AUDITORÍA, EVIDENCIA DIGITAL Y ESTRATEGIA

Transcripción

1 1

2 JORNADAS SYTE 09 MURCYA AUDITORÍA, EVIDENCIA DIGITAL Y ESTRATEGIA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información y Apoyo Sindicatura de Comptes de la Comunitat Valenciana CISA Murcia, 7 de octubre de 2009 asalom@sindicom.gva.es 2

3 FISCALIZACIÓN EXTERNA-AUDITORÍA PÚBLICA Elecciones Presupuestos Cortes generales-autonómicaseell Ciudadanos Control externo Gobierno-presupuestosadmon. electrónica Tribunal de Cuentas u órgano control autonómico (Sindicatura) Informe auditoríafiscalización 3

4 Índice 1. Auditoría-fiscalización 2. Entornos informatizados:consecuencias 3. Evidencia digital 4. Auditoría de sistemas de información 5. Estrategia sobre entornos informatizados 6. Informe de auditoría de sistemas 7. Aportación de los informes auditoría de sistemas 4

5 AUDITORÍA Auditoría financiera: su objetivo es determinar si a juicio del auditor la información financiera se presenta adecuadamente, de acuerdo con los principios que le son de aplicación. Definición Ley de Auditoría 5

6 AUDITORÍA Auditoría: Financiera, Legalidad, operativa Auditoría privada versus fiscalización pública auditoría pública? Auditoría de Sistemas de Información 6

7 AUDITORÍA PRIVADA Ley 19/1988, de 12 de julio de Auditoría de Cuentas ICAC ROAC Normas técnicas ICAC Supervisión calidad auditorías Sanciones auditores y empresas de auditoría que no cumplen las normas 7

8 AUDITORÍA PÚBLICA Fiscalización-Auditoría externa Competencias de fiscalización asignadas por las leyes a un órgano institucional Ley Orgánica y de funcionamiento del TCU; Leyes de los OCEX Ley General Presupuestaria; Leyes de hacienda autonómicas Texto Refundido Ley Haciendas Locales Normas de auditoría del Sector Público Cuando no existe norma Sector Público aplicaremos las del sector privado 8

9 AUDITORÍA DE SI Prácticamente sin regulación en España Auditorías bianuales del RD 1.720/2007, de 21 diciembre No hay normas españolas generalmente aceptadas No se define en las leyes quien puede realizarlas Normas internacionales: ISACA-IIA 9

10 AUDITORÍA-FISCALIZACIÓN AUDITORÍA + ENTORNOS INFORMATIZADOS: Norma técnica sobre auditoría en entornos informatizados del ICAC Enfoque de riesgo de auditoría 10

11 Entorno informatizado 1. Definición 2. Normas aplicables 3. Enfoque de la auditoría y procedimientos 4. Herramientas y técnicas de auditoría asistidas por ordenador 5. Evidencia informática 11

12 Fiscalización en entornos informatizados : definición Entorno informatizado: Existe un entorno informatizado cuando la entidad, al procesar información financiera que sea significativa a efectos de la auditoría, emplea un ordenador, de cualquier tipo o tamaño, ya esté gestionado por la propia compañía o por un tercero (NT ICAC sobre auditoría en entornos informatizados) El 99% de las entidades fiscalizadas cumplen con esta descripción 12

13 Fiscalización en entornos informatizados : definición En los últimos años el grado de complejidad de los sistemas informáticos y de las tecnologías de Información (TI) utilizadas por los entes públicos ha ido en aumento, introduciendo nuevos riesgos a tener en cuenta en la fiscalización: - Incremento del volumen de datos tratados y en soporte Informático - Incluyen todas las actividades de los entes, no sólo la contabilidad - Aplicaciones informáticas más complejas y/o con peculiaridades que hacen necesario un conocimiento específico de su funcionamiento: Aplicaciones de gestión integral de la empresa (ERP, Enterprise Resource Planning): SAP, Navisión, ERPs a medida - Automatización de procesos - Concentración de funciones - Posibilidad de pérdida o manipulación de información en soporte informático 13

