INTRODUCCIÓN
La metodología para la evaluación de las Normas de Control Interno de TI para las entidades del sector público en la república del Ecuador, bajo el enfoque CITI (Control Integrado de Tecnologías de la Información), establece de forma general las relaciones entre las Normas de Control Interno emitidas por la Contraloría General del Estado, el proceso administrativo y de los principales indicadores de gestión.
Uno de los propósitos es determinar el alineamiento que tienen las Normas de Control Interno de TI, con respecto a los elementos del proceso administrativo y a los indicadores de gestión, en esa misma relación el enfoque a su vez entrega como resultado varias posibilidades de análisis para la evaluación, que visto desde el práctica sistémica, se muestra en la Figura 1.
 
Es fundamental realizar esta referencia ya que la Gestión de Tecnologías de la Información desde una perspectiva del Control tiene también un enfoque sistémico en el que se relacionan los 3 elementos ya observados:

1. Normas de Control Interno de Tecnologías de la Información (17 normas de aplicación)
2. El Proceso Administrativo (planificación, organización, dirección y control)
3. Indicadores de Gestión de Tecnologías de la Información (eficacia, eficiencia y calidad)

En concordancia a los elementos que la integran, la metodología para la evaluación de las Normas de Control Interno de Tecnologías de la Información, bajo el enfoque CITI, establece 4 dominios determinados por los elementos de la Gestión de TI (planificación, organización, dirección y control), 17 objetivos de control definidos por las Normas de Control Interno de Tecnologías de la Información, y 70 indicadores, los mismos que se observarán en la aplicación de la metodología. El alineamiento que se genera entre todos los elementos, permite realizar análisis de tipo horizontal y vertical, este se muestra en la Figura 2.

Una vez definido el enfoque, se plantea los componentes de la Metodología para la evaluación de la Normas de Control Interno de Tecnologías de la Información en el Sector Público que consta de seis etapas que se muestran en la Figura 3.

Es importante mencionar que dentro de la programación de la etapas, estas se realizan de manera secuencial, dejando al conocimiento, experiencia y habilidad de los encargados de llevar a cabo la aplicación de esta metodología, para realizar tareas y subtareas de manera simultánea.

APLICACIÓN DE LA METODOLOGÍA BAJO EL ENFOQUE CITI, EN EL GOBIERNO AUTÓNOMO DESCENTRALIZADO MUNICIPAL DE RIOBAMBA
El Ilustre Municipio del Cantón Riobamba, fue creado el 15 de agosto de 1534, fecha en la que se instaló el Primer Cabildo en el pueblo de Riobamba; según mandato del Señor Mariscal Don Diego de Almagro, como consta en el Acta Copia del Libro del Cabildo Antiguo.
La Asamblea Nacional, de conformidad con las atribuciones que le confiere la Constitución de la República del Ecuador y la Ley Orgánica de la Función Legislativa, discutió y aprobó el “Código Orgánico de Organización Territorial, Autonomía y Descentralización”, el cual entró en vigencia a partir del 19 de octubre de 2010, y fue publicado en el Registro Oficial Nro. 303 de igual fecha.
El Consejo Municipal de Riobamba, en sesión realizada el 7 de noviembre de 2011, resolvió que se denomine a la Municipalidad de Riobamba, como Gobierno Autónomo Descentralizado Municipal de Riobamba, pudiendo identificárselo como GADM Riobamba, según Resolución 2011-345-SEC de 8 de noviembre de 2011.
El Departamento de Sistemas empezó a funcionar, entre el año de 1990 y 1992, cuando se encontraba desempeñando sus funciones como Alcalde el Lic. José Mancero, y como bien manifiesta  la Ordenanza N° 009-2007 de la Estructura Orgánica y Funcional de la Ilustre Municipalidad del Cantón Riobamba, se encontraba en el nivel operativo, en el área de apoyo administrativo, desprendiéndose de la Dirección Administrativa y Recursos Humanos.
Mediante la Resolución Administrativa N° 2014-026-SEC, se aprueba la estructura orgánica por procesos del Gobierno Autónomo Descentralizado Municipal de Riobamba, que es una herramienta técnica administrativa basada en procesos. La Gestión de Tecnologías de la Información se ubica dentro de los procesos habilitantes de apoyo y es la encargada de planificar, organizar, dirigir, ejecutar y asesorar aspectos relacionados con la gestión automática de la información dotando de modelos para la organización, seguridad e integridad de la información institucional.
Etapa 1. Definición del alcance.
Es preciso conocer las generalidades del GADMR, por lo que se muestra en la Tabla 1, una revisión del alineamiento estratégico de la organización en mención.

Blanco (2012), indica que uno de los primeros pasos en un proceso de control es la definición del alcance de la evaluación, y acorde a la descripción efectuada y luego de realizar un análisis de la información obtenida mediante observación directa, entrevistas y encuestas es posible establecer el Formulario de Alineamiento de las Normas de Control Interno al GADMR (Tabla 2).

