(CUADERNOS 30, 1996 pp. 31-41
AUDITORIA INFORMATICA:
NORMAS Y DOCUMENTACION*
(Palabras claves: Auditoria Informatica,
Sistemas de Informacién, Normas de Auditoria)
(Key words: Information systems Audit process,
Standards Audit, Information Systems)
Antonio Guevara Plaza
Eloy Pefia Ramos””
1. INTRODUCCION
Se puede afirmar que desde los tiempos mas remotas ha existido la figura del revisor,
que hoy conacemos con el nombre de Auditor [10]. Estos revisores de sistemas de informa-
cidn han venido utilizando normas y métodos ajustados al nivel de desarrollo tecnoldgico de
su momento.
Como consecuencia de la continua evolucién, 0 mejor dicho revolucién, del mundo
informatico, (cada dfa se consiguen ordenadores mas pequetios, més répidos y més baratos),
el auditor debe estar al dia, tanto en los avances de las nuevas tecnologia, como en los
nuevos riesgos inherentes @ estas tecnologias. El auditor debe, ademés, cubrir los objetivos
tradicionales de la auditorfa cuando una empresa requiera de sus servicios.
En el estado actual de la tecnologia el papel del auditor es triple (8): En primer lugar
debe poner de manifiesto a la direceién de la empresa los importantes cambios que se estén
produciendo, y los rlesgos asociados que se han de tener en cuenta (aconsejar). En segundo
lugar, con anterioridad a la puesta en funcionamiento de estas nuevas tecnologlas, el auditor
debe asegurarse de que los controles que se hayan implementado, o se vayan a implementar,
son los adecuados. En tercer lugar el auditor debe evaluar la efectividad de los nuevos con-
troles como consecuencia de la utilizacién de estas teonologias (comprabar)
Para que los auditores puedan cumplir con su nuevo papel necesitan nuevos conoci-
mientos, nuevas normas y nuevos mélodos de trabajo.
2. NORMAS DE AUDITORIA
La mayorfa de los organismos emisores de normas técnicas sobre audltora, dividen las
nnormas de auditorfa en tres grandes apartados: normas personales, niormas para realizar el
trabajo y normas para elaborar los informes [1], [5]. A continuacién se muestra un cuadro
donde se esquematizan estas normas:
(7) Original recbido en Julio de 1995 y revisado en Mayo de 1996.
(-*) Profesor Titular del Departamento de Lengulesy Gincias dela Computacién dela Urivesidad do Malaga
(°**) Profesor Asociedo del Departamento de Lenguses y Ciencias dela Computacion da a Universidad de Maga,2 -ANTOHIO GUEVARA PLAZA / ELOY PEA RAMOS
CUADRO 1
: PERSONALES :
D
| Analisis Riesgo
T Planiticacién Plan Global
y N Programa Audit
1 [0] PARALA Control Generales
A t EJECUCION interno De Aplicaciones
pa] DELTRABAIO | syigencia Suficiente
n{s Adecuada
i Objetivos
Alcance
R
M INFORMES Debilidades
A Conclusiones
To Permanente
¢}0 | ARCHIvos Cattiente General
Alc Areas’
Fuente: Elaboracion propia.
2.1, Normas personales.
Estas normas ponen de manifiesto las caracteristicas, los conocimientos, la experiencia
y el comportamiento ético que los auditores han de tener para que estos puedan desarrollar.
de manera satisfactoria, la funcién de auditoria.
2.1.1. Independencia,
El auditor ha de ser una persona independiente de la unidad o de la entidad que vaya
a auditar (1),{2].{4],[5],[6]. En el caso de que el objetivo sea la auditoria del desarrollo de una
aplicacién, e! equipo —de desarrollo es responsable de aplicar el método que considere mas
adecuado, lo que supone: disefiar, desarrollar ¢ imptantar los controles. Con total independen-
cia del equipo de desarrollo, el auditor deberd decidir los procedimientos que vaya a aplicar
al auditar el desarrollo de fa aplicacién en cuestién. E| auditor puede hacer recomendaciones
para mejorar el sistema, cuidando siempre no perder la independencia,
La independencia se puede perder si el auditor se implica excesivamente en el disefio,
desarrollo ¢ implantacidn de la aplicacién. Por ejemplo, si el auditor decidiera incorporarse al
equipo de desarrollo tomando, entre otras decisiones, cuales han de ser los controles concre-
tos que se han de implantar, entonces su independencia se veria diezmada tanto a la hora de
fevisar el proceso de desarrollo como a la hora de revisar la aplicacién una vez instalada y
en funcionamiento. Todo esto és vélido tanto en el caso de desarrollo de nuevas aplicaciones
como en la modificacién de las existentes.AUDITORIA INFORMATICA: NORMAS Y DOCUMENTAGION 3
En conclusién, el auditor deberd establecer con el equipo de desarrollo, el nivel de
colaboracién adecuado que no le suponga perder independencia. En otras palabras: la funcién
de auditoria debera ser lo suficientemente independiente del area que se audite como para
permitir alcanzar los objetivos de la auditoria.
2.1.2, Conocimientos y formactén
El auditor de sistemas informatics debe estar técnicamente preparado y poser los
suficientes conocimientos y experiencia que le permitan realizar el trabajo de auditoria, de lo
contrario deberd acudir al experto, figura que se contempla en la legislacién espafiola~ [4].
La formacién continuada del auditor se hace esencial debido a la, mencionada, revolucién
tecnolégica. Para poder ejercer y realizar la auditoria con efectos y responsabilidades plenas,
el auditor deberd tener los conocimientos de un economista y los de un informético, experien-
cia suficiente, y cumplir los requisitos que establece la legislacién espafiota [3},[4].
2.2. Normas técnicas sobre ejecucién del trabajo.
2.2.1. Planificacién.
Antes de comenzar la auditorfa, todo el trabajo se debe planiticar y alguien que no haya
participado en la planificacién debe supervisar el plan. La planificacién de la auditorfa supone
desarrollar una estralegia global basada en el objetivo y en el alcance del trabajo que se haya
encargado al auditor. Las fases para elaborar el plan pueden ser:
1. Ar
is General de riesgo.
Para realizar este andlisis, el auditor debe tener conocimiento general del sector en el
que se desenvuelve la empresa, def tipo de actividad y de la empresa en sf; de esta
manera podrd determinar a priori las éreas donde el riesgo es mayor.
El auditor debe utilizar técnicas de evaluacidn de riesgos tanto a la hora de desarrollar
el plan global de la auditoria como a la hora de planificar una auditoria conereta [11].
2. Desarrollo de un Plan Global relativo al dmbito y a fa realizacién de Ja auditorfa
Una vez evaluado el riesgo de la entidad que se va a auditar, se elabora el plan glo-
bal(5). En dicho plan se reflejan las decisiones iniciales del auditor con respeto a los
principios, normas técnicas y demés legislacién que se va a tener en cuenta en el
trabajo de auditorfa [1],[2],[3]. En esta fase se decidiran las areas sobre las que se vayan
a trabajar, -ya se conoce el riesgo de cada una de ellas—; la naturaleza y la amplitud
de las pruebas que se vayan a realizar
Entre olros aspectos, es necesario tener en cuenta también, si van a participar 0 no,
otras auditores y si seré necesaria la colaboracién de expertos. Todo debe quedar
‘eflejado en un documento donde se indicaré, como serd la coordinacién con la empre-
sa que se audita