AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS.

AUDITORÍAAUDITORÍAA

ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

AUDITORÍAAUDITORÍA

AUDITORÍA DE SISTEMAS

INFORMÁTICOS


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Estándares

Proyectos de Auditoría

Desafíos de la Auditoría de TI

Marco normativo

Casos prácticos


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Marco Normativo

SIGEN

- SDG AUI: Sub. Gral. de Auditoría Interna.- DI AUOC: Dir. Auditoría de Operaciones Centrales.- DE AUSI: Dep. Auditoría de Sistemas Informáticos.- SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones.

SDG AUISDG AUISDG AUISDG AUISDG SIT (TI)SDG SIT (TI)SDG SIT (TI)SDG SIT (TI)

Referencias:

DI AUOCDI AUOC

DE AUSIDE AUSI

SDG SIT- cuenta con sus propias regulaciones


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Resolución 48/05 (SIGEN)

Marco Normativo

Resolución 152/02 (SIGEN)


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Marco Normativo – RG 152/02 (SIGEN)

Resolución 152/02 (SIGEN):

Instaura un cuerpo de Normas de Auditoría Interna Gubernamental.

Adopta los conceptos de la Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna.

Incluye tareas especificas para las Auditorías de Sistemas Informáticos.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1


Objetivos de Control Interno para TI

Ciclo de vida para el desarrollo y mantenimiento de software.

Calidad y atributos de la información electrónica.

Documentación de Sistemas.

Controles incorporados a las aplicaciones desarrolladas.

Planes de continuidad y contingencia de negocios.

Plan de capacitación continua de usuarios.

Nivel de satisfacción.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1


Resolución 48/05 (SIGEN):

NORMAS DE CONTROL INTERNO PARA TECNOLOGÍA DE LA INFORMACIÓN DEL SECTOR PÚBLICO NACIONAL.

Vigente desde el año 2005.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1


Destinatarios:

Responsables de los organismos.

Responsables informáticos.

Auditores.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1


Objetivos de Control Interno: Se incluyen pautas sobre aspectos especificos de TI

Organización Informática.

Plan Estratégico de TI.

Arquitectura de la Información.

Políticas y Procedimientos.

Cumplimiento de Regulaciones Externas.

Administración de Proyectos.

Desarrollo, Mantenimiento o Adquisición de Software de Aplicación.

Adquisición y Mantenimiento de la Infraestructura Tecnológica.

Seguridad Informática.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1



ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1


Ventajas:

Establece un marco de control homogeneo.

Resumen de Buenas Prácticas


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

ISO 17799

COBITCOBIT

ISO 17799

COBIT (Control Objectives for Information and Related Technology).

Se compone de 34 procesos de alto nivel y 210 objetivos de control.

Estándares

Código de Práctica para la Administración de la Seguridad de la Información.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

ADQUISICION EIMPLANTACION

ENTREGA Y SOPORTE

• datos• sistemas de

aplicación• tecnología• instalaciones• gente

MONITOREO

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

RECURSOS DE TI

OBJETIVOS DE NEGOCIO

GOBIERNO DE TI

Dominios de Control

en Tecnología de Información

PLANEACIÓN Y ORGANIZACIÓN

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Estándares - COBIT


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Estándares - COBIT


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Estándares - Mapping

Res. 48/ 05 SGN CobiT1 - Organización I nformática PO – Planificacion y Organización

2 - Plan Estratégico de TI PO – Planificacion y Organización3 - Arquitectura de la I nformación PO2 – Definición de la estructura de la I nformación

4 - Políticas y Procedimientos

5 - Cumplimiento de Regulaciones Externas

6 - Administración de Proyectos PO10 – Administración de proyectos.AI 2 – Adquirir y mantener el software aplicativo

9 - Seguridad PO6.8 – Política marco de seguridad y Ctrol I nternoAI .5 – Adquirir recursos de TI

11 - Servicios de I nternet / Extranet / I ntranet AI 3 - Adquirir y mantener infraestructura tecnológica12 – Monitoreo de los Procesos M1 – Monitoreo de los Procesos

13 – Auditoría I nterna de Sistemas M4 – Provisión de auditoría independiente

P06 – Comunicación de los objetivos y directivas de la gerencia

PO7 – Garantia del cumplimiento de los requisitos internos

7 - Desarrollo, Mantenimiento o Adquisición de Software de Aplicación

8 - Adquisición y Mantenimiento de la I nfraestructura Tecnológica

AI 3 - Adquisición y Mantenimiento de la I nfraestructura Tecnológica

10 - Servicios de Procesamiento y/ o soporte Prestado por Terceros


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Estándares

Proceso de adopción de COBIT:

2005 – Creación de grupo mixto Auditoría + TI.

