NORMAS DE AUDITORÃA DE TECNOLOGÃAS DE LA INFORMACIÓN Y LA COMUNICACIÓNDISPOSICIONES GENERALES
Propósito El presente documento contiene un conjunto de normas y aclaraciones que permiten asegurar la uniformidad y calidad de la auditoría gubernamental en Bolivia.Las normas se presentan bajo el numeral 01y las aclaraciones correspondientes que forman parte de las mismas, se exponen bajo los numerales subsiguientes. AplicaciónEstas normas son de aplicación obligatoria en la práctica de la auditoríarealizada en toda entidad pública comprendida en los artículos 3 y 4 de la Ley Nº 1178, de Administración y Control Gubernamentales, promulgada el 20 de julio de 1990, por los auditores gubernamentales de las siguientes organizaciones de auditoría:-Contraloría General del Estado;-Unidades de Auditoría Interna de las entidades públicas; y-Profesionales o firmas de auditoría.Cuando cualquiera de los miembros de las organizaciones mencionadas ejecuta tareas de auditoría en el sector público, se losdenomina auditores gubernamentales, para efectos de la aplicación de estas Normas.AuditoríaEs la acumulación y evaluación objetiva de evidencia para establecer e informar sobre el grado de correspondencia entre la información examinada y criterios establecidos.Consideraciones básicasLos servidores públicos deben rendir cuenta de su gestión a la sociedad. En este sentido, los servidores públicos, los legisladores y los ciudadanos en general desean y necesitan saber, no sólo si los recursos públicos han sido administrados correctamente y de conformidad con el ordenamiento jurídico administrativo y otras normas legales aplicables, sino también de la forma y resultado de su aplicación, en términos de eficacia, eficiencia, economía y efectividad.
El presente documento contribuye al cumplimiento de la obligación que tienen los servidores públicos de responder por su gestión. Incluye conceptos y áreas de auditoría que son vitales para los objetivos de confiabilidad de la información.Los servidores públicos y otros a los que se les ha confiado la administración de los recursos públicos, deben:a)Emplear estos recursos con eficacia, eficiencia, economía y efectividad.b)Cumplir con el ordenamiento jurídico administrativo y otras normas legales aplicables, implantando sistemas adecuados para promover y lograr su cumplimiento.c)Establecer y mantener controles efectivos para garantizar la consecución de las metas y objetivos correspondientes, promover la eficiencia de sus operaciones, salvaguardar los recursos contra irregularidades, fraudes y errores, y emitir información operativa y financiera útil, oportuna y confiable.Los informes de auditoría gubernamental son importantes elementos de control y responsabilidad pública y otorgan credibilidad a la información generada por los sistemas correspondientes de las entidades públicas, ya que reflejan objetivamente el resultado de las evidencias acumuladas y evaluadas durante la auditoría.DefinicionesLas definiciones presentadas en la Ley Nº 1178 y sus reglamentos deben considerarse en la interpretación y aplicación de estas Normas.Vacíos técnicosSi durante el desarrollo de la auditoría gubernamental surgiesen aspectos no contemplados en estas Normas, deben entonces observarse las Normas Generales de Auditoría de Sistemas de Información emitidas por la Asociación de Auditoría y Control de Sistemas de Información ISACA (The Information Systems Audit and Control Association), el modelo de control COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas), las Normas Internacionales de Auditoría (NIA) emitidas por la Federación Internacional de Contadores (IFAC); las Declaraciones sobre Normas de Auditoría (SAS) emitidas por el Instituto Americano de Contadores Públicos (AICPA) y las Normas de Auditoría emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).FuentesEstas Normas incorporan en su contenido los principales criterios de la normatividad emitida al respecto, por:-La Fundación para la Auditoría y Control de Sistemas de Información (ISACF). -La Asociación de Auditoría y Control de Sistemas de Información (ISACA)
-La Federación Internacional de Contadores (IFAC).-El Instituto Americano de Contadores Públicos (AICPA).Contratación de servicios de auditoríaAunque no constituye norma de auditoría, es importante aplicar políticas y procedimientos idóneos para la adjudicación y contratación de servicios de auditoría y supervisar que las mismas se realicen de acuerdo a las condiciones pactadas conforme establece el Reglamento emitido por la Contraloría General del Estado. Registro de firmas y profesionales independientes de auditoría externa Para prestar servicios de auditoría en las entidades públicas comprendidas en los artículos 3 y 4 de la Ley Nº 1178 y en aquellas entidades comprendidas en las previsiones del artículo 5 de la referida disposición legal, concordante con el artículo 5 del Reglamento aprobado por el Decreto Supremo Nº23215, los profesionalesindependientes y las firmas de auditoría externa, deben inscribirse en el Registro que está a cargo de la Contraloría General del Estado. Al respecto, el proceso de inscripción debe sujetarse al Reglamento que el Órgano Rector del Sistema de Control Gubernamental emita a tal efecto.Ejercicio de la auditoríaPara la aplicación de las presentes Normas, en lo que corresponda, necesariamente deberán tomarse en cuenta las Normas Generales de Auditoría Gubernamental 210.Auditoría de tecnologías de la información y la comunicación Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de tecnologías de la información y la comunicación, para expresar una opinión independiente respecto:a)A la confidencialidad, integridad, disponibilidad y confiabilidad de la información. b)Al uso eficaz de los recursos tecnológicos. c)A la eficacia del control interno asociado a los procesos de las Tecnologías de la Información y la Comunicación.Los incisos señalados, podrán ser considerados en forma individual o en conjunto.La auditoría de tecnologías de la información y la comunicación está definida principalmente por sus objetivos y puede ser orientada hacia uno o varios de los siguientes enfoques:
Enfoque a las seguridades:Consiste en evaluar los controles de seguridad implementados en los sistemas de información con la finalidad de mantener la confidencialidad, integridad y disponibilidad de la información.b)Enfoque a la información:Consiste en evaluar la estructura, integridad y confiabilidad de la información gestionada por el sistema de información.c)Enfoque a la infraestructura tecnológica:Consiste en evaluar la correspondencia de los recursos tecnológicos en relación a los objetivos previstos.d)Enfoque al software de aplicación:Consiste en evaluar la eficacia de los procesos y controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo vigente. e)Enfoque a las comunicaciones y redes:Consiste en evaluar la confiabilidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información. Para una adecuada comprensión de las Normas de Auditoría de Tecnologías de la Información y la Comunicación, se deben considerar las siguientes definiciones:Datos:Son objetos de información, los cuales pueden ser externos o internos, estructurados y no estructurados del tipo gráfico, sonido, imágenes, números, palabras y de otra índole, etc. Información:Datos que han sido organizados, sistematizados y presentados de manera que los patrones subyacentes resulten claros.Tecnología:Es un conjunto ordenado de instrumentos, conocimientos, procedimientos y métodos aplicados a las áreas.Tecnologías de la Información y la Comunicación (TIC):Comprende al conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones,redes y medios, que permiten la compilación, procesamiento, almacenamiento, transmisión y recepción de información, voz, datos, texto, video e imágenes. Se consideran como sus componentes el hardware, el software y los servicios.Sistema de Información (SI):Se refiere a un conjunto de procesos y recursos de información organizados con el objetivo de proveer la información necesaria (pasada, presente, futura) en forma precisa y oportuna para apoyar la toma de decisiones en una entidad.Software de aplicación:Se refiere a un elemento de los Sistemas de Información, es un conjunto de programas de computador diseñados y escritos para realizar tareas específicas del negocio y que permiten la interacción entre el usuario y el computador