Normas de Control Interno 410 – Contraloría General del Estado

410-01 Organización Informática

Las entidades y organismo del sector publico deben estar acopladas en un marco de
trabajo para procesos de tecnología de información que se aseguren la transparencia y el
control, así como el involucramiento de la alta dirección, por lo que las actividades y
procesos de tecnología de información de la organización deben estar bajo la
responsabilidad de una unidad que se encargue de regular y estandarizar los temas
tecnológicos a nivel institucional. [1]
La Unidad de Tecnológica de información, estará posicionada dentro de la estructura
organizacional de la entidad en un nivel que permita efectuar las actividades de asesoría
y apoyo a la alta dirección y unidades usuarias; así como participar en la toma de
decisiones de la organización y generar cambios de mejora tecnológica. Además debe
garantizar su independencia respecto de las ares usuarias y asegurar la cobertura de
servicios a todas las unidades de la entidad u organismo.
Las entidades u organismos del sector público, establecerán una estructura
organizacional de tecnología de información que refleje las necesidades
institucionales, la cual debe ser revisada de forma periódica para ajustar las estrategias
internas que permitan satisfacer los objetivos planteados y soporten los avances
tecnológicos. Bajo este esquema se dispondrá como mínimo de áreas que cubran
proyectos tecnológicos, infraestructura tecnológica y soporte interno y externo de ser el
caso, considerando el tamaño de la entidad y de la unidad de tecnología.
410-02 Segregación de Funciones
Las funciones y responsabilidades del personal de tecnología de información y de los
usuarios de los sistemas de información serán claramente definidas y formalmente
comunicadas para permitir que los roles y responsabilidades asignados se ejerzan con
suficiente autoridad y respaldo.
La asignación de funciones y sus respectivas responsabilidades garantizarán una
adecuada segregación, evitando funciones incompatibles. Se debe realizar dentro de la
Unidad de Tecnología de Información la supervisión de roles y funciones del personal
dentro de cada una de las áreas, para gestionar un adecuado rendimiento y evaluar
las posibilidades de reubicación e incorporación de nuevo personal.
La descripción documentada y aprobada de los puestos de trabajo que conforman
la Unidad de Tecnología de Información, contemplará los deberes y responsabilidades,
así como las habilidades y experiencia necesarias en cada posición, a base de las
cuales se realizará la evaluación del desempeño. Dicha descripción considerará
procedimientos que eliminen la dependencia de personal clave.
410-03 Plan informático estratégico de tecnología
La Unidad de Tecnología de la Información elaborará e implementará un plan informático
estratégico para administrar y dirigir todos los recursos tecnológicos, el mismo que
estará alineado con el plan estratégico institucional y éste con el Plan Nacional de
Desarrollo y las políticas públicas de gobierno.
El plan informático estratégico tendrá un nivel de detalle suficiente para permitir
la definición de planes operativos de tecnología de Información y especificará como
ésta contribuirá a los objetivos estratégicos de la organización; incluirá un análisis de
la situación actual y las propuestas de mejora con la participación de todas las unidades
de la organización, se considerará la estructura interna, procesos, infraestructura,
comunicaciones, aplicaciones y servicios a brindar, así como la definición de estrategias,
riesgos, cronogramas, presupuesto de la inversión y operativo, fuentes de
financiamiento y los requerimientos legales y regulatorios de ser necesario.
La Unidad de Tecnología de Información elaborará planes operativos de tecnología de la
información alineados con el plan estratégico informático y los objetivos estratégicos
de la institución, estos planes incluirán los portafolios de proyectos y de servicios,
la arquitectura y dirección tecnológicas, las estrategias de migración, los aspectos de
contingencia de los componentes de la infraestructura y consideraciones relacionadas con
la incorporación de nuevas tecnologías de información vigentes a fin de evitar la
obsolescencia. Dichos planes asegurarán que se asignen los recursos apropiados de la
función de servicios de tecnología de información a base de lo establecido en su plan
estratégico.
El plan estratégico y los planes operativos de tecnología de información, así como
el presupuesto asociado a éstos serán analizados y aprobados por la máxima
autoridad de la organización e incorporados al presupuesto anual de la organización;
se actualizarán de manera permanente, además de ser monitoreados y evaluados en
forma trimestral para determinar su grado de ejecución y tomar las medidas necesarias en
caso de desviaciones.
