Case 1

Audit Planning and Evidence Gathering (MIG Insurance)

Unused Section Space 6

Business

Estructure Planning

Unused Section Space 5 Unused Section Space 4

Unused Section Space 3

Unused Section Space 1

Planning Phase

Unused Section Space 2

Audit Planning and Evidence Gathering

(MIG Insurance)

Sometido a: Realizado por: Curso:

Ricardo E. Castillo Diago Profesor Jos Luis Prez Gonzlez Estudiante Maestra ASI Tcnicas de Investigacin - ASI 740 Febrero, 2012

Situacin del Negocio

Situacin Actual - MIG Insurance Deteccin de errores en los datos en el registro, procesamiento y pago a clientes. Localizacin de la Compaa La compaa MIG Insurance se ubica en Ponce y se dedica al producir planes de seguro de salud. Estructura de los datos Los datos de todas las aplicaciones pueden ser exportados en formato txt, pdf y CSV y sern entregados a travs de protocolo FTP. Existen un total de 100,000 subscriptores y 15,000 proveedores Un promedio de 10,000,000 de reclamos de los proveedores Las aplicaciones pueden tener ms de 50 campos de datos(caracteres, fecha, numricos)

1. Fase Evaluacin
Temas con a evaluar con MIC : Reuniones de seguimiento con el personal MIG de los procesos crticos Memorandos de acuerdo entre MIG y los miembros del equipo ITC Group Dimensin de la cantidad de datos a evaluar Aprobacin de fechas y procesos crticos a evaluar Identificacin y ubicacin fsica de la evidencia y datos Negociacin y determinacin de las muestras de las aplicaciones a valorar Logstica de la visita de los miembros del equipo de trabajo Polticas y/o estndares que MIG utiliza en sus aplicaciones Manejo de la seguridad de los datos y la informacin de sus clientes Evaluacin inicial de los procesos de control internos

2. Solucin Potencial
La recopilacin de datos y las reuniones con los funcionarios de MIG facilitar: Validacin de datos Posible errores en entrada de datos Posibles errores en controles internos Posibles errores en control de fechas Determinacin del uso de la herramienta ACL (CAAT) para la evaluacin de auditora

3. Planeamiento
Alcance Definir la planeacin de auditora, recopilacin de la evidencia y datos para los sistemas y controles de la compaa MIG Insurance, durante un periodo de tiempo determinado Objetivo Obtener y dimensionar la estructura del proceso de recopilacin de la evidencia/datos en las aplicaciones crticas de MIG, para evaluar los controles

Cronograma

El periodo tendr una duracin estimada de 9 meses para recopilacin de evidencia y datos. Iniciando el 01 Marzo hasta el 14 Noviembre, 2012.

Recursos Necesarios
Se utilizarn los 5 miembros que tiene el equipo de trabajo (ITC Group) Autorizaciones de acceso fsico a las instalaciones de MIG y los permisos de acceso a las aplicaciones Uso de la herramienta ACL para anlisis en las aplicaciones significativas Equipo SW/HW (laptops, conexiones remotas, software) Pagos por movilizarse al sitio (transporte, hospedaje, alimentacin) Personal externo especializado para uso de la herramienta ACL

Aplicaciones Significativas
Applications
SAP Financial Module

Area/Users
Financial (FI)

MedClass 5.0

Database of: Subscribers Providers Claims submission Approval Payment

Claim Management

Estrategia Recopilacin Evidencia

Criterios para la recopilacin de la evidencia de la muestra de los procesos

Applications
SAP (Financial Module) MedClass 5.0 (Database of Subscribers & Providers)

% Sample
10 % 5%

Claim Management (Claims submission-Approval-Payment)

10%

Estrategia Recopilacin Evidencia

Se utilizar la herramienta ACL Analizar uso de un protocolo tipo FTP para el envo exclusivo de los datos Dependiendo de las polticas en el manejo de datos confidenciales de los clientes de MIG Determinar si los datos se analizarn en las instalaciones Mover hacia otro lugar para analisis De no ser posible trasladar datos del banco de datos de los clientes, se proceder a dotar a los miembros del equipo (ITC) de computadores personales

Informacin de los sistemas

Inventario de activos de informacin Tipo de hardware, software y datos El sistema de soporte general o las aplicaciones crticas Localizacin fsica o lgica Designar el dueo de la informacin Revisin de documentacin administrativa Descripcin del proceso de Logon Lista de todos los software, con sus versiones Autorizaciones de seguridad Documentos de administracin de la red Revisin de controles internos Seguridad Lista de usuarios de red e identificar las capacidades de acceso Lista de localizacin de todas las estaciones de trabajo Describir la solicitud de acceso a la red Controles de acceso a la red

Informacin de los sistemas (Cont)

Documentacin detallada de configuraciones Configuracin O/S (parmetros del sistema de auditora, passwords de archivos, profiles de cuentas) Hostname Network address Versin O/S y Patch Parmetros de configuracin de aplicaciones Cuentas de usuarios Parmetros de pruebas de integridad Detalle de diagramas de red Documentos de las Polticas y Procedimientos Planes de Contingencia y de Respuesta a Incidentes

Entregables
Estructura del planeamiento de la recopilacin de evidencia y del proceso de evaluacin Distribucin del R-H con las tareas asignadas durante el proceso de recopilacin de informacin Metodologa de Recopilacin de la informacin Determinacin de la herramienta para el anlisis computarizado de las aplicaciones.(CAAT) Recomendaciones para realizar la auditora