auditoria sistemas inf_ok
TRANSCRIPT
La auditora de sistemas de informacin integrada en la auditora financiera. La perspectiva del sector pblicoAntonio Minguilln Roy
Generalitat Sindicatura de Comptes de la Comunitat Valenciana de los textos: Antonio Minguilln Roy Edita: Sindicatura de Comptes de la Comunitat Valenciana
1 edicin: junio, 2010
NDICE Presentacin ............................................................................ 11 Prlogo ................................................................................... 1 1. Introduccin........................................................................ 19 1.1. Los rganos de control externo y la auditora informtica ...21 1.2. La e-administracin....................................................... 2 1.2.1. Utilizacin de la TIC por la Administracin ........ 2 1.2.2. Definicin de la e-administracin ........................ 26 1.2.3. Niveles de madurez en la e-administracin ......... 27 1.2.4. Ley de la administracin electrnica .................... 28 1.2.. Grado de desarrollo de la e-administracin en las Comunidades Autnomas ......................... 28 1.3. La e-gestin econmica................................................. 31 2. Auditora e informtica ........................................................ 3 2.1. Tipos de auditora informtica ....................................... 37 2.2. Evolucin desde el enfoque de auditora tradicional o auditora alrededor del ordenador hacia el enfoque actual o auditora a travs del ordenador ....... 41 2.3. La evidencia informtica de auditora............................. 42 2.3.1. Aspectos generales de la evidencia de auditora .... 42 2.3.2. La evidencia informtica de auditora .................. 4 2.3.3. Fiabilidad de la evidencia informtica ................. 49 2.3.4. Propiedades diferenciadoras de la evidencia de auditora informtica respecto de la auditora tradicional ............................................ 2 2.4. Entornos informatizados ............................................... 4 2.. Normas tcnicas de auditora en entornos informatizados .............................................................. 6 2..1. Principios y Normas de Auditora del Sector Pblico de los OCEX.......................... 6 2..2. Normas tcnicas de auditora del ICAC ............... 6 2..3. Normas de Auditora del Sector Pblico de la Intervencin General de la Administracin del Estado .......................................................... 6
2..4. Normas Internacionales de Auditora y Normas INTOSAI.................................................7 2... The Institute of Internal Auditors: Global Technology Audit Guides (GTAG) .......... 7 2..6. The Institute of Internal Auditors: los principios y la metodologa GAIT ....................................... 8 2..7. Normas de Auditora de Sistemas de Informacin de ISACA....................................................................9 2..8. COBIT............................................................... 60 2.6. Perfil formativo del auditor ........................................... 61 2.6.1. Conocimientos tcnicos exigibles al auditor......... 61 2.6.2. Formacin mnima del auditor financiero ............ 62 3. Sistemas de informacin y control interno ............................ 67 3.1. Sistemas de informacin avanzados ............................... 69 3.1.1. Concepto de sistema de informacin ................... 69 3.1.2. Sistemas de informacin complejos ..................... 71 3.2. El control interno ......................................................... 74 3.3. Conocimiento del sistema de informacin y de control interno en una auditora financiera ................................ 76 3.4. El riesgo de auditora .................................................... 78 3.4.1. Concepto ........................................................... 78 3.4.2. Componentes del riesgo de auditora .................. 79 3.4.3. Consideraciones sobre los riesgos ....................... 83 3.4.4. Factores de riesgo de carcter general .................. 83 3.4.. Factores de riesgo y de control en un entorno informatizado ..................................................... 8 3.4.6. Evaluacin y documentacin del riesgo ............... 88 3.4.7. Efecto del riesgo en el enfoque de auditora ........ 90 3.. Controles internos en entornos informatizados.............. 91 3..1. Concepto ........................................................... 91 3..2. Tipos de controles .............................................. 91 3..3. Evaluacin del control interno en un entorno informatizado ..................................................... 93 4. Enfoque y planificacin de la auditora de sistemas de informacin integrada en una auditora financiera ............ 97 4.1. El enfoque de Auditora Basado en el Anlisis de los Riesgos .............................................................. 996
4.1.1. Las normas tcnicas de auditora del ICAC.......... 99 4.1.2. El enfoque ABAR segn las Normas internacionales de auditora .............................. 101 4.1.3. Enfoque integrado y equipo pluridisciplinar ...... 103 4.1.4. Diligencia profesional y escepticismo profesional 106 4.2. Fases de una auditora de sistemas de informacin ....... 108 4.3. Planificacin de la auditora ......................................... 108 4.3.1. Tipos de planificacin ....................................... 108 4.3.2. Planificacin de una auditora individual ............ 110 4.4. Determinacin del alcance del trabajo del auditor de sistemas de informacin en una auditora financiera ..... 113 4.. Materialidad................................................................ 116 4..1. Concepto ......................................................... 116 4..2. Relacin entre la importancia relativa, el riesgo de auditora y la extensin de los procedimientos de auditora .............................. 118 4.6. Pasos para evaluar controles de los sistemas informatizados en una auditora financiera ................... 119 4.7. Documentacin de la planificacin .............................. 121 . Metodologa de auditora de sistemas de informacin ......... 127 .1. Anlisis de las cuentas anuales auditadas .......................... 130 .1.1. Introduccin .................................................... 130 .1.2. Objetivos .......................................................... 130 .1.3. Procedimientos de auditora .............................. 130 5.2. Identificacin de los procesos de negocio de la entidad y de los flujos de datos .................................... 132 .2.1. Introduccin .................................................... 132 .2.2. Objetivos .......................................................... 133 5.2.3. Definiciones...................................................... 133 .2.4. Procedimientos de auditora .............................. 134 5.3. Identificacin de las aplicaciones de negocio significativas y de las principales interfaces.................... 142 .3.1. Introduccin .................................................... 142 .3.2. Objetivo ........................................................... 143 .3.3. Procedimientos de auditora .............................. 143 .3.4. Documentacin del trabajo ............................... 147 .3.. Otros aspectos a considerar ............................... 137
.4. Revisin de los controles generales .............................. 14 .4.1. Introduccin .................................................... 14 .4.2. Objetivo ........................................................... 1 .4.3. Concepto ........................................................ 1 .4.4. Clases de controles generales............................. 16 .4.. Procedimientos de auditora .............................. 19 5.5. Identificacin de los riesgos y de los controles clave de las aplicaciones ....................................................... 19 ..1. Introduccin .................................................... 19 ..2. Objetivo ........................................................... 160 ..3. Los controles de aplicacin .............................. 160 ..4. Tipos de controles de aplicacin ........................ 163 ... Procedimientos de auditora .............................. 169 .6. Pruebas de recorrido o walkthrough ............................ 173 .6.1. Concepto ......................................................... 173 .6.2. Objetivos de una prueba de recorrido................ 174 .6.3. Cmo realizar una prueba de recorrido ............. 174 .7. Evaluacin del diseo de los controles ......................... 177 .7.1. Objetivos ......................................................... 177 .7.2. Procedimientos y consideraciones de auditora .. 178 .8. Comprobacin del funcionamiento de los controles clave mediante la realizacin de pruebas de cumplimiento ............................................................. 180 .8.1. Introduccin .................................................... 180 .8.2. Objetivos .......................................................... 181 .8.3. Procedimientos de auditora .............................. 181 .8.4. Documentacin de las pruebas .......................... 189 .9. Procedimientos sustantivos.......................................... 191 .9.1. Objetivo ........................................................... 191 .9.2. Procedimientos de auditora .............................. 191 6. Conclusiones generales y emisin del informe .................... 193 6.1. Introduccin............................................................... 19 6.2. Objetivos .................................................................... 196 6.3. Procedimientos de auditora ........................................ 196 6.3. Tipos de informe a emitir ............................................ 201 6.4. Documentacin en la fase de elaboracin del informe .. 2048
7. Sistemas de informacin integrados y aplicaciones de negocio ........................................................................ 207 7.1. Aspectos generales ...................................................... 209 7.1.1. Introduccin .................................................... 209 7.1.2. Tipos de aplicaciones de negocio ....................... 209 7.1.3. Situacin global del mercado de las aplicaciones de negocio ..................................... 210 7.1.4. Situacin en Espaa de las aplicaciones de negocio ........................................................ 211 7.1.. Esquema de un sistema de informacin complejo .......................................................... 213 7.1.6. Consideraciones iniciales de auditora ................ 214 7.2. Sistemas operativos ..................................................... 216 7.2.1. Concepto ......................................................... 216 7.2.2. Situacin global del mercado ........................... 216 7.2.3. Situacin del mercado en Espaa ...................... 217 7.2.4. UNIX-Linux..................................................... 218 7.2.. Windows Server ................................................ 224 7.3. Sistemas de Gestin de Bases de Datos (SGBD) .......... 227 7.3.1. Conceptos bsicos............................................. 227 7.3.2. Controles sobre la base de datos y procedimientos de auditora .............................. 229 7.3.3. Principales SGBD ............................................. 238 7.4. Interfaces y middleware ............................................... 239 7.4.1. Interfaces ......................................................... 239 7.4.2. Middleware ...................................................... 240 7.4.3. Consideraciones de auditora............................. 240 7.4.4. Procedimientos de auditora ............................. 242 7. . Aplicaciones de negocio integradas ............................. 242 7.5.1. Tipos de ERP o de aplicaciones significativas para los propsitos de la auditora financiera ...... 242 7..2. Algunos aspectos de los ERP relevantes para la auditora ....................................................... 246 7..3. SAP ERP .......................................................... 20 7..4. ORACLE ........................................................ 264 7... Microsoft Dynamics NAV ................................. 2719
8. Tcnicas y herramientas de auditora asistida por ordenador (CAAT) ...................................................... 277 8.1. Introduccin............................................................... 279 8.2. Tipos de CAAT ........................................................... 280 8.3. Herramientas de anlisis y extraccin de datos ............ 283 8.3.1. Caractersticas principales .................................. 283 8.3.4. Usos y aplicaciones de las CAAT ....................... 28 8.3.. Consideraciones sobre el uso de CAAT ............. 287 8.3.6. Ventajas e inconvenientes de la utilizacin de CAAT .......................................................... 288 8.4. Etapas para trabajar con un CAAT............................... 289 8.4.1. Planificar el proyecto ......................................... 289 8.4.2. Adquirir los datos ............................................. 292 8.4.3. Acceder a los datos .......................................... 293 8.4.4. Verificar la integridad de los datos ..................... 294 8.4.. Analizar los datos .............................................. 294 8.4.6. Generar informes de los resultados y documentar el trabajo ....................................... 29 8.. Herramientas de anlisis digital ................................... 29 8..1. La Ley de Benford ............................................ 29 8..2. Aplicaciones prcticas ........................................ 297 8..3. Pruebas de auditora ......................................... 298 ndice de anexos Anexo 1. Modelo de cuestionario inicial ................................. 303 Anexo 2. Check list para la revisin fsica del Centro de Procesos de Datos ................................................... 317 Anexo 3. Bibliografa ............................................................. 319 Anexo 4. Glosario .................................................................. 32
10
Presentacin
El acto de entrega del VIII Premio de investigacin Mestre Racional, al que estas notas sirven de presentacin, se ha celebrado conjuntamente con el XXV aniversario de la creacin de la Sindicatura de Comptes de la Comunitat Valenciana. Esta coincidencia nos permite reflexionar, aunque sea someramente, sobre la evolucin del sector pblico valenciano en este periodo reciente de nuestra historia y la correlativa del control externo, representado por la Sindicatura de Comptes. Si tuviramos que sealar algunas de las principales caractersticas descriptivas de dicha evolucin, sin duda deberamos destacar dos: en primer lugar el extraordinario crecimiento del sector autonmico, que partiendo prcticamente de cero y como consecuencia de las transferencias de competencias del Estado, alcanza actualmente un presupuesto anual consolidado superior a los 16.000 millones de euros y consta de ms de un centenar de entidades; en segundo lugar, el incremento de servicios que se ofrecen al ciudadano, tanto en el sector autonmico como en el sector local, que ha ido acompaado de una evolucin tecnolgica sin precedentes de las herramientas informticas y las telecomunicaciones que dan soporte a la gestin de dichos servicios y que ha desembocado en la denominada administracin electrnica. La primera de las tendencias sealadas ha provocado que la Sindicatura, a lo largo de sus veinticinco aos de existencia, haya incrementado sus efectivos personales y materiales y perfeccionado sus tcnicas de auditora para mantener su capacidad fiscalizadora en unos niveles razonables de eficacia y eficiencia, adaptndose a los cambios y evolucin continua del sector pblico de nuestra comunidad. La segunda de las tendencias ha introducido, especialmente en los ltimos diez aos con la consolidacin del concepto de administracin electrnica, una serie de cambios cualitativos (no slo en la Comunitat Valenciana, puesto que la evolucin ha sido universal) que afectan de forma sustancial a la forma en que se pueden llevar a buen trmino las auditoras pblicas y que ha provocado el crecimiento exponencial de lo que en la terminologa auditora se denomina el componente tecnolgico del riesgo de auditora. Para hacer frente a este reto y abordar con profesionalidad el nuevo entorno de trabajo, los auditores pblicos deben introducir11
profundos cambios en sus mtodos de trabajo de forma que se pueda hacer frente y conseguir reducir dichos riesgos tecnolgicos. En este sentido la Sindicatura de Comptes de la Comunitat Valenciana ha planteado en sus dos planes trienales, e implementado posteriormente, medidas tendentes a adaptar su organizacin al nuevo entorno de la administracin electrnica. Pero aunque puedo afirmar con satisfaccin que la Sindicatura est dando pasos firmes en esa direccin y pronto estar en condiciones de homologarse con cualquier organizacin puntera en esta materia a nivel europeo, el proceso no est resultando sencillo, debido tanto a la complejidad intrnseca de los factores tecnolgicos que sustentan la administracin electrnica, como a la dificultad de cambiar y adaptar una organizacin (sus personas y sus mtodos de trabajo) nacida y con una muy asentada trayectoria de trabajo en el tradicional mundo administrativo analgico, basado en el documento fsico. Ante las dificultades existentes para comprender el cambio que es necesario realizar hacia el nuevo entorno fiscalizador de la administracin electrnica, resulta de gran utilidad la lectura del trabajo La auditora de sistemas de informacin integrada en la auditora financiera. La perspectiva del sector pblico, que, entre otras, responde a dos preguntas esenciales relacionadas con el reto que acabo de mencionar. Este trabajo tiene la virtud de facilitar, a los no iniciados, la comprensin del porqu es necesario integrar las auditoras de sistemas de informacin entre las tcnicas utilizadas por los auditores pblicos. De porqu, en las fiscalizaciones de entidades que operan en entornos informatizados complejos (que son la mayora de los entes pblicos hoy en da) es necesario introducir en el conjunto de procedimientos y herramientas que utilizan nuestros auditores las relacionadas con la auditora informtica, ya que con los mtodos tradicionales resulta muy difcil, y en algunos casos imposible, reducir el riesgo de auditora a unos niveles aceptables. Adems del porqu, facilita la comprensin del cmo. De cmo puede introducirse y encajarse sin disonancias el trabajo de un auditor informtico en los procedimientos de una auditora o fiscalizacin tradicional. Es precisamente este factor (trabajar integrados) un aspecto fundamental para que el trabajo de fiscalizacin en su conjunto, el de los auditores tradicionales y los auditores informticos, alcance su mxima eficacia y eficiencia; aspecto este ltimo que siempre ha sido una de las principales preocupaciones en la Sindicatura de Comptes.12
En este sentido me ha parecido un acierto el enfoque general del trabajo, al tratar la auditora informtica, no como una materia autnoma, sino como una materia que alcanza su mxima utilidad slo en la medida en que est debidamente integrada en una auditora financiera y de legalidad. En el trabajo, adems de plantearse, de una forma general, cmo deben integrarse las auditoras informticas en las fiscalizaciones, tambin se desciende a un nivel de detalle tal que da pistas suficientes para que puedan darse pasos, desde muy modestos a muy audaces, en dicha integracin. Son interesantes las pinceladas de informacin que se dan sobre los distintos tipos y componentes de los actuales sistemas informticos integrados o ERP, que facilitan su comprensin por los no especialistas a la hora de abordar su revisin de forma adecuada. No cabe duda de que el estudio, adems de ser til para que los auditores tradicionales puedan comprender cmo se debe integrar el trabajo de auditora informtica en las fiscalizaciones, tambin resulta de especial inters para que los auditores informticos comprendan cules son las necesidades de los auditores pblicos y cmo deben enfocar su trabajo para que sea de la mxima utilidad de acuerdo con los objetivos de las auditoras financieras. Debo destacar el esfuerzo de sntesis realizado sobre una materia en la que, a pesar de su importancia, existe un dficit de informacin y documentacin indudable. No me estoy refiriendo a informacin tcnica sobre auditora informtica pensada por y para informticos, sino a metodologa de auditora informtica o de sistemas de informacin pensada para los auditores financieros. En esta materia la carencia es casi total si pensamos en literatura en nuestro idioma. La completa bibliografa que acompaa al trabajo, la mayora de procedencia anglosajona, tambin ayudar a aquellos interesados en profundizar en esta materia. Para finalizar y en relacin con el autor del trabajo premiado he de destacar, primero mi satisfaccin porque un funcionario de la Sindicatura haya obtenido el Premio Mestre Racional y despus su colaboracin institucional y tcnica en el desempeo de la Direccin del Gabinete Tcnico de la Sindicatura con una especial dedicacin a diversos aspectos relacionados con la utilizacin de las tecnologas de la informacin y la comunicaciones (TIC) en las tareas de fiscalizacin. En coherencia con los planteamientos basados en las TIC, el autor ha solicitado al Consell de la Sindicatura que el texto13
del trabajo premiado no se edite en papel, sino tan solo en formato electrnico a travs de nuestra sede electrnica. Como es tradicional, he de terminar agradeciendo tanto a la Caja de Ahorros del Mediterrneo el patrocinio del premio como el rigor y dedicacin del jurado que un ao ms y, puedo dar fe de ello, ha analizado con enorme profundidad y profesionalidad e independencia los trabajos presentados para llevar a cabo la concesin en los ms estrictos trminos de ecuanimidad y justicia, ante una muy alta cualificacin y contenido cientfico de las candidaturas presentadas.
Valencia, 1 de junio de 2010 Rafael Vicente Queralt Sndic major
14
Prlogo
La principal razn que motiv la elaboracin de La auditora de sistemas de informacin integrada en la auditora financiera. La perspectiva del sector pblico, y que es su principal objetivo, fue analizar el impacto que la implantacin plena de la administracin electrnica (e-administracin) va a tener en la forma de trabajar del auditor pblico. En los captulos 1 y 2 del trabajo, se hace una muy breve descripcin de cul es la situacin que un auditor pblico se encuentra, con cada vez ms frecuencia, al auditar un ente pblico, especialmente en aquellos de tamao medio o grande. De cmo el entorno de trabajo (los fiscalizados) y los elementos materiales de nuestras pesquisas (las evidencias o elementos probatorios de las auditoras) se han ido transformando en los ltimos aos hacia una naturaleza digital cada vez ms compleja, menos evidente y menos abordable con la metodologa tradicional de auditora. En el periodo transcurrido desde la finalizacin y presentacin del trabajo (20 de octubre de 2009) y el momento de escribir estas lneas, tan solo seis meses despus, se han publicado las siguientes disposiciones que afectan a todo el sector pblico de la Comunitat Valenciana, que profundizan inexorablemente en el desarrollo de la administracin electrnica y que van a impactar de forma muy relevante en la manera en que se debern realizar las auditoras del sector pblico en el futuro inmediato: Ley 3/2010, de de mayo, de la Generalitat de Administracin Electrnica de la Comunitat Valenciana. Decreto 87/2010, de 21 de mayo, del Consell por el que se establecen las condiciones tcnicas y normativas para el uso de la Plataforma de Facturacin Electrnica de la Generalitat, Ge-factura. Real Decreto 3/2010, de 8 de enero, del Ministerio de la Presidencia, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. Real Decreto 4/2010, de 8 de enero, del Ministerio de la Presidencia, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica.1
Real Decreto 1.671/2009, de 6 de noviembre, del Ministerio de la Presidencia, por el que se desarrolla parcialmente la Ley 11/2007, de acceso electrnico de los ciudadanos a los servicios pblicos.
La aplicacin de todo el conjunto de disposiciones amparadas en el concepto de administracin electrnica y el desarrollo acelerado de las tecnologas de la informacin y las comunicaciones (TIC), supone que la fiscalizacin de los sistemas de informacin y de control interno, actualmente, presente una serie de caractersticas y de riesgos nuevos, que requieren un enfoque de auditora, evaluacin de riesgos y planificacin de la auditora con una perspectiva renovada, tal como se seala en los captulos 3 y 4 del trabajo. En el captulo 4 se ha enfatizado en cul ha sido la aproximacin general a la materia del trabajo de investigacin. As, el estudio de las implicaciones que las TIC tienen sobre el trabajo del auditor pblico se ha realizado bajo la perspectiva de las necesidades de nuevos conocimientos y de los mtodos especializados que se requieren para ejecutar las auditoras de regularidad basadas en el anlisis de los riesgos. El estudio de la metodologa de auditora de sistemas de informacin integrada en una auditora financiera que se realiza en los captulos 5 a 7, ha tenido como dificultad principal la ausencia casi total (con honrosas excepciones) de textos en castellano que aborden la cuestin, a pesar de la importancia que tiene tanto para el sector pblico como privado de la profesin auditora. En el captulo se analiza la metodologa general y en el 7 se estudian las peculiaridades de los principales entornos TIC que pueden encontrarse en las administraciones pblicas. Finalmente en el captulo 8 se hace un somero repaso de las tcnicas y herramientas de auditora asistida por ordenador, que son de ayuda indispensable tanto en la auditora financiera como en la auditora de sistemas de informacin. La conclusin que debe extraerse del trabajo est implcita a lo largo del mismo, pero puede sintetizarse en unas pocas lneas: en un entorno digital propio de la e-administracin, no es posible reducir los riesgos de auditora a un nivel aceptable, si los auditores no utilizan de forma consistente tcnicas y metodologa adecuada de auditora de sistemas de informacin; esto implica un importante esfuerzo de adaptacin tanto a nivel personal de los auditores como a nivel organizativo de los rganos de control.16
No quiero finalizar sin agradecer al Jurado la concesin del VlII Premio Mestre Racional y tambin al Patrocinador del mismo la Caja de Ahorros del Mediterrneo. Por ltimo, dedico este modesto trabajo a Mara Jess, que durante meses ha soportado que le hurtara muchas horas y das de la vida familiar.
Valencia, 1 de junio de 2010 Antonio Minguilln Roy
17
Introduccin
1
19
1.1. Los rganos de control externo y la auditora informtica En los ltimos aos, desde los rganos de control externo autonmicos espaoles (OCEX), se est dando una gran importancia al impacto que la utilizacin de las tecnologas de la informacin y las comunicaciones (TIC) tiene en los trabajos de fiscalizacin. El pronunciamiento ms importante al respecto proviene de los Presidentes de los OCEX, que el 19 de octubre de 2006 suscribieron la conocida como Declaracin de Pamplona.1 La indudable y creciente importancia de la materia qued explcitamente reconocida y reflejada en la citada Declaracin de la siguiente forma:. las instituciones autonmicas de control debern afrontar otros retos si quieren responder a las demandas de la sociedad y convertirse en puntas de lanza en la modernizacin de las administraciones. En este sentido, parece obligado realizar un mayor esfuerzo en la fiscalizacin de los sistemas informticos de las administraciones pblicas. An siendo conscientes de la complejidad del objetivo, cuya consecucin exigira la colaboracin de expertos externos, la auditora pblica deber pronunciarse sobre esos sistemas informticos que actualmente son elemento fundamental en la gestin de las administraciones pblicas.
Los OCEX organizan, desde 2006, unos Foros tecnolgicos, en los que se pretende, segn puede constatarse en la pgina de presentacin2 del primero celebrado en Valencia, hacer frente a los retos planteados por las tecnologas de la informacin y las comunicaciones:Los auditores pblicos en general, y los rganos de control externo de las comunidades autnomas (OCEX) en particular, se enfrentan desde hace aos a una serie de importantes retos a los que hacer frente, siendo el desarrollo tecnolgico y la evolucin permanente y acelerada de los sistemas de informacin de gestin de la administracin uno de los ms importantes.
. www.cfnavarra.es/camara.comptos/cas/DeclaracionPamplona.asp . www.sindicom.gva.es/web/wdweb.nsf/documento/ft. En esta misma pgina pueden encontrarse los enlaces a las pginas web dedicadas a los tres Foros tecnolgicos celebrados hasta la fecha y puede accederse a las presentaciones realizadas. 21
El impacto que tienen los actuales sistemas informticos en la forma en que se realiza y documenta toda la gestin pblica, la paulatina transformacin de la evidencia documental (el objeto material e inmediato de nuestras pesquisas) tal como la hemos conocido hasta ahora hacia una evidencia de carcter digital, afecta de forma radical a nuestros mtodos de trabajo. Y debemos prepararnos para el nuevo escenario que ya tenemos aqu. La puesta en comn e intercambio de conocimientos de todas estas materias entre personal tcnico de los OCEX ha de contribuir, no me cabe la menor duda de ello, a mejorar nuestra metodologa fiscalizadora, a optimizar el uso de las distintas herramientas que las nuevas tecnologas ponen a nuestra disposicin, y a mejorar en definitiva la eficiencia de nuestras entidades. Valencia, 6 de julio de 2006 Rafael Vicente Queralt Sndico Mayor
El II Foro tecnolgico se celebr en Pamplona en 2008 y el III Foro en Vitoria en mayo de 2009, con un creciente nmero de participantes, lo que muestra el inters tanto a nivel de los profesionales de los OCEX como a nivel institucional. Pero no solo los OCEX de carcter autonmico estn preocupados por el impacto de las tecnologas de la informacin y las comunicaciones en los trabajos de fiscalizacin. Las entidades fiscalizadoras superiores (EFS) europeas, incluido el Tribunal de Cuentas de Espaa, organizadas en EUROSAI, y las de todo el mundo agrupadas en INTOSAI, tambin son conscientes de la necesidad de abordar la problemtica que plantean las tecnologas de la informacin y las comunicaciones y han creado grupos de trabajo3 especiales para desarrollar la metodologa apropiada a las fiscalizaciones en entornos informatizados. A nivel individual, los OCEX y las EFS, tienen un grado de evolucin diferente en esta materia. En Espaa, segn consulta realizada en las pginas web de los OCEX, durante los ltimos cinco aos se han realizado o se estn ultimando los siguientes informes relacionados con las tecnologas de la informacin y las comunicaciones: Audiencia de Cuentas de Canarias Informe general sobre el grado de implantacin de los objetivos de la Ley 11/2007, de 22 de junio, de Acceso Elec-
. Pueden consultarse las pginas web de dichos grupos de trabajo en: INTOSAI Working Group on IT Audit: www.intosaiitaudit.org EUROSAI Information Technology Working Group: www.eurosai-it.org 22
trnico de los Ciudadanos a los Servicios Pblicos (e-Administracin).4 Cmara de Comptos de Navarra Informe de fiscalizacin sobre el contrato de suministro de un nuevo gestor informtico de SOS Navarra (2006). Fiscalizacin de la Oficina Virtual Tributaria y de Recaudacin de la Consejera de Economa y Hacienda (2006). La presencia de la Administracin de la Junta de Andaluca en la WEB (200). Fiscalizacin Cuentas anuales 2006 CIEGSA (Auditora informtica integrada en la auditora financiera). Fiscalizacin Cuentas anuales 2006 VAERSA (Auditora informtica integrada en la auditora financiera). Seguimiento de las recomendaciones de las dos auditoras anteriores en 2007. Auditora de sistemas de informacin de la gestin de las subvenciones en IMPIVA en 2007.
Cmara de Cuentas de Andaluca
Sindicatura de Cuentas de la Comunidad Valenciana
Auditora de sistemas de informacin de la gestin de los ingresos en la Fundacin Palau de les Arts en 2007. En el momento de finalizar este trabajo la Sindicatura no haba emitido los informes del ejercicio 2008, pero de acuerdo con su Programa anual de actuacin de 2009 la actividad relacionada con la auditora de sistemas de informacin sera: en la fiscalizacin de la Cuenta de la administracin de la Generalitat, de CACSA y de la Fundacin Palau de les Arts.
. A la fecha de elaboracin de este trabajo, el informe todava no se haba publicado en la pgina web de la Audiencia de Cuentas de Canarias. Segn sealaba en el artculo Iniciativas para la gobernanza. Hacia un nuevo modelo de control de las finanzas pblicas publicado en Auditora Pblica, n. 47 abril 2009, el Presidente de la Audiencia de Cuentas de Canarias, Rafael Medina Jber, el Programa de Actuaciones del rgano de control externo canario para el ejercicio 2008, aprobado por el Pleno de la Audiencia de Cuentas en diciembre de 2007, incluy dicha fiscalizacin, que se encontraba en un avanzado estado de ejecucin al publicarse el artculo. . Programa anual de actuacin de 2009: www.sindicom.gva.es/web/wdweb. nsf/documento/programaanual 23
Tribunal de Cuentas Informe de Fiscalizacin sobre la contratacin celebrada para el desarrollo, implantacin y mantenimiento, en el mbito de la Seguridad Social, de la Administracin electrnica como nueva modalidad de prestacin de servicios y de relacin con los ciudadanos tanto a travs de Internet como de otras plataformas de comunicaciones (27 de octubre de 200).
A la vista de los informes emitidos, la Sindicatura de Cuentas de la Comunidad Valenciana, posiblemente se encuentra entre los OCEX que ms han avanzado en el desarrollo de metodologa de auditora de sistemas de informacin; en su vigente plan estratgico6 contempla un objetivo detallado especfico, que incluye una adaptacin organizativa para el desarrollo de las auditoras de sistemas de informacin:.15 Desarrollar la auditora de sistemas de informacin En los ltimos aos se ha producido una tendencia imparablemente creciente en la informatizacin de las administraciones pblicas, en particular de la Generalitat y de sus distintas empresas y organismos. El volumen de transacciones que tienen lugar actualmente en el conjunto de la Generalitat puede cifrarse en varios millones. Se han implantado, o estn en curso de implantacin, los denominados ERP en las principales empresas y entidades, incluyendo la Administracin general y la sanitaria. Estas aplicaciones informticas estn provocando que las pistas de auditora (firmas, documentos contables, autorizaciones) en soporte tradicional en papel estn desapareciendo, siendo sustituidas por evidencias electrnicas. La Administracin electrnica es un concepto y una realidad cada vez ms extendida. La Sindicatura, en el mbito del Plan Trienal precedente ha introducido, paulatina pero firmemente medidas tendentes a hacer frente eficazmente a las fiscalizaciones en este contexto, lo que tcnicamente se denomina entornos informatizados. Se han efectuado acciones formativas especializadas, se ha contado con la colaboracin de expertos externos en auditora informtica y se han realizado en 2007 dos trabajos piloto en esta rea con resultado satisfactorio. La realizacin de revisiones/auditoras de los sistemas de informacin como parte de las fiscalizaciones, especialmente de aquellas entidades de mayor tamao, constituye un aspecto absolutamente ineludible para emitir informes de calidad y con las mximas garantas tcnicas.
. PlanTrienal 2008-2010: www.sindicom.gva.es/web/wdweb.nsf/documento/ plantrienal2008 24
El nuevo Plan Trienal considera sta rea como prioritaria por lo que en 008 se pondr en marcha la Unidad de auditora de sistemas de informacin, que prestar asistencia a los distintos equipos de fiscalizacin. Estar integrado en el Gabinete Tcnico de la Sindicatura y trabajar en estrecha coordinacin con el Servicio de Informtica de la Sindicatura.
1.2. La e-administracin 1.2.1. Utilizacin de las TIC por la Administracin El motivo de esta creciente preocupacin de los OCEX por el impacto de las tecnologas de la informacin y las comunicaciones en las fiscalizaciones que realizan, viene dado por el incremento del uso de las tecnologas de la informacin y las comunicaciones en la gestin pblica. El incremento en el uso de las tecnologas de la informacin y las comunicaciones por todas las Administraciones pblicas es tanto cuantitativo como cualitativo. Cuantitativamente puede medirse por las crecientes inversiones realizadas por las Administraciones pblicas. Segn el Informe IRIA 2008 (pginas 27 y 102) la evolucin de los gastos informticos en la Administracin del Estado y en las Administraciones locales ha sido la siguiente:Evolucin gastos informticos1400 1200 Millones de euros 1000 800 600 400 200 0 1999 2001 2003 2005 2007 294 363 448 659 885 747 609 1037 751 1241
Administracin del Estado
Administracin local
Figura 1.1 2
En los gastos informticos se han incluido los conceptos relacionados de los captulos 1 (gastos de personal), captulo 2 (mantenimiento de hardware y software, alquileres y servicios), y del captulo 6 (inversiones). La proporcin entre el gasto en TIC (gastos informticos ms los de comunicaciones) respecto del presupuesto total en Espaa tambin ha sido creciente, segn se refleja en el informe eEspaa 2009 de la Fundacin Orange:
Figura 1.2
Adems de este aumento de las inversiones y del gasto informtico, en los ltimos aos tambin se ha producido un salto cualitativo en la utilizacin de las tecnologas de la informacin y las comunicaciones por parte de las Administraciones pblicas, que ha ocasionado el nacimiento del concepto conocido como la administracin electrnica, gobierno electrnico o e-administracin (e-government en ingls). 1.2.2. Definicin de la e-administracin INTOSAI define7 la e-administracin como el intercambio online de informacin gubernamental con, y el suministro de servicios a, ciudadanos, empresas y otros entes pblicos. De forma ms completa, EUROSAI define8 la e-administracin como el uso de las tecnologas de la informacin y las comunicaciones por las administraciones con el objetivo de:. Auditing e-Government, The INTOSAI Standing Committee on IT Audit, 2003, pgina . . E-Government in an Auditing perspective, EUROSAI, IT Working Group, marzo 2004, pgina . 26
a) proporcionar ms y/o mejor informacin y otros servicios, externamente, a los ciudadanos y empresas e, internamente, a otras organizaciones pblicas; b) mejorar las operaciones de la administracin en trminos de mayor eficacia y/o eficiencia; y c) mejorar la participacin poltica. 1.2.3. Niveles de madurez en la e-administracin El Standing Committee on IT Audit de INTOSAI define cuatro niveles de madurez en la e-administracin, que bsicamente son los que se han utilizado (aadiendo el nivel 0) en el Estudio Comparativo 2009 de los Servicios Pblicos on-line en las Comunidades Autnomas Espaolas;9 stos consisten en: Nivel 0 Ausencia total de cualquier sitio web accesible pblicamente gestionado por el proveedor del servicio, o el proveedor del servicio tiene un sitio web, pero ste no ofrece ninguna posibilidad de informacin relevante, interaccin, interaccin bidireccional o transaccin en relacin con el servicio analizado. Nivel 1 - Informacin. La informacin necesaria que describe el procedimiento para la obtencin del servicio pblico est disponible on-line. Nivel 2 - Interaccin unidireccional. El sitio web ofrece la posibilidad de descargar el formulario de la website para su impresin y posterior cumplimentacin manual. Tambin se considera nivel 2 la posibilidad de obtener un formulario electrnico para su cumplimentacin on-line, su posterior impresin y presentacin fsica en la oficina correspondiente. Nivel 3 - Interaccin bidireccional. El sitio web ofrece la posibilidad de la introduccin electrnica de datos mediante un formulario electrnico para iniciar on-line el procedimiento de obtencin del servicio. Esta etapa requiere de una autentificacin de la persona (fsica o jurdica) que solicita el servicio.. Estudio Comparativo 2009 de los Servicios Pblicos on-line en las Comunidades Autnomas Espaolas, Cap Gemini y Fundacin Orange, abril 2009 (pgina 6). 27
Nivel 4 - Tramitacin totalmente electrnica. El sitio web ofrece la posibilidad de tramitar el servicio pblico de forma totalmente electrnica. No se requiere del solicitante ningn otro procedimiento formal mediante documentos en papel o presencia fsica en oficinas pblicas.
1.2.4. Ley de la administracin electrnica La aprobacin de la denominada Ley de la administracin electrnica (Ley 11/2007, de 22 de junio, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos) ha conferido unos derechos concretos y explcitos a los ciudadanos en el uso de las tecnologas de la informacin y las comunicaciones en sus relaciones con la Administracin. Estos derechos hacia los ciudadanos obligan a las distintas administraciones (central, autonmica y local) a desarrollar, implantar y habilitar un conjunto de servicios para atender a una amplia diversidad de requerimientos, como son los de disponibilidad (servicio continuado, las 24 horas los 7 das de la semana), de universalidad (para todos los ciudadanos, all donde se encuentren), de calidad (posibilidad de conocer en todo momento el estado de tramitacin de sus procedimientos), o de eficiencia (simplificacin de los procedimientos y de sus trmites, no aportar documentos que ya obran en poder de la Administracin). Las disposiciones que establece la ley determinan acciones que afectan tanto a la organizacin interna como a la forma de interactuar con los usuarios y ambos entornos deben desarrollarse alineadamente. La administracin electrnica no es nicamente comunicacin electrnica entre ciudadano y Administracin. Consiste, una vez alcanzado el nivel de madurez 4 (segn los criterios antes citados), en disponer de un servicio completo, de principio a fin, en el que los procedimientos administrativos tengan una tramitacin electrnica, desde la identificacin del ciudadano y del empleado pblico que intervienen en el procedimiento hasta la elaboracin del expediente enteramente electrnico, sin importar por qu administraciones haya transitado el expediente. 1.2.. Grado de desarrollo de la e-administracin en las Comunidades Autnomas Hasta la aprobacin de la Ley 11/2007 eran las propias Comunidades Autnomas las que definan sus estrategias de modernizacin28
y decidan en qu situaciones, momentos y a travs de qu canales se conceda el acceso de los ciudadanos y las empresas a los servicios pblicos on-line. La Ley obliga a desarrollar, implantar y habilitar un conjunto de servicios para atender a una amplia diversidad de requerimientos como son la disponibilidad, universalidad, calidad o eficiencia. Debido a sus diferentes estrategias y calendarios de implantacin de los servicios electrnicos, el grado de madurez de la e-administracin en cada comunidad es diferente. Segn un estudio10 realizado sobre la disponibilidad de 26 servicios online en todas la CCAA, los resultados globales, son:
Figura 1.3
0. Estudio Comparativo 2009 de los Servicios Pblicos on-line en las Comunidades Autnomas Espaolas, Cap Gemini y Fundacin Orange, abril 2009. 29
Los mismos resultados mostrados en un grfico bidimensional por la misma fuente:
Figura 1.4
En el siguiente grfico elaborado por la Comisin Europea11 puede verse, comparativamente, en qu situacin se encuentra nuestro pas entre los pases europeos:
Figura 1. 11. Prparer lavenir numrique de lEurope. Examen mi-parcours de linitiative i2010, Comunicacin de la Comisin de la Unin Europea, abril de 2008 (pgina 4). 30
1.. La e-gestin econmica Paralelamente al desarrollo de la interaccin digital con los ciudadanos y empresas, fundamentalmente mediante el uso de Internet, las distintas administraciones pblicas y entes dependientes, han desarrollado herramientas, aplicaciones y sistemas informticos cada vez ms complejos para automatizar y soportar las distintas reas de gestin. La relacin de reas o funciones soportadas por sistemas informticos sera extenssima, hoy en da prcticamente todas las actividades se ejecutan en mayor o menor medida con el auxilio de dichos sistemas. Por sealar solo algunos de los de mayor inters para los auditores pblicos: Contabilidad Gestin presupuestaria Recursos humanos Gestin de las subvenciones Gestin tributaria y recaudacin Gestin de la contratacin Mantenimiento de inventarios. etc.
La utilizacin de ordenadores para la gestin de todas estas y otras muchas reas no es nueva en la administracin, pero especialmente en los ltimos 10 o 15 aos se ha producido una significativa evolucin en la utilizacin de las tecnologas de la informacin y las comunicaciones aplicadas a la gestin de las administraciones pblicas. La utilizacin de complejas aplicaciones ERP (Enterprise Resource Planning) se ha extendido a buena parte de las administraciones espaolas. Estas aplicaciones informticas estn diseadas para cubrir varias o incluso todas las reas funcionales de una organizacin de tal manera que se crea un flujo de trabajo entre los distintos usuarios (sin flujo fsico de papel), con acceso instantneo a toda la informacin; las operaciones que suponen movimientos monetarios se recogen automticamente (sin intervencin humana y sin papel) en el mdulo contable. Las personas que deben autorizar las distintas operaciones lo hacen tambin firmando electrnicamente a travs del sistema y muchas autorizaciones estn automatizadas.31
Esta intensa informatizacin plantea a los auditores pblicos (y tambin a los privados) una serie de problemas de auditora a los que se debe hacer frente aplicando una metodologa de auditora adaptada a las nuevas circunstancias. Ms adelante se comentan con mayor profundidad los nuevos problemas y situaciones, pero entre los ms evidentes se pueden sealar:12 Ausencia de transacciones y autorizaciones documentadas en soporte papel, como pedidos, albaranes, facturas, cheques, rdenes de transferencia de fondos, etc. Sustitucin de procedimientos de control interno manuales (realizados por empleados-funcionarios) por otros que se realizan automticamente por los sistemas informticos, (p.e. segregacin de funciones, conciliaciones de cuentas, etc.). Riesgo de manipulacin de la informacin. Prdida generalizada de las pistas visibles de auditora.
Un ejemplo de este proceso de informatizacin de las administraciones pblicas podemos apreciarlo en la Instruccin del modelo normal de contabilidad local (aprobada por la Orden EHA/4041/2004, de 23 de noviembre; BOE de 9.12.2004), que representa una decidida apuesta por la incorporacin de las tcnicas electrnicas, informticas y telemticas a la actividad administrativa local. De acuerdo con esta Instruccin, una de las consecuencias ms destacadas de la utilizacin de las tecnologas de la informacin y las comunicaciones en la funcin contable, es la desaparicin de la obligacin de obtener y conservar los libros de contabilidad tradicionales en papel, establecindose que las bases de datos del sistema informtico donde residan los registros contables constituirn soporte suficiente para la llevanza de la contabilidad de la entidad. Desaparece, por tanto, la concepcin tradicional de libro de contabilidad, y se sustituye por la de base de datos contable. Adems, como se seala en la exposicin de motivos de la Instruccin, en la lnea de fomentar una nueva cultura administrativa en la que el papel, en la medida de lo posible, vaya siendo sustituido por los documentos automatizados, con los ahorros tanto econmicos como de espacio fsico que ello implicar, se ha establecido que los justificantes de los hechos que se registren en el SICAL-Normal po12. La fiscalizacin en entornos informatizados, Antonio Minguilln, Auditora Pblica n. 40, diciembre de 2006. 32
drn conservarse por medios o en soportes electrnicos, informticos o telemticos, con independencia del tipo de soporte en que originalmente se hubieran plasmado, siempre que quede garantizada su autenticidad, integridad, calidad, proteccin y conservacin. En estos casos las copias obtenidas de dichos soportes informticos gozarn de la validez y eficacia de la justificacin original. El efecto de todo este proceso es que se ha llegado a una situacin en la que las pistas de auditora (firmas, documentos contables, autorizaciones, libros de contabilidad) en soporte tradicional en papel, ya no existen. El reto al que se enfrentan los auditores pblicos es que la actual situacin implica un cambio profundo en la metodologa de auditora y en las herramientas que se deben utilizar y afecta tambin a aspectos relacionados con los perfiles formativos y profesionales requeridos por los auditores pblicos.
33
Auditora e informtica
2
3
2.1. Tipos de auditora informtica Las tecnologas de la informacin y las comunicaciones introducen una serie de nuevas reas de actividad para los auditores pblicos, cada una de ellas con retos, planteamientos y objetivos diferentes. El trmino de auditora informtica o auditora de sistemas de informacin, tiene un significado muy amplio, dependiendo de los objetivos fijados especficamente para cada auditora. Algunos tipos posibles de auditoras informticas son: Auditora de la administracin electrnica. Esta es un rea nueva de trabajo que en el futuro prximo puede suponer una importante fuente de trabajo para los auditores pblicos. En el captulo 1.1 de este trabajo se han citado sendos informes de la Audiencia de Cuentas de Canarias y de la Cmara de Cuentas de Andaluca, que son ejemplos de esta categora. La capacidad de los rganos fiscalizadores para auditar la administracin electrnica es generalmente proporcional al nivel de la madurez de la administracin electrnica del pas y la regin de su mbito de actuacin y de las capacidades profesionales de aquellos rganos. Auditora de gestin de datos personales. El artculo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 1/1999, de 13 de diciembre, de proteccin de datos de carcter personal, estableci la obligatoriedad de realizar determinadas auditoras:Artculo 96. Auditora. 1. A partir del nivel medio, los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento del presente ttulo.
37
Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos sealado en el prrafo anterior. 2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas. 3. Los informes de auditora sern analizados por el responsable de seguridad competente, que elevar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarn a disposicin de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las comunidades autnomas.
La ley prev en su artculo 1 que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carcter personal. No obstante en los entornos actuales altamente informatizados, la mayor parte de los datos de carcter personal (como los no personales) son procesados y almacenados en sistemas informatizados. En consecuencia, las auditoras a las que hace referencia el artculo 96 del reglamento arriba trascrito se ha convertido en una especialidad de la auditora informtica y en una importante fuente de trabajos e ingresos de los auditores privados. Los auditores pblicos tambin podran incluir en sus planes de trabajo la realizacin de este tipo de auditora, como una parte de sus prerrogativas generales de revisin del cumplimiento de la legalidad prevista en la normativa reguladora de los OCEX. Siempre sin perjuicio de las competencias de inspeccin que tienen los entes pblicos expresamente previstos en la Ley para velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos. Estos entes actualmente son: 38
Agencia Espaola de Proteccin de Datos Agencia Catalana de Proteccin de Datos Agencia de Proteccin de Datos de la Comunidad de Madrid Agencia Vasca de Proteccin de Datos
Auditora forense En aquellos casos que existan sospechas de fraude o actuaciones ilegales, pueden realizarse investigaciones para obtener evidencia (pruebas) utilizando herramientas informticas para recuperar datos de forma legal de equipos informticos utilizados por los sospechosos y posteriormente analizarlos. Este tipo de actuaciones se realiza, generalmente, por la polica, fiscala o a instancia judicial.
Auditora de gestin Examen de un sistema informtico para evaluar si los objetivos previstos al implementar el sistema han sido alcanzados efectivamente, con criterios de economa y eficiencia. Entrara dentro del concepto ms amplio de auditora operativa o auditora de performance.
Auditoras especficas sobre adquisicin de equipos y sistemas. Dada la complejidad, su efecto en la organizacin y el elevado coste de los actuales sistemas informticos, este tipo de auditoras son de realizacin frecuente en los auditores pblicos ms avanzados a nivel internacional.13 En Espaa puede verse un ejemplo de informe: el realizado por la Cmara de Comptos de Navarra, citado en el captulo 1.1 de este trabajo. Existe una relativamente abundante metodologa a nivel internacional sobre este tipo de trabajos14 y, curiosamente, es tambin muy abundante la literatura relacionada con el anlisis de proyectos fallidos.
Auditora de seguridad informtica. Auditora de controles de seguridad en sistemas informticos para evaluar la extensin en la que se mantiene la confidencialidad, integridad y disponibilidad de los datos y los sistemas, teniendo en consideracin el perfil de riesgo de la entidad y de sus sistemas TI. Es una de las auditoras de mayor inters para las entidades y empresas, ya que en los complejos sistemas informatizados
1. Puede verse como ejemplo el informe de la UK Nacional Audit Office, Improving the disposal of public sector Information, Communication and Technology Equipment, de Julio 2007. 1. Por ejemplo la GTAG 12: Auditing IT Projects, del Institute of Internal Auditors. 39
actuales se multiplican las potenciales vulnerabilidades de seguridad que deben ser adecuadamente cubiertas.1 Auditora de aplicaciones informticas/sistemas de informacin y auditoras limitadas sobre controles generales y de aplicacin. Revisiones sobre los controles manuales y automatizados en un sistema informatizado, con el objetivo de evaluar el grado de confianza que puede depositarse en las transacciones procesadas y en los informes generados por el sistema. Auditora de sistemas de informacin realizada en el marco de una auditora financiera. Este va a ser el tema que vamos a desarrollar en el presente trabajo. No vamos a analizar la auditora informtica como una disciplina autnoma, con muchas reas importantes para desarrollar, sino que vamos a centrarnos en el estudio de la auditora de sistemas de informacin ejecutada como parte, importante, de una auditora financiera de las cuentas anuales de una entidad pblica.16 Como puede apreciarse (y la relacin anterior no es exhaustiva) hay muchos tipos de auditoras informticas, dependiendo de cul sea el objetivo de la misma. En unos casos se tratar de trabajos autnomos, centrados exclusivamente en algn aspecto de la funcin informtica, y en otros casos la auditora informtica ser un elemento importante pero subordinado respecto del objetivo principal. Este ltimo es el tipo de auditora en el que se centra este trabajo. En el presente trabajo se pretende exponer desde un punto de vista lo ms prctico posible, un planteamiento para la realizacin de auditoras financieras integrando metodologa de auditora inform15. Pueden verse numerosos ejemplos de informes o testimonios sobre seguridad informtica en el sitio web del U.S. Government Accountability Office (GAO). Entre los ms recientes: Information Security: Agencies Make Progress in Implementation of Requirements, but Significant Weaknesses Persist, GAO-09-701T (Washington, May 19, 2009). Cybersecurity: Continued Federal Efforts Are Needed to Protect Critical Systems and Information, GAO-09-835T (Washington, June 25, 2009). . Cuando hablemos de una entidad pblica genricamente nos referimos a cualquier ente del sector pblico, independientemente de su forma jurdica, que formule cuentas anuales. Es decir puede tratarse de cualquier administracin pblica, organismos autnomos, entes de derechos pblico, sociedades mercantiles, fundaciones pblicas, etc. 40
tica o auditora de sistemas de informacin. Para ello nos basaremos en el anlisis de las mejores prcticas a nivel internacional. 2.2. Evolucin desde el enfoque de auditora tradicional o auditora alrededor del ordenador hacia el enfoque actual o auditora a travs del ordenador Segn se seala en la revista Auditora Pblica,17 en nuestro pas hasta la entrada en vigor de la Norma Tcnica de Auditora del ICAC sobre la auditora de cuentas en entornos informatizados (NTAEI), aprobada por Resolucin del ICAC de 23 de junio de 2003, y su posterior aplicacin, los auditores financieros han tenido muchas veces la tentacin (ante situaciones para ellos desconocidas en mayor o menor grado y que por tanto no controlan) de asignar un riesgo alto a los sistemas de control interno informatizados y as confiar nicamente en las pruebas sustantivas para obtener evidencia suficiente y adecuada.18 En el enfoque denominado coloquialmente auditora alrededor del ordenador se utilizan tcnicas para comprobar la fiabilidad de la informacin que genera el sistema informtico revisando los inputs al sistema y verificando que los outputs coinciden con los clculos o estimaciones que realiza el auditor. Est basado casi exclusivamente en pruebas sustantivas y puede no ser viable cuando se audita una entidad con un entorno informatizado complejo, donde predomina la evidencia informtica y la capacidad del auditor para obtener evidencia slo a partir de pruebas sustantivas est muy limitada. Este enfoque de auditora alrededor del ordenador no debe ser considerado como totalmente obsoleto, pero debe limitarse estrictamente a aquellas situaciones en las que se verifique simultneamente el cumplimiento de estas tres condiciones:19 1. La pista auditora es completa y visible. Esto implica que se utilizan documentos fuente en todo tipo de transacciones, se imprimen los libros diarios detallados, y se mantienen referencias de las transacciones tanto en el libro diario como en el mayor.. La fiscalizacin en entornos informatizados, Antonio Minguilln, Auditora Pblica n. 40, diciembre 2006. 1. En el artculo de Virginia y Michael Cerillo Impact of SAS n. 94 on Computer Audit Techniques, en Information Systems Control Journal, volume 1, 2003, se destaca que segn una encuesta realizada antes de la entrada en vigor del SAS 94 la mayora de los auditores en EEUU segua la prctica mencionada. No obstante, en EEUU la promulgacin de la Ley Sarbanes-Oxley en 2002 endureci mucho y multiplic las exigencias respecto la evaluacin de riesgos. 1. Ver Pablo Lanza en Iniciacin a la auditora de sistemas de informacin (pgina 27). 41
2. Las operaciones de proceso de la informacin son relativamente sencillas y directas. 3. El auditor tiene a su disposicin la documentacin completa del sistema, incluyendo diagramas de flujo, descripcin de registros, etc. Al auditar actualmente una entidad pblica con un sistema de informacin avanzado e informatizado, no se cumplen dichas condiciones y en esos casos se debe aplicar el enfoque denominado auditora a travs del ordenador o ms correctamente enfoque de auditora basado en el anlisis de los riesgos, que se describe con mayor detalle en los siguientes captulos. La Norma Internacional de Auditora 330, tambin estipula que el auditor debe planificar y ejecutar pruebas sobre controles clave (incluyendo los informticos) si los procedimientos sustantivos no pueden por s solos proporcionar evidencia apropiada de auditora (prrafo 8b). Adems, (prrafo A24) en determinados casos, al auditor le puede ser imposible disear pruebas sustantivas eficaces que por s solas proporcionen suficiente evidencia de auditora apropiada. Esto probablemente suceder cuando la entidad desarrolle su actividad en un entorno informatizado complejo, en el que no se produce o conserva documentacin de las transacciones si no a travs de los sistemas informticos. En estos casos se requiere al auditor que ejecute pruebas de los controles clave existentes en el sistema. 2.3. La evidencia informtica de auditora 2.3.1. Aspectos generales de la evidencia de auditora a) Concepto y naturaleza La evidencia de auditora es toda la informacin usada por el auditor para alcanzar las conclusiones sobre las que basa su opinin de auditora, sus conclusiones y recomendaciones. Los Principios y Normas de Auditora del Sector Pblico (PNASP),20 apartado 3.2.4 establecen que para fundamentar sus opiniones y conclusiones, el auditor deber obtener evidencia suficiente, pertinente y vlida, mediante la realizacin y evaluacin de las pruebas de auditora que se consideren necesarias.20. Principios y Normas de Auditora del Sector Pblico, elaborados por la Comisin de Coordinacin de los rganos de Control Externo (OCEX) de Espaa, 1991. 42
La naturaleza de la evidencia est constituida por todos aquellos hechos y aspectos susceptibles de ser verificados por el auditor, y que tienen relacin con las cuentas anuales que se examinan. La evidencia se obtiene por el auditor mediante la realizacin de las pruebas de auditora, aplicadas segn las circunstancias que concurran en cada caso, y de acuerdo con el juicio profesional del auditor. Segn cual sea su fuente, la evidencia puede obtenerse de pruebas materiales, documentales, testimoniales y analticas. b) Caractersticas de la evidencia Dado que en pocas ocasiones se puede tener certeza absoluta sobre la validez de la informacin, el auditor, para tener una base razonable en que apoyar su informe, precisa que la evidencia tenga unas caractersticas esenciales; la evidencia debe ser: suficiente y apropiada (pertinente y fiable). 1. Suficiente Evidencia suficiente es la evidencia que el auditor necesita en trminos cuantitativos para obtener una seguridad razonable que le permita expresar una opinin en el informe de auditora sobre las cuentas anuales auditadas. Es decir, es la medida de la cantidad de evidencia. La valoracin del nmero de elementos de prueba que se considera suficiente depende del juicio del auditor, que se ve afectado por factores tales como: El riesgo de que existan errores en las cuentas anuales auditadas. La importancia relativa de la partida analizada en relacin con el conjunto de la informacin financiera. La experiencia adquirida en auditoras previas de la entidad. Los resultados obtenidos de los procedimientos de auditora incluyendo errores o irregularidades que hayan podido ser descubiertos. La calidad de la informacin econmico-financiera disponible. La confianza que le merezcan la Direccin de la entidad y sus empleados. El tipo de procedimiento utilizado para obtener la evidencia. La clase de evidencia obtenida (material, documental, testimonial o analtica).43
En este contexto el auditor no pretende obtener toda la evidencia existente sino aqulla que cumpla, a su juicio profesional, con los objetivos de su examen. Por lo tanto, puede llegar a una conclusin sobre un saldo, transaccin o control, realizando pruebas de auditora, mediante muestreo (estadstico o de seleccin en base subjetiva), mediante pruebas analticas o a travs de una combinacin de ellas. El nivel de evidencia a obtener por el auditor, referido a los hechos econmicos y otras circunstancias, debe estar relacionado con la razonabilidad de los mismos y proporcionarle informacin sobre las circunstancias en que se produjeron, con el fin de que pueda formarse el juicio profesional que le permita emitir una opinin. Para decidir el nivel necesario de evidencia, el auditor debe en cada caso, considerar la importancia relativa de las partidas que componen los diversos epgrafes de las cuentas anuales y el riesgo de error en el que incurre al decidir no revisar determinados hechos econmicos. Debe considerarse el coste que supone la obtencin de un mayor nivel de evidencia que el que est obteniendo o espera obtener, y la utilidad final probable de los resultados que obtendra. Ello no obstante, independientemente de las circunstancias especficas de cada trabajo, el auditor debe obtener siempre el nivel de evidencia necesario que le permita formar su juicio profesional sobre las cuentas anuales. La falta del suficiente nivel de evidencia sobre un hecho significativo en el contexto de los datos que se examinan, obliga al auditor a expresar las salvedades que correspondan o, en su caso, a denegar su opinin. 2. Apropiada (o adecuada) Apropiada es la medida de la calidad de la evidencia de auditora, calidad que est condicionada por la relevancia (o pertinencia) y fiabilidad (validez) de la misma. Es la caracterstica cualitativa, en tanto que el concepto suficiente tiene carcter cuantitativo. La confluencia de ambos elementos, debe proporcionar al auditor el conocimiento necesario para alcanzar una base objetiva de juicio sobre los hechos sometidos a examen. El concepto de evidencia relevante o pertinente se refiere a su razonabilidad y consiste en la apreciacin de la relacin entre la evidencia y su uso. En este sentido, las informaciones utilizadas para probar o desaprobar un dato son pertinentes si tienen una relacin lgica y44
sensible con ese dato, mientras que las informaciones que no posean tal caracterstica, no debern utilizarse como elementos de prueba. La fiabilidad de la evidencia de auditora est influenciada por sus fuentes, por su naturaleza y por las circunstancias individuales de su obtencin. Una evidencia no confiable no constituye evidencia de auditora. 2.3.2. La evidencia informtica de auditora a) Concepto Adems de los cuatro tipos de evidencia antes sealados (material o fsica, documental, testimonial y analtica) en los ltimos lustros ha ido aumentando la importancia de un nuevo tipo de evidencia, con caractersticas completamente diferentes, que condiciona buena parte del trabajo del auditor. Este tipo de evidencia, que se denomina evidencia informtica, tiene una caracterstica que a priori destaca sobre las dems:21 la ininteligibilidad y la imposibilidad de su tratamiento o anlisis por los medios tradicionales de auditora. Las Normas de Auditora del Sector Pblico (NASP) de la Intervencin General de la Administracin del Estado, regulan con un cierto detalle aspectos relacionados con la obtencin por el auditor de evidencia adecuada en un entorno informatizado. De acuerdo con el apartado .3.2 de las Normas de Auditora del Sector Pblico, la evidencia informtica queda definida as: Evidencia informtica. Informacin y datos contenidos en soportes electrnicos, informticos y telemticos, as como los elementos lgicos, programas y aplicaciones utilizados en los procedimientos de gestin del auditado. Esta evidencia informtica incluir los elementos identificados y estructurados que contienen texto, grficos, sonidos, imgenes o cualquier otra clase de informacin que pueda ser almacenada, editada, extrada e intercambiada entre sistemas de tratamiento de la informacin, o usuarios de tales sistemas, como unidades diferenciadas. b) Tipos de evidencia informtica Esta definicin de evidencia informtica distingue entre dos tipos de evidencia informtica de caractersticas muy distintas que requerirn de los auditores conocimientos, tcnicas y procedimientos adaptados a cada tipo. Puede distinguirse entre:21. Vase: Tcnicas de auditora asistida por ordenador, Pablo Lanza, 2000, Instituto de Estudio Fiscales (pg 2). 4
1. Informacin y datos Al fiscalizar en entornos informatizados complejos, la pista visible de muchas transacciones revisadas por los auditores han desaparecido fsicamente, transformndose en algo intangible. No se dispone en muchos casos de los documentos fsicos para visualizarlos, comprobar firmas, fotocopiar, poner tildes, etc. En muchos casos las facturas de proveedores, albaranes, etc, se reciben en formato digital22 o se escanean,23 se archivan en el ordenador y el original en papel desaparece, pudindose visualizar nicamente a travs del sistema informtico. En este sentido es interesante revisar la Instruccin Modelo Normal de Contabilidad Local (IMNCL), que regula el soporte informtico de los registros contables:Regla 14. Soporte de los registros contables 1. Los registros de las operaciones y del resto de la informacin capturada en el SICAL-Normal, estarn soportados informticamente segn la configuracin que se establece en la regla anterior, constituyendo el soporte nico y suficiente que garantice su conservacin de acuerdo con la regla 93.
22. La factura electrnica es un equivalente funcional de la factura en papel y consiste en la transmisin de las facturas o documentos anlogos entre emisor y receptor por medios electrnicos (ficheros informticos) y telemticos (de un ordenador a otro), firmados digitalmente con certificados reconocidos. La factura electrnica es un documento electrnico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, adems, garantiza la autenticidad de su origen y la integridad de su contenido, lo que permite atribuir la factura a su emisor. De est definicin extendida en todo el mercado, se transmite tres condicionantes para la realizacin de factura electrnica: Se necesita un formato electrnico de factura de mayor o menor complejidad (EDIFACT, XML, PDF, html, doc, xls, gif, jpeg o txt, entre otros). Es necesario una transmisin telemtica (tiene que partir de un ordenador, y ser recogida por otro ordenador). Este formato electrnico y transmisin telemtica, deben garantizar su integridad y autenticidad a travs de una firma electrnica reconocida. Las facturas electrnicas deben incorporar medios que garanticen la autenticidad e integridad de acuerdo con lo establecido en el Real Decreto 1496/2003, de 28 de noviembre, que aprueba el Reglamento que regula las obligaciones de facturacin, as como en la Orden EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturacin telemtica y conservacin electrnica. 2. El escaneo o conversin de un documento en formato papel a formato digital, con todas las garantas jurdicas, tambin est regulado por la Orden EHA/962/2007. 46
2. Las bases de datos del sistema informtico donde residan los registros contables constituirn soporte suficiente para la llevanza de la contabilidad de la entidad contable, sin que sea obligatoria la obtencin y conservacin de libros de contabilidad Regla 88. Medios de justificacin 1. La justificacin de los distintos hechos susceptibles de incorporacin al SICAL-Normal podr estar soportada en documentos en papel o a travs de medios electrnicos, informticos o telemticos...
La evidencia informtica es informacin creada, transmitida, procesada, grabada, y/o guardada en soporte informtico que respalda el contenido del informe de fiscalizacin. nicamente se puede acceder a la informacin mediante la utilizacin de unos equipos y tecnologa adecuados, tales como ordenador, software, impresora, escner, lector o medios magnticos. Los documentos electrnicos pueden ser textos, imgenes, archivos de audio o video. La evidencia informtica incluye asientos contables, documentos de referencia y justificantes como contratos electrnicos, documentos electrnicos relacionados con facturacin, adquisiciones y pagos, confirmaciones electrnicas y cualquier otra informacin electrnica relacionada con la auditora. Los datos pueden variar en su formato (desde ficheros electrnicos a tablas en informes impresos). Algunos ejemplos son: Datos extrados de bases de datos, data warehouses o repositorios de informacin. Datos mantenidos en Microsoft Excel o Access o productos similares. Datos extrados de ERP mantenidos interna o externamente. Datos pblicamente accesibles o datos replicados accesibles a travs de una aplicacin distinta del sistema fuente original. Datos obtenidos de formularios o encuestas en portales web. Datos resumidos en un informe o copiados en un documento, procedentes de una tabla.
Este tipo de evidencia afecta al grado de fiabilidad, as como a la competencia del auditor para trabajar con ella y al enfoque de la fiscalizacin. Igualmente afecta a los mtodos y procedimientos utilizados para obtenerla, plantendose el problema de cmo recuperar, analizar y evaluar la evidencia informtica (en el captulo47
8 se comentan las tcnicas de auditora asistida por ordenador). Tambin se plantean problemas a la hora de documentar la evidencia informtica. Otro problema importante que afrontar, se deriva del hecho de que en muchos casos los datos en soporte magntico pueden no estar disponibles transcurrido un cierto tiempo por distintas razones (archivos temporales, cambio de formatos, incompatibilidades, deterioro o degradacin de la informacin). Resumiendo, la generalizacin de sistemas de informacin automatizados en el mbito de la gestin pblica ha llevado en paralelo la desaparicin de las pistas visibles de auditora en mltiples operaciones y procesos. De aqu surge la necesidad de desarrollar metodologa adaptada a las circunstancia y utilizar herramientas informticas, que permitan ejecutar el trabajo de fiscalizacin en el nuevo entorno tecnolgico. 2. Programas y aplicaciones Entre los procedimientos de una fiscalizacin est la revisin de los procedimientos administrativos y contables de la entidad auditada, del flujo de documentos, la comprobacin de las autorizaciones, la evaluacin y la prueba de los controles internos existentes (segregacin de funciones, etc.). La ejecucin de estos procedimientos se complica cuando dejan de realizarse manualmente, y se transforman en procedimientos y controles realizados automticamente por el sistema informtico. Como en el apartado anterior, vamos a ver cmo la Instruccin Modelo Normal de Contabilidad Local, regula el tratamiento informatizado de determinados procedimientos y controles:Regla 90.2: 2. Cuando las operaciones se incorporan al sistema mediante la utilizacin de soportes electrnicos, informticos o telemticos, los procedimientos de autorizacin y control mediante diligencias, firmas manuscritas, sellos u otros medios manuales podrn ser sustituidos por autorizaciones y controles establecidos en las propias aplicaciones informticas que garanticen el ejercicio de la competencia por quien la tenga atribuida. Regla 91.2 Toma de razn: 2. En el caso de que las operaciones sean registradas a partir de los datos contenidos en soportes electrnicos, informticos o telemticos, la diligencia de toma de razn se sustituir por los oportunos procesos de validacin en el sistema, mediante los cuales dichas operaciones queden referenciadas en relacin con las anotaciones contables que hayan producido.
48
En un entorno automatizado, solo la revisin de los sistemas lgicos informticos de gestin, de los programas informticos, proporcionar evidencia de auditora suficiente que permita al auditor conocer cul es el flujo de documentos electrnicos, las autorizaciones explcitas e implcitas, si existe segregacin de funciones, los controles de seguridad existentes y otros procedimientos de control interno. La fiscalizacin de sistemas complejos que interrelacionan e integran distintas reas funcionales de las organizaciones y la desaparicin progresiva del soporte papel, implica que la obtencin de evidencia mediante el anlisis y evaluacin de tales sistemas exceder normalmente las competencias de un auditor financiero requirindose la intervencin de un especialista en auditora informtica. 2.3.3. Fiabilidad de la evidencia informtica a) Aspectos generales En el apartado .3.16 de las NASP se dice que: Los auditores debern tener evidencia suficiente y adecuada (relevante y fiable) de que los datos provenientes de sistemas informticos sean vlidos y fiables cuando tales informaciones sean significativas para los resultados de la auditora. El auditor podr utilizar estas informaciones si otros auditores han verificado la validez y fiabilidad de los datos o la eficacia de los controles sobre el sistema que los genera. En caso contrario, debern realizar la validacin ellos mismos mediante una combinacin de pruebas sustantivas y pruebas sobre el adecuado funcionamiento de los sistemas informatizados. A fin de poder valorar si la evidencia informtica obtenida para respaldar el informe de auditora es suficiente y adecuada, el auditor debe considerar los riesgos especficos asociados al uso de este tipo de evidencia. Estos riesgos no pueden ser evaluados nicamente revisando la evidencia documental, como suele hacerse con los documentos en papel. La copia impresa de la informacin en soporte informtico o la lectura de la informacin directamente de la pantalla del ordenador es solamente un formato. Y ste no proporciona ninguna indicacin del origen y autorizacin, ni tampoco garantiza la integridad de la informacin. Los auditores deben asegurarse que los controles y las distintas tecnologas utilizadas para crear, procesar, transmitir y guardar informacin en soporte informtico son suficientes para garantizar su fiabilidad.49
Cuando el equipo auditor emplee datos provenientes de sistemas informticos y los incluya en el informe con fines tan slo ilustrativos y no significativos para los resultados, bastar, para satisfacer las normas tcnicas, con citar la fuente de tales datos indicando que no han sido verificados. El apartado .3.10 de las NASP dice que Cuando se emplee evidencia informtica, o datos procedentes de sistemas informticos del auditado, los auditores debern evaluar la fiabilidad de esta evidencia, y no darla nunca por supuesta a priori. Es decir, cualquier documento o dato generado por un ordenador que utilicemos como evidencia en una auditora debe ser especficamente validado para asegurarnos razonablemente de su fiabilidad en la misma medida que cualquier otro tipo de evidencia no informtica. Existen dos enfoques a la hora de evaluar la fiabilidad de los datos procedentes de sistemas informticos: la revisin de sistemas y las revisiones limitadas o documentales. Una revisin de sistemas evala y comprueba todos los controles en un sistema informtico, abarcando todo el rango de sus aplicaciones, funciones y productos. Estas revisiones: 1. examinan los controles generales y de aplicacin de una instalacin informtica, 2. verifican el cumplimiento de tales controles, y 3. efectan pruebas sobre los datos generados o tratados por el sistema. Mientras este enfoque proporciona un mejor entendimiento del diseo y operaciones de un sistema, tambin tiende a ser una actividad que consume una considerable cantidad de tiempo. La revisin limitada (documental) est dirigida hacia unos datos en particular. De esta forma normalmente se requiere un conocimiento menos extensivo de los controles generales y de aplicacin. Los controles pertinentes se examinan en la medida necesaria para juzgar el nivel de pruebas de datos a efectuar para determinar la fiabilidad de stos. b) Riesgos asociados y criterios para valorar la fiabilidad de la evidencia informtica Cuanto ms integrado sea un sistema de informacin, ms transacciones podrn ser procesadas y documentadas nicamente mediante medios informticos. Los auditores tienen ms probabilidades de utilizar la evidencia informtica en entornos informatizados complejos.0
Entre los riesgos inherentes a estos tipos de entornos figura la dependencia por parte de la entidad de su propio sistema informtico, y de los de sus proveedores de servicios, junto con el riesgo de que ocurra algn fallo en cada uno de estos niveles. Otros riesgos a considerar son la prdida de integridad, la no autenticacin, el no reconocimiento y la violacin de la confidencialidad de la informacin, as como la prdida de pistas de auditora y las posibles dudas de carcter legal que puedan surgir. A fin de poder valorar la fiabilidad de la evidencia informtica recopilada para respaldar el informe de auditora, el auditor debe considerar los riesgos especficos asociados al uso de este tipo de evidencia. Estos riesgos no pueden ser evaluados nicamente revisando la evidencia documental, como suele hacerse con los documentos en papel. La copia impresa de una informacin en soporte informtico o la lectura de la informacin directamente de la pantalla del ordenador es solamente un formato. Y ste no proporciona ninguna indicacin del origen y autorizacin, ni tampoco garantiza la integridad ni la integridad de la informacin. Los auditores deben asegurar que los controles y las distintas tecnologas utilizadas para crear, procesar, transmitir y guardar informacin en soporte informtico son suficientes para garantizar su fiabilidad. La siguiente figura 2.1 muestra los criterios para valorar la fiabilidad24 de la informacin en soporte informtico como evidencia de auditora.Autenticacin Integridad Se puede confirmar la identidad de la persona o entidad de quien procede la informacin. La completitud, exactitud, naturaleza actual y validez de la informacin. La integridad es la garanta de que la informacin ha sido validada y no ha sido alterada de forma involuntaria ni intencionada, ni ha sido destruida, al ser creada, procesada, transmitida, conservada y/o archivada. La informacin ha sido elaborada, procesada, modificada, corregida, enviada, recibida y se ha tenido acceso a ella por parte de las personas con autorizacin o responsabilidad para ello.
Autorizacin
Reconocimiento Una persona o entidad que haya recibido o enviado una infor(No repudio) macin no puede negar haber intervenido en el intercambio y rechazar el contenido de la informacin. Dependiendo de si existen pruebas irrefutables del origen, recepcin o contenido de la informacin en soporte electrnico, no se puede repudiar el origen de sta, su recepcin ni su contenido. Figura 2.1 2. Segn Going electronic de Andre Lavigne and Caroline mond, intoIT n. 19, febrero 2004. 1
Estos criterios podran utilizarse para valorar la fiabilidad de cualquier documento conteniendo informacin, bien en papel o en soporte informtico. La importancia de cada criterio depende de la naturaleza y del origen de la informacin electrnica y de su utilizacin para los propsitos de la auditora. Adems de valorar la fiabilidad de la evidencia de auditora, el auditor debe investigar acerca de la disponibilidad de la evidencia electrnica para los propsitos de la auditora. La confidencialidad de los datos tambin es de inters para el auditor ya que la violacin de la confidencialidad podra representar un riesgo que podra afectar la situacin financiera de la entidad. La fiabilidad de la informacin en soporte informtico depende de la fiabilidad de los sistemas de informacin y de las tecnologas utilizadas. Cuando se recopila, procesa graba o guarda en soporte informtico informacin significativa sobre una o ms manifestaciones sobre los estados financieros de una entidad, puede resultar imposible reducir el riesgo de deteccin a un nivel aceptable confiando nicamente en la aplicacin de procedimientos sustantivos. En tales casos, existe un riesgo elevado de que no puedan ser detectadas manifestaciones falsas contenidas en la informacin electrnica obtenida como evidencia de auditora. El auditor puede tener que adoptar un enfoque combinado y examinar los controles para obtener unas evidencias de auditora adecuadas.2 2.3.4. Propiedades diferenciadoras de la evidencia de auditora informtica respecto de la auditora tradicional La evidencia informtica se distingue de la evidencia de auditora tradicional en varios aspectos. En primer lugar, consiste en informacin en formato digital cuya estructura lgica es independiente de la informacin en s. En segundo lugar, el origen de la informacin, el destino de sta, as como las fechas de envo y recepcin no son parte integrante del documento electrnico, mensaje u otro formato de informacin.25. La US Government Accountability Office ha publicado en julio de 2009 una gua denominada Assessing the Reliability of Computer-Processed Data que proporciona un marco para evaluar la fiabilidad de los datos obtenidos por procedimientos informatizados para sus utilizacin en trabajos o auditoras no financieras (en las auditoras financieras se debe seguir una metodologa como la descrita en el captulo de este trabajo, que es ms completa que la descrita en la gua citada). La gua de la GAO ayuda a disear procedimientos para evaluar la fiabilidad de los datos utilizados para respaldar hallazgos, conclusiones o recomendaciones de los informes, y evaluar los resultados obtenidos. 2
De forma ms detallada, en el siguiente cuadro se sealan las principales diferencias entre la evidencia de auditora tradicional y la informtica:26Evidencia de auditora tradicional Origen Se puede establecer con facilidad el origen/ Es difcil determinar el origen si nicamente procedencia. se examina informacin en soporte informtico. Se requiere la utilizacin de controles y de tcnicas de seguridad que permitan la autenticacin y reconocimiento. Alteracin La evidencia en papel es difcil de alterar sin Es difcil, si no imposible, detectar cualquier que se detecte. alteracin nicamente mediante el examen de la informacin en soporte informtico. La integridad de la informacin depende de los controles fiables y de las tcnicas de seguridad empleadas. Aprobacin Los documentos en papel muestran la prueba Es difcil de establecer la aprobacin si de su aprobacin en su superficie. nicamente se examina la informacin en soporte informtico. Se requiere la utilizacin de controles y de tcnicas de seguridad. Integridad Todos los trminos relevantes de una Los trminos ms significativos aparecen a operacin/transaccin se incluyen por lo menudo en distintos archivos de datos. general en un mismo documento. Lectura No se requiere ningn tipo de herramienta Es necesaria la utilizacin de distintas o equipo. tecnologas y herramientas. Formato Parte integral del documento. El formato viene separado de los datos y puede modificarse. Evidencia informtica de auditora
Disponibilidad y accesibilidad Normalmente no es una restriccin durante Las pistas de auditora para la informacin la fiscalizacin. en soporte informtico puede que no estn disponibles en el momento de la auditora y el acceso a los datos puede resultar ms difcil. Firma Es sencillo firmar un documento en papel y Se necesitan las tecnologas adecuadas comprobar la firma. para realizar una firma electrnica fiable y revisarla.
Figura 2.2
26. Caroline mond, Electronic Audit Evidence, The Canadian Institute of Chartered Accountants, 2003. 3
Las operaciones de obtencin y anlisis de evidencia informtica, sern diferentes segn el tipo de evidencia con la que se vaya a trabajar. La utilizacin de tcnicas y herramientas de auditora asistida por ordenador (como ACL, IDEA, etc.), ser necesaria en buena parte de los casos, siendo una tarea abordable por cualquier auditor que rena unos requisitos de formacin mnima. Para la revisin de los programas y aplicaciones ser necesario el concurso de expertos en la revisin de sistemas informatizados, segn se resume en el siguiente cuadro:Clase de evidencia informtica Informacin y datos Programas y aplicacionesFigura 2.3
Tipo de procedimiento de auditora Recoleccin y anlisis con CAAT Revisin de procedimientos y controles
Quien la obtiene y evala Auditor financiero Auditor informtico
2.4. Entornos informatizados Segn la Norma tcnica de auditora sobre la auditora de cuentas en entornos informatizados del ICAC, una auditora se lleva a cabo en un entorno informatizado, cuando la entidad, al procesar la informacin financiera significativa para la auditora, emplea un ordenador, de cualquier tipo o tamao, ya sea operado por la propia entidad o por un tercero. De acuerdo con esta definicin, hoy en da, prcticamente cualquier entidad pblica opera en un entorno informatizado. Cuando se efecta una auditora en una entidad que opera en un entorno informatizado, el auditor debe evaluar la manera en que el entorno informatizado afecta a la auditora. Obviamente, afectar de forma diferente segn el grado de complejidad de ese entorno. El objetivo global y el alcance de la audit