410-04 Políticas y procedimientos
La máxima autoridad de la entidad aprobará las políticas y procedimientos que
permitan organizar apropiadamente el área de tecnología de información y asignar
el talento humano calificado e infraestructura tecnológica necesaria.
La Unidad de Tecnología de Información definirá, documentará y difundirá las políticas,
estándares y procedimientos que regulen las actividades relacionadas con
tecnología de información y comunicaciones en la organización, estos se
actualizarán permanentemente e incluirán las tareas,los responsables de su ejecución,
los procesos de excepción, el enfoque de cumplimiento y el control de los procesos que
están normando, así como, las sanciones administrativas a que hubiere lugar si no se
cumplieran.
Temas como la calidad, seguridad, confidencialidad, controles internos, propiedad
intelectual, firmas electrónicas y mensajería de datos, legalidad del software, entre otros,
serán considerados dentro de las políticas y procedimientos a definir, los cuales además,
estarán alineados con las leyes conexas emitidas por los organismos competentes y
estándares de tecnología de información.
Será necesario establecer procedimientos de comunicación, difusión y coordinación
entre las funciones de tecnología de información y las funciones propias de la
organización.
Se incorporarán controles, sistemas de aseguramiento de la calidad y de gestión de
riesgos, al igual que directrices y estándares tecnológicos.
Se implantarán procedimientos de supervisión de las funciones de tecnología de
información, ayudados de la revisión de indicadores de desempeño y se medirá el
cumplimiento de las regulaciones y estándares definidos.
La Unidad de Tecnología de Información deberá promover y establecer convenios
con otras organizaciones o terceros a fin de promover y viabilizar el
intercambio de información interinstitucional, así como de programas de aplicación
desarrollados al interior de las instituciones o prestación de servicios relacionados con la
tecnología de información.
410-06 Administración de proyectos tecnológicos
La Unidad de Tecnología de Información definirá mecanismos que faciliten la
administración de todos los proyectos informáticos que ejecuten las diferentes áreas que
conformen dicha unidad. Los aspectos a considerar son:
1. Descripción de la naturaleza, objetivos y alcance del proyecto, su relación
con otros proyectos institucionales, sobre la base del compromiso, participación
y aceptación de los usuarios interesados.
2. Cronograma de actividades que facilite la ejecución y monitoreo del proyecto que
incluirá el talento humano (responsables), tecnológicos y financieros además
de los planes de pruebas y de capacitación correspondientes.
3. La formulación de los proyectos considerará el Costo Total de Propiedad CTP;
que incluya no sólo el costo de la compra, sino los costos directos e indirectos, los
beneficios relacionados con la compra de equipos o programas informáticos,
aspectos del uso y mantenimiento, formación para el personal de soporte y
usuarios, así como el costo de operación y de los equipos o trabajos de
consultoría necesarios.
4. Para asegurar la ejecución del proyecto se definirá una estructura en la que se
nombre un servidor responsable con capacidad de decisión y autoridad y
administradores o líderes funcionales y tecnológicos con la descripción de sus
funciones y responsabilidades.
5. Se cubrirá, como mínimo las etapas de: inicio, planeación, ejecución, control,
monitoreo y cierre de proyectos, así como los entregables, aprobaciones y
compromisos formales mediante el uso de actas o documentos electrónicos
legalizados.
6. El inicio de las etapas importantes del proyecto será aprobado de manera formal
y comunicado a todos los interesados.
7. Se incorporará el análisis de riesgos. Los riesgos identificados serán
permanentemente evaluados para retroalimentar el desarrollo del proyecto,
además de ser registrados y considerados para la planificación de proyectos
futuros.
8. Se deberá monitorear y ejercer el control permanente de los avances del proyecto.
9. Se establecerá un plan de control de cambios y un plan de aseguramiento
de calidad que será aprobado por las partes interesadas.
 10. El proceso de cierre incluirá la aceptación formal y pruebas que certifiquen
la calidad y el cumplimiento de los objetivos planteados junto con los beneficios
obtenidos.
