lunes, 29 de febrero de 2016

Normas de Auditoría de Tecnologías de la Información y la Comunicación en Bolivia

ANTECEDENTES
La Contraloría General del Estado a través de la resolución N° CGE/094/2012 del 27 de agosto de 2012, resuelve aprobar los siguientes instrumentos normativos en su primera versión, entrando en vigencia desde el 1 de noviembre de 2012:
  • Normas Generales de Auditoria Gubernamental, Código NE/CE-011
  • Normas de Auditoría Financiera, Código NE/CE-012
  • Normas de Auditoría Operacional, Código NE/CE-
  •  Normas de Auditoría Ambiental, Código NE/CE-014
  • Normas de Auditoría Especial, Código NE/CE-015
  • Normas de Auditoría de Proyectos de Inversión Pública, Código NE/CE-016
  • Normas de Auditoría de Tecnologías de Información y Comunicación, Código NE/CE-
  •  Normas para el ejercicio de la Auditoría Interna, Código NE/CE-018
DISPOSICIONES GENERALES
Propósito
El documento contiene un conjunto de normas y aclaraciones que permiten asegurar la uniformidad y calidad de la auditoría gubernamental en Bolivia.
Aplicación
Estas normas son de aplicación obligatoria en la práctica de la auditoría realizada en toda entidad pública por auditores gubernamentales, estos pueden ser miembros de la Contraloría General del Estado, unidades de Auditoría Interna de entidades públicas y profesionales o firmas de auditoría.
Auditoría
Es la acumulación y evaluación objetiva de evidencia para establecer e informar sobre el grado de correspondencia entre la información examinada y criterios establecidos.
Consideraciones básicas
Los servidores públicos deben rendir cuenta de su gestión a la sociedad, siendo su responsabilidad:
  • Emplear los recursos públicos con eficacia, eficiencia, economía y efectividad.
  • Cumplir con el ordenamiento jurídico administrativo y otras normas legales aplicables.
  • Establecer y mantener controles efectivos para garantizar el logro de objetivos, promover la eficiencia de sus operaciones, salvaguardar recursos y emitir información útil, oportuna y confiable.
Vacíos técnicos
Ante aspectos no contemplados en estas normas, se debe recurrir a las Normas Generales de Auditoría de Sistemas de Información emitidas por la Asociación de Auditoría y Control de Sistemas de Información ISACA, el modelo de control COBIT, las Normas Internacionales de Auditoría (NIA) emitidas por la Federación Internacional de Contadores (IFAC); las Declaraciones sobre Normas de Auditoría (SAS) emitidas por el Instituto Americano de Contadores Públicos (AICPA) y las Normas de Auditoría emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).
Contratación de servicios de auditoría
No existe norma de auditoría al respecto, pero se debe aplicar políticas y procedimientos idóneos para la adjudicación y contratación de servicios de Auditoría, conforme establece el Reglamento emitido por la Contraloría General del Estado.
Registro de firmas y profesionales independientes de auditoría externa
Profesionales independientes y firmas de auditoría externa, para prestar servicios de auditoría en entidades públicas, deben inscribirse en el Registro de la Contraloría General del Estado.
Auditoría de tecnologías de la información y la comunicación
Se refiere al examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de TIC, para expresar una opinión independiente respecto:
  • A la confidencialidad, integridad, disponibilidad y confiabilidad de la información.
  • Al uso eficaz de los recursos tecnológicos.
  • A la eficacia del control interno asociado a los procesos de las TIC.
Este tipo de auditoria puede ser orientada hacia uno o varios de los siguientes enfoques:   
  • Enfoque a las seguridades: Evalúa los controles de seguridad de los sistemas de información para mantener la confidencialidad, integridad y disponibilidad de la información.
  • Enfoque a la información: Evalúa la estructura, integridad y confiabilidad de la información gestionada por el sistema de información.
  • Enfoque a la infraestructura tecnológica: Evalúa la correspondencia de recursos tecnológicos en relación a los objetivos previstos.
  • Enfoque al software de aplicación: Evalúa la eficacia de los procesos y controles inmersos en el software de aplicación y que cumpla con el ordenamiento jurídico y administrativo vigente. 
  • Enfoque a las comunicaciones y redes: Evalúa la confiabilidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información.
Definiciones
  • Datos: objetos de información, externos o internos, estructurados y no estructurados del tipo gráfico, sonido, imágenes, números, palabras y de otra índole, etc.
  • Información: Datos que han sido organizados, sistematizados y presentados de manera que los patrones subyacentes resulten claros.
  • Tecnología: Conjunto ordenado de instrumentos, conocimientos, procedimientos y métodos aplicados a las áreas.
  • Tecnologías de la Información y la Comunicación (TIC): Conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios para la compilación, procesamiento, almacenamiento, transmisión y recepción de información (voz, datos, texto, video e imágenes). Se consideran sus componentes el hardware, el software y los servicios.
  • Sistema de Información (SI): Conjunto de procesos y recursos de información organizados para proveer información necesaria en forma precisa y oportuna para apoyar la toma de decisiones.
  • Software de aplicación: Elemento de los Sistemas de Información, es un conjunto de programas de computador para realizar tareas específicas del negocio.
  • Sistemas de comunicación: Tecnología que se emplea para el intercambio de información.
  • Confidencialidad de información: Protección contra divulgación no autorizada.
  • Integridad de la información: Exactitud y la totalidad de la información, así como también con su validez de acuerdo con los valores y las expectativas de la entidad.
  • Confiabilidad de la información: Provisión oportuna e íntegra de la información.
  • Disponibilidad de la información: La información se encuentre disponible cuando el proceso la requiera. También se asocia con la protección de los recursos y las capacidades asociadas.
  • Técnicas de Auditoría Asistidas por Computador (TAAC): Contemplan herramientas informáticas para realizar pruebas de forma más eficaz, eficiente y en menor tiempo.
Ejercicio de la auditoría interna
Es una función de control interno de la organización, que se realiza a través de una unidad especializada, cuyos integrantes no participan en las operaciones y actividades administrativas.
NORMAS TIC
 PLANIFICACIÓN
“La auditoría de tecnologías de información y comunicación se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma.”
  • Se debe tomar conocimiento del sujeto y del objeto.
  • Se determinarán las áreas críticas, dependiendo de éstas se definirán los objetivos y el alcance de la auditoría.
  • Se deben identificar los criterios a partir de la normatividad aplicable al objeto de auditoría, si la normativa no lo permite, éstos son definidos por el auditor gubernamental y comunicados a la entidad.
  • Se determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría que se aplicarán para la obtención de evidencia competente y suficiente.
  • Como resultado del proceso de planificación, se elabora el Memorándum de Planificación de Auditoría, que contiene aspectos detallados en la norma y aquéllos que se consideren necesarios y que tengan relación con los objetivos del examen, el alcance y la metodología.
  • Las modificaciones deben ser expuestas en una adenda al Memorándum de Planificación de Auditoría, que refleje los aspectos ajustados, así como su justificación. 
SUPERVISIÓN
“Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen el equipo de auditoría. “
  • La supervisión debe estar evidenciada en los papeles de trabajo.
  • La supervisión implica dirigir los esfuerzos hacia la consecución de los objetivos de auditoría y debe ser realizada en cada una de las etapas de la auditoría, la misma incluye:
    • Examinar la factibilidad y razonabilidad técnica de los objetivos y alcances de la auditoría.
    • Asegurar que los miembros del equipo comprendan los objetivos de la auditoría.
    • Guiar al equipo de auditoría a lo largo del desarrollo de las tareas asignadas.
    •  Revisar oportunamente el trabajo realizado, a través de los papeles de trabajo.
    •  Ayudar a absolver problemas técnicos y administrativos.
    • Detectar debilidades del personal y proporcionar la capacitación necesaria o requerir que la misma sea proporcionada por terceros.
    • Asegurar que la evidencia obtenida sea suficiente y competente.
CONTROL INTERNO
“Debe obtenerse una comprensión del control interno relacionado con el objeto del examen. “
  • Identificar las áreas críticas que requieren un examen profundo y determinar su confiabilidad para establecer la naturaleza, alcance y oportunidad de los procedimientos de auditoría.
