auditoria informática, un enfoque práctico - mario piattini-120-134

8/20/2019 Auditoria Informática, Un Enfoque Práctico - Mario Piattini-120-134

1/15

EL INFO RM E DE AUDITORÍA

CAPÍTULO 4

Jo sé


2/15

1

Sea com o fuere, una


3/15

CAi-nvi o * ■u . lstor -vh;ce At on on u *s

42. LAS NORMAS

En 1996 la Unión Europea publicó el L ibro Verde de la A uditoría, dedicado al

papel, la posic ión y la responsabilidad del auditor legal. Su conlcrído afecta a laAoliloria Informática.

En principio, el Libro acepta las Norma* Internacionales IFAC pan su adaptaciónadecuada a la Unión Europea: por tanto, se transmitirán a través de las Directivascorrespondientes a España pora que se transformen en legislación positiva.

En lo referente al Tratamiento Automatizado de Datos de Carácter Personal-incluso disponiendo de una I-ey orgánica-, el asunto se resolverá por k» mismos

«ices, con la trasposición de la actual Directiva de protección de datos personales y.qaui. de otra, en forma de propuesta todavía, relacionada con los servicios detíecomonicacione* apoyados en tecnología digital y especialmente Red Digital deServicios Integrados.

Otra fuente de Normas Internacionales es ISACF. y a m is específica de AuditoríaWermiiica. Nuestro país está representado en ISACA por la Organización deAaditoría Informática, en lento take off.

Hoy por hoy. la normativa española oficial que afecta, en mayor o nervor medida,i b Auditoría Inform ática, es la siguiente:

• ICAC: Normas Técnicas de Auditoría: punto 2.4.10. Estudio y Evaluación delSistema de Control Interno.

• AGENCIA DE PROTECCIÓN DE DATOS: Instrucción relativa a la prestación de se rvic ios sobre solvencia patrim onial y créditos. Norm a cuaita :Forma de Comprobación.

Del artículo 9 de la LORTAD se desprende el desarrollo reglamentario de medit e Meneas y organizativas alusivas a la seguridad en lo que concierne a integridad yonMcnclalKlad de tos datos personales automatizados. Todavía no ha «do publicadoOd itghmento. pero sería de esperar que se incluyera en su texto a lg ina referenciattjecífica sobre Auditoría Informática.

Tíraboén conviene reseñar que dentro de la Unión Europea, la FEE tiene en«arcia el Proyecto EDIFICAS.EUROPE. dentro de l UN/EDIFACT. en el que España«1 representada por el IACJCE. que se estructura en cuatro grupos de trabajo:Masajes, A uditoría (G uias de Auditoría de e ntornos de EDI). Promoción y AsuntosEneróles.


4/15

' I

La Auditoría Informática no está muy desarrollada y. por añadidura, se cncoetnien un punto crucial para la definición del modelo en que deberá implantarse j

practicarse en la Unión Europea y, por tanto. Esparta, vía directivas UE/Iegislacüi positiva y norm as profesionales.

Maticemos este aspecto: hay d os tendencias legislativas y de práctica ¿edisciplinas: la anglosajona, basada en la Conunon I mw . con pocas leyes j

jurisprudencia relevante: y la latina, basada en el Derecho Rom ano, de Icgislaááimuy detallada.

1.a tensión entre estos dos modelos, esto es. entre el intervencionismo m áu »latino y el mínim o intervencionismo anglosajón, es ya insostenible. Uno de los da

deberá prevalecer, si es que realmente nos encaminamos a la sociedad global.

Justo es reconocer que los parámetros del cambio tecnológico parecen hacer rcát práctico el modelo anglosajón: no en vano, en Estados Unidos, tanto la Auditoeicomo la Informática (y I » Comunicaciones), tienen un desarrollo muy experimental)y. sobre todo, adap ta tiv o. l.os parámetros de velocidad y tiempo hacen aconsejableun esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas deorigen profesional.

Si la globalización antes mencionada es un hecho incuestionable, el sabio uto delos llamados principios generalmente aceptados hará posible la adaptación suficientea la realidad de cada ¿poca.

