slide1
Download
Skip this Video
Download Presentation
AUDITORÍA DE SISTEMAS DE INFORMACIÓN (SI) Y EL CONTROL EXTERNO DEL SECTOR PÚBLICO

Loading in 2 Seconds...

play fullscreen
1 / 24

Alejandro Salom Campos Unidad de Auditor a de Sistemas de Informaci n y Apoyo Sindicatura de Comptes de la Comunitat Val - PowerPoint PPT Presentation


  • 96 Views
  • Uploaded on

Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información y Apoyo Sindicatura de Comptes de la Comunitat Valenciana Vitoria, 7 de mayo de 2009 [email protected] AUDITORÍA DE SISTEMAS DE INFORMACIÓN (SI) Y EL CONTROL EXTERNO DEL SECTOR PÚBLICO. AUDITORÍA DE SI.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Alejandro Salom Campos Unidad de Auditor a de Sistemas de Informaci n y Apoyo Sindicatura de Comptes de la Comunitat Val' - jaguar


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Alejandro Salom CamposUnidad de Auditoría de Sistemas de Información y ApoyoSindicatura de Comptes de la Comunitat ValencianaVitoria, 7 de mayo de [email protected]

AUDITORÍA DE SISTEMAS DE INFORMACIÓN (SI) Y EL CONTROL EXTERNO DEL SECTOR PÚBLICO

auditor a de si
AUDITORÍA DE SI
  • La auditoría de Sistemas de Información (SI) consiste en la emisión de una opinión (por parte de un auditor de sistemas de información independiente) en base a un trabajo de auditoría realizado de acuerdo con unas normas concretas, sobre:
  • si los sistemas de información de una entidad se gestionan de forma que existe una alineación entre ellos y los objetivos generales de la entidad,
  • si garantizan la integridad, disponibilidad y confidencialidad de la información contenida en los sistemas de información,
  • si se gestionan los activos del sistema de manera económica, eficiente y eficaz.
  • si se protegen adecuadamente los activos.

También es una auditoría de SI un trabajo de las características indicadas, limitado a alguno o algunos de los aspectos a que nos hemos referido, en cuyo caso el alcance del trabajo deberá quedar perfectamente identificado en el informe resultado del trabajo.

¿Qué es la auditoría de SI?

auditor a de si1
AUDITORÍA DE SI

Funciones de los órganos de control externo a las que aporta valor la auditoría de SI:

  • Evaluación de la economía y eficiencia derivada del uso más o menos intensivo de las Tecnologías de la Información por los entes fiscalizados
  • Evaluación de la eficacia mediante la verificación de la alineación de los SI de los entes con sus objetivos corporativos
  • Análisis y comprensión de los controles informáticos implantados por los entes auditados: correcta evaluación del riesgo de auditoría
  • Apoyo a los equipos de fiscalización en la explotación de la información rendida en soporte informático
  • Emisión de recomendaciones para mejorar los niveles de seguridad en los SI auditados que permitan incrementar los niveles de disponibilidad, integridad y confidencialidad de la información los entes auditados
auditor a de si2
AUDITORÍA DE SI

Tipos de auditoría de SI en función de su alcance:

  • Revisión general de los SI y de las aplicaciones: Opinión de auditoría sobre SI general
  • Revisión limitada a los controles implantados en los SI y a las aplicaciones que gestionan los procesos de negocio fiscalizados: apoyo a las auditorías financieras, de legalidad y operativas
  • Otros tipos: LOPD, intrusión, seguridad, limitadas a otros aspectos de los SI. …
auditor a de si3
AUDITORÍA DE SI

PASOS PARA LA IMPLANTACIÓN DE LA AUDITORÍA DE SI EN LOS ÓRGANOS DE CONTROL EXTERNO

  • Inclusión en los objetivos estratégicos de la función de auditoría de sistemas: toma de decisiones
  • Planificación de la implantación de la auditoría de SI en un órgano de control externo
  • Asignación de funciones los puestos de trabajo
  • Formación y capacitación del personal
  • Asesoramiento necesario, en su caso.
  • Inicio de la actividad
  • Evaluación de resultados
auditor a de si4
AUDITORÍA DE SI

Aportación de la auditoría de SI a la actividad de los OCEX respecto a la gestión de la actividad de los entes fiscalizados:

  • Concienciación en materia de seguridad y gestión de los SI en las entidades fiscalizadas: integridad, disponibilidad y confidencialidad de la información.
  • Control y protección de los activos de SI
  • Análisis y detección de riesgos en los SI:

- Alineación de la gestión de SI con los objetivos y funciones corporativos de la entidad pública.

- Ausencia de segregación de funciones en las gestores de los sistemas.

- Control de accesos a los SI

- Políticas de antivirus y detección de intrusos

- Aprobación de políticas de seguridad de la información

- Existencia de planes de continuidad de negocio

- Cumplimiento regulatorio: LOPD, licencias software, …

- Seguimiento (monitorización) sobre los accesos a activos de SI críticos.

- Normas sobre ciclo de vida de desarrollo del software

- Test de intrusión

auditor a de si5
AUDITORÍA DE SI

4) Análisis y detección de riesgos en los procesos de negocio gestionados a través de aplicaciones informáticas

-Ausencia de segregación de funciones en los usuarios de las aplicaciones.

- Implantación y efectividad de controles de aplicación.

