1
2
Alejandro Salom CamposUnidad de Auditoría de Sistemas de Información y ApoyoSindicatura de Comptes de la Comunitat Valenciana
CISA
Murcia, 7 de octubre de 2009
AUDITORÍA, EVIDENCIA DIGITAL Y ESTRATEGIA
JORNADAS SYTE 09 MURCYA
3
FISCALIZACIÓN EXTERNA-AUDITORÍA PÚBLICA
Informe auditoría-fiscalización
Cortes generales-autonómicas-EELL
Tribunal de Cuentas u órgano control autonómico (Sindicatura)
Ciudadanos
Gobierno-presupuestos-admon. electrónica
Control externo
Elecciones
Presupuestos
4
Índice
1. Auditoría-fiscalización
2. Entornos informatizados:consecuencias
3. Evidencia digital
4. Auditoría de sistemas de información
5. Estrategia sobre entornos informatizados
6. Informe de auditoría de sistemas
7. Aportación de los informes auditoría de sistemas
5
AUDITORÍA
Definición Ley de Auditoría
Auditoría financiera:
su objetivo es determinar si a juicio del auditor la información financiera se presenta adecuadamente, de acuerdo con los principios que le son de aplicación.
6
AUDITORÍA
Auditoría: Financiera, Legalidad, operativa
Auditoría privada versus fiscalización pública ¿auditoría pública?
Auditoría de Sistemas de Información
7
AUDITORÍA PRIVADA
Ley 19/1988, de 12 de julio de Auditoría de Cuentas
ICAC
ROAC
Normas técnicas ICAC
Supervisión calidad auditorías
Sanciones auditores y empresas de auditoría que no cumplen las normas
8
AUDITORÍA PÚBLICAFiscalización-Auditoría externa
Competencias de fiscalización asignadas por las leyes a un órgano institucional
Ley Orgánica y de funcionamiento del TCU; Leyes de los OCEX
Ley General Presupuestaria; Leyes de hacienda autonómicas
Texto Refundido Ley Haciendas Locales
Normas de auditoría del Sector Público
Cuando no existe norma Sector Público aplicaremos las del sector privado
9
AUDITORÍA DE SI
Prácticamente sin regulación en España
Auditorías bianuales del RD 1.720/2007, de 21 diciembre
No hay normas españolas generalmente aceptadas
No se define en las leyes quien puede realizarlas
Normas internacionales: ISACA-IIA
10
AUDITORÍA-FISCALIZACIÓN
AUDITORÍA + ENTORNOS INFORMATIZADOS:
Norma técnica sobre auditoría en entornos informatizados del ICACEnfoque de riesgo de auditoría
11
Entorno informatizado
1. Definición
2. Normas aplicables
3. Enfoque de la auditoría y procedimientos
4. Herramientas y técnicas de auditoría asistidas por ordenador
5. Evidencia informática
12
Fiscalización en entornos informatizados : definición
•Entorno informatizado:
Existe un entorno informatizado cuando la entidad, al procesar información financiera que sea significativa a efectos de la auditoría, emplea un ordenador, de cualquier tipo o tamaño, ya esté gestionado por la propia compañía o por un tercero (NT ICAC sobre auditoría en entornos informatizados)
•El 99% de las entidades fiscalizadas cumplen con esta descripción
13
En los últimos años el grado de complejidad de los sistemas informáticos y de las tecnologías de Información (TI) utilizadas por los entes públicos ha ido en aumento, introduciendo nuevos riesgos a tener en cuenta en la fiscalización:
- Incremento del volumen de datos tratados y en soporte Informático- Incluyen todas las actividades de los entes, no sólo la contabilidad- Aplicaciones informáticas más complejas y/o con peculiaridades que hacen necesario un conocimiento específico de su funcionamiento: Aplicaciones de gestión integral de la empresa (ERP, Enterprise Resource Planning): SAP, Navisión, ERPs a medida- Automatización de procesos- Concentración de funciones- Posibilidad de pérdida o manipulación de información en soporte informático
Fiscalización en entornos informatizados : definición
14
Fiscalización en entornos informatizados : definición
Entornos informatizados y evidencia
•Le evidencia cambia de formato. La información se genera en soporte informático
•La obtención de pistas de auditoría se debe adaptar esta nueva realidad•El auditor, además de prever los posibles riesgos de la utilización de las Tecnologías de la Información (TI) por los entes fiscalizados, puede beneficiarse de la existencia de los entornos informatizados a través de la aplicación de las Técnicas y Herramientas de Auditoría Asistidas por Ordenador.
