TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo...

34
TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Estado Libre Asociado de Puerto Rico Rico OFICINA DEL CONTRALOR OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos del Gobierno 6 de mayo de 2008 Autorizado por la Comisión Estatal de Elecciones, CEE-SA-08-8173

Transcript of TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo...

Page 1: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

TECNOLOGÍA DE INFORMACIÓN

Estado Libre Asociado de Puerto RicoEstado Libre Asociado de Puerto Rico

OFICINA DEL CONTRALOROFICINA DEL CONTRALOR

Ricardo Acosta AcostaAuditor Senior

Adiestramiento Auditores Internos del Gobierno 6 de mayo de 2008

Autorizado por la Comisión Estatal de Elecciones, CEE-SA-08-8173

Page 2: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Temas a discutirTemas a discutir

Leyes y Reglamentos Función de la Unidades de

Auditoría Interna Áreas a examinarse en las

Auditorías de Tecnología de Información

Hallazgos más frecuentes en el área de Tecnología de Informática

Page 3: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Leyes y ReglamentosLeyes y Reglamentos

AICPA emitió el SAS 94 en año 2001, titulado, "El Efecto de la Tecnología de la Información en la Consideración del Ambiente de Control Interno por parte de los Auditores en las Auditorías Financieras."

Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004

Page 4: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Proveer a los Activos de Informática lo siguiente:

Confidencialidad (Confidentiality)

Integridad (Integrity)

Disponibilidad (Availability)

Enfoque de las AuditoríasEnfoque de las Auditoríasde Tecnología de Informaciónde Tecnología de Información

Page 5: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Función de la UnidadesFunción de la Unidadesde Auditoría Internade Auditoría Interna

Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados.

Participar en la adquisición, desarrollo e implantación de sistemas de información. (Controles)

La utilización de herramientas CAAT’s en las auditorías.

Page 6: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Técnicas de Auditorías Asistidas Técnicas de Auditorías Asistidas por la Computadora (CAAT) por la Computadora (CAAT)

Evaluar las Bases de Datos

Definir los objetivos

Se solicita una certificación de los datos.

Evalúan las herramienta a utilizar (IDEA, ACL y Access, entre otras)

Page 7: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Técnicas de Auditorías Asistidas Técnicas de Auditorías Asistidas por la Computadora (CAAT) (cont.)por la Computadora (CAAT) (cont.) Beneficios

Se puede examinar el 100% del universo

Disminuye el riesgo de la Auditoría Reduce el tiempo de la Auditoría Mayor independencia y objetividad Identificación de las excepciones

Page 8: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Plan de AutomatizaciónPlan de Automatización

Estudio de necesidades

Objetivos

Beneficios

Estructura administrativa

Page 9: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Plan de Automatización (cont.)Plan de Automatización (cont.)

Alternativas y costos

Adquisición de equipos y programas

Recursos humanos

Page 10: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

ComprasCompras

Especificaciones claras y precisas

Que cumplan con las necesidades del área que solicita la compra

Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004

Page 11: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

ContratosContratos

Contratos completos (todas las cláusulas)

Verificar si el contratista rindió informes de la labor realizada.

Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista.

Asegurarse si el contratista cumplió con los términos del contrato.

Page 12: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Controles GeneralesControles Generales

Normas y procedimientos escritos preparados por la entidad y organismos rectores

Seguridad física y lógica

Documentación

Page 13: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Controles Generales (cont.)Controles Generales (cont.)

Detección de programas sin licencia de uso

Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas)

Procedimiento para el manejo y disposición de medios electrónicos de almacenamiento

Page 14: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Controles Generales (cont.)

Backups de archivos, programas y equipo

Controles administrativos y operacionales

Plan de contingencia

Page 15: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Controles de AplicacionesControles de Aplicaciones

Entrada, procesamiento y salida

de datos Uso de formularios de control

Validación de datos

Segregación de tareas y deberes

Supervisión adecuada

Restricción de acceso por niveles

Page 16: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Controles de Aplicaciones (cont.)Controles de Aplicaciones (cont.)

