La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de los sistemas de información computadorizados del Municipio de Toa Alta. Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.

El Informe revela que el Municipio no contaba con un análisis de riesgos de los sistemas de información computadorizados. En su lugar, el Municipio presentó un informe de Evaluación Tecnológica del 2017, pero este no contiene los aspectos básicos de un análisis de riesgos.

Un análisis de riesgos identifica los activos del sistema, sus vulnerabilidades y las posibles amenazas. Con este conocimiento se asegura que las medidas de seguridad y los controles que se establezcan, sean costo-efectivos. La falta de dicho análisis impide al Municipio estimar el impacto de los elementos de riesgos y tomar medidas para protegerlos.

La auditoría de tres hallazgos señala que, al 14 de febrero de 2020, el Municipio no tenía un plan de contingencia como disponen las guías establecidas en el Federal Information Systems Controls Audit Manual (FISCAM) emitido por la Oficina de Rendición de Cuentas de los Estados Unidos (General Accountant Office – GAO). Esta situación puede propiciar la improvisación y que, en casos de emergencia, se tomen medidas inapropiadas.

Los auditores de la Contraloría identificaron múltiples deficiencias con la documentación y la justificación de los roles de seguridad que se otorgaron a los usuarios del módulo de contabilidad INGRESYS del Sistema Integrado para Municipios Avanzados (SIMA).

Del examen realizado se hallaron 78 roles de seguridad otorgados a usuarios que no guardaban relación con las funciones ni el puesto, 44 roles de seguridad otorgados a siete usuarios no autorizados en los documentos, y 14 roles de seguridad otorgados a un usuario, sin evidencia documental. Estas situaciones pueden propiciar que personas no autorizadas accedan a información confidencial o que se cometan irregularidades.

El Informe recomienda, entre otras, que la Oficina de Gerencia Municipal, se asegure que el Municipio cumpla con el Plan de Acción Correctiva de la Oficina del Contralor. El informe cubre el periodo del 24 de enero de 2020 al 29 de enero de 2021.

Vea el Informe de Auditoría TI-22-05.

Para ver otros informes publicados, visite nuestra sección de Informes de Auditoría.