(CUADERNOS 30, 1996 pp. 31-41 AUDITORIA INFORMATICA: NORMAS Y DOCUMENTACION* (Palabras claves: Auditoria Informatica, Sistemas de Informacién, Normas de Auditoria) (Key words: Information systems Audit process, Standards Audit, Information Systems) Antonio Guevara Plaza Eloy Pefia Ramos”” 1. INTRODUCCION Se puede afirmar que desde los tiempos mas remotas ha existido la figura del revisor, que hoy conacemos con el nombre de Auditor [10]. Estos revisores de sistemas de informa- cidn han venido utilizando normas y métodos ajustados al nivel de desarrollo tecnoldgico de su momento. Como consecuencia de la continua evolucién, 0 mejor dicho revolucién, del mundo informatico, (cada dfa se consiguen ordenadores mas pequetios, més répidos y més baratos), el auditor debe estar al dia, tanto en los avances de las nuevas tecnologia, como en los nuevos riesgos inherentes @ estas tecnologias. El auditor debe, ademés, cubrir los objetivos tradicionales de la auditorfa cuando una empresa requiera de sus servicios. En el estado actual de la tecnologia el papel del auditor es triple (8): En primer lugar debe poner de manifiesto a la direceién de la empresa los importantes cambios que se estén produciendo, y los rlesgos asociados que se han de tener en cuenta (aconsejar). En segundo lugar, con anterioridad a la puesta en funcionamiento de estas nuevas tecnologlas, el auditor debe asegurarse de que los controles que se hayan implementado, o se vayan a implementar, son los adecuados. En tercer lugar el auditor debe evaluar la efectividad de los nuevos con- troles como consecuencia de la utilizacién de estas teonologias (comprabar) Para que los auditores puedan cumplir con su nuevo papel necesitan nuevos conoci- mientos, nuevas normas y nuevos mélodos de trabajo. 2. NORMAS DE AUDITORIA La mayorfa de los organismos emisores de normas técnicas sobre audltora, dividen las nnormas de auditorfa en tres grandes apartados: normas personales, niormas para realizar el trabajo y normas para elaborar los informes [1], [5]. A continuacién se muestra un cuadro donde se esquematizan estas normas: (7) Original recbido en Julio de 1995 y revisado en Mayo de 1996. (-*) Profesor Titular del Departamento de Lengulesy Gincias dela Computacién dela Urivesidad do Malaga (°**) Profesor Asociedo del Departamento de Lenguses y Ciencias dela Computacion da a Universidad de Maga,2 -ANTOHIO GUEVARA PLAZA / ELOY PEA RAMOS CUADRO 1 : PERSONALES : D | Analisis Riesgo T Planiticacién Plan Global y N Programa Audit 1 [0] PARALA Control Generales A t EJECUCION interno De Aplicaciones pa] DELTRABAIO | syigencia Suficiente n{s Adecuada i Objetivos Alcance R M INFORMES Debilidades A Conclusiones To Permanente ¢}0 | ARCHIvos Cattiente General Alc Areas’ Fuente: Elaboracion propia. 2.1, Normas personales. Estas normas ponen de manifiesto las caracteristicas, los conocimientos, la experiencia y el comportamiento ético que los auditores han de tener para que estos puedan desarrollar. de manera satisfactoria, la funcién de auditoria. 2.1.1. Independencia, El auditor ha de ser una persona independiente de la unidad o de la entidad que vaya a auditar (1),{2].{4],[5],[6]. En el caso de que el objetivo sea la auditoria del desarrollo de una aplicacién, e! equipo —de desarrollo es responsable de aplicar el método que considere mas adecuado, lo que supone: disefiar, desarrollar ¢ imptantar los controles. Con total independen- cia del equipo de desarrollo, el auditor deberd decidir los procedimientos que vaya a aplicar al auditar el desarrollo de fa aplicacién en cuestién. E| auditor puede hacer recomendaciones para mejorar el sistema, cuidando siempre no perder la independencia, La independencia se puede perder si el auditor se implica excesivamente en el disefio, desarrollo ¢ implantacidn de la aplicacién. Por ejemplo, si el auditor decidiera incorporarse al equipo de desarrollo tomando, entre otras decisiones, cuales han de ser los controles concre- tos que se han de implantar, entonces su independencia se veria diezmada tanto a la hora de fevisar el proceso de desarrollo como a la hora de revisar la aplicacién una vez instalada y en funcionamiento. Todo esto és vélido tanto en el caso de desarrollo de nuevas aplicaciones como en la modificacién de las existentes.AUDITORIA INFORMATICA: NORMAS Y DOCUMENTAGION 3 En conclusién, el auditor deberd establecer con el equipo de desarrollo, el nivel de colaboracién adecuado que no le suponga perder independencia. En otras palabras: la funcién de auditoria debera ser lo suficientemente independiente del area que se audite como para permitir alcanzar los objetivos de la auditoria. 2.1.2, Conocimientos y formactén El auditor de sistemas informatics debe estar técnicamente preparado y poser los suficientes conocimientos y experiencia que le permitan realizar el trabajo de auditoria, de lo contrario deberd acudir al experto, figura que se contempla en la legislacién espafiola~ [4]. La formacién continuada del auditor se hace esencial debido a la, mencionada, revolucién tecnolégica. Para poder ejercer y realizar la auditoria con efectos y responsabilidades plenas, el auditor deberd tener los conocimientos de un economista y los de un informético, experien- cia suficiente, y cumplir los requisitos que establece la legislacién espafiota [3},[4]. 2.2. Normas técnicas sobre ejecucién del trabajo. 2.2.1. Planificacién. Antes de comenzar la auditorfa, todo el trabajo se debe planiticar y alguien que no haya participado en la planificacién debe supervisar el plan. La planificacién de la auditorfa supone desarrollar una estralegia global basada en el objetivo y en el alcance del trabajo que se haya encargado al auditor. Las fases para elaborar el plan pueden ser: 1. Ar is General de riesgo. Para realizar este andlisis, el auditor debe tener conocimiento general del sector en el que se desenvuelve la empresa, def tipo de actividad y de la empresa en sf; de esta manera podrd determinar a priori las éreas donde el riesgo es mayor. El auditor debe utilizar técnicas de evaluacidn de riesgos tanto a la hora de desarrollar el plan global de la auditoria como a la hora de planificar una auditoria conereta [11]. 2. Desarrollo de un Plan Global relativo al dmbito y a fa realizacién de Ja auditorfa Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan glo- bal(5). En dicho plan se reflejan las decisiones iniciales del auditor con respeto a los principios, normas técnicas y demés legislacién que se va a tener en cuenta en el trabajo de auditorfa [1],[2],[3]. En esta fase se decidiran las areas sobre las que se vayan a trabajar, -ya se conoce el riesgo de cada una de ellas—; la naturaleza y la amplitud de las pruebas que se vayan a realizar Entre olros aspectos, es necesario tener en cuenta también, si van a participar 0 no, otras auditores y si seré necesaria la colaboracién de expertos. Todo debe quedar ‘eflejado en un documento donde se indicaré, como serd la coordinacién con la empre- sa que se audita4 ANTONIO GUEVARA PLAZA / ELOY PENA 3. Preparacién del programa de auditor El auditor deberé preparar un programa escrito de auditorfa en el que se establezcan, bien detallados, los objetivo y los procedimientos que se precisen para llevar a cabo el plan global de auditoria. A medida que vaya progresando la auditorta, el auditor deberé ir revisando tanto el plan global como los programas —parte del plan— de aucditoria, En la fase de planificacién deben quedar claras las siguientes cuestiones: ~ gDénde se va a realizar el trabajo? ~ Zn cuanto tiempo se va a realizar? = dn qué fecha es necesario que este acabado el trabajo? = ,Quién compone el equioo de auditorla? — {Qué dreas se van a aucitar? En resumen, el auditor debera planiicar el trabajo de forma adecuada afin de identiticar los objetivos de cada area de la auditorfa y determinar los métodos para alcanzar esos obje- tivos de manera eficaz