410-07 desarrollo y adquisición de software aplicativo
La Unidad de Tecnología de Información regulará los procesos de desarrollo y
adquisición de software aplicativo con lineamientos, metodologías y procedimientos. Los
aspectos a considerar son:
1. La adquisición de software o soluciones tecnológicas se realizarán sobre la base
del portafolio de proyectos y servicios priorizados en los planes estratégico
y operativo previamente aprobados considerando las políticas públicas
establecidas por
2. Adopción, mantenimiento y aplicación de políticas públicas y estándares
internacionales para: codificación de software, nomenclaturas, interfaz de
usuario, interoperabilidad, eficiencia de desempeño de sistemas, escalabilidad,
validación contra requerimientos, planes de pruebas unitarias y de integración.
3. Identificación, priorización, especificación y acuerdos de los requerimientos
funcionales y técnicos institucionales con la participación y aprobación formal de
las unidades usuarias. Esto incluye, tipos de usuarios, requerimientos de:
entrada, definición de interfaces, archivo, procesamiento, salida, control,
seguridad, plan de pruebas y trazabilidad o pistas de auditoría de las transacciones
en donde aplique.
4. Especificación de criterios de aceptación de los requerimientos que cubrirán
la definición de las necesidades, su factibilidad tecnológica y económica, el
análisis de riesgo y de costo-beneficio, la estrategia de desarrollo o compra
del software de aplicación, así como el tratamiento que se dará a aquellos procesos
de emergencia que pudieran presentarse.
5. En los procesos de desarrollo, mantenimiento o adquisición de software
aplicativo se considerarán: estándares de desarrollo, de documentación y de
calidad, el diseño lógico y físico de las aplicaciones, la inclusión apropiada de
controles de aplicación diseñados para prevenir, detectar y corregir errores e
irregularidades de procesamiento, de modo que éste, sea exacto, completo,
oportuno, aprobado y auditable. Se considerarán mecanismos de autorización,
integridad de la información, control de acceso, respaldos, diseño e
implementación de pistas de auditoría y requerimientos de seguridad. La
especificación del diseño considerará las arquitecturas tecnológicas y de
información definidas dentro de la organización.
6. En caso de adquisición de programas de computación (paquetes de software)
se preverán tanto en el proceso de compra como en los contratos respectivos,
mecanismos que aseguren el cumplimiento satisfactorio de los requerimientos
de la entidad. Los contratos tendrán el suficiente nivel de detalle en los
aspectos técnicos relacionados, garantizar la obtención de las licencias de uso y/o
servicios, definir los procedimientos para la recepción de productos y
documentación en general, además de puntualizar la garantía formal de
soporte, mantenimiento y actualización ofrecida por el proveedor.
 7. En los contratos realizados con terceros para desarrollo de software deberá
constar que los derechos de autor será de la entidad contratante y el
contratista entregará el código fuente. En la definición de los derechos de autor
se aplicarán las disposiciones de la Ley de Propiedad Intelectual. Las excepciones
serán técnicamente documentadas y aprobadas por la máxima autoridad o
su delegado.
8. La implementación de software aplicativo adquirido incluirá los
procedimientos de configuración, aceptación y prueba personalizados e
implantados. Los aspectos a considerar incluyen la validación contra los términos
contractuales, la arquitectura de información de la organización, las aplicaciones
existentes, la interoperabilidad con las aplicaciones existentes y los sistemas de
bases de datos, la eficiencia en el desempeño del sistema, la documentación y los
manuales de usuario, integración y planes de prueba del sistema.
9. La implementación de software aplicativo adquirido incluirá los
procedimientos de configuración, aceptación y prueba personalizados e
implantados. Los aspectos a considerar incluyen la validación contra los términos
contractuales, la arquitectura de información de la organización, las aplicaciones
existentes, la interoperabilidad con las aplicaciones existentes y los sistemas de
bases de datos, la eficiencia en el desempeño del sistema, la documentación y los
manuales de usuario, integración y planes de prueba del sistema.
10. Formalización con actas de aceptación por parte de los usuarios, del paso
de los sistemas probados y aprobados desde el ambiente de desarrollo/prueba al
de producción y su revisión en la post-implantación.
11. Elaboración de manuales técnicos, de instalación y configuración; así como
de usuario, los cuales serán difundidos, publicados y actualizados de forma
permanente.
410-08 Adquisiciones de infraestructura tecnológica
La Unidad de Tecnología de información definirá, justificará, implantará y
actualizará la infraestructura tecnológica de la organización para lo cual se considerarán
los siguientes aspectos:
1. Las adquisiciones tecnológicas estarán alineadas a los objetivos de la
organización, principios de calidad de servicio, portafolios de proyectos y
servicios, y constarán en el plan anual de contrataciones aprobado de la
institución, caso contrario serán autorizadas por la máxima autoridad previa
justificación técnica documentada.
