auditoría de sistemas informáticos alejandro salom campos jefe unidad de … · ·...

2

Alejandro Salom CamposUnidad de Auditoría de Sistemas de Información y ApoyoSindicatura de Comptes de la Comunitat Valenciana

CISA

Murcia, 7 de octubre de 2009

[email protected]

AUDITORÍA, EVIDENCIA DIGITAL Y ESTRATEGIA

JORNADAS SYTE 09 MURCYA

3

FISCALIZACIÓN EXTERNA-AUDITORÍA PÚBLICA

Informe auditoría-fiscalización

Cortes generales-autonómicas-EELL

Tribunal de Cuentas u órgano control autonómico (Sindicatura)

Ciudadanos

Gobierno-presupuestos-admon. electrónica

Control externo

Elecciones

Presupuestos

4

Índice

1. Auditoría-fiscalización

2. Entornos informatizados:consecuencias

3. Evidencia digital

4. Auditoría de sistemas de información

5. Estrategia sobre entornos informatizados

6. Informe de auditoría de sistemas

7. Aportación de los informes auditoría de sistemas

5

AUDITORÍA

Definición Ley de Auditoría

Auditoría financiera:

su objetivo es determinar si a juicio del auditor la información financiera se presenta adecuadamente, de acuerdo con los principios que le son de aplicación.

6

AUDITORÍA

Auditoría: Financiera, Legalidad, operativa

Auditoría privada versus fiscalización pública ¿auditoría pública?

Auditoría de Sistemas de Información

7

AUDITORÍA PRIVADA

Ley 19/1988, de 12 de julio de Auditoría de Cuentas

ICAC

ROAC

Normas técnicas ICAC

Supervisión calidad auditorías

Sanciones auditores y empresas de auditoría que no cumplen las normas

8

AUDITORÍA PÚBLICAFiscalización-Auditoría externa

Competencias de fiscalización asignadas por las leyes a un órgano institucional

Ley Orgánica y de funcionamiento del TCU; Leyes de los OCEX

Ley General Presupuestaria; Leyes de hacienda autonómicas

Texto Refundido Ley Haciendas Locales

Normas de auditoría del Sector Público

Cuando no existe norma Sector Público aplicaremos las del sector privado

9

AUDITORÍA DE SI

Prácticamente sin regulación en España

Auditorías bianuales del RD 1.720/2007, de 21 diciembre

No hay normas españolas generalmente aceptadas

No se define en las leyes quien puede realizarlas

Normas internacionales: ISACA-IIA

10

AUDITORÍA-FISCALIZACIÓN

AUDITORÍA + ENTORNOS INFORMATIZADOS:

Norma técnica sobre auditoría en entornos informatizados del ICACEnfoque de riesgo de auditoría

11

Entorno informatizado

1. Definición

2. Normas aplicables

3. Enfoque de la auditoría y procedimientos

4. Herramientas y técnicas de auditoría asistidas por ordenador

5. Evidencia informática

12

Fiscalización en entornos informatizados : definición

•Entorno informatizado:

Existe un entorno informatizado cuando la entidad, al procesar información financiera que sea significativa a efectos de la auditoría, emplea un ordenador, de cualquier tipo o tamaño, ya esté gestionado por la propia compañía o por un tercero (NT ICAC sobre auditoría en entornos informatizados)

•El 99% de las entidades fiscalizadas cumplen con esta descripción

13

En los últimos años el grado de complejidad de los sistemas informáticos y de las tecnologías de Información (TI) utilizadas por los entes públicos ha ido en aumento, introduciendo nuevos riesgos a tener en cuenta en la fiscalización:

- Incremento del volumen de datos tratados y en soporte Informático- Incluyen todas las actividades de los entes, no sólo la contabilidad- Aplicaciones informáticas más complejas y/o con peculiaridades que hacen necesario un conocimiento específico de su funcionamiento: Aplicaciones de gestión integral de la empresa (ERP, Enterprise Resource Planning): SAP, Navisión, ERPs a medida- Automatización de procesos- Concentración de funciones- Posibilidad de pérdida o manipulación de información en soporte informático


