Upload
charissa-santana
View
66
Download
0
Embed Size (px)
DESCRIPTION
UNIVERSIDAD DE LAS FUERZAS ARMADAS. VICERRECTORADO DE INVESTIGACIÓN Y VINCULACIÓN CON LA COLECTIVIDAD. UNIDAD DE GESTIÓN DE POSTGRADOS. MAESTRIA EN AVALUACIÓN Y AUDITORIA DE SISTEMAS. Responsables del proyecto de tesis: Ing. Edison Guillermo Casanova Yandún - PowerPoint PPT Presentation
Citation preview
UNIVERSIDAD DE LAS FUERZAS ARMADAS
VICERRECTORADO DE INVESTIGACIÓN Y VINCULACIÓN CON LA COLECTIVIDAD
UNIDAD DE GESTIÓN DE POSTGRADOSMAESTRIA EN AVALUACIÓN Y AUDITORIA DE SISTEMAS
Responsables del proyecto de tesis: Ing. Edison Guillermo Casanova YandúnIng. Christian Patricio Vaca Benalcázar
Director del proyecto:Ing. Estevan Gómez, MSc.
TESIS DESARROLLADA PREVIO A LA OBTENCIÓN DEL TÍTULO DE MAGISTER
Auditoría de Sistemas basada en riesgos a los procesos de nivelación y admisión del Sistema Nacional de Nivelación y Admisión de la Secretaría Nacional de Educación Superior
aplicando COBIT 4.1 y COSO ERM
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
INDICE DE CONTENIDO
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
ANTECEDENTES DE LA INVESTIGACIÓN• OBJETIVO GENERAL• OBJETIVO ESPECIFICO• ESTRUCTURA SENESCYT
DESARROLLO TEÓRICO• IMPORTANCIA DE LA INVESTIGACIÓN• PROCESO ADMISIÓN• PROCESO NIVELACIÓN• AUDITORIA GENERALIDADES• RIESGOS GENERALIDADES• GESTIÓN DE RIESGOS – GENERALIDADES• METODOLOGÍA DE AUDITORÍA
DESARROLLO PRÁCTICO• FASES DE LA AUDITORIA• PONDERACIÓN DE FACTORES DE RIESGO• ELABORACION DE MATRIZ DE RIESGOS• ESQUEMA DE MUESTREO• INFORME DE AUDITORÍA
OB
JET
I V O
Realizar una auditoría de sistemas basada en riesgos a los dos últimos procesos de nivelación y admisión del Sistema Nacional de Educación Superior SNNA de la SENESCYT, con la finalidad de determinar recomendaciones para afrontar las debilidades de control que permitan tomar decisiones acertadas en la gestión de riesgos corporativos a los Directivos de la Institución.
ANTECEDENTES - OBJETIVOS
GENERAL
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
OB
JET
I V OS
Identificar el grado de madurez de los procesos de admisión y gestión académica, nivelación especial, nivelación de Carrera, y nivelación general, que administra la SENESCYT utilizando el marco de referencia Cobit 4.1 para establecer los niveles de efectividad, eficiencia , confidencialidad, integridad, disponibilidad, y cumplimiento de los Sistemas de Información que soportan estos procesos
Identificar los riesgos asociados a los procesos de admisión y gestión académica, nivelación especial, nivelación de Carrera, y nivelación general, que administra la SENESCYT, con la finalidad de elaborar una Matriz de riesgos que permita enfocar la evaluación en los procesos críticos, además de dejar establecido para la Administración y el área de Auditoría Interna un esquema para gestión de riesgos tecnológicos de los procesos del Sistema de Admisión y Nivelación - SNNA
Elaborar un informe de Auditoría que contenga los hallazgos y las recomendaciones que puedan considerarse por la Administración para mejorar los procesos de admisión y gestión académica, nivelación especial, nivelación de Carrera, y nivelación general, a fin de agregar valor al Sistema de Admisión y Nivelación
ANTECEDENTES - OBJETIVOS
ESPEC Í F I COS
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
AGREGADORES DE VALOR
ANTECEDENTES - ESTRUCTURA SENESCYT
CIENCIA, TECNOLOGÍA E INNOVACIÓNSubsecretaría de Investigación CientíficaSubsecretaría de Innovación y Transferencia TecnológicaCoordinación de Saberes AncestralesSubsecretaría de Fortalecimiento del Conocimiento y Becas
EDUCACIÓN SUPERIORSubsecretaría de Formación Técnica y TecnológicaSubsecretaría de Formación Académica y Profesional
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – IMPORTANCIA
Desde el año 2000, la Senescyt administra el proceso de admisión y nivelación de Sistema de Educación Superior tiempo durante el cual no se han efectuado una evaluación tecnológica que permitan establecer mejoras a la gestión actual de los procesos de admisión y nivelación
Es importante realizar una auditoría de sistemas por medio de la aplicación de CobiT 4.1, y COSO ERM que permita documentar y soportar mediante matrices de riesgo y papeles de trabajo recomendaciones que ayuden a la Administración a mejorar su apetito al riesgo como la gestión del proceso.