2. La Unidad de Tecnología de Información planificará el incremento de
capacidades, evaluará los riesgos tecnológicos, los costos y la vida útil
de la inversión para futuras actualizaciones, considerando los requerimientos
de carga de trabajo, de almacenamiento, contingencias y ciclos de vida de los
recursos tecnológicos. Un análisis de costo beneficio para el uso compartido
de Data Center con otras entidades del sector público, podrá ser considerado
para optimizar los recursos invertidos.
3. En la adquisición de hardware, los contratos respectivos, tendrán el detalle
suficiente que permita establecer las características técnicas de los principales
componentes tales como: marca, modelo, número de serie, capacidades,
 unidades de entrada/salida, entre otros, y las garantías ofrecidas por el proveedor,
a fin de determinar la correspondencia entre los equipos adquiridos y
las especificaciones técnicas y requerimientos establecidos en las fases
precontractual y contractual, lo que será confirmado en las respectivas actas de
entrega/recepción.
4. Los contratos con proveedores de servicio incluirán las especificaciones formales
sobre acuerdos de nivel de servicio, puntualizando explícitamente los aspectos
relacionados con la seguridad y confidencialidad de la información, además de
los requisitos legales que sean aplicables. Se aclarará expresamente que la
propiedad de los datos corresponde a la organización contratante.
410-09 Mantenimiento y control de la infraestructura tecnológica
La Unidad de Tecnología de Información de cada organización definirá y regulará los
procedimientos que garanticen el mantenimiento y uso adecuado de la infraestructura
tecnológica de las entidades. Los temas a considerar son:
1. Definición de procedimientos para mantenimiento y liberación de software
de aplicación por planeación, por cambios a las disposiciones legales y
normativas, por corrección y mejoramiento de los mismos o por requerimientos
de los usuarios.
2. Los cambios que se realicen en procedimientos, procesos, sistemas y acuerdos de
servicios serán registrados, evaluados y autorizados de forma previa a su
implantación a fin de disminuir los riesgos de integridad del ambiente de
producción. El detalle e información de estas modificaciones serán registrados
en su correspondiente bitácora e informados a todos los actores y usuarios
finales relacionados, adjuntando las respectivas evidencias.
3. Control y registro de las versiones del software que ingresa a producción.
4. Actualización de los manuales técnicos y de usuario por cada cambio o
mantenimiento que se realice, los mismos que estarán en constante difusión y
publicación.
5. Se establecerán ambientes de desarrollo/pruebas y de producción
independientes; se implementarán medidas y mecanismos lógicos y físicos
de seguridad para proteger los recursos y garantizar su integridad y
disponibilidad a fin de proporcionar una infraestructura de tecnología de
información confiable y segura.
6. Se elaborará un plan de mantenimiento preventivo y/o correctivo de la
infraestructura tecnológica sustentado en revisiones periódicas y monitoreo en
función de las necesidades organizacionales (principalmente en las
aplicaciones críticas de la organización), estrategias de actualización de
hardware y software, riesgos, evaluación de vulnerabilidades y requerimientos de
seguridad.
7. Se mantendrá el control de los bienes informáticos a través de un inventario
actualizado con el detalle de las características y responsables a cargo, conciliado
con los registros contables.
8. El mantenimiento de los bienes que se encuentren en garantía será
proporcionado por el proveedor, sin costo adicional para la entidad.
410-10 Seguridad de la tecnología de información
La Unidad de Tecnología de Información, establecerá mecanismos que protejan y
salvaguarden contra pérdidas y fugas los medios físicos y la información que se
procesa mediante sistemas informáticos, para ello se aplicarán al menos las siguientes
medidas:
1. Ubicación adecuada y control de acceso físico a la Unidad de Tecnología
de Información y en especial a las áreas de: servidores, desarrollo y bibliotecas.
2. Definición de procedimientos de obtención periódica de respaldos en función
a un cronograma definido y aprobado.
3. En los casos de actualización de tecnologías de soporte se migrará la
información a los medios físicos adecuados y con estándares abiertos para
garantizar la perpetuidad de los datos y su recuperación.
