AUDITORA

ti du A

AUDITORA

AUDITORA DE SISTEMAS INFORMTICOS

AUDITORA

Marco normativo

Estndares

Proyectos de Auditora

Desafos de la Auditora de TI

ti du A

Casos prcticos

Marco Normativo

AUDITORA

SDG AUI SDG AUI SIGEN

DI AUOC DI AUOC

SDG SIT (TI) SDG SIT (TI)

SDG SIT- cuenta con sus propias regulaciones

DE AUSI DE AUSI
- SDG AUI: Sub. Gral. de Auditora Interna. - DI AUOC: Dir. Auditora de Operaciones Centrales. - DE AUSI: Dep. Auditora de Sistemas Informticos. - SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones.

ti du A

Referencias:

Marco Normativo

AUDITORA

Resolucin 152/02 (SIGEN)

Resolucin 48/05 (SIGEN)

ti du A

Marco Normativo RG 152/02 (SIGEN)

Resolucin 152/02 (SIGEN):

AUDITORA

Instaura un cuerpo de Normas de Auditora Interna Gubernamental. Adopta los conceptos de la Normas Internacionales para el Ejercicio Profesional de la Auditora Interna. Incluye tareas especificas para las Auditoras de Sistemas Informticos.

ti du A

Marco Normativo RG 152/02 (SIGEN)

AUDITORA

Objetivos de Control Interno para TI

Ciclo de vida para el desarrollo y mantenimiento de software. Calidad y atributos de la informacin electrnica. Documentacin de Sistemas. Controles incorporados a las aplicaciones desarrolladas. Planes de continuidad y contingencia de negocios. Plan de capacitacin continua de usuarios. Nivel de satisfaccin.

ti du A

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Resolucin 48/05 (SIGEN): NORMAS DE CONTROL INTERNO PARA TECNOLOGA DE LA INFORMACIN DEL SECTOR PBLICO NACIONAL. Vigente desde el ao 2005.

ti du A

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Destinatarios: Responsables de los organismos. Responsables informticos. Auditores.

ti du A

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Objetivos de Control Interno: Se incluyen

pautas sobre aspectos especificos de TI Organizacin Informtica. Plan Estratgico de TI. Arquitectura de la Informacin. Polticas y Procedimientos. Cumplimiento de Regulaciones Externas. Administracin de Proyectos. Desarrollo, Mantenimiento o Adquisicin de Software de Aplicacin. Adquisicin y Mantenimiento de la Infraestructura Tecnolgica. Seguridad Informtica.

ti du A

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

ti du A

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Ventajas: Establece un marco de control homogeneo. Resumen de Buenas Prcticas

ti du A

Estndares

AUDITORA

COBIT

COBIT (Control Objectives for Information and Related Technology). Se compone de 34 procesos de alto nivel y 210 objetivos de control.

ISO 17799

ti du A

Cdigo de Prctica para la Administracin de la Seguridad de la Informacin.

Estndares - COBIT
OBJETIVOS DE NEGOCIO

AUDITORA

Dominios de Control
en Tecnologa de Informacin

GOBIERNO DE TI
MONITOREO efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones gente

PLANEACIN Y ORGANIZACIN

ti du A

ENTREGA Y SOPORTE

ADQUISICION E IMPLANTACION

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Estndares - COBIT

AUDITORA

ti du A

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders /COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Estndares - Mapping

AUDITORA

ti du A

1 - O r g a n iz a c i n I n f o r m tic a P O P la n if ic a c io n y 2 - P la n E s tr a t g ic o d e T I P O P la n if ic a c io n y 3 - A r q u ite c tu r a d e la I n f o r m a c i nP O 2 D e f in ic i n d e la e s t 4 - P o ltic a s y P r o c e d im ie n to s P 0 6 C o m u n ic a c i n d e lo s g e r e n c ia 5 - C u m p lim ie n to d e R e g u la c io n e s E x teOn a G a r a n tia d e l c u m p l Pr7 s in te r n o s 6 - A d m in is tr a c i n d e P r o y e c to s P O 1 0 A d m in is tr a c i AI2 7 - D e s a r r o llo , M a n te n im ie n to o A d q u is ic i n d A d q u ir ir y m a n te n e e S o f tw a r e d e A p lic a c i n 8 - A d q u is ic i n y M a n te n im ie n to d e la A I 3 - A d q u is ic i n y M I n f r a e s tr u c tu r a T e c n o l g ic a I n f r a e s tr u c tu r a T 9 - S e g u r id a d P O 6 .8 P o ltic a m a r c o d e 1 0 - S e r v ic io s d e P r o c e s a m ie n to y / o s o p o r te A I .5 A d q u ir ir r e c P r e s ta d o p o r T e r c e r o s 1 1 - S e r v ic io s d e I n te r n e t / E x tr a n e t / I n tr aA d q u ir ir y m a n te n e r i A 3 - net