2006 – Talleres conjuntos en ISACA (Arg).

2007 – Inclusión de Objetivos COBIT en la programación de auditorías.

2008 – Adquisición de producto GRC para administración de riesgos.

2009 – Primeras auditorías evaluando procesos y riesgos con perspectiva GRC.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Proyectos de Auditorías

En la actualidad en el Departamento DE AUSI se practican:

Auditorias de gestión de TI (basadas en CobiT).

Auditorias de sistemas aplicativos y bases de datos.

Auditorias de revisión limitada (objetivo puntual y acotado en alcance).

Auditorias forenses (verificaciones de hechos denunciados).

Auditorias de seguridad

Test de penetración y análisis de vulnerabilidades

Seguridad en accesos

Seguridad física

Cumplimiento de las Políticas de Seguridad de la Información de AFIP


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Desafios de la Auditoría de TI

Desafios de la Auditoría de TI:

Ambiente auditado altamente dinámico provocado por cambios tecnológicos continuos.

Necesidad de capacitación en últimas tendencias tecnológicas.

Alta interrelación entre aplicaciones.

Compleja trazabilidad motivada por la diversidad de plataformas.

Necesidad de contar con personal con distintos perfiles y visiones profesionales.

Programas diferentes para igual objetivo de control.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Marco normativo área de TI

Casos Prácticos

CASO 1. Auditoría de desarrollo y mantenimiento de sistemas.

CASO 2. Auditoria de compras y contrataciones.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Marco Normativo área de TI

““ Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado).Información (Parte pertinente con el objeto auditado). ””

•Definir una apropiada segregación de funciones y separación de ambientes, a fin de no comprometer a la seguridad de la información.

•Introduce los conceptos de ambientes de desarrollo, prueba y homologación.

•Regula las responsabilidades de las áreas definidoras, homologación, control de calidad y Seguridad.

Establece

Ámbito de aplicación •Todos los recursos informáticos de la AFIPTodos los recursos informáticos de la AFIP..

Destinatarios

•Las áreas responsables del desarrollo, Las áreas responsables del desarrollo, control de calidad, homologación y puesta control de calidad, homologación y puesta en producción de sistemas informáticos en producción de sistemas informáticos (SLDC). (SLDC).

•El oficial de seguridad informática El oficial de seguridad informática participa en la definición de las pautas de participa en la definición de las pautas de seguridad que debe cumplir los sistemas seguridad que debe cumplir los sistemas desarrollados según el entorno de desarrollados según el entorno de operativo.operativo.

•Las áreas responsables de la contratación Las áreas responsables de la contratación de sistemas ó programas a medida.de sistemas ó programas a medida.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1


“Instrucción General N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y

mantenimiento de sistemas informáticos en la AFIP. ”

•Definir pautas y documentación entregable para el proceso de desarrollo y mantenimiento de sistemas que se realice dentro del ámbito de la SDG SIT.

Objetivo

Establece

•Las etapas del ciclo de vida de las Las etapas del ciclo de vida de las aplicaciones.aplicaciones.

•Roles y responsabilidades.Roles y responsabilidades.•Contenidos minimos de la Contenidos minimos de la documentación y/o entregables de documentación y/o entregables de cada etapa.cada etapa.

•Vigente desde el 2005Vigente desde el 2005


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

Ejemplos de contenidos mínimos

En la “Fase de Definición” se utiliza el documento REQ – Requerimiento de Sistemas

· Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un área, indicando prioridades y la justificación del pedido.· Responsables: Este documento debe ser aprobado por el Responsable del Área Definidora.· Contenido mínimo requerido: Solicitud del requerimiento: Datos del Área Definidora, Descripción, Alcance, Beneficios y Restricciones, Impacto, Asignación de prioridad, Fecha requerida de puesta en producción. Recepción del requerimiento: Datos del Área Informática, Objetivo (nuevo desarrollo de sistemas y/o mantenimiento).

En la “Fase de Implementación” se utiliza el DAP - Documento de Pase a Producción

· Objetivo: Especificar la puesta efectiva en producción del sistema· Responsables: Este documento debe ser aprobado por el Responsable del Área de Control de Calidad.· Contenido mínimo requerido: Fecha de Puesta en Producción. Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos y de negocio (criterios de éxito). Mecanismos de recuperación ante caídas en operación. Procedimientos de restauración de versiones anteriores.



ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

“Caso 1 - Auditoría de Desarrollo y Mantenimiento de Sistemas.”

•Evaluar los procedimientos o metodo-Evaluar los procedimientos o metodo-logías utilizadas en las actividades de logías utilizadas en las actividades de desarrollo y mantenimiento de desarrollo y mantenimiento de sistemas.sistemas.

Objeto de la auditoría

Alcance

•Relevar y analizar el cumplimiento de la normativa aplicable y las actividades de control relativos al proceso de desarrollo y mantenimiento de sistemas, con cada una de las áreas intervinientes en el proceso.

Marco Normativo

•Disposición N°76/05 AFIPDisposición N°76/05 AFIP – Manual de – Manual de Políticas de Seguridad de la Información Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado).(Parte pertinente con el objeto auditado).

• IG. N° 2/05 (SDG SIT)IG. N° 2/05 (SDG SIT) y Anexos – Pautas y Anexos – Pautas para el desarrollo y mantenimiento de para el desarrollo y mantenimiento de sistemas informáticos en la AFIP.sistemas informáticos en la AFIP.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

CARACTERISTICAS DEL ENTORNO A AUDITAR:

• No existen en la AFIP una unica área de desarrollo, sino seis (6). Una por cada unidad de negocio y todas dependen de la SDG SIT.

• Diversas áreas definidoras y/o solicitantes de requerimientos.

• Diversidad de lenguajes y entornos de producción.

• La dotación es de más 600 personas

• Aplicativos cedidos a otros Organismos.

SDG SIT

Dirección de Informática Tributaría Dirección de Informática de Fiscalización Dep. Informática de Administración Dirección de Informática Aduanera Dir. De Inf. Rec. de la Seguridad Social Dep. Informática Jurídica y Colaborativa


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

PLANIFICACIÓN DE LA AUDITORÍA:

• El programa de auditoría se basó en el estándar COBIT y se adaptó a las particularidades de la AFIP.

• Constitución de varios equipos de trabajo.

• Se ejecutaron en dos (2) auditorías

La primer auditoría abarco 3 áreas de desarrollo y la segunda incluyo a las áreas de desarrollo restantes, más las áreas de soporte y definidoras.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

EJECUCIÓN DEL CASO 1:

Elaboración de cuestionarios.

Entrevistas.

Visualización.

Selección de muestra de los sistemas críticos.

Análisis de log / Revisión de accesos, permiso y usuarios.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

Cómo se evaluó la Disp 76/05 AFIP?:

Se analizó la segregación de funciones desde distintos aspectos:

a) Estructura Orgánica.

- Se encuentran definidas las áreas de desarrollo, de calidad, y de homologación en la estructura del Organismo?

- Funcionan independiente y responden a distintas jefaturas?

b) Ambientes.

- Los tareas desarrollo, control de calidad y homologación se realizan en distintos equipos y/o los ambientes son independientes?

- Los usuarios de cada entorno responden al rol y la función del agente.?


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

Cómo se evaluó la IG. 02/05 SDG SIT?:

Se analizó el cumplimiento de la normativa mediante la solicitud y evaluación de la calidad de la documentación de los sistemas críticos seleccionados, dando especial importancia a los siguientes aspectos:

a) Participación del área definidora en los proyectos de nuevos desarrollos.

b) Los controles en las etapas del ciclo de vida.

c) La conformidad de las áreas de calidad.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 1

PRESENTACIÓN DE RESULTADOS:

C argo: C SI – 35/2007

Asunto: Auditoría de D esarrollo y M antenim iento de S istem as

Tipo de Auditoría : Operac ional – N o P lanificada – D e S is tem as Inform áticos

Puntos a R evisar Tareas Fecha Auditor Papeles de trabajo Observaciones y C om entarios R es.

48 /

05

19/11/07 al 26/11/07

LQ GBD S

C ues tionario C ontrol Interno. En respues ta al cues tionario de control interno, el área auditada m enc iona que las áreas definidoras

de las aplicac iones no utilizan la I.G. N ° 2/05 (SD G S IT) para solic itar los requerim ientos . ( C C 1 –

R espuesta N ° 7 ).

Selección de M uestra para D E IN TE: Los s is tem as inc luidos son: S is tem a Bonos C uenta C orriente, S is tem a Ú nico de Garantía, SEFIA , C lave Fiscal – Adm inis trac ión de R elac iones , Quaes tor. ( C C 1 – R espuesta N ° 1 – Anexo 1 ).