14


Entornos informatizados y evidencia

•Le evidencia cambia de formato. La información se genera en soporte informático

•La obtención de pistas de auditoría se debe adaptar esta nueva realidad•El auditor, además de prever los posibles riesgos de la utilización de las Tecnologías de la Información (TI) por los entes fiscalizados, puede beneficiarse de la existencia de los entornos informatizados a través de la aplicación de las Técnicas y Herramientas de Auditoría Asistidas por Ordenador.

15


Técnicas y herramientas de auditoría asistidas por ordenador:

•Para el propio proceso de la auditoría: Auditoría sin papeles, TeamMate u otras aplicaciones similares

•Para el tratamientos de datos infomatizados, aplicaciones con funcionalidades específicas para la auditoría: ACL, IDEA u otros similares.

•Herramientas ofimáticas comunes: Excel, Word, Access, etc.

16

Fiscalización en entornos informatizados : Normas aplicables

PNASP (2.2.1 y 2.2.3): Formación técnica y capacidad profesional; Diligencia profesional: adecuado conocimiento del entorno o recurrir a expertos

NTA 2.4.1 y 2.4.2 del ICAC: Evaluación del control interno. Vendrá condicionada por el entorno informático

NTA del ICAC (2.4.10) Evaluación del control interno, incluyendo los sistemas informáticos

NTA ICAC sobre entornos informatizados: Guía y reglas fiscalización en entornos informatizados

Directriz técnica nº 9, Documentación de la auditoria: Apartado 12, sobre evidencia informática

17

Fiscalización en entornos informatizados : Normas aplicables

De acuerdo con la NTA ICAC sobre entornos informatizados las normas y procedimientos específicas de entornos informatizados abarcan las siguientes áreas:

-Conocimientos y competencia

-Planificación

-Evaluación del riesgo

-Procedimientos de auditoría

18

Fiscalización en entornos informatizados

CONOCIMIENTOS Y COMPETENCIA

El auditor debe tener el conocimiento suficiente de los sistemas informáticos que le permita planificar, dirigir, supervisar y revisar el trabajo realizado. Debe evaluar si se requieren conocimientos especializados para la auditoría para:

- Entender como afecta el entorno informatizado al sistema contable y al control interno

- Efecto del entorno sobre el riesgo de auditoría

- Diseñar y aplicar pruebas

19


PLANIFICACIÓN

El conocimiento del entorno informático debe permitir al auditor tener en cuenta en la planificación los siguientes aspectos:

-Complejidad de los SI: Volumen de transacciones , estructura organizativa en los SI y grado centralización del proceso, disponibilidad de datos

- Efecto de los SI sobre el control interno y el riesgo inherente: Ausencia de rastro en transacciones, procesos uniformes de transacciones, segregación de funciones, ejecución automatizada de transacciones, posibilidad de uso de Herramientas de auditoría asistidas por ordenador, …

-Impacto de los SI sobre el riesgo

20


EVALUACIÓN DEL RIESGO

- Riesgo de auditoría: Riesgo inherente, riesgo de control y riesgo de detección

-Análisis del riesgo derivado de deficiencias generales en la gestión de SI (controles generales): Desarrollo y mantenimiento, seguridad física, controles de acceso, ...