15
Fiscalización en entornos informatizados : definición
Técnicas y herramientas de auditoría asistidas por ordenador:
•Para el propio proceso de la auditoría: Auditoría sin papeles, TeamMate u otras aplicaciones similares
•Para el tratamientos de datos infomatizados, aplicaciones con funcionalidades específicas para la auditoría: ACL, IDEA u otros similares.
•Herramientas ofimáticas comunes: Excel, Word, Access, etc.
16
Fiscalización en entornos informatizados : Normas aplicables
PNASP (2.2.1 y 2.2.3): Formación técnica y capacidad profesional; Diligencia profesional: adecuado conocimiento del entorno o recurrir a expertos
NTA 2.4.1 y 2.4.2 del ICAC: Evaluación del control interno. Vendrá condicionada por el entorno informático
NTA del ICAC (2.4.10) Evaluación del control interno, incluyendo los sistemas informáticos
NTA ICAC sobre entornos informatizados: Guía y reglas fiscalización en entornos informatizados
Directriz técnica nº 9, Documentación de la auditoria: Apartado 12, sobre evidencia informática
17
Fiscalización en entornos informatizados : Normas aplicables
De acuerdo con la NTA ICAC sobre entornos informatizados las normas y procedimientos específicas de entornos informatizados abarcan las siguientes áreas:
-Conocimientos y competencia
-Planificación
-Evaluación del riesgo
-Procedimientos de auditoría
18
Fiscalización en entornos informatizados
CONOCIMIENTOS Y COMPETENCIA
El auditor debe tener el conocimiento suficiente de los sistemas informáticos que le permita planificar, dirigir, supervisar y revisar el trabajo realizado. Debe evaluar si se requieren conocimientos especializados para la auditoría para:
- Entender como afecta el entorno informatizado al sistema contable y al control interno
- Efecto del entorno sobre el riesgo de auditoría
- Diseñar y aplicar pruebas
19
Fiscalización en entornos informatizados
PLANIFICACIÓN
El conocimiento del entorno informático debe permitir al auditor tener en cuenta en la planificación los siguientes aspectos:
-Complejidad de los SI: Volumen de transacciones , estructura organizativa en los SI y grado centralización del proceso, disponibilidad de datos
- Efecto de los SI sobre el control interno y el riesgo inherente: Ausencia de rastro en transacciones, procesos uniformes de transacciones, segregación de funciones, ejecución automatizada de transacciones, posibilidad de uso de Herramientas de auditoría asistidas por ordenador, …
-Impacto de los SI sobre el riesgo
20
Fiscalización en entornos informatizados
EVALUACIÓN DEL RIESGO
- Riesgo de auditoría: Riesgo inherente, riesgo de control y riesgo de detección
-Análisis del riesgo derivado de deficiencias generales en la gestión de SI (controles generales): Desarrollo y mantenimiento, seguridad física, controles de acceso, ...
