Resolución Nº CGE/094/2012
La Paz, 27 de agosto de 2012
CONSIDERACIÓN
Que, la Subcontraloría General, a
través del Informe Nº CGE/SCG/INF-020/2012 de 14 de agosto de 2012, presenta la
documentación relativa al proyecto de Normas de Auditoría Gubernamental y recomienda
la emisión de la Resolución que apruebe las mismas por el Contralor General del
Estado, en cumplimiento del Procedimiento P/OA-001, Versión 1 “Emisión, Archivo
y Disposición de Documentos Normativos de la Contraloría General del Estado”,
aprobado mediante Resolución Nº CGE/077/2011 de fecha 19 de 2011.
Que el Informe Legal Nº
AA/054/2012 de fecha 22 de agosto de 2012, concluye que de la revisión de
antecedentes y en el marco de la normativa vigente, corresponde la aprobación
de la siguiente normativa: Normas Generales de Auditoría Gubernamental, Código
NE/CE-011, Versión 1; Normas de Auditoría Financiera, Código NE/CE-012, Versión
1; Normas de Auditoría Operacional, Código NE/CE-013, Versión 1; Normas de
Auditoría Ambiental, Código NE/CE-014, Versión 1; Normas de Auditoría Especial,
Código NE/CE-015, Versión 1; Normas de Auditorías de Proyectos de Inversión
Pública, Código NE/CE-016, Versión 1, Normas de Auditorías de Tecnologías de la
Información y la Comunicación, Código NE/CE-018, Versión 1. Así mismo,
corresponde, abrogar y derogar las disposiciones contrarias a los referidos
instrumentos normativos.
Que, el artículo 213 Parágrafo I
de la Constitución Política del Estado establece: “La Contraloría General del
Estado (…); tiene autonomía funcional, financiera, administrativa y
organizativa” concordante con el artículo 41 de la Ley Nº 1178, que determina: “La
Contraloría General de la República ejercerá el Control Externo Posterior con
autonomía operativa, técnica y administrativa” y con el artículo 60 del
Reglamento de Atribuciones de la Contraloría General de la República, aprobado
por Decreto Supremo Nº 23215 de 22 de julio, de 1992.
Que, el artículo 23 de la Ley Nº
1178 concordante con el artículo 3 inciso a) del Reglamento de Atribuciones de
la Contraloría General de la República.
Que, en el marco de la atribución
de emitir normatividad básica, éste ente de Control Gubernamental, ha
establecido en su Plan Estratégico Institucional 2007-2013, aprobado mediante
Resolución Nº CGR/150/2007 de fecha 21 de agosto de 2007, como objetivo
estratégico el “elaborar y actualizar de manera continua la normativa básica y
secundaria del control gubernamental interno y externo”; asimismo, el propósito
del referido Plan es que “La contraloría General de la República, ha logrado
ejercer el control gubernamental con mayor efectividad sobre las entidades
públicas, en un marco de transparencia y rendición de cuenta, modernizado su estructura
y tecnología de gestión”
Que, el Plan Estratégico
Institucional 2007-2013, ha establecido 5 Componentes Estratégicos o
Resultados, entre los cuales se encuentra el de: “Normatividad de control
gubernamental perfeccionada, impulsa su implantación y alienta la disciplina de
control en las entidades públicas (…)”.
Que, resulta evidente que cada
proyecto de Normas de Auditoría Gubernamental, ha sido sometido a un proceso de
elaboración y perfeccionamiento riguroso; con la participación de todas las
Subcontralorías, a través de la presentación de propuestas de modificación y/o
actualización de normas, así como de la revisión, análisis integral y
compatibilización en el Taller de Compatibilización de Normas de Control
Gubernamental y cuya revisión se ha dado por cada Subcontraloría conforme se
verifica en cada proyecto.
Que, en consideración al numeral
6 del Procedimiento P/OA-001, Versión 1 “Emisión, Archivo y Disposición de
Documentos Normativos de la Contraloría General del Estado”…
Que conforme, el Procedimiento de
Emisión de Resoluciones de la Contraloría General de la República (ahora del
Estado) P/OA-155, numeral Nº 4.2 inciso b), se emitirá Resolución para aprobar,
modificar o dejar sin efecto documentos normativos, sean éstos de uso interno
así como aquellos elaborados por la CGR para su aplicación en el Sector Público
en su calidad de Órgano Rector del Sistema de Control Gubernamental.
