|
AUDITORIA DE LA TECNOLOGÍA DE LA INFORMACIÓN |
|
ÁREA DE TECNOLOGÍA DE LA INFORMACIÓN DEL 1. ANTECEDENTES Se realiza la presente evaluación en el marco de las auditorías que realiza el Tribunal de Cuentas relativas a Estados Contables y Ejecución Presupuestal, de conformidad a lo dispuesto por el Artículo 211 de la Constitución de la República y por el Artículo 94 del TOCAF. 2. OBJETIVO El objetivo consistió en evaluar y probar la efectividad de los Controles de Computadora sobre las aplicaciones en producción en el Banco de la República Oriental del Uruguay (en adelante BROU) relevantes para la Auditoría de Estados Financieros, en particular sobre los aplicativos Sistema Financiero Bancario (en adelante SFB), Sistema Integral de Tarjetas de Crédito y Sistema Contable Bancario (en adelante SCB). 3. ALCANCE El examen practicado a setiembre de 2008 fue realizado de acuerdo con normas de auditoría emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). La revisión se limitó a los Controles Generales vigentes en el BROU en el contexto relevante para los objetivos de auditoría de estados financieros y, particularmente, sobre el ambiente en que se encuentran los sistemas SFB, SCB y el Sistema Integral de Tarjetas de Crédito. Asimismo, fueron evaluados los controles de aplicación de: • Los módulos Clientes y Garantías del sistema SFB. • El sistema BROU75 que conforma el Sistema Integral de Tarjetas de Crédito. • La interfase entre SCB y el sistema de Gestión de Cuentas (en adelante GESCU). Se debe observar a los controles generales de TI como estructuras, políticas y procedimientos con objetivo primario de proporcionar un marco de protección para los recursos computacionales, aplicaciones y datos relacionados en este caso con información financiera. Aunque no es común que impacten directamente en los reportes financieros, dichos controles incluyen actividades para razonablemente prevenir, detectar o corregir errores o irregularidades significativas en los reportes financieros o divulgaciones inapropiadas. A su vez, los controles de aplicación son diseñados para prevenir o detectar transacciones contables no autorizadas y dar soporte a objetivos financieros tales como completitud, exactitud, existencia y debida autorización de transacciones a través del sistema de información financiera, asegurando la integridad de los registros contables. El diseño e implementación adecuada de los controles generales y de aplicación son esenciales para proteger los recursos computacionales, aplicaciones y datos del BROU del riesgo de acceso y/o divulgación no autorizada y/o modificación inapropiada (fraude o error) de información financiera; daño o pérdida de recursos, e interrupción de las operaciones, entre otros factores de vulnerabilidad. En términos generales, debe configurarse una combinación efectiva de los controles generales y de aplicación para asegurar razonablemente la confiabilidad, apropiada confidencialidad y disponibilidad de la información financiera. La efectividad de los controles generales es un factor significativo para establecer confianza en los controles de aplicación, en el entendido que estos últimos pueden volverse inefectivos por modificación o burla (entre otros), ante la presencia de controles generales débiles. Por lo anterior, los controles generales deberían ser documentados con anterioridad a los de aplicaciones específicas. Por otra parte se deja constancia que el estudio no constituye en forma alguna auditoría, revisión u otra forma de dictamen sobre estados financieros-contables o declaración sobre el objetivo básico de razonabilidad de la información financiera. A su vez, no se expresa opinión sobre el nivel de eficacia y eficiencia operacional de las aplicaciones bajo revisión. Sin perjuicio de lo anterior, este informe emite opinión sobre la efectividad y confiabilidad de los controles de computadora significativos para los objetivos de auditoría financiera. 4. PROCEDIMIENTOS APLICADOS Se han llevado a cabo los procedimientos considerados necesarios en las circunstancias, en consistencia con las normas aplicadas y particularmente con la Guía para las normas del sector público de la INTOSAI, consistentes con auditorías de estados financieros. Al sólo efecto de proporcionar un lineamiento referencial, para cada control allí establecido se ha alineado los correspondientes procesos del modelo reconocido internacionalmente COBIT (Objetivos de Control para la Información y Tecnologías afines) en lo que respecta a los criterios de confidencialidad, integridad, disponibilidad y confiabilidad (eficacia, eficiencia y cumplimiento no han sido evaluados). A tales efectos, se han cumplido procedimientos de indagación, observación, análisis de documentación, prueba de controles y de datos. A efectos de su presentación ejecutiva, para los controles generales de TI el informe se ha clasificado en 6 áreas consistentes con los objetivos de control para ambientes computarizados según las normas de referencia, a saber: 1: Programas de planificación de seguridad y gerencia 2: Controles de acceso 3: Controles de desarrollo, mantenimiento y cambio de aplicaciones 4: Controles de Hardware y Software de sistema 5: Segregación de funciones 6: Continuidad en el servicio 5. CONCLUSIONES 5.1.- Controles Generales de TI: Dichos controles son adecuados, en términos generales. En tal sentido, se han identificado ciertas vulnerabilidades particularmente en lo que respecta a oposición de intereses (5.5), las cuales podrían acarrear potenciales efectos adversos en las aplicaciones que soportan información financiera. 5.2.- Controles de aplicación: Los controles de los módulos Clientes y Garantías del Sistema Financiero Bancario, del sistema BROU75 del Sistema Integral de Tarjetas de Crédito y de la interfase GESCU-SCB, son razonablemente confiables. |
