 11

TABLA DE GRÁFICOS

Gráfico 1 ................................................................................................................. 6

1

INTRODUCCIÓN

En cumplimiento a la Ley General de Control Interno (Nº 8292) y como parte del

proceso de mejora continua, el CONARE desarrolló durante el mes de octubre del

2017 el proceso de autoevaluación en todas sus dependencias

La Ley de Control Interno, dentro del proceso de autoevaluación, establece en

su artículo 17 inciso b):

“Que la administración realice, por lo menos una vez al año, las autoevaluaciones

que conduzcan al perfeccionamiento del sistema de control interno del cual es

responsable. Así mismo, que pueda detectar cualquier desvío que aleje a la

organización del cumplimiento de sus objetivos”

El objetivo del Proceso de Autoevaluación del Conare para el año 2017 fue

determinar, en cada dependencia, el grado de avance y cumplimiento de lo

establecido en la Ley de Control Interno y Normas de Control Interno para el Sector

público en los cinco componentes funcionales del sistema de control interno y la

definición de acciones de mejora, con la participación de todas las dependencias

del CONARE.

En la Autoevaluación 2017 participaron las siguientes dependencias:

1. Oficina de Planificación de la Educación Superior:

Dirección

Asesoría Legal

División de Académica

División de Coordinación

División de Sistemas

Centro de Tecnologías de Información y Comunicación (CETIC)

Oficina de Desarrollo Institucional (ODI)

Oficina Administrativa:

Departamento de Gestión del Talento Humano (DGTH)

2

Departamento de Gestión Financiera (DGF)

Proveeduría Institucional

Unidad de Mantenimiento

Archivo Central

Biblioteca

Servicios Generales

Oficina de reconocimiento y equiparación (ORE)

2. Sistema Nacional de Acreditación de la Educación Superior (SINAES)

3. Centro Nacional de Alta Tecnología (CeNAT)

4. Programa Estado de la Nación (PEN)

3

METODOLOGÍA

El Proceso de Autoevaluación 2017 en el Conare se desarrolló con la siguiente

metodología:

Se utilizó la misma guía de autoevaluación del 2016, con el fin de facilitar el

llenado y conocer el grado de avance en el cumplimiento de las disposiciones

en materia de control interno, con 38 ítems basados en la Ley General de

Control Interno, las Normas Técnicas de Control interno y el modelo de

madurez del sistema de control interno de la Contraloría General de la

República.

Se definieron las preguntas de manera que permitieran valorar el avance del

CONARE en los cinco componentes funcionales de sistema de control

interno:

Ambiente de control

Valoración de riesgos

Actividades de control

Sistemas de información

Seguimiento

Se estableció para cada ítem una guía de posibles respaldos, que permitieran

orientar a las dependencias en el momento de responder la guía de

autoevaluación.

Se remitió el formulario OPES.F.12 Guía de Autoevaluación del Sistema de

Control Interno a los diferentes programas, divisiones y oficinas, para que

realizaran el proceso y definieran sus nuevos planes de mejora, indicando:

acciones de mejora, responsables y plazo de implementación.

Para la autoevaluación, el estado de cumplimiento de los diferentes ítems, se

consideraron dos opciones:

4

SI: Corresponde al cumplimiento de los criterios consultados.

NO: Corresponde al incumplimiento de los criterios consultados.

Se recopiló y revisaron todos los instrumentos remitidos por las

dependencias, así como sus planes de mejora.

En los casos en que la información no estaba completa o totalmente clara,

se solicitó su ampliación o aclaración.

Se elaboró el informe final para presentar los resultados institucionales del

proceso, así como, por Programa o Dependencia.

Se remitirá posteriormente este informe al Conare para conocimiento y

aprobación.

5

RESULTADOS

Se presentan a continuación los principales resultados como institución y por

programa, del proceso de autoevaluación del sistema de control interno que se

realizó en el Conare durante el 2017.

CONARE

El instrumento utilizado para la Autoevaluación 2017 sobre los cinco

componentes funcionales del sistema de control interno fue aplicado en cada

Programa del CONARE, y respondido por 17 dependencias.

El análisis se hizo para 38 ítems en las 18 dependencias, para un total de 683

respuestas excluyendo las “No Aplica”, en el programa OPES de las respuestas

obtenidas, fue excluida 1 debido a que la Dirección, indicó que esta respuesta

corresponde a “No aplica” ya que el proceso de promoción y divulgación del marco

estratégico de TI, le corresponde al CETIC.

Así, del total de las 683 respuestas obtenidas a nivel institucional, el 90%

corresponde a criterios que, si se cumplen, el 10% de ítems no cumplidos

corresponden principalmente a los componentes de valoración de riesgos,

actividades de control y sistemas de información.

En el siguiente cuadro se muestra el número total de respuestas por Programa

según el estado de cumplimiento.