5) Recomendaciones de mejora en la gestión de los SI: Economía, eficiencia y eficacia en la gestión de los SI y, en consecuencia, de los niveles generales de EEE de la entidad.

auditor a de si6
AUDITORÍA DE SI

Creación de la función de auditoría de sistemas en la Sindicatura de Comptes de la Comunitat Valenciana:

  • Formación del personal (cursos auditor SI CISA de ISACA): actualmente 6 personas con la formación, 2 de ellas en posesión de la certificación CISA.
  • Creación del Gabinete Técnico y del puesto de trabajo de la Unidad de Auditoría de SI y apoyo
  • Contratación de asesoramiento especializado
  • Inicio de las auditorías de SI con el trabajo coordinado de los equipos tradicionales que cuentan con formación en auditoría de sistemas y la unidad de auditoría de sistemas
  • Firma de un convenio marco de colaboración entre Sindicatura de Comptes e ISACA-CV
auditor a de si7
AUDITORÍA DE SI

Costes de la implantación de la auditoría de sistemas en la actividad de los OCEX:

  • Costes de personal: Puestos de trabajo asignados a esta tarea
  • Costes de formación: técnicas muy especializadas
  • Costes de asesoramiento inicial (mayores) y costes de asesoramiento puntual una vez se cuenta con un equipo formado.
auditor a de si8
AUDITORÍA DE SI

Se impone un análisis coste-beneficio en los que hay que considerar:

  • Dependencia de los entes fiscalizados de los SI
  • Aportación de los SI a la economía y eficiencia de su actividad
  • Riesgos derivados del uso intensivo de SI por parte de los entes fiscalizados
  • Previsiones sobre la evolución en el uso de Tecnologías de la Información por los entes fiscalizados
  • Posible incidencia de las auditorías de SI sobre la gestión de los aspectos anteriores por los entes auditados
  • Verificación de la calidad de la evidencia informática
auditor a de si9
AUDITORÍA DE SI

Informes de la Sindicatura de Comptes de la Comunitat Valenciana que contienen una revisión de los SI de la entidad fiscalizada (disponibles en www.sindicom.gva.es):

  • Ciegsa y Vaersa 2006
  • Ciegsa y Vaersa 2007
  • IMPIVA 2007 y Fundación Palau de les Arts Reina Sofia 2007
auditor a de si10
AUDITORÍA DE SI

Resumen de incidencias detectadas en uno de los casos:

a) Respecto a controles generales

  • La entidad no cuenta con un plan de recuperación de negocio
  • No dispone de plan de concienciación de seguridad de la información
  • Usuarios genéricos, procedimientos de gestión de usuarios inadecuados o políticas de autenticación débiles
  • Debilidades en las medidas de protección física del CPD
  • Aplicaciones web con acceso desde Internet no seguras
  • Inexistencia de metodología formal de desarrollo de aplicaciones (formalización requisitos previos, documentación, pruebas)
auditor a de si11
AUDITORÍA DE SI

b) Respecto a controles de aplicación

  • Ausencia de controles en la aplicación para la contratación: se puede facturar por importe superior al presupuesto, se pueden introducir facturas anteriores al contrato, es posible registrar dos veces la misma factura.
  • No están implementados en la aplicación determinados procedimientos.
  • Ausencia de validaciones de datos de entrada.
  • Los perfiles de capacidades de algunos usuarios no se adecuan a las funciones de sus puestos.
  • Ausencia segregación de funciones usuarios departamento financiero.
auditor a de si12
AUDITORÍA DE SI

Recomendaciones efectuadas sobre controles generales:

  • Definir un plan de continuidad de negocio
  • Definir una estrategia de concienciación de la seguridad
  • Adecuar las normas de gestión de usuarios y autenticación
  • Actualizar el firewall con protección antiintrusos e implementar protocolos de acceso seguro por Internet (https).
  • Definir las normas de desarrollo de aplicaciones de acuerdo con los estándares generalmente aceptados.
auditor a de si13
AUDITORÍA DE SI

Recomendaciones efectuadas sobre los controles de aplicación:

  • Definir procedimiento para la aprobación de encomiendas anticipadas y desarrollar un procedimiento para su gestión
  • Adecuar e implementar los controles de aplicación: controles validación de datos, y sobre determinadas fases del proceso de gasto
  • Incrementar los controles del módulo de facturación
  • Implementar una política de formación sobre el uso de la aplicación
auditor a de si14
AUDITORÍA DE SI

En las siguientes fichas se muestra el grado de implantación de las recomendaciones realizadas en la revisión de seguimiento realizada en el ejercicio siguiente.

auditor a de si15
AUDITORÍA DE SI

Seguimiento recomendaciones efectuadas sobre controles generales:

auditor a de si16
AUDITORÍA DE SI

Seguimiento recomendaciones efectuadas sobre controles de aplicación:

auditor a de si17
AUDITORÍA DE SI

Valor de los informes para los entes auditados:

- Aportación de una opinión externa sobre sus sistemas de información

  • Subsanación de vulnerabilidades detectadas
  • Mejora integridad, disponibilidad y confidencialidad de la información
  • Valoración y reconocimiento de la función del área de sistemas de información de las entidades: positiva para que se aprueben los presupuestos de estos departamentos
  • Seguimiento de recomendaciones
auditor a de si18
AUDITORÍA DE SI

Contribuir a prevenir:

auditor a de si19
AUDITORÍA DE SI

Contribuir a prevenir:

auditor a de si20
AUDITORÍA DE SI

Contribuir a prevenir:

auditor a de si21
AUDITORÍA DE SI

Contribuir a favorecer:

auditor a de si22
AUDITORÍA DE SI

Contribuir a favorecer:

ad