- Analisis del riesgo de aplicaciones específicas
-Aparición de nuevas tecnologías que aumenten la complejidad de SI
21
Análisis de Riesgos
22
Fiscalización en entornos informatizados
PROCEDIMIENTOS DE AUDITORÍA
-El diseño de los procedimientos debe tener en cuenta el entorno informatizado para introducir las pruebas que minimicen el riesgo de auditoría a un nivel aceptable
-Los objetivos de la auditoría no se ven afectados, los métodos de obtención de evidencia sí. El apoyo de herramientas de tratamiento informático de datos adquirirá mayor relevancia
23
Fiscalización en entornos informatizados
HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR
Son instrumentos para el auditor. Se trata de aplicaciones informáticas que facilitan los procesos de auditoría incrementando la eficiencia en la realización de las auditorías
TIPOS:
-Programas de extracción y análisis de datos (ACL, IDEA, …)
-Programas de planificación y administración de la auditoría (TeamMate…)
24
Fiscalización en entornos informatizados
HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR
Aplicaciones o funciones de las herramientas de extracción y análisis de datos:
Revisión de la integridad de la información
Análisis de concentración de transacciones
MuestreoRevisiones analíticasExtracciones de transacciones
cualitativas o cuantitativas
25
Fiscalización en entornos informatizados
HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR
NORMAS SOBRE UTILIZACIÓN DE LAS TÉCNICAS DE AUDITORÍA ASISTIDAS
POR ORDENADOR (TAAO)ISACA: ASOCIACIÓN PARA LA
AUDITORÍA Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNGUÍA ISACA Nº 3 SOBRE USO DE LAS
TAAOGRUPO DE TRABAJO DE LA COMISIÓN TÉCNICA DE AUDITORÍA SOBRE USO DE TAAO: NORMAS PROPIAS.
26
AUDITORÍA-FISCALIZACIÓN
AUDITORÍA + ENTORNOS INFORMATIZADOS:
Comprensión de los sistemas de nformación y el nivel de complejidad así como su repercusión en los procedimientos de control y en la elaboración de los estados financieros
Comprensión controles internos informáticos
Utilización de herramientas para tratar la evidencia informática: CAATs
Comprensión del riesgo derivado de los SI
27
Fiscalización en entornos informatizados
EVIDENCIA (3.2.4 PNASP)
Para fundamentar sus opiniones y conclusiones el auditor deberá obtener evidencia suficiente, pertinente y válida, mediante la realización y evaluación de las pruebas de auditoría que se consideren necesarias.
Evidencia digital
28
Fiscalización en entornos informatizados
EVIDENCIA INFORMÁTICA (PNASP y Normas IGAE)
Información y datos contenidos en soportes electrónicos, informáticos y telemáticos, así como elementos lógicos, programas y aplicaciones utilizados en los procedimientos de gestión del auditado.
Evidencia digital
29
Fiscalización en entornos informatizados
Evidencia digital
Cuando se emplee evidencia informática, o se utilicen técnicas o herramientas de auditoría asistida por ordenador los documentos mediante ellas generados se integrarán en los papeles de trabajo, así como la descripción manual o automatizada, de los procesos y tratamientos efectuados para llegar a los resultados finales partiendo de la evidencia primaria
Directriz técnica nº 9, La documentación de la auditoría
30
Fiscalización en entornos informatizados
Evidencia digital
Normas IGAE:
Cuando se emplee evidencia informática, o datos procedentes de sistemas informáticos del auditado, los auditores deberán evaluar la fiabilidad de la evidencia y no darla por supuesta nunca a priori
Dos formas de evaluación:
-Revisión de sistemas: Controles generales y de aplicación, verificación de su funcionamiento y pruebas sobre datos generados por el sistema.
-Revisión limitada dirigida hacia unos datos en particular
31
Fiscalización en entornos informatizados
Evidencia digitalCaracterísticas:
- Se encuentra en formato digital, por lo que se requiere un hardware y software para leerla.
- No está ligada a un soporte concreto, es fácil migrar de un soporte a otro.
- Su estructura se define mediante campos y códigos. La información sobre la estructura es diferente de la información en si misma y es necesario conservarla.
- Habitualmente será necesario conservar los metadatos de la evidencia que pueden no encontrarse en el mismo documento o soporte: fecha, origen y destino, …
32
Fiscalización en entornos informatizados
Evidencia digitalDiferencias con la evidencia en papel:
-Dificultad en la determinación del origen. Se requerirán técnicas de autentificación
-Facilidad de alteración de datos. Deberemos implantar controles de integridad.
-Prueba de la aprobación. En formato papel la firma acredita la aprobación. Las aprobaciones digitales no se almacenan siempre con el documento digital.
- La información digital sobre una transacción puede estar en varios documentos que será necesario retener.