Res. 48/05 SGN

C o b iT

Estndares
Proceso de adopcin de COBIT:

AUDITORA

ti du A

2005 Creacin de grupo mixto Auditora + TI. 2006 Talleres conjuntos en ISACA (Arg). 2007 Inclusin de Objetivos COBIT en la programacin de auditoras. 2008 Adquisicin de producto GRC para administracin de riesgos. 2009 Primeras auditoras evaluando procesos y riesgos con perspectiva GRC.

Proyectos de Auditoras

AUDITORA

En la actualidad en el Departamento DE AUSI se practican:

Auditorias de gestin de TI (basadas en CobiT). Auditorias de sistemas aplicativos y bases de datos. Auditorias de revisin limitada (objetivo puntual y acotado en alcance). Auditorias forenses denunciados). (verificaciones de hechos

Auditorias de seguridad
Test de penetracin y anlisis de vulnerabilidades Seguridad en accesos

ti du A

Seguridad fsica Cumplimiento de las Polticas de Seguridad de la Informacin de AFIP

Desafios de la Auditora de TI
Desafios de la Auditora de TI:

AUDITORA

ti du A

Ambiente auditado altamente dinmico provocado por cambios tecnolgicos continuos. Necesidad de capacitacin en ltimas tendencias tecnolgicas. Alta interrelacin entre aplicaciones. Compleja trazabilidad motivada por la diversidad de plataformas. Necesidad de contar con personal con distintos perfiles y visiones profesionales. Programas diferentes para igual objetivo de control.

Casos Prcticos

AUDITORA

Marco normativo rea de TI

CASO 1. Auditora de desarrollo y mantenimiento de sistemas.

CASO 2. Auditoria de compras y contrataciones.

ti du A

Marco Normativo rea de TI

AUDITORA

Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la Informacin (Parte pertinente con el objeto auditado).
Definir una apropiada segregacin de funciones y separacin de ambientes, a fin de no comprometer a la seguridad de la informacin. Introduce los conceptos de ambientes de desarrollo, prueba y homologacin. Regula las responsabilidades de las reas definidoras, homologacin, control de calidad y Seguridad. Todos los recursos informticos de la AFIP. Las reas responsables del desarrollo, control de calidad, homologacin y puesta en produccin de sistemas informticos (SLDC). El oficial de seguridad informtica participa en la definicin de las pautas de seguridad que debe cumplir los sistemas desarrollados segn el entorno de operativo. Las reas responsables de la contratacin de sistemas programas a medida.

Establece

mbito de aplicacin

Destinatarios

ti du A

Marco Normativo rea de TI

mantenimiento de sistemas informticos en la AFIP.

AUDITORA

Instruccin General N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y

Objetivo

Definir pautas y documentacin entregable para el proceso de desarrollo y mantenimiento de sistemas que se realice dentro del mbito de la SDG SIT.

Establece

Las etapas del ciclo de vida de las aplicaciones. Roles y responsabilidades. Contenidos minimos de la documentacin y/o entregables de cada etapa. Vigente desde el 2005

ti du A

Marco Normativo rea de TI

AUDITORA

Ejemplos de contenidos mnimos

En la Fase de Definicin se utiliza el documento REQ Requerimiento de Sistemas Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un rea, indicando prioridades y la justificacin del pedido. Responsables: Este documento debe ser aprobado por el Responsable del rea Definidora. Contenido mnimo requerido: Solicitud del requerimiento: Datos del rea Definidora, Descripcin, Alcance, Beneficios y Restricciones, Impacto, Asignacin de prioridad, Fecha requerida de puesta en produccin. Recepcin del requerimiento: Datos del rea Informtica, Objetivo (nuevo desarrollo de sistemas y/o mantenimiento). En la Fase de Implementacin se utiliza el DAP - Documento de Pase a Produccin Objetivo: Especificar la puesta efectiva en produccin del sistema Responsables: Este documento debe ser aprobado por el Responsable del rea de Control de Calidad. Contenido mnimo requerido: Fecha de Puesta en Produccin. Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos y de negocio (criterios de xito). Mecanismos de recuperacin ante cadas en operacin. Procedimientos de restauracin de versiones anteriores.

ti du A

CASO 1

AUDITORA

Caso 1 - Auditora de Desarrollo y Mantenimiento de Sistemas.

