Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Adiestramiento Auditores Internos de los...

Post on 23-Jan-2016

256 views 0 download

Tags:

Transcript of Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Adiestramiento Auditores Internos de los...

Estado Libre Asociado de Puerto Rico

OFICINA DEL CONTRALOR

Adiestramiento Auditores InternosAdiestramiento Auditores Internos

de los Municipios y Consorciosde los Municipios y Consorcios

Ricardo Acosta Acosta, CFE

abril de 2006abril de 2006

Auditoría de Sistemas

de Información

Proveer a los Activos de Informática los siguientes:

Confidencialidad (Confidentiality)

Integridad (Integrity)

Disponibilidad (Availability)

Enfoque de las AuditoríasEnfoque de las Auditoríasde Sistemas de Informaciónde Sistemas de Información

Controles generales Controles de aplicaciones Contratos de servicios

profesionales Adquisición de equipos y

programas computadorizados Microcomputadoras Redes de comunicación local

Áreas a examinarse en las AuditoríasÁreas a examinarse en las Auditoríasde Sistemas de Informaciónde Sistemas de Información

Controles GeneralesControles Generales

Seguridad física y lógica

Procedimientos escritos preparados por la entidad y organismos rectores

Documentación

¿?

Controles Generales Controles Generales (cont.)(cont.)

Backups de archivos, programas y equipo

Controles administrativos y operacionales

Plan de contingencia

¿?

Controles Generales (cont.)Controles Generales (cont.)

Detección de programas sin licencia de uso

Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas)

Controles de AplicacionesControles de Aplicaciones

Entrada, procesamiento y salida

de datos Uso de formularios de control

Validación de datos

Segregación de tareas y deberes

Supervisión adecuada

Restricción de acceso por niveles

Controles de Aplicaciones (cont.)Controles de Aplicaciones (cont.)

Verificación de controles programados

Reprocesamiento de transacciones rechazadas

Control sobre documentos fiscales (cheques, licencias, etc.)

Audit Trail

Plan de ComputadorizaciónPlan de Computadorización

Estudio de necesidades

Objetivos

Beneficios

Estructura administrativa

Plan de Computadorización (cont.)Plan de Computadorización (cont.)

Alternativas y costos

Adquisición de equipos y programas

Recursos humanos

ContratosContratos Verificar si el contratista rindió

informes de la labor realizada.

Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista.

Asegurarse si el contratista cumplió con los términos del contrato.

ComprasCompras

Especificaciones claras y precisas

Que cumplan con las necesidades del área que solicita la compra

Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004

MicrocomputadorasMicrocomputadoras

Ver que se establezcan normas y procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: Controles de acceso Controles para evitar el uso de

programas no autorizados Controles para evitar el uso no

autorizado

MicrocomputadorasMicrocomputadoras (cont.) (cont.)

Procedimientos para asignar contraseñas

Procedimientos para la rotulación de disquetes

Procedimientos de backups

Microcomputadoras Microcomputadoras (cont.)(cont.)

Controles para la prevención y detección de virus y antispyware de computadoras

Inventario de programas Instalados

Establecer advertencia para el uso de los sistemas de información computadorizados

(Carta Circular OC-98-11 emitida por el Contralor el 18 de mayo de 1998)

Red de Comunicación LocalRed de Comunicación Local

Verificar que: se hayan establecido procedimientos

para administrar, utilizar y modificar la misma, y que se sigan los mismos.

se haya instalado una computadora que sirva como equipo de reserva para el servidor principal.

se tenga controles adecuado para el uso de internet.

Función de la UnidadesFunción de la Unidadesde Auditoría Internade Auditoría Interna

Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados.

Participar en la adquisición, desarrollo e implantación de sistemas de información.

Hallazgos más frecuentes enel Sistema de Informática

Seguridad Lógica y Física

Control inefectivo de los códigos de acceso al sistema

Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas

Falta de equipo para la detección y extinción de incendios

ResguardosResguardos

Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas.

Falta de resguardos de archivos, programas y datos fuera del centro.

Plan de Contingencia y Plan de Contingencia y RecuperaciónRecuperación

Falta de un plan de contingencias

Deficiencias relacionadas con la implantación del Sistema

Realizar pruebas al Plan contingencias

OrganizacionalesOrganizacionales

La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema

Ausencia de un contrato de mantenimiento para el equipo del Sistema

MicrocomputadorasMicrocomputadoras No se habían establecido normas y

procedimientos para regular el uso y el manejo eficaz de las microcomputadoras.

Uso de equipo para propósitos no oficiales

Instalación de programas sin licencias de uso

Falta de normas y procedimientos para la operación del Centro de Cómputos

ContratosContratos Deficiencias en la contratación de

servicios

Compras sin subastas

Conflictos de intereses al contratar firma de consultores

Hallazgos más frecuentes enel Sistema Uniforme de

Contabilidad Mecanizado

PropiedadPropiedad

Discrepancias en la localización física de las microcomputadoras y las indicadas en el inventario

Equipos de computadoras almacenados sin haber considerado un uso alterno o disposición

NóminaNómina Récord inactivo y duplicados en el

archivo maestro del módulo

Control inadecuado de los cheques en blanco

Falta de un registro de los cheques preparados manualmente

Formularios de control no utilizados

Nómina (cont.)Nómina (cont.)

Deficiencias en el trámite, control y archivo de documentos

Falta de segregación adecuada de deberes en la operación del módulo

Falta de controles efectivos sobre el registro de transacciones de personal en el módulo

RecaudacionesRecaudaciones Falta de segregación de tareas en la

sección de recaudaciones y registro de las patentes

Deficiencias relacionadas con el trámite de los recibos de recaudaciones expedidos Falta de inventario de libretas de

recaudaciones en blanco Falta de registro de entregas de libretas

de recaudaciones en blanco

ContabilidadContabilidad

Procedimientos, formularios de control e informes no utilizados

Deficiencias en la producción y verificación de informes

Falta de segregación adecuada de deberes del operador de equipo de procesamiento de datos.

Contabilidad (cont.)Contabilidad (cont.)

Los códigos de acceso asignados a los operadores de los terminales no se modifican regularmente

El Registro de Usuarios del Sistema no estaba actualizado.

DesembolsosDesembolsos

Control inadecuado de los cheques e informes producidos por el módulo

Compromisos incurridos sin contar con fondos obligados

Sesión Sesión de preguntas de preguntas

¿?

Información AdicionalInformación Adicional Contralor de Puerto Rico

(http://www.ocpr.gov.pr) Políticas para la implantación de

tecnologías de información del Gobierno Electrónico. (http://www.ogp.gobierno.pr)

Information Systems Audit and Control Association (http://www.isaca.org)

CONTAMOS CON SU

COOPERACIÓN PARA MEJORAR

LA FISCALIZACIÓN Y

ADMINISTRACIÓN DE LA

PROPIEDAD Y LOS FONDOS

PÚBLICOS