LQ GB D S

C ues tionario C ontrol Interno – Parte 2.

E l cues tionario de control interno com plem entario, el Ex – D E IN TE m anifies ta que la docum entac ión es ta alm acenada en el C VS – “C oncurrent Vers ion Sys tem ”. (C C 2 – R espuesta N ° 11 ).

E l Ex – D epartam ento Internet no rec ibió definic iones ni docum entos de las áreas definidoras , que aborden tem as com o la c las if icac ión de la inform ac ión ni su disponibilidad, para los nuevos desarrollos en ninguna fase del c ic lo de v ida. (C C 2 - R espuesta N ° 14)

LQ D S

Im pres ión de correos elec trónicos .

Es ta com is ión auditora solic itó por correo elec trónico el env io de la docum entac ión en soportem agnético y detalló el esquem a a utilizar para su pos terior env io.

Lim itación al alcance: H asta el m om ento no se ha rec ibido la docum entac ión solic itada, por lo queno se han podido analizar las docum entos R EQ y D PP de la m ues tra, a fin de verificar elcum plim iento de la norm a.

Se consultó a la D irecc ión de Inform ac ión Es tratégica para Fiscalizac ión (área definidora) sobre los s iguientes tem as :

- Indicar cuál es el procedim iento utilizado para form alizar

la neces idad de desarrollo o m antenim iento de un s is tem a. - Indicar s i se definen las prioridades y la jus tif icac ión del pedido. - Inform ar s i el perfil de la persona que interac túa con el área de desarrollo, corresponde a un analis ta func ional - Inform ar en qué etapas o fases según IG 2/05 (SD G S IT) interac túan con las áreas de desarrollo. (Fase de definic ión, D iseño, C ons trucc ión-H om ologac ión, Im plem entac ión).

28/01/08 al 18/02/08

LQM R

R espuesta C ues tionario C ontrol Interno – Á rea definidora de fiscalizac ión. (C onform ado)

E l área definidora expresa, que ante la neces idad de resolver una s ituac ión/problem a (puede ser un nuevo régim en o s is tem a), se parte de una soluc ión ideal que se va trans form ando en la soluc ión pos ible; teniendo en cuenta los com entarios vertidos en las reuniones m ultidisc iplinarias (áreas usuarias , operativas , técnicas , legal, definidora, etc .), prev ias a la confecc ión del prim er docum ento. (C C I FISC R espuesta N ° 1).

Luego los requerim ientos se form alizan m ediante notas o e-m ail ofic ial, prev ia consulta con las áreas técnicas para ajus tar el docum ento inic ial- o m ediante el E R S. C abe ac larar que no entrego ejem plos de notas o e-m ail que perm itieran evaluar la calidad de inform ac ión contenida en los m ism os. S i se entregó en la reunión el docum ento ER S - P royec to de form ularios prenum erados, que se entregó durante la reunión. (C C I FISC R espuesta N °2 ).

Situación R elevada: P or lo expues to, no se confecc ionan los inform es es tablec idos en fase de

definic ión de la I.G. N °2/05 (SD G S IT). Es ta s ituac ión será inc luida en la observac ión general del LQ GB D S


En respues ta al cues tionario de control interno com plem entario EX – D E IN TE m anifies ta que la docum entac ión es ta alm acenada en el C VS – C oncurrent V ers ion Sys tem . ( C C 2 – R espuesta N ° 11 ).

LQ D S

Im pres ión de correos elec trónicos .

Es ta com is ión auditora solic itó por correo elec trónico el env io de la docum entac ión en soporte m agnético y detalló el esquem a a utilizar para su alm acenam iento.

Lim itación al alcance: H asta el m om ento no se ha rec ibido la docum entac ión solic itada al Ex – D epartam ento Internet, por lo que no fue pos ible analizar la calidad de la inform ac ión contenida en los docum entos entregables o s im ilares espec ificados en la IG. N °02/05 (SD G S IT).

Se consultó a la D irecc ión de Inform ac ión Es tratégica para Fiscalizac ión (área definidora) sobre los s iguientes tem as :

- Indicar s i al m om ento de encarar un nuevo proyec to se efec túan es tudios de fac tibilidad/riesgo.- Indicar s i al m om ento de definir un nuevo desarrollo

(s is tem a / transacc ión) se cons idera la c las if icac ión de la inform ac ión de acuerdo a su c rit ic idad, la definic ión de los perfiles de acceso, elaborac ión de los procedim ientos norm ales y alternativos aplicables ante una denegac ión de serv ic io, y la definic ión de pis tas de auditoría. En caso afirm ativo, adjuntar docum entac ión.