  • Para este tipo de auditoría, se establecen dos controles: el control general y el control específico de los sistemas de información:
    • Los controles generales son políticas y procedimientos del ambiente en el que se desarrolla, mantiene y opera los sistemas de información y respaldan el funcionamiento de los controles específicos. Involucran a todos los sistemas de información. 
    • Los controles específicos son los aplicables a procesos de adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de la información.
  • El control interno es un proceso implementado por la dirección y todo el personal, comprende el plan de organización, incluyendo la Unidad de Auditoría Interna, los métodos y procedimientos adoptados para promover la eficacia y eficiencia de operaciones y la confiabilidad de la información, así como el cumplimiento de políticas gerenciales, ordenamiento jurídico administrativo, normas legales y obligaciones contractuales.
  • El control interno está conformado por cinco componentes que interactúan entre sí: ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y supervisión.
  •  El estudio y evaluación del control interno incluye dos fases:
    • Conocimiento y comprensión de los procedimientos establecidos de los sistemas de información, lo que permite al auditor emitir una opinión preliminar presumiendo un satisfactorio cumplimiento del control interno.
    • Comprobación de que los procedimientos están siendo aplicados tal como fueron observados en la primera fase.
EVIDENCIA
“Debe obtenerse evidencia competente y suficiente como base razonable para sustentar los hallazgos y conclusiones del auditor gubernamental. “
  • Evidencia es el conjunto de hechos comprobados, suficientes y competentes que sustentan las conclusiones del auditor. Es la información obtenida durante la auditoría a través de observación, inspección, entrevistas y examen de los registros.
  • La acumulación de evidencia es un proceso integrado a toda la ejecución de la auditoría y debe sustentar todos los atributos de los hallazgos de auditoría. Se aplican metodologías y técnicas de auditoría.
  • La evidencia para ser competente, debe ser válida como relevante.
    • Es válida cuando es consistente con la realidad y los hechos, ha sido obtenida de fuente independiente, en forma directa o se ha asegurado de la confiabilidad de la información.
    • Es relevante cuando tiene directa relación con el objeto de la auditoría y contribuye a sustentar los hallazgos y conclusiones.
  • La evidencia es suficiente si basta para sustentar la opinión del auditor.
  • Las Técnicas de Auditoría Asistidas por Computador (TAAC) pueden producir evidencia, por lo que el auditor debe planificar y ser competente en su uso.
  • La evidencia obtenida debe conservarse en los papeles de trabajo.
  • Debe considerarse los numerales 07 al 13 de la Norma de Auditoría Financiera 224, respecto de características de competencia, suficiencia y clasificación de evidencia y papeles de trabajo.
COMUNICACIÓN DE RESULTADOS
“El informe de auditoría de tecnologías de la información y la comunicación debe ser oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar los resultados obtenidos durante la misma. “
  • Debe ser emitido en forma escrita, lógica y organizada.
  • Debe contener información suficiente para ser entendido y facilitar la acción correctiva.
  • El contenido del informe de auditoría de TICs deberá hacer referencia a:
    •  Los antecedentes, acciones o circunstancias que dieron origen a la auditoría.
    •  Los objetivos, que identificarán los propósitos específicos que se cubrirán.
    •  El objeto, identifica aquello que ha sido examinado.
    • El alcance, se referirá al periodo examinado; como a la cobertura del trabajo realizado.
    • Si se presentaron limitaciones deben ser mencionadas en el informe de manera expresa.
    • La metodología, explicar técnicas, procedimientos, mencionar los criterios y normas aplicadas.
    • En el resultado del examen, se expondrá:
      • Los hallazgos significativos que tengan relación con los objetivos de auditoría.
      • Las recomendaciones que se consideren apropiadas para eliminar o minimizar las causas que originaron las deficiencias identificadas.
    • Las conclusiones son inferencias lógicas sobre el objetivo de la auditoría, basadas en los hallazgos, se debe evitar interpretaciones erróneas.
