NORMAS DE AUDITORÍA DE
TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
En este documento se dará a conocer del conjunto de normas
y aclaraciones que permiten asegurar la uniformidad y calidad de la auditoría
gubernamental en Bolivia.
Estas normas son de aplicación obligatoria en la práctica
de la auditoría realizada en toda entidad pública, de Administración y Control
Gubernamentales, promulgada el 20 de julio de 1990.
Se debe tener en cuenta que los servidores públicos deben
rendir cuenta de su gestión a la sociedad. En este sentido, la población en
general desea y necesita saber, no sólo si los recursos públicos han sido
administrados correctamente y de conformidad con el ordenamiento jurídico
administrativo y otras normas legales aplicables, sino también de la forma y
resultado de su aplicación, en términos de eficacia, eficiencia, economía y efectividad.
Es por este motivo que este documento se convertirá en una guía que contribuirá
al cumplimiento de la obligación que tienen los servidores públicos de
responder por su gestión. Incluyendo conceptos y áreas de auditoría que son vitales
para los objetivos de confiabilidad de la información.
Los servidores públicos deben elaborar informes de
auditoría gubernamental que serán importantes elementos de control y responsabilidad
pública, otorgando credibilidad a la información generada por los sistemas correspondientes
de las entidades públicas, ya que reflejan objetivamente el resultado de las evidencias
acumuladas y evaluadas durante la auditoría.
Se debe tener en cuenta que cuando se elaboren auditorias gubernamentales
pueden llegar a existir vacíos técnicos o aspectos no contemplados en estas
Normas, entonces observarse las Normas Generales de Auditoría de Sistemas de
Información emitidas por:
ü Asociación
de Auditoría y Control de Sistemas de Información ISACA (The Information
Systems Audit and Control Association)
ü El
modelo de control COBIT (Objetivos de Control para la Información y Tecnologías
Relacionadas).
ü Las
Normas Internacionales de Auditoría (NIA) emitidas por la Federación
Internacional de Contadores (IFAC).
ü Las
Declaraciones sobre Normas de Auditoría (SAS) emitidas por el Instituto
Americano de Contadores Públicos (AICPA).
ü Las
Normas de Auditoría emitidas por la Organización Internacional de Entidades
Fiscalizadoras Superiores (INTOSAI).
Cuando nos referimos a Auditoría de tecnologías de la información y
la comunicación podemos denotar como el examen objetivo, crítico,
metodológico y selectivo de evidencia relacionada con políticas, prácticas,
procesos y procedimientos en materia de tecnologías de la información y la
comunicación, para expresar una opinión independiente respecto:
a)
A la confidencialidad, integridad,
disponibilidad y confiabilidad de la información.
b)
Al uso eficaz de los recursos tecnológicos.
c)
A la eficacia del control interno asociado a
los procesos de las Tecnologías de la Información y la Comunicación.
Los incisos señalados, podrán ser considerados en forma
individual o en conjunto.
La auditoría de tecnologías de la información y la
comunicación está definida principalmente por sus objetivos y puede ser
orientada hacia uno o varios de los siguientes enfoques:
a)
Enfoque a las seguridades: Consiste
en evaluar los controles de seguridad implementados en los sistemas de
información con la finalidad de mantener la confidencialidad, integridad y
disponibilidad de la información.
b)
Enfoque a la información: Consiste
en evaluar la estructura, integridad y confiabilidad de la información
gestionada por el sistema de información.
c)
Enfoque a la infraestructura tecnológica: Consiste
en evaluar la correspondencia de los recursos tecnológicos en relación a los
objetivos previstos.
d)
Enfoque al software de aplicación: Consiste
en evaluar la eficacia de los procesos y controles inmersos en el software de
aplicación, que el diseño conceptual de éste cumpla con el ordenamiento
jurídico administrativo vigente.
e)
Enfoque a las comunicaciones y redes: Consiste
en evaluar la confiabilidad y desempeño del sistema de comunicación para
mantener la disponibilidad de la información.
Se debe tener en cuenta que una organización gubernamental
o no, puede realizar el ejercicio de la auditoría interna como
una función de control interno posterior de la organización, que se realiza a
través de una unidad especializada, cuyos integrantes no participan en las operaciones
y actividades administrativas. Su propósito debe ser contribuir al logro de los
objetivos de la entidad mediante la evaluación periódica del control interno.