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
SISTEMA NACIONAL DE NIVELACIÓN Y ADMISIÓN - SNNA
DESARROLLO TEÓRICO - SNNA
EDUCACIÓN SUPERIOR
Sistema Nacional de Nivelación y Admisión SNNA
Macro Procesos
ADMISIÓN NIVELACIÓN
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
Se aprueba con nota mayor a 550 puntos
2. ENES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
ADMISIÓN
El postulante se registra en la página
WEB
1. INSCRIPCIÓN
Con Cupo
Sin Cupo
Aceptar
Rechazar
Nivelación de Carrera o Examen de Exoneración
Repostulación Cupos
Remanentes
Con Cupo
Sin Cupo
Aceptar
Rechazar
Nivelación General y
rendir ENES nuevamente
?
• Área y Sub área• Carrera• IES• Nivel• Modalidad
3. POSTULACIÓN
4. ÁSIGNACIÓN DE CUPOS
DESARROLLO TEÓRICO – PROCESO ADMISIÓN
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
NIVELACIÓN
Con Cupo
Acepta EE
Rechaza EE
Rinde EE Aprueba
Reprueba Nivelación de Carrera
Matricula en IES - Carrera
Aprueba
Reprueba
Sin Cupo
Nivelación General
ENES nuevamente
Aprueba
Reprueba
Y obtiene Cupo
Matricula en IES - Carrera
DESARROLLO TEÓRICO – PROCESO NIVELACIÓN
FORMULACIÓN
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – PROCESO DE MIGRACIÓN
EfectividadE
EficienciaF
IntegridadA
DisponibilidadD
CumplimientoC
• CTT ESPE - Admisión
• Datos de postulantes
• Datos de docentes
Admisión
• OCU – Universitas XXI
• Gestión Académica
Nivelación
Migración de datos e
información(E - F - I -D -
C)
xxxxxxxxx
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – AUDITORÍA GENERALIDADES
“Lo que no se controla no se mejora, lo que no se mejora generará riesgos”
Metodología AuditoriaMetodología Gestión Riesgos
Efectividad - Eficiencia
Coso ERM COBIT 4.1
Probabilidad
Impacto
AUDITORIA BASADA EN
RIESGOS
Riesgo
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - AUDITORÍA GENERALIDADES
Es un examen crítico, objetivo e independiente que se realiza con el fin de evaluar la integridad, existencia, exactitud, eficiencia, eficacia y efectividad de los procesos operativos y/o tecnológicos de una organización, verificando que estos cumplan con lo dispuesto por normas, reglamentos, leyes o buenas prácticas a fin de detectar o prevenir fraude y/o error
•Identificar objetivo y alcance de la auditoría.
•Entendimiento del Negocio
•Evaluación de Riesgos•Matrices de Riesgo
Planificación - PA
•Controles TI a Nivel de la Entidad
•Controles Generales TI•Controles de Aplicación TI
Evaluación de Controles - EC
•Pruebas de Datos•Evidencia de Auditoría
Pruebas Sustantivas - PS
•Informe de Hallazgos y Recomendaciones
Informes a Entregar-IF
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES
“Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecución de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez”(PRICE WATERHOUSE COOPERS, 2005)
Los eventos deben evaluarse desde dos perspectivas: probabilidad e Impacto, utilizando técnicas de evaluación cualitativa o cuantitativa de acuerdo al criterio del auditor, estas se pueden graficar mediante mapas de riesgos
Riesgo EY
Estratégico
Operativo
Reporte
Cumplimiento Riesgo SBS
Personas
Tecnología Información
Procesos
Eventos Externos
Oportunidad: Probabilidad de que un evento ocurra y afecte positivamente a la consecución de objetivos
Riesgo: Probabilidad de que ocurra un evento que pueda tener un impacto en el alcance de los objetivos
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES
El apetito de riesgo, la tolerancia al riesgo y la capacidad de riesgo son factores que deben estar claramente definidos dentro de la gestión de riesgos.