- Analisis del riesgo de aplicaciones específicas

-Aparición de nuevas tecnologías que aumenten la complejidad de SI

21

Análisis de Riesgos

22


PROCEDIMIENTOS DE AUDITORÍA

-El diseño de los procedimientos debe tener en cuenta el entorno informatizado para introducir las pruebas que minimicen el riesgo de auditoría a un nivel aceptable

-Los objetivos de la auditoría no se ven afectados, los métodos de obtención de evidencia sí. El apoyo de herramientas de tratamiento informático de datos adquirirá mayor relevancia

23


HERRAMIENTAS DE AUDITORÍA ASISTIDAS POR ORDENADOR

Son instrumentos para el auditor. Se trata de aplicaciones informáticas que facilitan los procesos de auditoría incrementando la eficiencia en la realización de las auditorías

TIPOS:

-Programas de extracción y análisis de datos (ACL, IDEA, …)

-Programas de planificación y administración de la auditoría (TeamMate…)

24



Aplicaciones o funciones de las herramientas de extracción y análisis de datos:

Revisión de la integridad de la información

Análisis de concentración de transacciones

MuestreoRevisiones analíticasExtracciones de transacciones

cualitativas o cuantitativas

25



NORMAS SOBRE UTILIZACIÓN DE LAS TÉCNICAS DE AUDITORÍA ASISTIDAS

POR ORDENADOR (TAAO)ISACA: ASOCIACIÓN PARA LA

AUDITORÍA Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNGUÍA ISACA Nº 3 SOBRE USO DE LAS

TAAOGRUPO DE TRABAJO DE LA COMISIÓN TÉCNICA DE AUDITORÍA SOBRE USO DE TAAO: NORMAS PROPIAS.

26


AUDITORÍA + ENTORNOS INFORMATIZADOS:

Comprensión de los sistemas de nformación y el nivel de complejidad así como su repercusión en los procedimientos de control y en la elaboración de los estados financieros

Comprensión controles internos informáticos

Utilización de herramientas para tratar la evidencia informática: CAATs

Comprensión del riesgo derivado de los SI

27


EVIDENCIA (3.2.4 PNASP)

Para fundamentar sus opiniones y conclusiones el auditor deberá obtener evidencia suficiente, pertinente y válida, mediante la realización y evaluación de las pruebas de auditoría que se consideren necesarias.

Evidencia digital

28


EVIDENCIA INFORMÁTICA (PNASP y Normas IGAE)

Información y datos contenidos en soportes electrónicos, informáticos y telemáticos, así como elementos lógicos, programas y aplicaciones utilizados en los procedimientos de gestión del auditado.

Evidencia digital

29


Evidencia digital

Cuando se emplee evidencia informática, o se utilicen técnicas o herramientas de auditoría asistida por ordenador los documentos mediante ellas generados se integrarán en los papeles de trabajo, así como la descripción manual o automatizada, de los procesos y tratamientos efectuados para llegar a los resultados finales partiendo de la evidencia primaria

Directriz técnica nº 9, La documentación de la auditoría

30


Evidencia digital

Normas IGAE:

Cuando se emplee evidencia informática, o datos procedentes de sistemas informáticos del auditado, los auditores deberán evaluar la fiabilidad de la evidencia y no darla por supuesta nunca a priori

Dos formas de evaluación:

-Revisión de sistemas: Controles generales y de aplicación, verificación de su funcionamiento y pruebas sobre datos generados por el sistema.

-Revisión limitada dirigida hacia unos datos en particular

31


Evidencia digitalCaracterísticas:

- Se encuentra en formato digital, por lo que se requiere un hardware y software para leerla.

- No está ligada a un soporte concreto, es fácil migrar de un soporte a otro.

- Su estructura se define mediante campos y códigos. La información sobre la estructura es diferente de la información en si misma y es necesario conservarla.

- Habitualmente será necesario conservar los metadatos de la evidencia que pueden no encontrarse en el mismo documento o soporte: fecha, origen y destino, …

32


Evidencia digitalDiferencias con la evidencia en papel:

-Dificultad en la determinación del origen. Se requerirán técnicas de autentificación

-Facilidad de alteración de datos. Deberemos implantar controles de integridad.

-Prueba de la aprobación. En formato papel la firma acredita la aprobación. Las aprobaciones digitales no se almacenan siempre con el documento digital.

- La información digital sobre una transacción puede estar en varios documentos que será necesario retener.