Es momento de desglosar las normas de auditoría de
tecnologías de la información y la comunicación.
1.
Planificación
Es la primera norma y se debe tener en cuenta
que toda auditoría debe tener que el primer paso a realizar es el de planificar
la auditoría en forma metodológica, para alcanzar eficientemente los objetivos de
la misma. Esto para permitir un adecuado desarrollo de las etapas subsecuentes;
para el efecto, se debe tomar conocimiento del sujeto y del objeto a evaluar.
Además, es un proceso continuo y dinámico que puede modificarse o ampliarse
durante el desarrollo de la auditoría.
Siendo el objeto de auditoría: el diseño conceptual,
políticas de gestión, formas de registro, niveles de seguridad y uso de las comunicaciones
para la gestión de la información y el ordenamiento jurídico administrativo
relacionado con el objeto de auditoría.
Las áreas críticas se definirán
en función de la naturaleza, complejidad y modularidad del objeto de auditoría,
la evaluación del control interno y la evaluación de riesgos dependiendo de
éstas se definirán los objetivos o el(los) enfoque(s) y el alcance de la auditoría.
Como resultado del proceso de planificación, se
debe elaborar el Memorándum de Planificación de Auditoría, el cual debe contener
todos los aspectos detallados en la presente norma y aquéllos que se consideren
necesarios incluir, y que tengan relación con los objetivos del examen, el
alcance y la metodología.
Las modificaciones que ameriten, deben ser
expuestas en una adenda al Memorándum de Planificación de Auditoría, que
refleje los aspectos ajustados, así como su justificación.
2.
Supervisión
La segunda norma se refiere a que el personal
competente debe supervisar sistemática y oportunamente el trabajo realizado por
los profesionales que conformen el equipo de auditoría. Implicando el hecho de dirigir
los esfuerzos del equipo de auditores gubernamentales hacia la consecución de
los objetivos de auditoría.
La supervisión debe ser realizada en cada una
de las etapas de la auditoría, la misma incluye:
ü Examinar
la factibilidad y/o razonabilidad técnica de los objetivos y alcances de la
auditoría propuestos.
ü Asegurar
que los miembros del equipo comprendan los objetivos de la auditoría. En
particular se debe asegurar que entiendan claramente el trabajo a realizar, por
qué se va efectuar y qué se espera lograr.
ü Guiar
a los miembros del equipo de auditoría a lo largo del desarrollo de las tareas
asignadas.
ü Revisar
oportunamente el trabajo realizado, a través de los respectivos papeles de trabajo
en medios físicos y/o electrónicos.
ü Ayudar
a absolver problemas técnicos y administrativos.
ü Detectar
debilidades del personal asignado y proporcionar en consecuencia la capacitación
necesaria o requerir que la misma sea proporcionada por terceros.
ü Asegurar
que la evidencia obtenida sea suficiente y competente.
La supervisión efectuada durante el desarrollo
de la auditoría, debe estar evidenciada en los papeles de trabajo en medios
físicos y/o electrónicos, acumulados durante la misma.
3.
Control interno
La tercera norma es el control interno y aquí se
debe obtener una comprensión del control interno relacionado con el objeto del
examen. Donde se debe evaluar el control interno para identificar las áreas
críticas que requieren un examen profundo y determinar su grado de
confiabilidad a fin de establecer la naturaleza, alcance y oportunidad de los
procedimientos de auditoría a aplicar.
El control interno es un proceso implementado
por la dirección y todo el personal, diseñado con el objetivo de coadyuvar al
logro de los objetivos de la entidad.
Comprende el plan de organización, incluyendo
la Unidad de Auditoría Interna, todos los métodos coordinados y procedimientos
adoptados en la entidad para promover la eficacia y la eficiencia de las
operaciones y la confiabilidad de la información, así como el cumplimiento de
las políticas gerenciales, el ordenamiento jurídico administrativo y otras
normas legales aplicables, y las obligaciones contractuales.
A efectos de este tipo de auditoría, se
establecen dos tipos de controles:
ü El
control general que involucra a todos los sistemas de
información. Estas son políticas y procedimientos que tienen que ver con el ambiente
en el cual se desarrollan, mantienen y operan los sistemas de información y respaldan
el funcionamiento efectivo de los controles específicos, en consecuencia, involucran
a todos los sistemas de información.