14 Fiscalización en entornos informatizados : definición Entornos informatizados y evidencia Le evidencia cambia de formato. La información se genera en soporte informático La obtención de pistas de auditoría se debe adaptar esta nueva realidad El auditor, además de prever los posibles riesgos de la utilización de las Tecnologías de la Información (TI) por los entes fiscalizados, puede beneficiarse de la existencia de los entornos informatizados a través de la aplicación de las Técnicas y Herramientas de Auditoría Asistidas por Ordenador. 14

15 Fiscalización en entornos informatizados : definición Técnicas y herramientas de auditoría asistidas por ordenador: Para el propio proceso de la auditoría: Auditoría sin papeles, TeamMate u otras aplicaciones similares Para el tratamientos de datos infomatizados, aplicaciones con funcionalidades específicas para la auditoría: ACL, IDEA u otros similares. Herramientas ofimáticas comunes: Excel, Word, Access, etc. 15

16 Fiscalización en entornos informatizados : Normas aplicables PNASP (2.2.1 y 2.2.3): Formación técnica y capacidad profesional; Diligencia profesional: adecuado conocimiento del entorno o recurrir a expertos NTA y del ICAC: Evaluación del control interno. Vendrá condicionada por el entorno informático NTA del ICAC (2.4.10) Evaluación del control interno, incluyendo los sistemas informáticos NTA ICAC sobre entornos informatizados: Guía y reglas fiscalización en entornos informatizados Directriz técnica nº 9, Documentación de la auditoria: Apartado 12, sobre evidencia informática 16

17 Fiscalización en entornos informatizados : Normas aplicables De acuerdo con la NTA ICAC sobre entornos informatizados las normas y procedimientos específicas de entornos informatizados abarcan las siguientes áreas: -Conocimientos y competencia -Planificación -Evaluación del riesgo -Procedimientos de auditoría 17

18 Fiscalización en entornos informatizados CONOCIMIENTOS Y COMPETENCIA El auditor debe tener el conocimiento suficiente de los sistemas informáticos que le permita planificar, dirigir, supervisar y revisar el trabajo realizado. Debe evaluar si se requieren conocimientos especializados para la auditoría para: - Entender como afecta el entorno informatizado al sistema contable y al control interno - Efecto del entorno sobre el riesgo de auditoría - Diseñar y aplicar pruebas 18

19 Fiscalización en entornos informatizados PLANIFICACIÓN El conocimiento del entorno informático debe permitir al auditor tener en cuenta en la planificación los siguientes aspectos: -Complejidad de los SI: Volumen de transacciones, estructura organizativa en los SI y grado centralización del proceso, disponibilidad de datos - Efecto de los SI sobre el control interno y el riesgo inherente: Ausencia de rastro en transacciones, procesos uniformes de transacciones, segregación de funciones, ejecución automatizada de transacciones, posibilidad de uso de Herramientas de auditoría asistidas por ordenador, -Impacto de los SI sobre el riesgo 19

20 Fiscalización en entornos informatizados EVALUACIÓN DEL RIESGO - Riesgo de auditoría: Riesgo inherente, riesgo de control y riesgo de detección -Análisis del riesgo derivado de deficiencias generales en la gestión de SI (controles generales): Desarrollo y mantenimiento, seguridad física, controles de acceso,... - Analisis del riesgo de aplicaciones específicas -Aparición de nuevas tecnologías que aumenten la complejidad de SI 20

21 Análisis de Riesgos 21

22 Fiscalización en entornos informatizados PROCEDIMIENTOS DE AUDITORÍA -El diseño de los procedimientos debe tener en cuenta el entorno informatizado para introducir las pruebas que minimicen el riesgo de auditoría a un nivel aceptable -Los objetivos de la auditoría no se ven afectados, los métodos de obtención de evidencia sí. El apoyo de herramientas de tratamiento informático de datos adquirirá mayor relevancia 22