33


Evidencia digitalDiferencias con la evidencia en papel:

- El formato del documento digital es esencial y formará parte del documento.

- Disponibilidad. En ocasiones la evidencia digital está disponible sólo por un periodo de tiempo. Se deberán planificar procedimientos para obtenerla en ese periodo.

- Las firmas digitales deben obtenerse y verificarse mediante procedimientos específicos que aseguren su autenticidad y efectos legales.

- A veces por el volumen de datos necesitaremos herramientas específicas (CAATs).

34


Evidencia digitalCalidad o relevancia

Se refiere a su relevancia y fiabilidad. Debe ser la adecuada para servir al auditor para soportar su objetivo de auditoría. Depende de su naturaleza y la fuente y la evaluará el juicio del auditor.

Fiabilidad

Será fiable cuando se puede contrastar su autenticidad, integridad y autorización. Dependiendo de su naturaleza será relevante el no repudio.

35


Evidencia digitalAutenticidad

Se puede confirmar la identidad de la persona o entidad que creó la información.

Integridad

Se refiere a la seguridad de que la información fue validada y que no ha sido destruida o modificada intencionada o accidentalmente cuando ha sido creada, procesada, transmitida, mantenida o archivada.

Autorización

La información fue preparada, procesada, modificada, corregida, enviada, recibida y accedida sólo por personas autorizadas o responables de ella.

No repudio

La persona o entidad que ha enviado o recibido la información no puede negarlo.

36


Evidencia digital

BS 10008 Relevancia y admisibilidad legal de la infomación electrónica- especificación.

Noviembre 2008

Establece los requerimientos para la implementación y gestión de un sistema de gestión de la información electrónica.

Esquema de Planificación, implementación y operación, seguimiento y mejora.

37


PlanificaciónAprobación y comunicación por parte de la alta dirección

de una Política de gestión de la información en soporte electrónico que muestre el apoyo y compromiso

•Política de almacenamiento

•Política de transferencia

Política de Seguridad de la información

Aprobación de roles y responsabilidaddes en el sistema de gestión de la información

Plan de comunicación de las políticas y decisiones

Elaboración de documentación de todos los procesos

38


Implementación y operación del sistema de gestión de la informaciónCaptura de la información

Tratamiento de los ficheros autoejecutables;Documentos compuestos

Control de versiones; Almacenamiento de la información

Transferencia de la información

Indexación y otros metadatos;Suministro de la información

Identificación;Eliminación

Procedimientos de seguridad: derechos acceso, firmas digitales, encriptación, copias de seguridad, continuidad de negocio, mantenimiento

Servicios externalizados

Plan de pruebas

39


Seguimiento y revisión del sistema de gestión de la información

Auditoría interna

Revisión periódica del sistema de gestión documental por los órganos directivos

40


Mantenimiento y mejora del sistema de gestión de la información

Seguimiento y revisión de los procesos de gestión incorporando las mejoras y requisitos que surjan de las auditorías o revisiones

Diseño de acciones preventivas y correctivas

Mejora continua

Ciclo Plan-Do-Check-Act (PDCA)

41

La auditoría informáticacomo apoyo de

las auditorías financieras

¿Es necesario en entornos informatizados?

Normas auditoría: Decisión del auditor financiero

42

La auditoría informáticacomo apoyo de

las auditorías financieras

Cuando posibilita el cambio de enfoque de auditoría

Cuando excede las competencias requeridas a un auditor financiero

43


ENTORNOS INFORMATIZADOS:

Sencillos: auditor financiero tradicional + formación CAATs y auditoría de sistemas de información

Complejos: Auditoría de SI de apoyo por auditores de sistemas

44

¿Qué es la auditoría de SI?