6

Cuadro 1

CONARE: Grado de cumplimiento de las disposiciones de la normativa de Control

Interno para el sistema de control interno institucional, por programa. 2017

Grado de cumplimiento

Programa

Absoluto

Total OPES SINAES CeNAT Estado de la

Nación

TOTAL 683 569 38 38 38

SI 596 533 33 37 31

NO 49 36 5 1 7

En el cuadro Nº 1, se observa que el programa CeNAT muestra el mayor

porcentaje de cumplimiento de los criterios considerados en la guía de

autoevaluación con un 97%, seguido por OPES (94%) y SINAES (87%) y por el

contrario el PEN el porcentaje menor con un 82% de cumplimiento.

Estos resultados se muestran gráficamente a continuación:

Gráfico 1

CONARE: Grado de cumplimiento de las disposiciones de la normativa de Control

Interno para el sistema de control interno institucional, por programa. 2017

94%87%

97%

82%

6%13%

3%

18%

0%

20%

40%

60%

80%

100%

120%

OPES SINAES CENAT PEN

Sí No

7

Programa OPES

En el Programa OPES el instrumento se remitió a 15 dependencias y de todas

ellas se obtuvo respuesta.

En el cuadro 2 se presentan los resultados para el Programa OPES por grado

de cumplimiento por dependencia.

Cuadro 2

Programa OPES-CONARE

Grado de cumplimiento de las disposiciones de la normativa de Control Interno para

el sistema de control interno institucional, por dependencia. 2015

OPES Dependencias

(Valores absolutos) (Valores relativos)

SI NO SI NO

Dirección 36 1 97 3

Asesoría Legal 34 4 89 11

División de Sistemas 30 8 79 21

División Académica 37 1 97 3

División de Coordinación 38 0 100 0

CETIC 36 2 95 5

ODI 38 0 100 0

DGTH 36 2 95 5

DGF 37 1 97 3

Proveeduría 35 3 92 8

Mantenimiento 36 2 95 5

Biblioteca 37 1 97 3

Archivo 37 1 97 3

Servicios Generales 32 6 84 16

ORE 34 4 89 11

TOTAL 2/ 533 36 94% 6% 2/ La Dirección presenta un total menor de 38 debido a que fue excluida una respuesta “No aplica”

Como se observa en el cuadro anterior, el cumplimiento total del programa con

respecto a los aspectos evaluados es del 94%, por otra parte, el incumplimiento fue

de un 6% de criterios valorados lo que representa un 23%.

Si se analiza el comportamiento por dependencia, la ODI y la División de

Coordinación presentan un cumplimiento total de los criterios evaluados y, por el

contrario, Servicios Generales muestra el menor cumplimiento con un 84%.

8

Así mismo, de los aspectos incumplidos la mayor parte corresponde a los

componentes ambiente de control con un 15% de incumplimiento y actividades de

control con un 8%, por el contrario, el componente de seguimiento presenta el

porcentaje más alto de cumplimiento (100%). Detalle que se presenta en el siguiente

cuadro:

Cuadro 3

Programa OPES-CONARE

Grado de cumplimiento de las disposiciones de la normativa de Control Interno para

el sistema de control interno institucional, por componente. 2015

Componentes % de cumplimiento

SI NO

Ambiente de Control 96% 4%

Valoración de riesgos 85% 15%

Actividades de Control 95% 5%

Sistemas de Información 92% 8%

Seguimiento 100% 0%

TOTAL 94% 6%

Por otra parte, si se analizan los ítems pendientes de cumplimiento se muestra

que en el caso del componente ambiente de control deben implementarse acciones

tendientes a promover que los funcionarios conozcan la responsabilidad que tienen

en sus actividades cotidianas, de cumplir con los diferentes aspectos que le

competen en la normativa del control interno, divulgación por parte del Jerarca de

la normativa de control interno en algunas dependencias, así como, evaluar al

personal para verificar la idoneidad para asumir el cargo que se le asigna.

En cuanto al componente valoración de riesgos es necesario que el personal

conozca los resultados del proceso de valoración del riesgo y que se consideren

además eventos asociados a las tecnologías y sistemas de información.

Para el componente actividades de control las acciones que requieren atención

corresponden a actualización de los manuales de procedimientos, además se

9

requiere en algunas dependencias establecer controles para la asignación, el uso o

manejo de activos y evaluar periódicamente los controles según su funcionalidad.

En el componente sistemas están pendientes aspectos tales como: información

y capacitación al personal sobre las disposiciones institucionales y

responsabilidades en materia de seguridad, confidencialidad y riesgos asociados

con el uso de las TI, promoción y divulgación del marco estratégico de TI y en

algunas dependencias contar con una definición clara, completa y oportuna de los

requerimientos de TI y una participación activa en la implementación y

mantenimiento de las TI.

SINAES

El programa SINAES presenta un porcentaje de cumplimiento de 87% de los

criterios evaluados del sistema de control interno en sus cinco componentes, cabe

destacar, que el componente único componente que presenta incumplimiento

corresponde a sistemas de información, a continuación se detallan los aspectos

pendientes de implementar:

Información y capacitación al personal sobre las disposiciones

institucionales y responsabilidades en materia de seguridad,

confidencialidad y riesgos asociados con el uso de las TI

Generación de información oportuna y correcta

Repositorio documental físico, digital o mixto, actualizado, confiable y

completo

Proceso de promoción y divulgación del marco estratégico de TI

Es importante mencionar, que estas acciones ya fueron consideradas en los

planes de mejora que se presentan en el siguiente apartado de este informe.