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES
NO. MODELO CREADOR OBJETIVO ESTRUCTURA ELEMENTOS
1ISO 31000 :2009 - Gerencia de Riesgos
International Organization for Standardization - ISO
Integrar el proceso de gestión de riesgo en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura
1. Principios.2. Marco de trabajo.3. Proceso de gestión del riesgo
1. Establecer contexto2. Evaluación de Riesgos3. Identificación de los Riesgos.4. Análisis de los Riesgos5. Evaluación de los Riesgos.6. Tratamiento de los Riesgos.7. Monitoreo y Revisión.8. Comunicación y Consulta.
2
METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN - MAGERIT
Consejo Superior de Administración Electrónica - CSAE
1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
1. Libro I - Método 2. Libro II - Catálogo de elementos.3. Guía de técnicas.
1. Activos.2. Amenazas.3. Salvaguardas.4. Impacto Residual.5. Riesgo Residual.
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES
NO. MODELO CREADOR OBJETIVO ESTRUCTURA ELEMENTOS
3
OPERATIONALLY CRITICAL THREATS ASSETS AND VULNERABILITY EVALUATION - OCTAVE
Instituto de Ingeniería de Software
1. Desmitificar la creencia de que la Seguridad Informática es un asunto meramente técnico.2. Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.
1. Método OCTAVE.2. Método OCTAVE-S.3. Método OCTAVE-ALLEGRO.
1. Identificación de la información a nivel gerencial. 2. Identificación de la información a nivel operacional.
3. Identificación de la información a nivel de usuario final. 4. Consolidación de la información y creación de perfiles de amenazas. 5. Identificación de componentes claves. 6. Evaluación de componentes seleccionados. 7. Análisis de riesgos de los recursos críticos. 8. Desarrollo de estrategias de protección.
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES
NO. MODELO CREADOR OBJETIVO ESTRUCTURA ELEMENTOS
4
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY - NITS
Instituto Nacional de Estándares y Tecnología
Desarrollar un documento de interés general sobre la Seguridad de la Información, que permitan asegurar el progreso e innovación tecnológica de cuatro áreas en particular: biotecnología, nanotecnología, tecnologías de la Información, y fabricación avanzada.
1. Categorizar - Sistemas de Información.2. Seleccionar - Controles de Seguridad.3. Implementar - Controles de Seguridad.4. Evaluar - Controles de Seguridad.5. Autorizar - Sistemas de Información.6. Monitorear - Controles de Seguridad.
1. Caracterización del sistema. 2. Identificación de amenaza. 3. Identificación de vulnerabilidades. 4. Control de análisis. 5. Determinación del riesgo. 6. Análisis de impacto. 7. Determinación del riesgo. 8. Recomendaciones de control. 9. Resultado de la implementación o documentación.
5 Risk IT de ISACA Asociación de Auditoría y Control de Sistemas de Información - ISACA
Aplicar los conceptos generalmente aceptados de los principales estándares y marcos, así como los principales conceptos de la gestión de otros riesgos de TI, relacionados con las normas.
1. Marco completo para gestión de riesgos de TI.
1. Gobierno del riesgos (GR)1.1 RG1 Establecer y mantener una vista de riesgo común.1.2 RG2 Integrar con ERM.1.3 RG3 Tomar decisiones conscientes de los riesgos del negocio.2. Evaluación de riesgos (RE)2.1 RE1 Recoger datos.2.2 RE2 Analizar los riesgos.2.3 RE3 Mantener perfil de riesgo.3. Respuesta de riesgos3.1 RR1 Riesgo articulado3.2 RR2 Manejar riesgos3.3 RR3 Reaccionar a acontecimientos
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – METÓDOLOGIA DE AUDITORIA
COBI
T 4.
1
1. Elaborado por ISACA - Asociación de Auditoría y Control de Sistemas de Información.2. Marco de referencia para evaluación de sistemas de información.3. Agrupada en 4 dominios y 34 objetivos de control.• PO-Planear y Organizar.• AI-Adquirir e Implementar.• DS-Entregar y Dar Soporte.• ME-Monitorear y Evaluar.