POR TANTO:
El Contador General del Estado
a.i., en ejercicio de las atribuciones conferidas por Ley:
RESUELVE:
PRIMERO: Aprobar los siguientes
Instrumentos Normativos de forma individualizada en su primera versión:
·
Normas Generales de Auditoría Gubernamental,
Código NE/CE-011
·
Normas de Auditoría Financiera, Código NE/CE-012
·
Normas de Auditoría Operacional, Código
NE/CE-013.
·
Normas de Auditoría Ambiental, Código NE/CE-014
·
Normas de Auditoría Especial, Código NE/CE-015.
·
Normas de Auditoría de Proyectos de Inversión
Pública, Código NE/CE-016
·
Normas de Auditoría de Tecnologías de la
Información y la Comunicación, Código NE/CE-017
·
Normas para el ejercicio de la Auditoría
Interna, Código NE/CE-018
Los mismos que entrarán en
vigencia a partir del 1 de noviembre de 2012.
SEGUNDO: Quedan abrogadas a
partir del 1 de noviembre de 2012, las Resoluciones Nrs. CGR/026/2005 de 24 de
febrero de 2005 que aprueba el “Manual de Normas de Auditoría Gubernamental”
(M/CE/10) versión 4; CGR/079/2006 de 04 de abril de 2006 que aprueba la
división del “Manual de Normas de Auditoría Gubernamental” (M/CE/10) versión 4
y CGE-063/2012 de 13 de junio de 2012 que apruebas las “Normas de Auditoría Ambiental”
(M/CE/IO-D), en su quinta versión.
TERCERO: Instruir a la
Subcontraloría General la correspondiente publicación a la Unidad de Normatividad y Calidad, su difusión
a nivel nacional en consideración al Procedimiento P/OA-001, Versión 1 “Emisión
Archivo y Disposición de Documentos Normativos de la Contraloría General del
Estado.”
NORMAS DE AUDITORÍA DE TECNOLOGÍAS DE L INFORMACIÓN Y LA COMUNICACIÓN
DISPOSICIONES GENERALES
Propósito
El presente documento contiene un
conjunto de normas y aclaraciones que permiten asegurar la uniformidad y
calidad de la auditoría gubernamental en Bolivia…
Aplicación
Estas nomas son de aplicación obligatoria
en la práctica de la auditoría realizada en toda entidad pública comprendida en
los artículos 3 y 4 de la Ley Nº 1178…
·
Contraloría General del Estado
·
Unidades de Auditoría Interna de las entidades
públicas; y
·
Profesionales o firmas de auditoría
Auditoría
Es la acumulación y evaluación
objetiva de evidencia para establecer e informar sobre el grado de
correspondencia entre la información examinada y criterios establecidos.
Consideraciones básicas
Los
servidores públicos deben rendir cuenta de su gestión a la sociedad. En este sentido,
los servidores públicos, los legisladores y los ciudadanos en general desean y
necesitan saber, no sólo si los recursos públicos han sido administrados correctamente
y de conformidad con el ordenamiento jurídico administrativo y otras normas
legales aplicables, sino también de la forma y resultado de su aplicación, en
términos de eficacia, eficiencia, economía y efectividad.
Los
servidores públicos y otros a los que se les ha confiado la administración de
los recursos públicos, deben:
a) Emplear
estos recursos con eficacia, eficiencia, economía y efectividad.
b) Cumplir
con el ordenamiento jurídico administrativo y otras normas legales aplicables,
implantando sistemas adecuados para promover y lograr su cumplimiento.
c) Establecer
y mantener controles efectivos para garantizar la consecución de las metas y
objetivos correspondientes, promover la eficiencia de sus operaciones, salvaguardar
los recursos contra irregularidades, fraudes y errores, y emitir información
operativa y financiera útil, oportuna y confiable.
Definiciones
Las
definiciones presentadas en la Ley Nº 1178 y sus reglamentos deben considerarse
en la interpretación y aplicación de estas Normas.
Vacíos técnicos
Si
durante el desarrollo de la auditoría gubernamental surgiesen aspectos no
contemplados en estas Normas, deben entonces observarse las Normas Generales de
Auditoría de Sistemas de Información emitidas por la Asociación de Auditoría y
Control de Sistemas de Información ISACA (The Information Systems Audit and
Control Association), el modelo de control COBIT (Objetivos de Control para la
Información y Tecnologías Relacionadas), las Normas Internacionales de
Auditoría (NIA) emitidas por la Federación Internacional de Contadores (IFAC);
las Declaraciones sobre Normas de Auditoría (SAS) emitidas por el Instituto
Americano de Contadores Públicos (AICPA) y las Normas de Auditoría emitidas por
la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).