CeNAT

En el programa CeNAT se presenta un porcentaje de cumplimiento muy

satisfactorio de los aspectos valorados (97%), incumpliendo únicamente con el

10

proceso de promoción y divulgación del marco estratégico de TI, elemento del

componente sistemas de información.

Estado de la Nación

En programa Estado de la Nación muestra el menor porcentaje de cumplimiento

de los criterios evaluados con un 82%, quedando pendiente acciones en los

componentes: ambiente de control en lo relacionado con la divulgación de la

normativa de control interno, actividades de control en cuanto a manuales de

procedimientos actualizados y sistemas de información donde se encuentran la

mayor cantidad de acciones incumplidas del programa, que se detallan

seguidamente:

Información y capacitación al personal sobre las disposiciones

institucionales y responsabilidades en materia de seguridad,

confidencialidad y riesgos asociados con el uso de las TI

Proceso de promoción y divulgación del marco estratégico de TI

Controles de acceso a las instalaciones físicas, que contemple: Seguridad

perimetral, mecanismos de control de acceso a recintos o áreas de

trabajo, protección de oficinas y separación adecuada de áreas

Continuidad, seguridad y control de suministro de energía eléctrica, del

cableado de datos y de las comunicaciones inalámbricas

11

Detalle de criterios cumplidos de las disposiciones de control interno para los cinco componentes del sistema de control interno para el año 2015 en el CONARE

Las dependencias en su autoevaluación establecen como cumplidos los siguientes

criterios:

Cuadro 4

Detalle de criterios cumplidos para la Autoevaluación del Sistema de Control

Interno, por Programa.2017

Criterio OPES SINAES CeNAT PEN

Ambiente de Control

¿Usted como titular subordinado ejecuta acciones en su gestión que apoyen y muestren compromiso con el control interno?

¿Cuenta su dependencia con mecanismos que permiten la evaluación y el fortalecimiento constante del sistema de control interno institucional?

¿Conocen los funcionarios de su dependencia la responsabilidad que tienen, en sus actividades cotidianas, de cumplir con los diferentes aspectos que le competen en la normativa del control interno?

¿Existen en su dependencia mecanismos para incorporar los elementos contenidos en el Manual de principios éticos del Conare en la cultura organizacional?

¿Existe un manual de puestos u otro documento formal en su dependencia que identifique las funciones y responsabilidades de los funcionarios?

¿Se ha divulgado por parte del Jerarca la normativa de Control Interno competente a su dependencia?

Al personal que labora en su oficina, se le evalúa para verificar la idoneidad para asumir el cargo que se le asigna?

¿Se realizan en su dependencia actividades de inducción, capacitación y actualización para fortalecer las competencias del personal a su cargo?

Valoración de riesgos

¿Se desarrolla en su dependencia la identificación, análisis, evaluación, administración,

12


revisión y documentación de riesgos de los principales procesos de su área?

¿Se utilizan en su dependencia los resultados de la valoración de riesgos como insumo en la formulación del Plan Anual Operativo?

Es del conocimiento del personal de la unidad a su cargo los resultados del proceso de valoración del riesgo?

En la valoración de riesgos que efectúa su dependencia se consideran eventos asociados a las tecnologías y sistemas de información?

Actividades de Control

¿Se evalúan de forma periódica los controles existentes en su dependencia, según su funcionalidad?

¿Se aplican en su dependencia controles para la asignación, el uso o manejo de activos?

¿Cuenta su dependencia con manuales de procedimientos actualizados de los principales procesos de su área?

¿Se presentan en su Dependencia, los informes de gestión pertinentes, donde se resuman las actividades de control realizadas durante el periodo de sus funciones, los logros obtenidos incluyendo los relativos al SCI, el estado de las recomendaciones de la Auditoría Interna y las disposiciones que establece la CGR?

¿En su dependencia las instrucciones o solicitudes de especial relevancia que no están contempladas en las funciones de cada colaborador, se comunican formalmente?

¿Existen actividades de divulgación en su dependencia sobre disposiciones institucionales en general?

¿Existen en su dependencia mecanismos de supervisión en tareas relevantes?

Sistemas de información

¿En su dependencia se ha informado y capacitado al personal sobre las disposiciones institucionales y responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI?

¿Se realizan periódicamente respaldos de la información que genera su dependencia?

¿Se cuenta en su dependencia con una definición clara, completa y oportuna de los requerimientos de TI

13


¿La información que genera su dependencia para sus usuarios es oportuna y correcta?

¿Cuenta su dependencia con un repositorio documental físico, digital o mixto, actualizado, confiable y completo?

¿Se cuenta con controles de acceso a las instalaciones físicas, que contemple: Seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas y separación adecuada de áreas?

¿Se controla el ingreso y salida de equipos de la organización?

¿Se tiene continuidad, seguridad y control de suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas?

¿Se ha establecido controles de acceso a los recursos de TI, acceso a información impresa, visible en pantallas, almacenada en medios físicos y no físicos y proteger adecuadamente dichos medios?

¿Su dependencia participa activamente en la implementación y mantenimiento de las TI?

¿Los datos procesados mediante TI se realizan en forma completa, exacta y oportuna? (por ejemplo GRP)

¿Se ha identificado, analizado y resuelto de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI?

Le permiten los canales de comunicación trasladar la información de manera transparente, ágil, segura, correcta y oportuna a los destinatarios (as) apropiados (as)?

Seguimiento

¿Realiza su dependencia la autoevaluación del sistema de control interno?

¿Su dependencia efectúa el seguimiento de planes de mejora de las autoevaluaciones anteriores?

¿En su dependencia se da seguimiento a las recomendaciones que le ha remitido la Auditoría Interna en sus informes?

¿Existen evaluaciones permanentes sobre la gestión de su dependencia?

¿Existen en su dependencia mecanismos que permitan informar las deficiencias y desviaciones oportunamente del sistema de control interno?

14

Planes de mejora propuestos para atender las acciones que no se han cumplido en los cinco componentes del sistema de control a la luz de lo que la normativa de control interno establece.

A las diferentes dependencias se les solicitó que detallaran las acciones de

mejora que serían implementadas por ellas, para atender aquellos aspectos que no

se hayan cumplido.

A continuación, se muestran los planes de mejora detallados por programa para

atender el incumplimiento de algunos criterios evaluados.

Programa OPES

Acciones de mejora Plazo Responsable

División de Sistemas

Solicitar a la Oficina de Desarrollo Institucional capacitación en este tema. Comunicaciones de la jefatura.

II semestre 2017

Jefatura y Secretaria de la División de Sistemas

Realizar las acciones para comunicar a los funcionarios la normativa institucional vigente en relación a este tema.

II Semestre 2017

Jefatura de la División de Sistemas

Revisar el SEVRI 2017 en la próxima reunión de la División de Sistemas

II Semestre 2017


Valorar los controles existentes. I Semestre

2018

Funcionarios de la División de Sistemas


Elaborar y tener aprobados dos de los procedimientos de la División de Sistemas.

II Semestre 2017


Coordinar con CeTIC una capacitación para atender en la División las disposiciones institucionales y responsabilidades en estos temas.

I Semestre 2018


Establecer un lineamiento a nivel interno de la División de Sistemas para el respaldo de información.

II Semestre 2018


Realizar un inventario de las necesidades de TI de la División para identificar los requerimientos futuros.

II Semestre 2017

Investigador 4

15


Solicitar a CeTIC una sesión informativa en relación al marco estratégico de TI

I Semestre 2018

Investigador 4

Solicitar a la Administración lineamientos al respecto.

II Semestre 2017


Asesoría Legal

Publicar la información referente a los controles aplicados

II Semestre 2017

Director de la Asesoría Legal

Departamento de Gestión del Talento Humano

Implementar el nuevo sistema de planillas GRP, en el cual se establecerán los respectivos riesgos asociados a la implementación mediante manuales de uso, instructivos o procedimientos.

II Semestre 2018

Jefe DGTH

Dirección

a) Elaborar el plan de implementación del proceso de valoración del desempeño institucional y brechas en competencias para cada cargo. b)Elaborar el plan de trabajo para el proceso de reclutamiento y selección de personal

a) 2019- b)2017

DGTH

Coordinación

Solicitar al CeTIC, una evaluación que comprenda la caracterización y propuesta de implementación de necesidades tecnológicas en la DC.

I semestre 2018

División de Coordinación.

ORE

Incorporar a las compañeras en la evaluación que se realizará en setiembre y elaborar una Minuta.

2do semestre 2017

Encargada de ORE y Secretaria

Solicitar a CETIC mayor información sobre las disposiciones institucionales y responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI

I semestre 2018

Encargada de ORE

Solicitar a CETIC que divulgue el Marco Estratégico de TI

I semestre 2018

Encargada de ORE

CETIC

Formular el PETIC con sus respectivos indicadores.

II Semestre 2017

Director CeTIC

16


Definir acuerdos de servicios. II Semestre

2017 Director CeTIC

Documentar los Procesos / Procedimientos.

I semestre 2019

Director CeTIC

Solicitar charla introductoria al área de Control Interno

I semestre 2018

Director CeTIC

Implementar el plan de cumplimiento. Atención de hallazgos de la Auditoría Interna / IGI / Procesos CeTIC.

II Semestre 2017

Director CeTIC

Definir y ejecutar estrategia de comunicación de los lineamientos, directrices, estándares para gestión y gobierno de TI. (PETIC)

II semestre 2018

Director CeTIC

Levantar y formalizar un procedimiento para la gestión de respaldos

I semestre 2018

Director CeTIC

Levantar y formalizar un procedimiento para la gestión de requerimientos

I semestre 2018

Director CeTIC

Implementar solución para gestión documental.

I semestre 2018

Encargado de Sistemas de Información

Formalizar portafolio de proyectos y servicios.

I semestre 2018

Director CeTIC

Formalizar tablero de indicadores de TI.

