Fases de la Auditoria.

Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado AUDITORA DE SISTEMAS Definicin de Auditora Informtica: Conjunto de tcnicas y procedimientos que, proporcionan al auditor los elementos de juicio suficiente para depositar confianza en la informacin procesada y contenida en los registros contables que se encuentran almacenados en dispositivos electromagnticos o impresos en listados por la computadora. C.P Gustavo Adolfo Sols Montes Es el proceso de recopilar y evaluar la evidencia para determinar si se salvaguardan los activos, se mantiene la integridad de los datos, se logran las metas organizacionales y se aprovechan los recursos en forma eficiente. Weber Ron Tipos de Auditora: Existen dos formas bsicas de clasificar los tipos de Auditoras. a) Por quien los realiza. b) Por los objetivos que persiguen. Por quien los realiza: a) Auditora Externa: Es aquella revisin y evaluacin que realiza un auditor o grupo de auditores ajenos completamente a la organizacin en donde se efecta su trabajo. b) Auditora Interna: Es aquella revisin y evaluacin que realiza un auditor o grupo de auditores empleados formalmente en la organizacin, pero sus funciones son ajenas totalmente a la operacin de sta. Por los objetivos que persiguen: a) Auditora Financiera: El objetivo es revisar y evaluar el estado financiero de acuerdo a principios contables. b) Auditora Operacional: El objetivo es revisar y evaluar totalmente el control interno de la organizacin, para determinar fortalezas y debilidades. c) Auditora Administrativa: El objetivo es revisar y evaluar la eficiencia y eficacia de las operaciones para el cumplimiento adecuado de los objetivos de la organizacin. Normas de la Auditora. Las normas de la auditora de sistemas de informacin de la Asociacin Mexicana de Auditores en Informtica (AMAI), que representa a Mxico ante la asociacin de

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado Auditoras de Procesamiento Electrnico de Datos a nivel mundial, son las normas personales, de ejecucin al trabajo y de informacin.

Normas personales. Actitud y apariencia. Relacin organizacional. Cdigo de tica profesional. Habilidad y conocimientos. Estudios profesionales continuos.

Actitud y apariencia: El auditor ser independiente del auditado en actitud y apariencia en todo asunto relativo a la auditora. Relacin organizacional: El auditor deber mantenerse suficientemente independiente del rea bajo revisin con objeto de lograr terminar a la auditora con objetividad. Cdigo de tica profesional: El auditor deber apegarse a los trminos del cdigo de tica profesional de la fundacin de Auditores del Procesamiento Electrnico de Datos. Habilidad y conocimientos: El auditor deber tener la competencia tcnica adecuada y poseer las habilidades y conocimientos necesarios para el buen cumplimiento de su trabajo. Estudios profesionales continuos: El auditor se mantendr al da en cuanto a competencia tcnica a travs de educacin continua. Normas de ejecucin al trabajo. Planeacin y supervisin. Debido cuidado profesional.

Planeacin y supervisin: Las auditoras deben ser planeadas, estableciendo la naturaleza de alcance que le permita obtener los resultados y conclusiones de su informe. Debido cuidado profesional: El auditor deber ejercer el debido cuidado profesional en todos los aspectos de su trabajo, incluyendo el cumplimiento de las Normas de Auditora Aplicable. Normas de informacin: Alcance de la auditora. Resultados y conclusiones.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado

Alcance de la auditora: El auditor deber manifestar los objetivos de la auditora, el periodo de cobertura y la naturaleza y alcance del trabajo que se llev a cabo. Resultados y conclusiones: El auditor dar, el informe, los resultados de su revisin y sus conclusiones, as como cualquier reserva o salvedad que tuviere con respecto de la auditora.