En este sentido, no podemos olvidar que los organismos de armoni/jck*.normalización, homologación, acreditación y certificación tendrán que funcionar a aritmo más acorde coa las necesidades cambiantes. El conjun to ISO-CEN-AF.NOR;los vinculados con seguridad. ITSEC/1TSEM Europa. TCSEC USA y ContrasCriterio UE/Nortcamérica. necesitan ir más rápido, ya que su lentitud cal

provocando, en un mundo tan acelerado, la aparición de mult itud de organizado«! privadas, consorcios y asociaciones que con muy buena voluntad y óp timo sentido dela conveniencia enercantil. pretenden unificar normas y proinocionar estándares.

Por último, conviene que se clarifique el panorama normativo, de prácticas;responsabilidades en k> que concierne a los problemas planteados por los servia«

profe sionales m ult id iscip linares, >a que el Informe de Auditoría Informática k

compone de tres términos: Inform átic a, A ud itoría e Informe.

S6 AUDITORIA INFORMÁTICA: CN FMPQCfc «M UCO ____________________________c u »


5/15

Ar t m p t fi . IXfORMt. Lfc AlDnOUlA 11

4.3. LA EVIDENCIA

En c*lc epígrafe parece saludable revertir algunos aMinios previo*, referidos a laredxción del Informe. Irau dos en otros capítulo* de esta obra, puesto que el referido

(sfanne « su consecuencia.

Por tanto, tratemos de recordar en qui consiste la evidencia en Auditoriahíormítica. así com o las pruebas que la avalan, sin olvidar la importatela relativa y elriesgo probable, inherente y de control.

La certeza absoluta no siempre existe, según el punto de vista de los auditores; losísmrios piensan lo contrario. No obstante lo dicho , el desarrollo del control interno,

incteso del específicamente informático, está en efervescencia, gracias al empuje de b» Informes USA /Treadway (1987). UK/Cadbury (1992) y Francia/Yienot (1995). yca lugar destacado el USA/COSO (1992). traducido al espa/iol fo r Coopers &Lybrand y el Instituto de Auditores Internos de Esparta.

Pero volvamos a la evidencia, porque ella es la base razonable d: la opinión delAuditor Informático. e « o e s. el Informe de Auditoria Informática.

La evidencia tiene una serie de calificativos; a saber:

- La evidencia relevante, que tiene una relación lógica con los objetivos de la

- La evidenc ia fiab le, que es válida y objetiva, aunque con nivel de confianza.

- La evidencia suficien te, que e s de tipo cuantitativo para soportar la opinión profesional del auditor.

- La evidencia a de cu ad a, que es de tipo cualitativo parí afectar a lasconclusiones del auditor.

En principio, tu» prueba:, mui de cu m plim ien to o RUstflniivw.

Aunque ya tratado en otro capítulo, conviene recordar el escolla práctico de laImportancia r ela tiva o materialidad, así como el riesgo probable.

La opinión deberá estar basada en evidencias justificativas, ex decir, desprovistasde prejuicios, si es prec iso con evidencia adicional.

auditoria.


6/15

4.4. LAS IRREGULARIDADES

Las irregularidades, o sea, los fraudes y li» errores, cspcciilmcntc la existencia delos primeros, preocupa u n to que aparece con énfasis en el y a ciud o Libro Verde de UUE. Ij Dirección General XV (Comercio Interior) y el MARC (Maastricht) cvJb claramente sensibilizados a] respecto.

Recordemos antes de proseguir, que en los organismos y Us empresas, laDirección tiene la responsabilidad principal y primaria de la detección deirregularidades, f raudes y errores; la responsabilidad del auditor se centra «

planificar, llevar a cabo y evaluar su trabajo para obtener una e xpecutisa razonable desu detección.

Es. pues, indudablemente necesario disertar pruebas antifraude. que lógicamenteincrcmcnurán el coste de la auditoría, previo análisis 4c riesgos (amenaza*,importancia re lativa...).

La auditoría de cuentas se está judicializando -cam ino que seguirá la AuditoríaInformática, práctica importada de F-stados Unidos-, ya que aparece en el viga*Código Penal (delitos societarios y otros puntos) con especial énfasis en los

administradores. No olvidemos, al respecto, la obligatoriedad de suscribir pólizas deseguro d e responsabilidad civil para auditores independ entes, individuales jsociedades.

Por prudencia y rectitud, convendrá aclarar al máximo -de ser posible- si dInforme de Auditoría es propiamente de auditoría y no de consultoría o asesoríainformática, o de otra materia afín o próxima.

Aunque siempre debe prevalecer el deber de secreto pofcsíonal del auditcr.conviene recordar que en el caso de detectar fraude durante el proceso de auditoria procede actuar en consecuencia, con U debida prudencia que aconseja episodio tatdelicado y conflictivo, sobre todo si afecta a los administradores de la organiza;ifaobje to de auditoría. Ante un caso así. conviene consultar a la Comisión DeontotógicaProfesional, al asesor jurídico, y leer detenidamente las normas profesionales, dCódigo Penal y otras disposiciones; incluso hacer lo propio ron las de organismosoficiales ules como el Banco de Esparta, la Dirección Grocral de Seguro», laComisión Nacional del Mercado de Valores, el organismo regulador del med*>

ambiente.... que pudieran e su r afectados, no debería desestimarse. El asunto podría,incluso, terminar en lo s Tribunales de justicia.

4.5. LA D OCUM ENTACIÓN

En el argot de auditoría se conoce como papeles de trabajo la "toulidad de todocumentos preparados o recibidos por el auditor, de manera que. en conjunto.


7/15

CAWTVIQ4 II INMMtMI. IX. AULHKMtU V

constituyen un compendio de la información utilizada y de las pruebas efectuadas en¡a ejecución de su trabajo, junto con la« decisiones que ha debido tomar para llegar atasarse su opinión".

El Informe de Auditoría, si se precisa que sea profesional, «teñe que estar basadoea la documentación o papeles de trabajo, como utilidad inmediata, previaWper*wión.

La documentación, además de fuente de kno%v how del Auditor Informático paraWbijos posteriores asi como para poder realizar su gestión interna de calidad, esfuente en algunos casos en los que la corporación profesional puede realizar un controlde cabdad, o hacerlo algún organismo oficial. Los papeles de trabajo pueden llegar a

tener valor en los Tribunalcs d e justicia.

Por otra pane, no debemos omitir la característica registra! del Informe, tanto enm pane cronológica como en la organizativa, con procedimientos de archivo,búsqueda. custodia y conservac ión de su documentación, cumpliendo toda laoorBativa vigente, legal y profesional, com o mínimo exigible.

Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/oexperto* independíenle*, así como de los auditores internos, se reseOen o no en elkforme de Auditoría Informática, formarán pane de la documentación.

Además, se incluirán:

- El contrato cliente/auditor informático y/o la caita propuesta del auditorinformático.

- Las declaraciones de la Dirección.- Los contratos, o equivalentes, que afecten al sistema de información, así com o

d informe de la asesoría jurídica del cliente sobre sus asuntos actuales y previsibles.

- El informe sobre tercero« vinculados.- Conocimiento de la actividad del cliente.

4.6. EL INFORME

Se ha realizado una visión rápoda de los aspectos previos para tenerlos muypresenles al redactar el Informe de Auditoría Informática, esto ex. la comunicación delAadnor Informático al cliente, formal y. quizá, solemne, tanto del alcance de lasdñcría: (objetivos, período de cobertura, naturaleza y extensión del trabajoBalizado) corno de los resu ltados y conclusiones.


8/15

Es momento adecuado de separar lo significativo de lo no significativadebidamente evaluados por su importancia > vinculación con el factor riesgo, taraeminentemente de carácter profesional y ético, según el leal saber y entender ddAuditor Informático.

Aunque no ex iste un formato vinculante, sf existen esquemas recomendados cealos requisitos mínimos aconsejables respecto a estructura y contenido.

También es cuestión previa decidir si el informe es largo o. por el contraria,corto, por supuesto con otro s informes sobre aspectos, bien más detallados, bien mi*concretos, com o el Inform e de de bilidad es de l contro l inte rno, incluso de hechos»aspectos: todo ello teniendo en cuenta tanto la legislación vigente como el contra»

con el cliente.

En mi modesta opinión, los términos cliente o proveedor/interno o extern»,típicos de la Gestión de la Calidad, resultan más apropiados que informático/auditainformático/usuario, ya que este último término tiene una lamentable connotacife

peyorativa.

En lo referente a su redacción, el Informe deberá ser claro, adecuado, suficiente)

comprensible. Una utilización apropiada del lenguaje informático resulta recomendé ble.

Los puntos esenciales, genéricos y mínimos del Informe de AuditofaInformática, son los siguientes:

/. Identificación del Informe

El título del Informe deberá identificarse con objeto de distinguirlo deinformes.

2. Identificación de l Clleme

Deberá identificarse a los destinatarios y a las personas que efectúen el encargo.

3. Identificac ión de la entidad auditada

Identificación de la entidad objeto de la Auditoría Informática.


9/15

MM» CAPÍTULO«: U. tNFORME P i AUMTOKÍA 101

4. Obptivot de la Auditoria Informática

Declaración de los objetivos de la auditoría para identifica- su propósito,«eftalando los objetivo* incumplidos.

J. Normativa aplicada y excepciones

Identificación de las normas legales y profesionales utilizada-. así como lasexcepciones significativas de uso y el posible impacto en los resultado* de la auditoría.

6. Alcance de la Auditoría

Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría , sis temas de información... señalando lim itadores al alcance yrestricciones de l auditado.

7. Conclusiones: Informe corto d e op inión

Lógicamente, se ha llegado a los resultados y. sobre lodo, a la esencia del

áctimcn. la opinión y los pdna fos de sa lvedades y énfasis, si procede.

El Informe debe contener uno de los siguientes tipos de opinión: favorable o sinfaltedades, con sa hed ad e* . desfavorab le o adv ersa, y deneg ada.

7.1. Opinión f avo rable . La opinión calificada com o favorable, ún salvedades olimpia, deberá manifestarse de forma clara y precisa, y es el resultado de untrabajo realizado sin limitaciones de alcance y sin inceniduntire. de acuerdo

con la normativa legal y profesional.

Es indudable que entre el informe de recomendaciones al cliente, queincluye lo referente a debilidades de control interno en sentido amplio, y las

salvedades, cw sic o v««vk existo una rana de p a n scnsibiMad. u n es asi

que tendrá que clarificarse al m áximo, pues una salvedad a la opinión deberáser realmente significativa; concretando: ni pasarse, ni no llegar, dicho enlenguaje coloquial: en puridad e s un punto de no retomo.

7.2. Opinión con salved ades. Se reitera lo dicho en la op inó n favorable alrespecto de las salvedades cuando sean significativas en relación con losobjetivos de auditoría, describiéndose con precisión la naturaleza y razones.

Podrán se r éstas, según las circunstancias, las siguientes:


10/15

>1. PIlOWlMMOK.MAIK S l S I SKX ̂t IK.VC1KO _

• Limitaciones al alcance del trabajo realizado: esto es. restricciones pal Euro).

S. Resultados: Informe largo y otros informes

Parece ser que. de acuerdo con la teoría de ciclos, el informe largo va a colocar iinforme corto en su debido sitio, o sea. como resumen del informe largo (¿quizá


11/15

CAHniLO« IJ.IKKXMEDf.AUPmiftU 101

obsoleto?). Los usuarios, no hay duda, desean saber m is y desean transparencia corno»»1« añadido.

Es indudable que e l limíte lo marcan los papeles de trabajo o documentación de la

AoJflorú Informática, pero existen aspectos a tener en cuenta:

• El secreto de la empresa.• El secreto profesional.• Los aspectos relevantes de la auditoria.

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la

Auditoría Informática, tal como el de D ebilidades de C on trol In ter no o los informesespecules y/o complementarios que exigen algunos organismos gubernamentales,como, por ejemplo, el Banco de España, la Comisión Nacional del Mercado deValores y la Dirección General de Seguros, entre otro s y por ahora.

9. Informes previos

No es una práctica recomendable, aunque sí usual en alg unos casos, ya que el

Informe de Auditoría Informática es. por principio, un in form e de conjun to.

Sin embargo, en el caso de detección de irregularidades significativas, tantoerrores como fraudes, sobre todo, se requiere una actuación inmediata según lanormativa legal y profesional, independientemente del nivel jerárquico afectado dentrode la estructura de la entidad. Recordemos al respecto el delito societario y la(espoosabilidad civil del Auditor (Informático).

10. Fecha del Informe

El tiempo no es neutral: la fecha del Informe es importante, no sólo por lacwantificación de honorarios y d cumplimiento con el cliente, sino pora conocer lamagnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inic io yconclusión del trabajo de cam po, incluso la del cierre del ejerc icio, si es que se estáreatiuado un Informe d e A uditoría Informática como he rram ienta d e apoyo a laAuditoría de Cuen tas . En casos conflictivos pueden ser relevantes aspectos tales

como los hechos posteriores al fin del período de auditoría, hechos anteriores y poucriores al trabajo de campo...


12/15

/ i. Identificación y firm a del Auditor

Ette avpecto formal del informe es esencial tamo si ex individual como ti fontu parte de una sociedad de auditoria, que deberá corresponder a un so cio o se o «legalmente asi considerado«.

12. Distribución d e l Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informático. deber!definirse quién o quiénes podrán hacer uso del Informe, así como los usos concretosque tendrá, pues los honorarios deberán guardar relación con la responsabilidad civil.

4.7. CONCLUSIONES

¿Qué ex el informe de auditoría informática y qué le diferencia de otro tipo deinformes (consultaría, asesoría, servicios profesionales...) de informática?

Resulta básico, antes de redactar el informe de auditoría, que e l asunto esté muy

claro, no sólo por las expectativas ya citadas, sino porque cada término tiene uncontenido usual muy concreto: la etiqueta auditor ía es. en esenc ia, un ju ic io de valor uopinión con justificación.

Por tanto, habida cuenta que tiene base objetiva -sobre todo con independenciaen sen tido amplio- , es eminentemente una opinión profesional subjetiva.

Además, com o se aplican criterio» en términos de p robabilidad, hay que evitar b predisposic ión a algún posible tipo de manipulación, debido a la libertad de elecciónde pruebas: no se debe elegir una serie de ellas que dé la imagen buscada (prejuicio)como consecuencia de la acumulación de sesgos ad hoc.

Esta insistencia en clarificar es quizá excesiva, pero resulta importante emitir elInforme de auditoria informática de acuerdo con la aplicación de la AuditoriaInformática con criterios éticamente profesionales y desextimar ios procedimientos deAuditoría Informática “creativa" sorteando la posible “contaminación” con bcontabilidad “creativa".

En el precitado Libre Verde de Auditoría Legal de la Unión Europea yrecordando la Directiva Octava de Derecho de Sociedades. se seAala que el auditordebe ser independiente, pero sólo la FEE seAala que puede serio de una maneraobjetiva.

Es ilustrativo res isar textualmente el punto 4.9 del famoso L ibro Verde:


13/15

CArtnax)« n. inhìkmk dh auditoria ios

"En aftos recientes. se ha manifestado preocupación »obre las amenazas que seciernen sobre la independencia de los auditores. Varias encuestas indican el hecho deque las empresas están cada vez más preparadas a desafiar a los auditores, comprarencajones, buscar asesoram iento legal sobre las opiniones de los auditores y a cambiar

de auditores. Algunos inform es concluyen que. dadas las presiones com petitivas, seríaidealista asumir que lodos los auditores actúan en todo momento sin pensar en elriesgo de perder clientes. Se han manifestado criticas de qu e el profesionalismo se hadisminuido en favor de una actitud más de negocio "

En fin. que como indicio del estado del ane. este párrafo resulta bastantealeccionador.

Navegando en tre definiciones y definiciones, encuentro muy explicativa la de1SACF. que dice asf:

"La auditoria de sistemas de información se define como cualquier auditoria queabarca la revisión y evaluación de todos los aspectos (o alguna sección/área) de lossistemas automatizado» de procesamiento de la información, incluyendo prccedimientos relacionados n o automáticos y las irucrrelacioncs en tre ellos. ''

Creo que precisa lo suficiente sobre el sistema informático, el manual y sus

conexiones para delimitar los objetivos de cobertura de un informe de auditoriainformática que. ponderados con los objetivos COSO de la Actividad de Tecnologíasde la Información (plane* estratégicos, información fiable, adecuada y disponible, ysistemas de información disponibles), clarifican en forma razonable las zonasfronterizas con otros lemas afines, por ahora.

En mi opinión. Maastricht está acelerando el asunto; tanto es as í que si Maastrichtno existiera habría que inventarlo, aunque el término auditoría tiene connotaciones no

deseables. Espero que el MARC (Maastricht Accounting and Auditing ResearchCenter) sea un factor positivo en la auditoría de los sistemas de información y. portanto, en los informes y su normativa Icgalfyrofcsional correspondiente.

4.8. LECTU RA S RECO MENDADAS

Emilio del Peso Navarro. Miguel Angel Ramos González. Carlos Manuel FernándezSánchez y María losé Ignoto Azausue. Manual


14/15

Luis Muflo* Sabate Técnica Probatoria: Estud io sobre la t Dificultades de la Prueba en e l Proceso. Editorial Praxis. S.A. Barcelona. 1993.4* edición.

Mar>’ C. Bromake Los informes de auditoria y tu técnica de redacción. EditorialDeusto. S.A. Bilbao. 1989.

Revista SIC. Seguridad en In form ática v Comunicaciones. Ediciones Coda. S.LMadrid.

4.9. CU ESTIONES DE REPASO

1. ¿Qué diferencia exis te en tre ev idencia suficiente y evidencia adecuada?

2. ¿Qué diferencia exis te entre prueba de cumplimiento y prueba sustantivo?

3. ¿Las normas IPAC son vinculantes en Espafta?

4. ¿Las normas ISA CF son vinculantes en España?

5. ¿Qué diferencia existe entre opinión desfavorable y op nión denegada?

6. ¿Qué significa importancia relativa?, ¿y materialidad?

7. ¿Qué significado tiene la responsabilidad civ il del auditor informática emisordel informe de auditoria informática y firmante del miaño?

8. ¿Cuál es la utilidad de l documento denominado Declaraciones de UDirección?

9. ¿Qué diferencia existe entre exper to informática y auditor informático?

10. ¿Qué diferencia existe entre auditor interno y auditor externo?

10» Al'DtTOttlA INFORMÁTICA UN KXKXXE WÁCTICO___________________________ cn.M.


15/15

CAPÍTULO 5

ORGAN IZACIÓN DEL DEPARTAM ENTODE AU DITOR ÍA INFOR M ÁTICA

R a fae l R uano D ie z

5.1. ANTECE DENTES

F.I concepto de auditaría informática ha estado siempre ligado al de auditoría en{corral y al de auditoría interna en particular, y éitc ha estado unido desde tiempo«históricos al de contabilidad , control, veracidad de operaciones, ele. En tiem po de losegipcio« ya se hablaba de contabilidad y de control de los registro* y de las«aeraciones. Aun algunos historiadores fijan el nacimiento de la escritura comoconsecuencia de la necesidad de registrar y controlar operaciones (Dale l-lesher. SO Yeart o f P ro gr em Hago esta referencia histórica a fin de explicar la evolución de lacorta pero intensa historia de la auditoría informática, y para que posteriormente nostina de referencia al objeto de entender las diferentes tendencias que existen en la

actualidad.

Si analizamos el nacimiento y la existencia de la auditoría informática desde un peato de vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el que se mueve.

Empezaremos diciendo que tanto dentro del contexto estratégico como deloperativo de las organizaciones actuales, los sistemas de inform ación y la arquitecturai?ue los soporta desempeñan un importante papel como uno de los soportes básicos

pea la gestión y el control del negocio, siendo así uno de los requerimientos básicosde cualquier organización. Esto da lugar a los sistemas de información de unaaganización.

Es evidente que pora que dichos sistemas cumplan sus objetivos debe ex istir unatuición de gestión de dichos sistemas, de los recursos que los manejan y de las

auditoria informática, un enfoque práctico - mario piattini-120-134

Documents