Evaluar los procedimientos o metodologas utilizadas en las actividades de desarrollo y mantenimiento de sistemas.

Objeto de la auditora

Alcance

Relevar y analizar el cumplimiento de la normativa aplicable y las actividades de control relativos al proceso de desarrollo y mantenimiento de sistemas, con cada una de las reas intervinientes en el proceso.

Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la Informacin (Parte pertinente con el objeto auditado).

ti du A

Marco Normativo

IG. N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y mantenimiento de sistemas informticos en la AFIP.

CASO 1

AUDITORA

CARACTERISTICAS DEL ENTORNO A AUDITAR:

No existen en la AFIP una unica rea de desarrollo, sino seis (6). Una por cada unidad de negocio y todas dependen de la SDG SIT. Diversas reas definidoras y/o solicitantes de requerimientos. Diversidad de lenguajes y entornos de produccin. La dotacin es de ms 600 personas Aplicativos cedidos a otros Organismos.

ti du A

SDG SIT

Direccin de Informtica Tributara Direccin de Informtica de Fiscalizacin Dep. Informtica de Administracin Direccin de Informtica Aduanera Dir. De Inf. Rec. de la Seguridad Social
Dep. Informtica Jurdica y Colaborativa

CASO 1 PLANIFICACIN DE LA AUDITORA:

AUDITORA

El programa de auditora se bas en el estndar COBIT y se adapt a las particularidades de la AFIP. Constitucin de varios equipos de trabajo. Se ejecutaron en dos (2) auditoras La primer auditora abarco 3 reas de desarrollo y la segunda incluyo a las reas de desarrollo restantes, ms las reas de soporte y definidoras.

ti du A

CASO 1

AUDITORA

EJECUCIN DEL CASO 1:

Elaboracin de cuestionarios. Entrevistas. Visualizacin. Seleccin de muestra de los sistemas crticos. Anlisis de log / Revisin de accesos, permiso y usuarios.

ti du A

CASO 1
Cmo se evalu la Disp 76/05 AFIP?:

AUDITORA

Se analiz la segregacin de funciones desde distintos aspectos: a) Estructura Orgnica. - Se encuentran definidas las reas de desarrollo, de calidad, y de homologacin en la estructura del Organismo? - Funcionan independiente y responden a distintas jefaturas? b) Ambientes. - Los tareas desarrollo, control de calidad y homologacin se realizan en distintos equipos y/o los ambientes son independientes? - Los usuarios de cada entorno responden al rol y la funcin del agente.?

ti du A

CASO 1
Cmo se evalu la IG. 02/05 SDG SIT?:

AUDITORA

Se analiz el cumplimiento de la normativa mediante la solicitud y evaluacin de la calidad de la documentacin de los sistemas crticos seleccionados, dando especial importancia a los siguientes aspectos: a) Participacin del rea definidora en los proyectos de nuevos desarrollos. b) Los controles en las etapas del ciclo de vida. c) La conformidad de las reas de calidad.

ti du A

CASO 1 PRESENTACIN DE RESULTADOS:

AUDITORA

Trabajo de Campo
PAPEL DE TRABAJO (MT)
C A T P s i p u n a r g u o t o n o t o d s e a : : A u R d i t o r a a r : C A O T u S d p e I i t o 3 5 / 2 r a d a l 0 0 7 e D N e s o a r r o P l l o y M a n hA au D t e e n i m S i e is t e s n m d t o a e s d e S i s t e r m m a s l a n i f ic F a d a e c I n f o Ot r ba s b t i c o s a c i o n e s y C o m e n t a r i o s R e s . 4 8 / 0 5 r a c i o n e v i s a r e a s dP i a op re l e t ea rj v o P S A R E . 1 O C C C I d E I O e n D N I M A t i f i c I E a r N E T V s o O A l u D L U c i o E A n A C U I e s D N a u I T O D t o R E m I A L C O N d T a s CC n Co r ne I ,ts r po rul e eI g n s ut t e na r t naa o l . c u e s t i o n a r i o d e e g l a s n a c p r il ti ci c a i dc ia o d n e s n o u t i liz a n e s p u ) e. s t a N 7 ae o u Cl s o n )1 . e la c o n t r o l in t e r n o , I . G C . C N 1 2 / 0 5 ( S e l D G r e a a u d it a d a m e n c io n a S I T ) p a r a s o l ic it a r l o s q u e l a s r e q u e r im r e a s d e f in i d o ie n t o s . ( r a s R O L I N T E R N O a t i z a

Observacin

Entrevista de Cierre - Aprobacin del auditor -

A . 1 s i s a c o t c y v

. 1 . A n a li z a r la d o c uD m e i d e n t if i c a r o n l a s Np r d a r o n l o s r e q u e r i m y ie n ic o s , y s i la m is m a a li d e z d e d i c h o s r e qR u id

e e a n ct a u c e i r d r i1 o , r i sd ea l de e c s n o t l o i cs i t d a e r g a r a n t iz E e Qr i m ( Ri e en qt e n t if ic a r

n o e a n lt o r e s g s a i b s l t e e , m s c i yo n e a s r p s e i cs i t f e i c m a f n o e r m o u c l ai o r :i o f su : n c g a la in t e g r i d a d o u s e r d i m e i ne en g o o c d i eo t la s p r io r i d a d e e n u e

D P P ( D o c u m v e r if i c a r e l a c

1e av9 s /a 1 l iu1 n a/ fL 0on Q 7 rd Cm o a u a l ed s o t s i o e n na r ei o l E a2r o /6 sn / 1 oy 1 G t/ 0r B 7 n s a c c i o n e s d s a i o n a leD s S y R , e x a c t it u d sS . i s t e m a ) o s i m il a r , S s . C Q 2 7 / 1 1 /L 0 Q7 C a u l e s t i o n a r i o E t o P r e lim in a r d e l P r o y e c t o ) o 0 6 / 0 2 G / 0 B 8P a r t e 2 . d r d o d e lo s r e q u e r i m i e n t o s d e l D S 1

lf ei n c cd ie n d e M L u o e s s st r i as t pe m r a a s D i n E c lI u N i d T o E s : s o n : a S is t e m a r r ie n t e , S i s t e m a n ic o d e G a r a n t a , S E F I A , C l a v e a e C s C t o 1 r . ( R e s p u ) .e s t a N 1 A n e x o 1 co un et r s o t l i o I nn t a e r ri no o d e c o n t r o l in t e r n o c o m p le m e n t a r i o , e l im ila r , p a r a c u m e n t a c i n e s t a a l m a c e n a ( dC a C e 2 n e R C e sV p S u e s tC a o N n c u l e g o c i o .

B F

o n o s is c a l D V

C A

e n t a d m i n is E S

t r a c i n

d e q

R u e

la c l a

io

n e s

E x r r e n t

E I N T e r s i o n

m a n i f ie s t a y s t e m .

E l E x D e p a r t a m e n t o I n t e r n e t n o r e c i b i d e f in i c i o n e s n i d o c u m e n t o s a b o r d e n t e m a s c o m o la c la s if i c a c i n d e la in f o r m a c i n n i s u d is p o n ib d e s a r r o l lo s e n n i n g( Cu nC a 2 f a- sR e e ds pe l u c e i sc t l oa d N e v 1i d4 a) . L Q I m p r e s i n d e E cs c o ao r r m e a oi s us i d isn t o rl iap c o i c t r o r er e l e o c t er el n n i vdc i o o a d o c u m ee nsn ot a p c o i r t ne t el D S e l e c t r n i c o s .m a g n t i c o y d e t a ll e l e s q u e m a a u t i liz a r p a r a s u p o s t e r i o r e n v i o .

