Marzo 2015 Artículo Técnico de la Comisión de Contabilidad y Auditoría Gubernamental Núm. 29 Auditoría de Tecnologías de la Información C.P. y P.C.C.A. Roberto Enrique Farías Subías
I. Introducción El uso de sistemas informáticos en las entidades que conforman la Administración Pública Federal se ha convertido en una necesidad imperiosa, debido a lo complejo de las operaciones que desarrollan como parte de su aplicación. Una parte medular de estas operaciones es la que consiste en un registro simultáneo contable y presupuestal, con la finalidad de que dichas operaciones en el sistema consideren, por lo menos, los siguientes aspectos: Reflejen la aplicación de los principios; las normas contables generales y específicas, e instrumentos que establece la Ley General de Contabilidad Gubernamental. Facilite el reconocimiento de las operaciones de ingresos, gastos, activos, pasivos y patrimoniales de los entes públicos. Integre en forma automática el ejercicio presupuestario con la operación contable. Permita que los registros se efectúen considerando la base acumulativa para la integración de la información presupuestaria y contable. Refleje un registro congruente y ordenado de cada operación que genere derechos y obligaciones derivados de la gestión económica financiera de los entes públicos. Genere, en tiempo real, estados financieros, de ejecución presupuestaria y otra información que coadyuve a la toma de decisiones, a la transparencia, a la programación con base en resultados, a la evaluación y a la rendición de cuentas. Facilite el registro y control de los inventarios de los bienes muebles e inmuebles de los entes públicos. Para ello, los sistemas informáticos de las entidades gubernamentales deben diseñarse y operarse de manera que faciliten el registro y la fiscalización de los activos, pasivos, ingresos, costos y gastos; y contribuyan a medir los avances en la ejecución de programas y proyectos. 2
Es indispensable que como parte de las auditorías a los estados financieros de las entidades gubernamentales nos permitan verificar la existencia de los controles relativos al procesamiento electrónico de datos, con el fin de cumplir con las Normas Profesionales de Auditoría que establecen llevar a cabo una evaluación de los sistemas informáticos. El objetivo de la Auditoría de sistemas informáticos es evaluar la eficiencia y eficacia con que se está operando para que se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Objetivos generales de la Auditoría de TI: Asegurar una mayor integridad, confidencialidad y confiabilidad de la información. Seguridad del personal, datos, hardware, software y las instalaciones. Minimizar existencias de riesgos en el uso de Tecnología de Información Conocer la situación actual del área informática para lograr los objetivos. Apoyo de función informática a las metas y objetivos de la entidad. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. Incrementar la satisfacción de los usuarios de los sistemas informáticos. Capacitación y educación sobre controles en los Sistemas de Información. Buscar una mejor relación costo-beneficio de los sistemas automáticos. Decisiones de inversión presupuestal y gastos innecesarios. II. Auditoría de TI Actualmente, la tecnología forma parte integral en la gestión de la empresa, por eso las normas y estándares propiamente informáticos deben estar sometidos a los generales de la misma. Por lo tanto, debido a su importancia en el funcionamiento de una empresa 3
existe la Auditoría de TI. La auditoría de TI es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una Entidad Gubernamental. Los principales objetivos que constituyen a la auditoría de TI son: El control de la función informática. El análisis de la eficacia del Sistema Informático La verificación de la implantación de la Normativa. La revisión de la gestión de los recursos informáticos. III. Control Interno Control Interno Informático es una herramienta enfocada a la adecuada gestión de los Sistemas de la Información Gubernamental. Muchos de los problemas informáticos se originan dentro de las mismas Entidades. Por ello es cada vez más necesario un completo análisis del tráfico de: Los correos electrónicos del Gobierno Corporativo de las Entidades Gubernamentales. Las páginas web que se visitan desde los ordenadores de las Entidades Gubernamentales. IV. Seguridad informática La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema computacional. Áreas que cubre la seguridad informática: Políticas de Seguridad. 4
Seguridad Física. Autentificación. Integridad. Confidencialidad. Control de Acceso. Auditoría. V. Políticas de seguridad Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una entidad gubernamental previene, protege y maneja los riesgos de diferentes daños. Objetivos de las políticas de seguridad: informar con el mayor nivel de detalle a los usuarios, empleados y gerentes, las normas y los mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización. Componentes de una política de seguridad: Una política de privacidad. Una política de acceso. Una política de autenticación. Una política de contabilidad. Una política de mantenimiento para la red. 5
VI. Seguridad de la información Sus puntos principales tienen por objetivo identificar los riesgos internos y externos de toda la infraestructura informática; así como elaborar medidas de protección, disminución o eliminación de dichos riesgos, y el establecimiento de medidas de recuperación, en caso de que los riesgos se concreten. VII. Conclusión Una evaluación obligatoria de los sistemas informáticos durante el desarrollo de la auditoría a las entidades gubernamentales nos permite otorgarle un grado de confianza al sistema de control interno que está operando, de conformidad con las disposiciones de la NIA 315 y de las Norma de Control Interno aplicables a las Entidades de la Administración Pública Federal publicadas en el Diario Oficial de la Federación el 12 de julio de 2010. Los resultados alcanzados con nuestra evaluación nos permitirán otorgarle a las entidades gubernamentales, para efectos de nuestra revisión, un mayor o menor grado de confianza sobre las operaciones registradas por las entidades, así como evaluar el grado de cumplimiento con las disposiciones normativas establecidas en la Ley General de Contabilidad Gubernamental apoyadas en los sistemas informáticos que están operando. 6
VIII. Fuentes de consulta NIA 315: Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y su entorno (párrafos A61, A62 y A63). DOF: 12 de julio de 2010, Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno y se expide el Manual Administrativo de Aplicación General en Materia de Control Interno, Capítulo III: Uso de Tecnologías de la Información y Comunicaciones. Marco de referencia COBIT para objetivos de control de Tecnologías de la Información. 7