EL INFORME DE AUDITORA
INTRODUCCIN. El tema de este captulo es el de Informe de Auditora informtica, que a su vez es el objetivo de la Auditora informtica. Para comprender sta, en funcin del informe que realiza un, digamos experto o perito al que llamaremos Auditor informtico-, conviene explicar someramente el contexto en el que se desenvuelve hoy su prctica. La sociedad actual, a punto de estrenar un nuevo siglo y un nuevo milenio, est en fase tecnolgica; apenas guarda recuerdo prctico de anteriores etapas evolutivas (la artesanal por ejemplo); ms an, las va olvidando a ms creciente velocidad, generacin tras generacin. El dominio de la tecnologa como motor de cambio social acelerado y como catalizador de cambios tecnolgicos que se superponen, se hace rabiosamente evidente en las llamadas Tecnologas de Informacin y Comunicaciones de uso en las organizaciones. Tras el mainframe y los terminales tontos, surgieron los PCs y las redes TCP/IP intranets, extranets, redes privadas virtuales- por ahora-, se nos proponen terminales domsticos vinculados con el equipo de televisin y terminales cuasitontos de trabajo conectados a servidores dominantes descentralizados Y todo en un perodo no superior a treinta y cinco aos! Est claro: las tecnologas de la informacin, al tiempo que dominan de modo imparable las relaciones humanas (personales, familiares, mercantiles, internacionales), tienen un ciclo de vida cada vez ms corto. Sea como fuere, una de las consecuencias de lo dicho consiste en la dificultad de asimilacin rpida y equilibrada en la empresa de los entornos tecnolgicos y de organizacin (referido el primero a las Tecnologas de Informacin y Comunicaciones, y el segundo a lo mercantil).

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado En este sentido, el Auditor Informtico, en tanto que experto, lo tiene crudo (menos, sin embargo, que el Auditor de Cuentas), al tener que encarar profesionalmente y en el paisaje que estoy presentando, plagado de necesidades de reciclaje y formacin, el llamado desfase entre las expectativas de los usuarios y los informes de Auditora. Las cosas ya no son como eran y algo habr que hacer para encontrar un punto de equilibrio razonable entre el desfase mencionado y la confiabilidad de los usuarios en el informe (y en al auditor informtico. La complejidad de los sistemas de informacin crece con sus prestaciones y caractersticas (conectividad, portabilidad); la necesidad de usarlos que tienen las organizaciones pblicas y privadas- en todos sus mbitos, alcanza hoy un valor estratgico de competitividad y supervivencia Podemos afirmar que nunca antes hemos sido tan dependientes de los sistemas de informacin. Y nunca antes hemos necesitado a tantos expertos eficientes (no infalibles) en Auditora Informtica. Conviene mencionar, al respecto de la prctica de Auditora (Informtica), y siempre en funcin del informe de Auditora, la existencia del fraude y del error, sobre todo si son significativos, as como la valoracin de las garantas que aportan los informes de los auditores informticos a los usuarios, incluyendo gobierno y organizaciones nacionales e internacionales. La informtica es muy joven; por tanto, la Auditora Informtica lo es ms ( en Espaa, por cierto de modo superlativo). No est todo sin hacer, pero si hay muchos cabos por atar, y en esto el tiempo no es neutral. En este captulo y en este contexto vamos a tratar de fijar la prctica de la Auditora informtica en funcin, como queda dicho, del informe. Para ello repasaremos someramente aspectos previos fundamentales, como son las normas, el concepto de evidencia en auditora, las irregularidades, los papeles de trabajo o documentacin, para finalmente, encarar el informe, sus componentes, caractersticas y tendencias detectadas. Intentaremos tambin ofrecer algunas conclusiones de inters, sin perder de vista en todo caso que en el mundo auditor de hoy todo ejercicio de prediccin es, en principio, una temeridad. LAS NORMAS En 1996 la Unin Europea public el Libro Verde de la Auditora, dedicado al papel, la disposicin y la responsabilidad del auditor legal. Su contenido afecta a la Auditora Informtica. En principio, el Libro acepta las Normas Internacionales IFAC para su adaptacin adecuada a la Unin Europea; por tanto, se trasmitirn a travs de las directivas correspondientes a Espaa para que se transforme en legislacin positiva.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado

En lo referente al Tratamiento Automatizado de Datos de Carcter Personal incluso disponiendo de una Ley orgnica-, el asunto se resolver por los mismos cauces, con las transposicin de la actual Directiva de proteccin de datos personales y, quiz, de otra, en forma de propuesta todava, relacionada con los servicios de telecomunicaciones apoyados en tecnologa digital y especialmente Red Digital de Servicios Integrados. Otra fuente de normas internacionales es la ISACF, ya ms especfica de Auditora Informtica. Nuestro pas est representado en ISACA por la Organizacin de Auditores en Informtica, en lento take off. Hoy por hoy, la normatividad espaola oficial que afecta, en mayor o menor medida, a la Auditora Informtica es la siguiente: ICAC: Normas Tcnicas de Auditora: punto 2.4.10, Estudio y Evaluacin del Sistema de Control Interno. AGENCIA DE PROTECCIN DE DATOS: Instruccin relativa a la prestacin de servicios sobre solvencia patrimonial y crditos. Norma cuarta: Forma de comprobacin.

Del artculo 9 de la LORTAD se desprende el desarrollo reglamentario de medidas tcnicas y organizativas alusivas a la seguridad en lo que concierne a integridad y confidencialidad de los datos personales automatizados. Todava no ha sido publicado tal reglamento, pero sera de esperar que se incluyera en su texto alguna referencia especfica sobre Auditora Informtica. Tambin conviene resear que dentro de la Unin Europea, la FEE tiene en marcha el Proyecto EDIFICAS.EUROPE, dentro del UN/EDIFICAT, en el que Espaa est representada por el IACJCE, que se estructura en cuatro grupos de trabajo: Mensajes, Auditora (Guas de auditora de entornos de EDI), Promocin y Asuntos Especiales. La auditora informtica no est muy desarrollada y, por aadidura, se encuentra en un punto crucial para la definicin del modelo en que deber implantarse y practicarse en la Unin Europea. Maticemos este aspecto: hay dos tendencias legislativas y de prctica de disciplinas: la anglosajona, basada en la Common law, con pocas leyes y jurisprudencia relevante; y la latina, basada en el Derecho Romano, de legislacin muy detallada. La tensin entre estos dos modelos, esto es, entre el intervencionismo mximo latino y el mnimo intervencionismo anglosajn, es ya insostenible. Uno de los dos deber prevalecer, si es que realmente nos encaminamos a la sociedad global.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado Justo es reconocer que los parmetros del cambio tecnolgico parecen hacer ms prctico el modelo anglosajn: no en vano, en Estados Unidos, tanto en la Auditora como en la informtica (y las comunicaciones), tienen un desarrollo muy experimentado y, sobre todo adaptativo. Los parmetros de velocidad y tiempo hacen aconsejable un esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas de origen profesional. Si la globalizacin antes mencionada es un hecho incuestionable, el sabio uso de los llamados principios generalmente aceptados har posible la adaptacin suficiente a la realidad de cada poca. En este sentido, no podemos olvidar que los organismos de armonizacin, normalizacin, homologacin, acreditacin y certificacin tendrn que funcionar a un ritmo ms acorde a las necesidades cambiantes. El conjunto ISO-CEN-AENOR y los vinculados con seguridad, ITSEC/ITSEM Europa, TCSEC USA y Common criteria UE/Norteamrica, necesitaran ir ms rpido, ya que su lentitud est provocando, en un mundo tan acelerado, la aparicin de multitud de organizaciones privadas, consorcios y asociaciones que con muy buena voluntad y ptimo sentido de la conveniencia mercantil, pretenden unificar normas y promocionar estndares. Por ltimo, conviene que se clarifique el panorama normativo, de prcticas y responsabilidades en lo que concierne a los problemas planteados por los servicios profesionales multidisciplinares, ya que el Informe de Auditora Informtica se compone de tres trminos: Informtica, Auditora e Informe. LA EVIDENCIA En este epgrafe parece saludable resear algunos asuntos previos, referidos a la redaccin del informe, puesto que el referido informe es su consecuencia. Por tanto, trataremos de recordar en qu consiste la evidencia en Auditora Informtica, as como las pruebas que la avalan, sin olvidar la importancia relativa y el riesgo probable, inherente de control. La certeza absoluta no siempre existe, segn el punto de vista de los auditores; los usuarios piensan lo contrario. La evidencia es la base razonable de la opinin del Auditor Informtico, esto es, el Informe de Auditora Informtica: La evidencia relevante, que tiene una relacin lgica con los objetivos de la auditora. La evidencia fiable, que es vlida y objetiva, aunque con nivel de confianza.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado La evidencia suficiente, que es de tipo cuantitativo para soportar la opinin profesional del Auditor. La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.

En principio, las pruebas son de cumplimiento o sustantivas. La opinin deber estar basada en evidencias justificativas, es decir, desprovistas de prejuicios, si es preciso con evidencia adicional. LAS IRREGULARIDADES Las irregularidades, o sea, los fraudes y los errores, especialmente la existencia de los primeros, preocupa tanto que aparece con nfasis en el ya citado Libro Verde de la UE. La direccin general XV (comercio interior) y el MARK (Maastrich) estn claramente sensibilizados al respecto. Recordemos antes de proseguir, que los organismos y las empresas, la Direccin tiene la responsabilidad principal y primaria de la deteccin de irregularidades, fraudes y errores; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su deteccin. Es pues, indudablemente necesario disear pruebas antifraude, que lgicamente incrementarn el coste de la auditora, previo anlisis de riesgos (amenazas, importancia relativa). La auditora de cuentas se est judicializando camino que seguir la Auditora Informtica, prctica importada de Estados Unidos-, ya que aparece en el vigente Cdigo Penal (delitos societarios y otros puntos) con especial nfasis en los Administradores. No olvidemos al respecto, la obligatoriedad de suscribir plizas de seguro de responsabilidad civil para auditores independientes, individuales y sociedades. Por prudencia y rectitud, convendr aclarar al mximo de ser posible- si el informe de auditora es propiamente de auditora y no de asesora o consultora informtica, y de otra materia afn o prxima. Aunque siempre debe prevalecer el deber de secreto profesional del auditor, conviene recordar que en caso de detectar fraude durante el proceso de auditora procede actuar en consecuencia con la debida prudencia que aconseja episodio tan delicado y conflictivo, sobre todo si afecta a los administradores de la organizacin objeto de auditora. Ante un caso as conviene consultar a la Comisin Deontolgico profesional, al asesor jurdico, y leer detenidamente las normas profesionales, el Cdigo Penal y otras disposiciones. El asusto podra terminar incluso en los tribunales de justicia.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado

LA DOCUMENTACIN. En el argot de auditora se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la informacin utilizada y de ls pruebas efectuadas en la ejecucin de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinin. El informe de Auditora, si se precisa que sea profesional, tiene que estar basado en la documentacin o papeles de trabajo, como utilidad inmediata, previa supervisin. La documentacin adems de fuente de Know how del Auditor Informtico para trabajos posteriores as como para poder realizar su gestin interna de calidad, es fuente de algunos casos en los que la corporacin profesional puede realizar un control de calidad, o hacerlo algn organismo oficial, Los papeles de trabajo pueden llegar a tener valores en los tribunales de Justicia. Por otra parte, no debemos omitir la caracterstica registral del Informe, tanto en su parte cronolgica como en la organizativa, con procedimientos de archivo, bsqueda, custodia y conservacin de su documentacin, cumpliendo toda la normatividad vigente, legal y profesional, como mnimo exigible. Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o expertos independientes, as como de los auditores internos, se reseen o no en el Informe de Auditora Informtica, formarn parte de la documentacin. Adems se incluirn: El contrato cliente/auditor informtico y/o la carta propuesta del auditor informtico. Las declaraciones de la Direccin. Los contratos, o equivalentes, que afecten al sistema de informacin, as como el informe de la asesora jurdica del cliente sobre sus asuntos actuales y previsibles. El informe sobre terceros vinculados. Conocimiento de la actividad del cliente.

EL INFORME. Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora ( objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado como de los resultados y conclusiones.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado

Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo, tarea eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. Aunque no existe un formato vinculado, s existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. Tambin es cuestin previa decidir si el informe es largo o, por el contrario, corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien ms concretos, como el informe de debilidades del control interno, incluso de hechos o aspectos; todo ello teniendo en cuenta tanto la legislacin vigente como el contrato con el cliente. En lo referente a su redaccin, el informe deber ser claro, adecuado, suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable. Los puntos esenciales, genricos y mnimos del informe de Auditora informtica son los siguientes:

1. Identificacin del informe. El ttulo del informe deber identificarse con objeto de distinguirlo de otros informes. 2. Identificacin del cliente Deber identificarse a los destinatarios y a las personas que efecten el encargo.

3. Identificacin de la entidad auditada. Identificacin de la entidad con objeto de la Auditora Informtica. 4. Objetivos de la Auditora Informtica Declaracin de los objetivos de la auditora para identificar su propsito, sealando los objetivos incumplidos. 5. Normativa aplicada y excepciones. Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la auditora.

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado

6. Alcance de la Auditora Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de informacin, sealando limitaciones al alcance y restricciones del auditado. 7. Conclusiones: Informe corto de opinin. Lgicamente se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinin y los prrafos de salvedades y nfasis, si procede. El informe debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con salvedades, desfavorable o adversa, y denegada. Opinin favorable. La opinin calificada como favorable, sin salvedades o limpia, deber manifestarse en forma clara y precisa, y es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normatividad legal y profesional. Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a debilidades de control interno en sentido amplio, y las salvedades, existe o puede existir una zona de gran sensibilidad; tan es as que tendr que clarificarse al mximo, pues una salvedad a la opinin deber ser realmente significativa; concretando: ni pasarse ni no llegar. Opinin con salvedades. Se reitera lo dicho en opinin favorable al respecto de las salvedades cuando sean significativas en relacin con los objetivos de auditora, describindose con precisin la naturaleza y razones. Podrn ser stas, segn las circunstancias, las siguientes: Limitaciones al alcance del trabajo realizado; esto es, restricciones por parte del auditado, etc. Incertidumbres cuyo resultado no permita una previsin razonable. Irregularidades significativas. Incumplimiento de la normatividad legal y profesional.

Opinin desfavorable. La opinin desfavorable o adversa es aplicable en caso de: Identificacin de irregularidades. Incumplimiento de la normatividad legal y profesional, que afecten significativamente a los objetivos de Auditora Informtica estipulados, incluso con

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado incertidumbres; todo ello en la evaluacin de conjunto y reseando detalladamente las razones correspondientes. Opinin denegada. La negacin de opinin puede tener su origen en: Las limitaciones al alcance de auditora. Incertidumbres significativas de un modo tal que impida al auditor formarse una opinin. Irregularidades. El incumplimiento de normatividad legal y profesional.

Resumen. El siempre difcil tema de opinin, estrella del informe de Auditora Informtica, joven como informtica y ms todava como auditora informtica; por tanto, puede decirse que ms que cambiante, mutante. Debido a ello, y adems con la normatividad legal y profesional desacompasadas, la tica se convierte casi en la nica fuente de orientacin para reducir el desfase entre las expectativas del usuario en general y el informe de los auditores. No olvidemos que existe la ingeniera financiera y la contabilidad creativa; tampoco que las entidades pueden ser auditadas suelen estar sometidas a cambios, como por ejemplo la implantacin de aseguramiento y gestin de la calidad va ISO 9000- reingeniera de procesos y otras transformaciones significativas. 8. Resultados: Informe largo y otros informes. Parece ser que , de acuerdo con la teora de ciclos, el informe largo va a colocar al informe corto en su debido sitio, o sea, como resumen del informe largo (quiz obsoleto?). Los usuarios, no hay duda, desean saber ms y desean transparencia como valor aadido. Es indudable que el lmite lo marcan los papeles de trabajo o documentacin de la Auditora Informtica, pero existen aspectos a tener en cuenta. El secreto de la empresa. El secreto profesional. Los aspectos relevantes de la Auditora.

Las soluciones previsibles se orientan hacia un informe por cada objetivo de la Auditora Informtica, tal como el de Debilidades de Control Interno o los informes especiales y/o complementarios que exigen algunos organismos gubernamentales. 9. Informes previos. No es una prctica recomendable, aunque si usual en algunos casos, ya que el Informe de Auditora Informtica es, por principio, un informe de conjunto:

Fases de la Auditoria.
Auditoria Informtica Mtro en I,S. Miguel Angel Muoz Alvarado

Sin embargo, en el caso de deteccin de irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la normatividad legal y profesional, independientemente del nivel jerrquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la responsabilidad civil del Auditor. 10. Fecha del informe. El Tiempo no es neutral; la fecha del informe es imprtante, no solo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus implicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas. En casos conflictivos pueden ser relevantes aspectos tales como los hechos posteriores al fin del perodo de auditora, hechos anteriores y posteriores al trabajo de campo 11. Identificacin y firma del Auditor. En este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados. 12. Distribucin del informe. As como en el contrato, y como en la carta propuesta del Auditor Informtico, deber definirse quin o quines podrn hacer uso del informe, as como los usos concretos que tendrn, pues los honorarios debern guardar relacin con la responsabilidad civil.