UNIVERSIDAD DE LAS FUERZAS ARMADAS

UNIVERSIDAD DE LAS FUERZAS ARMADAS

VICERRECTORADO DE INVESTIGACIÓN Y VINCULACIÓN CON LA COLECTIVIDAD

UNIDAD DE GESTIÓN DE POSTGRADOSMAESTRIA EN AVALUACIÓN Y AUDITORIA DE SISTEMAS

Responsables del proyecto de tesis: Ing. Edison Guillermo Casanova YandúnIng. Christian Patricio Vaca Benalcázar

Director del proyecto:Ing. Estevan Gómez, MSc.

TESIS DESARROLLADA PREVIO A LA OBTENCIÓN DEL TÍTULO DE MAGISTER

Auditoría de Sistemas basada en riesgos a los procesos de nivelación y admisión del Sistema Nacional de Nivelación y Admisión de la Secretaría Nacional de Educación Superior

aplicando COBIT 4.1 y COSO ERM

Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM

INDICE DE CONTENIDO


ANTECEDENTES DE LA INVESTIGACIÓN• OBJETIVO GENERAL• OBJETIVO ESPECIFICO• ESTRUCTURA SENESCYT

DESARROLLO TEÓRICO• IMPORTANCIA DE LA INVESTIGACIÓN• PROCESO ADMISIÓN• PROCESO NIVELACIÓN• AUDITORIA GENERALIDADES• RIESGOS GENERALIDADES• GESTIÓN DE RIESGOS – GENERALIDADES• METODOLOGÍA DE AUDITORÍA

DESARROLLO PRÁCTICO• FASES DE LA AUDITORIA• PONDERACIÓN DE FACTORES DE RIESGO• ELABORACION DE MATRIZ DE RIESGOS• ESQUEMA DE MUESTREO• INFORME DE AUDITORÍA

OB

JET

I V O

Realizar una auditoría de sistemas basada en riesgos a los dos últimos procesos de nivelación y admisión del Sistema Nacional de Educación Superior SNNA de la SENESCYT, con la finalidad de determinar recomendaciones para afrontar las debilidades de control que permitan tomar decisiones acertadas en la gestión de riesgos corporativos a los Directivos de la Institución.

ANTECEDENTES - OBJETIVOS

GENERAL


OB

JET

I V OS

Identificar el grado de madurez de los procesos de admisión y gestión académica, nivelación especial, nivelación de Carrera, y nivelación general, que administra la SENESCYT utilizando el marco de referencia Cobit 4.1 para establecer los niveles de efectividad, eficiencia , confidencialidad, integridad, disponibilidad, y cumplimiento de los Sistemas de Información que soportan estos procesos

Identificar los riesgos asociados a los procesos de admisión y gestión académica, nivelación especial, nivelación de Carrera, y nivelación general, que administra la SENESCYT, con la finalidad de elaborar una Matriz de riesgos que permita enfocar la evaluación en los procesos críticos, además de dejar establecido para la Administración y el área de Auditoría Interna un esquema para gestión de riesgos tecnológicos de los procesos del Sistema de Admisión y Nivelación - SNNA

Elaborar un informe de Auditoría que contenga los hallazgos y las recomendaciones que puedan considerarse por la Administración para mejorar los procesos de admisión y gestión académica, nivelación especial, nivelación de Carrera, y nivelación general, a fin de agregar valor al Sistema de Admisión y Nivelación

ANTECEDENTES - OBJETIVOS

ESPEC Í F I COS


AGREGADORES DE VALOR

ANTECEDENTES - ESTRUCTURA SENESCYT

CIENCIA, TECNOLOGÍA E INNOVACIÓNSubsecretaría de Investigación CientíficaSubsecretaría de Innovación y Transferencia TecnológicaCoordinación de Saberes AncestralesSubsecretaría de Fortalecimiento del Conocimiento y Becas

EDUCACIÓN SUPERIORSubsecretaría de Formación Técnica y TecnológicaSubsecretaría de Formación Académica y Profesional


DESARROLLO TEÓRICO – IMPORTANCIA

Desde el año 2000, la Senescyt administra el proceso de admisión y nivelación de Sistema de Educación Superior tiempo durante el cual no se han efectuado una evaluación tecnológica que permitan establecer mejoras a la gestión actual de los procesos de admisión y nivelación

Es importante realizar una auditoría de sistemas por medio de la aplicación de CobiT 4.1, y COSO ERM que permita documentar y soportar mediante matrices de riesgo y papeles de trabajo recomendaciones que ayuden a la Administración a mejorar su apetito al riesgo como la gestión del proceso.


