Auditoría de Sistemas de Información Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Auditoría de Sistemas de Información Adiestramiento Auditores Internos de los Municipios y Consorcios Ricardo Acosta Acosta, CFE abril de 2006
Enfoque de las Auditorías de Sistemas de Información Proveer a los Activos de Informática los siguientes: Confidencialidad (Confidentiality) Integridad (Integrity) Disponibilidad (Availability)
Áreas a examinarse en las Auditorías de Sistemas de Información Controles generales Controles de aplicaciones Contratos de servicios profesionales Adquisición de equipos y programas computadorizados Microcomputadoras Redes de comunicación local
Controles Generales Seguridad física y lógica Procedimientos escritos preparados por la entidad y organismos rectores Documentación ¿?
Controles Generales (cont.) Backups de archivos, programas y equipo Controles administrativos y operacionales Plan de contingencia ¿?
Controles Generales (cont.) Detección de programas sin licencia de uso Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas)
Controles de Aplicaciones Entrada, procesamiento y salida de datos Uso de formularios de control Validación de datos Segregación de tareas y deberes Supervisión adecuada Restricción de acceso por niveles
Controles de Aplicaciones (cont.) Verificación de controles programados Reprocesamiento de transacciones rechazadas Control sobre documentos fiscales (cheques, licencias, etc.) Audit Trail
Plan de Computadorización Estudio de necesidades Objetivos Beneficios Estructura administrativa
Plan de Computadorización (cont.) Alternativas y costos Adquisición de equipos y programas Recursos humanos
Contratos Verificar si el contratista rindió informes de la labor realizada. Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista. Asegurarse si el contratista cumplió con los términos del contrato.
Compras Especificaciones claras y precisas Que cumplan con las necesidades del área que solicita la compra Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004
Microcomputadoras Ver que se establezcan normas y procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: Controles de acceso Controles para evitar el uso de programas no autorizados Controles para evitar el uso no autorizado
Microcomputadoras (cont.) Procedimientos para asignar contraseñas Procedimientos para la rotulación de disquetes Procedimientos de backups
Microcomputadoras (cont.) Controles para la prevención y detección de virus y antispyware de computadoras Inventario de programas Instalados Establecer advertencia para el uso de los sistemas de información computadorizados (Carta Circular OC-98-11 emitida por el Contralor el 18 de mayo de 1998)
Red de Comunicación Local Verificar que: se hayan establecido procedimientos para administrar, utilizar y modificar la misma, y que se sigan los mismos. se haya instalado una computadora que sirva como equipo de reserva para el servidor principal. se tenga controles adecuado para el uso de internet.
Función de la Unidades de Auditoría Interna Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados. Participar en la adquisición, desarrollo e implantación de sistemas de información.
Hallazgos más frecuentes en el Sistema de Informática
Seguridad Lógica y Física Control inefectivo de los códigos de acceso al sistema Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas Falta de equipo para la detección y extinción de incendios
Resguardos Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas. Falta de resguardos de archivos, programas y datos fuera del centro.
Plan de Contingencia y Recuperación Falta de un plan de contingencias Deficiencias relacionadas con la implantación del Sistema Realizar pruebas al Plan contingencias
Organizacionales La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema Ausencia de un contrato de mantenimiento para el equipo del Sistema
Microcomputadoras No se habían establecido normas y procedimientos para regular el uso y el manejo eficaz de las microcomputadoras. Uso de equipo para propósitos no oficiales Instalación de programas sin licencias de uso Falta de normas y procedimientos para la operación del Centro de Cómputos
Contratos Deficiencias en la contratación de servicios Compras sin subastas Conflictos de intereses al contratar firma de consultores
Hallazgos más frecuentes en el Sistema Uniforme de Contabilidad Mecanizado
Propiedad Discrepancias en la localización física de las microcomputadoras y las indicadas en el inventario Equipos de computadoras almacenados sin haber considerado un uso alterno o disposición
Nómina Récord inactivo y duplicados en el archivo maestro del módulo Control inadecuado de los cheques en blanco Falta de un registro de los cheques preparados manualmente Formularios de control no utilizados
Nómina (cont.) Deficiencias en el trámite, control y archivo de documentos Falta de segregación adecuada de deberes en la operación del módulo Falta de controles efectivos sobre el registro de transacciones de personal en el módulo
Recaudaciones Falta de segregación de tareas en la sección de recaudaciones y registro de las patentes Deficiencias relacionadas con el trámite de los recibos de recaudaciones expedidos Falta de inventario de libretas de recaudaciones en blanco Falta de registro de entregas de libretas de recaudaciones en blanco
Contabilidad Procedimientos, formularios de control e informes no utilizados Deficiencias en la producción y verificación de informes Falta de segregación adecuada de deberes del operador de equipo de procesamiento de datos.
Contabilidad (cont.) Los códigos de acceso asignados a los operadores de los terminales no se modifican regularmente El Registro de Usuarios del Sistema no estaba actualizado.
Desembolsos Control inadecuado de los cheques e informes producidos por el módulo Compromisos incurridos sin contar con fondos obligados
Sesión de preguntas ¿?
Información Adicional Contralor de Puerto Rico (http://www.ocpr.gov.pr) Políticas para la implantación de tecnologías de información del Gobierno Electrónico. (http://www.ogp.gobierno.pr) Information Systems Audit and Control Association (http://www.isaca.org)
COOPERACIÓN PARA MEJORAR LA FISCALIZACIÓN Y CONTAMOS CON SU COOPERACIÓN PARA MEJORAR LA FISCALIZACIÓN Y ADMINISTRACIÓN DE LA PROPIEDAD Y LOS FONDOS PÚBLICOS