Fuentes
Estas
Normas incorporan en su contenido los principales criterios de la normatividad emitida
al respecto, por:
-
La Fundación para la Auditoría y Control de Sistemas
de Información (ISACF).
-
La Asociación de Auditoría y Control de Sistemas
de Información (ISACA).
-
La Federación Internacional de Contadores (IFAC).
-
El Instituto Americano de Contadores Públicos (AICPA).
Contratación de Servicios
de Auditoría
Es
importante aplicar políticas y procedimientos idóneos para la adjudicación y
contratación de servicios de auditoría y supervisar que las mismas se realicen
de acuerdo a las condiciones pactadas conforme establece el Reglamento emitido
por la Contraloría General del Estado
Registro de firmas y
profesionales independientes de auditoría externa
Los
profesionales independientes y las firmas de auditoría externa, deben
inscribirse en el Registro que está a cargo de la Contraloría General del
Estado. Al respecto, el proceso de inscripción debe sujetarse al Reglamento que
el Órgano Rector del Sistema de Control Gubernamental emita a tal efecto.
Ejercicio de la auditoría
Deberán tomarse
en cuenta las Normas Generales de Auditoría Gubernamental 210.
Auditoría de tecnologías de
la información y la comunicación
Es el
examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con
políticas, prácticas, procesos y procedimientos en materia de tecnologías de la
información y la comunicación, para expresar una opinión independiente
respecto:
a) A la
confidencialidad, integridad, disponibilidad y confiabilidad de la información.
b) Al uso
eficaz de los recursos tecnológicos.
c) A la
eficacia del control interno asociado a los procesos de las Tecnologías de la Información
y la Comunicación.
Los
incisos señalados, podrán ser considerados en forma individual o en conjunto.
La
auditoría de tecnologías de la información y la comunicación está definida principalmente
por sus objetivos y puede ser orientada hacia uno o varios de los siguientes enfoques:
a)
Enfoque a las seguridades: Consiste en evaluar los
controles de seguridad implementados en los sistemas de información con la
finalidad de mantener la confidencialidad, integridad y disponibilidad de la
información.
b)
Enfoque a la información: Consiste en evaluar la
estructura, integridad y confiabilidad de la información gestionada por el
sistema de información.
c)
Enfoque a la infraestructura tecnológica: Consiste en
evaluar la correspondencia de los recursos tecnológicos en relación a los
objetivos previstos.
d)
Enfoque al software de aplicación: Consiste en evaluar
la eficacia de los procesos y controles inmersos en el software de aplicación,
que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo
vigente.
e)
Enfoque a las comunicaciones y redes: Consiste en
evaluar la confiabilidad y desempeño del sistema de comunicación para mantener
la disponibilidad de la información.
Otros conceptos
Datos: Son
objetos de información, los cuales pueden ser externos o internos,
estructurados y no estructurados del tipo gráfico, sonido, imágenes, números,
palabras y de otra índole, etc.
Información:
Datos que han sido organizados, sistematizados y presentados de manera que los
patrones subyacentes resulten claros.
Tecnología:
Es un conjunto ordenado de instrumentos, conocimientos, procedimientos y métodos
aplicados a las áreas.
Tecnologías
de la Información y la Comunicación (TIC): Comprende al conjunto de recursos,
herramientas, equipos, programas informáticos, aplicaciones, redes y medios,
que permiten la compilación, procesamiento, almacenamiento, transmisión y
recepción de información, voz, datos, texto, video e imágenes. Se consideran
como sus componentes el hardware, el software y los servicios.
Sistema
de Información (SI): Se refiere a un conjunto de procesos y recursos de información
organizados con el objetivo de proveer la información necesaria (pasada, presente,
futura) en forma precisa y oportuna para apoyar la toma de decisiones en una entidad.
Software
de aplicación: Se refiere a un elemento de los Sistemas de Información, es un conjunto
de programas de computador diseñados y escritos para realizar tareas
específicas del negocio y que permiten la interacción entre el usuario y el
computador.
Sistemas
de comunicación: Se refiere a la tecnología que se emplea para el intercambio
de información.
Confidencialidad
de la información: Se refiere a la protección de la información crítica contra
su divulgación no autorizada.
Integridad
de la información: Se vincula con la exactitud y la totalidad de la información
así como también con su validez de acuerdo con los valores y las expectativas
de la entidad.
Confiabilidad
de la información: Se vincula con la provisión oportuna e íntegra de la información para coadyuvar a la consecución de
los objetivos de la entidad.
Disponibilidad
de la información: Se vincula con el hecho de que la información se encuentre
disponible cuando el proceso la requiera. También se asocia con la protección
de los recursos necesarios y las capacidades asociadas.
Técnicas
de Auditoría Asistidas por Computador (TAAC): Se refiere a las técnicas de auditoría
que contemplan herramientas informáticas con el objetivo de realizar más eficazmente,
eficientemente y en menor tiempo pruebas de auditoría.
Ejercicio de la auditoría
interna
Es una
función de control interno posterior de la organización, que se realiza a través de una unidad especializada,
cuyos integrantes no participan en las operaciones y actividades
administrativas. Su propósito es contribuir al logro de los objetivos de la
entidad mediante la evaluación periódica del control interno.
Las
Normas de Auditoría Gubernamental deben ser aplicadas por el auditor interno gubernamental.
NORMAS DE AUDITORÍA DE
TECNOLOGÍA DE LA INFORMACIÓN Y LA COMUNIDAD
Planificación
1.- La
auditoría de tecnologías de la
información y la comunicación se debe planificar en forma en forma
metodológica, para alcanzar eficientemente los objetivos de la misma.
2.- Debe
permitir un adecuado desarrollo de las etapas subsecuentes; para el efecto, se
debe tomar conocimiento del sujeto y del objeto a evaluar. Además, es un
proceso continuo y dinámico que puede modificarse o ampliarse durante el
desarrollo de la auditoría.
3.- El
auditor gubernamental debe comprender el objeto de auditoría: el diseño
conceptual, políticas de gestión, formas de registro, niveles de seguridad y
uso de las comunicaciones para la gestión de la información y el ordenamiento
jurídico administrativo relacionado con el objeto de auditoría.
4.- En
función de la naturaleza, complejidad y modularidad del objeto de auditoría, la
evaluación del control interno y la
evaluación de riesgos, se determinan las áreas críticas, dependiendo de éstas
se definirán los objetivos o el (los) enfoque(s) y el alcance de la auditoría.
5.- Se
deben identificar los criterios a partir de la normativa aplicable al objeto de
la auditoría…
6.- Se
diseñarán programas de trabajo que se aplicarán durante la ejecución del
trabajo de campo, para el efecto, en función a la evaluación del control
interno y evaluación de riesgos…
7.- Como
resultado del proceso de planificación de la auditoría de tecnologías de la
información y la comunicación, se debe elaborar el Memorándum de Planificación
de Auditoría, el cual debe contener todos los aspectos detallados en la
presente norma y aquellos que se consideren necesarios incluir y que tengan
relación con los objetivos del examen, el alcance y la metodología.
Supervisión
1.- La
segunda norma de auditoría de tecnologías de la información y la comunicación
es:
Personal
competente debe supervisar sistemática y oportunamente el trabajo realizado por
los profesionales que conformen el equipo de auditoría.
2.- La
supervisión implica dirigir los esfuerzos del equipo de auditores gubernamentales hacia la consecución de los
objetivos de auditoría.
3.- La
supervisión debe ser realizada en cada una de las etapas de la auditoría, la
misma incluye:
Examinar
la factibilidad y/o razonabilidad técnica de los objetivos y alcances de la
auditoría propuestos.
-
Asegurar que los miembros del equipo comprendan los
objetivos de la auditoría.
-
En particular se debe asegurar que entiendan
claramente el trabajo a realizar, por qué se va efectuar y qué se espera
lograr.
-
Guiar a los miembros del equipo de auditoría a lo
largo del desarrollo de las tareas asignadas.
-
Revisar oportunamente el trabajo realizado, a través
de los respectivos papeles de trabajo en medios físicos y/o electrónicos.
-
Ayudar a absolver problemas técnicos y
administrativos.
-
Detectar debilidades del personal asignado y
proporcionar en consecuencia la capacitación necesaria o requerir que la misma
sea proporcionada por terceros.
-
Asegurar que la evidencia obtenida sea suficiente y
competente
4.- La
supervisión efectuada durante el desarrollo de la auditoría, debe estar
evidenciada en los papeles de trabajo en medios físicos y/o electrónicos,
acumulados durante la misma.
Control interno
1.- La tercera norma de auditoría
de tecnologías de la información y la comunicación es:
Debe obtenerse una comprensión
del control interno relacionado con el objeto del examen.
2.- Se debe evaluar el control
interno para identificar las áreas críticas que requieren un examen profundo y
determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance
y oportunidad de los procedimientos.
3.- A efectos de este tipo de auditoría, se
establecen dos tipos de controles: el control general y el control específico
de los sistemas de información. El control general involucra a todos los
sistemas de información y el control específico está diseñado para controlar el
procesamiento en sí de la información.