23 Fiscalización en entornos informatizados HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR Son instrumentos para el auditor. Se trata de aplicaciones informáticas que facilitan los procesos de auditoría incrementando la eficiencia en la realización de las auditorías TIPOS: -Programas de extracción y análisis de datos (ACL, IDEA, ) -Programas de planificación y administración de la auditoría (TeamMate ) 23

24 Fiscalización en entornos informatizados HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR Aplicaciones o funciones de las herramientas de extracción y análisis de datos: Revisión de la integridad de la información Análisis de concentración de transacciones Muestreo Revisiones analíticas Extracciones de transacciones cualitativas o cuantitativas 24

25 Fiscalización en entornos informatizados HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR NORMAS SOBRE UTILIZACIÓN DE LAS TÉCNICAS DE AUDITORÍA ASISTIDAS POR ORDENADOR (TAAO) ISACA: ASOCIACIÓN PARA LA AUDITORÍA Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN GUÍA ISACA Nº 3 SOBRE USO DE LAS TAAO GRUPO DE TRABAJO DE LA COMISIÓN TÉCNICA DE AUDITORÍA SOBRE USO DE TAAO: NORMAS PROPIAS. 25

26 AUDITORÍA-FISCALIZACIÓN AUDITORÍA + ENTORNOS INFORMATIZADOS: Comprensión de los sistemas de nformación y el nivel de complejidad así como su repercusión en los procedimientos de control y en la elaboración de los estados financieros Comprensión controles internos informáticos Utilización de herramientas para tratar la evidencia informática: CAATs Comprensión del riesgo derivado de los SI 26

27 Fiscalización en entornos informatizados Evidencia digital EVIDENCIA (3.2.4 PNASP) Para fundamentar sus opiniones y conclusiones el auditor deberá obtener evidencia suficiente, pertinente y válida, mediante la realización y evaluación de las pruebas de auditoría que se consideren necesarias. 27

28 Fiscalización en entornos informatizados Evidencia digital EVIDENCIA INFORMÁTICA (PNASP y Normas IGAE) Información y datos contenidos en soportes electrónicos, informáticos y telemáticos, así como elementos lógicos, programas y aplicaciones utilizados en los procedimientos de gestión del auditado. 28

29 Evidencia digital Fiscalización en entornos informatizados Cuando se emplee evidencia informática, o se utilicen técnicas o herramientas de auditoría asistida por ordenador los documentos mediante ellas generados se integrarán en los papeles de trabajo, así como la descripción manual o automatizada, de los procesos y tratamientos efectuados para llegar a los resultados finales partiendo de la evidencia primaria Directriz técnica nº 9, La documentación de la auditoría 29

30 Evidencia digital Normas IGAE: Fiscalización en entornos informatizados Cuando se emplee evidencia informática, o datos procedentes de sistemas informáticos del auditado, los auditores deberán evaluar la fiabilidad de la evidencia y no darla por supuesta nunca a priori Dos formas de evaluación: -Revisión de sistemas: Controles generales y de aplicación, verificación de su funcionamiento y pruebas sobre datos generados por el sistema. -Revisión limitada dirigida hacia unos datos en particular 30

31 Evidencia digital Características: Fiscalización en entornos informatizados - Se encuentra en formato digital, por lo que se requiere un hardware y software para leerla. - No está ligada a un soporte concreto, es fácil migrar de un soporte a otro. - Su estructura se define mediante campos y códigos. La información sobre la estructura es diferente de la información en si misma y es necesario conservarla. - Habitualmente será necesario conservar los metadatos de la evidencia que pueden no encontrarse en el mismo documento o soporte: fecha, origen y destino, 31

32 Evidencia digital Fiscalización en entornos informatizados Diferencias con la evidencia en papel: - Dificultad en la determinación del origen. Se requerirán técnicas de autentificación - Facilidad de alteración de datos. Deberemos implantar controles de integridad. - Prueba de la aprobación. En formato papel la firma acredita la aprobación. Las aprobaciones digitales no se almacenan siempre con el documento digital. - La información digital sobre una transacción puede estar en varios documentos que será necesario retener. 32

