Scribd Logo
Upload

Welcome to Scribd!

  • Capitulo 04 PDF

    Uploaded by

    Javiera Antonia Navea Cortes
    19 views8 pages

    Original Title

    CAPITULO 04.pdf

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    19 views8 pages

    Capitulo 04 PDF

    Uploaded by

    Javiera Antonia Navea Cortes

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 8
    CAPITULO 4 EL INFORME DE AUDITORIA José de Ia Pefia Sanchez 4.1. INTRODUCCION El tema de este capitulo es el Informe de Auditorfa Informitica, que a su vez ese objetivo de la Auditorfa Informitica, Para comprender ésta, en funci6n del Informe que realiza un, digamos, experto o Perit -al que Hamaremos Auditor Informatico-, conviene explicar someramente el contexto en el que se desenvuelve hoy su practic, La sociedad actual, esth en fase tecnolégica; apenas guarda recuerdo prictico de ‘anteriores etapas cvolutivas (la artesanal, por ejemplo); més atin, las va olvidando a ‘reciente velocidad, generaci6n tras generacién. El dominio de Ia tecnologfa como motor de cambio social acelerado y como atalizador de cambios tecnolégicos que se superponen, se hace rabiosamente evidente €n, las lamadas Tecnologfas de Informacién y Comunicaciones de uso en les Organizaciones. (Tras el mainframe y los terminales tontos, surgicron los PC's y las edes, el EDI, los entomos distribuidos, las arquitecturas cliente/servidor, las redes TCP/IP intranets, extranets, redes privadas virtwales...-, los accesos remotos ¥ méviles mediante portitiles y teléfonos méviles, y, finalmente ~por ahora-, se nos ‘proponen terminales domésticos vinculados con el equipo de televisién y terminales Cuasitontos de trabajo conectados a servidores dominantes descentralizados... ¥ todo nun perfodo no superior a jtreintay cinco afios!) Esté claro: las tecnologias de Ia informacién, al tiemyo que dominan de modo imparable as relaciones _humanas (personales, familiares, mercantiles, ‘ntemacionales..), tienen un ciclo de vida cada ver més coro 4_AUDITORIA INFORMATICA: UN ENFOQUEPRACTIOO onan Sea como fuere, una de las consecuencias de lo dicho consiste en la dificultad de asimilacién répida y equilibrada en la empresa de los entornos tecnoi6gico y de ‘organizacicn (referido el primero @ ls Tecnologfas de Informacién y Comunicaciones, y el segundo a lo mercanil. En este sentido, el Auditor Informético, en tanto que experto, lo tiene crudo (menos, sin embargo, que el Auditor ce Cuentas), al tener que encarar profesionalmente y cn el paissje que estoy preseatando, plagado de necesidades de reciclaje y formacién, el Hamado “esfase entre las expectativas de los usuarios y Jos informes de auditoria”. Las cosas ya no son como eran, y algo habré que hacer pare encontrar un punto de equilibrio razoneble entre el desfase mencionado y la Contabilidad de los usuarios en el Informe (y en el Auditor Informitica) La complejidad de los sistemas de info:macién crece con sus prestaciones y ccaracteristicas (Conectividad, portabilidad...; ls necesidad de utilizarlos que tienen las, organizaciones -publicas y privadas- en todos sus dmbitos, aleanza hoy un valor estratégico de competitividad y supervivencia... Podemos afirmar que nunca antes hhemos sido tan dependientes de los sistemas de informacién. Y nunca antes hemos necesitado tanto a expertos eficientes (uo infalibles) en Auditorfa Informatica. Conviene mencionas, al respecto de Ta prictica de la Auditorfa (Informatica), y siempre en funcién del Informe de Auditor, te existencia del frande y del error, sobre todo si son significaivos, asf como la valorecién de las garantias que aportan los informes de los auditores informéticos a los usuarios, incluyendo gobiemos y ‘organizaciones nacionales ¢ internacionales, La Informatica es muy joven; por tanto, 1a “Auditorfa Informatica lo es més (en Espafia, por cierto, de modo superiativo). No esta todo sin hacer; pero