28/01/08 al 18/02/08

LQ M R

R espuesta C ues tionario C ontrol Interno – Á rea definidora de fiscalizac ión. (C onform ado)

E l área definidora expresa, que ante la neces idad de resolver una s ituac ión/problem a (puede ser un nuevo régim en o s is tem a), se parte de una soluc ión ideal que se va trans form ando en la soluc ión pos ible; teniendo en cuenta los com entarios vertidos en las reuniones m ultidisc iplinarias (áreas usuarias , operativas , técnicas , legal, definidora, etc .), prev ias a la confecc ión del prim er docum ento.

En las reuniones m enc ionadas precedentem ente es tán im plíc itos los es tudios de fac tibilidad y de

riesgos ; pero no son form alizados en un docum ento espec ífico. (C C I FISC R espuesta N ° 1)

S ituación R elevada: Por lo expues to, no se form alizan los anális is de riesgos .

E l área entiende que toda la inform ac ión es SEN SIBLE . (C C I FISC R espuesta N ° 5)

S ituación R elevada: A l c las if icar a la inform ac ión com o SEN S IBLE resulta necesaria la desagregac ión m as detallada de la m ism a. Es ta s ituac ión será inc luida en la observac ión general del apartado B – Evaluac ión del cum plim iento de la norm ativa.

D e acuerdo a los s is tem as inform ados en el C C I, pregunta N °1, selecc ionar s is tem a/s o transacc iones según c ritic idad y solic itar es tudios de fac tibilidad.

27/11/07 al 06/02/08

LQ GB D S


En el cues tionario de control interno com plem entario se expresa que el Ex – D epartam ento D E IN TE no realiza es tudios de fac tibilidad ni se rec iben inform es de ese tipo con los requerim ientos de

nuevos desarrollos . ( C C 2 – R espuesta N ° 12 ).

Teniendo en cuenta R oles y R esponsabilidades R elativos a la Seguridad de la Inform ac ión es tablec idos por la D ispos ic ión N °76/2005 – M anual de Políticas de Seguridad de la Inform ac ión; se entiende que el D epartam ento Inform ática Jurídica y C olaborativa (Ex – D epartam ento Internet) no es un área con com petenc ia en la soluc ión de s ituac ión relevada.Se consultó a la D irecc ión de Inform ac ión Es tratégica para

Fiscalizac ión (área definidora) sobre los s iguientes tem as :

- Indicar s i al m om ento de encarar un nuevo proyec to se efec túan es tudios de fac tibilidad/riesgo.

28/01/08 al

18/02/08

LQ

M R

R espuesta C ues tionario

C ontrol Interno – Á rea definidora de fiscalizac ión. (C onform ado)

E l área definidora expresa que ante la neces idad de resolver una s ituac ión/problem a (puede ser un

nuevo régim en o s is tem a), se parte de una soluc ión ideal que se va trans form ando en la soluc ión pos ible; teniendo en cuenta los com entarios vertidos en las reuniones interdisc iplinarias (áreas usuarias , operativas , técnicas , legal, definidora, etc .), prev ias a la confecc ión del prim er docum ento.

En las reuniones m enc ionadas precedentem ente es tán im plíc itos los es tudios de fac tibilidad y de

riesgos ; pero no son form alizados en un docum ento espec ífico. (C C I FISC R espuesta N ° 1)

S ituación R elevada: P or lo expues to, no se form alizan los es tudios de fac tibilidad.

Auditores:

Fecha:Laura Quinteros (LQ), Gabriel B artozzetti (GB )

Lic. D aniel S lavich (D S), Ing. M ariela R odriguez (M R )

PR OC ED IM IE N TO D E AU D ITOR IA

SEC C ION A – EVALU AC IÓN D EL C ON TR OL IN TER N O

A.1 Identificar soluciones autom atizadas

A.1.3. R elevar la exis tenc ia de es tudios de fac tibilidad verificando que los m ism os analicen la pos ibilidad de llevar adelante los requerim ientos , s i se identif icaron los cursos alternativos de acc ión, que satis fagan los m ism os com o as í las dis tintas iterac iones en el desarrollo del es tudio de fac tibilidad.