4. Almacenamiento de respaldos con información crítica y/o sensible en lugares
externos a la organización.
5. Implementación y administración de seguridades a nivel de software y hardware,
que se realizará con monitoreo de seguridad, pruebas periódicas y acciones
correctivas sobre las vulnerabilidades o incidentes de seguridad identificados.
6. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo
especializado para monitorear y controlar fuego, mantener ambiente con
temperatura y humedad relativa del aire controlado, disponer de energía
acondicionada, esto es estabilizada y polarizada, entre otros.
7. Consideración y disposición de sitios de procesamiento alternativos
8. Definición de procedimientos de seguridad a observarse por parte del personal
que trabaja en turnos por la noche o en fin de semana.
410-11 Plan de contingencias
Corresponde a la Unidad de Tecnología de Información la definición, aprobación e
implementación de un plan de contingencias que describa las acciones a tomar en caso de
una emergencia o suspensión en el procesamiento de la información por problemas en los
equipos, programas o personal relacionado.
Los aspectos a considerar son:
1. Plan de respuesta a los riesgos que incluirá la definición y asignación de roles
críticos para administrar los riesgos de tecnología de información, escenarios de
contingencias, la responsabilidad específica de la seguridad de la información, la
seguridad física y su cumplimiento.
2. Plan de respuesta a los riesgos que incluirá la definición y asignación de roles
críticos para administrar los riesgos de tecnología de información, escenarios de
contingencias, la responsabilidad específica de la seguridad de la información, la
seguridad física y su cumplimiento.
3. Plan de continuidad de las operaciones que contemplará la puesta en marcha de
un centro de cómputo alterno propio o de uso compartido en un Data Center
Estatal, mientras dure la contingencia con el restablecimiento de las
comunicaciones y recuperación de la información de los respaldos.
4. Plan de recuperación de desastres que comprenderá:
  Actividades previas al desastre (bitácora de operaciones).
 Actividades durante el desastre (plan de emergencias, entrenamiento).
 Actividades después del desastre.
5. Es indispensable designar un comité con roles específicos y nombre de los
encargados de ejecutar las funciones de contingencia en caso de suscitarse una
emergencia.
6. El plan de contingencias será un documento de carácter confidencial que describa
los procedimientos a seguir en caso de una emergencia o fallo computacional que
interrumpa la operatividad de los sistemas de información. La aplicación del plan
permitirá recuperar la operación de los sistemas en un nivel aceptable, además de
salvaguardar la integridad y seguridad de la información.
7. El plan de contingencias aprobado, será difundido entre el personal responsable
de su ejecución y deberá ser sometido a pruebas, entrenamientos y evaluaciones
periódicas, o cuando se haya efectuado algún cambio en la configuración de los
equipos o el esquema de procesamiento.
410-12 Administración de soporte de tecnología de información
La Unidad de Tecnología de Información definirá, aprobará y difundirá procedimientos
de operación que faciliten una adecuada administración del soporte tecnológico y
garanticen la seguridad, integridad, confiabilidad y disponibilidad de los recursos y datos,
tanto como la oportunidad de los servicios tecnológicos que se ofrecen.
Los aspectos a considerar son:
1. Revisiones periódicas para determinar si la capacidad y desempeño actual y futuro
de los recursos tecnológicos son suficientes para cubrir los niveles de servicio
acordados con los usuarios.
2. Seguridad de los sistemas bajo el otorgamiento de una identificación única a todos
los usuarios internos, externos y temporales que interactúen con los sistemas y
servicios de tecnología de información de la entidad.
3. Estandarización de la identificación, autenticación y autorización de los usuarios,
así como la administración de sus cuentas.
4. Revisiones regulares de todas las cuentas de usuarios y los privilegios asociados
a cargo de los dueños de los procesos y administradores de los sistemas de
tecnología de información.
5. Medidas de prevención, detección y corrección que protejan a los sistemas de
información y a la tecnología de la organización de software malicioso y virus
informáticos.
6. Definición y manejo de niveles de servicio y de operación para todos los procesos
críticos de tecnología de información sobre la base de los requerimientos de los
usuarios o clientes internos y externos de la entidad y a las capacidades
tecnológicas.
7. Alineación de los servicios claves de tecnología de información con los
requerimientos y las prioridades de la organización sustentados en la revisión,
monitoreo y notificación de la efectividad y cumplimiento de dichos acuerdos.