SISTEMA NACIONAL DE NIVELACIÓN Y ADMISIÓN - SNNA

DESARROLLO TEÓRICO - SNNA

EDUCACIÓN SUPERIOR

Sistema Nacional de Nivelación y Admisión SNNA

Macro Procesos

ADMISIÓN NIVELACIÓN


Se aprueba con nota mayor a 550 puntos

2. ENES


ADMISIÓN

El postulante se registra en la página

WEB

1. INSCRIPCIÓN

Con Cupo

Sin Cupo

Aceptar

Rechazar

Nivelación de Carrera o Examen de Exoneración

Repostulación Cupos

Remanentes

Con Cupo

Sin Cupo

Aceptar

Rechazar

Nivelación General y

rendir ENES nuevamente

?

• Área y Sub área• Carrera• IES• Nivel• Modalidad

3. POSTULACIÓN

4. ÁSIGNACIÓN DE CUPOS

DESARROLLO TEÓRICO – PROCESO ADMISIÓN


NIVELACIÓN

Con Cupo

Acepta EE

Rechaza EE

Rinde EE Aprueba

Reprueba Nivelación de Carrera

Matricula en IES - Carrera

Aprueba

Reprueba

Sin Cupo

Nivelación General

ENES nuevamente

Aprueba

Reprueba

Y obtiene Cupo

Matricula en IES - Carrera

DESARROLLO TEÓRICO – PROCESO NIVELACIÓN

FORMULACIÓN


DESARROLLO TEÓRICO – PROCESO DE MIGRACIÓN

EfectividadE

EficienciaF

IntegridadA

DisponibilidadD

CumplimientoC

• CTT ESPE - Admisión

• Datos de postulantes

• Datos de docentes

Admisión

• OCU – Universitas XXI

• Gestión Académica

Nivelación

Migración de datos e

información(E - F - I -D -

C)

xxxxxxxxx


DESARROLLO TEÓRICO – AUDITORÍA GENERALIDADES

“Lo que no se controla no se mejora, lo que no se mejora generará riesgos”

Metodología AuditoriaMetodología Gestión Riesgos

Efectividad - Eficiencia

Coso ERM COBIT 4.1

Probabilidad

Impacto

AUDITORIA BASADA EN

RIESGOS

Riesgo


DESARROLLO TEÓRICO - AUDITORÍA GENERALIDADES

Es un examen crítico, objetivo e independiente que se realiza con el fin de evaluar la integridad, existencia, exactitud, eficiencia, eficacia y efectividad de los procesos operativos y/o tecnológicos de una organización, verificando que estos cumplan con lo dispuesto por normas, reglamentos, leyes o buenas prácticas a fin de detectar o prevenir fraude y/o error

•Identificar objetivo y alcance de la auditoría.

•Entendimiento del Negocio

•Evaluación de Riesgos•Matrices de Riesgo

Planificación - PA

•Controles TI a Nivel de la Entidad

•Controles Generales TI•Controles de Aplicación TI

Evaluación de Controles - EC

•Pruebas de Datos•Evidencia de Auditoría

Pruebas Sustantivas - PS

•Informe de Hallazgos y Recomendaciones

Informes a Entregar-IF


DESARROLLO TEÓRICO - RIESGOS GENERALIDADES

“Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecución de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez”(PRICE WATERHOUSE COOPERS, 2005)

Los eventos deben evaluarse desde dos perspectivas: probabilidad e Impacto, utilizando técnicas de evaluación cualitativa o cuantitativa de acuerdo al criterio del auditor, estas se pueden graficar mediante mapas de riesgos

Riesgo EY

Estratégico

Operativo

Reporte

Cumplimiento Riesgo SBS

Personas

Tecnología Información

Procesos

Eventos Externos

Oportunidad: Probabilidad de que un evento ocurra y afecte positivamente a la consecución de objetivos

Riesgo: Probabilidad de que ocurra un evento que pueda tener un impacto en el alcance de los objetivos



El apetito de riesgo, la tolerancia al riesgo y la capacidad de riesgo son factores que deben estar claramente definidos dentro de la gestión de riesgos.