33 Evidencia digital Fiscalización en entornos informatizados Diferencias con la evidencia en papel: - El formato del documento digital es esencial y formará parte del documento. - Disponibilidad. En ocasiones la evidencia digital está disponible sólo por un periodo de tiempo. Se deberán planificar procedimientos para obtenerla en ese periodo. - Las firmas digitales deben obtenerse y verificarse mediante procedimientos específicos que aseguren su autenticidad y efectos legales. - A veces por el volumen de datos necesitaremos herramientas específicas (CAATs). 33

34 Evidencia digital Fiscalización en entornos Calidad o relevancia informatizados Se refiere a su relevancia y fiabilidad. Debe ser la adecuada para servir al auditor para soportar su objetivo de auditoría. Depende de su naturaleza y la fuente y la evaluará el juicio del auditor. Fiabilidad Será fiable cuando se puede contrastar su autenticidad, integridad y autorización. Dependiendo de su naturaleza será relevante el no repudio. 34

35 Evidencia digital Autenticidad Fiscalización en entornos informatizados Se puede confirmar la identidad de la persona o entidad que creó la información. Integridad Se refiere a la seguridad de que la información fue validada y que no ha sido destruida o modificada intencionada o accidentalmente cuando ha sido creada, procesada, transmitida, mantenida o archivada. Autorización La información fue preparada, procesada, modificada, corregida, enviada, recibida y accedida sólo por personas autorizadas o responables de ella. No repudio La persona o entidad que ha enviado o recibido la información no puede negarlo. 35

36 Evidencia digital Fiscalización en entornos informatizados BS Relevancia y admisibilidad legal de la infomación electrónica- especificación. Noviembre 2008 Establece los requerimientos para la implementación y gestión de un sistema de gestión de la información electrónica. Esquema de Planificación, implementación y operación, seguimiento y mejora. 36

37 BS Relevancia y admisibilidad legal de la infomación electrónica- especificación. Planificación Aprobación y comunicación por parte de la alta dirección de una Política de gestión de la información en soporte electrónico que muestre el apoyo y compromiso Política de almacenamiento Política de transferencia Política de Seguridad de la información Aprobación de roles y responsabilidaddes en el sistema de gestión de la información Plan de comunicación de las políticas y decisiones Elaboración de documentación de todos los procesos 37

38 BS Relevancia y admisibilidad legal de la infomación electrónica- especificación. Implementación y operación del sistema de gestión de la información Captura de la información Tratamiento de los ficheros autoejecutables;documentos compuestos Control de versiones; Almacenamiento de la información Transferencia de la información Indexación y otros metadatos;suministro de la información Identificación;Eliminación Procedimientos de seguridad: derechos acceso, firmas digitales, encriptación, copias de seguridad, continuidad de negocio, mantenimiento Servicios externalizados Plan de pruebas 38

39 BS Relevancia y admisibilidad legal de la infomación electrónica- especificación. Seguimiento y revisión del sistema de gestión de la información Auditoría interna Revisión periódica del sistema de gestión documental por los órganos directivos 39

40 BS Relevancia y admisibilidad legal de la infomación electrónica- especificación. Mantenimiento y mejora del sistema de gestión de la información Seguimiento y revisión de los procesos de gestión incorporando las mejoras y requisitos que surjan de las auditorías o revisiones Diseño de acciones preventivas y correctivas Mejora continua Ciclo Plan-Do-Check-Act (PDCA) 40

41 La auditoría informática como apoyo de las auditorías financieras Es necesario en entornos informatizados? Normas auditoría: Decisión del auditor financiero 41

42 La auditoría informática como apoyo de las auditorías financieras Cuando posibilita el cambio de enfoque de auditoría Cuando excede las competencias requeridas a un auditor financiero 42

43 AUDITORÍA-FISCALIZACIÓN ENTORNOS INFORMATIZADOS: Sencillos: auditor financiero tradicional + formación CAATs y auditoría de sistemas de información Complejos: Auditoría de SI de apoyo por auditores de sistemas 43