33
Fiscalización en entornos informatizados
Evidencia digitalDiferencias con la evidencia en papel:
- El formato del documento digital es esencial y formará parte del documento.
- Disponibilidad. En ocasiones la evidencia digital está disponible sólo por un periodo de tiempo. Se deberán planificar procedimientos para obtenerla en ese periodo.
- Las firmas digitales deben obtenerse y verificarse mediante procedimientos específicos que aseguren su autenticidad y efectos legales.
- A veces por el volumen de datos necesitaremos herramientas específicas (CAATs).
34
Fiscalización en entornos informatizados
Evidencia digitalCalidad o relevancia
Se refiere a su relevancia y fiabilidad. Debe ser la adecuada para servir al auditor para soportar su objetivo de auditoría. Depende de su naturaleza y la fuente y la evaluará el juicio del auditor.
Fiabilidad
Será fiable cuando se puede contrastar su autenticidad, integridad y autorización. Dependiendo de su naturaleza será relevante el no repudio.
35
Fiscalización en entornos informatizados
Evidencia digitalAutenticidad
Se puede confirmar la identidad de la persona o entidad que creó la información.
Integridad
Se refiere a la seguridad de que la información fue validada y que no ha sido destruida o modificada intencionada o accidentalmente cuando ha sido creada, procesada, transmitida, mantenida o archivada.
Autorización
La información fue preparada, procesada, modificada, corregida, enviada, recibida y accedida sólo por personas autorizadas o responables de ella.
No repudio
La persona o entidad que ha enviado o recibido la información no puede negarlo.
36
Fiscalización en entornos informatizados
Evidencia digital
BS 10008 Relevancia y admisibilidad legal de la infomación electrónica- especificación.
Noviembre 2008
Establece los requerimientos para la implementación y gestión de un sistema de gestión de la información electrónica.
Esquema de Planificación, implementación y operación, seguimiento y mejora.
37
BS 10008 Relevancia y admisibilidad legal de la infomación electrónica- especificación.
PlanificaciónAprobación y comunicación por parte de la alta dirección
de una Política de gestión de la información en soporte electrónico que muestre el apoyo y compromiso
•Política de almacenamiento
•Política de transferencia
Política de Seguridad de la información
Aprobación de roles y responsabilidaddes en el sistema de gestión de la información
Plan de comunicación de las políticas y decisiones
Elaboración de documentación de todos los procesos
38
BS 10008 Relevancia y admisibilidad legal de la infomación electrónica- especificación.
Implementación y operación del sistema de gestión de la informaciónCaptura de la información
Tratamiento de los ficheros autoejecutables;Documentos compuestos
Control de versiones; Almacenamiento de la información
Transferencia de la información
Indexación y otros metadatos;Suministro de la información
Identificación;Eliminación
Procedimientos de seguridad: derechos acceso, firmas digitales, encriptación, copias de seguridad, continuidad de negocio, mantenimiento
Servicios externalizados
Plan de pruebas
39
BS 10008 Relevancia y admisibilidad legal de la infomación electrónica- especificación.
Seguimiento y revisión del sistema de gestión de la información
Auditoría interna
Revisión periódica del sistema de gestión documental por los órganos directivos
40
BS 10008 Relevancia y admisibilidad legal de la infomación electrónica- especificación.
Mantenimiento y mejora del sistema de gestión de la información
Seguimiento y revisión de los procesos de gestión incorporando las mejoras y requisitos que surjan de las auditorías o revisiones
Diseño de acciones preventivas y correctivas
Mejora continua
Ciclo Plan-Do-Check-Act (PDCA)
41
La auditoría informáticacomo apoyo de
las auditorías financieras
¿Es necesario en entornos informatizados?
Normas auditoría: Decisión del auditor financiero
42
La auditoría informáticacomo apoyo de
las auditorías financieras
Cuando posibilita el cambio de enfoque de auditoría
Cuando excede las competencias requeridas a un auditor financiero
43
AUDITORÍA-FISCALIZACIÓN
ENTORNOS INFORMATIZADOS:
Sencillos: auditor financiero tradicional + formación CAATs y auditoría de sistemas de información
Complejos: Auditoría de SI de apoyo por auditores de sistemas
44
¿Qué es la auditoría de SI?