8. Administración de los incidentes reportados, requerimientos de servicio y
solicitudes de información y de cambios que demandan los usuarios, a través de
 mecanismos efectivos y oportunos como mesas de ayuda o de servicios, entre
otros.
9. Mantenimiento de un repositorio de diagramas y configuraciones de hardware y
software actualizado que garantice su integridad, disponibilidad y faciliten una
rápida resolución de los problemas de producción.
10. Administración adecuada de la información, librerías de software, respaldos y
recuperación de datos.
11. Incorporación de mecanismos de seguridad aplicables a la recepción,
procesamiento, almacenamiento físico y entrega de información y de mensajes
sensitivos, así como la protección y conservación de información utilizada para
encriptación y autenticación.
410-13 Monitoreo y evaluación de los procesos y servicios
Es necesario establecer un marco de trabajo de monitoreo y definir el alcance, la
metodología y el proceso a seguir para monitorear la contribución y el impacto de
tecnología de información en la entidad.
La Unidad de Tecnología de Información definirá sobre la base de las operaciones de la
entidad, indicadores de desempeño y métricas del proceso para monitorear la gestión y
tomar los correctivos que se requieran.
410-14 Sitio web, servicios de internet intranet
Es responsabilidad de la Unidad de Tecnología de Información elaborar las normas,
procedimientos e instructivos de instalación, configuración y utilización de los servicios
de internet, intranet, correo electrónico y sitio web de la entidad, a base de las
disposiciones legales y normativas y los requerimientos de los usuarios externos e
internos.
La Unidad de Tecnología de Información considerará el desarrollo de aplicaciones web
y/o móviles que automaticen los procesos o trámites orientados al uso de instituciones y
ciudadanos en general.
410-15 Capacitación informática
Las necesidades de capacitación serán identificadas tanto para el personal de
tecnología de información como para los usuarios que utilizan los servicios de
información, las cuales constarán en un plan de capacitación informático, formulado
conjuntamente con la Unidad de Talento Humano. El plan estará orientado a los puestos
de trabajo y a las necesidades de conocimiento específicas determinadas en la
evaluación de desempeño e institucionales.
410-16 Comité informático
Para la creación de un comité informático institucional, se considerarán los siguientes
aspectos:
1. El tamaño y complejidad de la entidad y su interrelación con entidades adscritas.
2. La definición clara de los objetivos que persigue la creación de un Comité de
Informática, como un órgano de decisión, consultivo y de gestión que tiene como
propósito fundamental definir, conducir y evaluar las políticas internas para el
 crecimiento ordenado y progresivo de la tecnología de la información y la
calidad de los servicios informáticos, así como apoyar en esta materia a las
unidades administrativas que conforman la entidad.
3. La conformación y funciones del comité, su reglamentación, la creación de
grupos de trabajo, la definición de las atribuciones y responsabilidades de los
miembros del comité, entre otros aspectos.
410-07 Firmas electrónicas
Las entidades, organismos y dependencias del sector público, así como las personas
jurídicas que actúen en virtud de una potestad estatal, ajustarán sus procedimientos y
operaciones e incorporarán los medios técnicos necesarios, para permitir el uso de
la firma electrónica de conformidad con la Ley de Comercio Electrónico, Firmas y
Mensajes de Datos y su reglamento.
El uso de la firma electrónica en la administración pública se sujetará a
las garantías, reconocimiento, efectos y validez señalados en estas disposiciones
legales y su normativa secundaria de aplicación.
Para el aspecto de firmas electrónicas, se considerarán los siguientes aspectos:
1. Verificación de autenticidad de la firma electrónica.
2. Coordinación interinstitucional de formatos para uso de la firma electrónica.
3. Conservación de archivos electrónicos.
4. Actualización de datos de los certificados de firmas electrónicas.
5. Seguridad de los certificados y dispositivos portables seguros.
6. Renovación del certificado de firma electrónica.
7. Capacitación en el uso de las firmas electrónicas.

Bibliografía

[1] C. G. D. Estado, «Normas de Control Interno De La Contraloria General Del Estado,» 14

Diciembre 2009. [En línea]. Available:
https://www.oas.org/juridico/PDFs/mesicic5_ecu_ane_cge_12_nor_con_int_400_cge.pdf.
[Último acceso: 09 Enero 2019].