44 AUDITORÍA DE SI Qué es la auditoría de SI? La auditoría de Sistemas de Información (SI) consiste en la emisión de una opinión (por parte de un auditor de sistemas de información independiente) en base a un trabajo de auditoría realizado de acuerdo con unas normas concretas, sobre: si los sistemas de información de una entidad se gestionan de forma que existe una alineación entre ellos y los objetivos generales de la entidad, si garantizan la integridad, disponibilidad y confidencialidad de la información contenida en los sistemas de información, si se gestionan los activos del sistema de manera económica, eficiente y eficaz. si se protegen adecuadamente los activos. También es una auditoría de SI un trabajo de las características indicadas, limitado a alguno o algunos de los aspectos a que nos hemos referido, en cuyo caso el alcance del trabajo deberá quedar perfectamente identificado en el informe resultado del trabajo. 44

45 AUDITORÍA DE SI Tipos de auditoría de SI en función de su alcance: Revisión general de los SI y de las aplicaciones: Opinión de auditoría sobre SI general Revisión limitada a los controles implantados en los SI y a las aplicaciones que gestionan los procesos de negocio fiscalizados: apoyo a las auditorías financieras, de legalidad y operativas Otros tipos: LOPD, intrusión, seguridad, limitadas a otros aspectos de los SI. 45

46 AUDITORÍA DE SI Marco normativo de referencia para la auditoría de sistemas de información: Normas de auditoría de Sistemas de informacióny guías de ISACA Formación CISA Estándares generalmente aceptados gestión de SI: Cobit, ISO sobre seguridad de la nformación 46

47 Análisis de Riesgos ENFOQUE AUDITORÍA SI APOYO AUDITORIA FINANCIERA REM AREA DE INFORMACIÓN FINANCIERA ÁREA DE TI REM= RIESGO ERRORES MATERIALES EN ESTADOS FINANCIEROS *Tommie W Singleton, ISACA Journal

48 Análisis de Riesgos ENFOQUE AUDITORÍA SISTEMAS Y AUDITORÍA OPERATIVA IO E E ÁREAS DE GESTIÓN ÁREA DE TI IOEE= IMPACTO TI SOBRE OBJETIVOS ESTRATÉGICOS DE LA ENTIDAD 48

49 AUDITORÍA DE SI Trabajos a realizar: Análisis de procesos de negocio o actividad, riesgos y controles implantados Revisión controles generales de los sistemas de información Revisión de los controles de las aplicaciones Pruebas masivas de datos 49

50 Revisión de Controles generales Objetivo: Verificar y evaluar el ambiente general de control interno imperante en el área de sistemas de la entidad, para realizar un diagnóstico de las principales debilidades de control existentes y sus riesgos asociados. Alcance: Esta revisión alcanza las actividades realizadas por el área de sistemas en la administración y gestión del departamento e incluye -Estrategia y planificación de la fuentes de información -Operaciones de los sistemas de información -Seguridad de la información - Adquisición, desarrollo y mantenimiento de los sistemas 50

51 Revisión de Controles de aplicación Objetivos: - Efectuar una revisión de los controles implantados en el sistema y la correcta aplicación de los mismos sobre los procesos de negocio soportados por la aplicación. - Efectuar un diagnóstico del estado de definición de la seguridad aplicativa del sistema bajo revisión, indicando los principales riesgos relacionados con los accesos a los que se encuentra expuesta la entidad. - Verificar la integridad, calidad y fiabilidad de los datos de la aplicación. 51

52 AUDITORÍA DE SI Funciones de los órganos de control externo a las que aporta valor la auditoría de SI: Evaluación de la economía y eficiencia derivada del uso más o menos intensivo de las TI por los entes fiscalizados Evaluación de la eficacia mediante la verificación de la alineación de los SI de los entes con sus objetivos corporativos Análisis y comprensión de los controles informáticos implantados por los entes auditados: correcta evaluación del riesgo de auditoría Apoyo a los equipos de fiscalización en la explotación de la información rendida en soporte informático: evidencia digital Emisión de recomendaciones para mejorar los niveles de seguridad en los SI auditados que permitan incrementar los niveles de disponibilidad, integridad y confidencialidad de la información los entes auditados 52