NO. MODELO CREADOR OBJETIVO ESTRUCTURA ELEMENTOS

1ISO 31000 :2009 - Gerencia de Riesgos

International Organization for Standardization - ISO

Integrar el proceso de gestión de riesgo en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura

1. Principios.2. Marco de trabajo.3. Proceso de gestión del riesgo

1. Establecer contexto2. Evaluación de Riesgos3. Identificación de los Riesgos.4. Análisis de los Riesgos5. Evaluación de los Riesgos.6. Tratamiento de los Riesgos.7. Monitoreo y Revisión.8. Comunicación y Consulta.

2

METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN - MAGERIT

Consejo Superior de Administración Electrónica - CSAE

1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control

1. Libro I - Método 2. Libro II - Catálogo de elementos.3. Guía de técnicas.

1. Activos.2. Amenazas.3. Salvaguardas.4. Impacto Residual.5. Riesgo Residual.




3

OPERATIONALLY CRITICAL THREATS ASSETS AND VULNERABILITY EVALUATION - OCTAVE

Instituto de Ingeniería de Software

1. Desmitificar la creencia de que la Seguridad Informática es un asunto meramente técnico.2. Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.

1. Método OCTAVE.2. Método OCTAVE-S.3. Método OCTAVE-ALLEGRO.

1. Identificación de la información a nivel gerencial. 2. Identificación de la información a nivel operacional.

3. Identificación de la información a nivel de usuario final. 4. Consolidación de la información y creación de perfiles de amenazas. 5. Identificación de componentes claves. 6. Evaluación de componentes seleccionados. 7. Análisis de riesgos de los recursos críticos. 8. Desarrollo de estrategias de protección.




4

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY - NITS

Instituto Nacional de Estándares y Tecnología

Desarrollar un documento de interés general sobre la Seguridad de la Información, que permitan asegurar el progreso e innovación tecnológica de cuatro áreas en particular: biotecnología, nanotecnología, tecnologías de la Información, y fabricación avanzada.

1. Categorizar - Sistemas de Información.2. Seleccionar - Controles de Seguridad.3. Implementar - Controles de Seguridad.4. Evaluar - Controles de Seguridad.5. Autorizar - Sistemas de Información.6. Monitorear - Controles de Seguridad.

1. Caracterización del sistema. 2. Identificación de amenaza. 3. Identificación de vulnerabilidades. 4. Control de análisis. 5. Determinación del riesgo. 6. Análisis de impacto. 7. Determinación del riesgo. 8. Recomendaciones de control. 9. Resultado de la implementación o documentación.

5 Risk IT de ISACA Asociación de Auditoría y Control de Sistemas de Información - ISACA

Aplicar los conceptos generalmente aceptados de los principales estándares y marcos, así como los principales conceptos de la gestión de otros riesgos de TI, relacionados con las normas.

1. Marco completo para gestión de riesgos de TI.

1. Gobierno del riesgos (GR)1.1 RG1 Establecer y mantener una vista de riesgo común.1.2 RG2 Integrar con ERM.1.3 RG3 Tomar decisiones conscientes de los riesgos del negocio.2. Evaluación de riesgos (RE)2.1 RE1 Recoger datos.2.2 RE2 Analizar los riesgos.2.3 RE3 Mantener perfil de riesgo.3. Respuesta de riesgos3.1 RR1 Riesgo articulado3.2 RR2 Manejar riesgos3.3 RR3 Reaccionar a acontecimientos


DESARROLLO TEÓRICO – METÓDOLOGIA DE AUDITORIA

COBI

T 4.

1

1. Elaborado por ISACA - Asociación de Auditoría y Control de Sistemas de Información.2. Marco de referencia para evaluación de sistemas de información.3. Agrupada en 4 dominios y 34 objetivos de control.• PO-Planear y Organizar.• AI-Adquirir e Implementar.• DS-Entregar y Dar Soporte.• ME-Monitorear y Evaluar.

