tecnologÍa de informaciÓn estado libre asociado de puerto rico oficina del contralor ricardo...
TRANSCRIPT
TECNOLOGÍA DE INFORMACIÓN
Estado Libre Asociado de Puerto RicoEstado Libre Asociado de Puerto Rico
OFICINA DEL CONTRALOROFICINA DEL CONTRALOR
Ricardo Acosta AcostaAuditor Senior
Adiestramiento Auditores Internos del Gobierno 6 de mayo de 2008
Autorizado por la Comisión Estatal de Elecciones, CEE-SA-08-8173
Contraloría a sus órdenes...
Temas a discutirTemas a discutir
Leyes y Reglamentos Función de la Unidades de
Auditoría Interna Áreas a examinarse en las
Auditorías de Tecnología de Información
Hallazgos más frecuentes en el área de Tecnología de Informática
Contraloría a sus órdenes...
Leyes y ReglamentosLeyes y Reglamentos
AICPA emitió el SAS 94 en año 2001, titulado, "El Efecto de la Tecnología de la Información en la Consideración del Ambiente de Control Interno por parte de los Auditores en las Auditorías Financieras."
Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004
Contraloría a sus órdenes...
Proveer a los Activos de Informática lo siguiente:
Confidencialidad (Confidentiality)
Integridad (Integrity)
Disponibilidad (Availability)
Enfoque de las AuditoríasEnfoque de las Auditoríasde Tecnología de Informaciónde Tecnología de Información
Contraloría a sus órdenes...
Función de la UnidadesFunción de la Unidadesde Auditoría Internade Auditoría Interna
Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados.
Participar en la adquisición, desarrollo e implantación de sistemas de información. (Controles)
La utilización de herramientas CAAT’s en las auditorías.
Contraloría a sus órdenes...
Técnicas de Auditorías Asistidas Técnicas de Auditorías Asistidas por la Computadora (CAAT) por la Computadora (CAAT)
Evaluar las Bases de Datos
Definir los objetivos
Se solicita una certificación de los datos.
Evalúan las herramienta a utilizar (IDEA, ACL y Access, entre otras)
Contraloría a sus órdenes...
Técnicas de Auditorías Asistidas Técnicas de Auditorías Asistidas por la Computadora (CAAT) (cont.)por la Computadora (CAAT) (cont.) Beneficios
Se puede examinar el 100% del universo
Disminuye el riesgo de la Auditoría Reduce el tiempo de la Auditoría Mayor independencia y objetividad Identificación de las excepciones
Contraloría a sus órdenes...
Plan de AutomatizaciónPlan de Automatización
Estudio de necesidades
Objetivos
Beneficios
Estructura administrativa
Contraloría a sus órdenes...
Plan de Automatización (cont.)Plan de Automatización (cont.)
Alternativas y costos
Adquisición de equipos y programas
Recursos humanos
Contraloría a sus órdenes...
ComprasCompras
Especificaciones claras y precisas
Que cumplan con las necesidades del área que solicita la compra
Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004
Contraloría a sus órdenes...
ContratosContratos
Contratos completos (todas las cláusulas)
Verificar si el contratista rindió informes de la labor realizada.
Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista.
Asegurarse si el contratista cumplió con los términos del contrato.
Contraloría a sus órdenes...
Controles GeneralesControles Generales
Normas y procedimientos escritos preparados por la entidad y organismos rectores
Seguridad física y lógica
Documentación
Contraloría a sus órdenes...
Controles Generales (cont.)Controles Generales (cont.)
Detección de programas sin licencia de uso
Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas)
Procedimiento para el manejo y disposición de medios electrónicos de almacenamiento
Contraloría a sus órdenes...
Controles Generales (cont.)
Backups de archivos, programas y equipo
Controles administrativos y operacionales
Plan de contingencia
Contraloría a sus órdenes...
Controles de AplicacionesControles de Aplicaciones
Entrada, procesamiento y salida
de datos Uso de formularios de control
Validación de datos
Segregación de tareas y deberes
Supervisión adecuada
Restricción de acceso por niveles
Contraloría a sus órdenes...
Controles de Aplicaciones (cont.)Controles de Aplicaciones (cont.)