53 AUDITORÍA DE SI Aportación de la auditoría de SI a la actividad de los OCEX respecto a la gestión de la actividad de los entes fiscalizados: 1) Concienciación en materia de seguridad y gestión de los SI en las entidades fiscalizadas: integridad, disponibilidad y confidencialidad de la información. 2) Control y protección de los activos de SI 3) Análisis y detección de riesgos en los SI: - Alineación de la gestión de SI con los objetivos y funciones corporativos de la entidad pública. - Ausencia de segregación de funciones en los gestores de los sistemas. - Control de accesos a los SI - Políticas de antivirus y detección de intrusos - Aprobación de políticas de seguridad de la información - Existencia de planes de continuidad de negocio - Cumplimiento regulatorio: LOPD, licencias software, - Seguimiento (monitorización) sobre los accesos a activos de SI críticos. - Normas sobre ciclo de vida de desarrollo del software - Test de intrusión 53

54 AUDITORÍA DE SI 4) Análisis y detección de riesgos en los procesos de negocio gestionados a través de aplicaciones informáticas -Ausencia de segregación de funciones en los usuarios de las aplicaciones. - Implantación y efectividad de controles de aplicación. 5) Recomendaciones de mejora en la gestión de los SI: Economía, eficiencia y eficacia en la gestión de los SI y, en consecuencia, de los niveles generales de EEE de la entidad. 54

55 ESTRATEGIA PARA AUDITORÍA DE SI PASOS PARA LA IMPLANTACIÓN DE LA AUDITORÍA DE SI EN UN ÓRGANO DE CONTROL EXTERNO Inclusión en los objetivos estratégicos de la función de auditoría de sistemas: toma de decisiones Planificación de la implantación de la auditoría de SI en un órgano de control externo Creación y asignación de funciones los puestos de trabajo Formación y capacitación del personal Asesoramiento necesario, en su caso. Inicio de la actividad Evaluación de resultados 55

56 ESTRATEGIA PARA AUDITORÍA DE SI Creación de la función de auditoría de sistemas en la Sindicatura de Comptes de la Comunitat Valenciana: - Formación del personal (cursos auditor SI CISA de ISACA): actualmente 6 personas con la formación, 2 de ellas en posesión de la certificación CISA. - Creación del Gabinete Técnico y del puesto de trabajo de la Unidad de Auditoría de SI y apoyo - Contratación de asesoramiento especializado - Inicio de las auditorías de SI con el trabajo coordinado de los equipos tradicionales que cuentan con formación en auditoría de sistemas y la unidad de auditoría de sistemas - Firma de un convenio marco de colaboración entre Sindicatura de Comptes e ISACA-CV 56

57 ESTRATEGIA PARA AUDITORÍA DE SI Costes de la implantación de la auditoría de sistemas en la actividad de los OCEX: 1) Costes de personal: Puestos de trabajo asignados a esta tarea 2) Costes de formación: técnicas muy especializadas 3) Costes de asesoramiento inicial (mayores) y costes de asesoramiento puntual una vez se cuenta con un equipo formado. 57

58 ESTRATEGIA AUDITORÍA DE SI Se impone un análisis coste-beneficio en los que hay que considerar: Dependencia de los entes fiscalizados de los SI Necesidad de evaluación de controles de SI para las fiscalizaciones a realizar Aportación de los SI a la economía y eficiencia de los entes auditados Riesgos derivados del uso intensivo de SI por parte de los entes fiscalizados Previsiones sobre la evolución en el uso de Tecnologías de la Información por los entes fiscalizados Posible incidencia de las auditorías de SI sobre la gestión de los aspectos anteriores por los entes auditados Verificación de la calidad de la evidencia informática y su tratamiento 58