Verificación de controles programados

Reprocesamiento de transacciones rechazadas

Control sobre documentos fiscales (cheques, licencias, etc.)

Audit Trail

Page 17: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

MicrocomputadorasMicrocomputadoras Ver que se establezcan normas y

procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: Controles de acceso Controles para evitar el uso de

programas no autorizados Controles para evitar el uso no

autorizado

Page 18: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Microcomputadoras (cont.)Microcomputadoras (cont.)

Procedimientos para asignar contraseñas

Procedimientos para la rotulación de disquetes

Procedimientos de backups

Page 19: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Microcomputadoras (cont.)Microcomputadoras (cont.)

Controles para la prevención y detección de virus y antispyware de computadoras

Inventario de programas Instalados

Establecer advertencia para el uso de los sistemas de información computadorizados

(Carta Circular OC-98-11 emitida por el Contralor el 18 de mayo de 1998)

Page 20: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Red de Comunicación LocalRed de Comunicación Local

Verificar que: se hayan establecido

procedimientos para administrar, utilizar y modificar la misma, y que se sigan los mismos.

se haya instalado una computadora que sirva como equipo de reserva para el servidor principal.

La documentación este actualizada.

Page 21: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

InternetInternet

Normas y Procedimientos

Fireware instalado y configurado

Anti-Spyware

Page 22: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Plan de Recuperación de DesastrePlan de Recuperación de Desastre

Análisis del Impacto al negocio

Clasificar la información

Cuantificar y cualificar el impacto

de datos

Identificar las posibles perdidas

Identificar todos los escenarios

Page 23: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Plan de Recuperación Plan de Recuperación de Desastre (cont.)de Desastre (cont.)

Backups de archivos, programas,

documentación y equipo

Equipo de repuesta

Realizar pruebas y actualizar el

plan

Tener un plan para continuar las

operaciones

Page 24: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Seguridad Lógica y FísicaSeguridad Lógica y Física

Control inefectivo de los códigos de acceso al sistema

Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas

No establecían un procedimiento para la destrucción o disposición de discos, cintas e informes de carácter confidencial.

Page 25: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Hallazgos más frecuentes en las áreas de Tecnología de Informática

Page 26: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

OrganizacionalesOrganizacionales Falta de norma para el uso de los

Sistema de Información

La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema

Ausencia de un contrato de mantenimiento para el equipo del Sistema

Page 27: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

ContratosContratos

Deficiencias en la contratación de servicios

Compras sin subastas

Conflictos de intereses al contratar firma de consultores

Page 28: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

MicrocomputadorasMicrocomputadoras

No se habían establecido normas y procedimientos para regular el uso y el manejo eficaz de las microcomputadoras.

Utilización de microcomputadoras del Municipio para fines ajenos al interés público

Instalación de programas sin licencias de uso

Page 29: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Plan de ContingenciaPlan de Contingencia

Falta de un plan de contingencias

Deficiencias relacionadas con la implantación del plan de contingencias

No están actualizados No le realizan pruebas

Page 30: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

ResguardosResguardos

Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas.

Falta de resguardos de archivos, programas y datos fuera del centro.

No le realizan pruebas a los archivos de resguardos

Page 31: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Sesión Sesión de preguntas de preguntas

¿?

Page 32: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Información AdicionalInformación Adicional

Contralor de Puerto Rico (http://www.ocpr.gov.pr) Políticas para la implantación de tecnologías de

información del Gobierno Electrónico. (http://www.ogp.gobierno.pr)

Information Systems Audit and Control Association (http://www.isaca.org)

Page 33: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus órdenes...

Myriam Rivera PérezDirectoraDivisión de Auditoríasde MunicipiosTel. (787) 200-7252, ext. 561

PO Box 366069San Juan, PR 00936-6069

Contacto con la OCPR

Page 34: TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos.

Contraloría a sus Contraloría a sus órdenes...órdenes...