4. Establece Modelo de Madurez para los procesos evaluados5. Actualización Cobit 5.
COSO
ERM
1. Elaborado por el Comité de Organizaciones Patrocinantes COSO. 2. Marco de referencia para evaluación de control basada en riesgos.3. Consta de 8 elementos: • Ambiente de Control.• Establecimiento de Objetivos.• Identificación de Eventos.• Evaluación de Riesgos.• Respuesta al Riesgo.• Actividades de Control.• Información y Comunicación• Supervisión y Control.
4. Actualización COSO 2013.
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA
Evaluación Situación
Actual
Elaboración Mapas de
Riesgos
Evaluación de los
Procesos
Grado de Madurez de
los Procesos
Informe de Auditoría
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
• Lectura de memorias, publicaciones, normas reglamentos, políticas.
• Revisión planes estratégicos y operativos de TI.
• Asociar los objetivos de COBIT 4.1 con los procesos SNNA a evaluar y determinar cuantos se cumplen.
Comprensión del Negocio y Ambiente
• Probar el diseño de los controles que se deben aplicar a las actividades de cada proceso SNNA.
Evaluación de controles
• Con la evaluación de los controles generales al proceso SNNA establecer una calificación de riesgo general inicial.
• Identificar Riesgos: Inherente, Detección y De Control.
• Establecer la Materialidad de Auditoría.
Riesgo y Materialidad de
Auditoría
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
• En función del nivel de riesgo de los procesos definir el nivel de madurez de los procesos.
Evaluación del Nivel de Madurez actual de los
procesos SNNA
• Definir la valoración de criticidad, frecuencia, tipo de control, y nivel de automatización del control.
Valoración del Impacto de los procesos SNNA
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
• Elaborar una matriz que integre los riesgos identificados en la evaluación inicial, respuesta a los riesgos , actividades de control , información y comunicación .
• Calcular riesgo de los procesos evaluados
Matrices de Riesgo
• Elaborar mapas de riesgo.
Mapas de Riesgo
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
• Realizar pruebas de control y pruebas sustantivas.
• Documentar los hallazgos
Elaborar procedimientos de evaluación para los procesos
SNNA mas críticos
• Elaborar informe de auditoría.
• Redactar recomendaciones.
Elaboración de Informe de Auditoría
DESARROLLO PRÁCTICOPONDERACIÓN FACTORES DE RIESGO PROBABILIDAD
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
MATRIZ DE DETERMINACIÓN DE LA PROBABILIDAD
CRITERIO PROBABILIDAD CALIFICACIÓN
Muy probable
El evento podría ocurrir entre 1 a 6 meses, que es el tiempo en el cual se
desarrolla un proceso completo en cualquiera de los macroprocesos
5
Probable
El evento podría ocurrir entre 6 a 12 meses, es decir, puede darse incluso en tiempos que señalan un proceso
anterior
4
PosibleEl evento podría ocurrir entre 12 a 24
meses3
Poco probableEl evento podría ocurrir en algún
momento2
ImprobableEl evento ocurriría en circunstancias
excepcionales1
La gestión de riesgos es una actividad elaborada con la asesoría de Auditoría Interna o Riesgos, sin embargo la responsabilidad de su comunicación corresponde a la alta gerencia y de su aplicación a toda la organización.