AUDITORÍA DE SI
La auditoría de Sistemas de Información (SI) consiste en la emisión
de una opinión (por parte de un auditor de sistemas de información independiente) en base a un trabajo de auditoría realizado de acuerdo con unas normas concretas, sobre:
si los sistemas de información de una entidad se gestionan de forma que existe una alineación entre ellos y los objetivos generales de la entidad, si garantizan la integridad, disponibilidad y confidencialidad de la información contenida en los sistemas de información, si se gestionan los activos del sistema de manera económica, eficiente y eficaz.si se protegen adecuadamente los activos.
También es una auditoría de SI un trabajo de las características indicadas, limitado a alguno o algunos de los aspectos a que nos hemos referido, en cuyo caso el alcance del trabajo deberá quedar perfectamente identificado en el informe resultado del trabajo.
45
Tipos de auditoría de SI en función de su alcance:
Revisión general de los SI y de las aplicaciones: Opinión de auditoría sobre SI general
Revisión limitada a los controles implantados en los SI y a las aplicaciones que gestionan los procesos de negocio fiscalizados: apoyo a las auditorías financieras, de legalidad y operativas
Otros tipos: LOPD, intrusión, seguridad, limitadas a otros aspectos de los SI. …
AUDITORÍA DE SI
46
Marco normativo de referencia para la auditoría de sistemas de información:
Normas de auditoría de Sistemas de informacióny guías de ISACA
Formación CISAEstándares generalmente
aceptados gestión de SI: Cobit, ISO 27002 sobre seguridad de la nformación
AUDITORÍA DE SI
47
Análisis de Riesgos
AREA DE INFORMACIÓN FINANCIERA
REM
ÁREA DE TI
ENFOQUE AUDITORÍA SI APOYO AUDITORIA FINANCIERA
REM= RIESGO ERRORES MATERIALES EN ESTADOS FINANCIEROS
*Tommie W Singleton, ISACA Journal 4-2009
48
Análisis de Riesgos
ÁREAS DE GESTIÓN
IO E E
ÁREA DE TI
ENFOQUE AUDITORÍA SISTEMAS Y AUDITORÍA OPERATIVA
IOEE= IMPACTO TI SOBRE OBJETIVOS ESTRATÉGICOS DE LA ENTIDAD
49
Trabajos a realizar:
Análisis de procesos de negocio o actividad, riesgos y controles
implantadosRevisión controles generales de
los sistemas de informaciónRevisión de los controles de las
aplicacionesPruebas masivas de datos
AUDITORÍA DE SI
50
Revisión de Controles generales
Objetivo:Verificar y evaluar el ambiente general de control interno imperante en el área de sistemas de la entidad, para realizar un diagnóstico de las principales debilidades de control existentes y sus riesgos asociados.
Alcance:Esta revisión alcanza las actividades realizadas por el área de sistemas en la administración y gestión del departamento e incluye-Estrategia y planificación de la fuentes de información-Operaciones de los sistemas de información-Seguridad de la información- Adquisición, desarrollo y mantenimiento de los sistemas
51
Revisión de Controles de aplicación
Objetivos:- Efectuar una revisión de los controles
implantados en el sistema y la correcta aplicación de los mismos sobre los procesos de negocio soportados por la aplicación.
- Efectuar un diagnóstico del estado de definición de la seguridad aplicativa del sistema bajo revisión, indicando los principales riesgos relacionados con los accesos a los que se encuentra expuesta la entidad.
- Verificar la integridad, calidad y fiabilidad de los datos de la aplicación.