d e la s r e a s ili d a d , p a r a lo

d e f i n i d o r a n u e v o s

s ,

q u

A in o in d d

. 1 . f o r r g a t e g a t o i s p

2 . V m ne a n i z a r i d a s , a o s i c

e r i ld i s e i c io d , s i o n

L i m i at a al cl c i a H n ac e se ml t: a o m n eso neh t ar oe c i l b a d i do o c u m s e o n l it ca p i c t o l ai o rq d nu a e , n o s eh a p n o d a i dn oa l ai z ds a o r c u m R e E yn QD t o P sd Pe l a m u e a s f ti rnd a ev, e r i fe i cl a r c u m p li m i e n t o d e l a n o r m a . la D i r e c c i2 8 n / 0 d 1 e / L 0 I Q 8 R f oa e r l ms p a u c e i s tn a E C Es ut l r e a s rt et i ago i n d a ae r fi poi n a i dr a o r a n c e x p r e s a , q u e a n t e l a n e c e s id a d d e r e s o l v e r u n a s it u a c i n / p r o b le m a ( p u ( r e a d e f i n 1 i d 8 o / r0 a 2 )M / 0 s R 8oC b o r ne t rl o sl I sn it ge u r nn i eu o n tv e o s r r te e ga m i m a es n: e o s i s t e m a ) , s e p a r t e d e u n a s o l u c i n id e a l q u e s e v a t r a n s f o r m a n d o e n l a d e f in id o r a d e p of i ss i c b a l e l i ;z a e c n i i e n n . d o t e n c u e n t a l o s c o m e n t a r io s v e r t id o s e n la s r e u n i o n e s m u lt i d is c i p li n a r ia s - I n d ic a r c u l e s e l p r o c e d im i e n t o( C u o t i n l i f z o a r d o a dp a u r) s a u f a o r r i m s a , l i o z pa e r r a t i v a s , t c n i c a s , l e g a l , d e f i n i d o r a , e t c . ) , p r e v i a s m o a a la c o n f e c c i n d e l p r i m e r (d C e C u I n F s I i S s Ct e m R a e . s p u e s t a N 1 ) . la n e c e s id a d d e d e s a r r o ll o o m a n t e n i m ie n t o - I n d ic a r s i s e d e f in e n l a s p r io r id a d e s y l a j u s t i f ic a c i n d e l p e d i d o . L u e g o l o s r e q u e r im ie n t o s s e f o r m a l iz a n m e d i a n t e n o t a s o e - m a il o f ic ia l, p r e v ia c o n s u lt a c - I n f o r m a j u s t a r e l d Co c a u b m e e a n c t l o a r i an r i c q i au l e - on o m e e n d t ir a e n g t o e e l E R S . a r s i e l p e r f i l d e la p e r s o n a q u e i n t e r a tc t c na i c c a o s n p e a l r a n o t a s o e - m a i l q u e p e r m i t ie r a n e v a l u a r l a c a li d a d d e in f o r m a c i n c o n t e n id a e r e a d e d e s a r r o llo , c o r r e s p o n d e a u n a n a l i s t a e j e u m n cp il oo sn a d l e f d e f o r m u l a r i o s p r e n u m e r a d o s , - I n f o r m a r e n q u e t a p a s o f a s e s s e g n I G 2 m / 0 i s5 m ( S o Ds . G S Si sI T e )e e l n d t o r ec gu m ee nn t l o a Er e R u Sn i - n P r o y e c t o ( u N 2 in t e r a c t a n c o n la s r e a s d e d e s a r r o l l o . ( F a s q e u ed e s ed e e f ni n t ir ce i g n C , d C u Ir a F n I t S e C l a) . R r ee u s n p i ne .s t a D is e o , C o n s t r u c c i n - H o m o lo g a c i n , I m p le m e n t a c i n ) . S i t u a c i nP oR r e l ol e ev xa p d u a e : s t o , n o s e c o n f e c c i o n a n l o s i n f o r m e s e s t a b l e c i d o s e n f a s e d e f ic a r s i e n t aD l ee s a r c e u q e u r ed ro i m a i el o n s t o s s i s s t e m i 2n a 7c s / l u1 i 1y n e/ fL 0o Q 7u r Cmn a u a l ed s o t s i o e n na r ei o l d CC n f Co i r n ne I i ,tcs r pio rul ne eI g n d ut e e na r tl na a o l I .c G u .e sN t i o 2 n / 0a 5 r i o ( S d D e G c o S n It Tr o ) l . i n Et e s r n a o s c i o u m a p li e m E e s t t t c n es n tr a r i i o c E l u X i d a De n E l aI N o T b E s e m r v a