4. Establece Modelo de Madurez para los procesos evaluados5. Actualización Cobit 5.

COSO

ERM

1. Elaborado por el Comité de Organizaciones Patrocinantes COSO. 2. Marco de referencia para evaluación de control basada en riesgos.3. Consta de 8 elementos: • Ambiente de Control.• Establecimiento de Objetivos.• Identificación de Eventos.• Evaluación de Riesgos.• Respuesta al Riesgo.• Actividades de Control.• Información y Comunicación• Supervisión y Control.

4. Actualización COSO 2013.

DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA

Evaluación Situación

Actual

Elaboración Mapas de

Riesgos

Evaluación de los

Procesos

Grado de Madurez de

los Procesos

Informe de Auditoría




• Lectura de memorias, publicaciones, normas reglamentos, políticas.

• Revisión planes estratégicos y operativos de TI.

• Asociar los objetivos de COBIT 4.1 con los procesos SNNA a evaluar y determinar cuantos se cumplen.

Comprensión del Negocio y Ambiente

• Probar el diseño de los controles que se deben aplicar a las actividades de cada proceso SNNA.

Evaluación de controles

• Con la evaluación de los controles generales al proceso SNNA establecer una calificación de riesgo general inicial.

• Identificar Riesgos: Inherente, Detección y De Control.

• Establecer la Materialidad de Auditoría.

Riesgo y Materialidad de

Auditoría



• En función del nivel de riesgo de los procesos definir el nivel de madurez de los procesos.

Evaluación del Nivel de Madurez actual de los

procesos SNNA

• Definir la valoración de criticidad, frecuencia, tipo de control, y nivel de automatización del control.

Valoración del Impacto de los procesos SNNA



• Elaborar una matriz que integre los riesgos identificados en la evaluación inicial, respuesta a los riesgos , actividades de control , información y comunicación .

• Calcular riesgo de los procesos evaluados

Matrices de Riesgo

• Elaborar mapas de riesgo.

Mapas de Riesgo



• Realizar pruebas de control y pruebas sustantivas.

• Documentar los hallazgos

Elaborar procedimientos de evaluación para los procesos

SNNA mas críticos

• Elaborar informe de auditoría.

• Redactar recomendaciones.

Elaboración de Informe de Auditoría

DESARROLLO PRÁCTICOPONDERACIÓN FACTORES DE RIESGO PROBABILIDAD


MATRIZ DE DETERMINACIÓN DE LA PROBABILIDAD

CRITERIO PROBABILIDAD CALIFICACIÓN

Muy probable

El evento podría ocurrir entre 1 a 6 meses, que es el tiempo en el cual se

desarrolla un proceso completo en cualquiera de los macroprocesos

5

Probable

El evento podría ocurrir entre 6 a 12 meses, es decir, puede darse incluso en tiempos que señalan un proceso

anterior

4

PosibleEl evento podría ocurrir entre 12 a 24

meses3

Poco probableEl evento podría ocurrir en algún

momento2

ImprobableEl evento ocurriría en circunstancias

excepcionales1

La gestión de riesgos es una actividad elaborada con la asesoría de Auditoría Interna o Riesgos, sin embargo la responsabilidad de su comunicación corresponde a la alta gerencia y de su aplicación a toda la organización.

DESARROLLO PRÁCTICOPONDERACIÓN FACTORES DE RIESGO IMPACTO


MATRIZ DE DETERMINACIÓN DEL IMPACTO

CRITERIO IMPACTO OPERATIVO DESCRIPCIÓN CALIFICACIÓN

CatastróficoInterrupción de más de una semana

Comprometimiento de la información sensible que produzcan suspención total de los procesos y resquebrajamiento de la imagen institucional

5

SignificativoInterrupción de hasta 1 semana

Comprometimiento de la información sensible que produzcan retardo y paralización temporal de los procesos

4

ModeradoInterrupción de más de un día

Comprometimiento de información que ocasionan retardo o paralización de procesos de apoyo, los cuales pueden superarse mediante acciones inmediatas

3

Menor Interrupción de 1 día

Comprometimiento de información que pueden ocasionar retardo o paralización de procesos de apoyo, los cuales pueden superarse mediante acciones mediatas

2

Insignificante Interrupción menor a 1 día

Comprometimiento de información no sensible para la institución y que su recuperación no es indispensable inmediatamente