52
Funciones de los órganos de control externo a las que aporta valor la auditoría de SI:
Evaluación de la economía y eficiencia derivada del uso más o menos intensivo de las TI por los entes fiscalizados
Evaluación de la eficacia mediante la verificación de la alineación de los SI de los entes con sus objetivos corporativos
Análisis y comprensión de los controles informáticos implantados por los entes auditados: correcta evaluación del riesgo de auditoría
Apoyo a los equipos de fiscalización en la explotación de la información rendida en soporte informático: evidencia digital
Emisión de recomendaciones para mejorar los niveles de seguridad en los SI auditados que permitan incrementar los niveles de disponibilidad, integridad y confidencialidad de la información los entes auditados
AUDITORÍA DE SI
53
Aportación de la auditoría de SI a la actividad de los OCEX respecto a la gestión de la actividad de los entes fiscalizados:
1) Concienciación en materia de seguridad y gestión de los SI en las entidades fiscalizadas: integridad, disponibilidad y confidencialidad de la información.
2) Control y protección de los activos de SI3) Análisis y detección de riesgos en los SI:
- Alineación de la gestión de SI con los objetivos y funciones corporativos de la entidad pública.- Ausencia de segregación de funciones en los gestores de los sistemas.- Control de accesos a los SI- Políticas de antivirus y detección de intrusos- Aprobación de políticas de seguridad de la información - Existencia de planes de continuidad de negocio- Cumplimiento regulatorio: LOPD, licencias software, …- Seguimiento (monitorización) sobre los accesos a activos de SI críticos.- Normas sobre ciclo de vida de desarrollo del software- Test de intrusión
AUDITORÍA DE SI
54
4) Análisis y detección de riesgos en los procesos de negocio gestionados a través de aplicaciones informáticas
-Ausencia de segregación de funciones en los usuarios de las aplicaciones.
- Implantación y efectividad de controles de aplicación.
5) Recomendaciones de mejora en la gestión de los SI: Economía, eficiencia y eficacia en la gestión de los SI y, en consecuencia, de los niveles generales de EEE de la
entidad.
AUDITORÍA DE SI
55
PASOS PARA LA IMPLANTACIÓN DE LA AUDITORÍA DE SI EN UN ÓRGANO DE CONTROL EXTERNO
Inclusión en los objetivos estratégicos de la función de auditoría de sistemas: toma de decisiones
Planificación de la implantación de la auditoría de SI en un órgano de control externo
Creación y asignación de funciones los puestos de trabajo
Formación y capacitación del personalAsesoramiento necesario, en su caso.Inicio de la actividadEvaluación de resultados
ESTRATEGIA PARA AUDITORÍA DE SI
56
Creación de la función de auditoría de sistemas en la Sindicatura de Comptes de la Comunitat Valenciana:
- Formación del personal (cursos auditor SI CISA de ISACA): actualmente 6 personas con la formación, 2 de ellas en posesión de la certificación CISA.
- Creación del Gabinete Técnico y del puesto de trabajo de la Unidad de Auditoría de SI y apoyo
- Contratación de asesoramiento especializado- Inicio de las auditorías de SI con el trabajo coordinado de
los equipos tradicionales que cuentan con formación en auditoría de sistemas y la unidad de auditoría de sistemas
- Firma de un convenio marco de colaboración entre Sindicatura de Comptes e ISACA-CV
ESTRATEGIA PARA AUDITORÍA DE SI
57
Costes de la implantación de la auditoría de sistemas en la actividad de los OCEX:
1) Costes de personal: Puestos de trabajo asignados a esta tarea
2) Costes de formación: técnicas muy especializadas
3) Costes de asesoramiento inicial (mayores) y costes de asesoramiento puntual una vez se cuenta con un equipo formado.
