Upload
novio-marin
View
220
Download
0
Embed Size (px)
Citation preview
1
Auditoría de Sistemas
Metodología para determinación de los períodos de revisión de aplicaciones.
José Luis Dominikow
2
Metodología para determinación de los períodos de revisión de aplicaciones.
De que se trata?
Es una metodología que ponderando los distintos factores de riesgo asociados, permite determinar un valor de riesgo de una aplicación, y de esta forma clasificarla y asignarle un período de revisión dentro de un plan.
3
Pasos a seguir
1. Relevamiento general de los sistemas computadorizados de la Empresa
Consiste en la realización de entrevistas de relevamiento con los funcionarios responsables del área de Sistemas dentro dentro de cuyo entorno se ha de desenvolver el equipo de Auditoría de sistemas.
Asimismo, se debe establecer y contemplar los plantes de desarrollo o modificaciones de importancia a efectuarse en las aplicaciones a un mediano plazo.
4
Pasos a seguir...
2. Relevamiento detallado del inventario de aplicaciones computadorizadas.
Comprende la realización del relevamiento, a través de entrevistas con los analistas y/o programadores a cargo o responsables de cada aplicación, de las características técnicas de las mismas (p.e. modo de procesamiento, volúmenes de transacciones, complejidad, frecuencia de cambios, lenguaje de programación, etc.)
5
Pasos a seguir...
3. Determinación de la frecuencia de revisión de cada aplicación.
Consiste en establecer, en forma objetiva, el nivel de riesgo asociado a cada sistema y consecuentemente determinar su frecuencia de revisión, de manera de obtener un adecuado grado de seguridad.
6
4. Explicitación de los factores mas significativos que determinan el nivel de riesgo, y que por ejemplo podrían ser:
Modo de procesamiento (On line, batch, interactivo, centralizado)
Movimiento de fondos ( si tiene o no movimiento de dinero) Volumen de transacciones (en cantidad y montos por períodos) Complejidad de diseño lógico y físico. Cantidad de usuarios (que tienen acceso a la aplicación) Grado de confidencialidad de la información Nivel de irregularidades detectadas (cantidad e importancia) Telecomunicaciones (existencia de transmisión de datos) Acceso de terceros (clientes, proveedores, ajenos a la empresa) Frecuencia de cambios (cantidad e importancia de
modificaciones)
Pasos a seguir...
7
Pasos a seguir...
5. Ponderación de los factores de riesgo.Consiste en ponderar en forma relativa cada uno de los factores
de riesgo considerados en función de su incidencia en el nivel de riesgo. A mayor nivel corresponde mayor ponderación. Por ejemplo:
Modo de procesamiento 4Movimiento de fondos 10Volumen de transacciones (cantidad) 6Volumen de transacciones (montos) 8Complejidad 4Cantidad de usuarios 4Confidencialidad de la información 2Nivel de irregularidades 10Telecomunicaciones 2Acceso de terceros 8Frecuencia de cambios 10
8
Graduación de los factores de riesgo
FACTOR DE RIESGO 1 2 3
Modo de procesamiento Batch Interact On.Line
Movimiento de fondos No Si
Volumen de transacciones (cantidad) < 1000 < 5000 > 5000
Volumen de transacciones (montos) < 100.000 < 500.000 > 1.000.000
Complejidad Baja Mediana Alta
Cantidad de usuarios Pocos Regular Alta
Confidencialidad de la información Baja Mediana Alta
Nivel de irregularidades Baja Mediana Alta
Telecomunicaciones No Si
Acceso de terceros No Si
Frecuencia de cambios Baja Mediana Alta
9
Caso práctico
Aplicación Mov Fondos Cant trans Pesos trans Comple jidad Cant usua Confi Nivel irreg
Telec Acceso tercero Frec cambio
Ctas Ctes On-line Si 38000 10000 Alta Num Med Med Si Si Alta
Cja Ahorros On-line Si 68000 110000 Alta Num Med Med Si Si Alta
Plazo Fijo On-line Si 320000 130000 Med Reg Med Baj Si No Alta
Banelco Batch Si 280000 Alta Reg Med Baj Si Si Med
Recaudaciones Batch Si Med Esc Med Baj Si No Med
Inform DGI Batch No Baj Esc Med Baj No No Baj
Seg Vida Batch Si Baj Esc Baj Baj No No Baj
Sueldos On line Si 100000 5000 Alta Esc Alta Baj Si No Alta
Transf. On line Si Alta Reg Med Baj Si No Med
Caja Batch Si 3000 10000 Baj Esc Baj Baj No No Baj
Títulos batch si 18000 5500 Alt Esc Med Baj Si No Alt
Prestamos Batch Si 100 Alt Esc Med Baj No No Med
10
Aplicación Modo Proc
Mov Fondos
Cant trans
Pesos trans
Comple jidad
Cant usua
Confi Nivel irreg
Telec Acceso tercero
Frec cambio
TOTAL
Ponderador 4 10 6 8 4 4 2 10 2 8 10
Ctas Ctes 3 3 3 2 3 3 2 2 3 3 3 184
Cja Ahorros 3 3 2 2 3 3 2 2 3 3 3 178
Plazo Fijo 3 3 2 3 2 2 2 1 3 1 3 152
Banelco 1 3 1 1 3 1 2 1 3 3 2 132
Recaudaciones 1 3 1 1 2 1 2 1 3 1 2 108
Inform DGI 1 1 1 1 1 1 2 1 1 1 1 70
Seg Vida 1 3 1 1 1 1 1 1 1 1 1 88
Sueldos 3 3 1 1 3 1 3 1 3 1 3 132
Transf. 3 3 1 1 3 2 2 1 3 1 2 124
Caja 1 3 1 1 1 1 1 1 1 1 1 88
Títulos 1 3 1 2 3 1 2 1 3 1 3 130
Prestamos 1 3 1 1 3 1 2 1 1 1 2 108
11
Determinación de la frecuencias
Determinación del rango de puntaje que indicará el nivel de riesgo de cada aplicación y su frecuencia de revisión. A mayor puntaje mayor riesgo y mas alta frecuencia de revisión.
Por ejemplo:Desde 68 hasta 110 puntos, frecuencia de revisión baja, una
vez cada tres añosDesde 111 hasta 160 puntos, frecuencia de revisión media,
una vez cada dos añosMas de 161 puntos, frecuencia de revisión alta, todos los
años.
12
Distribución de la frecuencia de la revisión de las aplicaciones
Frecuencia de Revisión
Puntaje Prim. Año Seg. Año Terc. Año
Cada 3 Años 068-082 X
083-096 X
097-110 X
Cada 2 Años 111-135 X
136-160 X
Cada Año 161-204 X X X
13
Aplicación Primer Año Segundo Año Tercer Año FrecuenciaCtas Ctes X X X AnualCja Ahorros X X X AnualPlazo Fijo X X C 2 añosBanelco X C 2 añosRecaudaciones X C 3 añosInform DGI X C 3 añosSeg Vida X C 3 añosSueldos X C 2 añosTransf. X C 2 añosCaja X C 3 añosTítulos X C 2 añosPrestamos X C 3 años
14
AplicaciónFrecuencia de revisión de aplicaciones
TOTALAnual Cada 2 años Cada 3 años
Ctas Ctes X 184Cja Ahorros X 178Plazo Fijo X 152Banelco X 132Recaudaciones X 108Inform DGI X 70Seg Vida X 88Sueldos X 132Transf. X 124Caja X 88Títulos X 130Prestamos X 108