a n c i fi i e n s tg e n s a d s e o r c i ei a s d g o o s sN a 1 l o , s s e p l r e o c c c e i so on sa r s i s t e m a0 /6 s / 0 o 2 G t/ 0r B 8 P n as ra t ce c 2 i o . n e s d s o e c g u m n e c n r it t a i c c i i d a n d e s t a a a l m a c e n a C d C a 2 e n eR l e C s Vp uS e s t C a o N n c u r r e n t V e r s i o n S y s t e m . ( n a le s q u e i yn c s l ou l y i ca i t l aa r s f oa rm m e u n l a rz i oa s : a l a D S 1 )1 . p r e s i n d e E cs o a r r ec o sm t is i n a u d it o r a s o lic it p o r c o r r e o e le c t r n ic o e l e n v io d e l a d o c u m e n t a c i n e n s s e g u r i d a d , d i s p o n i b i lid a d y p r i v a c id a d d e L l Q Is m o d e t a ll e l e s q u e m a a u t i liz a r p a r a s u a l m a c e n a m i e n t o . c o m o e l c u mP Cp l Si m ( i Pe n l a t on dd e l C a so n l es yt r e u sc c y i n d D e S Se lo e f ct wt r a rn e i c) o os .m s i am g i nl a r t , i c p o a r ay e s . v e r if i c a r e l a n l is i s d e r ie s g o s . L i m i t a c i H n a a s l t a a l ec l a mn c o e m : e n t o n o s e h a r e c ib i d o la d o c u m e n t a c i n s o lic it a d a a l E x D e p a r t a m e n t o I n t e r n e t , p o r lo q u e n o f u e p o s i b l e a n a li z a r la c a l id a d d e la in f o r m a c i n c o n t e n d o c u m e n t o s e n t r e g a b le s o s im il a r e s e s p e c i f ic a d o s e n la I G . N 0 2 / 0 5 ( S D G S I T ) . S F e is c o n s u lt a c a l iz a c i n S F - I e f - I ( s in p e n o s e a f e is c o n s u lt a c a l iz a c i n s n s a c i d s , v o la D i r e c c i2 8 n / 0 d 1 e / L 0 I Q 8 R f oa e r l ms p a u c n ( r e a d e f i n 1 i d 8 o / r0 a 2 )M / 0 s R 8oC b o r ne t rl o d e f in id i a l m o m e n t o d e e n c a r (a C r ou nn f o n e s t u d io s d e f a c t i b il id a d / r i e s g o i a l m o m e n t o d e d e f in ir u n n u / t r a n s a c c i n ) s e c o n s id e r a l a n d e a c u e r d o a s u c r it ic id a d , e a c c e s o , e la b o r a c i n d e lo s y a l t e r n a t iv o s a p li c a b l e s a n t e y la d e f i n i c i n d e p i s t a s d e a u , a d j u n t a r d o c u m e n t a c i n . e i s tn a E C Es ut l r e a s rt et i ago i n d a ae r fi poi n a i dr a o c sl I sn it ge u r nn i eu o n tv e o s r r te e ga m i m a es n: e o r a d e p of i ss i c b a l e l i ;z a e c n i i e n n . d t r u m e va do o up ) s r ou ya er i ca t s o , so ep e r a . s e v o d Ee s n a l r a r o l l r o e u n i o n e c l a s i r f i i ec s a gc oi s n ; pd e r ol a n o l a d e f in ic i n d e l o s p r o c e dS i i m t u i ea nc ti o s n P R o re l l oe u n a d e n e g a c i n d e d it o r a . E n c a s o E l r e a e n t ie n d e r a e x p r e s a , q u e a n t e l a n e c e s id a d d e r e s o l v e r u n a s it u a c i n / p r o b le m a ( p u o s i s t e m a ) , s e p a r t e d e u n a s o l u c i n id e a l q u e s e v a t r a n s f o r m a n d o e n l a o e n c u e n t a l o s c o m e n t a r io s v e r t id o s e n la s r e u n i o n e s m u lt i d is c i p li n a r ia s t iv a s , t c n i c a s , le g a l , d e f i n i d o r a , e t c . ) , p r e v i a s a la c o n f e c c i n d e l p r i m e r s m e n c io n a d a s p r e c s o n f o r m ( Ca l Ci z I a dF oI S s C e v e a x d p au : e s t o , n o s e e d e n t e m e n t e e s t n t n R u e n s p d uo ce us m a e N n t o 1 e) s a li z a n lo s a n l is is i m p l c i t o s p e c f ic o . d e r ie s g l o s e s t u d i o s d e f a c