  • Se puede hacer referencia a auditorías especiales que se hubieran iniciado por situaciones evidenciadas en la auditoría de TIC.
ANÁLISIS
Se desprende del análisis que la normativa boliviana es producto de la compatibilización de los proyectos de normas presentados por las Subcontralorías a la Contraloría General de Estado, mismas que son producto de la formación de profesionales en el área, con experiencia en la normativa internacional. Por esta situación se puede observar que esta normativa es un resumen adaptado, de los estándares internacionales a la realidad de Bolivia, dejando bastantes situaciones no contempladas, resultando insuficiente la normativa actual.
A esta situación debe añadirse la naturaleza cambiante de la Tecnología de la Información, lo que origina que la normativa deba ser revisada, analizada y actualizada constantemente, al igual que los profesionales en el área de auditoría de sistemas deben actualizarse para estar siempre al día con las nuevas tecnologías, usos y aplicaciones de las mismas así como de sus riesgos inherentes.
También se pudo observar que los conceptos básicos relativos al control contable se aplican igualmente a sistemas manuales, mecánicos y de procesamiento electrónico de datos.  Notándose además que los cambios han sido más de forma que de fondo.
Considerando que en la actualidad toda la información es digital, es que reviste importancia los sistemas de la tecnología de la información y los controles internos que se asuman para su seguridad.
Para que las normas sean aplicables de forma correcta y funcionen según lo esperado, es necesario que la estructura organizacional permita que los responsables del establecimiento de procedimientos de control y de su supervisión, tengan la autoridad suficiente para hacer cumplir la normativa. En la realidad que actualmente vivimos en Bolivia, se puede evidenciar que en muchas empresas, generalmente nuevas o recientes, el área de procesamiento de la información en sistemas no se encuentra con un nivel de autoridad adecuado dentro de la estructura organizacional.
En términos generales se puede indicar que en el país lastimosamente el Gobierno de turno no ha definido Políticas Nacionales que puedan orientar de mejor manera a la tecnología de información. Las normativas existentes no están acompañadas de políticas de seguridad, ni leyes que las regulen.
En términos privados se está siguiendo la corriente con la adopción de los estándares recomendados, la incorporación de los objetivos de control internacionales y la capacitación de los funcionarios en los temas que la corriente internacional dicta.
Además se requiere mayor socialización e incentivos para motivar el desarrollo profesional y especializado en este campo de la auditoría de Sistemas de Información y Comunicación en el país.
CASO DE EJEMPLO
Entre algunos casos de los que podemos hacer mención dentro del área de Auditoría de sistemas, tenemos la recomendación reciente realizada por la Misión de Observación Electoral de la Organización de Estados Americanos (OEA) que realizó al Tribunal Supremo Electoral (TSE), recomendando realizar una profunda e integral auditoría al padrón electoral, para disipar las dudas existentes sobre el listado vigente de electores y darle la confiabilidad requerida sobre tan importante información.
Esta revisión generará una mejor coordinación entre las instancias departamentales y el Tribunal Supremo Electoral, además en relación al proceso de cómputo, transmisión y divulgación constataron lentitud en la publicación de resultados debido a las normas establecidas actualmente, por lo que se sugirió realizar cambios legislativos y aplicar los programas necesarios para que la autoridad pueda dar a conocer los resultados preliminares de la elección con alto grado de exactitud y evitar cuestionamientos sobre el proceso, como habitualmente se hace en otros países de la región.
Si se realizará esta auditoría, el país en su conjunto conocerá como se están empleando los recursos en relación a su eficacia, eficiencia, economía y efectividad. Además se constatará el cumplimiento del ordenamiento jurídico y otras normas legales aplicables y se establecerá si sus controles son efectivos para garantizar la consecución de los objetivos del TSE y salvaguardar los recursos contra irregularidades, fraudes y errores, con información útil, oportuna y confiable.
Esta auditoría debería estar orientada principalmente con los enfoques a la seguridad, a la información  y a las comunicaciones y redes, dejando como enfoques secundarios pero no menos importantes el software de aplicación y la infraestructura que se complementan para lograr sus objetivos.
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)