La Dirección de Gestión de Tecnologías de la Información del Gobierno Autónomo Descentralizado Municipal de Riobamba aplica los parámetros establecidos para la ejecución propuesta por el autor del presente trabajo de aplicación.
Etapa 2. Definición y diseño de indicadores de Tecnologías de la Información.
En la Etapa 2, de la propuesta metodológica se definen y diseñan los indicadores, los mismos que, para su validación se aplican al Gobierno Autónomo Descentralizado Municipal de Riobamba.
Etapa 3. Política de adopción de uso de indicadores y definición de estándares.
Tarea 1. Declaración de adopción de uso de indicadores.
Se lo realiza mediante resolución emitida por Ing. Edwin Pombosa, Director Administrativo del GADMR.
Tarea 2. Definición de estándares para cada indicador.
En razón se realizarse la primera aplicación de la metodología, el equipo de técnicos de la institución evaluada conjuntamente con el equipo de investigación, determinar que los estándares se establecen al 100% para su cumplimiento, según lo planificado.

Etapa 4. Medición de indicadores de TI.
A continuación se efectúa la medición de los indicadores, los mismos que se exponen en la Tabla 3.
Paso 1. Análisis del Tablero de Control de Indicadores.
Siguiendo la metodología propuesta se presenta en la Tabla 4, los tableros de control para el caso GADM Riobamba, con respecto a: asesoría informática y planes de contingencia.
Paso 2. Análisis bajo el Enfoque de Control Integrado de Tecnologías de la Información.
Tarea 1. Tabulación de indicadores.
En la Tabla 5, se presenta los 70 indicadores tabulados, de esta, se alimentan las demás etapas de la metodología.
La tabla una vez tabulada muestra las valoraciones obtenidas de la medición de los indicadores por cada una de la NCI-TI, al mismo tiempo se puede visualizar como tributan en  relación a los indicadores de gestión (eficacia, eficiencia y calidad).
De igual forma, en la Tabla 6, se calculan los  niveles de confianza por cada norma mediante el promedio del resultado de los indicadores.
Tarea 2. Elaboración de la matriz de medición de cumplimiento general por norma.
En esta parte del proceso, se puede observar que existen normas y por ende objetivos de control que no se cumplen, como es el caso de: la planificación estratégica de tecnología, segregación de funciones, plan de contingencias, capacitación informática, firmas electrónicas, comité informático que presentan niveles de confianza bajos, estos aspectos merecen atención, para que no afecten el normal desarrollo de las actividades en el GADM Riobamba.
El plan informático estratégico de tecnología se cumple parcialmente, presenta un nivel de confianza bajo correspondiente al 39% y un de riego alto con el 61%, Figura 4; mientras que, el plan de contingencias como la segregación de funciones presentan el nivel más bajo de confianza que es de 0%, Figura 5 y 7, lo que significa que durante la evaluación se determinó que no se aplican las Normas de Control Interno de TI correspondientes, no existen planes de contingencias y el comité informático no se encuentra conformado. La Figura 6 muestra los procesos de asesoría que se cumplen en su totalidad por tal razón la Organización informática se encuentra con un nivel de confianza alto del 100%.

Tarea 3. Matriz para el cálculo del nivel de confianza general de la evaluación de las NCI-TI.
Esta Tarea es una de las más relevantes, en la práctica en esta se calcula el nivel de confianza de todo el proceso de control, ver Tabla 7.
Según la metodología el, donde:
CT = 60 y PT = 100, se tiene:, dando como resultado NC = 60%
El nivel de riesgo es igual a NR = 100% - NC, entonces:
NR = 100% - 60%, dando como resultado NR = 40%
Tarea 4. Análisis relacionado a los componentes del proceso administrativo.

En la Tabla 8, a partir del nivel de confianza de cada norma, por agrupación y aplicando el promedio a cada dominio, se obtiene los niveles de confianza para cada elemento del proceso administrativo: planificación (39%), organización (63%), dirección (0%) y control (78%).
Evidentemente el de mayor preocupación constituye la dirección, esto se debe a que no se encuentra conformado el comité informático, presentando un nivel de riesgo alto; al mismo tiempo la planificación se encuentra con un nivel de riesgo alto y la organización y el control se hallan en un nivel de confianza y riesgo moderado, es una situación que preocupa porque existen deficiencias en el cumplimiento de Normas de Control Interno de TI, afecta los bajos niveles de cumplimiento que se tiene en el plan de contingencias, capacitación informática y firmas electrónicas.
En la Figura 9 se hace un resumen del análisis de las Normas de Control Interno enfocado al proceso administrativo.
Especial atención merece la conformación del Comité Informático, que en una institución tan grande como el GADMR, se torna indispensable para poder articular tareas de asesoría a la máxima autoridad y de apoyo a las unidades usuarias.
Tarea 5. Análisis relacionado a los indicadores de eficacia, eficiencia y calidad.

