TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo...

TECNOLOGÍA DE INFORMACIÓN

Estado Libre Asociado de Puerto RicoEstado Libre Asociado de Puerto Rico

OFICINA DEL CONTRALOROFICINA DEL CONTRALOR

Ricardo Acosta AcostaAuditor Senior

Adiestramiento Auditores Internos del Gobierno 6 de mayo de 2008

Autorizado por la Comisión Estatal de Elecciones, CEE-SA-08-8173

Contraloría a sus órdenes...

Temas a discutirTemas a discutir

Leyes y Reglamentos Función de la Unidades de

Auditoría Interna Áreas a examinarse en las

Auditorías de Tecnología de Información

Hallazgos más frecuentes en el área de Tecnología de Informática


Leyes y ReglamentosLeyes y Reglamentos

AICPA emitió el SAS 94 en año 2001, titulado, "El Efecto de la Tecnología de la Información en la Consideración del Ambiente de Control Interno por parte de los Auditores en las Auditorías Financieras."

Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004


Proveer a los Activos de Informática lo siguiente:

Confidencialidad (Confidentiality)

Integridad (Integrity)

Disponibilidad (Availability)

Enfoque de las AuditoríasEnfoque de las Auditoríasde Tecnología de Informaciónde Tecnología de Información


Función de la UnidadesFunción de la Unidadesde Auditoría Internade Auditoría Interna

Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados.

Participar en la adquisición, desarrollo e implantación de sistemas de información. (Controles)

La utilización de herramientas CAAT’s en las auditorías.


Técnicas de Auditorías Asistidas Técnicas de Auditorías Asistidas por la Computadora (CAAT) por la Computadora (CAAT)

Evaluar las Bases de Datos

Definir los objetivos

Se solicita una certificación de los datos.

Evalúan las herramienta a utilizar (IDEA, ACL y Access, entre otras)


Técnicas de Auditorías Asistidas Técnicas de Auditorías Asistidas por la Computadora (CAAT) (cont.)por la Computadora (CAAT) (cont.) Beneficios

Se puede examinar el 100% del universo

Disminuye el riesgo de la Auditoría Reduce el tiempo de la Auditoría Mayor independencia y objetividad Identificación de las excepciones


Plan de AutomatizaciónPlan de Automatización

Estudio de necesidades

Objetivos

Beneficios

Estructura administrativa


Plan de Automatización (cont.)Plan de Automatización (cont.)

Alternativas y costos

Adquisición de equipos y programas

Recursos humanos


ComprasCompras

Especificaciones claras y precisas

Que cumplan con las necesidades del área que solicita la compra

Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004


ContratosContratos

Contratos completos (todas las cláusulas)

Verificar si el contratista rindió informes de la labor realizada.

Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista.

Asegurarse si el contratista cumplió con los términos del contrato.


Controles GeneralesControles Generales

Normas y procedimientos escritos preparados por la entidad y organismos rectores

Seguridad física y lógica

Documentación


Controles Generales (cont.)Controles Generales (cont.)

Detección de programas sin licencia de uso

Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas)

Procedimiento para el manejo y disposición de medios electrónicos de almacenamiento


Controles Generales (cont.)

Backups de archivos, programas y equipo

Controles administrativos y operacionales

Plan de contingencia


Controles de AplicacionesControles de Aplicaciones

Entrada, procesamiento y salida

de datos Uso de formularios de control

Validación de datos

Segregación de tareas y deberes

Supervisión adecuada

Restricción de acceso por niveles


Controles de Aplicaciones (cont.)Controles de Aplicaciones (cont.)

Verificación de controles programados

Reprocesamiento de transacciones rechazadas

Control sobre documentos fiscales (cheques, licencias, etc.)

Audit Trail


MicrocomputadorasMicrocomputadoras Ver que se establezcan normas y

procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: Controles de acceso Controles para evitar el uso de

programas no autorizados Controles para evitar el uso no

autorizado


Microcomputadoras (cont.)Microcomputadoras (cont.)

Procedimientos para asignar contraseñas

Procedimientos para la rotulación de disquetes

Procedimientos de backups


Microcomputadoras (cont.)Microcomputadoras (cont.)

Controles para la prevención y detección de virus y antispyware de computadoras

Inventario de programas Instalados

Establecer advertencia para el uso de los sistemas de información computadorizados

(Carta Circular OC-98-11 emitida por el Contralor el 18 de mayo de 1998)


Red de Comunicación LocalRed de Comunicación Local

Verificar que: se hayan establecido

procedimientos para administrar, utilizar y modificar la misma, y que se sigan los mismos.

se haya instalado una computadora que sirva como equipo de reserva para el servidor principal.

La documentación este actualizada.


InternetInternet

Normas y Procedimientos

Fireware instalado y configurado

Anti-Spyware


Plan de Recuperación de DesastrePlan de Recuperación de Desastre

Análisis del Impacto al negocio

Clasificar la información

Cuantificar y cualificar el impacto

de datos

Identificar las posibles perdidas

Identificar todos los escenarios


Plan de Recuperación Plan de Recuperación de Desastre (cont.)de Desastre (cont.)

Backups de archivos, programas,

documentación y equipo

Equipo de repuesta

Realizar pruebas y actualizar el

plan

Tener un plan para continuar las

operaciones


Seguridad Lógica y FísicaSeguridad Lógica y Física

Control inefectivo de los códigos de acceso al sistema

Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas

No establecían un procedimiento para la destrucción o disposición de discos, cintas e informes de carácter confidencial.


Hallazgos más frecuentes en las áreas de Tecnología de Informática


OrganizacionalesOrganizacionales Falta de norma para el uso de los

Sistema de Información

La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema

Ausencia de un contrato de mantenimiento para el equipo del Sistema


ContratosContratos

Deficiencias en la contratación de servicios

Compras sin subastas

Conflictos de intereses al contratar firma de consultores


MicrocomputadorasMicrocomputadoras

No se habían establecido normas y procedimientos para regular el uso y el manejo eficaz de las microcomputadoras.

Utilización de microcomputadoras del Municipio para fines ajenos al interés público

Instalación de programas sin licencias de uso


Plan de ContingenciaPlan de Contingencia

Falta de un plan de contingencias

Deficiencias relacionadas con la implantación del plan de contingencias

No están actualizados No le realizan pruebas


ResguardosResguardos

Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas.

Falta de resguardos de archivos, programas y datos fuera del centro.

No le realizan pruebas a los archivos de resguardos


Sesión Sesión de preguntas de preguntas

¿?


Información AdicionalInformación Adicional

Contralor de Puerto Rico (http://www.ocpr.gov.pr) Políticas para la implantación de tecnologías de

información del Gobierno Electrónico. (http://www.ogp.gobierno.pr)

Information Systems Audit and Control Association (http://www.isaca.org)

http://www.ogp.gobierno.pr/




Myriam Rivera PérezDirectoraDivisión de Auditoríasde MunicipiosTel. (787) 200-7252, ext. 561

PO Box 366069San Juan, PR 00936-6069

Contacto con la OCPR

Contraloría a sus Contraloría a sus órdenes...órdenes...

TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo...

Documents

Transcript of TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo...