Embed Size (px)
DESCRIPTION
datos de informatica
Citation preview
CAPÍTULO 4
EL INFoRME DE AUDIToRÍT
José de la Peña Sdnchez
4.1.INTRODUCCTÓN
El tema de este capítulo es el Informe de Auditoría Informática, que a su vezes el objetivo de la Auditoría Informática.
Para comprender ésta, en función del Informe que realiza'uln, digamos, experto operito -al que llamaremos Auditor Informático-, conviene explicar romeratnente elcontexto en el que se desenvuelve hoy su práctica.
La sociedad actual, a punto de estrenar un nuevo siglo y un nuevo milenio, estáen fase tecnológica; apenas guarda recuerdo práctico de anteriores etapas evolutivas(la artesanal; por ejemplo); más aún, las va olvidando a creciente veloóidad, genera-ción tras generación.
El dominio de la tecnología como motor de cambio social acelerado y como ca-talizador de cambios tecnológicos que se superponen, se hace rabiosamenle evidenteen las llamadas Tecnologías de Información y Comunicaciones de uso en las organi-zaciones. (Tras el mainframe y los terminales tontos, surgieron los PC's y las redés, elEDI, los entornos distribuidos, las arquitecturas cliente/servidor, las redes TCp/Ip
-intranets, extranets, redes privadas virtuales...-, los accesos remotos y móviles
lnediante portátiles y teléfonos móvil€s, y, finalmente -por ahora-, se nos proponen
Lerminales domésticos vinculados con el equipo de televisión y terminales cuasiiontosde trabajo conectados a servidores dominantes descentralizados... Y todo en un perío-clo no superior a ¡treinta y cinco años!
Está claro: las tecnologías de la información, al tiempo que dominan de modoimparable las relaciones humanas (personales, familiares, mercantiles, internaciona-lcs...), tienen un ciclo de vida cada vez más corto.
T_r) l /\t rl)l'l't)l<lA INF'ORMATICA: UN ENFOQUE PRACTICO O RA-MA
Sca como fuere, una de las consecuencias de lo dicho consiste en la dificultad de¿rsitnilación rilpida y equilibrada en la empresa de los entornos tecnológico y de orga-nización (referido el primero a las Tecnologías de Información y Comunicaciones, y elscgundo a lo mercantil).
En este sentido, el Auditor Informático, en tanto que experto, lo tiene crudo (me-nos, sin embargo, que el Auditor de Cuentas), al tener que encarar profesionalmente ycn el paisaje que estoy presentando, plagado de necesidades de reciclaje y formación,cl llamado "desfase entre las expectativas de los usuarios y los informes de audito-ría". Las cosas ya no son como eran, y algo habrá que hacer para encontrar un puntode equilibrio razonable entre el desfase mencionado y la confiabilidad de los usuarioscn el Informe (y en el Auditor Informático).
La complejidad de los sistemas de información crece con sus prestaciones y ca-racterísticas (conectividad, portabilidad...); la necesidad de utilizarlos que tienen lasorganizaciones
-públicas y privadas- en todos sus ámbitos, alcanza hoy un valor
cstratégico de competitividad y supervivencia... Podemos afirmar que nunca anteshemos sido tan dependientes de los sistemas de información. Y nunca antes hemosnecesitado tanto a expertos eficientes (no infalibles) en Auditoría Informática.
Conviene mencionar, al respecto de la práctica de la Auditoría (Informática), ysiempre en función del Informe de Auditoría, la existencia del fraude y del error, sobretodo si son significativos, así como la valoración de las garantías que aportan los in-fbrmes de los auditores informáticos a los usuarios, incluyendo gobiernos y organiza-ciones nacionales e internacionales.
La Informática es muy joven; por tanto, la Auditoría Informática lo es más (enlJspaña, por cierto, de modo superlativo). No está todo sin hacer; pero sí quedan mu-chos cabos por atar, y en esto el tiempo no es neutral.
En este capítulo (y en este contexto) vamos a tratar de fijar lapráctica de la Au-tlitoría Informática en función, como queda dicho, del Informe. Para ello, repasaremossomeramente aspectos previos fundamentales, como son las norrnas, el concepto decvidencia en auditoría, las irregularidades, los papeles de trabajo o documentaciónpara, finalmente, encarar el Informe, sus componentes, características y tendenciasdetectadas. Intentaremos, también, ofrecer algunas conclusiones de interés, sin perdertlc vista en todo caso que en el mundo auditor de hoy todo ejercicio de predicción es,cn principio, una temeridad.
c¡pÍrulo 4: EL INFORMe nB ¡uorronín r)5
4.2. LAS NORMAS
En 1996 la Unión Europea publicó el Libro Verde de Ia Auditoúa, dedicado al
¡ritpel, la posición y la responsabilidad del auditor legal. Su contenido afecta a la Au-tlitoría Informática.
En principio, el Libro acepta las Normas Internacionales IFAC para su adapta-t'ión adecuada ala Unión Europea; por tanto, se transmitirán a través de las Directivast'orrespondientes a España para que se transformen en legislación positiva.
En lo referente al Tratamiento Automatizado de Datos de Carácter Person¡rl-incluso disponiendo de una Ley orgánicu-, el asunto se resolverá por los mismos
('ituces, con la trasposición de la actual Directiva de protección de datos personales y,quízá, de otra, en forma de propuesta todavía, relacionada con los servicios de teleco-Iuunicaciones apoyados en tecnología digital y especialmente Red Digital de Servicioslrrtegrados.
Otra fuente de Normas Internacionales es ISACF, ya más específica de Auditoríalrrfbrmática. Nuestro país está representado en ISACA por la Organizaciín de Audito-rírr Informática, en lento take off.
Hoy por hoy, la normativa española oficial que afecta, en mayor o menor medi-rl¿r, a la Auditoría Informática, es la siguiente:
o ICAC: Norrnas Técnicas de Auditoría: punto 2.4.10, Estudio y Evaluación dcrl
Sistema de Control Interno.
¡ AGENCIA DE PROTECCIÓN OB DATOS: Instrucción relativa a la presra-ción de servicios sobre solvencia patrimonial y créditos. Norma cuarta: Forrn¿rde Comprobación.
Del artículo 9 dela LORTAD se desprende el desarrollo reglamentario de mcrli-rlrts técnicas y organizativas alusivas a la seguridad en lo que concieme a integridacl yt'onfidencialidad de los datos personales automatizados. Todavía no ha sido publicadot:rl reglamento, pero sería de esperar que se incluyera en su texto alguna referenci¡rt'specífica sobre Auditoría Informática.
También conviene reseñar que dentro de la Unión Europea, la FEE tienc cll rrr¡rr
t'lr¿t cl Proyccto EDIFICAS.EUROPE, dentro del UN/EDIFACT, en cl quc lis¡rirtlrrt'slii rc¡rrcsc:ltlatla p<lr cl lA(l.lCE, quc sc cslruclr¡ra cn cuatro grupos dc trabirjo: Mcrr
96 .\LDTTORLA. I\TOL\Í-\TIC.{: L}- ENFOQUE PRACTICO o R.{-\r.
La Auditoúa Informática no está muy desaffollada y, por añadidura, se encuentra
en un punto crucial para la definición del modelo en que deberá implantarse y practi-carse en la Unión Europea y, por tanto, España, vía directivas UEAegislación positir a
y nonnas profesionales.
Maticemos este aspecto: hay dos tendencias legislativas y de práctica de discipli-nas: la anglosajona, basada en la Common lnw, con pocas leyes y jurisprudencia rele-vante; y la latina, basada en el Derecho Romano, de legislación muy detallada.
La tensión entre estos dos modelos, esto es, entre el intervencionismo máximclatino y el mínimo intervencionismo anglosajón, es ya insostenible. Uno de los dosdeberá prevalecer, si es que realmente nos encaminamos a la sociedad global.
Justo es reconocer que los parámetros del cambio tecnológico pÍrecen hacer má<práctico el modelo anglosajón: no en vano, en Estados Unidos, tanto la Auditoría co-mo la Informática (y las Comunicaciones), tienen un desarrollo muy experimentado r'.sobre todo, adaptativo. Los parámetros de velocidad y tiempo hacen aconsejable unesfuerzo por corlseguir la disponibilidad armonizada de normas legales y normas deorigen profesional.
Si la globalización antes mencionada es un hecho incuestionable, el sabio uso delos llamados principios generalmente aceptados hará posible la adaptación suficientea la realidad de cada época.
En este sentido, no podemos olvidar que los organismos de armonización, nor-malización, homologación, acreditación y certificación tendrán que funcionar a unritmo más acorde con las necesidades cambiantes. El conjunto ISO-CEN-AENOR Ilos vinculados con seguridad, ITSEC/ITSEM Europa, TCSEC USA y Common Crite-ria UEA.{orteamérica, necesitan ir más rápido, ya que su lentitud está provocando, enun mundo tan acelerado, la aparición de multitud de organizaciones privadas, consor-cios y asociaciones que con muy buena voluntad y óptimo sentido de la convenienciamercantil, pretenden unificar normas y promocionar estándares.
Por último, conviene que se clarifique el panorama normativo, de prácticas y res-ponsabilidades en lo que concierne a los problemas planteados por los servicios pro-fesionales multidisciplinares, ya que el Informe de Auditoría Informática se compo-ne de tres términos: Informática. Auditoría e Informe.
O RA-MA CAPÍTIJLO 4: EL INFORME DE AUDITORÍA 97
4.3. LA EVIDENCIA
En este epígrafe parece saludable reseñar algunos asuntos previos, referidos a laredacción del Informe, tratados en otros capítulos de esta obra, puesto que el referidoInforme es su consecuencia.
Por tanto, tratemos de recordar en qué consiste la evidencia en Auditoría Infor-mática, así como las pruebas que la avalan, sin olvidar la importancia relativa y elriesgo probable, inherente y de control.
La certeza absoluta no siempre existe, según el punto de vista de los auditores;los usuarios piensan lo contrario. No obstante lo dicho, el desarrollo del control inter-no, incluso del específicamente informático, está en efervescencia, gracias al empujede los Informes USA/Treadway (1987), UllCadbury 0992) y Francia./Vienot (1995),y en lugar destacado el USA/COSO (1992), traducido al español por Coopers &Lybrand y el Instituto de Auditores Internos de España.
Pero volvamos a la evidencia, porque ella es la base razonable de la opinión delAuditor Informático, esto es, el Informe de Auditoría Informática.
La evidencia tiene una serie de calificativos; a saber:
- La evidencia relevante, que tiene una relación lógica con los objetivos de laauditoúa.
- Laevidencia fiable, que es viálida y objetiva, aunque con nivel de confianza.
- La evidencia suficiente, que es de tipo cuantitativo para soportar la opiniónprofesional del auditor.
- La evidencia adecuada, que es de tipo cualitativo para afectar a las conclu-siones del auditor.
En principio, las pruebas son de cumplimiento o sustantivas.
Aunque ya tratado en otro capítulo, conviene recordar el escollo práctico de laimportancia relativa o materialidad, así como el riesgo probable.
La opinión deberá estar basada en evidencias justificativas, es decir, desprovist¿sde prejuicios, si es preciso con evidencia adicional.
98 AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO O RA-MA
4.4. LAS IRREGULARIDADES
Las irregularidades, o sea, los fraudes y los errores, especialmente la existenciade los primeros, preocupa tanto que aparece con énfasis en el ya citado Libro Verde dela UE. La Dirección General XV (Comercio Interior) y el MARC (Maastricht) estánclaramente sensibilizados al respecto.
Recordemos antes de proseguir, que en los organismos y las empresas, la Direc-ción tiene la responsabilidad principal y primaria de la detección de inegularidadeS,fraudes y enores; la responsabilidad del auditor se centra en planificar, llevar a cabo yevaluar su trabajo para obtener una expectativa razonable de su detección.
Es, pues, indudablemente necesario diseñar pruebas antifraude, que lógicamenteincrementarán el coste de la auditoría, previo análisis de riesgos (amenazas, importan-cia relativa...).
La auditoría de cuentas se está judicializando -camino
que seguirá la AuditoríaInformática, práLctica importada de Estados Unidos-, ya que aparece en el vigenteCódigo Penal (delitos societarios y otros puntos) con especial énfasis en los adminis-tradores. No olvidemos, al respecto, la obligatoriedad de suscribir pólizas de seguro deresponsabilidad civil para auditores independientes, individuales y sociedades.
Por prudencia y rectitud, convendrá aclarar al máximo --de ser posible- si elInforme de Auditoría es propiamente de auditoría y no de consultoría o asesoría in-formática, o de otra materia afín o próxima.
Aunque siempre debe prevalecer el deber de secreto profesional del auditor, con-viene recordar que en el caso de detectar fraude durante el proceso de auditoría proce-de actuar en consecuencia con la debida prudencia que aconseja episodio tan delicadoy conflictivo, sobre todo si afecta a los administradores de la organización objeto de
auditoría. Ante un caso así, conviene consultar a la Comisión Deontológica Profesio-nal, al asesor jurídico, y leer detenidamente las normas profesionales, el Código Penaly otras disposiciones; incluso hacer lo propio con las de organismos oficiales talescomo el Banco de España, la Dirección General de Seguros, la Comisión Nacional delMercado de Valores, el organismo regulador del medio ambiente..., que pudieran estarafectados, no debería desestimarse. El asunto podría, incluso, terminar en los Tribu-nales de justicia.
4.5. LA DOCUMENTACION
En el argot de auditoría se conoce como papeles de trabajo la "totalidad de losJocumentos preparados o recibidos por el auditor, de manera que, en conjunto, cons-
O RA.MA CAPÍTULO 4: EL INFORME DE AUDITORÍA 99
tituyen un compendio de la información utilizada y de las pruebas efectuadas en laejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a
formarse su opinión".
El Informe de Auditoría, si se precisa que sea profesional, tiene que estar basadoen la documentación o papeles de trabajo, como utilidad inmediata, previa supervi-sión.
La documentación, además de fuente de know how del Auditor Informático paratrabajos posteriores así como para poder realizar su gestión interna de calidad, es
fuente en algunos casos en los que la corporación profesional puede realizar un controlde calidad, o hacerlo algún organismo oficial. Los papeles de trabajo pueden llegar a
tener valor en los Tribunales de justicia.
Por otra parte, no debemos omitir la característica registral del Informe, tanto ensu parte cronológica como en la organizativa, con procedimientos de archivo, búsque-da, custodia y conservación de su documentación, cumpliendo toda la normativa vi-gente, legal y profesional, como mínimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/oexpertos independientes, así como de los auditores internos, se reseñen o no en el In-forme de Auditoría Informática, formarán parte de la documentación.
Además. se incluirán:
El contrato cliente/auditor informático y/o la carta propuesta del auditor in-formático.Las declaraciones de la Dirección.Los contratos, o equivalentes, que afecten al sistema de información, así comoel informe de la asesoría jurídica del cliente sobre sus asuntos actuales y pre-visibles.El informe sobre terceros vinculados.Conocimiento de la actividad del cliente.
4.6. EL INFORME
Se ha realizado una visión rápida de los aspectos previos para tenerlos muy pre-sentes al redactar el Informe de Auditoría Informática, esto es, la comunicación delAuditorlnformático al cliente, formal y,quizá, solemne, tanto del alcance de la audi-toría (objetivos, período de cobertura, naturalezay extensión del trabajo realizailo,como de los resultados v conclusiones.
lOO AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO O RA-MA
Es momento adecuado de separar lo significativo de lo no significativo, debida-mente evaluados por su importancia y vinculación con el factor riesgo, tarea eminen-temente de carácter profesional y ético, según el leal saber y entender del AuditorInformático.
Aunque no existe un formato vinculante, sí existen esquemas recomendados conlos requisitos mínimos aconsejables respecto a estructura y contenido.
También es cuestión previa decidir si el informe es largo o, por el contrario, cor-to, por supuesto con otros informes sobre aspectos, bien más detallados, bien másconcretos, como el informe de debilidades del control interno, incluso de hechos oaspectos; todo ello teniendo en cuenta tanto la legislación vigente como el contratocon el cliente.
En mi modesta opinión, los términos cliente o proveedor/interno o externo, típi-cos de la Gestión de la Calidad, resultan más apropiados que informático/auditor in-formático/usuario, ya que este último término tiene una lamentable connotación peyo-rativa.
En lo referente a su redacción, el Informe deberá ser claro, adecuado, suficiente ycomprensible. Una utilización apropiada del lenguaje informático resulta recomenda-ble.
- Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informáticason los siguientes:
l. Identfficación del Informe
El título del Informe deberá identificarse con objeto de distinguirlo de otros in-formes.
2. Identificación del Cliente
Deberá identificarse a los destinatarios y a las personas que efectúen el encargo.
3. Identificación de la entidad auditada
Identificación de la entidad objeto de la Auditoría Informática.
CAPÍTULO 4: EL INFORME DE AUDITORÍA IOI
4. Objetivos de la Auditoría Informdtica
Declaración de los objetivos de la auditoría para identificar su propósito, seña-lando los objetivos incumplidos.
5. Normativa aplicada y excepciones
Identificación de las noÍnas legales y profesionales utilizadas, así como las ex-cepciones significativas de uso y el posible impacto en los resultados de la auditoría.
6. Alcance de Ia Auditoría
Concretar la naturaleza y extensión del trabajo realizado: área organizativa, pe-ríodo de auditoúa, sistemas de información..., señalando limitaciones al alcance yrestricciones del auditado.
7. Conclusiones: Informe corto de opinión
Lógicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dicta-men, la opinión y los pánafos de salvedades y énfasis, si procede.
El Informe debe contener uno de los siguientes tipos de opinión: favorable o sinsalvedades, con salvedades, desfavorable o adversa, y denegada.
7.1. Opinión favorable. La opinión calificada como favorable, sin salvedades olimpia, deberá manifestarse de forma clara y precisa, y es el resultado de untrabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdocon la normativa legal y profesional.
Es indudable que entre el informe de recomendaciones al cliente, que inclu-ye lo referente a debilidades de control interno en sentido amplio, y las sal-vedades, existe o puede existir una zona de gran sensibilidad; tan es así que
tendrá que clarificarse al máximo, pues una salvedad a la opinión deberá serrealmente significativa; concretando: ni pasarse, ni no llegar, dicho en len-guaje coloquial; en puridad es un punto de no retorno.
7.2. Opinión con salvedades. Se reitera lo dicho en la opinión favorable al res-pecto de las salvedades cuando sean significativas en relación con los objeti-vos de auditoría, describiéndose con precisión la naturaleza y razones.
Podrán ser éstas, según las circunstancias, las siguientes:
102 AUDTTORÍA INFORUÁTICA: UN ENFOQUE PRÁCTTCO
o Limitaciones al alcance del trabajo realizado; esto es, restricciones porparte del auditado, etc.
o Incertidumbres cuyo resultado no permita una previsión razonable.r Irregularidades significativas.o Incumplimiento de la normativa legal y profesional.
7.3. Opinión desfavorable. La opinión desfavorable o adversa es aplicable en elcaso de:
o Identificación de irregularidadesr Incumplimiento de la normativa legal y profesional, que afecten signifi-
cativamente a los objetivos de auditoría informática estipulados, inclusocon incertidumbres; todo ello en la evaluación de conjunto y reseñandodetalladamente las razones correspondientes.
7.4. Opinión denegada. La denegación de opinión puede tener su origen en:
a
a
a
a
Las limitaciones al alcance de auditoría.Incertidumbres significativas de un modo tal que impidan al auditor for-marse una opinión.Irregularidades.El incumplimiento de normativa legal y profesional.
7.5. Resumen. El siempre difícil tema de la opinión, estrella del Informe de Au-ditoría Informática, joven como informática y más todavía como auditoríainformática; por tanto, puede decirse que más que cambiante, mutante. De-bido a ello, y además con la normativa legal y profesional desacompasadas,la ética se convierte casi en la única fuente de orientación para reducir eldesfase entre las expectativas del usuario en general y el informe de los au-ditores.
No olvidemos que existe la ingeniería financiera y la contabilidad creativa:tampoco que las entidades que pueden ser auditadas suelen estar sometidas acambios, como por ejemplo la implantación de aseguramiento y gestión de lacalidad -vía ISO 9000, vía EFQM (modelo europeo)-, reingeniería deprocesos y otras transformaciones significativas (adáptaciones al Milenio yal Euro).
