Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Adiestramiento Auditores Internos de los...
-
Upload
theresa-limas -
Category
Documents
-
view
256 -
download
0
Transcript of Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR Adiestramiento Auditores Internos de los...
Estado Libre Asociado de Puerto Rico
OFICINA DEL CONTRALOR
Adiestramiento Auditores InternosAdiestramiento Auditores Internos
de los Municipios y Consorciosde los Municipios y Consorcios
Ricardo Acosta Acosta, CFE
abril de 2006abril de 2006
Auditoría de Sistemas
de Información
Proveer a los Activos de Informática los siguientes:
Confidencialidad (Confidentiality)
Integridad (Integrity)
Disponibilidad (Availability)
Enfoque de las AuditoríasEnfoque de las Auditoríasde Sistemas de Informaciónde Sistemas de Información
Controles generales Controles de aplicaciones Contratos de servicios
profesionales Adquisición de equipos y
programas computadorizados Microcomputadoras Redes de comunicación local
Áreas a examinarse en las AuditoríasÁreas a examinarse en las Auditoríasde Sistemas de Informaciónde Sistemas de Información
Controles GeneralesControles Generales
Seguridad física y lógica
Procedimientos escritos preparados por la entidad y organismos rectores
Documentación
¿?
Controles Generales Controles Generales (cont.)(cont.)
Backups de archivos, programas y equipo
Controles administrativos y operacionales
Plan de contingencia
¿?
Controles Generales (cont.)Controles Generales (cont.)
Detección de programas sin licencia de uso
Uso de equipo para propósitos ajenos a la gestión pública (fines privados o político partidistas)
Controles de AplicacionesControles de Aplicaciones
Entrada, procesamiento y salida
de datos Uso de formularios de control
Validación de datos
Segregación de tareas y deberes
Supervisión adecuada
Restricción de acceso por niveles
Controles de Aplicaciones (cont.)Controles de Aplicaciones (cont.)
Verificación de controles programados
Reprocesamiento de transacciones rechazadas
Control sobre documentos fiscales (cheques, licencias, etc.)
Audit Trail
Plan de ComputadorizaciónPlan de Computadorización
Estudio de necesidades
Objetivos
Beneficios
Estructura administrativa
Plan de Computadorización (cont.)Plan de Computadorización (cont.)
Alternativas y costos
Adquisición de equipos y programas
Recursos humanos
ContratosContratos Verificar si el contratista rindió
informes de la labor realizada.
Ver si se ejerció una supervisión adecuada sobre la labor que rindió el contratista.
Asegurarse si el contratista cumplió con los términos del contrato.
ComprasCompras
Especificaciones claras y precisas
Que cumplan con las necesidades del área que solicita la compra
Que estén de acuerdo con la especificaciones del Gobierno Electrónico, basado en la Ley Núm. 151 del 22 de junio de 2004
MicrocomputadorasMicrocomputadoras
Ver que se establezcan normas y procedimientos para reglamentar el uso y el manejo eficaz de las microcomputadoras, entre ellas: Controles de acceso Controles para evitar el uso de
programas no autorizados Controles para evitar el uso no
autorizado
MicrocomputadorasMicrocomputadoras (cont.) (cont.)
Procedimientos para asignar contraseñas
Procedimientos para la rotulación de disquetes
Procedimientos de backups
Microcomputadoras Microcomputadoras (cont.)(cont.)
Controles para la prevención y detección de virus y antispyware de computadoras
Inventario de programas Instalados
Establecer advertencia para el uso de los sistemas de información computadorizados
(Carta Circular OC-98-11 emitida por el Contralor el 18 de mayo de 1998)
Red de Comunicación LocalRed de Comunicación Local
Verificar que: se hayan establecido procedimientos
para administrar, utilizar y modificar la misma, y que se sigan los mismos.
se haya instalado una computadora que sirva como equipo de reserva para el servidor principal.
se tenga controles adecuado para el uso de internet.
