Normas de Auditoria de TICs en Bolivia

NORMATIVA DE AUDITORIA DE TICs EN BOLIVIA.-

Auditoria TIC

La normativa de auditoria de TICs en Bolivia tiene su inicio a partir de la Resolución N° CGE/094/2012 por la Contraloría General del Estado, la cual entra en vigencia en Noviembre de 2012, en ella incluye otras normativas de control, sin embargo en la que se hace énfasis es en la normativa TIC.

La normativa basa su esencia en aspectos contemplados en las Normas Generales de la Asociación de Auditoría y Control de Sistemas de Información, el modelo de control COBIT, las Normas Internacionales de Auditoría (NIA) emitidas por la Federación Internacional de Contadores (IFAC), las Declaraciones sobre Normas de Auditoría (SAS) emitidas por el Instituto Americano de Contadores Públicos y las Normas de Auditoría emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores.

La Auditoria de TICs, tiene por objeto verificar el cumplimiento de políticas del uso y administración de tecnologías, en la administración de la Información como recurso valiosos de la organización, ya que no solamente todo proceso de auditoria recae en el control de manejo económico, sino en lo que respecta a la eficacia, eficiencia, y cumplimiento de objetivos de la organización.

El hecho de aplicar una auditoria recae en hablar directamente de un proceso de auditoría gubernamental, por el uso de la normativa en si misma, para lo cual existirá la auditoria interna que es el departamento interno en la organización que no es parte de los procesos a ser auditados, y por su parte la auditoria externa para lo cual las empresas que ofrecen sus servicios de auditoria deberán ser registrados por la contraloría según cumplimiento de registro.

Es importante también hacer conocer que existe la las Técnicas de Auditoría Asistida por Computadora (TAAC), la cual de alguna manera ayudará en el proceso de auditor+ia para poder captar evidencias fiables y apresure la emisión del informe final.

Para cumplir con la auditoría de TICs, se deberán considerar cinco normas de auditoría a cumplir.

     a) Planificación; Indica que La auditoría de TICs se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma, ya que se debe comprender el porqué, y para qué, se realiza la auditoria, y por su parte implica conocer las políticas generales de esta auditoría, todo esto recae en armar el memorándum de Planificación de Auditoría. Se debe diseñar los programas de trabajo que incluirá la auditoría, y por su parte de ser necesario aplicar algunos cambios, está sujeto a la realización de adendas correspondientes.

      b) Supervisión; Debe existir un personal encargado de la supervisión de la auditría y esto implica el control de todos los actores que formarán parte de todas las actividades de la realización de auditoría, que no es más que perseguir la efectivización de los objetivos trazados en la norma anterior. Esta supervisión hace énfasis en que todos los actores inmersos en la auditoría comprendan bien todo lo referido a este proceso, y en caso exista debilidades de comprensión se deberá realizar la capacitación correspondiente, y documentar todo en los “Papeles de Trabajo”, que pueden ser físicos y/o digitales.

     

c)  Control Interno; Debe obtenerse una comprensión del control interno relacionado con el objeto del examen, esto quiere decir que se deberá entender cuáles son las áreas que deben tener un estudio más exhaustivo, por algunas posibles observaciones, sin embargo recae en que la auditoría interna pueda realzar dos tipos de examen, uno que es de tipo general a todos los sistemas de información que involucran la manipulación de información, y el específico que se realiza a los aspectos que se involucran en la manipulación y tratamiento de la información.

   d) Evidencia; Debe componerse evidencia valedera que sirva para sustentar los hallazgos y conclusiones del auditor gubernamental, esta evidencia se la consigue a partir de las entrevistas, revisiones, inspecciones, y otros que apoyen en la recolección de estas evidencias, y de hecho si existe evidencia valedera que sirva para sustentar la conclusión se dice que la evidencia es suficiente. Para tomar en cuenta las evidencias también se las puede realizar mediante una supervisión efectiva. Se suma como algo valido a la Técnicas de Asistidas por computadora, para captar evidencias válidas, y de todos modos toda evidencia deberá ser registrada en los papeles de trabajo.

     e) Comunicación de Resultados; Es el momento en el que se hace conocer los resultados de la auditoria, la cual deberá ser claro, oportuno, conciso, y convincente, ya que servirá para describir posibles recomendaciones para facilitar acciones correctivas si corresponde, y que deberá ser presentada de manera escrita y respaldada, que no debe llevar a doble interpretaciones por los destinatarios finales. En este informe de auditoría debe considerarse los antecedentes, objetivos, objeto examinado, metodología, alcance, limitaciones si los existiese, y conclusiones, todos ellos como parte del entendido de todo el proceso de auditoría que indica los hallazgos, y posibles recomendaciones finales.

CONCLUSIÓN FINAL.-

Antiguamente no se tenía involucrado como normativa de auditoria a las TICs e n Bolivia, ya que el elemento importante a ser auditado siempre lo fue la parte de gestión administrativa, y la económica en particular, pero desde la incorporación de tecnologías en el ámbito organizacional lleva a la importancia por lo que deberá auditarse todos los procesos e implementaciones de TICs en estas organizaciones.

De hecho aún no es muy aplicado en la actualidad en toda organización más allá que esta normativa ya data de hace cinco años, esto porque la política de integración de estas auditorías no son parte de políticas de aplicación en estas organizaciones, y que por su parte aparentemente implican un gasto insulso de recursos para llevar adelante auditorías externas ya que a esta se antepone otras necesidades más imperiosas que se  cree deban ser auditadas, especialmente en los ámbitos ya mencionados.

Sin embargo es necesario hacer notar que en la actualidad el recurso denominado Información, es muy importante por lo que todo proceso o tecnología involucrada en su manipulación deberá ser controlada a través de normas como la que se enmarca en la Normativa de las TIC, en Bolivia.

Actualmente no es muy común escuchar de auditorías realizadas a las TICs de una organización, sin embargo ya se considera las políticas de control al interior de las Empresas quienes consideran importante aspectos de seguridad de información a la hora de implementación de tecnologías, lo cual de hecho será muy relevante a la hora de aplicar una auditoria en este ámbito.