Verificación de controles programados
Reprocesamiento de transacciones rechazadas
Control sobre documentos fiscales (cheques, licencias, etc.)
Audit Trail
Contraloría a sus órdenes...
MicrocomputadorasMicrocomputadoras Ver que se establezcan normas y
procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: Controles de acceso Controles para evitar el uso de
programas no autorizados Controles para evitar el uso no
autorizado
Contraloría a sus órdenes...
Microcomputadoras (cont.)Microcomputadoras (cont.)
Procedimientos para asignar contraseñas
Procedimientos para la rotulación de disquetes
Procedimientos de backups
Contraloría a sus órdenes...
Microcomputadoras (cont.)Microcomputadoras (cont.)
Controles para la prevención y detección de virus y antispyware de computadoras
Inventario de programas Instalados
Establecer advertencia para el uso de los sistemas de información computadorizados
(Carta Circular OC-98-11 emitida por el Contralor el 18 de mayo de 1998)
Contraloría a sus órdenes...
Red de Comunicación LocalRed de Comunicación Local
Verificar que: se hayan establecido
procedimientos para administrar, utilizar y modificar la misma, y que se sigan los mismos.
se haya instalado una computadora que sirva como equipo de reserva para el servidor principal.
La documentación este actualizada.
Contraloría a sus órdenes...
InternetInternet
Normas y Procedimientos
Fireware instalado y configurado
Anti-Spyware
Contraloría a sus órdenes...
Plan de Recuperación de DesastrePlan de Recuperación de Desastre
Análisis del Impacto al negocio
Clasificar la información
Cuantificar y cualificar el impacto
de datos
Identificar las posibles perdidas
Identificar todos los escenarios
Contraloría a sus órdenes...
Plan de Recuperación Plan de Recuperación de Desastre (cont.)de Desastre (cont.)
Backups de archivos, programas,
documentación y equipo
Equipo de repuesta
Realizar pruebas y actualizar el
plan
Tener un plan para continuar las
operaciones
Contraloría a sus órdenes...
Seguridad Lógica y FísicaSeguridad Lógica y Física
Control inefectivo de los códigos de acceso al sistema
Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas
No establecían un procedimiento para la destrucción o disposición de discos, cintas e informes de carácter confidencial.
Contraloría a sus órdenes...
Hallazgos más frecuentes en las áreas de Tecnología de Informática
Contraloría a sus órdenes...
OrganizacionalesOrganizacionales Falta de norma para el uso de los
Sistema de Información
La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema
Ausencia de un contrato de mantenimiento para el equipo del Sistema
Contraloría a sus órdenes...
ContratosContratos
Deficiencias en la contratación de servicios
Compras sin subastas
Conflictos de intereses al contratar firma de consultores
Contraloría a sus órdenes...
MicrocomputadorasMicrocomputadoras
No se habían establecido normas y procedimientos para regular el uso y el manejo eficaz de las microcomputadoras.
Utilización de microcomputadoras del Municipio para fines ajenos al interés público
Instalación de programas sin licencias de uso
Contraloría a sus órdenes...
Plan de ContingenciaPlan de Contingencia
Falta de un plan de contingencias
Deficiencias relacionadas con la implantación del plan de contingencias
No están actualizados No le realizan pruebas
Contraloría a sus órdenes...
ResguardosResguardos
Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas.
Falta de resguardos de archivos, programas y datos fuera del centro.
No le realizan pruebas a los archivos de resguardos
Contraloría a sus órdenes...
Sesión Sesión de preguntas de preguntas
¿?
Contraloría a sus órdenes...
Información AdicionalInformación Adicional
Contralor de Puerto Rico (http://www.ocpr.gov.pr) Políticas para la implantación de tecnologías de
información del Gobierno Electrónico. (http://www.ogp.gobierno.pr)
Information Systems Audit and Control Association (http://www.isaca.org)
Contraloría a sus órdenes...
Myriam Rivera PérezDirectoraDivisión de Auditoríasde MunicipiosTel. (787) 200-7252, ext. 561
PO Box 366069San Juan, PR 00936-6069
Contacto con la OCPR
Contraloría a sus Contraloría a sus órdenes...órdenes...