Función de la UnidadesFunción de la Unidadesde Auditoría Internade Auditoría Interna
Realizar auditorías sobre los controles y el funcionamiento de los sistemas computadorizados.
Participar en la adquisición, desarrollo e implantación de sistemas de información.
Hallazgos más frecuentes enel Sistema de Informática
Seguridad Lógica y Física
Control inefectivo de los códigos de acceso al sistema
Falta de control de acceso al área de la computadora y otras medidas de seguridad inadecuadas
Falta de equipo para la detección y extinción de incendios
ResguardosResguardos
Deficiencias en el proceso de preparar, custodiar, y almacenar las cintas magnéticas de reserva de los archivos y programas.
Falta de resguardos de archivos, programas y datos fuera del centro.
Plan de Contingencia y Plan de Contingencia y RecuperaciónRecuperación
Falta de un plan de contingencias
Deficiencias relacionadas con la implantación del Sistema
Realizar pruebas al Plan contingencias
OrganizacionalesOrganizacionales
La Unidad de Auditoría Interna del Municipio no había realizado auditorías sobre los controles y el funcionamiento del sistema
Ausencia de un contrato de mantenimiento para el equipo del Sistema
MicrocomputadorasMicrocomputadoras No se habían establecido normas y
procedimientos para regular el uso y el manejo eficaz de las microcomputadoras.
Uso de equipo para propósitos no oficiales
Instalación de programas sin licencias de uso
Falta de normas y procedimientos para la operación del Centro de Cómputos
ContratosContratos Deficiencias en la contratación de
servicios
Compras sin subastas
Conflictos de intereses al contratar firma de consultores
Hallazgos más frecuentes enel Sistema Uniforme de
Contabilidad Mecanizado
PropiedadPropiedad
Discrepancias en la localización física de las microcomputadoras y las indicadas en el inventario
Equipos de computadoras almacenados sin haber considerado un uso alterno o disposición
NóminaNómina Récord inactivo y duplicados en el
archivo maestro del módulo
Control inadecuado de los cheques en blanco
Falta de un registro de los cheques preparados manualmente
Formularios de control no utilizados
Nómina (cont.)Nómina (cont.)
Deficiencias en el trámite, control y archivo de documentos
Falta de segregación adecuada de deberes en la operación del módulo
Falta de controles efectivos sobre el registro de transacciones de personal en el módulo
RecaudacionesRecaudaciones Falta de segregación de tareas en la
sección de recaudaciones y registro de las patentes
Deficiencias relacionadas con el trámite de los recibos de recaudaciones expedidos Falta de inventario de libretas de
recaudaciones en blanco Falta de registro de entregas de libretas
de recaudaciones en blanco
ContabilidadContabilidad
Procedimientos, formularios de control e informes no utilizados
Deficiencias en la producción y verificación de informes
Falta de segregación adecuada de deberes del operador de equipo de procesamiento de datos.
Contabilidad (cont.)Contabilidad (cont.)
Los códigos de acceso asignados a los operadores de los terminales no se modifican regularmente
El Registro de Usuarios del Sistema no estaba actualizado.
DesembolsosDesembolsos
Control inadecuado de los cheques e informes producidos por el módulo
Compromisos incurridos sin contar con fondos obligados
Sesión Sesión de preguntas de preguntas
¿?
Información AdicionalInformación Adicional Contralor de Puerto Rico
(http://www.ocpr.gov.pr) Políticas para la implantación de
tecnologías de información del Gobierno Electrónico. (http://www.ogp.gobierno.pr)
Information Systems Audit and Control Association (http://www.isaca.org)
CONTAMOS CON SU
COOPERACIÓN PARA MEJORAR
LA FISCALIZACIÓN Y
ADMINISTRACIÓN DE LA
PROPIEDAD Y LOS FONDOS
PÚBLICOS