DESARROLLO PRÁCTICOPONDERACIÓN FACTORES DE RIESGO IMPACTO
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
MATRIZ DE DETERMINACIÓN DEL IMPACTO
CRITERIO IMPACTO OPERATIVO DESCRIPCIÓN CALIFICACIÓN
CatastróficoInterrupción de más de una semana
Comprometimiento de la información sensible que produzcan suspención total de los procesos y resquebrajamiento de la imagen institucional
5
SignificativoInterrupción de hasta 1 semana
Comprometimiento de la información sensible que produzcan retardo y paralización temporal de los procesos
4
ModeradoInterrupción de más de un día
Comprometimiento de información que ocasionan retardo o paralización de procesos de apoyo, los cuales pueden superarse mediante acciones inmediatas
3
Menor Interrupción de 1 día
Comprometimiento de información que pueden ocasionar retardo o paralización de procesos de apoyo, los cuales pueden superarse mediante acciones mediatas
2
Insignificante Interrupción menor a 1 día
Comprometimiento de información no sensible para la institución y que su recuperación no es indispensable inmediatamente
1
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO RIESGO
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
MATRIZ DE VALORACIÓN Y CALIFICACIÓN DE RIESGOS
RIESGO DESCRIPCIÓN CALIFICACIÓN
Alto
Riesgo de acción inmediata. El factor de riesgo no cumple con los requisitos esenciales contemplados en el criterio de referencia utilizada. Es necesario adoptar medidas propuestas indicadas e implementarlas con máxima prioridad. De determinarse consecuencia extremadamente dañinas mientras se implementa la medida propuesta se deberá establecer un plan de control
Mayor o igual que 4 y menor o igual que 5
Moderado
Riesgo de acción mediata. El factor de riesgo no cumple con los requisitos esenciales contemplados en el criterio de referencia utilizada. Es necesario adoptar medidas propuestas indicadas e implementarlas en un período determinado
Mayor o igual que 3 y menor que 4
Bajo
Riesgo de acción eventual. No se requiere planificar acción específica ni mejorar acción preventiva, puesto que se cumple con los requisitos esenciales contemplados en el criterio de referencia utilizada. Se puede realizar evaluaciones periódicas para asegurar que se mantiene la eficiencia de los controles
Mayor o igual que 1 y menor que 3
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGOCALIFICACIÓN CONTROLES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
MATRIZ DE VALORACIÓN Y CALIFICACIÓN DE CONTROLES VALORACIÓN DESCRIPCIÓN CALIFICACIÓN
Muy EficienteExcelente resultados de control ante la aparición de un riesgo, merecen evaluaciones que permitan mantener el nivel
5
EficienteBuenos resultados de control ante la aparición de un riesgo, merecen verificaciones y actualizaciones periódicas
4
Algo EficienteMedianos resultados de control ante la aparición de un riesgo, merecen verificaciones y actualizaciones constantes
3
Poco Eficiente
Bajos resultados de control ante la aparición de un riesgo, merecen acciones mediáticas para corregir o implementar controles
2
Nada Eficiente
Pésimos o escasos resultados de control ante la aparición de un riesgo, merecen acciones inmediatas para corregir o implementar controles
1
DESARROLLO PRÁCTICOPONDERACIÓN FACTORES DE RIESGO CONTROLES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
MATRIZ DE TIPO DE CONTROLES TIPO DESCRIPCIÓN
Preventivo Controles claves que actúan antes o al inicio de un proceso.
DetectivoControles claves que actúan durante el proceso y que permiten corregir las deficiencias.
Correctivo Controles claves que sólo actúan una vez que el proceso ha terminado.
MATRIZ DE NIVEL DE AUTOMATIZACIÓN DE CONTROLES TIPO DESCRIPCIÓN
AutomatizadoControles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en los sistemas informatizados no contiene ningún componente manual
Semi Automatizado
Controles claves incorporados en el proceso, cuya aplicación incluye un componente de tecnología de la información.
ManualControles claves incorporados en el proceso, cuya aplicación no depende de ningún componente de Tecnología de la información
MATRIZ DE PERIODICIDAD DE CONTROLES FRECUENCIA DESCRIPCIÓN
PermanenteControles claves aplicados durante todo el proceso, es decir, en cada operación.
PeriódicoControles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo
OcasionalControles claves que se aplican sólo en forma ocasional en un proceso.
DESARROLLO PRÁCTICO IDENTIFICACIÓN DE RIESGOS
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
• Alteración, pérdida, divulgación y/o inadecuado tratamiento de información por falta o mala aplicación de políticas de seguridad, protección, confidencialidad de la información y procedimientos de clasificación de la misma
• Errores de registro de información ante la inexistencia o mala aplicación de políticas de capacitación para el manejo de los sistemas
• Información inconsistente ante la inexistencia o mala aplicación de políticas de administración de datos, procedimientos de control de cambios y pruebas en parametrizaciones de los sistemas
• No disponibilidad de la información debido a la falta o mala aplicación de políticas y procedimientos de migración de datos del sistema de admisión al sistema de nivelación.