8. Resultados: Informe largo y offos informes
Parece ser que, de acuerdo con la teoría de ciclos, el informe largo va a colocar alinforme corto en su debido sitio, o sea, como resumen del informe largo (¿quizá ob-
CAPÍTULO 4: EL INFORME DE AUDITORÍA 103
soleto?). Los usuarios, no hay duda, desean saber más y desean transparencia comovalor añadido.
Es indudable que el límite lo marcan los papeles de trabajo o documentación dela Auditoría Informática, pero existen aspectos a tener en cuenta:
o El secreto de la empresa.r El secreto profesional.o Los aspectos relevantes de la auditoría.a ...
Las soluciones previsibles se orientan hacia un Informe por cada objetivo de laAuditoría Informática, tal como el de Debilidades de Control Interno o los informesespeciales y/o complementarios que exigen algunos organismos gubernamentales,como por ejemplo el Banco de España, la Comisión Nacional del Mercado de Valoresy la Dirección General de Seguros, entre oftos y por ahora.
9. Informes previos
No es una práctica recomendable, aunque sí usual en algunos casos, ya que el In-forme de Auditoría Informática es, por principio, un informe de conjunto.
Sin embargo, en el caso de detección de irregularidades significativas, tanto erro-res como fraudes, sobre todo, se requiere una actuación inmediata según la normativalegal y profesional, independientemente del nivel jerárquico afectado dentro de laestructura de la entidad. Recordemos al respecto el delito societario y la responsabili-dad civil del Auditor (Informático).
10. Fecho del Informe
El tiempo no es neutral; la fecha del Informe es importante, no sólo por la cuanti-ficación de honorarios y el cumplimiento con el cliente, sino para conocer la magnituddel trabajo y sus implicaciones. Conviene precisar las fechas de inicio y conclusión deltrabajo de campo, incluso la del cierre del ejercicio, si es que se está realizando unInforme de Auditoría Informática como herramienta de apoyo a la Auditoría deCuentas. En casos conflictivos pueden ser relevantes aspectos tales como los hechosposteriores al fin del período de auditoría, hechos anteriores y posteriores al trabajo decampo...
IO4 AUDITORÍN INT'ONUÁTICA: UN ENFOQUE PRÁCTICO @ RA-lr,
11. Identificación y firma del Auditor
Este aspecto formal del informe es esencial tanto si es individual como si formaparte de una sociedad de auditoría, que deberá corresponder a un socio o socios legal-mente así considerados.
12. Distribución del Informe
Bien en el contrato, bien en la carta propuesta del Auditor Informático, deberádefinirse quién o quiénes podrán hacer uso del Informe, así como los usos concretosque tendrá, pues los honorarios deberán guardar relación con la responsabilidad civil.
4.7. CONCLUSIONES
¿Qué es el informe de auditoría informática y qué le diferencia de otro tipo de in-formes (consultoría, asesoría, servicios profesionales...) de informática?
Resulta básico, antes de redactar el informe de auditoría, que el asunto esté muyclaro, no sólo por las expectativas ya citadas sino porque cada término tiene un conte-nido usual muy.concreto; la etiqueta auditoría es, en esencia, un juicio de valor u opi-nión con justificación.
Por tanto, habida cuenta que tiene base objetiva -sobre todo con independenciaen sentido amplio-, es eminentemente una opinión profesional subjetiva.
Además, como se aplican criterios en términos de probabilidad, hay que evitar lapredisposición a algún posible tipo de manipulación, debido a la libertad de elecciónde pruebas; no se debe elegir un4 serie de ellas que dé la imagen buscada (prejuicio)como consecuencia de la acumulación de sesgos ad hoc.
Esta insistencia en clarificar es quizá excesiva, pero resulta importante emitir elinforme de auditoría informática de acuerdo con la aplicación de la Auditoría Infor-mática con criterios éticamente profesionales y desestimar los procedimientos de Au-ditoría Informática "creativa" sorteando la posible "contaminación" con la contabil i-dad "creativa".
En el precitado Libre Verde de Auditoúa Legal de la Unión Europea y recordan-do la Directiva Octava de Derecho de Sociedades, se señala que el auditor debe serindependiente, pero sólo la FEE señala que puede serlo de una manera objetiva.
Es ilustrativo revisar textualmente el punto 4.9 del famoso Libro Verde:
O RA.MA CAPITULO 4: EL INFORME DE AUDITORIA 105
"En años recientes, se ha manifestado preocupqción sobre las amenazas que se
ciernen sobre la independencia de los auditores. Varias encuestas indican el hecho deque las empresas están cada vez más preparadas a desafiar a los auditores, compraropiniones, buscar asesoramiento legal sobre las opiniones de los auditores y a cambiarde auditores. Algunos informes concluyen que, dadas las presiones competitivas, seríaidealista asumir que todos los auditores actúan en todo momento sin pensar en el ries-go de perder clientes. Se han manifestado críticas de que el profesionalismo se hadisminuido en favor de una actitud más de nesocio."
En fin, que como indicio del estado ¿"f ln", este piárrafo resulta bastante aleccio-nador.
Navegando entre definiciones y definiciones, encuentro muy explicativa la deISACF, que dice así:
"La auditoría de sistemas de información se define como cualquier auditoría queabarca la revisión y evaluación de todos los aspectos (o alguna sección/iárea) de lossistemas automatizados de procesamiento de la información, incluyendo procedi-mientos relacionados no automáticos y las interrelaciones entre ellos."
Creo que precisa lo suficiente sobre el sistema informático, el manual y sus co-nexiones para delimitar los objetivos de cobertura de un informe de auditoría infor-mática que, ponderados con los objetivos COSO de la Actividad de Tecnologías de lalnformación (planes estratégicos, inforniación fiable, adecuada y disponible, y siste-mas de información disponibles), clarifican en forma razonable las zonas fronterizas:on otros temas afines, por ahora.
En mi opinión, Maastricht está acelerando el asunto; tanto es así que si Maas-rcht no existiera habría que inventarlo, aunque el término auditoría tiene connotacio-:es no deseables. Espero que el MARC (Maastricht Accounting and Auditing Re-
=a¡ch Center) sea un factor positivo en la auditoría de los sistemas de información, y:.rr tanto, en los informes y su normativa legaUprofesional correspondiente.
4.8. LECTURAS RECOMENDADAS
Emilio del Peso Navarro, Miguel Ángel Ramos González, Carlos Manuel Fer-nández Sánchez y María José Ignoto Azaustre. Manual de dictdmenes y pe-ritajes informdticos. Ediciones Díaz de Santos, S.A. Madrid, 1995.
-\gustín L6pez Casuso. Normas de Auditoría: Cómo Interpretarlas para su Apli-cación. Editorial IACJCE Madrid. 1995.
I06 AUDITORÍA INFORMÁTICA: UN ENFOQUE PRÁCTICO O RA.\1
Luis Muñoz Sabate. Técnica Probatoria: Estudio íobre las Dificultades de laPrueba en el Proceso. Editorial Praxis, S.A. Barcelona, 1993,4" edición.
Mary C. Bromake. Los informes de auditoría y su técnica de redacción. EditorialDeusto, S.A. Bilbao, 1989.
Revista SIC, Seguridad en Informática y Comunicaciones. Ediciones Coda, S.L.Madrid.
4.9. CUESTIONES DE REPASO
1. ¿Qué diferencia existe entre evidencia suficiente y evidencia adecuada?
2. ¿Qué diferencia existe entre prueba de cumplimiento y prueba sustantiva?
3. ¿Las normas IFAC son vinculantes en España?
4. ¿Las normas ISACF son vinculantes en España?
5. ¿Qué diferencia existe entre opinión desfavorable y opinión denegada?
6. ¿Qué significa importancia relativa?, ¿y materialidad?
' 7, ¿Qué significado tiene la responsabilidad civil del auditor informático emisordel informe de auditoría informática v firmante del mismo?
8. ¿Cuál es la utilidad del documento denominado Declaraciones de la Direc-ción?
9. ¿Qué diferencia existe entre experto informático y auditor informático?
10. ¿Qué diferencia existe entre auditor interno y auditor externo?