AUDITORÍA DE SI

La auditoría de Sistemas de Información (SI) consiste en la emisión

de una opinión (por parte de un auditor de sistemas de información independiente) en base a un trabajo de auditoría realizado de acuerdo con unas normas concretas, sobre:

si los sistemas de información de una entidad se gestionan de forma que existe una alineación entre ellos y los objetivos generales de la entidad, si garantizan la integridad, disponibilidad y confidencialidad de la información contenida en los sistemas de información, si se gestionan los activos del sistema de manera económica, eficiente y eficaz.si se protegen adecuadamente los activos.

También es una auditoría de SI un trabajo de las características indicadas, limitado a alguno o algunos de los aspectos a que nos hemos referido, en cuyo caso el alcance del trabajo deberá quedar perfectamente identificado en el informe resultado del trabajo.

45

Tipos de auditoría de SI en función de su alcance:

Revisión general de los SI y de las aplicaciones: Opinión de auditoría sobre SI general

Revisión limitada a los controles implantados en los SI y a las aplicaciones que gestionan los procesos de negocio fiscalizados: apoyo a las auditorías financieras, de legalidad y operativas

Otros tipos: LOPD, intrusión, seguridad, limitadas a otros aspectos de los SI. …

AUDITORÍA DE SI

46

Marco normativo de referencia para la auditoría de sistemas de información:

Normas de auditoría de Sistemas de informacióny guías de ISACA

Formación CISAEstándares generalmente

aceptados gestión de SI: Cobit, ISO 27002 sobre seguridad de la nformación

AUDITORÍA DE SI

47


AREA DE INFORMACIÓN FINANCIERA

REM

ÁREA DE TI

ENFOQUE AUDITORÍA SI APOYO AUDITORIA FINANCIERA

REM= RIESGO ERRORES MATERIALES EN ESTADOS FINANCIEROS

*Tommie W Singleton, ISACA Journal 4-2009

48


ÁREAS DE GESTIÓN

IO E E

ÁREA DE TI

ENFOQUE AUDITORÍA SISTEMAS Y AUDITORÍA OPERATIVA

IOEE= IMPACTO TI SOBRE OBJETIVOS ESTRATÉGICOS DE LA ENTIDAD

49

Trabajos a realizar:

Análisis de procesos de negocio o actividad, riesgos y controles

implantadosRevisión controles generales de

los sistemas de informaciónRevisión de los controles de las

aplicacionesPruebas masivas de datos

AUDITORÍA DE SI

50

Revisión de Controles generales

Objetivo:Verificar y evaluar el ambiente general de control interno imperante en el área de sistemas de la entidad, para realizar un diagnóstico de las principales debilidades de control existentes y sus riesgos asociados.

Alcance:Esta revisión alcanza las actividades realizadas por el área de sistemas en la administración y gestión del departamento e incluye-Estrategia y planificación de la fuentes de información-Operaciones de los sistemas de información-Seguridad de la información- Adquisición, desarrollo y mantenimiento de los sistemas

51

Revisión de Controles de aplicación

Objetivos:- Efectuar una revisión de los controles

implantados en el sistema y la correcta aplicación de los mismos sobre los procesos de negocio soportados por la aplicación.

- Efectuar un diagnóstico del estado de definición de la seguridad aplicativa del sistema bajo revisión, indicando los principales riesgos relacionados con los accesos a los que se encuentra expuesta la entidad.

- Verificar la integridad, calidad y fiabilidad de los datos de la aplicación.

52

Funciones de los órganos de control externo a las que aporta valor la auditoría de SI:

Evaluación de la economía y eficiencia derivada del uso más o menos intensivo de las TI por los entes fiscalizados

Evaluación de la eficacia mediante la verificación de la alineación de los SI de los entes con sus objetivos corporativos

Análisis y comprensión de los controles informáticos implantados por los entes auditados: correcta evaluación del riesgo de auditoría

Apoyo a los equipos de fiscalización en la explotación de la información rendida en soporte informático: evidencia digital

Emisión de recomendaciones para mejorar los niveles de seguridad en los SI auditados que permitan incrementar los niveles de disponibilidad, integridad y confidencialidad de la información los entes auditados

AUDITORÍA DE SI

53

Aportación de la auditoría de SI a la actividad de los OCEX respecto a la gestión de la actividad de los entes fiscalizados:

1) Concienciación en materia de seguridad y gestión de los SI en las entidades fiscalizadas: integridad, disponibilidad y confidencialidad de la información.

2) Control y protección de los activos de SI3) Análisis y detección de riesgos en los SI:

- Alineación de la gestión de SI con los objetivos y funciones corporativos de la entidad pública.- Ausencia de segregación de funciones en los gestores de los sistemas.- Control de accesos a los SI- Políticas de antivirus y detección de intrusos- Aprobación de políticas de seguridad de la información - Existencia de planes de continuidad de negocio- Cumplimiento regulatorio: LOPD, licencias software, …- Seguimiento (monitorización) sobre los accesos a activos de SI críticos.- Normas sobre ciclo de vida de desarrollo del software- Test de intrusión

AUDITORÍA DE SI

54

4) Análisis y detección de riesgos en los procesos de negocio gestionados a través de aplicaciones informáticas

-Ausencia de segregación de funciones en los usuarios de las aplicaciones.

- Implantación y efectividad de controles de aplicación.

5) Recomendaciones de mejora en la gestión de los SI: Economía, eficiencia y eficacia en la gestión de los SI y, en consecuencia, de los niveles generales de EEE de la

entidad.

AUDITORÍA DE SI

55

PASOS PARA LA IMPLANTACIÓN DE LA AUDITORÍA DE SI EN UN ÓRGANO DE CONTROL EXTERNO

Inclusión en los objetivos estratégicos de la función de auditoría de sistemas: toma de decisiones

Planificación de la implantación de la auditoría de SI en un órgano de control externo

Creación y asignación de funciones los puestos de trabajo

Formación y capacitación del personalAsesoramiento necesario, en su caso.Inicio de la actividadEvaluación de resultados

ESTRATEGIA PARA AUDITORÍA DE SI

56

Creación de la función de auditoría de sistemas en la Sindicatura de Comptes de la Comunitat Valenciana:

- Formación del personal (cursos auditor SI CISA de ISACA): actualmente 6 personas con la formación, 2 de ellas en posesión de la certificación CISA.

- Creación del Gabinete Técnico y del puesto de trabajo de la Unidad de Auditoría de SI y apoyo

- Contratación de asesoramiento especializado- Inicio de las auditorías de SI con el trabajo coordinado de

los equipos tradicionales que cuentan con formación en auditoría de sistemas y la unidad de auditoría de sistemas

- Firma de un convenio marco de colaboración entre Sindicatura de Comptes e ISACA-CV


57

Costes de la implantación de la auditoría de sistemas en la actividad de los OCEX:

1) Costes de personal: Puestos de trabajo asignados a esta tarea

2) Costes de formación: técnicas muy especializadas

3) Costes de asesoramiento inicial (mayores) y costes de asesoramiento puntual una vez se cuenta con un equipo formado.


58

ESTRATEGIA AUDITORÍA DE SI

Se impone un análisis coste-beneficio en los que hay que considerar:

Dependencia de los entes fiscalizados de los SINecesidad de evaluación de controles de SI para las

fiscalizaciones a realizarAportación de los SI a la economía y eficiencia de los

entes auditadosRiesgos derivados del uso intensivo de SI por parte

de los entes fiscalizadosPrevisiones sobre la evolución en el uso de

Tecnologías de la Información por los entes fiscalizadosPosible incidencia de las auditorías de SI sobre la

gestión de los aspectos anteriores por los entes auditadosVerificación de la calidad de la evidencia informática

y su tratamiento

59

INFORMES AUDITORÍA DE SI

Informes de la Sindicatura de Comptes de la Comunitat Valenciana que contienen una revisión de los SI de la entidad fiscalizada (disponibles en www.sindicom.gva.es):

-Ciegsa y Vaersa 2006-Ciegsa y Vaersa 2007-IMPIVA 2007 y Fundación Palau de les Arts Reina Sofia 2007

60

CONCLUSIONES AUDITORÍA DE SI

Resumen de incidencias detectadas en uno de los casos:a) Respecto a controles generales de SI-La entidad no cuenta con un plan de recuperación de negocio- No dispone de plan de concienciación de seguridad de la información-Usuarios genéricos, procedimientos de gestión de usuarios inadecuados o políticas de autenticación débiles-Debilidades en las medidas de protección física del CPD- Aplicaciones web con acceso desde Internet no seguras- Inexistencia de metodología formal de desarrollo de aplicaciones (formalización requisitos previos, documentación, pruebas)

61

CONCLUSIONES AUDITORÍA DE SI

b) Respecto a controles de aplicación- Ausencia de controles en la aplicación para la contratación: se puede facturar por importe superior al presupuesto, se pueden introducir facturas anteriores al contrato, es posible registrar dos veces la misma factura.

- No están implementados en la aplicación determinados procedimientos.

- Ausencia de validaciones de datos de entrada.

- Los perfiles de capacidades de algunos usuarios no se adecuan a las funciones de sus puestos.

- Ausencia segregación de funciones usuarios departamento financiero.

62

AUDITORÍA DE SI

Recomendaciones efectuadas sobre controles generales de los si:-Definir un plan de continuidad de negocio- Definir una estrategia de concienciación de la seguridad- Adecuar las normas de gestión de usuarios y autenticación- Actualizar el firewall con protección antiintrusos e implementar protocolos de acceso seguro por Internet (https).- Definir las normas de desarrollo de aplicaciones de acuerdo con los estándares generalmente aceptados.

63

AUDITORÍA DE SI

Recomendaciones efectuadas sobre los controles de aplicación:-Definir procedimiento para la aprobación de encomiendas anticipadas y desarrollar un procedimiento para su gestión- Adecuar e implementar los controles de aplicación: controles validación de datos, y sobre determinadas fases del proceso de gasto- Incrementar los controles del módulo de facturación- Implementar una política de formación sobre el uso de la aplicación

64

RESULTADOS AUDITORÍA DE SI

En las siguientes fichas se muestra el grado de implantación de las recomendaciones realizadas en la revisión de seguimiento realizada en el ejercicio siguiente.

65

AUDITORÍA DE SI

Seguimiento recomendaciones efectuadas sobre controles generales:

66

AUDITORÍA DE SI

Seguimiento recomendaciones efectuadas sobre controles de aplicación:

67

APORTACIÓN AUDITORÍA DE SI

Valor de los informes de SI para el trabajo de fiscalización de la Sindicatura:

- Mejor análisis, revisión y valoración de los controles implantados a través de las aplicaciones.- Posiblilidad de valorar adecuadamente el riesgo de control en la entidad y sus SI- Valoraciones adecuadas del riesgo de auditoría para orientar las pruebas de auditoría a la reducción del mismo

68

APORTACIÓN AUDITORÍA DE SIValor de los informes para los entes auditados:- Aportación de una opinión externa sobre sus sistemas de información- Subsanación de vulnerabilidades detectadas- Mejora niveles integridad, disponibilidad y confidencialidad de la información- Valoración y reconocimiento de la función del área de sistemas de información de las entidades: positiva para que se aprueben los presupuestos de estos departamentos- Seguimiento de recomendaciones

69

AUDITORÍA DE SIContribuir a prevenir:

70

AUDITORÍA DE SIContribuir a prevenir:

71

AUDITORÍA DE SI

Contribuir a prevenir:

72

AUDITORÍA DE SIContribuir a favorecer:

73

AUDITORÍA DE SI

Contribuir a favorecer:

74

MUCHAS GRACIAS POR SU ATENCIÓN

PREGUNTAS

auditoría de sistemas informáticos alejandro salom campos jefe unidad de … · ·...

Documents