s{ quedan muchos cabos por ata, y en esto el tiempo no es neutral En este capitulo (y en este contexto) vamos a tratar de fijar Ia préctica de Ia Av- ditorfa Informética en funcién, como queda dicho, de! Informe. Para ello, epasaremos someramente aspectos previos fundamentales, como son las normas, el concepto de evideneia en auditoria, las irregularidades, los papeles de trabajo o documentacién para, finalmente, encarar el Informe, sus Componentes, caracteristicas y tendencies etectadas. Intentaremos, también, ofrecer algunas conclusiones de interés, sin perder de vista en todo caso que en el mundo auditor de hoy todo ejercicio de prediccién es, en principio, una temeridad. pa CAPITULO 4m INFORMEDE AUDTTORIA 95 4.2, LAS NORMAS En 1996 la UniGn Europea publicé el Libro Verde de la Auditoria, dedicado al papel, la posicién y la responsabilidad del auditor legal, Su contenido afecta a la Auditorfa Informa. En principio, el Libro acepta las Normas Internacionales IFAC para su adaptacién ‘adecuada a la Unién Europea; por tanto, se transmitirén a través de las Directivas correspondientes a Espaiia para que se transformen en legislaciéa positiva, En lo referente al Tratamiento Automatizado de Datos de Carécter Personal incluso disponiendo de una Ley orgénica-, e} asunto se resclveré por los mismos ccauces, con la trasposicién de la actual Directiva de proteccién de datos personales y, quizd, de otra, en forma de propuesta todavia, relacionada con los servicios de {elecomunicaciones apoyados en tecnologia digital y especialmente Red Digital de Servicios Integrados, tra fuente de Normas Internacionales es ISACF, ya més especifica de Avditoria Informética. Nuestro pafs esté representado en ISACA por la Organizacién de Auditorfa Informatica, en lento cake off Hoy por hoy, la normativa espaliola oficial que afect, en mayor 0 menor medida, 4 la Auditor Informatica, es la siguiente: + ICAC: Normas Técnicas de Auditoria: punto 2.4.10, Esudio y Evaluacién det Sistoma de Control Interne. AGENCIA DE PROTECCION DE DATOS: Instuccién relativa a la prestacién de servicios sobre solvencia patrimonial y créditos. Norma cuatta: Forma de Comprobacién, Del articulo 9 de la LORTAD se desprende el desarrollo reglamentario de medi~ das técnicas y organizativas alusivas a la seguridad en Jo que concieme a integridad y -confidencialidad de los datos personales automatizados. Todavie no ha sido publicado {al reglamento, pero serfa de esperar gue se incluyera en su texto alguna referencia = tspecifica sobre Auditorfa Informética, ‘También conviene resefiar que dentro de la Unién Eurcpea, la FEE tiene en ‘marcha el Proyecto EDIFICAS.EUROPE, dentro dei UN/EDIFACT, en el que Espafia ‘td representada por el IACICE, que se estructura en cuatro grupos de trabajo: ‘Mensajes, Auditoria (Guias de Auditoria de entornos de EDI), Promocién y Asuntos Expeciaes, |S6_ AUDITORSA INFORMATICA: UN ENFOQUE PRACICO. eonawa La Auditoria Informitica no esté muy desarrollade y, por afiadidura, se encuentra en un punto crucial para la definicién del modelo en que deberd implantarse y practicarse en la Unién Europea y, por tanto, Espafta, via directivas UE/Iegislacién positiva y normas profesionales. Maticemos este aspecto: hay dos texdencias legislativas y de préctica de disciplinas: la anglosajona, basada en lx Common Law, con pocas leyes y Jurisprudencia relevante; y la latina, basade en el Derecho Romano, de legislaciGn muy detellaca. La tension entre estos dos modelos, esio es, entre el intervencionismo méximo latino y el minimo intervencionismo anglosajén, es ya insostenible. Uno de los dos deberd prevalecer, si es que realmente nos enzaminamos a la sociedad global. Justo es reconocer que los pardmetros dal cambio tecnolégico parecen hacer més préctico el modelo anglosajén: no en vano, en Estados Unidos, tanto la Auditoria como Ja Informatica (y las Comunicaciones), tienen un desarrollo muy experimentado ¥, sobre todo, adaptative. Los parimetros de velocidad y tiempo hacen aconsejable lun esfucrzo por conseguir Ia disponibilidad amonizada de normas legales y normas de origen profesional Si la elobalizacién antes mencionada es un hecho incuestionable, et subio uso de Jos llamados principios generalmente aceptados bard posible la adaptacisn suficiente als realidad de cada época. Ep este sentido, 20 podeinos olvior que los orgnismos de armonivacisn, nornalizacié, homologacién acredtacion y CEticacin tendrén que funciona smo mas acords con las necesiades cambines, El conjunto 1SO-CEN-AENOR les vinculados con seguridad, ITSECIITSEM Europa, TCSBC USA y Common Crneria UBINoncamésea, necesian ic més répido. ya que so enti’ esd provocand, en un mundo tan aclerado, la aparicion de multe de organiaciones privaas, consorio yasociciones que con muy buena volta y timo sentido de Ia convenience mercnt, pretend unificrnormasy promovionaretandres Por titimo, conviene que se clarifique el panorama normativo, de précticas ¥ Tesponsabilidades en lo que concierne a los problemas planteados por los servicios profesionales multidisciplinares, ya que Informe de Auditorfa Informitica se ‘compone de tres términos: Informatica, Auchtoria e Informe. ‘CAPITULO 4: EL INFORME DE AUDITORIA 97 4.3. LA EVIDENCIA En este epigrafe parece saludable resefiar algunos asuntos previos, referidos a la redacciGn del Informe, tratados en otras capitulos de esta obra, puesto que el referido Informe es su consecuencia. Por tanto, tratemos de recordar en qué consiste Ia evidencia en Auditoria ~ Informética, asf como las pruebas que le avalan, sin olvidar la importancia relativa y cl riesgo probable, inberene y de control La certeza absoluta no siempre exist, segtn el punto de vista de los auditores; Jos ‘suaros piensan lo contrario. No obstante lo dicho, el desarrollo del control intemo, incluso del especificamente informético, esté en efervescencia, gracias al empuje de Jos Informes USA/Treadway (1987), UK/Cedbury (1992) y Francia/Vienot (1995), y fn lugar destacado el USA/COSO (1992), traducido al espafiol por Coopers & Lybrand y el Instituto de Auditores Internos de Espata 1, Pero volvamos a la evidencia, porque ella es la base razcnable de la opinién del ‘Auditor Informético, esto es, ef Informe de Auditorfa Informa Laevidencia tiene una serie de calificativos; a saber: La evidencia relevante, que tiene una relaciéa légica con los objetivos de la auditoria La evidencia lable, que cs vilida y objetiva, aunque eon nivel de confianzo. La evidencia suffciente, que es de tipo cuantitativo para soportar Ja opinién profesional del anditor, La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor. En principio, las pruebas son de cumplimiento o sustantivas. Aunque ya tratado en otto capitulo, conviene recordar ¢l escotlo préictico de la =~ importancia relativa o materialidad, asf como el riesgo probable. La opinin deberé estar basada en evidenciasjustificatives, es decir, desprovistas _ 4 projuicos, sies preciso con evidencia adicional 88 _AUDITORA INFORMATICA: UN ENFOQUE PRACTICO, ona 4.4. LAS IRREGULARIDADES Las irregularidades, sea, los fraudes y los errores, especialmente Ia existencia de Jos primeros, preocupa tanto que aparece con énfasis en el ya citado Libro Verde de la UE. La Direcci6n General XV (Comercio Interior) y el MARC (Maastricht) estén latamente sensibilizados al respecto, Recordemos antes de proseguir, que en Jos organismos y las empresas, la Direccién tiene la responsebilidad’ principal y primaria de Ia deteccién de inegularidades, fraudes y errores; Ja responsabilidad del auditor se centra en planificar, evar a cabo y evaluar su trabajo fara obtener una expectativa razonable de su detecci6n, Es, pues, indudablemente necesario disefiar pruebas antifraude, que I6gicamente incrementardn el coste de la auditorfa, previo andlisis de riesgos (amenazas, importancia relativa.... La auditoria de cuentas se esté judicializando camino que seguiré la Auditoria Informética, préctica importada de Estados Unidos-, ya que aparece en el vigente Cédigo Penal (delitos societarios y otros puntos) con especial énfasis en los ‘administradores, No olvidemos, al respecto, la obligatoriedad de suscribir pOlizas de seguro de responsabilidad civil para auditores independientes, individuales y sociedades, Por prudencia y rectitud, convendré aclarar al maximo ~de ser posible si el Informe de Auditoria es proplamente de audigona y no de consultoria 0 asesoria ‘informatica, o de otra materia afin o préxima, Aunque siempre debe prevalecer el deber de secreto profesional del auditor, conviene recordar que en el caso de detectar fraude durante el proceso de auditoria procede actuar en consecuencia, con la debida prudencia que aconscja episodio tan ‘dclicado y conflictivo, sobre todo si afecta 2 los administradores de la organizacién objeto de auditoria. Ante un caso asi, conviene consultar a la Comisién Deontolégica Profesional, al asesor juridico, y leer deteaidamente las normas profesionales, el Cédigo Penal y otras disposiciones; incluso hacer lo propio con las de organismos oficiales tales como el Banco de Espafia, la Direccién General de Seguros, la Comisién Nacional del Mercado de Valotes, el organismo regulador del medio ambiente... que pudieran estar afectados, no deberfa desestimarse. El asunto podria, incluso, terminar en los Tribunales de justicia, 4.5. LA DOCUMENTACION En el argot de auditorfa se conoce como papeles de trabajo la “totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, [CAPHTULO FL INTORME DE AUDITORIA 98 constituyen un compendio de Ia informacién utilizada y de las pruebas efectuades en Ja ejecucién de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinién”. FB Informe de Auditor, si se precise que sea profesional, tiene que estar basado en Ja documentacién o papeles de trabajo, como utilidad inmediata, previa = supervisiGn, La documentacién, ademds de fuente de know how del Auditor Informético para ‘abajos posteriores asf como para poder realizar su gestién interna de calidad, es {vente en algunos casos en los que la corporacién profesional puede realizar un control de calidad, © hacerlo algun organismo oficial. Los papeles de trabajo pueden llegar ‘tener valor en los Tribunales de justicia Por otra parte, no debemos omnitir 1a caracterfstica registral del Informe, tanto en su parte cronol6gica como en la organizativa, con procedimientos de archivo, Disqueda, custodia y conservacién de su documentacién, cumpliendo toda la normnativa vigente, legal y profesional, como mfnimo exigible. Los trabajos uilizados, en el curso de una labor, de otros auditores externas y/o expertos independientes, asf como de los auditores internos, se resefien 0 no en el Informe de AuditoriaInformética, formarn pate dele documentaci6 Ademds, se inclu: El contrato cliente/auditor informético y/o la carta propuosta del auditor informatico. Las declaraciones de la Direccii. Los contratos, 0 equivalentes, que afecten al sistema de informacién, asf como cl informe de Ja asesoria juridica del cliente sobre sus asuntos actuales y previsibles. El informe sobre terceros vineulados. Conocimiento de la actividad det cliente. 4.6, EL INFORME Se ha realizado una visién rafida de los aspectos prev.os para tenerlos: muy “ Presentes al redactar el Informe de Auditorfa Informética, esto ¢s, la comunicacign del Nuditor Informatico al cliente, formal y, quizd, solemne, tanto del aleance de ta (objetivos, periodo de cobertura, naturaleza y extensién del trabajo alizado) como de los resultados y conchisiones. 100 _AUDITORIA INFORMATICA: UN ENFOQUE PRACTICO ene Es momento adecuado de separar lo significativo de lo no significativo,

    You might also like