Informe Preliminar -IPe d e s e r u n s o lu c i n ( r e a s d o c u m e n t o . o n n la s lo s r e a s a e nq e u re a l l a d o p o r t e e l

id

e n

lo

n d ic a r e c t a n d ic a r i s t e m f o r m a r f il e s r m a l e r v i c io i r m a t i

e d e s e r u n s o lu c i n ( r e a s d o c u m e n t o . d y d e

t ib i li d a

f o r m

o s .

q u

t ( o C d Ca

Il a F

iI n S f Co r m R

a e cs i p un

e e s s t a S NE

5S ) I B

. n e c e s a r ia la in c lu id a e n la

ti du A

S i t u a c i An l R c le a l se i v f i a c d a ar : a l a in f o r m a d e s a g r e g a c i n m a s d e t a l la d a d e a p a r t a d o B E v a l u a c i n d e l c u m A v ll c m d . 1 e r e v u r i s e s . 3 . R if ic a n a r a d s o s a m o s a r r o ll e d e l c o l e o la t e o d v ea sr q u e n t e r n a t m o e l e t l ua d e i o x si s td De l o s m i sN lo s r e q uy iv o s d e a s l a s d s t u d io d S F e n e cf aa i ac c t udi be e i r l di d o a da lo s s i m 1 o , s s a e n l e a c l i cc i e o n n a l a r s p i os e s r i o m l i ci e i tn a t ro s e , s s t i u sd e o si d i a c c i n , q u e s a t is f a is t in t a s i t e r a c io n e s e f a c t ib ili d a d . e is c o n s u lt a c a l iz a c i n s t e s t ei b ed ne g a e m 2 a 7 s / 1 i 1 n / fL 0o Q 7 r Cm a u a l ed s o t s i o e n na r ei o l E CC n Co e n I l ,t cr po u r l e I sg n tut i eon rnt na a o r i o d e c o n t r o l i n t m i l ia0 d /6 a s / d 0 o 2 d G t/ e 0r B 8 P n as ra t ce c 2 i o . n e s n s o e g r e an l i cz a i t i e c s i d t u a dd i o s a r d e f a c t ib i li d a t if f a i c c a t i r b o i Dln i d Sl oa ds . 2 N 1 n u e v o s dC e C s a r r o lR l o e s) s. . p ( u e s t a n l o s n e l T e n i e n d o e n c u e n t a R o le s y R e e s t a b le c i d o s p o r l a D i s p o s ic i n e n t i e n d e q u e e l D e p a r t a m e n t o I e s u n r e a c o n c o m p e t e n c i a e n c c i2 8 n / 0 d 1 e / L 0 I Q 8 R f oa e r l ms p a u c e i s tn a E C Es ut l r e a s rt et i ago i n d a ae r fi poi n a i dr a o r a n c e x p r e s a q u e a e f i n 1 i d 8 o / r0 a 2 )M / 0 s R 8oC b o r ne t rl o sl I sn it ge u r nn i eu o n tv e o s r r te e ga m i m a es n: e o s i s t e m a ) , s e p d e f in id o r a d e p of i ss i c b a l e l i ;z a e c n i i e n n . d o t e n c u e n t a l o s t o d e e n c a r (a C r ou nn f o n r u m e va do o up ) s r ou ya er i ca t s o , so ep e r a t i v a s , t c n i c a s , f a c t i b il id a d / r i e s g o . E n l a s r e u n i o n e s m e n c io n a d a s r i e s g o s ; p e r o n o s o n f o r m ( Ca l Ci z I a dF S A F u d i t o r e e c h a : s : L a u r a Q u i n t e r o s ( L Q ) , G a b r i e l B a r t o z z e t t i i t u ( G a c i B ) nP L oR r e l ol e ev xa p d u a e : s t o i c . D a n i e l S , n o s e ( D

c i n la m p li m

c o m o S E N S I B L E r e s u lt a is m a . E s t a s it u a c i n s e r ie n t o d e l a n o r m a t i v a . c o m p le m e n t a r io s e r e c ib e n in f o r m s e e s e x p r e s a d e e s e