I semestre 2018

Director CeTIC

Implementar el directorio activo en la infraestructura

I semestre 2018

Encargado de Redes y Comunicaciones

Proveeduría

Realizar reuniones internas en el departamento para dar a conocer los resultados

jun-18 Jefe de Proveeduría

Aprobar la versión 2 del procedimiento de compras y contrataciones.

dic-17 Jefe de Proveeduría y ODI

Mantenimiento

Realizar una valoración de riesgos del sistema de tiquetes de mantenimiento

I Semestre 2018

Jefe de Mantenimiento

Servicios Generales

Realizar una reunión para comentarles los resultados del proceso de valoración de riesgos

II Semestre 2018

Asistente Administrativo

Realizar una reunión para definir los riesgos asociados a las tecnologías de información

II Semestre 2018


17


Solicitar un levantamiento de los activos que se tienen en este momento para administrarlos.

II Semestre 2018


Solicitar un espacio en la Red Institucional

I Semestre 2018


Solicitar a CETIC una valoración de los equipos existente

I Semestre 2018


Coordinar con el Archivo central , para ver si es oportuno un Archivo de Gestión para la documentación vinculada a estos procesos

I semestre 2018


Programa SINAES


Revisar y mejorar el sitio web del SINAES

octubre 17-diciembre 2017

Comisión Designada

Mejorar la red del SINAES y la información que alberga

octubre 17-diciembre 2017

Dirección

Programa CeNAT


Definir el Plan de capacitaciones II Semestre

2017

FunCeNAT, Directores de Laboratorio y Asistentes

Administrativas

Realizar los procedimientos generales de los laboratorio por proceso

II Semestre 2017

Directora Administrativa, Directores y Asistentes administrativas

Implementar las políticas para seguridad y riesgos con el uso de TI

II Semestre 2017


Realizar reuniones por laboratorio terminada la misma para explicar los cambios y alcances

II Semestre 2017


18

Programa Estado de la Nación


Completar los procedimientos del programa

15 de diciembre de 2017

Asistente Administrativa, Coordinadora de Difusión

Solicitar al CETIC normativa sobre el uso de las TIC para que sea de conocimiento de todos

II Semestre 2017

Área Administrativa

Solicitar al CETIC normativa sobre el uso de las TIC para que sea de conocimiento de todos los Colaboradores del PEN

II Semestre 2017


Solicitar a la Administración del CONARE los lineamientos sobre controles de acceso a instalaciones físicas y se divulgará entre los Colaboradores del PEN

II Semestre 2017


Solicitar y enviar la información sobre el reporte de averías de TI a los Colabores del PEN y se solicitará información al Departamento de Mantenimiento sobre reporte de necesidades y planes de emergencia y mantenimiento

I Semestre 2018 Área Administrativa

19

CONCLUSIONES Y RECOMENDACIONES

Conclusiones

Los porcentajes de cumplimiento institucionales de las disposiciones de

control interno en los cinco componentes del sistema son satisfactorios.

En el 2017 la institución cumplió con las disposiciones de control interno

en los siguientes temas:

Ambiente de control: compromiso del titular subordinado con el

control interno, mecanismos que permiten la evaluación y el

fortalecimiento constante del sistema de control interno institucional,

mecanismos para incorporar los elementos contenidos en el manual

de principios éticos del Conare en la cultura organizacional,

actividades de inducción, capacitación y actualización para fortalecer

las competencias del personal, compromiso del titular subordinado

con el control interno, utilización de mecanismos para fortalecer el

sistema de control interno institucional.

Valoración de riesgos: desarrollo de las diferentes etapas del SEVRI,

utilización de los resultados de la valoración de riesgos como insumo

para la formulación del PAO

Actividades de control: las instrucciones o solicitudes de especial

relevancia que no están contempladas en las funciones de cada

colaborador, se comunican formalmente, actividades de divulgación

sobre disposiciones institucionales en general, supervisión de tareas

relevantes.

Sistemas de información: Respaldos periódicos de la información

que se genera en las dependencias, control de ingreso y salida de

equipos en la organización, controles de acceso a los recursos de TI,

acceso a información impresa, visible en pantallas, almacenada en

medios físicos y no físicos y proteger adecuadamente dichos medios,

participación activa en la implementación y mantenimiento de las TI,

datos procesados mediante TI se realizan en forma completa, exacta

20

y oportuna, identificación, análisis y resolución de manera oportuna

los problemas, errores e incidentes significativos que se susciten con

las TI, canales de comunicación que permiten trasladar la información

de manera transparente, ágil, segura, correcta y oportuna a los

destinatarios apropiados, autoevaluaciones del sistema de control

interno, seguimiento de planes de mejora de la autoevaluación y

recomendaciones de Auditoría, evaluación de la gestión, mecanismos

para informar las deficiencias y desviaciones del sistema de control

interno.