ESTRATEGIA PARA AUDITORÍA DE SI
58
ESTRATEGIA AUDITORÍA DE SI
Se impone un análisis coste-beneficio en los que hay que considerar:
Dependencia de los entes fiscalizados de los SINecesidad de evaluación de controles de SI para las
fiscalizaciones a realizarAportación de los SI a la economía y eficiencia de los
entes auditadosRiesgos derivados del uso intensivo de SI por parte
de los entes fiscalizadosPrevisiones sobre la evolución en el uso de
Tecnologías de la Información por los entes fiscalizadosPosible incidencia de las auditorías de SI sobre la
gestión de los aspectos anteriores por los entes auditadosVerificación de la calidad de la evidencia informática
y su tratamiento
59
INFORMES AUDITORÍA DE SI
Informes de la Sindicatura de Comptes de la Comunitat Valenciana que contienen una revisión de los SI de la entidad fiscalizada (disponibles en www.sindicom.gva.es):
-Ciegsa y Vaersa 2006-Ciegsa y Vaersa 2007-IMPIVA 2007 y Fundación Palau de les Arts Reina Sofia 2007
60
CONCLUSIONES AUDITORÍA DE SI
Resumen de incidencias detectadas en uno de los casos:a) Respecto a controles generales de SI-La entidad no cuenta con un plan de recuperación de negocio- No dispone de plan de concienciación de seguridad de la información-Usuarios genéricos, procedimientos de gestión de usuarios inadecuados o políticas de autenticación débiles-Debilidades en las medidas de protección física del CPD- Aplicaciones web con acceso desde Internet no seguras- Inexistencia de metodología formal de desarrollo de aplicaciones (formalización requisitos previos, documentación, pruebas)
61
CONCLUSIONES AUDITORÍA DE SI
b) Respecto a controles de aplicación- Ausencia de controles en la aplicación para la contratación: se puede facturar por importe superior al presupuesto, se pueden introducir facturas anteriores al contrato, es posible registrar dos veces la misma factura.
- No están implementados en la aplicación determinados procedimientos.
- Ausencia de validaciones de datos de entrada.
- Los perfiles de capacidades de algunos usuarios no se adecuan a las funciones de sus puestos.
- Ausencia segregación de funciones usuarios departamento financiero.
62
AUDITORÍA DE SI
Recomendaciones efectuadas sobre controles generales de los si:-Definir un plan de continuidad de negocio- Definir una estrategia de concienciación de la seguridad- Adecuar las normas de gestión de usuarios y autenticación- Actualizar el firewall con protección antiintrusos e implementar protocolos de acceso seguro por Internet (https).- Definir las normas de desarrollo de aplicaciones de acuerdo con los estándares generalmente aceptados.
63
AUDITORÍA DE SI
Recomendaciones efectuadas sobre los controles de aplicación:-Definir procedimiento para la aprobación de encomiendas anticipadas y desarrollar un procedimiento para su gestión- Adecuar e implementar los controles de aplicación: controles validación de datos, y sobre determinadas fases del proceso de gasto- Incrementar los controles del módulo de facturación- Implementar una política de formación sobre el uso de la aplicación
64
RESULTADOS AUDITORÍA DE SI
En las siguientes fichas se muestra el grado de implantación de las recomendaciones realizadas en la revisión de seguimiento realizada en el ejercicio siguiente.
65
AUDITORÍA DE SI
Seguimiento recomendaciones efectuadas sobre controles generales:
66
AUDITORÍA DE SI
Seguimiento recomendaciones efectuadas sobre controles de aplicación:
67
APORTACIÓN AUDITORÍA DE SI
Valor de los informes de SI para el trabajo de fiscalización de la Sindicatura:
- Mejor análisis, revisión y valoración de los controles implantados a través de las aplicaciones.- Posiblilidad de valorar adecuadamente el riesgo de control en la entidad y sus SI- Valoraciones adecuadas del riesgo de auditoría para orientar las pruebas de auditoría a la reducción del mismo
68
APORTACIÓN AUDITORÍA DE SIValor de los informes para los entes auditados:- Aportación de una opinión externa sobre sus sistemas de información- Subsanación de vulnerabilidades detectadas- Mejora niveles integridad, disponibilidad y confidencialidad de la información- Valoración y reconocimiento de la función del área de sistemas de información de las entidades: positiva para que se aprueben los presupuestos de estos departamentos- Seguimiento de recomendaciones
69
AUDITORÍA DE SIContribuir a prevenir:
70
AUDITORÍA DE SIContribuir a prevenir:
71
AUDITORÍA DE SI
Contribuir a prevenir:
72
AUDITORÍA DE SIContribuir a favorecer:
73
AUDITORÍA DE SI
Contribuir a favorecer:
74
MUCHAS GRACIAS POR SU ATENCIÓN
PREGUNTAS