SEGURIDAD DEL SISTEMA DE LIQUIDACIÓN DE

HABERES PARA DOCENTES ESCALAFONADOS DE LA

UNIVERSIDAD DEL TRABAJO DEL URUGUAY

OBJETIVO

En esta oportunidad el objetivo consistió en evaluar la

Seguridad del Sistema Informático de Liquidación de Haberes
de docentes escalafonados implantado en la Universidad del
Trabajo del Uruguay (en adelante UTU), en consistencia con
las normas emitidas por la Organización Internacional de
Entidades Fiscalizadoras Superiores (INTOSAI).

ALCANCE

La revisión está limitada a brindar una opinión sobre la

seguridad del sistema informático en cuestión, expresando
si la Administración ha logrado reducir a un nivel aceptable, el
riesgo de brechas significativas de confidencialidad,
integridad y disponibilidad del sistema o de los datos
manejados por él.

Se ha limitado el alcance de la auditoría al entorno de

liquidación de haberes de docentes escalafonados; los
sistemas que en mayor o menor medida se relacionan con el
mismo no han sido evaluados. Por tanto, se tomó como
hipótesis de trabajo que estos últimos son razonablemente
seguros.

Por otra parte, se deja constancia que el estudio no

constituye en forma alguna auditoría, revisión u otra forma de
dictamen sobre estados financieros-contables.

CONCLUSIONES

De la evaluación de los hallazgos surge que resta

implementar controles y fortalecer otros antes de poder
concluir que el Sistema Informático de Liquidación de
Haberes de docentes escalafonados es razonablemente
seguro.

RECOMENDACIONES

A continuación se señalan recomendaciones que se

entienden pertinentes:

Aspectos Operacionales, Ciclo de vida y desarrollo del

sistema

 Continuar los esfuerzos tendientes a la implantación del

“Plan de conectividad por ADSL”.

Documentación

 Documentar el sistema de Liquidación de Haberes de

Docentes Escalafonados

Auditabilidad del sistema

 Revisión periódica de las pistas de auditoría como

medida preventiva/detectiva.

Confidencialidad

Controles de acceso lógico

 Fortalecer los controles de acceso a la red interna de

CETP.
 Diseñar formalmente procedimientos de administración
de usuarios.
 Implementar las funciones de Administración de
Seguridad y Administración de Red.

Controles de acceso físico

  Implementar adecuados controles de acceso físico.

Integridad

Controles de “input”

 No hay recomendaciones para este punto.

Controles de procesamiento

 No hay recomendaciones para este punto.

Controles de “output”

 No hay recomendaciones para este punto.

Control de cambios y grupo de control

 Diseñar formalmente los procedimientos que aseguren

que los cambios se realicen de forma controlada.
 Documentar los cambios.
 Segregar ambientes e inhabilitar el acceso de los
analistas/programadores al ambiente de producción.

Disponibilidad

Controles ambientales / Incendio

 Implementar adecuados controles de prevención,

detección y extinción de incendios.

 Respaldo del sistema y de los datos

 Asignar formalmente la función de Encargado de

Respaldos.
 Diseñar por escrito los procedimientos a seguir ante
fallas o incidentes en la ejecución de los respaldos.
  Realizar pruebas integrales de recuperación desde
respaldos, documentarlas y evaluarlas.

Plan de contingencias y recuperación de desastres

 Elaborar, probar y mantener actualizado un plan de

contingencias y recuperación de desastres.  

AREA DE TECNOLOGIA DE LA INFORMACION   DEL

FONDO NACIONAL DE RECURSOS

OBJETIVO

En esta oportunidad el objetivo consistió en evaluar los

Controles Generales de Tecnología de Información (en
adelante “TI”) y los controles de los Sistemas María y Bit del
Fondo Nacional de Recursos (en adelante FNR) de los que
se extrae información para ser presentada en el Ministerio de
Economía y Finanzas según la Obligación N° 131/001/001 del
Inciso 24), en consistencia con las normas emitidas por la
Organización Internacional de Entidades Fiscalizadoras
Superiores (INTOSAI).

ALCANCE

La revisión está limitada a los controles generales de “TI”

vigentes en la Unidad Informática, en el contexto relevante
para los objetivos de auditoría de estados contables. Esto es,
se evaluó dichos controles en el marco de los sistemas en
régimen operativo pleno y/o a implantarse y que tienen
relación directa o indirecta, de mayor o menor orden, con
transacciones contables, ya sean estas manuales y/o
automatizadas.
A su vez, y en consistencia con el objetivo referido en el
punto anterior, se evaluó los procedimientos específicos
(manuales y/o automatizados) que pueden proveer una
seguridad razonable de que todas las transacciones de los
sistemas María y Bit fueron debidamente autorizadas,
validadas y procesadas, de forma correcta y oportuna.

Los controles generales de “TI” establecen un esquema de

controles de bajo nivel para las actividades globales de
informática. Se los debe observar como procedimientos
diseñados no sólo para intentar garantizar que la actividad de
“TI” se administre adecuadamente, sino que también deben
servir como marco razonable de protección de las
aplicaciones y transacciones de datos.

Por estas razones, los controles generales deben ser

documentados con anterioridad a los de aplicaciones
específicas, de forma tal de determinar el riesgo global de
seguridad de “TI” antes de analizar el riesgo específico de la
aplicación.

Respecto de la evaluación de controles de las referidas

aplicaciones, cabe señalar, que el trabajo se ha enmarcado a
los procedimientos manuales y/o automatizados vigentes en
las respectivas áreas usuarias .

Por otra parte se deja constancia que el estudio no constituye

en forma alguna auditoría, revisión u otra forma de dictamen
sobre estados financieros-contables.

CONCLUSIONES

De la evaluación de los hallazgos, se concluye:

  Controles Generales: La administración ha logrado
reducir los riesgos de “TI” en el ámbito de los controles
generales a un nivel razonablemente aceptable.
 Sistemas Bit y María: No han surgido debilidades tales
que invaliden nuestra hipótesis de trabajo de que los
controles de dichos sistemas son razonablemente
confiables, así como el procedimiento de extracción de
datos para el Ministerio de Economía y Finanzas.

RECOMENDACIONES

Sin perjuicio de las conclusiones expuestas, seguidamente se

presenta una descripción sintética de medidas a instaurar en
el marco de los controles generales:

1: Organización y Administración de “TI”

 Definir y asignar formalmente las funciones que integran

Unidad Informática.
 Asegurar una adecuada segregación de funciones, de
no ser posible, implementar los controles
compensatorios correspondientes.
 Establecer por escrito las Políticas y procedimientos de
Seguridad.

2: Procesamiento de “TI”

 No se incluyen recomendaciones para este objetivo de

control.

3: Integridad, Confidencialidad y Disponibilidad de “TI”

 Incrementar las prácticas de seguridad en el ámbito de

los controles de acceso lógico del sistema Bit.
 Elaborar un plan de contingencias y recuperación de
desastres.
  Documentar y evaluar pruebas de recuperación desde
respaldos.

 4: Desarrollo, adquisición y mantenimiento de Sistemas

de Información.  

 No se incluyen recomendaciones para este objetivo de

control.

INTENDENCIA MUNICIPAL DE CANELONES

OBJETIVO

Según resulta de la Resolución N° 1720, la Junta

Departamental requiere la intervención de este Tribunal a
efectos de expedirse sobre la Seguridad del Sistema de
Gestión de Tributos Municipales para el cobro de la
Contribución Inmobiliaria.

ALCANCE

El examen fue realizado de acuerdo con normas de auditoría

emitidas por la Organización Internacional de Entidades
Fiscalizadoras Superiores, habiéndose llevado a cabo los
procedimientos considerados necesarios en las
circunstancias.

Corresponde expresar que el ciclo tributario de padrones

inmobiliarios se encuentra integrado, en el Sistema de
Gestión de Tributos Municipales (SGTM), al de padrones
automotores y otros ingresos (tasas, tributos). Por lo que, en
esta oportunidad, la revisión está limitada a brindar una
opinión sobre la seguridad del SGTM en lo relativo al ciclo
tributario de padrones inmobiliarios, expresando si la
Administración ha logrado reducir a un nivel aceptable, el
riesgo de brechas significativas de confidencialidad,
integridad y disponibilidad del sistema o de los datos
manejados por él.

Se ha limitado el alcance de la auditoría al entorno del SGTM;

los sistemas que en mayor o menor medida se relacionan con
el mismo no han sido evaluados. Por tanto, se tomó como
hipótesis de trabajo que estos últimos son razonablemente
seguros.

CONCLUSIONES

De la evaluación de los hallazgos, se concluye que el Sistema

de Gestión de Tributos Municipales Inmobiliarios es
razonablemente seguro.

RECOMENDACIONES

A continuación se señalan recomendaciones que se

entienden pertinentes:

Aspectos operacionales

Ciclo de vida y desarrollo del sistema

     No hay recomendaciones para este punto.

Documentación

     No hay recomendaciones para este punto.

 Auditabilidad del sistema

  No hay recomendaciones para este punto.

Confidencialidad

Controles de acceso lógico

  Fortalecer el compromiso de las jefaturas de las distintas
áreas usuarias en materia de seguridad, con el objetivo
que se informe en tiempo los casos de cese o cambio de
función.

Controles de acceso físico

 No hay recomendaciones para este punto.

Integridad

Controles de “input”

 No hay recomendaciones para este punto.

Controles de procesamiento

 No hay recomendaciones para este punto.

Controles de “output”

 No hay recomendaciones para este punto.

Control de cambios y grupo de control

 Definir formalmente los procedimientos de solicitud,

prueba y aceptación documentada de los cambios.

Disponibilidad

Controles ambientales / Incendio

 No hay recomendaciones para este punto.

Respaldo del sistema y de los datos

 Realizar pruebas integrales de recuperación desde

respaldos y documentarlas.
Plan de contingencias y recuperación de desastres

 Simular una situación de indisponibilidad del sistema de

aplicación y de los datos, y probar que el sistema de
contingencia y los procedimientos diseñados dan los
resultados esperados, particularmente en lo referido al
impacto de las bases de datos locales sobre los datos en
producción. Generar la correspondiente documentación.