TECNOLOGÍA DE INFORMACIÓN Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Ricardo Acosta Acosta Auditor Senior Adiestramiento Auditores Internos del Gobierno 6 de mayo de 2008 Autorizado por la Comisión Estatal de Elecciones, CEE-SA

Contraloría a sus órdenes... Temas a discutir nLeyes y Reglamentos nFunción de la Unidades de Auditoría Interna nÁreas a examinarse en las Auditorías de Tecnología de Información nHallazgos más frecuentes en el área de Tecnología de Informática

Contraloría a sus órdenes... Leyes y Reglamentos AICPA emitió el SAS 94 en año 2001, titulado, "El Efecto de la Tecnología de la Información en la Consideración del Ambiente de Control Interno por parte de los Auditores en las Auditorías Financieras." Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004

Contraloría a sus órdenes... Proveer a los Activos de Informática lo siguiente: n Confidencialidad (Confidentiality) n Integridad (Integrity) n Disponibilidad (Availability) Enfoque de las Auditorías de Tecnología de Información

Contraloría a sus órdenes... Función de la Unidades de Auditoría Interna n Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados. n Participar en la adquisición, desarrollo e implantación de sistemas de información. (Controles) n La utilización de herramientas CAAT’s en las auditorías.

Contraloría a sus órdenes... Técnicas de Auditorías Asistidas por la Computadora (CAAT) n Evaluar las Bases de Datos n Definir los objetivos n Se solicita una certificación de los datos. n Evalúan las herramienta a utilizar (IDEA, ACL y Access, entre otras)

Contraloría a sus órdenes... Técnicas de Auditorías Asistidas por la Computadora (CAAT) (cont.) n Beneficios u Se puede examinar el 100% del universo u Disminuye el riesgo de la Auditoría u Reduce el tiempo de la Auditoría u Mayor independencia y objetividad u Identificación de las excepciones

Contraloría a sus órdenes... Plan de Automatización n Estudio de necesidades n Objetivos n Beneficios n Estructura administrativa

Contraloría a sus órdenes... Plan de Automatización (cont.) n Alternativas y costos n Adquisición de equipos y programas n Recursos humanos

Contraloría a sus órdenes... Compras n Especificaciones claras y precisas n Que cumplan con las necesidades del área que solicita la compra n Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004

Contraloría a sus órdenes...Contratos n Contratos completos (todas las cláusulas) n Verificar si el contratista rindió informes de la labor realizada. n Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista. n Asegurarse si el contratista cumplió con los términos del contrato.

Contraloría a sus órdenes... Controles Generales n Normas y procedimientos escritos preparados por la entidad y organismos rectores n Seguridad física y lógica n Documentación

Contraloría a sus órdenes... Controles Generales (cont.) n Detección de programas sin licencia de uso n Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas) n Procedimiento para el manejo y disposición de medios electrónicos de almacenamiento

Contraloría a sus órdenes... Controles Generales (cont.) n Backups de archivos, programas y equipo n Controles administrativos y operacionales n Plan de contingencia

Contraloría a sus órdenes... Controles de Aplicaciones n Entrada, procesamiento y salida de datos u Uso de formularios de control u Validación de datos n Segregación de tareas y deberes n Supervisión adecuada n Restricción de acceso por niveles

Contraloría a sus órdenes... Controles de Aplicaciones (cont.) n Verificación de controles programados n Reprocesamiento de transacciones rechazadas n Control sobre documentos fiscales (cheques, licencias, etc.) n Audit Trail

Contraloría a sus órdenes...Microcomputadoras n Ver que se establezcan normas y procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: u Controles de acceso u Controles para evitar el uso de programas no autorizados u Controles para evitar el uso no autorizado

Contraloría a sus órdenes... Microcomputadoras (cont.) n Procedimientos para asignar contraseñas n Procedimientos para la rotulación de disquetes n Procedimientos de backups

Contraloría a sus órdenes... Microcomputadoras (cont.) n Controles para la prevención y detección de virus y antispyware de computadoras n Inventario de programas Instalados n Establecer advertencia para el uso de los sistemas de información computadorizados (Carta Circular OC emitida por el Contralor el 18 de mayo de 1998)

Contraloría a sus órdenes... Red de Comunicación Local n Verificar que: n se hayan establecido procedimientos para administrar, utilizar y modificar la misma, y que se sigan los mismos. n se haya instalado una computadora que sirva como equipo de reserva para el servidor principal. n La documentación este actualizada.

Contraloría a sus órdenes...Internet n Normas y Procedimientos n Fireware instalado y configurado n Anti-Spyware

Contraloría a sus órdenes... Plan de Recuperación de Desastre n Análisis del Impacto al negocio u Clasificar la información u Cuantificar y cualificar el impacto de datos u Identificar las posibles perdidas u Identificar todos los escenarios

Contraloría a sus órdenes... Plan de Recuperación de Desastre (cont.) n Backups de archivos, programas, documentación y equipo n Equipo de repuesta n Realizar pruebas y actualizar el plan n Tener un plan para continuar las operaciones

Contraloría a sus órdenes... Seguridad Lógica y Física n Control inefectivo de los códigos de acceso al sistema n Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas n No establecían un procedimiento para la destrucción o disposición de discos, cintas e informes de carácter confidencial.

Contraloría a sus órdenes... Hallazgos más frecuentes en las áreas de Tecnología de Informática

Contraloría a sus órdenes... Organizacionales n Falta de norma para el uso de los Sistema de Información n La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema n Ausencia de un contrato de mantenimiento para el equipo del Sistema

Contraloría a sus órdenes... Contratos n Deficiencias en la contratación de servicios n Compras sin subastas n Conflictos de intereses al contratar firma de consultores

Contraloría a sus órdenes...Microcomputadoras n No se habían establecido normas y procedimientos para regular el uso y el manejo eficaz de las microcomputadoras. n Utilización de microcomputadoras del Municipio para fines ajenos al interés público n Instalación de programas sin licencias de uso

Contraloría a sus órdenes... Plan de Contingencia n Falta de un plan de contingencias n Deficiencias relacionadas con la implantación del plan de contingencias n No están actualizados n No le realizan pruebas

Contraloría a sus órdenes...Resguardos n Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas. n Falta de resguardos de archivos, programas y datos fuera del centro. n No le realizan pruebas a los archivos de resguardos

Contraloría a sus órdenes... Sesión de preguntas ¿?

Contraloría a sus órdenes... Información Adicional n Contralor de Puerto Rico ( n Políticas para la implantación de tecnologías de información del Gobierno Electrónico. ( n Information Systems Audit and Control Association (

Contraloría a sus órdenes... Myriam Rivera Pérez Directora División de Auditorías de Municipios Tel. (787) , ext. 561 PO Box San Juan, PR Contacto con la OCPR

Contraloría a sus órdenes...