• Paralización del servicio por:• Inadecuada solución de incidentes ante la falta de mesa de
ayuda con estructura y procedimientos definidos• Incumplimiento contractual incluido los Acuerdos de Niveles
de Servicio – SLA, por falta o mala aplicación de políticas y procedimientos para la gestión de servicios con terceros
• Falta o mala aplicación de políticas de mantenimiento de infraestructura tecnológica: hardware y software
• Inexistencia o mala aplicación de un plan de continuidad
DESARROLLO PRÁCTICO – EVALUACIÓN DE RIESGOS
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
RIESGO TOTALPROCESO RIESGO/MADUREZ VALOR
Admisión Moderado
3.96
Nivelación Moderado
3.84
Calificación Final Moderado 3.90
DESARROLLO PRÁCTICO – RESPUESTA AL RIESGO
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
• Alteración, pérdida, divulgación y/o inadecuado tratamiento de información por falta o mala aplicación de políticas de seguridad, protección, confidencialidad de la información y procedimientos de clasificación de la misma
• Errores de registro de información ante la inexistencia o mala aplicación de políticas de capacitación para el manejo de los sistemas
• Información inconsistente ante:• Inexistencia o mala aplicación de políticas de administración
de datos• Procedimientos de control de cambios • Pruebas en parametrizaciones de los sistemas
• No disponibilidad de la información debido a la falta o mala aplicación de políticas y procedimientos de migración de datos del sistema de admisión al sistema de nivelación
MITIGARLO
MITIGARLO
MITIGARLO
ASUMIRLOMITIGARLO
MITIGARLO
• Paralización del servicio por:• Inadecuada solución de incidentes ante la falta de mesa de
ayuda con estructura y procedimientos definidos• Incumplimiento contractual incluido los Acuerdos de Niveles
de Servicio – SLA, por falta o mala aplicación de políticas y procedimientos para la gestión de servicios con terceros
• Falta o mala aplicación de políticas de mantenimiento de infraestructura tecnológica: hardware y software
• Inexistencia o mala aplicación de un plan de continuidad
MITIGARLOMITIGARLO
ASUMIRLOMITIGARLO
DESARROLLO PRÁCTICO – RESPUESTA AL RIESGO
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – ESQUEMA DE MUESTREO
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
Para determinación de las muestras se utilizará la fórmula para poblaciones finitas, puesto que la población de postulantes cumple con esta característica
pqKNeNpqK
m 22
2
)1(
Dónde:
K es el coeficiente estadístico de prueba de acuerdo al nivel de confianza. En la presente investigación el nivel de confianza será considerado por el 95%, lo que devuelve un valor estadístico para K de 1.96
N es el valor total de la población objeto de la investigación
P es la probabilidad de éxito o porción esperada. En la presente investigación será considerada como el 95% que equivale a 0.95
Q es la probabilidad de fracaso. En la presente investigación será considerada como el 5% restante, que equivale a 0.05
E es la precisión. Para la presente investigación se considerará el 5%, que equivale al 0.05
pqKNeNpqK
m 22
2
)1(
CÁLCULO DE LA MUESTRA
K = 1.96
N = 249061 (107944 inscritos 2013-1S 141147 inscritos 2013-2S)
P = 95%
Q = 5%
E = 0.05
623
45448
05.095.096.124906005.0
05.095.024906196.122
2
m
73m
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
EVALUACIÓN DE CONTROLES - CRITERIOS
Determinar y evaluar la condición y compararla con el criterio. Comparar entre "lo que es" -Condición- con "lo que debe ser" -Criterio, producto de lo cual se pueden presentar los eventos
Marca de Auditoría a Utilizar
EquivalenciaControl - Evento a Verificar
P SiEs conforme, cuando se ajusta satisfactoriamente a los criterios
O No No cumple, cuando no se ajusta a los criterios
O No No cumple, cuando se ajusta parcialmente a los criterios
P Si Es conforme, cuando supera los criterios
X No aplica La condición no aplica para el control o evento evaluado
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
EVALUACIÓN DE CONTROLES - CRITERIOS
Analizados los eventos o controles se ocupó el siguiente esquema de calificación para establecer el nivel de riesgo que mitiga el control.
1. Totales por Evento (TE): Totalizar y sumar los eventos calificados como: Es conforme (Si), No Cumple (No) y No aplica (N/A)
2. Total Verificaciones Calificadas como Válidas (VV): Al total de la muestra seleccionada restar los eventos calificados como No aplica (N/A).
3. Porcentaje de Relación (PR): Establecer el porcentaje que representan los eventos calificados como Es conforme (Si) sobre el total de verificaciones calificadas como válidas.
4. Grado de Confianza (GC): Multiplicar el Porcentaje de relación por la ponderación máxima de riesgo (5).
5. Grado de Riesgo (GR): Al nivel máximo de riesgo restar el grado de confianza.6. Ajuste al Riesgo (AR): En función del relevamiento realizado y de pruebas de recorrido se establece
un ajuste considerando los niveles de riesgo (desde 1 hasta 5) que podría ocurrir de no funcionar el diseño, implementación o eficacia del control.