59 INFORMES AUDITORÍA DE SI Informes de la Sindicatura de Comptes de la Comunitat Valenciana que contienen una revisión de los SI de la entidad fiscalizada (disponibles en -Ciegsa y Vaersa Ciegsa y Vaersa IMPIVA 2007 y Fundación Palau de les Arts Reina Sofia

60 CONCLUSIONES AUDITORÍA DE SI Resumen de incidencias detectadas en uno de los casos: a) Respecto a controles generales de SI -La entidad no cuenta con un plan de recuperación de negocio - No dispone de plan de concienciación de seguridad de la información -Usuarios genéricos, procedimientos de gestión de usuarios inadecuados o políticas de autenticación débiles -Debilidades en las medidas de protección física del CPD - Aplicaciones web con acceso desde Internet no seguras - Inexistencia de metodología formal de desarrollo de aplicaciones (formalización requisitos previos, documentación, pruebas) 60

61 CONCLUSIONES AUDITORÍA DE SI b) Respecto a controles de aplicación - Ausencia de controles en la aplicación para la contratación: se puede facturar por importe superior al presupuesto, se pueden introducir facturas anteriores al contrato, es posible registrar dos veces la misma factura. - No están implementados en la aplicación determinados procedimientos. - Ausencia de validaciones de datos de entrada. - Los perfiles de capacidades de algunos usuarios no se adecuan a las funciones de sus puestos. - Ausencia segregación de funciones usuarios departamento financiero. 61

62 AUDITORÍA DE SI Recomendaciones efectuadas sobre controles generales de los si: -Definir un plan de continuidad de negocio - Definir una estrategia de concienciación de la seguridad - Adecuar las normas de gestión de usuarios y autenticación - Actualizar el firewall con protección antiintrusos e implementar protocolos de acceso seguro por Internet (https). - Definir las normas de desarrollo de aplicaciones de acuerdo con los estándares generalmente aceptados. 62

63 AUDITORÍA DE SI Recomendaciones efectuadas sobre los controles de aplicación: -Definir procedimiento para la aprobación de encomiendas anticipadas y desarrollar un procedimiento para su gestión - Adecuar e implementar los controles de aplicación: controles validación de datos, y sobre determinadas fases del proceso de gasto - Incrementar los controles del módulo de facturación - Implementar una política de formación sobre el uso de la aplicación 63

64 RESULTADOS AUDITORÍA DE SI En las siguientes fichas se muestra el grado de implantación de las recomendaciones realizadas en la revisión de seguimiento realizada en el ejercicio siguiente. 64

65 AUDITORÍA DE SI Seguimiento recomendaciones efectuadas sobre controles generales: 65

66 AUDITORÍA DE SI Seguimiento recomendaciones efectuadas sobre controles de aplicación: 66

67 APORTACIÓN AUDITORÍA DE SI Valor de los informes de SI para el trabajo de fiscalización de la Sindicatura: - Mejor análisis, revisión y valoración de los controles implantados a través de las aplicaciones. - Posiblilidad de valorar adecuadamente el riesgo de control en la entidad y sus SI - Valoraciones adecuadas del riesgo de auditoría para orientar las pruebas de auditoría a la reducción del mismo 67

68 APORTACIÓN AUDITORÍA DE SI Valor de los informes para los entes auditados: - Aportación de una opinión externa sobre sus sistemas de información - Subsanación de vulnerabilidades detectadas - Mejora niveles integridad, disponibilidad y confidencialidad de la información - Valoración y reconocimiento de la función del área de sistemas de información de las entidades: positiva para que se aprueben los presupuestos de estos departamentos - Seguimiento de recomendaciones 68

69 AUDITORÍA DE SI Contribuir a prevenir: 69

70 AUDITORÍA DE SI Contribuir a prevenir: 70

71 Contribuir a prevenir: AUDITORÍA DE SI 71

72 AUDITORÍA DE SI Contribuir a favorecer: 72

73 AUDITORÍA DE SI Contribuir a favorecer: 73

74 MUCHAS GRACIAS POR SU ATENCIÓN PREGUNTAS 74