A .1.2. Verificar s i en tales requerim ientos se inc luye un inform e de anális is de riesgos asoc iados a los procesos organizac ionales que inc luya las am enazas a la integridad, seguridad, disponibilidad y privac idad de los datos , as í com o el cum plim iento de las leyes y dispos ic iones .

D e acuerdo a los s is tem as inform ados en el C C I, pregunta N °1, selecc ionar s is tem a/s o transacc iones según c ritic idad y solic itar form ularios :

PC S (P lan de C ons trucc ión de S oftware) o s im ilar, para verificar el anális is de riesgos .

27/11/07 al 06/02/08

A .1.1. Analizar la docum entac ión entregable, evaluando s i se identificaron las prioridades y espec ificaron y acordaron los requerim ientos de negoc io: func ionales y técnicos , y s i la m ism a garantiza la integridad, exac titud y validez de dichos requerim ientos de negoc ios .

D e acuerdo a los s is tem as inform ados en el C C I, pregunta N °1, selecc ionar s is tem a/s o transacc iones según c ritic idad y solic itar form ularios :

R EQ (R equerim iento de S is tem a) o s im ilar, a f in de identificar las prioridades .

D PP (D ocum ento P relim inar del P royec to) o s im ilar, para verificar el acuerdo de los requerim ientos del negoc io.

27/11/07 al 06/02/08

Trabajo de Campo

Entrevista de Cierre

- Aprobación del auditor -

Observación

Informe Preliminar-IP-

Informe de Auditoría Interna

-IAI-

PAPEL DE TRABAJO (MT)


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

AUDITORÍA CONJUNTA

•Las AUDITORÍAS CONJUNTAS son actividades que tienen por objetivo dar una opinión integral por parte de la UAI.

Definición

Características

Informe Consolidado.Informe Consolidado.•Los destinarios son las áreas Los destinarios son las áreas auditadas.auditadas.

•Se consolida con los informes Se consolida con los informes técnicos o complementarias de técnicos o complementarias de otras áreas de la UAI.otras áreas de la UAI.

Informe Técnico ó Complementario.Informe Técnico ó Complementario.•Los destinatarios son las áreas de la Los destinatarios son las áreas de la UAI que consolidan.UAI que consolidan.

•Emitir una opinión especializada (Ej. Emitir una opinión especializada (Ej. Opinión técnica informática o legal Opinión técnica informática o legal sobre un proceso contable).sobre un proceso contable).


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 2

“Caso 2 - Auditoría de gestión de compras y contraciones de tecnología.”

Objetivo General •Evaluar la gestión de la SDG SIT, con relación al proceso de compras y contrataciones.

Objetivo DE AUGR•Evaluar el cumplimiento del Manual de Contrataciones y la normativa vigente.

Objetivo DE AUSI •Evaluar la razonabilidad técnica y económica de las decisiones de compras efectuadas por el área de TI.

Objeto de la auditoría Conjunta

Alcance Período diciembre de 2007 a abril de 2008

Marco Normativo •Disposición N°65/05 (SDG ADF) - Disposición N°65/05 (SDG ADF) - Régimen Régimen Genaral para Contrataciones de Bienes, Genaral para Contrataciones de Bienes, Servicios y Obras Públicas. Manual de Servicios y Obras Públicas. Manual de Contrataciones.Contrataciones.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 2

Parámetros de evaluación DE AUSI:

Análisis del requerimiento de adquisición (Dependencia tecnologíca, compromiso económico, riesgos).

Evaluación del detalle documental que avala la necesidad de adquisición.

La adquisición se alinea con los objetivos estratégicos de la AFIP.

Detección de situaciones fuera de términos -Incumplimiento Normativo-.

Intervención de la ONTI -Oficina Nacional de Tecnología de Información- sobre el cumplimiento de ETAP (Estandares Tecnologicos para la Administración Pública)


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 2

Tareas de Colaboración:

Extracción de información de las base de datos de los sistemas informáticos usados en la gestión de compras.

Selección de muestra.

Análisis estadístico de la muestra.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

CASO 2

Resultado:

A una auditoría de cumplimiento normativo, se la enriqueció con una perspectiva técnica y económica de las decisiones de compras efectuadas por el área de TI.

A partir de la auditoría, se elevó el estandard de requerimiento documental necesario para justificar una compra/contratación de tecnología.


ud

itorí

a d

e S

iste

mas

In

form

áti

cos

1

AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS.

Documents

Transcript of AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS.