CUADERNOS 30, 1996 pp.

31-41

AUDITORiA INFORMATICA:

NORMAS Y DOCUMfNTACION'

(Palabras cloves: Auditoria Informatica, Sistemas de Informacion, Normas de Auditoria) (Key words: Information systems Audit process, Standards Audit, Information Systems)

Antonio Guevara Plaza"

f/oy Peiia Ramos"

1. INTRODUCCU1N

Se puede afirmar que desde los tiempos mas remotos ha existido la figura del revisor, que hoy conocemos con el nombre de Auditor [10J. Estos revisores de sistemas de informacion han venido utilizando normas y metod os ajustados al nivel de desarrollo tecnologico de su momento.

Como consecuencia de la continua evolucinn, 0 mejor dicho revoluclon, del mundo inlorrnaiico, (cada dfa se consiguen ordenadores mas pequerios, mas rapidos y mas baratos), el auditor debe estar al dfa, tanto en los avances de las nuevas tecnologfas, como en los nuevos riesgos inherentes a estas tecnologfas. EI auditor debe, adernas, cubrir los objetivos tradicionales de la auditorfa cuando una empresa requiera de sus servicios.

En el estado actual de la tecnologfa el papel del auditor es triple [8J: En primer lugar debe poner de manifiesto a la direccion de la empresa los importantes cambios que se estan produciendo, y los riesgos asociados que se han de tener en cuenta (aconsejar). En segundo lugar, con anterioridad a la puesta en funcionamiento de estas nuevas tecnologfas, el auditor debe asegurarse de que los controles que se hayan implementado, 0 se vayan a implementar, son los adecuados. En tercer lugar el auditor debe evaluar la efectividad de los nuevos controles como consecuencia de la utilizacion de estas tecnologfas (comprobar).

Para que los auditores puedan cumplir con su nuevo papel necesitan nuevos conocimientos, nuevas normas y nuevos metod os de trabajo.

2. NORMAS DE AUDITORIA

La mayorfa de los organismos emisores de normas tecnlcas sobre auditorfa, dividen las normas de auditorfa en tres grandes apartados: normas personales, normas para realizar el trabajo y normas para elaborar los informes [1], [5]. A continuaclon se muestra un cuadro donde se esquematizan estas normas:

(*) Original recibido en Julio de 1995 y revisado en Mayo de 1996.

(**) Profesor Titular del Departamento de Lenguajes y Ciencias de la Computaci6n de la Universidad de Malaga. (** *) Profesor Asociado del Departamento de Lenguajes y Ciencias de la Computaci6n de la Universidad de Malaga.

32

ANTONIO GUEVARA PLAZA I ELOY PENA RAMOS

CUADRO 1

A PERSONALES Independencia
U Formaci6n
D
I Anallsls Riesgo
T Planificaci6n Plan Global
0 N Programa Audit.
R
I 0 PARA LA Control Generales
A R EJECUCION Interno De Aplicaciones
M Suficiente
I A DEL TRABAJO Evidencia
N S Adecuada
F Objetivos
0 Alcance
R INFORMES
M Debilidades
A Conclusiones
T D Permanente
I
C 0 ARCHIVOS Corriente General
A C Areas Fuente: Elaboraci6n propia.

2.1. Normas personales.

Estas normas ponen de manifiesto las caracterfsticas, los conocimientos, la experiencia y el comportamiento etico que los auditores han de tener para que estos puedan desarrollar, de manera satisfactoria, la funci6n de auditorfa.

2.1.1. Independencia.

EI auditor ha de ser una persona independiente de la unidad 0 de la entidad que vaya a auditar [1],[2],[4]'[5]'[6]. En el caso de que el objetivo sea la auditorfa del desarrollo de una aplicaci6n, el equipo -de desarrollo- es responsable de aplicar el rnetodo que considere mas adecuado, 10 que sup one: disenar, desarrollar e implantar los controles. Con total independencia del equipo de desarrollo, el auditor debera decidir los procedimientos que vaya a aplicar al auditar el desarrollo de la aplicaci6n en cuesti6n. EI auditor puede hacer recomendaciones para mejorar el sistema, cuidando siempre no perder la independencia.

La independencia se puede perder si el auditor se implica excesivamente en el diseno, desarrollo e implantaci6n de la aplicaci6n. Por ejemplo, si el auditor decidiera incorporarse al equipo de desarrollo tomando, entre otras decisiones, cuales han de ser los controles concretos que se han de implantar, entonces su independencia se verfa diezmada tanto a la hora de revisar el proceso de desarrollo como a la hora de revisar la aplicaci6n una vez instalada y en funcionamiento. Todo esto es valido tanto en el caso de desarrollo de nuevas aplicaciones como en la modificaci6n de las existentes.

AUDITORiA INFORMATICA NORMAS Y DOCUMENTACION

33

En conclusion, el auditor debera establecer con el equipo de desarrollo, el nivel de colaboracion adecuado que no Ie suponga perder in depend en cia. En otras palabras: la tuncirin de auditorfa debera ser 10 suficientemente independiente del area que se audite como para permitir alcanzar los objetivos de la auditorfa.

2.1.2. Conocimientos y tormaclon

EI auditor de sistemas mtorrnatlcos debe estar tecnicameme preparado y poseer los suficientes conocimientos y experiencia que Ie permitan realizar el trabajo de auditorfa, de 10 contrario debera acudir al experto, -figura que se contempla en la leclslaclon espanola- [4]. La lorrnacion continuada del auditor se hace esencial debido a la, mencionada, revolucion tecnologica. Para poder ejercer y realizar la auditorfa con efectos y responsabilidades plenas, el auditor cetera tener los conocimientos de un economista y los de un intorrnatico, experiencia suficiente, y cumplir los requisitos que establece la leqislacinn espanola [3],[4].

2.2. Normas tecnicas sobre ejecucion del trabajo. 2.2.1. Planiticacion.

Antes de comenzar la auditorfa, todo el trabajo se debe planificar y alguien que no haya participado en la planllicacion debe supervisar el plan. La planlticaclon de la auditorfa supone desarrollar una estrategia global basad a en el objetivo y en el alcance del trabajo que se haya encargado al auditor. Las fases para elaborar el plan pueden ser:

1. Analisis General de riesgo.

Para realizar este anal isis, el auditor debe tener conocimiento general del sector en el que se desenvuelve la empresa, del tipo de aclividad y de la empresa en sf; de esta manera podra determinar a priori las areas donde el riesgo es mayor.

EI auditor debe utilizar tecnlcas de evaluaclon de riesgos tanto a la hora de desarrallar el plan global de la auditorfa como a la hora de planificar una auditorfa concreta [11].

2. Desarrollo de un Plan Global relativo al ambito y a la realizaci6n de la auditorfa . Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan qlobal[5]. En dicho plan se reflejan las decisiones iniciales del auditor con respelo a los principios, normas tecnlcas y dernas legislacion que se va a tener en cuenla en el trabajo de audilorfa [1 ],[2],[3]. En esta fase se decidiran las areas sobre las que se vayan a trabajar, -ya se conoce el riesgo de cad a una de ellas-; la naturaleza y la amplilud de las pruebas que se vayan a realizar.

Entre otras aspectos, es necesario tener en cuenla tarnben, si van a participar 0 no, otros auditores y si sera necesaria la colabcraclon de expertos. Todo debe quedar reflejado en un documento donde se indicara, como sera la coordinacion con la empresa que se audita.

34

ANTONIO GUEVARA PLAZA / ELOY PENA

3. Preparacion del programa de auditorfa.

EI auditor cetera preparar un programa escrito de auditorta en el que se establezcan, bien detallados, los objetivos y los procedimientos que se precisen para Ilevar a cabo el plan global de auditcrla A medida que vaya progresando la auditorra, el auditor debera lr revisando tanto el plan global como los programas -parte del plan- de auditorra.

En la fase de planillcaclon deben quedar claras las siguientes cuestiones: - LDonde se va a realizar el trabajo?

- LEn cuaoto tiempo se va a realizar?

- LEn que fecha es necesario que este acabado el trabajo?

- LOuien com pone el equipo de audltorla?

- LOue areas se van a auditar?

En resumen, el auditor debera planificar el trabajo de forma adecuada a fin de identificar los objetivos de cada area de la auditorla y determinar los metodos para alcanzar esos objetivos de manera eficaz y eficiente.

2.2.2. Estudio y evaluaclon del sistema de control interno.

Se cetera estudiar y evaluar adecuadamente el control interno. En el campo de la auditorra -tanto interna como externa- de sistemas lntorrratlcos se sue len dividir los controles en: controles generales y controles de las aplicaciones. Los controles son fundamentales para conseguir la seguridad informatica.

1. Controles generales.

Los controles generales de los sistemas lntormaticos, a su vez, se pueden dividir en cinco categorras:

a) Controles de la ornsnzaclon

La entidad debera segregar las distintas funciones y tareas entre el personal del Centro de Proceso de Datos (C.P.D.) y los usuarios, evitando que funciones 0 tareas incompatibles las real ice una misma persona. Por ejemplo se debe prohibir al personal del C.P.D. que realice cualquier tipo de transacclon.

b) Controles sobre el desarrollo de los sistemas y su documenactcn.

Estos controles suponen que los nuevos sistemas y las modificaciones de los existentes se deben revisar sornetendolos a un lote de pruebas, aceptandolos, en el caso de que hayan superado las pruebas. Los manuales debe ran ser actualizados, revisados y aprobados antes de ponerlos en circulaclon. La persona 0 personas que realicen la funclon de desarrollo 0 actualtaclon deben ser distintas a las que revisen y aprueben los sistemas y los manuales.

AUDITORIA INFORMATICA: NORMAS Y DOCUMENTACIGN

35

c) Controles sobre el software del sistema y sobre el hardware.

Se deberan implantar lunciones que detecten errores automaticamente, tanto en el software como en el hardware. Se haran revisiones peri6dicas con el objetivo de prevenir estos errores. Es conveniente elaborar procedimientos escritos de como ha de actuar el personal en el caso de que ocurra cualquier tipo de lallo. En los procedimientos escritos que antes hemos comentado se debe de incluir la autorizaci6n o autorizaciones necesarias para implantar 0 cambiar los sistemas operativos.

d) Controles de acceso.

Los controles de acceso se implantan con el objetivo de prevenir 0 detectar errores, deliberados 0 accidentales, que sean consecuencia del el uso 0 de la manipulaci6n inadecuada de los licheros de datos, del usa incorrecto 0 no autorizado de los programas lntorrraticos 0 por la utilizaci6n inadecuada de los recursos lntorrnatlcos.

e) Controles sobre los procedimientos y sobre los datos.

Esta clase de controles incluye la implantaci6n de funciones que comparen datos para asegurarse que los que se introduzcan sean 16gicos. Se deben elaborar manuales escritos que sirvan de ayuda y soporte de los sistemas y procedimientos. En estos manuales se relacionaran las posibilidades que existan para restaurar los datos que hayan sulrido alqrin tipo de deterioro, asf como, los procedimientos para reponer los datos que se hayan perdido 0 los licheros incorrectos.

2. Cantrales sabre las aplicacianes.

Una primera aproximaci6n de los controles a los que hay que someter a las aplicaciones podrfa ser la que los clasilica en estas tres categorfas: entrada, proceso y salida. En cada uno de estos se podrfan implantar nuevos subcontroles en lunci6n de las caracterfsticas de cad a sistema.

a) Controles de las entradas.

Los controles de las entradas se deben dlsenar e implantar para que actuen sobre las transacciones de altas, sobre el mantenimiento de licheros, sobre la consulta de datos y en las lunciones de correcci6n de errores

b) Controles del proceso.

Normalmente se incluyen en los programas de las aplicaciones. Se disenan para prevenir 0 detectar los lallos al procesar las entradas de transacciones. Iarnbien estos controles deberfan detectar la posibilidad de que se puedan actualizar licheros que no se correspondan con la aplicaci6n 0 con el programa en cuesti6n. Se deberfan incluir lunciones que controlen y detecten los errores 16gicos, asf como controles que eviten la distorsi6n y el deterioro de datos durante su procesamiento.

36

ANTONIO GUEVARA PLAZA / ELOY PENA RAMOS

c) Controles de las salidas.

Estos controles se implantan para asegurar que el resultado del proceso es el adecuado y adernas, que esos resultados solo Ilegan a personas que estan autorizadas a tal efecto.

2.2.3. Evidencia

EI Auditor debe obtener evidencia suficiente y adecuada [5]. mediante la realizaci6n y evaluacion de las pruebas de auditorfa que se consideren necesarias, al objeto de obtener una base de juicio razonable sobre los datos que se examinan y poder expresar una opinion respecto de las mismas.

1, Evidencia suficiente.

Es una caracterfstica cuantitativa de la evidencia. Se entiende por tal, el nivel de evidencia que el auditor debe obtener a traves de sus pruebas de auditorfa para Ilegar a conclusiones razonables.

2. Evidencia adecuada.

Esta es una caracterfstica cualitativa de la evidencia. La evidencia es adecuada cuando es util para que el auditor pueda emitir su opinion profesional.

3. Obtencion de evidencia

Sin que la siguiente relaci6n tenga caracter exclusivo, la evidencia suele obtenerse de: - Los manuales de oruaazacion de la empresa.

- Los manuales de procedimientos del C.P.D.

- EI manual de auditorfa interna de la empresa.

- De informes y escritos de auditorfas anteriores.

- Del Plan de Auditorfa de la empresa a corto y largo plazo.

- De las actas de las reuniones de la dlrecclon.

- De los manuales de las caracterfsticas de los equipos, instalaciones, programas y

ficheros de datos.

- De los organigramas de la empresa.

- De confirmaciones externas.

- Del archivo permanente de los auditores internos.

- De entrevistas con el personal de la empresa.

2.3. Normas para elaborar los informes

Los informes de auditorfa deben ajustarse a las Principios y Normas de Auditorfa Informatica Generalmente Aceptados (NAIGA). Entre estas normas estan las emitidas por:

AUDITORiA INFORMATICA: NORMAS Y DOCUMENTACION

37

"Electronic Data Proccesing Auditors Foundation (EDPAF)". Los parratos que siguen estaa basad os en las normas numeros 9 y 10 de "General Standards for Information Systems Auditing" [1] de la fundaclon conocida con las siglas EDPAF.

EI informe es el instrumento que se utiliza para comunicar los objetivos de la auditorfa, el alcance que vaya a tener, las debilidades que se detecten y las conclusiones a las que se Ileguen. A la hora de preparar el informe, el auditor debe tener en cuenta las necesidades y caracterfsticas de los que se suponen seran sus destinatarios. EI informe debe contener un parrato en el que se indique los objetivos que se pretenden cumplir. Si, secun la opinion del auditor, alguno de estos objetivos no se pudiera alcanzar, se debe indicar en el informe.

En el informe de auditorfa se debe hacer rnenclon de cuales son las normas y principios de auditorfa general mente aceptadas que se han seguido para realizar el trabajo de auditorfa. Ternbien se deben indicar: las excepciones en el seguimiento de estas normas tecnicas, el motivo de no seguirlas, y cuando proceda Iarmien se debe indicar los efectos potenciales que pudieran tener en los resultados de la auditorfa.

En el informe de auditorfa se ha de hacer rnencion al alcance de la auditorfa, se debe describir la naturaleza y la extension del trabajo de auditorfa. En el parrato de alcance se debe indicar el area, el perfodo de auditorfa, el sistema, las aplicaciones y los procesos auditados. Asf mismo se indicaran las circunstancias que hayan limitado el alcance cuando, en opinion del auditor, no se hayan podido completar todas las pruebas y procedimientos dlsehados, 0 cuando la empresa auditada haya impuesto restricciones 0 limitaciones al trabajo de auditorfa.

Si durante el trabajo se detectaran debilidades en el sistema de informacion de la entidad auditada, estas ceberan indicarse en el informe, asf como sus causas, sus efectos y las recomendaciones necesarias para mejorar 0 eliminar las debilidades.

EI auditor debe expresar en el informe su opinion sobre el area auditada. No obstante, en tuncinn de los objetivos de la auditorfa, esta opinion puede ser general y referirse a todas las areas en su conjunto.

EI informe de auditorfa debe presentarse de una forma logica y organizada. Debe contener la informacion suficiente para que sea comprendido por el destinatario y este pueda Ilevar a cabo las acciones pertinentes para introducir las correcciones oportunas que mejoren el sistema.

EI informe se debe emitir en el momenta mas adecuado para que permita que las acciones que tenga que poner en practica el auditado tengan los mayores efectos positivos posibles. Con anterioridad al informe el auditor puede emitir, si este 10 considera oportuno, recomendaciones destinadas a personas concretas. Estas recomendaciones no deberfan alterar el contenido del informe.

Por ultimo, se debe indicar la entidad que se audita y la fecha de ernision del informe, tarmien se debe indicar las restricciones que fuesen convenientes a la hora de distribuir el informe, para que este no Ilegue a manos de quien no debe.

38

ANTONIO GUEVARA PLAZA / ELOY PENA RAMOS

3. DOCUMENTACION DEL TRABAJO Y SU ORGANIZACION 3.1. Papeles de trabajo

La documenacton de la audltora de los sistemas lnlorrnsticos es el registro del trabajo de auditona realizado, la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones del auditor. Estos documentos, genericamente se denominan papeles de trabajo. Los papeles de trabajo se deben dlsenar y organizar segun las circunstancias y las necesidades del auditor. Estos han de ser completos, claros y concisos. Todo el trabajo de auditorra debe quedar reflejado en papeles de trabajo por los siguientes motivos:

a) Recogen la evidencia obtenida a 10 largo del trabajo.

b) Ayudan al auditor en el desarrollo de su trabajo.

c) Ofrecen soporte del trabajo realizado para poder utilizarlo en audltorlas sucesivas.

d) Permiten que el trabajo pueda ser revisado por terceros.

e) Sirve para fomentar un enfoque metndico de la labor que se Ileva.

Para concluir la importancia que tienen los papeles de trabajo, digamos que una vez que el auditor ha finalizado su trabajo, los papeles de trabajo son la unlca prueba que el auditor tiene de haber Ilevado a cabo un examen adecuado. Siempre existe la posibilidad de que el auditor tenga que demostrar la calidad de su anal isis ante un tribunal.

3.2. Archivos

Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales: el archivo permanente 0 continuo de audltorta, y el archivo corriente 0 de la auditorla en curso [6]'[9].

3.2.1. Archivo permanente.

EI archivo permanente contiene todos aquellos papeles que tienen un lnteres continuo,

una validez plurianual, tales como:

- Consideraciones sobre el negocio.

- Consideraciones sobre el sector.

- Composlclon del consejo de admlnislraclon.

- Caracterrsticas de los equipos.

- Manuales de los equipos y de las aplicaciones.

- Descrlpcion de los procedimientos contables.

- Descripcion del control interno

- Organigramas del C.P.D. y division de funciones.

- Cuadro de planitlcacion plurianual de auditona

- Escrituras y contratos

- En general toda aquella informacion de importancia para audltonas posteriores.

AUDITORIA INFORMATICA: NORMAS Y DOCUMENTACION

39

3.2.2. Archivo corrienle.

Este archivo, a su vez se suele dividir en archivo general y en archivo de areas. 1. Archiva general

Los documentos que se suelen archivar aquf son aquellos que no tienen cabida especffica en alguna de las areas en que hemos dividido el Irabajo de auditorfa, tales como:

- EI Informe del Auditor.

- La Carta de recomendaciones.

- Los Aconlecimientos posteriores.

- EI Cuadra de planificaclon de la auditorfa corriente.

- La Correspondencia que se ha manlenido con la direccion de la empresa.

- EI tiempo que cada persona del equipo ha empleado en cad a una de las areas.

2. Archiva par areas.

Se debe preparar un archivo para cada una de las areas en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de ese area concreto. AI menos deberan incluirse los siguientes documentos:

- Programa de audilorfa de cada una de las areas

- Conclusiones del area en cuesnon.

- Conclusiones del procedimiento en cuestion.

4. CONCLUSIONES

Podemos concluir diciendo que el Auditor de Sistemas lntornaticos debe cumplir las Normas de Auditorfa Informatica Generalmente Aceptadas (NAIGA) como requisito necesario, aunque no suficienle, para garantizar una calidad adecuada en el trabajo realizado y documentar este; archivando la evidencia de manera que facilite su uso en posteriores revisiones que fueran necesarias, para comprobar la fiabilidad y el nivel de cumplimiento de los objetivos del trabajo.

5. GLOSARIO DE TERMINOS Areas

En la fase de planincaclon. el trabajo de auditorfa se divide en partes que tengan cierta homogeneidad, a cada una de esas partes se Ie denomina area. En iunclon de los objetivos y el alcance de cada auditorfa las areas se pueden agrupar 0 desglosar con el objetivo de optimizar el trabajo de auditorfa. A modo ilustrativo se pueden considerar las siguientes areas: aplicaciones, datos, metodologfa de desarrollo de aplicaciones, desarrollo de aplicaciones, seguridad ffsica, seguridad loulca, mantenimiento de los equipos, mantenimiento del software,

40

ANTONIO GUEVARA PLAZA / ELOY PENA RAMOS

controles generales de los procedimientos operativos, adquisicion, gestion de los recursos del C.P.D. [7]. Evaluaclon de riesgo

Procedimiento que se utiliza para identificar y evaluar los riesgos y sus efectos potenciales.

Exposlclon 0 falta de proteccion

La perdlda potencial que se puede producir en un area como consecuencia de que ocurra un evento adverso. La posibi lidad de que una aplicacion no funcione durante un cierto perfodo de tiempo es una EXPOSICION -esta expuesta-, que podrla darse si se produjera un incendio en la sala del ordenador. Las Exposiciones se pueden reducir disenando, desarrollando e implantando controles. Por ejemplo, una alarma contra incendios no previene los incendios, pero es de esperar que los danos que se ocasionen sean de menor importancia.

Riesgo

La posibilidad de que ocurran eventos que pudieran tener efectos adversos en una entidad y en su sistema de informacion.

BIBLIOGRAFiA

[1] EDP Auditors Foundation, Inc. (1987): General Standards for Information Systems

Auditing. Illinois, EE.UU.

[2] EDP Auditors Foundation, Inc. (1990): Contro/Objetives. Steamwood. [3] BOE 12 Julio (1988): Ley 19/1988 de Auditorla de Cuentas. Madrid.

[4] BOE 20 Diciembre (1990): R/O 1636/1990. Reglamento Ley Auditorfa de Cuentas.

Madrid.

[5] BOE 19 Enero (1991): Resoluci6n Normas Tecnicas de Auditorfa. Madrid.

[6] ROAC Registro de Economistas Auditores (1990): Normas Tecnicas de Auditorla. [7] WILLIAN, E.P. (1980): Selecting fOP Audit Areas. Audit Guide Series, EDP Auditors

Foundation, Inc. Illinois. EE.UU.

[8] WILLIAN, E.P. (1983): Auditing the Small business computer. EDPAuditors Foundation, Inc. Illinois, EE.UU.

[9] WILLIAN, E.P. (1981 ): fOP Audit Workpapers. EDP Auditors Foundation, Inc. Illinois, EE.UU.

[10] ROLLING, M. (1993): "The History of EDP Auditing". The fOP Auditor Journal, Information Systems Audit and Control Association. Volumen III.

[11] VALLABHANENI, R.S. (1988): Information Systems Audit Process. The Auditors Foundation, Inc. Segunda Edici6n.

AUDITORfA INFORMATICA: NORMAS Y DOCUMENTACION

41

RESUMEN

EI objetivo de este artrculo es referenciar una serie de normas, -de obligado curnpllmiento para el auditor lntormatlcc-, y mstooos de orqanlzaclon necesarios para realizar, de manera adecuada, la Auditorra de un Entidad Informatizada, con la garantra de haber realizado los pasos necesarios para conseguir los objetivos propuestos y haber realizado el trabajo con la maxima calidad.

ABSTRACT

In this paper we present a set of audit rules and organization methods to develop an adequate Information Systems auditing, following the necessary tasks to get the proposed objectives. With these methods the maximum quality is assured.