Veritas Online

Auditoría

Auditoría de Tecnologías de la Información: Evidencia confiable

Auditoría de Tecnologías de la Información: Evidencia confiable
diciembre 01
2014

El sector público debe hacerse de herramientas y técnicas que aprovechen al máximo el uso de las TI para comprobar con veracidad que se llevan a cabo las mejores prácticas.

La Auditoría del sector público puede describirse como un proceso sistemático en el que de manera objetiva se obtiene y se evalúa la evidencia, para determinar si la información o las condiciones reales están de acuerdo con los criterios establecidos.

La Auditoría del sector público es esencial, pues proporciona a los órganos legislativos y de supervisión, a los encargados de la gobernanza y al público en general, información y evaluaciones independientes y objetivas concernientes a la administración y el desempeño de las políticas, programas u operaciones gubernamentales.

Los prerrequisitos básicos para el funcionamiento adecuado de los organismos auditores y los principios fundamentales de Auditoría a entidades públicas están contenidos en las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI, por su acrónimo en inglés), emitidas por la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI), organización emisora de normas para la Auditoría del sector público.

Para evitar duplicidades y omisiones en las labores de fiscalización, dar mayor cobertura de la fiscalización de los recursos públicos, tanto federales como locales, encontrar errores y puntualizar oportunidades, observar, detectar y diagnosticar riesgos de corrupción, emitir información relevante en los informes de Auditoría para la toma de decisiones públicas para mejorar además la gestión gubernamental, y finalmente, para que el ciudadano común conozca cómo se gasta el dinero de sus impuestos, se creó en México el Sistema Nacional de Fiscalización.

La Auditoría Superior de la Federación puso a consideración de las partes integrantes la propuesta para crear un Marco de Normas Profesionales del Sistema Nacional de Fiscalización que se desarrolle a partir de las emitidas por la INTOSAI.

En concordancia con los tipos de Auditoría que establecen las normas profesionales, la Auditoría Superior del Estado (ASE) como parte de la innovación de sus procesos, realiza los trabajos de Auditoría bajo una óptica multidireccional, la cual abarca los aspectos financieros, obra, normatividad, forenses, ambientales, de gestión y de Tecnologías de la Información. Estos siete aspectos de revisión convergen en un proceso general de planeación, ejecución y elaboración de informes, los cuales derivan posteriormente a las particularidades de cada una de las materias de revisión.

El Departamento de Auditoría de Tecnologías de la Información (TI) elabora su programa de trabajo, planeación estratégica y su manual de procedimientos de Auditoría, todo en apego a la normatividad, políticas y procedimientos internos formalmente establecidos en la ASE, cumpliendo con el Sistema de Gestión de Calidad, y bajo la Norma ISO 9001:2008.

La acción y actuar del Auditor de TI en el sector público están regidos y regulados por Normas emitidas por la INTOSAI, asimismo señalan que puede utilizar diversas técnicas y herramientas para hacer sus pruebas y procedimientos. Las técnicas son los métodos de investigación y prueba que utiliza el Auditor de TI para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones.

  • Verificación del Control Interno de TI. En la ASE se desarrolló e implementó un sistema denominado Sistema de Diagnóstico de Auditoría de TI (SIDATI), que nos permitió obtener un diagnóstico general del recurso humano, técnico y de sistemas que guarda el Estado en las Tecnologías de la Información.

SIDATI se desarrolló en la metodología COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), una guía de políticas y mejores prácticas dirigida al control y supervisión de Tecnologías de la Información en toda la organización, que resulta de una investigación con expertos en la materia de varios países, y fue desarrollado por Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). En las Auditorías de TI practicadas se ha detectado, entre otros aspectos, los siguientes:

  • No se cuenta con ningún tipo de política ni procedimiento formalmente establecido.
  • Existen sistemas que son desarrollo propio y se tiene absoluta dependencia de una sola persona.
  • Poca o nula capacitación impartida al personal de los Departamentos de Sistemas.
  • Condiciones inseguras e inapropiadas del SITE.
  • Contraseñas construidas de manera insegura.
  • Falta de licenciamiento.
  • No se llevan a cabo inventarios de software y hardware.
  • No se realizan resguardos del equipo de cómputo.
  • Falta de integridad de la información en los sistemas.

Al finalizar la Auditoría se elabora un informe de observaciones y recomendaciones para cada ente. Adicionalmente el Departamento de Auditoría de TI apoya a la Auditoría Financiera en su proceso de obtención de evidencia y validación de procedimientos de control a través del uso de Técnicas de Auditoría Asistidas por Computadora (CAAT, por sus siglas en inglés).

La auditoría del sector público es esencial, pues proporciona a los órganos de supervisión y al público información objetiva sobre su desempeño

Estas técnicas se orientan hacia los datos de los sistemas, incrementan el alcance y calidad de las muestras verificando un gran número de registros, permitiéndole al Auditor obtener suficiente evidencia confiable sobre la cual sustentar sus observaciones o recomendaciones.

En la ASE nos apoyamos con el programa de aplicación ACL (Access Control List), y algunas de las pruebas sustantivas y de cumplimiento que se realizan son:

  • Cálculo del Impuesto Predial de los 67 municipios.
  • Cálculo de plan tarifario según Ley de ingresos por tipo de usuario, en las Juntas Municipales.
  • Cálculo de Percepciones y Deducciones en Servicios Personales.
  • Comparación de Sueldos contra Tabuladores Oficiales.

También se está trabajando en la creación de un Padrón Único de Usuarios y Contribuyentes del Estado, estandarizando los datos generales como son: nombre, CURP, RFC y domicilio, y la estructura de los padrones. Se mencionan enseguida algunas de las finalidades:

  • Eficientar a recaudación de los ingresos.
  • Identificar usuarios y contribuyentes no registrados.
  • Encontrar lotes registrados como terrenos y que son construcciones.
  • Identificar inconsistencias en el giro.
  • Encontrar y cuantificar los descuentos especiales que se aplican a personas con INSEN, discapacitados, madres solteras y familiares de fallecidos.

El objetivo general es tener una base de datos actualizada y confiable, que permita consultar la información en tiempo real. En la actualidad, los entes de los diversos órdenes de gobierno requieren información veraz, oportuna y de calidad para la toma de decisiones y la buena gobernanza, que pueda aprovecharse de manera eficiente a través de las diversas TI.

Por lo anterior, el objetivo de la Auditoría de TI es promover y elevar la cultura del aprovechamiento en el uso de las TI en los entes a fiscalizar, constatando que se lleven a cabo las mejores prácticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad, confiabilidad y disponibilidad de la información, garantizando la prevención ante posibles contingencias que puedan impedir la continuidad del uso de los recursos informáticos e interrumpir la operación de la organización.

C.P.C. Jesús Manuel Esparza Flores

Auditor Superior del Estado de Chihuahua

auditoria.chihuahua@auditoriachihuahua.gob.mx

Facebook Comments

Related Articles

Búsqueda

Sígueme en Twitter

A %d blogueros les gusta esto: