DISPOSICIONES
GENERALES
Propósito
El presente documento contiene un conjunto de normas y
aclaraciones que permiten asegurar la uniformidad y calidad de la auditoría
gubernamental en Bolivia.
Aplicación
Estas normas son de aplicación obligatoria en la práctica de
la auditoría realizada en toda entidad pública comprendida en los artículos 3 y
4 de la Ley Nº 1178, de Administración y Control Gubernamentales, promulgada el
20 de julio de 1990, por los auditores gubernamentales de las siguientes
organizaciones de auditoría:
- Contraloría General del Estado;
- Unidades de Auditoría Interna de las entidades públicas; y
- Profesionales o firmas de auditoría.
Es la acumulación y evaluación objetiva de evidencia para
establecer e informar sobre el grado de correspondencia entre la información
examinada y criterios establecidos.
Consideraciones
básicas
Los servidores públicos deben rendir cuenta de su gestión a
la sociedad. En este sentido, los servidores públicos, los legisladores y los
ciudadanos en general desean y necesitan saber, no sólo si los recursos
públicos han sido administrados correctamente y de conformidad con el
ordenamiento jurídico administrativo y otras normas legales aplicables, sino
también de la forma y resultado de su aplicación, en términos de eficacia,
eficiencia, economía y efectividad.
Los servidores públicos y otros a los que se les ha confiado la administración de los recursos públicos, deben:
a)
Emplear estos recursos con eficacia, eficiencia,
economía y efectividad.
b)
Cumplir con el ordenamiento jurídico
administrativo y otras normas legales aplicables, implantando sistemas
adecuados para promover y lograr su cumplimiento.
c)
Establecer y mantener controles efectivos para
garantizar la consecución de las metas y objetivos correspondientes, promover
la eficiencia de sus operaciones, salvaguardar los recursos contra
irregularidades, fraudes y errores, y emitir información operativa y financiera
útil, oportuna y confiable.
Los informes de auditoría gubernamental son importantes
elementos de control y responsabilidad pública y otorgan credibilidad a la
información generada por los sistemas correspondientes de las entidades
públicas.
Definiciones
Las definiciones presentadas en la Ley Nº 1178 y sus
reglamentos deben considerarse en la interpretación y aplicación de estas
Normas.
Vacíos técnicos
Si durante el desarrollo de la auditoría gubernamental
surgiesen aspectos no contemplados en estas Normas, deben entonces observarse las
Normas Generales de Auditoría de Sistemas de Información emitidas por la
Asociación de Auditoría y Control de Sistemas de Información ISACA (The
Information Systems Audit and Control Association), el modelo de control COBIT
(Objetivos de Control para la Información y Tecnologías Relacionadas), las
Normas Internacionales de Auditoría (NIA) emitidas por la Federación
Internacional de Contadores (IFAC); las Declaraciones sobre Normas de Auditoría
(SAS) emitidas por el Instituto Americano de Contadores Públicos (AICPA) y las
Normas de Auditoría emitidas por la Organización Internacional de Entidades
Fiscalizadoras Superiores (INTOSAI).
Fuentes
Estas Normas incorporan en su contenido los principales
criterios de la normatividad emitida al respecto, por:
·
La Fundación para la Auditoría y Control de
Sistemas de Información (ISACF).
·
La Asociación de Auditoría y Control de Sistemas
de Información (ISACA).
·
La Federación Internacional de Contadores
(IFAC).
·
El Instituto Americano de Contadores Públicos
(AICPA).
Contratación de
servicios de auditoría
Aunque no constituye norma de auditoría, es importante
aplicar políticas y procedimientos idóneos para la adjudicación y contratación
de servicios de auditoría y supervisar que las mismas se realicen de acuerdo a
las condiciones pactadas conforme establece el Reglamento emitido por la
Contraloría General del Estado.
Registro de firmas y
profesionales independientes de auditoría externa
Para prestar servicios de auditoría en las entidades
públicas comprendidas en los artículos 3 y 4 de la Ley Nº 1178 y en aquellas
entidades comprendidas en las previsiones del artículo 5 de la referida
disposición legal, concordante con el artículo 5 del Reglamento aprobado por el
Decreto Supremo Nº 23215, los profesionales independientes y las firmas de auditoría
externa, deben inscribirse en el Registro que está a cargo de la Contraloría General
del Estado. Al respecto, el proceso de inscripción debe sujetarse al Reglamento
que el Órgano Rector del Sistema de Control Gubernamental emita a tal efecto.
Ejercicio de la
auditoría
Para la aplicación de las presentes Normas, en lo que
corresponda, necesariamente deberán tomarse en cuenta las Normas Generales de
Auditoría Gubernamental 210.
Auditoría de
tecnologías de la información y la comunicación
Es el examen objetivo, crítico, metodológico y selectivo de
evidencia relacionada con políticas, prácticas, procesos y procedimientos en
materia de tecnologías de la información y la comunicación, para expresar una
opinión independiente respecto:
a)
A la confidencialidad, integridad,
disponibilidad y confiabilidad de la información.
b)
Al uso eficaz de los recursos tecnológicos.
c)
A la eficacia del control interno asociado a los
procesos de las Tecnologías de la Información y la Comunicación.
La auditoría de tecnologías de la información y la
comunicación está definida principalmente por sus objetivos y puede ser
orientada hacia uno o varios de los siguientes enfoques:
a)
Enfoque a las seguridades.
b)
Enfoque a la información.
c)
Enfoque a la infraestructura tecnológica.
d)
Enfoque al software de aplicación.
e)
Enfoque a las comunicaciones y redes.
De esta manera también se deben considerar las siguientes
definiciones:
·
Datos
·
Información
·
Tecnología
·
Tecnologías de la Información y la Comunicación
(TIC)
·
Sistema de Información (SI)
·
Software de aplicación
·
Sistemas de comunicación
·
Confidencialidad de la información
·
Integridad de la información
·
Confiabilidad de la información
·
Disponibilidad de la información
·
Técnicas de Auditoría Asistidas por Computador
(TAAC)
Ejercicio de la
auditoría interna
La auditoría interna es una función de control interno
posterior de la organización, que se realiza a través de una unidad
especializada, cuyos integrantes no participan en las operaciones y actividades
administrativas. Su propósito es contribuir al logro de los objetivos de la
entidad mediante la evaluación periódica del control interno.
Las Normas de Auditoría Gubernamental deben ser aplicadas
por el auditor interno gubernamental.
NORMAS DE AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y
LA COMUNICACIÓN
Planificación
1)
La primera norma de auditoría de tecnologías de
la información y la comunicación es:
La auditoría de tecnologías de la información y la comunicación se debe
planificar en forma metodológica, para alcanzar eficientemente los objetivos de
la misma.
2)
La planificación debe permitir un adecuado
desarrollo de las etapas subsecuentes; para el efecto, se debe tomar
conocimiento del sujeto y del objeto a evaluar. Además, es un proceso continuo
y dinámico que puede modificarse o ampliarse durante el desarrollo de la
auditoría.
3)
El auditor gubernamental debe comprender del
objeto de auditoría: el diseño conceptual, políticas de gestión, formas de
registro, niveles de seguridad y uso de las comunicaciones para la gestión de
la información y el ordenamiento jurídico administrativo relacionado con el
objeto de auditoría.
4)
En función de la naturaleza, complejidad y
modularidad del objeto de auditoría, la evaluación del control interno y la
evaluación de riesgos, se determinarán las áreas críticas, dependiendo de éstas
se definirán los objetivos o el(los) enfoque(s) y el alcance de la auditoría.
5)
Se deben identificar los criterios a partir de
la normatividad aplicable al objeto de auditoría. En el caso de que la
normativa asociada al objeto de auditoría no permita identificar criterios de
evaluación, éstos serán definidos por el auditor gubernamental y comunicados a
la entidad. Todo criterio debe estar sustentado por evidencia suficiente y
competente.
6)
Se diseñarán programas de trabajo que se
aplicarán durante la ejecución del trabajo de campo, para el efecto, en función
a la evaluación del control interno y evaluación de riesgos, se determinará la
naturaleza, oportunidad y extensión de los procedimientos de auditoría que se
aplicarán para la obtención de evidencia competente y suficiente.
7)
Como resultado del proceso de planificación de la
auditoría de tecnologías de la información y la comunicación, se debe elaborar
el Memorándum de Planificación de Auditoría, el cual debe contener todos los
aspectos detallados en la presente norma y aquéllos que se consideren
necesarios incluir, y que tengan relación con los objetivos del examen, el
alcance y la metodología.
Supervisión
1)
La segunda norma de auditoría de tecnologías de
la información y la comunicación es:
Personal competente debe supervisar sistemática y oportunamente el
trabajo realizado por los profesionales que conformen el equipo de auditoría.
2)
La supervisión implica dirigir los esfuerzos del
equipo de auditores gubernamentales hacia la consecución de los objetivos de
auditoría.
3)
La supervisión debe ser realizada en cada una de
las etapas de la auditoría, la misma incluye:
·
Examinar la factibilidad y/o razonabilidad
técnica de los objetivos y alcances de la auditoría propuestos.
·
Asegurar que los miembros del equipo comprendan
los objetivos de la auditoría. En particular se debe asegurar que entiendan
claramente el trabajo a realizar, por qué se va efectuar y qué se espera
lograr.
·
Guiar a los miembros del equipo de auditoría a
lo largo del desarrollo de las tareas asignadas.
·
Revisar oportunamente el trabajo realizado, a
través de los respectivos papeles de trabajo en medios físicos y/o
electrónicos.
·
Ayudar a absolver problemas técnicos y
administrativos.
·
Detectar debilidades del personal asignado y
proporcionar en consecuencia la capacitación necesaria o requerir que la misma
sea proporcionada por terceros.
·
Asegurar que la evidencia obtenida sea
suficiente y competente.
4)
La supervisión efectuada durante el desarrollo
de la auditoría, debe estar evidenciada en los papeles de trabajo en medios
físicos y/o electrónicos, acumulados durante la misma.
Control interno
1)
La tercera norma de auditoría de tecnologías de
la información y la comunicación es:
Debe obtenerse una comprensión del control interno relacionado con el objeto
del examen.
2)
Se debe evaluar el control interno para
identificar las áreas críticas que requieren un examen profundo y determinar su
grado de confiabilidad a fin de establecer la naturaleza, alcance y oportunidad
de los procedimientos de auditoría a aplicar.
3)
A efectos de este tipo de auditoría, se
establecen dos tipos de controles: el control general y el control específico
de los sistemas de información. El control general involucra a todos los
sistemas de información y el control específico está diseñado para controlar el
procesamiento en sí de la información.
4)
Los controles generales son políticas y
procedimientos que tienen que ver con el ambiente en el cual se desarrollan,
mantienen y operan los sistemas de información y respaldan el funcionamiento
efectivo de los controles específicos, en consecuencia involucran a todos los
sistemas de información.
5)
Los controles específicos son los aplicables a
los procesos de adquisición, producción, almacenamiento, tratamiento,
comunicación, registro y presentación de la información.
6)
El control interno es un proceso implementado
por la dirección y todo el personal, diseñado con el objetivo de coadyuvar al
logro de los objetivos de la entidad.
7)
El control interno está conformado por cinco
componentes que interactúan entre sí y se encuentran integrados al proceso de
gestión: ambiente de control, evaluación de riesgos, actividades de control,
información y comunicación, y supervisión.
8)
El estudio y evaluación del control interno
incluye dos fases:
·
Conocimiento y comprensión de los procedimientos
establecidos en la entidad referente a los sistemas de información, al término
del cual, el auditor gubernamental debe ser capaz de emitir una opinión
preliminar presumiendo un satisfactorio cumplimiento del control interno.
·
Comprobación de que los procedimientos relativos
a los controles internos están siendo aplicados tal como fueron observados en
la primera fase.