b s e

r v a

e r n o d n i 2

q u e t ip o

x lo

c o n

e r e q

p a r t a u e r i m

la D i r e ( r e a d o m io s e n d e

- I n d ic a r s i a l m e f e c t a n e s t u d

s p o n s a b i li d a d e s R N 7 6 / 2 0 0 5 M a n u n f o r m t ic a J u r d i c a la s o l u c i n d e s it u n t e l a n e c e s id a d d a r t e d e u n a s o l u c i c o m e n t a r io s v e r t id le g a l , d e f i n i d o r a , e t p r e c oI S s C e f o r m S ) ,

la t a l d y C a c i e r e n id o s e c . ) ,

iv o s a l a e P o l t ic o la b o r a n r e le v a s o l v e r u e a l q u e n la s r e p r e v i a s

S a t i d n s u a s v a e n a

e g u r id a d d e d e S e g u r id a ( E x D e p . s it u a c i n / p v a t r a n s f o r i o n e s in t e r d la c o n f e c c i l o s e s t u

I n f o r m a c i n a d d e la I n f o r m a c i n ; s a r t a m e n t o I n t e r n e t ) n o

la

Informe de Auditora Interna -IAIc i n g e n e r a l d e l m e n t o i e n t o s D E I N T E d e e t ib i li d a d y d e

r o b le m a ( p u e d e s e r u n m a n d o e n l a s o lu c i n i s c ip lin a r i a s ( r e a s n d e l p r i m e r d o c u m e n t o . d e f a c

e d e n t e m e n t e e s t n t n R u e n s p d uo ce us m a e N n t o 1 e) s a l iz a I n g . n M l o s e s t u d R io o d s

i m p l c i t o s p e c f ic o . d e r i g u

d i o s

f a c t i b i lid e z ( M R )

a d

l a v

i c h

a r i e l a

AUDITORA CONJUNTA

AUDITORA

Definicin

Las AUDITORAS CONJUNTAS son actividades que tienen por objetivo dar una opinin integral por parte de la UAI.

Caractersticas

Informe Consolidado. Los destinarios son las reas auditadas. Se consolida con los informes tcnicos o complementarias de otras reas de la UAI. Informe Tcnico Complementario. Los destinatarios son las reas de la UAI que consolidan. Emitir una opinin especializada (Ej. Opinin tcnica informtica o legal sobre un proceso contable).

ti du A

CASO 2

AUDITORA

Caso 2 - Auditora de gestin de compras y contraciones de tecnologa.

Objetivo General Evaluar la gestin de la SDG SIT, con relacin al proceso de compras y contrataciones.

Objeto de la auditora Conjunta

Objetivo DE AUGR Evaluar el cumplimiento del Manual de Contrataciones y la normativa vigente. Objetivo DE AUSI Evaluar la razonabilidad tcnica y econmica de las decisiones de compras efectuadas por el rea de TI.

Alcance

Perodo diciembre de 2007 a abril de 2008

ti du A

Marco Normativo

Disposicin N65/05 (SDG ADF) Rgimen Genaral para Contrataciones de Bienes, Servicios y Obras Pblicas. Manual de Contrataciones.

CASO 2
Parmetros de evaluacin DE AUSI:

AUDITORA

Anlisis del requerimiento de adquisicin (Dependencia tecnologca, compromiso econmico, riesgos). Evaluacin del detalle documental que avala la necesidad de adquisicin. La adquisicin se alinea con los objetivos estratgicos de la AFIP. Deteccin de situaciones fuera de trminos -Incumplimiento Normativo-. Intervencin de la ONTI -Oficina Nacional de Tecnologa de Informacin- sobre el cumplimiento de ETAP (Estandares Tecnologicos para la Administracin Pblica)

ti du A

CASO 2
Tareas de Colaboracin:

AUDITORA

Extraccin de informacin de las base de datos de los sistemas informticos usados en la gestin de compras. Seleccin de muestra. Anlisis estadstico de la muestra.

ti du A

CASO 2
Resultado:

AUDITORA

A una auditora de cumplimiento normativo, se la enriqueci con una perspectiva tcnica y econmica de las decisiones de compras efectuadas por el rea de TI. A partir de la auditora, se elev el estandard de requerimiento documental necesario para justificar una compra/contratacin de tecnologa.

ti du A

AUDITORA

ti du A

AUDITORA

ti du A