y eficiente 2.2.2. Estudio y evaluacién del sistema de control interno. Se debera estudiar y evaluar adecuadamente el control interno. En el campo de fa auditoria tanto interna como externa~ de sistemas informéticos se suelen dividir los controles en: controles generales y controles de las aplicaciones. Los controles son fundamentales para conseguir la seguridad informética 1. Controles generales. Los controles generales de los sistemas informéticos, a su vez, se pueden dividir en cinco categorias: a) Contioles de la organizacién La entidad deberd segregar las distintas funciones y tareas entre el personal del Centro de Proceso de Datos (C.P.D.) y los usuarios, evitando que funciones o tareas incompatibles las realice una misma persona. Por ejemplo se debe prohibir al per- sonal del C.P.D. que realice cualquier tipo de transaccién, b) Controles sobre el desarrollo de los sistemas y su documentacién. Estos controles suponen que los nuevos sistemas y las modificaciones de los exis- lentes se deben ravisar sometiéndolos a un lote de pruebas, acepténdolos, en el caso cde que hayan superado las pruebas. Los manuales deberén ser actualizados, revisa- dos y aprobados antes de ponerlos en cifculacién. La persona 0 personas que realigen la funciGn de desarrollo 0 actualizacién deben ser distintas a las que revisen y aprueben los sistemas y los manuales.AAUDITORIA INFORMATICA: NOAMAS Y DOCUMENTACION % c) Controles sobre el software del sistema y sobre el hardware. Se deberén implantar funciones que detecten errores automaticamente, tanto en e! software como en el hardware. Se harén revisiones periddicas con el objetivo de prevenir estos errores. Es conveniente elaborar procedimientos escritos de como ha de actuar el personal en el caso de que ocurta cualquier tipo de falo, En los pro- cedimientos escritos que antes hemos comentado se debe de incluir la autorizacién © aulorizaciones necesarias para implantar o cambiar los sistemas operativos. 4d) Controles de acceso. Los controles de acceso se implantan con el objetivo de prevenir o detectar errores, deliberados o accidentales, que sean consecuentia del el uso o de la manipulacién inadecuada de los ficheros de datos, del uso incorrecto 0 no autorizado de los programas informaticos o por la utilizact6n inadecuada de los recursos informaticos. e} Controles sobre los procedimientos y sobre los datos. Esta clase de controles incluye la Implantacién de funciones que comparen datos para asegurarse que los que se introduzcan sean légicos. Se deben elaborar manua- les escritos que sirvan de ayuda y soporte de los sistemas y procedimientos. En astos manuales se relacionardn las posibilidades que existan para restaurar los datos que hayan sufrido algin tipo de deterioro, asf como, los procedimientos para reponer los datos que se hayan perdido o los ficheros incorrectos 2 Controles sobre las aplicaciones. Una primera aproximacién de los controles a los que hay que someter a las aplicaciones podria ser la que los clasifica en estas tres categorfas: entrada, proceso y salida. En cada uno de estos se podrian implantar nuevos subcontroles en funcién de las caracteristicas de cada sistema, a) Controles de fas entradas. Los controles de las entradas se deben disefar @ implantar para que actilen sobre las transacciones de altas, sobre el mantenimiento de ficheros, sobre la consulta de datos y en las funciones de correccién de errores ) Controles del proceso. Normalmente se incluyen en los programas de las aplicaciones. Se disefian para prevenir 0 detectar Jos fallos al procesar las entradas de transacciones. También estos controles deberian detectar la posibilidad de que se puedan actualizar ficheros que no se correspandan on la aplicacién o con el programa en cuestién. Se debe- ‘fan incluir funciones que controlen y detecten los ervares légicos, asf como contro- les que eviten la distorsion y el deterioro de datos durante su procesamiento.36 ANTONIO GUEVARA PLAZA / ELOY PER RAMOS c) Controles de las salidas. Estos controles se implantan para asegurar que el resultado del proceso es el ade- cuado y ademés, que esos resultados sélo llegan a personas que estén autorizadas a tal efecto. 2.2.3. Evidencia E\ Auditor debe obtener evidencia suficiente y adecuada [5], mediante la realizacién y evaluacion de las pruebas de auditoria que se consideren necesarias, al objeto de obtener una base de juicio razonable sobre los datos que se examinan y poder expresar una opinién respecto de las mismas. 1. Evidencia suficiente. Es una caracteristica cuantitativa de la evidencia. Se entiende por tal, el nivel de eviden- cia que el auditor debe obtener a través de sus pruebas de auditoria para llegar a conclusiones razonables. 2 Evidencia adecuada. Esta es una caracteristica cualitativa de la evidencia. La evidencia es adecuada cuando es util para que el auditor pueda emitir su opinién profesional. 3. Obtencién de evidencia Sin que la siguiente relaci6n tenga cardcter exclusivo, la evidencia suele obtenerse de: — Los manuales de organizacién de la empresa. — Los manuales de procedimientos del C.P.D. — El manual de auditorfa interna de fa empresa. — De informes y escritos de auditorias anteriores — Del Plan de Auditorfa de la empresa a corto y largo plazo. ~ De las actas de las reuniones de la direccién. — De los manuales de las caracteristicas de los equipos, instalaciones, programas y ficheros de datos. — De los organigramas de la empresa. — De confirmaciones externas. — Del archivo permanente de los auditores internos. — De entrevistas con el personal de la empresa. 2.3. Normas para elaborar los informes Los informes de auditorla deben ajustarse a las Principios y Normas de Auditoria Informatica Generalmente Aceptados (NAIGA). Entre estas normas estén las emitidas por:[AUDITORIA INFORMATICA: NORMAS Y DOCUMENTAGION a7 “Electronic Data Proccesing Auditors Foundation (EDPAF)”. Los parrafos que siguen estan basados en las normas numeros 9 y 10 de “General Standards for Information Systems Auditing” [1] de ta fundacién conocida con las siglas EDPAF. EL informe es el instrumento que se utiliza para comunicar los objetivos de la auditorfa, el alcance que vaya a tener, las debilidades que se delecten y las conclusiones a las que se lleguen. A la hora de preparar el informe, el auditor debe tener en cuenta las necesidades y caracter(sticas de los que se suponen serén sus destinatarios, El informe debe contener un parrafo en el que se indique los objetivos que se pretenden cumplir. Si, segdin la opinidn del auditor, alguno de estos objetivos no se pudiera alcanzar, se debe indicar en el informe, En el informe de auditor se debe hacer mencidn de cuales son las normas y principios de auditoria generalmente acepladas que se han seguido para realizar el trabajo de auditora, También se deben indicar: las excepciones en el seguimiento de estas normas técnicas, el motivo de no sequirlas, y cuando proceda También se debe indicar los efectos potenciales que pudieran tener en los resultados de la auditor En el informe de auditoria se ha de hacer mencidn al alcance de la auditor, se debe escribir la naturaleza y la extension del trabajo de auditoria, En el parrafo de alcance se debe indicar el rea, el periodo de auditor, e! sistema, las aplicaciones y los procesos auditados Asi mismo se indicaran las circunstancias que hayan limitado el alcance cuando, en opinién del auditor, no se hayan podido completar todas las pruebas y procedimientos diseffados, 0 cuando la empresa auditada haya impuesto restrcciones 0 limitaciones al trabajo de auditor, Si durante el trabajo se detectaran debilidades en el sistema de informacion de la entidad auditada, estas deberdn indicarse en el informe, asi como sus causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades. | auditor debe expresar en el informe su opinién sobre el area auditada. No obstante, en funcién de los objetivos de la auditor’a, esta opinidn puede ser general y referirse a todas las reas en su conjunto. £! informe de auditoria debe presentarse de una forma logica y organizada. Debe con- tener la informacién suficiente para que sea comprendido por el destinatario y este pueda llevar a cabo las acciones pertinentes para introduc las correcciones oportunas que mejoren el sistema, El informe se debe emitir en el momento mas adecuado para que permita que las acciones que tenga que poner en préctica el auditado tengan los mayores efectos positivos posibles. Con anterioridad al informe e! auditor puede emir, si este lo considera oportuno, recomendaciones destinadas a personas conecretas. Estas recomendaclones no deberian alterar el contenido del informe. Por tillimo, se debe indicar la entidad que se audita y la fecha de emisién del informe, también se debe indicar las restricciones que fuesen convenientes a la hora de distribuir el informe, para que este no llegue 2 manos de quien no debe.38 ANTONIO GUEVARA PLAZA / ELOY PERA RAMOS 3. DOCUMENTACION DEL TRABAJO Y SU ORGANIZACION 3.1. Papeles de trabajo La documentacién de la auditor de los sistemas informaticos es el registro del trabajo de aucitoria realizado, la evidencia que sirve de soporte a las debilidades encontradas y las cconclusiones del auditor. Estos documentos, genéricamente se denominan papeles de trabajo. Los papeles de trabajo se deben disefar y organizar segén las circunstancias y las necesida- des del auditor. Estos han de ser completos, claros y concisos. Todo el trabajo de auditorta debe queder rellejado en papeles de trabajo por los siguisntes motivos: a) Recogen la evidencia obtenida a lo largo del trabajo b) Ayudan al auditor en e! desarrollo de su trabajo. ) Ofrecen soporte del trabajo realizado para poder utilizarlo en auditorfas sucesivas, d) Permiten que el trabajo pueda ser revisado por terceros. e) Sirve para fomentar un enfoque metédico de la labor que se lleva Para coneluir la importancia que tienen los papeles de trabajo, digamos que una vez que el auditor ha finalizado su trabajo, los papeles de trabajo son la Gnica prueba que el auditor tiene de haber llevado a cabo un examen adecuado. Siempre existe la posibilidad de que el auditor tenga que demostrar la calidad de su andlisis ante un tribunal. 3.2. Archivos Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archi- vos principales: el archivo permanente 0 continuo de auditoria, y el archivo corriente 0 de la auditorfa en curso [6),{9]. 3.2.1, Archivo permanente El archivo permanente contiene todos aquellos papeles que tienen un interés continuo, una validez plurianual, tales como: — Consideraciones sobre el negocio. ~ Consideraciones sobre el sector. —Composicién del consejo de administracién ~ Caracteristicas de los equipos ~ Manuales de los equipos y de las aplicaciones, — Descripcién de los procedimientos contables. — Descripcién del control interno ~ Organigramas del C.P.D. y divisi6n de funciones = Cuadro de planificacién plurianual de auditor ~ Escrituras y contratos — En general toda aquellainformacién de importancia para auditorias posterioresAUDITORIA INFORMATICA: NORMAS Y DOCUMENTAGION 9 3.2.2. Archivo corriente. Este archivo, a su vez se suele dividir en archivo general y en archivo de areas. 1. Archivo general Los documentos que se suelen archivar aqui son aquelios que no tienen cabida espe- fica en alguna de las areas en que hemos dividido el trabajo de auditorfa, tales como: — El Informe del Auditor. — La Carta de recomendaciones. ~— Los Acontecimientos posteriores. — El Cuadro de planificacién de la auditorfa corriente. ~ La Correspondencia que se ha mantenido con la direccién de la empresa, — E| tiempo que cada persona del equipo ha empleado en cada una de las reas, 2, Archivo por dreas. Se debe preparar un archivo para cada una de las reas en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de ese drea concreto, AI menos deberdn incluirse los siguientes documentos: — Programa de auditorfa de cada una de las areas — Conclusiones de! area en cuestién. — Conclusiones de! procedimiento en cuestién. 4. CONCLUSIONES Podemos concluir diciendo que el Auditor de Sistemas Infométicos debe cumplir las Normas de Aucitoria Informatica Generalmente Aceptadas (NAIGA) como requisito necesario aunque no suficiente, para garantizar una calfdad adecuada en el trabajo realizado y documen- tar este; archivando la evidencia de manera que facilite su uso en posteriores revisiones que fueran necesaria, para comprobar la fiabilidad y el nivel de cumplimiento de los abjetivos de trabajo, 5. GLOSARIO DE TERMINOS Areas En la fase de planificacion, el trabajo de auditorfa se divide en partes que tengan cierta homogeneidad, a cada una de esas partes se le denomina 4rea. En funcién de los objetivos y el alcance de cada auditoria las éreas se pueden agrupar o desglosar con el objetivo de aptimizar el trabajo de auditoria. A modo ilustrativo se pueden considerar las siguientes éreas aplicaciones, datos, melodologia de desarrollo de aplicaciones, desarrollo de aplicaciones, seguridad tsica, seguridad l6gica, mantenimiento de los equipos, mantenimiento del software,0 [ANTONIO GUEVARA PLAZA J ELOY ERA RAMOS controles generales de los procedimientos operativos, adquisicién, gestién de los recursos de! C.P.D. [7]. Evaluacién de riesgo Provedimiento que se utliza para identficar y evaluar los riesgos y sus efectos poten- ciales. Exposicién 0 falta de proteccién La pérdida potencial que se puede producir en un area como consecuencia de que ‘ocurra un evento adverso. La posibilidad de que una aplicaciGn no funcione durante un cierto periodo de tiempo es una EXPOSICION —estd expuesta-, que podria darse si se produjera un incendio en fa sala del ordenador. Las Exposiciones se pueden reducir disefiando, desarrollan- do e implantando controles. Por ejemplo, una alarma contra incendios no previene los incen- dios, pero es de esperar que los dafios que se ocasionen sean de menor importancia. Rilesgo La posibilidad de que ocurran eventos que pudieran tener efectos adversos en una entidad y en su sistema de informacién. [1] EDP Auditors Foundation, Inc. (1987): General Standards for Information Systems Auditing. Ilinois, EE.UU. [2] EDP Auditors Foundation, Inc. (1990}: Control Objetives. Steamwood, [3] BOE 12 Julio (1988): Ley 19/1988 de Auditoria de Cuentas. Madrid, 73] BOE 20 Diciembre (1990): R/D 1636/1990. Reglamento Ley Auditoria de Cuentas. Madri [5] BOE 19 Enero (1991): Resolucién Normas Técnicas de Auditoria. Madrid. [6] ROAC Registro de Economists Auditores (1990): Normas Técnicas de Auditoria. [7] WILLIAN, E:P. (1980): Selecting EDP Audit Areas. Audit Guide Series, EDP Auditors Foundation, Inc. Illinois. EE.UU. [8] WILUAN, EP. (1983): Auditing the Small business computer. EDP Auditors Foundation, Inc. Illinois, EE.UU. [9] WILLAN, E.P. (1981): EDP Audit Workpapers. EDP Auditors Foundation, Inc. Ilinois, EE,UU. [10] ROLLING, M. (1993): “The History of EDP Auditing”. The EDP Auditor Journal, Information Systems Audit and Control Association. Volumen Il. [11] VALLABHANENI, R.S. (1988): Information Systems Audit Process. The Auditors Foundation, Inc. Segunda Edicion.AUDITORIA INFORMATICA: NORMMAS Y DOCUMENTACION a RESUMEN El objetivo de este artfculo es referenciar una serie de normas, —de obligado cumpli- miento para el auditor informatico-, y métodos de organizacién necesarios para realizar, de manera adecuada, la Auditorfa de un Entidad Informatizada, con la garantia de haber realizado los pasos necesarios para conseguir los objetivos propuestos y haber realizado el trabajo con ta maxima calidad. ABSTRACT In this paper we present a set of audit rules and organization methods to develop an adequate Information Systems auditing, following the necessary tasks to get the proposed objectives. With these methods the maximum quality is assured.