(CUADERNOS 30, 1996 pp. 31-41 AUDITORIA INFORMATICA: NORMAS Y DOCUMENTACION* (Palabras claves: Auditoria Informatica, Sistemas de Informacién, Normas de Auditoria) (Key words: Information systems Audit process, Standards Audit, Information Systems) Antonio Guevara Plaza Eloy Pefia Ramos”” 1. INTRODUCCION Se puede afirmar que desde los tiempos mas remotas ha existido la figura del revisor, que hoy conacemos con el nombre de Auditor [10]. Estos revisores de sistemas de informa- cidn han venido utilizando normas y métodos ajustados al nivel de desarrollo tecnoldgico de su momento. Como consecuencia de la continua evolucién, 0 mejor dicho revolucién, del mundo informatico, (cada dfa se consiguen ordenadores mas pequetios, més répidos y més baratos), el auditor debe estar al dia, tanto en los avances de las nuevas tecnologia, como en los nuevos riesgos inherentes @ estas tecnologias. El auditor debe, ademés, cubrir los objetivos tradicionales de la auditorfa cuando una empresa requiera de sus servicios. En el estado actual de la tecnologia el papel del auditor es triple (8): En primer lugar debe poner de manifiesto a la direceién de la empresa los importantes cambios que se estén produciendo, y los rlesgos asociados que se han de tener en cuenta (aconsejar). En segundo lugar, con anterioridad a la puesta en funcionamiento de estas nuevas tecnologlas, el auditor debe asegurarse de que los controles que se hayan implementado, o se vayan a implementar, son los adecuados. En tercer lugar el auditor debe evaluar la efectividad de los nuevos con- troles como consecuencia de la utilizacién de estas teonologias (comprabar) Para que los auditores puedan cumplir con su nuevo papel necesitan nuevos conoci- mientos, nuevas normas y nuevos mélodos de trabajo. 2. NORMAS DE AUDITORIA La mayorfa de los organismos emisores de normas técnicas sobre audltora, dividen las nnormas de auditorfa en tres grandes apartados: normas personales, niormas para realizar el trabajo y normas para elaborar los informes [1], [5]. A continuacién se muestra un cuadro donde se esquematizan estas normas: (7) Original recbido en Julio de 1995 y revisado en Mayo de 1996. (-*) Profesor Titular del Departamento de Lengulesy Gincias dela Computacién dela Urivesidad do Malaga (°**) Profesor Asociedo del Departamento de Lenguses y Ciencias dela Computacion da a Universidad de Maga,2 -ANTOHIO GUEVARA PLAZA / ELOY PEA RAMOS CUADRO 1 : PERSONALES : D | Analisis Riesgo T Planiticacién Plan Global y N Programa Audit 1 [0] PARALA Control Generales A t EJECUCION interno De Aplicaciones pa] DELTRABAIO | syigencia Suficiente n{s Adecuada i Objetivos Alcance R M INFORMES Debilidades A Conclusiones To Permanente ¢}0 | ARCHIvos Cattiente General Alc Areas’ Fuente: Elaboracion propia. 2.1, Normas personales. Estas normas ponen de manifiesto las caracteristicas, los conocimientos, la experiencia y el comportamiento ético que los auditores han de tener para que estos puedan desarrollar. de manera satisfactoria, la funcién de auditoria. 2.1.1. Independencia, El auditor ha de ser una persona independiente de la unidad o de la entidad que vaya a auditar (1),{2].{4],[5],[6]. En el caso de que el objetivo sea la auditoria del desarrollo de una aplicacién, e! equipo —de desarrollo es responsable de aplicar el método que considere mas adecuado, lo que supone: disefiar, desarrollar ¢ imptantar los controles. Con total independen- cia del equipo de desarrollo, el auditor deberd decidir los procedimientos que vaya a aplicar al auditar el desarrollo de fa aplicacién en cuestién. E| auditor puede hacer recomendaciones para mejorar el sistema, cuidando siempre no perder la independencia, La independencia se puede perder si el auditor se implica excesivamente en el disefio, desarrollo ¢ implantacidn de la aplicacién. Por ejemplo, si el auditor decidiera incorporarse al equipo de desarrollo tomando, entre otras decisiones, cuales han de ser los controles concre- tos que se han de implantar, entonces su independencia se veria diezmada tanto a la hora de fevisar el proceso de desarrollo como a la hora de revisar la aplicacién una vez instalada y en funcionamiento. Todo esto és vélido tanto en el caso de desarrollo de nuevas aplicaciones como en la modificacién de las existentes.AUDITORIA INFORMATICA: NORMAS Y DOCUMENTAGION 3 En conclusién, el auditor deberd establecer con el equipo de desarrollo, el nivel de colaboracién adecuado que no le suponga perder independencia. En otras palabras: la funcién de auditoria debera ser lo suficientemente independiente del area que se audite como para permitir alcanzar los objetivos de la auditoria. 2.1.2, Conocimientos y formactén El auditor de sistemas informatics debe estar técnicamente preparado y poser los suficientes conocimientos y experiencia que le permitan realizar el trabajo de auditoria, de lo contrario deberd acudir al experto, figura que se contempla en la legislacién espafiola~ [4]. La formacién continuada del auditor se hace esencial debido a la, mencionada, revolucién tecnolégica. Para poder ejercer y realizar la auditoria con efectos y responsabilidades plenas, el auditor deberd tener los conocimientos de un economista y los de un informético, experien- cia suficiente, y cumplir los requisitos que establece la legislacién espafiota [3},[4]. 2.2. Normas técnicas sobre ejecucién del trabajo. 2.2.1. Planificacién. Antes de comenzar la auditorfa, todo el trabajo se debe planiticar y alguien que no haya participado en la planificacién debe supervisar el plan. La planificacién de la auditorfa supone desarrollar una estralegia global basada en el objetivo y en el alcance del trabajo que se haya encargado al auditor. Las fases para elaborar el plan pueden ser: 1. Ar is General de riesgo. Para realizar este andlisis, el auditor debe tener conocimiento general del sector en el que se desenvuelve la empresa, def tipo de actividad y de la empresa en sf; de esta manera podrd determinar a priori las éreas donde el riesgo es mayor. El auditor debe utilizar técnicas de evaluacidn de riesgos tanto a la hora de desarrollar el plan global de la auditoria como a la hora de planificar una auditoria conereta [11]. 2. Desarrollo de un Plan Global relativo al dmbito y a fa realizacién de Ja auditorfa Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan glo- bal(5). En dicho plan se reflejan las decisiones iniciales del auditor con respeto a los principios, normas técnicas y demés legislacién que se va a tener en cuenta en el trabajo de auditorfa [1],[2],[3]. En esta fase se decidiran las areas sobre las que se vayan a trabajar, -ya se conoce el riesgo de cada una de ellas—; la naturaleza y la amplitud de las pruebas que se vayan a realizar Entre olros aspectos, es necesario tener en cuenta también, si van a participar 0 no, otras auditores y si seré necesaria la colaboracién de expertos. Todo debe quedar ‘eflejado en un documento donde se indicaré, como serd la coordinacién con la empre- sa que se audita