1

Auditoría de Sistemas

Metodología para determinación de los períodos de revisión de aplicaciones.

José Luis Dominikow

2

Metodología para determinación de los períodos de revisión de aplicaciones.

De que se trata?

Es una metodología que ponderando los distintos factores de riesgo asociados, permite determinar un valor de riesgo de una aplicación, y de esta forma clasificarla y asignarle un período de revisión dentro de un plan.

3

Pasos a seguir

1. Relevamiento general de los sistemas computadorizados de la Empresa

Consiste en la realización de entrevistas de relevamiento con los funcionarios responsables del área de Sistemas dentro dentro de cuyo entorno se ha de desenvolver el equipo de Auditoría de sistemas.

Asimismo, se debe establecer y contemplar los plantes de desarrollo o modificaciones de importancia a efectuarse en las aplicaciones a un mediano plazo.

4

Pasos a seguir...

2. Relevamiento detallado del inventario de aplicaciones computadorizadas.

Comprende la realización del relevamiento, a través de entrevistas con los analistas y/o programadores a cargo o responsables de cada aplicación, de las características técnicas de las mismas (p.e. modo de procesamiento, volúmenes de transacciones, complejidad, frecuencia de cambios, lenguaje de programación, etc.)

5

Pasos a seguir...

3. Determinación de la frecuencia de revisión de cada aplicación.

Consiste en establecer, en forma objetiva, el nivel de riesgo asociado a cada sistema y consecuentemente determinar su frecuencia de revisión, de manera de obtener un adecuado grado de seguridad.

6

4. Explicitación de los factores mas significativos que determinan el nivel de riesgo, y que por ejemplo podrían ser:

Modo de procesamiento (On line, batch, interactivo, centralizado)

Movimiento de fondos ( si tiene o no movimiento de dinero) Volumen de transacciones (en cantidad y montos por períodos) Complejidad de diseño lógico y físico. Cantidad de usuarios (que tienen acceso a la aplicación) Grado de confidencialidad de la información Nivel de irregularidades detectadas (cantidad e importancia) Telecomunicaciones (existencia de transmisión de datos) Acceso de terceros (clientes, proveedores, ajenos a la empresa) Frecuencia de cambios (cantidad e importancia de

modificaciones)

Pasos a seguir...

7

Pasos a seguir...

5. Ponderación de los factores de riesgo.Consiste en ponderar en forma relativa cada uno de los factores

de riesgo considerados en función de su incidencia en el nivel de riesgo. A mayor nivel corresponde mayor ponderación. Por ejemplo:

Modo de procesamiento 4Movimiento de fondos 10Volumen de transacciones (cantidad) 6Volumen de transacciones (montos) 8Complejidad 4Cantidad de usuarios 4Confidencialidad de la información 2Nivel de irregularidades 10Telecomunicaciones 2Acceso de terceros 8Frecuencia de cambios 10

8

Graduación de los factores de riesgo

FACTOR DE RIESGO 1 2 3

Modo de procesamiento Batch Interact On.Line

Movimiento de fondos No Si

Volumen de transacciones (cantidad) < 1000 < 5000 > 5000

Volumen de transacciones (montos) < 100.000 < 500.000 > 1.000.000

Complejidad Baja Mediana Alta

Cantidad de usuarios Pocos Regular Alta

Confidencialidad de la información Baja Mediana Alta

Nivel de irregularidades Baja Mediana Alta

Telecomunicaciones No Si

Acceso de terceros No Si

Frecuencia de cambios Baja Mediana Alta

9

Caso práctico

Aplicación Mov Fondos Cant trans Pesos trans Comple jidad Cant usua Confi Nivel irreg

Telec Acceso tercero Frec cambio

Ctas Ctes On-line Si 38000 10000 Alta Num Med Med Si Si Alta

Cja Ahorros On-line Si 68000 110000 Alta Num Med Med Si Si Alta

Plazo Fijo On-line Si 320000 130000 Med Reg Med Baj Si No Alta

Banelco Batch Si 280000 Alta Reg Med Baj Si Si Med

Recaudaciones Batch Si Med Esc Med Baj Si No Med

Inform DGI Batch No Baj Esc Med Baj No No Baj

Seg Vida Batch Si Baj Esc Baj Baj No No Baj

Sueldos On line Si 100000 5000 Alta Esc Alta Baj Si No Alta

Transf. On line Si Alta Reg Med Baj Si No Med

Caja Batch Si 3000 10000 Baj Esc Baj Baj No No Baj

Títulos batch si 18000 5500 Alt Esc Med Baj Si No Alt

Prestamos Batch Si 100 Alt Esc Med Baj No No Med

10

Aplicación Modo Proc

Mov Fondos

Cant trans

Pesos trans

Comple jidad

Cant usua

Confi Nivel irreg

Telec Acceso tercero

Frec cambio

TOTAL

Ponderador 4 10 6 8 4 4 2 10 2 8 10

Ctas Ctes 3 3 3 2 3 3 2 2 3 3 3 184

Cja Ahorros 3 3 2 2 3 3 2 2 3 3 3 178

Plazo Fijo 3 3 2 3 2 2 2 1 3 1 3 152

Banelco 1 3 1 1 3 1 2 1 3 3 2 132

Recaudaciones 1 3 1 1 2 1 2 1 3 1 2 108

Inform DGI 1 1 1 1 1 1 2 1 1 1 1 70

Seg Vida 1 3 1 1 1 1 1 1 1 1 1 88

Sueldos 3 3 1 1 3 1 3 1 3 1 3 132

Transf. 3 3 1 1 3 2 2 1 3 1 2 124

Caja 1 3 1 1 1 1 1 1 1 1 1 88

Títulos 1 3 1 2 3 1 2 1 3 1 3 130

Prestamos 1 3 1 1 3 1 2 1 1 1 2 108

11

Determinación de la frecuencias

Determinación del rango de puntaje que indicará el nivel de riesgo de cada aplicación y su frecuencia de revisión. A mayor puntaje mayor riesgo y mas alta frecuencia de revisión.

Por ejemplo:Desde 68 hasta 110 puntos, frecuencia de revisión baja, una

vez cada tres añosDesde 111 hasta 160 puntos, frecuencia de revisión media,

una vez cada dos añosMas de 161 puntos, frecuencia de revisión alta, todos los

años.

12

Distribución de la frecuencia de la revisión de las aplicaciones

Frecuencia de Revisión

Puntaje Prim. Año Seg. Año Terc. Año

Cada 3 Años 068-082 X

083-096 X

097-110 X

Cada 2 Años 111-135 X

136-160 X

Cada Año 161-204 X X X

13

Aplicación Primer Año Segundo Año Tercer Año FrecuenciaCtas Ctes X X X AnualCja Ahorros X X X AnualPlazo Fijo X X C 2 añosBanelco X C 2 añosRecaudaciones X C 3 añosInform DGI X C 3 añosSeg Vida X C 3 añosSueldos X C 2 añosTransf. X C 2 añosCaja X C 3 añosTítulos X C 2 añosPrestamos X C 3 años

14

AplicaciónFrecuencia de revisión de aplicaciones

TOTALAnual Cada 2 años Cada 3 años

Ctas Ctes X 184Cja Ahorros X 178Plazo Fijo X 152Banelco X 132Recaudaciones X 108Inform DGI X 70Seg Vida X 88Sueldos X 132Transf. X 124Caja X 88Títulos X 130Prestamos X 108