510 likes | 703 Views
UNIVERSIDAD DE LAS FUERZAS ARMADAS. VICERRECTORADO DE INVESTIGACIÓN Y VINCULACIÓN CON LA COLECTIVIDAD. UNIDAD DE GESTIÓN DE POSTGRADOS. MAESTRIA EN AVALUACIÓN Y AUDITORIA DE SISTEMAS. Responsables del proyecto de tesis: Ing. Edison Guillermo Casanova Yandún
E N D
UNIVERSIDAD DE LAS FUERZAS ARMADAS VICERRECTORADO DE INVESTIGACIÓN Y VINCULACIÓN CON LA COLECTIVIDAD UNIDAD DE GESTIÓN DE POSTGRADOS MAESTRIA EN AVALUACIÓN Y AUDITORIA DE SISTEMAS • Responsables del proyecto de tesis: • Ing. Edison Guillermo Casanova Yandún • Ing. Christian Patricio Vaca Benalcázar • Director del proyecto: • Ing. EstevanGómez, MSc.
TESIS DESARROLLADA PREVIO A LA OBTENCIÓN DEL TÍTULO DE MAGISTER Auditoría de Sistemas basada en riesgos a los procesos de nivelación y admisión del Sistema Nacional de Nivelación y Admisión de la Secretaría Nacional de Educación Superior aplicando COBIT 4.1 y COSO ERM Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
INDICE DE CONTENIDO Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
ANTECEDENTES - OBJETIVOS OBJETIVO GENERAL Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
ANTECEDENTES - OBJETIVOS OBJETIVOS ESPEC Í F I COS Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
ANTECEDENTES - ESTRUCTURA SENESCYT AGREGADORES DE VALOR Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – IMPORTANCIA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - SNNA SISTEMA NACIONAL DE NIVELACIÓN Y ADMISIÓN - SNNA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – PROCESO ADMISIÓN ADMISIÓN 1. INSCRIPCIÓN 2. ENES 3. POSTULACIÓN El postulante se registra en la página WEB Se aprueba con nota mayor a 550 puntos • Área y Sub área • Carrera • IES • Nivel • Modalidad Nivelación de Carrera o Examen de Exoneración Aceptar Con Cupo Rechazar Aceptar 4. ÁSIGNACIÓN DE CUPOS Con Cupo Rechazar Repostulación Cupos Remanentes Sin Cupo ? Nivelación General y rendir ENES nuevamente Sin Cupo Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – PROCESO NIVELACIÓN NIVELACIÓN Matricula en IES - Carrera Aprueba Acepta EE Rinde EE Con Cupo Reprueba Nivelación de Carrera Aprueba Rechaza EE Reprueba Aprueba Nivelación General Y obtiene Cupo Matricula en IES - Carrera Sin Cupo Reprueba ENES nuevamente Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – PROCESO DE MIGRACIÓN FORMULACIÓN xxx xxx xxx Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – AUDITORÍA GENERALIDADES “Lo que no se controla no se mejora, lo que no se mejora generará riesgos” Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - AUDITORÍA GENERALIDADES Es un examen crítico, objetivo e independiente que se realiza con el fin de evaluar la integridad, existencia, exactitud, eficiencia, eficacia y efectividad de los procesos operativos y/o tecnológicos de una organización, verificando que estos cumplan con lo dispuesto por normas, reglamentos, leyes o buenas prácticas a fin de detectar o prevenir fraude y/o error Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES “Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta a la consecución de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez”(PRICE WATERHOUSE COOPERS, 2005) Los eventos deben evaluarse desde dos perspectivas: probabilidad e Impacto, utilizando técnicas de evaluación cualitativa o cuantitativa de acuerdo al criterio del auditor, estas se pueden graficar mediante mapas de riesgos Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES El apetito de riesgo, la tolerancia al riesgo y la capacidad de riesgo son factores que deben estar claramente definidos dentro de la gestión de riesgos. Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO - RIESGOS GENERALIDADES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO TEÓRICO – METÓDOLOGIA DE AUDITORIA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – FASES DE LA AUDITORÍA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO PROBABILIDAD La gestión de riesgos es una actividad elaborada con la asesoría de Auditoría Internao Riesgos, sin embargo la responsabilidad de su comunicación corresponde a la alta gerencia y de su aplicación a toda la organización. Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO IMPACTO Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO RIESGO Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO CALIFICACIÓN CONTROLES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO PONDERACIÓN FACTORES DE RIESGO CONTROLES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO IDENTIFICACIÓN DE RIESGOS • Alteración, pérdida, divulgación y/o inadecuado tratamiento de información por falta o mala aplicación de políticas de seguridad, protección, confidencialidad de la información y procedimientos de clasificación de la misma • Errores de registro de información ante la inexistencia o mala aplicación de políticas de capacitación para el manejo de los sistemas • Información inconsistente ante la inexistencia o mala aplicación de políticas de administración de datos, procedimientos de control de cambios y pruebas en parametrizaciones de los sistemas • No disponibilidad de la información debido a la falta o mala aplicación de políticas y procedimientos de migración de datos del sistema de admisión al sistema de nivelación. • Paralización del servicio por: • Inadecuada solución de incidentes ante la falta de mesa de ayuda con estructura y procedimientos definidos • Incumplimiento contractual incluido los Acuerdos de Niveles de Servicio – SLA, por falta o mala aplicación de políticas y procedimientos para la gestión de servicios con terceros • Falta o mala aplicación de políticas de mantenimiento de infraestructura tecnológica: hardware y software • Inexistencia o mala aplicación de un plan de continuidad Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – EVALUACIÓN DE RIESGOS Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – RESPUESTA AL RIESGO • Alteración, pérdida, divulgación y/o inadecuado tratamiento de información por falta o mala aplicación de políticas de seguridad, protección, confidencialidad de la información y procedimientos de clasificación de la misma • Errores de registro de información ante la inexistencia o mala aplicación de políticas de capacitación para el manejo de los sistemas • Información inconsistente ante: • Inexistencia o mala aplicación de políticas de administración de datos • Procedimientos de control de cambios • Pruebas en parametrizaciones de los sistemas • No disponibilidad de la información debido a la falta o mala aplicación de políticas y procedimientos de migración de datos del sistema de admisión al sistema de nivelación MITIGARLO MITIGARLO ASUMIRLO MITIGARLO MITIGARLO MITIGARLO Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – RESPUESTA AL RIESGO • Paralización del servicio por: • Inadecuada solución de incidentes ante la falta de mesa de ayuda con estructura y procedimientos definidos • Incumplimiento contractual incluido los Acuerdos de Niveles de Servicio – SLA, por falta o mala aplicación de políticas y procedimientos para la gestión de servicios con terceros • Falta o mala aplicación de políticas de mantenimiento de infraestructura tecnológica: hardware y software • Inexistencia o mala aplicación de un plan de continuidad MITIGARLO MITIGARLO ASUMIRLO MITIGARLO Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – ESQUEMA DE MUESTREO Para determinación de las muestras se utilizará la fórmula para poblaciones finitas, puesto que la población de postulantes cumple con esta característica • Dónde: • K es el coeficiente estadístico de prueba de acuerdo al nivel de confianza. En la presente investigación el nivel de confianza será considerado por el 95%, lo que devuelve un valor estadístico para K de 1.96 • N es el valor total de la población objeto de la investigación • P es la probabilidad de éxito o porción esperada. En la presente investigación será considerada como el 95% que equivale a 0.95 • Q es la probabilidad de fracaso. En la presente investigación será considerada como el 5% restante, que equivale a 0.05 • E es la precisión. Para la presente investigación se considerará el 5%, que equivale al 0.05 Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
CÁLCULO DE LA MUESTRA • K = 1.96 • N = 249061 (107944 inscritos 2013-1S 141147 inscritos 2013-2S) • P = 95% • Q = 5% • E = 0.05 Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
EVALUACIÓN DE CONTROLES - CRITERIOS Determinar y evaluar la condición y compararla con el criterio. Comparar entre "lo que es" -Condición- con "lo que debe ser" -Criterio, producto de lo cual se pueden presentar los eventos Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
EVALUACIÓN DE CONTROLES - CRITERIOS • Analizados los eventos o controles se ocupó el siguiente esquema de calificación para establecer el nivel de riesgo que mitiga el control. • Totales por Evento (TE): Totalizar y sumar los eventos calificados como: Es conforme (Si), No Cumple (No) y No aplica (N/A) • Total Verificaciones Calificadas como Válidas (VV): Al total de la muestra seleccionada restar los eventos calificados como No aplica (N/A). • Porcentaje de Relación (PR): Establecer el porcentaje que representan los eventos calificados como Es conforme (Si) sobre el total de verificaciones calificadas como válidas. • Grado de Confianza (GC): Multiplicar el Porcentaje de relación por la ponderación máxima de riesgo (5). • Grado de Riesgo (GR): Al nivel máximo de riesgo restar el grado de confianza. • Ajuste al Riesgo (AR): En función del relevamiento realizado y de pruebas de recorrido se establece un ajuste considerando los niveles de riesgo (desde 1 hasta 5) que podría ocurrir de no funcionar el diseño, implementación o eficacia del control. • Riesgo Total (RT): Se obtiene el promedio entre el Grado de Riesgo (GR) y el Ajuste al Riesgo (AR). Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – OPINIÓN DE AUDITORÍA Fuente: IAI, Formulación y Expresión de Opiniones de Auditoría Interna Elaborado por: Los Autores Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO – OPINIÓN DE AUDITORÍA Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Sistema de Admisión POSTULANTE Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Sistema de Nivelación UNIVERSIDAD Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –RECOMENDACIONES Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM
DESARROLLO PRÁCTICO –CONCLUSIONES FINALES • La plataforma de admisión presenta varios inconvenientes en los controles que desatan riesgos que pueden ser mitigados mediante la aplicación de acciones correctivas asumidas desde la Gerencia SNNA y la Coordinación de Admisión. • El sistema informático Universitas XXI, presenta deficiencias de control importantes, que incluyen situaciones de contexto, gestión y configuración, que ponen en riesgo la seguridad y gestión de la información del Macro Proceso de Nivelación del SNNA, y que pueden desatar deterioro de la imagen y gestión institucional. • Mantener la Aplicación de Admisión aplicando las recomendaciones específicas para el caso, mencionadas en el presente informe y que ayudarán a mitigar los riesgos determinados. • Diseñar e implementar con la Dirección TIC de la SENESCYT una solución informática integrada que se apegue al cumplimiento de las mejores prácticas y gestione los dos macro procesos del Sistema Nacional de Nivelación y Admisión SNNA. Auditoría de Sistemas Basada en Riesgos al SNNA aplicando COBIT 4.1 y COSO ERM