Evidencia
1)
La cuarta norma de auditoría de tecnologías de
la información y la comunicación es:
Debe obtenerse evidencia competente y suficiente como base razonable
para sustentar los hallazgos y conclusiones del auditor gubernamental.
2)
Se denomina evidencia al conjunto de hechos
comprobados, suficientes y competentes que sustentan las conclusiones del
auditor. Es la información específica obtenida durante la labor de auditoría a
través de observación, inspección, entrevistas y examen de los registros; y
otros procedimientos que sean aplicables.
3)
La acumulación de evidencia es un proceso
integrado a toda la ejecución de la auditoría y debe sustentar todos los
atributos de los hallazgos de auditoría (condición, criterio, causa y efecto).
4)
La evidencia debe ser acumulada mediante un
proceso supervisado de aplicación de metodologías y técnicas de auditoría.
5)
La evidencia para ser competente, debe ser
válida como relevante.
6)
La evidencia es suficiente si basta para
sustentar la opinión del auditor gubernamental, para ello debe ejercitar su
juicio profesional con el propósito de determinar la cantidad y tipos de
evidencia necesarias.
7)
Las Técnicas de Auditoría Asistidas por
Computador (TAAC) pueden producir parte de la evidencia de auditoría, como
consecuencia de ello, el auditor debe planificar y ser competente en el uso de
las TAAC.
8)
La evidencia obtenida por el auditor
gubernamental debe conservarse en papeles de trabajo en medios físicos y/o electrónicos.
9)
Respecto a las características de competencia,
suficiencia y clasificación de la evidencia, y a los papeles de trabajo que la
contienen, deben considerarse los aspectos mencionados en los numerales 07 al
13 de la Norma de Auditoría Financiera 224.
Comunicación de
resultados
1)
La quinta norma de auditoría de tecnologías de
la información y la comunicación es:
El informe de auditoría de tecnologías de la información y la
comunicación debe ser oportuno, objetivo, claro, convincente, conciso y será el
medio para comunicar los resultados obtenidos durante la misma.
2)
El informe de auditoría de tecnologías de la
información y la comunicación debe ser emitido en forma escrita, lógica y
organizada.
3)
El informe debe contener información suficiente
para ser entendido por los destinatarios y facilitar la acción correctiva si
corresponde.
4)
El contenido del informe de auditoría de
tecnologías de la información y la comunicación deberá hacer referencia a:
·
Los antecedentes, acciones o circunstancias que
dieron origen a la auditoría.
·
Los objetivos, que identificarán los propósitos
específicos que se cubrirán durante la misma.
·
El objeto, identifica aquello que ha sido
examinado.
·
El alcance, se referirá al periodo examinado;
así como a la cobertura del trabajo realizado.
·
Si se presentaron limitaciones que no
permitieron al auditor gubernamental cumplir con los objetivos previstos, éstas
deben ser mencionadas en el informe de manera expresa.
·
La metodología, explicará las técnicas y
procedimientos de auditoría que fueron empleados para obtener y analizar la
evidencia; asimismo, se mencionarán los criterios y normas aplicadas durante el
desarrollo del examen.
·
En el resultado del examen, se expondrá:
o
Los hallazgos significativos que tengan relación
con los objetivos de auditoría, los que incluirán la información suficiente que
permita una adecuada comprensión del asunto que se informa
o
Las recomendaciones que se consideren apropiadas
para eliminar o minimizar las causas que originaron las deficiencias
identificadas durante el examen.
·
Las conclusiones, que son inferencias lógicas
sobre el objetivo de auditorías basadas en los hallazgos, deben ser expresadas
explícitamente de manera convincente y persuasiva, evitando el riesgo de
interpretaciones erróneas por parte de los lectores.
Si correspondiera, se debe hacer referencia a las
auditorías especiales que se hubieran iniciado por alguna situación evidenciada
en la auditoría de tecnologías de la información y la comunicación, o a los
informes de auditoría especial emergentes de la misma.
No hay comentarios:
Publicar un comentario