7. Riesgo Total (RT): Se obtiene el promedio entre el Grado de Riesgo (GR) y el Ajuste al Riesgo (AR).
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
Opinión - Controles Descripción - Opinión Nivel de Riesgo Categoría Riesgo Categoría Confianza Categoría
Madurez
Efectivo
Los controles evaluados son adecuados y efectivos y pueden proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos
Mayor o igual que 1 y menor que 3 Bajo Alto Alto
Se requiere una mejora importante
Se han identificado numerosas debilidades concretas en los controles.Los controles evaluados probablemente no podrían proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos
Mayor o igual que 3 y menor que 4 Moderado Moderado Moderado
Insatisfactorio
Los controles evaluados no son adecuados, apropiados, ni efectivos y no podrán proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos.
Mayor o igual que 4 y menor o igual que 5 Alto Bajo Bajo
Fuente: IAI, Formulación y Expresión de Opiniones de Auditoría InternaElaborado por: Los Autores
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – OPINIÓN DE AUDITORÍA
Calificación del Riesgo:
Moderado Madurez de Controles:
Se requiere una mejora importante
Opinión:
Se han identificado numerosas debilidades concretas en los controles. Los controles evaluados probablemente no podrían proporcionar una garantía razonable de que los riesgos están siendo gestionados y que se lograrán los objetivos
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – OPINIÓN DE AUDITORÍA
Sistema de AdmisiónCupos de Carrera
Inscripción
ENES
Postulación
Asignación de Cupos
Aceptación de Cupos
Re postulación
Nivelación
POST
ULA
NT
E
DESARROLLO PRÁCTICO – RECOMENDACIONES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
RIESGO: Falta de Seguridad de la Información
ACCIÓN RESPONSABLEGenerar metodología de desarrollo de software que garantice que las especificaciones de programación concuerdan con las especificaciones del diseño, así como también, que contemple los modelos matemáticos para asignación de cupos, aceptación de cupos, registro de aspirantes, asignación de recintos.
Dirección TIC – SENESCYT
Definir un esquema de clasificación de la información que determine el nivel de sensibilidad de la misma Coordinación de
Admisión con Asesoría del área de Auditoría y Dirección
TIC
Definir un plan de seguridad de TI en consideración de toda la infraestructura tecnológica del SNNA, basándose en la norma ISO 27002 y el plan de clasificación de la información.
Se incluya en todo contrato con directos y terceros acuerdos de confidencialidad de la información
Coordinación de Admisión
Generar e implementar procesos para gestión de usuarios del sistema, basándose en la norma ISO 27002 y el plan de clasificación de la información.
Coordinación Admisión
Dirección TIC
DESARROLLO PRÁCTICO – RECOMENDACIONES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
RIESGO: Inconsistencia de la Información
ACCIÓN RESPONSABLE
Desarrollar e implementar política para gestión de cambios, que permita registrar, evaluar y dar prioridad a los cambios solicitados
Coordinación de Admisión
Establecer ambientes de prueba Gerencia SNNADirección TIC
Desarrollar, probar e implementar una metodología de plan de pruebas operacional
Coordinación AdmisiónEstablecer y aplicar indicadores de evaluación para determinar la pertinencia y validez de los procesos de capacitación y entrenamiento del personal en el manejo del sistema
DESARROLLO PRÁCTICO – RECOMENDACIONES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
RIESGO: No Disponibilidad de Información
ACCIÓN RESPONSABLE
Determinar la disponibilidad del digital del ENES en cada cuenta SNNA de acuerdo a lo que establece el reglamento para los soportes físicos
Coordinación de Admisión
DESARROLLO PRÁCTICO – RECOMENDACIONES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
RIESGO: Paralización del Servicio
ACCIÓN RESPONSABLE
Incluir un registro completo de las relaciones con los proveedores como terceras partes con aprobación formal y legal. Que estipule de manera clara los Acuerdos de Niveles de Servicio (SLA), Acuerdos de Niveles de Operación (OLA) para soportar los SLA, y establezca las particularidades de implementación de acuerdo a las especificaciones y necesidades institucionales
Gerencia SNNA
Desarrollar y socializar un plan de Continuidad de TI, determinar su validez mediante la implementación y ejecución de un plan de pruebas que garantice continuidad de TI en caso de siniestros
Coordinación Admisión con Asesoría de
Auditoría Interna
DESARROLLO PRÁCTICO – RECOMENDACIONES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
Sistema de Nivelación
Matrícula
Asignación de Docentes
Calificaciones
Reportes
Admisión
UN
IVER
SIDA
DAuditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – RECOMENDACIONES
RIESGO: Falta de Seguridad de la Información
ACCIÓN RESPONSABLEDefinir un esquema de clasificación de la información que determine el nivel de sensibilidad de la misma Coordinación de
Nivelación con Asesoría del área de Auditoría y Dirección
TIC
Definir un plan de seguridad de TI en consideración de toda la infraestructura tecnológica del SNNA, basándose en la norma ISO 27002 y el plan de clasificación de la información.
Se incluya en todo contrato con directos y terceros acuerdos de confidencialidad de la información
Coordinación de Nivelación
Generar e implementar procesos para gestión de usuarios del sistema, basándose en la norma ISO 27002 y el plan de clasificación de la información.
Coordinación Nivelación
Dirección TIC
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – RECOMENDACIONES
RIESGO: Inconsistencia de la Información
ACCIÓN RESPONSABLE
Construir un programa de capacitación en consideración de los varios tipos de usuarios que contenga los aspectos indicados por la normativa legal y de mejores prácticas Coordinación
NivelaciónEstablecer y aplicar indicadores de evaluación para determinar la pertinencia y validez de los procesos de capacitación y entrenamiento del personal en el manejo del sistema
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – RECOMENDACIONES
RIESGO: Paralización del Servicio
ACCIÓN RESPONSABLE
Incluir en los términos contractuales especificaciones del sistema informático de tal manera que se acople al contexto nacional y cumpla con los requerimientos institucionales y las mejores prácticas para aplicación de automatizaciones y gestión de la información y los servicios. Determinar la inclusión de procedimientos de evaluación y suspensión de proveedores.
Coordinación Nivelación
Dirección TIC
Establecer la mesa de ayuda con estructura propia que permita receptar, clasificar de acuerdo a severidad e impacto y solucionar incidentes con escalamiento funcional y jerárquico y su posterior registro en una base de conocimiento.
Coordinación Nivelación
Desarrollar y socializar un plan de Continuidad de TI, determinar su validez mediante la implementación y ejecución de un plan de pruebas que garantice continuidad de TI en caso de siniestros.
Coordinación Nivelación con
Asesoría de Auditoría Interna
DESARROLLO PRÁCTICO – RECOMENDACIONES
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
RIESGO: Migración
ACCIÓN RESPONSABLE
Establecer un plan de migración de información de la plataforma de admisión a la plataforma de nivelación que considere todos los elementos necesarios para garantizar integridad, confidencialidad, confianza, eficiencia y eficacia de la información. Dirección TIC
Establecer y ejecutar un plan de pruebas luego del proceso de migración.Definir parámetros para legalizar y formalizar la aprobación una vez aplicado el plan de pruebas.
Coordinación Nivelación
Desarrollar un análisis de riesgos y el impacto que este ocasionaría a la institución en caso de activarse. Incluir un plan y/o procedimientos necesarios para mitigar los riesgos.
Coordinación Nivelación con
asesoría de Auditoría Interna
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – RECOMENDACIONES
La plataforma de admisión presenta varios inconvenientes en los controles que desatan riesgos que pueden ser mitigados mediante la aplicación de acciones correctivas asumidas desde la Gerencia SNNA y la Coordinación de Admisión.
El sistema informático Universitas XXI, presenta deficiencias de control importantes, que incluyen situaciones de contexto, gestión y configuración, que ponen en riesgo la seguridad y gestión de la información del Macro Proceso de Nivelación del SNNA, y que pueden desatar deterioro de la imagen y gestión institucional.
Mantener la Aplicación de Admisión aplicando las recomendaciones específicas para el caso, mencionadas en el presente informe y que ayudarán a mitigar los riesgos determinados.
Diseñar e implementar con la Dirección TIC de la SENESCYT una solución informática integrada que se apegue al cumplimiento de las mejores prácticas y gestione los dos macro procesos del Sistema Nacional de Nivelación y Admisión SNNA.
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – CONCLUSIONES FINALES
GRACIAS POR SU ATENCIÓN
Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM