Corporación Unificada Nacional Auditoria de Sistemas Didier Merchán Carvajal Ingeniería de Sistemas
INFORME DE AUDITORIA INFORMATICA Dentro del proceso de auditoria informática se establece un documento en el cual se relacionan todos los aspectos analizados con sus respectivas observaciones o conclusiones el cual maneja o integra una serie de elementos que son: 1. Identificación del Informe: El título del Informe deberá identificarse con objeto de distinguirlo de otros informes. 2. Identificación del Cliente: Deberá identificarse a los destinatarios y a las personas que efectúen el encargo. 3. Identificación de la entidad auditada: Identificación de la entidad objeto de la Auditoría Informática. 4. Objetivos de la Auditoría Informática: Declaración de los objetivos de la auditoría para identificar su propósito, señalando los objetivos incumplidos. 5. Normativa aplicada y excepciones: Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoría. 6. Alcance de la Auditoría: Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información... señalando limitaciones al alcance y restricciones del auditado. Además de los elementos antes mencionados cabe resaltar que para la elaboración correcta de un informe de auditoría informática se deben tener en cuenta las siguientes características.
LAS NORMAS En 1996 la Unión Europea publicó el Libro Verde de la Auditoría, dedicado al papel, la posición y la responsabilidad del auditor legal. Su contenido afecta a la Auditoría Informática. En principio, el Libro acepta las Normas Internacionales IFAC para su adaptación adecuada a la Unión Europea; por tanto, se transmitirán a través de las Directivas correspondientes a España para que se transformen en legislación positiva.
En lo referente al Tratamiento Automatizado de Datos de Carácter Personal -incluso disponiendo de una Ley orgánica-, el asunto se resolverá por los mismos cauces, con la trasposición de la actual Directiva de protección de datos personales y, quizá, de otra, en forma de propuesta todavía, relacionada con los servicios de telecomunicaciones apoyados en tecnología digital y especialmente Red Digital de Servicios Integrados. Otra fuente de Normas Internacionales es ISACF, ya más específica de Auditoría Informática. Nuestro país está representado en ISACA por la Organización de Auditoría Informática, en lento take off. Hoy por hoy, la normativa oficial que afecta, en mayor o menor medida, a la Auditoría Informática, es la siguiente: ICAC: Normas Técnicas de Auditoría: punto 2.4.10, Estudio y Evaluación del Sistema de Control Interno. AGENCIA DE PROTECCIÓN DE DATOS: Instrucción relativa a la prestación de servicios sobre solvencia patrimonial y créditos. Norma cuarta: Forma de Comprobación. Del artículo 9 de la LORTAD se desprende el desarrollo reglamentario de medidas técnicas y organizativas alusivas a la seguridad en lo que concierne a integridad y confidencialidad de los datos personales automatizados. Todavía no ha sido publicado tal reglamento, pero sería de esperar que se incluyera en su texto alguna referencia específica sobre Auditoría Informática. También conviene reseñar que dentro de la Unión Europea, la FEE tiene en marcha el Proyecto EDIFICAS EUROPE, dentro del UN/EDIFACT, en el que España está representada por el IACJCE, que se estructura en cuatro grupos de trabajo: Mensajes, Auditoría (Guías de Auditoría de entornos de EDI), Promoción y Asuntos Especiales.
LA EVIDENCIA En este epígrafe parece saludable reseñar algunos asuntos previos, referidos a la redacción del Informe, tratados en otros capítulos de esta obra, puesto que el referido Informe es su consecuencia. Por tanto, tratemos de recordar en qué consiste la evidencia en Auditoría Informática, así como las pruebas que la avalan, sin olvidar la importancia relativa y el riesgo probable, inherente y de control. La certeza absoluta no siempre existe, según el punto de vista de los auditores; los usuarios piensan lo contrario. No obstante lo dicho, el desarrollo del control interno, incluso del específicamente informático, está en efervescencia, gracias al empuje de los Informes USA/Treadway (1987), UK/Cadbury (1992) y Francia/Vienot (1995), y en lugar destacado el USA/COSO (1992), traducido al español por Coopers & Lybrand y el Instituto de Auditores Internos de España.
Pero volvamos a la evidencia, porque ella es la base razonable de la opinión del Auditor Informático, esto es, el Informe de Auditoría Informática. La evidencia tiene una serie de calificativos; a saber: La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría. La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza. La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor. La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor. En principio, las pruebas son de cumplimiento o sustantivas. Aunque ya tratado en otro capítulo, conviene recordar el escollo práctico de la importancia relativa o materialidad, así como el riesgo probable. La opinión deberá estar basada en evidencias justificativas, es decir, desprovistas de prejuicios, si es preciso con evidencia adicional.
LAS IRREGULARIDADES Las irregularidades, o sea, los fraudes y los errores, especialmente la existencia de los primeros, preocupa tanto que aparece con énfasis en el ya citado Libro Verde de la DE. La Dirección General XV (Comercio Interior) y el MARC (Maastricht) están claramente sensibilizados al respecto. La auditoría de cuentas se está judicializando -camino que seguirá la Auditoría Infonnática, práctica importada de Estados Unidos-, ya que aparece en el vigente Código Penal (delitos societarios y otros puntos) con especial énfasis en los administradores. No olvidemos, al respecto, la obligatoriedad de suscribir pólizas de seguro de responsabilidad civil para auditores independientes, individuales y sociedades. LA DOCUMENTACION En el argot de auditoría se conoce como papeles de trabajo la "totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión". El Informe de Auditoría, si se precisa que sea profesional, tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.
La documentación, además de fuente de know how del Auditor Informático para trabajos posteriores así como para poder realizar su gestión interna de calidad, es fuente en algunos casos en los que la corporación profesional puede realizar un control de calidad, o hacerlo algún organismo oficial. Los papeles de trabajo pueden llegar a tener valor en los Tribunales de justicia. Por otra parte, no debemos omitir la característica registral del Informe, tanto en su parte cronológica como en la organizativa, con procedimientos de archivo, búsqueda, custodia y conservación de su documentación, cumpliendo toda la normativa vigente, legal y profesional, como mínimo exigible. Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o expertos independientes, así como de los auditores internos, se reseñen o no en el Informe de Auditoría Informática, formarán parte de la documentación. Además, se incluirán: El contrato cliente/auditor informático y/o la carta propuesta del auditor informático. Las declaraciones de la Dirección. Los contratos, o equivalentes, que afecten al sistema de información, así como el informe de la asesoría jurídica del cliente sobre sus asuntos actuales y previsibles. El informe sobre terceros vinculados. - Conocimiento de la actividad del cliente. CONCLUSIONES ¿Qué es el informe de auditoría informática y qué le diferencia de otro tipo de informes (consultaría, asesoría, servicios profesionales...) de informática? Resulta básico, antes de redactar el informe de auditoría, que el asunto esté muy claro, no sólo por las expectativas ya citadas, sino porque cada término tiene un contenido usual muy concreto; la etiqueta auditoría es, en esencia, un juicio de valor u opinión con justificación. Por tanto, habida cuenta que tiene base objetiva -sobre todo con independencia en sentido amplio-, es eminentemente una opinión profesional subjetiva. Además, como se aplican criterios en términos de probabilidad, hay que evitar la predisposición a algún posible tipo de manipulación, debido a la libertad de elección de pruebas; no se debe elegir una serie de ellas que dé la imagen buscada (prejuicio) como consecuencia de la acumulación de sesgos ad hoc. Esta insistencia en clarificar es quizá excesiva, pero resulta importante emitir el Informe de auditoría informática de acuerdo con la aplicación de la Auditoría Informática con criterios éticamente profesionales y desestimar los procedimientos de Auditoría Informática "creativa" sorteando la posible "contaminación" con la contabilidad "creativa".
En el precitado Libre Verde de Auditoría Legal de la Unión Europea y recordando la Directiva Octava de Derecho de Sociedades, se señala que el auditor debe ser independiente, pero sólo la FEE señala que puede serio de una manera objetiva.