1

DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO RIESGO


MATRIZ DE VALORACIÓN Y CALIFICACIÓN DE RIESGOS

RIESGO DESCRIPCIÓN CALIFICACIÓN

Alto

Riesgo de acción inmediata. El factor de riesgo no cumple con los requisitos esenciales contemplados en el criterio de referencia utilizada. Es necesario adoptar medidas propuestas indicadas e implementarlas con máxima prioridad. De determinarse consecuencia extremadamente dañinas mientras se implementa la medida propuesta se deberá establecer un plan de control

Mayor o igual que 4 y menor o igual que 5

Moderado

Riesgo de acción mediata. El factor de riesgo no cumple con los requisitos esenciales contemplados en el criterio de referencia utilizada. Es necesario adoptar medidas propuestas indicadas e implementarlas en un período determinado

Mayor o igual que 3 y menor que 4

Bajo

Riesgo de acción eventual. No se requiere planificar acción específica ni mejorar acción preventiva, puesto que se cumple con los requisitos esenciales contemplados en el criterio de referencia utilizada. Se puede realizar evaluaciones periódicas para asegurar que se mantiene la eficiencia de los controles

Mayor o igual que 1 y menor que 3

DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGOCALIFICACIÓN CONTROLES


MATRIZ DE VALORACIÓN Y CALIFICACIÓN DE CONTROLES VALORACIÓN DESCRIPCIÓN CALIFICACIÓN

Muy EficienteExcelente resultados de control ante la aparición de un riesgo, merecen evaluaciones que permitan mantener el nivel

5

EficienteBuenos resultados de control ante la aparición de un riesgo, merecen verificaciones y actualizaciones periódicas

4

Algo EficienteMedianos resultados de control ante la aparición de un riesgo, merecen verificaciones y actualizaciones constantes

3

Poco Eficiente

Bajos resultados de control ante la aparición de un riesgo, merecen acciones mediáticas para corregir o implementar controles

2

Nada Eficiente

Pésimos o escasos resultados de control ante la aparición de un riesgo, merecen acciones inmediatas para corregir o implementar controles

1

DESARROLLO PRÁCTICOPONDERACIÓN FACTORES DE RIESGO CONTROLES


MATRIZ DE TIPO DE CONTROLES TIPO DESCRIPCIÓN

Preventivo Controles claves que actúan antes o al inicio de un proceso.

DetectivoControles claves que actúan durante el proceso y que permiten corregir las deficiencias.

Correctivo Controles claves que sólo actúan una vez que el proceso ha terminado.

MATRIZ DE NIVEL DE AUTOMATIZACIÓN DE CONTROLES TIPO DESCRIPCIÓN

AutomatizadoControles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados no contiene ningún componente manual

Semi Automatizado

Controles claves incorporados en el proceso, cuya aplicación incluye un componente de tecnología de la información.

ManualControles claves incorporados en el proceso, cuya aplicación no depende de ningún componente de Tecnología de la información

MATRIZ DE PERIODICIDAD DE CONTROLES FRECUENCIA DESCRIPCIÓN

PermanenteControles claves aplicados durante todo el proceso, es decir, en cada operación.

PeriódicoControles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo

OcasionalControles claves que se aplican sólo en forma ocasional en un proceso.

DESARROLLO PRÁCTICO IDENTIFICACIÓN DE RIESGOS


• Alteración, pérdida, divulgación y/o inadecuado tratamiento de información por falta o mala aplicación de políticas de seguridad, protección, confidencialidad de la información y procedimientos de clasificación de la misma

• Errores de registro de información ante la inexistencia o mala aplicación de políticas de capacitación para el manejo de los sistemas

• Información inconsistente ante la inexistencia o mala aplicación de políticas de administración de datos, procedimientos de control de cambios y pruebas en parametrizaciones de los sistemas

• No disponibilidad de la información debido a la falta o mala aplicación de políticas y procedimientos de migración de datos del sistema de admisión al sistema de nivelación.