Por el contrario, la institución debe ejecutar acciones para atender con

las disposiciones de control interno en los siguientes temas:

Ambiente de control: promover que los funcionarios conozcan la

responsabilidad que tienen en sus actividades cotidianas, de cumplir

con los diferentes aspectos que le competen en la normativa del

control interno, evaluar al personal para verificar la idoneidad para

asumir el cargo que se le asigna, divulgación de la normativa de

control interno

Valoración de riesgos: conocimiento del personal de los resultados

del proceso de valoración del riesgo y que se consideren además

eventos asociados a las tecnologías y sistemas de información

Actividades de control: manuales de procedimientos actualizados,

controles para la asignación, el uso o manejo de activos y evaluar

periódicamente los controles según su funcionalidad

Sistemas de información: información y capacitación al personal

sobre las disposiciones institucionales y responsabilidades en materia

de seguridad, confidencialidad y riesgos asociados con el uso de las

TI, generación de información oportuna y correcta, repositorio

documental físico, digital o mixto, actualizado, confiable y completo,

proceso de promoción y divulgación del marco estratégico de TI,

Controles de acceso a las instalaciones físicas, que contemple:

21

Seguridad perimetral, mecanismos de control de acceso a recintos o

áreas de trabajo, protección de oficinas y separación adecuada de

áreas, Continuidad, seguridad y control de suministro de energía

eléctrica, del cableado de datos y de las comunicaciones inalámbricas.

Recomendaciones

Promover en cada una de las dependencias, el uso de los planes de

mejora como instrumento de control, evaluación y seguimiento.

Continuar con los procesos de capacitación y sensibilización en materia

de control interno en la institución.

Aumentar la participación de los colaboradores en los procesos de control

interno de sus dependencias.

Continuar con el proceso de mapeo y actualización de los procedimientos

en las dependencias y programas del Conare.

Aprobar y divulgar el Plan Específico de Tecnologías de Información y

comunicación en los diferentes niveles de la organización.

ANEXOS

ANEXO 1

CONSEJO NACIONAL DE RECTORES OFICINA DE DESARROLLO INSTITUCIONAL

GUIA DE AUTOEVALUACIÓN DEL SISTEMA DE CONTROL INTERNO

No. Criterio [Enunciado que permite

evaluar el sistema de control interno]

Respuesta [En el caso

de respuestas afirmativas

se debe contar con el respaldo correspondi

ente]

Documentación de Respaldo [Indique el nombre de

documento o archivo de

respaldo. Se presenta una

guía de posibles

respaldos para su

consideración]

Guía de Respaldos [Se presenta una guía de posibles

respaldos para su consideración, sin

embargo puede incluir otros respaldos]

Acciones de mejora

[Acciones propuestas

para cumplir con el criterio

solicitado]

Plazos [Considerar

plazos menores a

un año]

Responsables [Detallar

responsable considerando el nombre del

puesto que ocupa]

Observaciones

[Incluir cualquier observación que se

estime convenien

te]

Ambiente de Control: Comprende el conjunto de factores organizacionales que propician una actitud positiva y de apoyo al SCI y a una gestión institucional que permita una rendición de cuentas efectiva.

SI/NO

1

¿Usted como titular subordinado ejecuta acciones en su gestión que apoyen y muestren compromiso con el control interno?

Desarrollo de procesos de control interno Correos Convocatorias Incorporación en planes de trabajo Capacitación






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

2

¿Cuenta su dependencia con mecanismos que permiten la evaluación y el fortalecimiento constante del sistema de control interno institucional?

Autoevaluaciones de Control Interno Seguimiento de acciones de los planes de mejora Revisión de controles Procedimientos

3

¿ Conocen los funcionarios de su dependencia la responsabilidad que tienen, en sus actividades cotidianas, de cumplir con los diferentes aspectos que le competen en la normativa del control interno?

Capacitaciones Comunicaciones Minutas de reunión

4

¿Existen en su dependencia mecanismos para incorporar los elementos contenidos en el Manual de principios éticos del CONARE en la cultura organizacional?

Plan de Implementación Actividades específicas desarrolladas






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

5

¿Existe un manual de puestos u otro documento formal en su dependencia que identifique las funciones y responsabilidades de los funcionarios?

Manual de puestos u otro documento

6

¿Se ha divulgado por parte del Jerarca la normativa de Control Interno competente a su dependencia?

Captura de pantalla del sitio web donde se divulgue la normativa. memorandorando indicando que el sitio web o algún medio de red es el repositorio oficial para comunicaciones internas Oficio o número de oficio (memorando) con la comunicación. Lista de asistencia actividad de






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

capacitación sobre el tema

7

Al personal que labora en su oficina, se le evalúa para verificar la idoneidad para asumir el cargo que se le asigna?

Evaluación del desempeño Instrumentos utilizados en el reclutamiento

8

¿Se realizan en su dependencia actividades de inducción, capacitación y actualización para fortalecer las competencias del personal a su cargo?

Listas de asistencia a inducciones internas Certificado o comprobante de participación en actividades académicas y/o profesionales. Plan de capacitación de la dependencia o institucional. Solicitudes de capacitación






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

Valoración de Riesgos: Corresponde a la identificación, el análisis, la evaluación, la administración, la revisión, la documentación y la comunicación de los riesgos, su importancia y la probabilidad e impacto de su materialización; y la toma de acciones para operar y fortalecer el SCI y promover el logro de los objetivos institucionales, así como para ubicar a la organización en un nivel de riesgo aceptable

9

¿Se desarrolla en su dependencia la identificación, análisis, evaluación, administración, revisión y documentación de riesgos de los principales procesos de su área?

Documento de SEVRI

10 ¿Se utilizan en su dependencia los resultados de la valoración de riesgos como insumo en la

Matrices de SEVRI y Seguimiento






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

formulación del Plan Anual Operativo?

Plan Anual de la Dependencia

11

Es del conocimiento del personal de la unidad a su cargo los resultados del proceso de valoración del riesgo?

Comunicaciones hacia el personal sobre sobre el tema: correos, minutas de reunión o memorando

12

En la valoración de riesgos que efectúa su dependencia se consideran eventos asociados a las tecnologías y sistemas de información?

Riesgos identificados por la dependencia cuya fuente esté vinculada a TI (respaldado en la matriz de identificación de riesgos) Diagnósticos realizados por la dependencia donde contemple este aspecto






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

Actividades de Control: Corresponde a las políticas y los procedimientos que el jerarca y los titulares subordinados deben diseñar, adoptar, evaluar y perfeccionar para asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos institucionales.

13

¿Se evalúan de forma periódica los controles existentes en su dependencia, según su funcionalidad?

Matrices de SEVRI, Autoevaluación Lista de verificación aplicada al control Reportes sobre mejoras de software (en caso que el control esté sistematizado) Actualización de procedimientos Actualización de puntos de control incluidos en los procedimientos.






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

14 ¿Se aplican en su dependencia controles para la asignación, el uso o manejo de activos?

Inventario de Activos Documentos de control de asignación, uso o manejo de activos Boletas de entrada, salida y préstamo de activos

15

¿Cuenta su dependencia con manuales de procedimientos actualizados de los principales procesos de su área?

Procedimientos actualizados

16

¿Se presentan en su Dependencia, los informes de gestión pertinentes, donde se resuman las actividades de control realizadas durante el periodo de sus funciones, los logros obtenidos incluyendo los relativos al SCI, el estado de las recomendaciones de la Auditoría Interna y las

Informes de Labores (sea trimestral, semestral o anual) Informes de fin de gestión






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

disposiciones que establece la CGR?

17

¿En su dependencia las instrucciones o solicitudes de especial relevancia que no están contempladas en las funciones de cada colaborador, se comunican formalmente?

Correos electrónicos Memorandos Minutas de reunión Cronograma de proyectos Planes de implementación de iniciativas institucionales

18

¿Existen actividades de divulgación en su dependencia sobre disposiciones institucionales en general ?

Correos electrónicos Memorandos Minuta de reunión Plan de capacitación Brochures

19 ¿Existen en su dependencia mecanismos de supervisión en tareas relevantes?

Cronogramas de trabajo de proyecto o planes Minutas de reunión






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

Informes de seguimiento

Sistemas de Información: Se refiere al conjunto de elementos y condiciones vigentes en una institución para ejecutar de manera organizada, uniforme y consistente las actividades de obtener, procesar, generar y comunicar, en forma eficaz, eficiente y económica, y con apego al bloque de legalidad, la información de la gestión institucional y otra de interés para la consecución de los objetivos institucionales.

20

¿En su dependencia se ha informado y capacitado al personal sobre las disposiciones institucionales y responsabilidades en materia de seguridad, confidencialidad y riesgos asociados con el uso de las TI?

Memorando Correo electrónico Listas de asistencia a inducciones internas Certificado o comprobante de participación en actividades






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

Plan de capacitación de la dependencia o institucional. Solicitudes de capacitación

21 ¿Se realizan periódicamente respaldos de la información que genera su dependencia?

Respaldos de Red Bitácora de respaldos realizados Inventario Listas de remisión al archivo institucional Listas de digitalización de documentos impresos






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

22

¿Se cuenta en su dependencia con una definición clara, completa y oportuna de los requerimientos de TI ?

Memorando o comunicado sobre lineamientos de TI. Reportes sobre funcionamiento de los sistemas automatizados Correos sobre disposiciones de TI, por parte del Jerarca o TI. Comunicaciones en reuniones (minuta de la reunión)

23 ¿La información que genera su dependencia para sus usuarios es oportuna y correcta?

Correos o comunicaciones Cronogramas de entrega Procedimientos Acuerdos de Nivel de Servicio en TI






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

24

¿Cuenta su dependencia con un repositorio documental físico, digital o mixto, actualizado, confiable y completo?

Archivo de gestión Capturas de pantalla sobre repositorio digital Bitácora de respaldos realizados Cuadro de clasificación documental

25 ¿Existe un proceso de promoción y divulgación del marco estratégico de TI?

Memorando o comunicado sobre lineamientos de TI. Comunicaciones en reuniones (minuta de reunión) Correo electrónico Plan de capacitación Brochures Banner Mensajes en pantallas






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

26

¿Se cuenta con controles de acceso a las instalaciones físicas, que contemple: Seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas y separación adecuada de áreas?

Comunicaciones en reuniones (minuta de reunión) Correo electrónico comunicando los controles Procedimientos instructivos dispositivos

27 ¿ Se controla el ingreso y salida de equipos de la organización?

Disposiciones y/o boletas sobre ingreso y salida de activos Boleta o formulario de entrada y salida de vehículos institucionales






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

28

¿ Se tiene continuidad, seguridad y control de suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas?

Plan de emergencia con la indicación del uso de planta eléctrica para el suministro de energía Plan de mantenimiento del edificio donde contemple la planta de emergencia Plan de mantenimiento de equipos Disposiciones o instrucciones brindadas al personal sobre el correcto del equipo (memorando, correo electrónico, minuta de reunión) Disposiciones o instrucciones






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

brindadas al personal sobre el reporte de averías o daños en los equipos y elementos periféricos (memorando, correo electrónico, minuta de reunión)






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

29

¿Se ha establecido controles de acceso a los recursos de TI, acceso a información impresa, visible en pantallas, almacenada en medios físicos y no físicos y proteger adecuadamente dichos medios?

Disposiciones o instrucciones brindadas al personal sobre el manejo y publicación de información. (memorando, correo electrónico, procedimiento, minuta de reunión) Disposiciones o instrucciones brindadas a TI sobre perfiles de acceso a sistemas. Comunicación y retroalimentación al personal sobre la existencia de disposiciones sobre acceso a información y sistemas






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

automatizados o físicos (memorando, correo electrónico, procedimiento, minuta de reunión)

30

¿ Su dependencia participa activamente en la implementación y mantenimiento de las TI?

Comunicación a TI, mantenimiento o proveeduría sobre las necesidades de TI. Comunicación a las instancias correspondientes sobre nuevas o necesidades de mantenimiento preventivo o correctivo (memorando, correo electrónico,






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

procedimiento, minuta de reunión).

31

¿Los datos procesados mediante TI se realizan en forma completa, exacta y oportuna? (por ejemplo GRP)

Cronogramas de entrega de informes o requerimientos de información. Procedimientos (contemplando el uso de sistemas) Instructivos (contemplando la forma en que debe ingresar la información y el sistema donde debe ingresarse) Bitácoras sobre reporte de fallos del sistema por parte de la dependencia.






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

32

¿Se ha identificado, analizado y resuelto de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI?

Bitácora de la dependencia sobre reporte de averías Resultados por dependencia de encuesta de satisfacción de servicios de TI Disposiciones o instrucciones brindadas al personal sobre el reporte de averías o errores en equipo y sistemas de información (Memorandos, correos electrónicos, circulares, minutas de reunión, procedimientos)






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

33

Le permiten los canales de comunicación trasladar la información de manera transparente, ágil, segura, correcta y oportuna a los destinatarios (as) apropiados (as)?

Bitácora sobre reporte de fallas de correo electrónico Procedimiento sobre uso de medios de comunicación oficial Políticas sobre uso del correo electrónico u otros medios de comunicación

Seguimiento: Incluye las actividades que se realizan para valorar la calidad del funcionamiento de los elementos del SCI a través del tiempo y para asegurar que se implementen con prontitud y efectividad las medidas adoptadas como producto de los hallazgos de auditoría y los resultados de otras revisiones.






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

34 ¿Realiza su dependencia la autoevaluación del sistema de control interno?

Guía de Autoevaluación

35

¿Su dependencia efectúa el seguimiento de planes de mejora de las autoevaluaciones anteriores?

Matriz de Seguimiento de planes de mejora. Oficios de remisión del seguimiento a los planes de mejora de autoevaluaciones Informes periódicos de labores (trimestral, semestral, anual) que contemple los resultados de Control Interno y Atención de recomendaciones de Auditoría.






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

36

¿En su dependencia se da seguimiento a las recomendaciones que le ha remitido la Auditoría Interna en sus informes?

Control de seguimiento de informes de Auditoría Informes periódicos de labores (trimestral, semestral, anual) que contemple los resultados de Control Interno y Atención de recomendaciones de Auditoría. Informe de seguimiento de recomendaciones de Auditoría o similares Matriz de seguimiento de recomendaciones de Auditoría o similares






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

Memorandos u oficios que responden los estudios o recomendaciones de Auditoría.

37 ¿Existen evaluaciones permanentes sobre la gestión de su dependencia?

Informes relacionados con el PAO Evaluaciones del desempeño Informes de Labores (sea trimestral, semestral o anual) Informes de fin de gestión






ente]




guía de posibles

respaldos para su

consideración]




Acciones de mejora



solicitado]

Plazos [Considerar

plazos menores a

un año]



puesto que ocupa]

Observaciones


estime convenien

te]

38

¿Existen en su dependencia mecanismos que permitan informar las deficiencias y desviaciones oportunamente del sistema de control interno?

Revisión de cumplimiento de procedimientos Disposiciones emitidas hacia el personal sobre informar deficiencias y desviaciones Disposiciones emitidas hacia el personal para atender las disposiciones institucionales sobre el tema.(Correo electrónico, minuta de reunión o memorando que lo respalde) Reglamentos Políticas

Documents

Autoevaluación del Sistema de Control Interno y … · En el cuadro Nº 1, se observa que el programa CeNAT muestra el mayor porcentaje de cumplimiento de los criterios considerados