Académique Documents
Professionnel Documents
Culture Documents
AI-065-2012
Señoras
Integrantes
Junta Directiva
Instituto Nacional de las Mujeres
Presidencia Ejecutiva
Asesoría Legal
Dirección Administrativa Financiera
Unidad de Informática
Archivo
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 1 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
Contenido
1. ORIGEN ..........................................................................................................................2
2. SEGREGACIÓN DE FUNCIONES .................................................................................2
3. NORMATIVA ACTUAL ...................................................................................................2
4. ACLARACIÓN ADICIONAL ............................................................................................3
4.1. Matriz de Segregación de Funciones en TI ISACA ......................................................................... 4
5. CONCLUSIÓN ................................................................................................................6
1. ORIGEN
Este oficio se emite en cumplimiento de la solicitud verbal que hiciera la Junta
Directiva en la Sesión celebrada el 3 de octubre del 2011
2. SEGREGACIÓN DE FUNCIONES
La segregación de funciones es una de las principales actividades de control
interno destinada a prevenir o reducir el riesgo de errores o irregularidades, y en
especial el fraude interno en las organizaciones. Su función es la de asegurar que
un individuo no pueda llevar a cabo todas las fases de una operación/transacción,
desde su autorización, pasando por la custodia de activos y el mantenimiento de los
registros maestros necesarios. Se daría una adecuada segregación de funciones
cuando para realizar una acción fraudulenta o irregularidad se requiera la confabu-
lación de dos o más empleados. (Ricardo Martínez Martínez Gerente de ERS-En-
terprise Risk Services- Deloitte)
Un ejemplo de segregación de funciones, se encuentra presente en la
Reforma al Reglamento sobre el Refrendo de las Contrataciones de la
Administración Pública, emitido por la Contraloría General de la República,
mediante resolución R-DC-31-2012:
Cuando la aprobación interna esté a cargo de la asesoría jurídica institucional,
esa unidad no tendrá impedimento alguno para brindar asesoría durante las etapas
del procedimiento de contratación previas al trámite de aprobación aquí referido, ya
que por el contrario esa asesoría es fundamental para asegurar la calidad jurídica de
los procesos de adquisición de bienes y servicios. Sí debe procurarse, en la medida
en que se cuente con los recursos necesarios, que el funcionario que participa en las
actividades de asesoría jurídica relativas a un procedimiento de contratación
concreto, no sea el mismo que tenga a cargo el análisis de legalidad tendiente a
otorgar la aprobación interna.
3. NORMATIVA ACTUAL
La segregación de funciones es parte del sistema de control interno y por lo
tanto parte de las responsabilidades de la Administración Activa, tal y como lo dis-
pone la Ley de Control Interno:
Artículo 10.—Responsabilidad por el sistema de control interno. Serán responsabili-
dad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el
sistema de control interno institucional. Asimismo, será responsabilidad de la administra-
ción activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 2 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de In-
formación, emitidas por la Contraloría General de la República (N-2-2007-CO-
DFOE) establecen:
2.1 Independencia y El jerarca debe asegurar la independencia de la Función de TI res-
recurso humano de la pecto de las áreas usuarias y que ésta mantenga la coordinación y
Función de TI comunicación con las demás dependencias tanto internas y como
externas.
Por su parte las Normas de control interno para el sector público (N-2-2009-
CO-DFOE) Emitidas con resolución R-CO-9-2009 del 26 de enero de 2009, publi-
cada en el Diario Oficial "La Gaceta" Nº 26 del 6 de febrero de 2009 establece
2.5.3 Separación de El jerarca y los titulares subordinados, según sus competencias, de-
funciones ben asegurarse de que las funciones incompatibles, se separen y
incompatibles y del distribuyan entre los diferentes puestos; así también, que las fases
procesamiento de de autorización, aprobación, ejecución y registro de una transac-
transacciones ción, y la custodia de activos, estén distribuidas entre las unidades
de la institución, de modo tal que una sola persona o unidad no
tenga el control por la totalidad de ese conjunto de labores.
Cuando por situaciones excepcionales, por disponibilidad de recur-
sos, la separación y distribución de funciones no sea posible debe
fundamentarse la causa del impedimento. En todo caso, deben im-
plantarse los controles alternativos que aseguren razonablemente
el adecuado desempeño de los responsables.
4. ACLARACIÓN ADICIONAL
Aún cuando el Manual Sobre Normas Técnicas de Control Interno Relativas
a Los Sistemas de Información Computadorizados, emitido por la Contraloría Ge-
neral de la República en 1997, ya fue derogado, consideramos que algunas de las
explicaciones que hacen con respecto a la Segregación de funciones en el área de
Tecnologías de Información son útiles para este caso
302.07 Segregación de funciones incompatibles dentro de la organización
Declaración interpretativa
Las funciones incompatibles son aquellas que colocan a cualquier persona en una situación en
la que pueda cometer y ocultar errores o irregularidades en el curso normal de sus obligaciones.
Consecuentemente, los controles dependen en gran grado de la eliminación de la oportunidad de
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 3 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
encubrimientos, de manera que los procedimientos diseñados para detectar errores o irregulari-
dades, deben desempeñarse por personas distintas de aquellas que están en posición de come-
terlos, esto es, por personas que no realicen funciones incompatibles.
De conformidad con lo anterior, la Unidad de Informática en su condición de servidora o de apoyo
a las otras unidades de la organización, se limitará al registro y procesamiento de los datos. Como
regla, no deberá originar ni autorizar transacciones, ejecutar la preparación inicial de los datos
para su procesamiento y tener autoridad para iniciar los cambios en los sistemas computadoriza-
das, con excepción de las actividades necesarias para cumplir con su competencia. Tampoco
deberá tener acceso a los registros contables preparados manualmente, excepto a los documen-
tos fuente que serán necesarios para la entrada y el procesamiento de los datos.
302.08 Segregación de funciones dentro de la Unidad de Informática
Declaración interpretativa
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 4 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
información. Sin embargo la ISACA (anteriormente conocida como Asociación De
Sistemas de Información de Auditoría y Control, pero ahora sólo conocida como
ISACA) ha hecho un esfuerzo en hacer una evaluación de las posibles funciones
incompatibles.
Aseguramiento de
Mesa de ayuda y
Administrador de
Grupo de control
Ingreso de datos
Programador de
Programador de
Base de datos
computadores
Usuario Final
Operador de
aplicaciones
Analista de
Seguridad
la calidad
Sistemas
sistemas
sistemas
Red
Grupo de Control X X X X X X X X X
Analista de
X X X X X X
sistemas
Programador de
X X X X X X X X X X X
aplicaciones
Mesa de ayuda y
Gerente de X X X X X X X X X
Soporte
Usuario Final X X X X X X X X
Ingreso de datos X X X X X X X X X
Operador de
X X X X X X X X X X
computadoras
Administrador de
X X X X X X X X X
la base de datos
Administrador de
X X X X X X X
redes
Administrador de
X X X X X X X
Sistemas
Administrador de
X X X X X
la Seguridad
Programador de
X X X X X X X X X X
Sistemas
Aseguramiento de
X X X X
la calidad
X- La combinación de estas funciones puede crear una posible debilidad de control
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 5 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706
5. CONCLUSIÓN
La Administración Activa es la responsable del Sistema de Control Interno, la
cual incluye una adecuada separación de funciones incompatibles que incluyen el
Área de Tecnologías de Información, para lo cual deberá asegurarse
razonablemente que no hay concentración de funciones que pongan en riesgo a la
Institución, o se realicen las medidas alternativas para mitigar esos riesgos, para lo
cual puede hacer uso de instrumentos como los que provee ISACA o el IIA.
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las opera-
ciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (IIA Global)
Oficio: Document1
Página 6 de 6
Email: auditoría@inamu.go.cr, Dirección Auditoría, detrás de Spoon Los Yoses, teléfono fax auditoría 2253-2706