ü El
control específico está diseñado para controlar el
procesamiento en sí de la información. Estos son los aplicables a los procesos
de adquisición, producción, almacenamiento, tratamiento, comunicación, registro
y presentación de la información.
El control interno está conformado por cinco
componentes que interactúan entre sí y se encuentran integrados al proceso de
gestión:
ü Ambiente
de control.
ü Evaluación
de riesgos.
ü Actividades
de control
ü Información
y comunicación
ü Supervisión.
El estudio y evaluación del control interno
incluye dos fases:
a)
Conocimiento y comprensión de los
procedimientos establecidos en la entidad referente a los sistemas de
información, al término del cual, el auditor gubernamental debe ser capaz de
emitir una opinión preliminar presumiendo un satisfactorio cumplimiento del
control interno.
b)
Comprobación de que los procedimientos
relativos a los controles internos están siendo aplicados tal como fueron
observados en la primera fase.
4.
Evidencia
La cuarta norma indica que debe obtenerse
evidencia competente y suficiente como base razonable para sustentar los
hallazgos y conclusiones del auditor gubernamental. Se denomina evidencia al
conjunto de hechos comprobados, suficientes y competentes que sustentan las
conclusiones del auditor. Es la información específica obtenida durante la
labor de auditoría a través de observación, inspección, entrevistas y examen de
los registros; y otros procedimientos que sean aplicables.
La evidencia debe ser acumulada mediante un
proceso supervisado de aplicación de metodologías y técnicas de auditoría. Esta
a su vez de ser competente, válida como relevante. Válida cuando es consistente
con la realidad y los hechos.
La evidencia es relevante cuando tiene directa
relación con el objeto de la auditoría y contribuye a sustentar los hallazgos y
conclusiones del auditor gubernamental.
La evidencia es suficiente si basta para
sustentar la opinión del auditor gubernamental, para ello debe ejercitar su
juicio profesional con el propósito de determinar la cantidad y tipos de
evidencia necesarias.
La evidencia obtenida por el auditor
gubernamental debe conservarse en papeles de trabajo en medios físicos y/o
electrónicos.
5.
Comunicación de resultados
Es la quinta norma y se refiere al informe de
auditoría de tecnologías de la información y la comunicación que debe ser
oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar
los resultados obtenidos durante la misma.
El informe de auditoría de tecnologías de
la información y la comunicación debe ser emitido en forma
escrita, lógica y organizada, conteniendo información suficiente para ser
entendido por los destinatarios y facilitar la acción correctiva si
corresponde.
El contenido del informe de auditoría de
tecnologías de la información y la comunicación deberá hacer referencia a:
-
Los antecedentes, acciones o circunstancias que
dieron origen a la auditoría.
-
Los objetivos, que identificarán los propósitos
específicos que se cubrirán durante la misma.
-
El objeto, identifica aquello que ha sido
examinado.
-
El alcance, se referirá al periodo examinado;
así como a la cobertura del trabajo realizado. Se debe especificar en el
alcance, que la auditoría se realizó de acuerdo con las Normas de Auditoría
Gubernamental.
-
Si se presentaron limitaciones que no
permitieron al auditor gubernamental cumplir con los objetivos previstos, éstas
deben ser mencionadas en el informe de manera expresa.
-
La metodología, explicará las técnicas y procedimientos
de auditoría que fueron empleados para obtener y analizar la evidencia;
asimismo, se mencionarán los criterios y normas aplicadas durante el desarrollo
del examen.
-
En el resultado del examen, se expondrá:
§ Los
hallazgos significativos que tengan relación con los objetivos de auditoría,
los que incluirán la información suficiente que permita una adecuada
comprensión del asunto que se informa. Las recomendaciones que se consideren
apropiadas para eliminar o minimizar las causas que originaron las deficiencias
identificadas durante el examen.
§ Las
conclusiones, que son inferencias lógicas sobre el objetivo de auditorías basadas
en los hallazgos, deben ser expresadas explícitamente de manera convincente y
persuasiva, evitando el riesgo de interpretaciones erróneas por parte de los
lectores.
Si correspondiera, se debe hacer referencia a
las auditorías especiales que se hubieran iniciado por alguna situación
evidenciada en la auditoría de tecnologías de la información y la comunicación,
o a los informes de auditoría especial emergentes de la misma.
Comentarios
Publicar un comentario