Según los resultados se obtiene: eficacia (49%), eficiencia (72%) y calidad (77%). La figura 10, resume el análisis realizado de las Normas de Control Interno asociado a los indicadores de gestión.
Si se ubican los resultados dentro de la tabla de identificación del nivel de confianza y riesgo, se puede establecer que la eficacia se encuentra con un nivel de confianza bajo y la eficacia y calidad en nivel de confianza y riesgo moderado. En el primer caso deja claro que el cumplimiento de metas y objetivos no se están cumpliendo conforme lo planificado.

Paso 3. Determinación de hallazgos.

El análisis de la información anterior permitió determinar ocho hallazgos:

• Falta de delimitación de funciones y responsabilidades.
• Ausencia de indicadores de desempeño.
• Inexistencia de un modelo de información departamental.
• Infraestructura tecnológica desactualizada.
• Plan de mantenimiento preventivo y correctivo no aprobado.
• Falta de un plan de contingencias.
• No se han definido procedimientos para medir la satisfacción de los usuarios.
• Falta de un Comité Informático.

A continuación se presenta la forma de tratamiento y aplicación del hallazgo según la metodología, se detallan la condición, el criterio, la causa y el efecto de cada hallazgo.

Etapa 6. Plan de Mejoras.

Planteado por Subía (2013), se detalla para cada hallazgo una recomendación, las actividades a ejecutar, su fecha de inicio y finalización de actividades, medios de verificación y responsable de la ejecución de cada una de las tareas correspondientes para la corrección de los problemas encontrados.
Como demostración de la aplicación de la metodología en la Tabla 11, se muestra el Plan de Mejora de tres hallazgos analizados:
La aplicación de la metodología propuesta en la GADMR mostró su validez, al haberse aplicado todas las fases del proceso.

CONCLUSIONES

• La Metodología, se puede convertir en una herramienta referente; la cual por su contenido tiene la capacidad de trascender las fronteras hacia cualquier organización del sector público, al tomar como línea base las Normas de Control Interno de la Contraloría General del Estado, que son de cumplimiento obligatorio para todas las instituciones del sector público en el Ecuador.
• Queda demostrada su aplicabilidad al haber validado la metodología en el Gobierno Autónomo Descentralizado Municipal de Riobamba, a través de este estudio, queda demostrada su aplicabilidad y su novedad y el aporte que desde el campo teórico, metodológico práctico, se convierte en una herramienta para elevar el desempeño organizacional.
• El nivel de confianza en Gestión de Tecnologías de la Información en el GADM Riobamba, en cuanto a la aplicación de las normas de control interno es del 60% y de riesgo del 40%.
• Las Normas de Control Interno de TI, en relación al proceso administrativo se presentan razonables excepto la función de Dirección que no cumple con lo que determina la Norma 410-16; y en cuanto a los indicadores de gestión, el nivel de confianza en relación a la eficacia llega a un 49% ubicándole en el rango bajo, esto significa que el cumplimiento de objetivos en relación a la Gestión de TI no se cumplen de forma razonable.

BIBLIOGRAFÍA

• Blanco, Y. (2012), Auditoría Integral normas y procedimientos, Segunda Edición, Ecoe Ediciones, Bogotá, Colombia.
• Cadena Oleas, B. N. (2013), Examen de Auditoría Integral a la Gestión de Tecnologías de la Información del Gobierno Autónomo Descentralizado Municipal de Riobamba, Tesis de Maestría, Universidad Técnica Particular de Loja, Riobamba, Ecuador.
• Cadena, N. (2016), Metodología para la evaluación de las Normas de Control Interno de Tecnologías de la Información en las entidades del sector público del Ecuador. (Tesis de doctorado). Universidad de la Habana. La Habana, Cuba.
• Gobierno Autónomo Descentralizado Municipal de Riobamba (2011), Resolución 2011-345-SEC. Cambio de denominación de la Municipalidad de Riobamba, Chimborazo, Ecuador.
• Gobierno Autónomo Descentralizado Municipal Riobamba (1534), Acta Copia del Libro del Cabildo Antiguo, Chimborazo, Ecuador.
• Gobierno Autónomo Descentralizado Municipal Riobamba (2007), Ordenanza N° 009-2007. Estructura Orgánica y Funcional de la Ilustre Municipalidad del Cantón Riobamba, Chimborazo, Ecuador.
• Gobierno Autónomo Descentralizado Municipal Riobamba (2007), Ordenanza N° 009-2007. Estructura Orgánica y Funcional de la Ilustre Municipalidad del Cantón Riobamba, Riobamba, Ecuador.
• Gobierno Autónomo Descentralizado Municipal Riobamba (2014), Resolución Administrativa N° 2014-026-SEC. Estructura Orgánica por procesos, Chimborazo, Ecuador.
• Normas de Control Interno emitidos por la Contraloría General del Estado (2009), disponible en: http://www.contraloria.gob.ec/documentos/normatividad/ACUERDO%20039%20CG%202009%205%20Normas
  %20de%20Control%20Interno.pdf, consulta: 22/6/2013. 
• Subía, J. (2013), Auditoría de Gestión, Primera Edición, Ediloja, Loja, Ecuador.