• Paralización del servicio por:• Inadecuada solución de incidentes ante la falta de mesa de

ayuda con estructura y procedimientos definidos• Incumplimiento contractual incluido los Acuerdos de Niveles

de Servicio – SLA, por falta o mala aplicación de políticas y procedimientos para la gestión de servicios con terceros

• Falta o mala aplicación de políticas de mantenimiento de infraestructura tecnológica: hardware y software

• Inexistencia o mala aplicación de un plan de continuidad

DESARROLLO PRÁCTICO – EVALUACIÓN DE RIESGOS


RIESGO TOTALPROCESO RIESGO/MADUREZ VALOR

Admisión Moderado

3.96

Nivelación Moderado

3.84

Calificación Final Moderado 3.90

DESARROLLO PRÁCTICO – RESPUESTA AL RIESGO


• Alteración, pérdida, divulgación y/o inadecuado tratamiento de información por falta o mala aplicación de políticas de seguridad, protección, confidencialidad de la información y procedimientos de clasificación de la misma

• Errores de registro de información ante la inexistencia o mala aplicación de políticas de capacitación para el manejo de los sistemas

• Información inconsistente ante:• Inexistencia o mala aplicación de políticas de administración

de datos• Procedimientos de control de cambios • Pruebas en parametrizaciones de los sistemas

• No disponibilidad de la información debido a la falta o mala aplicación de políticas y procedimientos de migración de datos del sistema de admisión al sistema de nivelación

MITIGARLO

MITIGARLO

MITIGARLO

ASUMIRLOMITIGARLO

MITIGARLO

• Paralización del servicio por:• Inadecuada solución de incidentes ante la falta de mesa de

ayuda con estructura y procedimientos definidos• Incumplimiento contractual incluido los Acuerdos de Niveles

de Servicio – SLA, por falta o mala aplicación de políticas y procedimientos para la gestión de servicios con terceros

• Falta o mala aplicación de políticas de mantenimiento de infraestructura tecnológica: hardware y software

• Inexistencia o mala aplicación de un plan de continuidad

MITIGARLOMITIGARLO

ASUMIRLOMITIGARLO

DESARROLLO PRÁCTICO – RESPUESTA AL RIESGO


DESARROLLO PRÁCTICO – ESQUEMA DE MUESTREO


Para determinación de las muestras se utilizará la fórmula para poblaciones finitas, puesto que la población de postulantes cumple con esta característica

pqKNeNpqK

m 22

2

)1(

Dónde:

K es el coeficiente estadístico de prueba de acuerdo al nivel de confianza. En la presente investigación el nivel de confianza será considerado por el 95%, lo que devuelve un valor estadístico para K de 1.96

N es el valor total de la población objeto de la investigación

P es la probabilidad de éxito o porción esperada. En la presente investigación será considerada como el 95% que equivale a 0.95

Q es la probabilidad de fracaso. En la presente investigación será considerada como el 5% restante, que equivale a 0.05

E es la precisión. Para la presente investigación se considerará el 5%, que equivale al 0.05

pqKNeNpqK

m 22

2

)1(

CÁLCULO DE LA MUESTRA

K = 1.96

N = 249061 (107944 inscritos 2013-1S 141147 inscritos 2013-2S)

P = 95%

Q = 5%

E = 0.05

623

45448

05.095.096.124906005.0

05.095.024906196.122

2

m

73m


EVALUACIÓN DE CONTROLES - CRITERIOS

Determinar y evaluar la condición y compararla con el criterio. Comparar entre "lo que es" -Condición- con "lo que debe ser" -Criterio, producto de lo cual se pueden presentar los eventos

Marca de Auditoría a Utilizar

EquivalenciaControl - Evento a Verificar

P SiEs conforme, cuando se ajusta satisfactoriamente a los criterios

O No No cumple, cuando no se ajusta a los criterios

O No No cumple, cuando se ajusta parcialmente a los criterios

P Si Es conforme, cuando supera los criterios

X No aplica La condición no aplica para el control o evento evaluado


EVALUACIÓN DE CONTROLES - CRITERIOS

Analizados los eventos o controles se ocupó el siguiente esquema de calificación para establecer el nivel de riesgo que mitiga el control.

1. Totales por Evento (TE): Totalizar y sumar los eventos calificados como: Es conforme (Si), No Cumple (No) y No aplica (N/A)

2. Total Verificaciones Calificadas como Válidas (VV): Al total de la muestra seleccionada restar los eventos calificados como No aplica (N/A).

3. Porcentaje de Relación (PR): Establecer el porcentaje que representan los eventos calificados como Es conforme (Si) sobre el total de verificaciones calificadas como válidas.

4. Grado de Confianza (GC): Multiplicar el Porcentaje de relación por la ponderación máxima de riesgo (5).

5. Grado de Riesgo (GR): Al nivel máximo de riesgo restar el grado de confianza.6. Ajuste al Riesgo (AR): En función del relevamiento realizado y de pruebas de recorrido se establece

un ajuste considerando los niveles de riesgo (desde 1 hasta 5) que podría ocurrir de no funcionar el diseño, implementación o eficacia del control.

7. Riesgo Total (RT): Se obtiene el promedio entre el Grado de Riesgo (GR) y el Ajuste al Riesgo (AR).


Opinión - Controles Descripción - Opinión Nivel de Riesgo Categoría Riesgo Categoría Confianza Categoría

Madurez

Efectivo

Los controles evaluados son adecuados y efectivos y pueden proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos

Mayor o igual que 1 y menor que 3 Bajo Alto Alto

Se requiere una mejora importante

Se han identificado numerosas debilidades concretas en los controles.Los controles evaluados probablemente no podrían proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos

Mayor o igual que 3 y menor que 4 Moderado Moderado Moderado

Insatisfactorio

Los controles evaluados no son adecuados, apropiados, ni efectivos y no podrán proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos.

Mayor o igual que 4 y menor o igual que 5 Alto Bajo Bajo

Fuente: IAI, Formulación y Expresión de Opiniones de Auditoría InternaElaborado por: Los Autores


DESARROLLO PRÁCTICO – OPINIÓN DE AUDITORÍA

Calificación del Riesgo:

Moderado Madurez de Controles:

Se requiere una mejora importante

Opinión:

Se han identificado numerosas debilidades concretas en los controles. Los controles evaluados probablemente no podrían proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos


DESARROLLO PRÁCTICO – OPINIÓN DE AUDITORÍA

Sistema de AdmisiónCupos de Carrera

Inscripción

ENES

Postulación

Asignación de Cupos

Aceptación de Cupos

Re postulación

Nivelación

POST

ULA

NT

E

DESARROLLO PRÁCTICO – RECOMENDACIONES


RIESGO: Falta de Seguridad de la Información

ACCIÓN RESPONSABLEGenerar metodología de desarrollo de software que garantice que las especificaciones de programación concuerdan con las especificaciones del diseño, así como también, que contemple los modelos matemáticos para asignación de cupos, aceptación de cupos, registro de aspirantes, asignación de recintos.

Dirección TIC – SENESCYT

Definir un esquema de clasificación de la información que determine el nivel de sensibilidad de la misma Coordinación de

Admisión con Asesoría del área de Auditoría y Dirección

TIC

Definir un plan de seguridad de TI en consideración de toda la infraestructura tecnológica del SNNA, basándose en la norma ISO 27002 y el plan de clasificación de la información.

Se incluya en todo contrato con directos y terceros acuerdos de confidencialidad de la información

Coordinación de Admisión

Generar e implementar procesos para gestión de usuarios del sistema, basándose en la norma ISO 27002 y el plan de clasificación de la información.

Coordinación Admisión

Dirección TIC



RIESGO: Inconsistencia de la Información

ACCIÓN RESPONSABLE

Desarrollar e implementar política para gestión de cambios, que permita registrar, evaluar y dar prioridad a los cambios solicitados


Establecer ambientes de prueba Gerencia SNNADirección TIC

Desarrollar, probar e implementar una metodología de plan de pruebas operacional

Coordinación AdmisiónEstablecer y aplicar indicadores de evaluación para determinar la pertinencia y validez de los procesos de capacitación y entrenamiento del personal en el manejo del sistema



RIESGO: No Disponibilidad de Información

ACCIÓN RESPONSABLE

Determinar la disponibilidad del digital del ENES en cada cuenta SNNA de acuerdo a lo que establece el reglamento para los soportes físicos




RIESGO: Paralización del Servicio

ACCIÓN RESPONSABLE

Incluir un registro completo de las relaciones con los proveedores como terceras partes con aprobación formal y legal. Que estipule de manera clara los Acuerdos de Niveles de Servicio (SLA), Acuerdos de Niveles de Operación (OLA) para soportar los SLA, y establezca las particularidades de implementación de acuerdo a las especificaciones y necesidades institucionales

Gerencia SNNA

Desarrollar y socializar un plan de Continuidad de TI, determinar su validez mediante la implementación y ejecución de un plan de pruebas que garantice continuidad de TI en caso de siniestros

Coordinación Admisión con Asesoría de

Auditoría Interna



Sistema de Nivelación

Matrícula

Asignación de Docentes

Calificaciones

Reportes

Admisión

UN

IVER

SIDA

DAuditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM


RIESGO: Falta de Seguridad de la Información

ACCIÓN RESPONSABLEDefinir un esquema de clasificación de la información que determine el nivel de sensibilidad de la misma Coordinación de

Nivelación con Asesoría del área de Auditoría y Dirección

TIC

Definir un plan de seguridad de TI en consideración de toda la infraestructura tecnológica del SNNA, basándose en la norma ISO 27002 y el plan de clasificación de la información.

Se incluya en todo contrato con directos y terceros acuerdos de confidencialidad de la información

Coordinación de Nivelación

Generar e implementar procesos para gestión de usuarios del sistema, basándose en la norma ISO 27002 y el plan de clasificación de la información.

Coordinación Nivelación

Dirección TIC



RIESGO: Inconsistencia de la Información

ACCIÓN RESPONSABLE

Construir un programa de capacitación en consideración de los varios tipos de usuarios que contenga los aspectos indicados por la normativa legal y de mejores prácticas Coordinación

NivelaciónEstablecer y aplicar indicadores de evaluación para determinar la pertinencia y validez de los procesos de capacitación y entrenamiento del personal en el manejo del sistema



RIESGO: Paralización del Servicio

ACCIÓN RESPONSABLE

Incluir en los términos contractuales especificaciones del sistema informático de tal manera que se acople al contexto nacional y cumpla con los requerimientos institucionales y las mejores prácticas para aplicación de automatizaciones y gestión de la información y los servicios. Determinar la inclusión de procedimientos de evaluación y suspensión de proveedores.


Dirección TIC

Establecer la mesa de ayuda con estructura propia que permita receptar, clasificar de acuerdo a severidad e impacto y solucionar incidentes con escalamiento funcional y jerárquico y su posterior registro en una base de conocimiento.


Desarrollar y socializar un plan de Continuidad de TI, determinar su validez mediante la implementación y ejecución de un plan de pruebas que garantice continuidad de TI en caso de siniestros.

Coordinación Nivelación con

Asesoría de Auditoría Interna



RIESGO: Migración

ACCIÓN RESPONSABLE

Establecer un plan de migración de información de la plataforma de admisión a la plataforma de nivelación que considere todos los elementos necesarios para garantizar integridad, confidencialidad, confianza, eficiencia y eficacia de la información. Dirección TIC

Establecer y ejecutar un plan de pruebas luego del proceso de migración.Definir parámetros para legalizar y formalizar la aprobación una vez aplicado el plan de pruebas.


Desarrollar un análisis de riesgos y el impacto que este ocasionaría a la institución en caso de activarse. Incluir un plan y/o procedimientos necesarios para mitigar los riesgos.

Coordinación Nivelación con

asesoría de Auditoría Interna



La plataforma de admisión presenta varios inconvenientes en los controles que desatan riesgos que pueden ser mitigados mediante la aplicación de acciones correctivas asumidas desde la Gerencia SNNA y la Coordinación de Admisión.

El sistema informático Universitas XXI, presenta deficiencias de control importantes, que incluyen situaciones de contexto, gestión y configuración, que ponen en riesgo la seguridad y gestión de la información del Macro Proceso de Nivelación del SNNA, y que pueden desatar deterioro de la imagen y gestión institucional.

Mantener la Aplicación de Admisión aplicando las recomendaciones específicas para el caso, mencionadas en el presente informe y que ayudarán a mitigar los riesgos determinados.

Diseñar e implementar con la Dirección TIC de la SENESCYT una solución informática integrada que se apegue al cumplimiento de las mejores prácticas y gestione los dos macro procesos del Sistema Nacional de Nivelación y Admisión SNNA.


DESARROLLO PRÁCTICO – CONCLUSIONES FINALES

GRACIAS POR SU ATENCIÓN


Documents

UNIVERSIDAD DE LAS FUERZAS ARMADAS