4.- Los controles generales son políticas
y procedimientos que tiene que ver con el ambiente en el cual se desarrollan,
mantienen y operan los sistemas de información y respaldan el funcionamiento
efectivo de los controles específicos, en
consecuencia involucran a todos los sistemas de información.
5.- Los controles específicos son
los aplicables a los procesos de adquisición, producción almacenamiento,
tratamiento, comunicación, registro y presentación de la información.
6.- El control interno es un
proceso implementado por la dirección y todo el personal, diseñado con el
objetivo de coadyuvar al logro de los objetivos de la entidad…
7.- El control interno está
conformado por cinco componentes que interactúan entre sí y se encuentran
integrados al proceso de gestión: ambiente de control, evaluación de riesgos,
actividades de control, información y comunicación y supervisión.
8.- El estudio y evaluación del
control interno incluye dos fases:
a) Conocimiento y comprensión de
los procedimientos establecidos en la entidad referente a los sistemas de
información, al término del cual, el auditor gubernamental debe ser capaz de
emitir una opinión preliminar presumiendo un satisfactorio cumplimiento del
control interno.
b) Comprobación de que los
procedimientos relativos a los controles internos están siendo aplicados tal
como fueron observados en la primera fase.
Evidencia
1.- La cuarta norma de auditoria
de tecnologías de la información y la comunicación es:
Debe obtenerse evidencia
competente y suficiente como base razonable para sustentar los hallazgos y
conclusiones del auditor gubernamental.
2.- Se denomina evidencia al
conjunto de hechos comprobados, suficientes y competentes que sustentan las
conclusiones del auditor.
3.- La acumulación de evidencia
es un proceso integrado a toda la ejecución de la auditoría y debe sustentar
todos los atributos de los hallazgos de auditoría.
4.- La evidencia debe ser
acumulada mediante un proceso supervisado de aplicación de metodologías y
técnicas de auditoría.
05.-La
evidencia para ser competente, debe ser válida como relevante.
La
evidencia es válida cuando es consistente con la realidad y los hechos, la
misma ha sido obtenida de fuente independiente, por el auditor en forma directa
o se ha asegurado de la confiabilidad de la información generada por la
entidad.
La
evidencia es relevante cuando tiene directa relación con el objeto de la
auditoría y contribuye a sustentar los hallazgos y conclusiones del auditor
gubernamental.
06. La
evidencia es suficiente si basta para sustentar la opinión del auditor
gubernamental, para ello debe ejercitar su juicio profesional con el propósito
de determinar la cantidad y tipos de evidencia necesarias.
07. Las
Técnicas de Auditoría Asistidas por Computador (TAAC) pueden producir parte de
la evidencia de auditoría, como consecuencia de ello, el auditor debe
planificar y ser competente en el uso de las TAAC.
08. La
evidencia obtenida por el auditor gubernamental debe conservarse en papeles de trabajo
en medios físicos y/o electrónicos.
09. Respecto
a las características de competencia, suficiencia y clasificación de la evidencia,
y a los papeles de trabajo que la contienen, deben considerarse los aspectos mencionados
en los numerales 07 al 13 de la Norma de Auditoría Financiera 224.
Comunicación de resultados
1.- La
quinta norma de auditoría de tecnologías de la información y la comunicación
es: El informe de auditoría de tecnologías de la información y la comunicación debe
ser oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar
los resultados obtenidos durante la misma.
02.-El
informe de auditoría de tecnologías de la información y la comunicación debe
ser emitido en forma escrita, lógica y organizada.
03. El
informe debe contener información suficiente para ser entendido por los destinatarios
y facilitar la acción correctiva si corresponde.
04. El
contenido del informe de auditoría de tecnologías de la información y la comunicación
deberá hacer referencia a:
- Los
antecedentes, acciones o circunstancias que dieron origen a la auditoría.
- Los
objetivos, que identificarán los propósitos específicos que se cubrirán durante
la misma.
- El
objeto, identifica aquello que ha sido examinado.
- El
alcance, se referirá al periodo examinado; así como a la cobertura del trabajo realizado.
Se debe
especificar en el alcance, que la auditoría se realizó de acuerdo con las
Normas de
Auditoría Gubernamental.
- Si se
presentaron limitaciones que no permitieron al auditor gubernamental cumplir
con los objetivos previstos, éstas deben ser mencionadas en el informe de manera
expresa.
- La
metodología, explicará las técnicas y procedimientos de auditoría que fueron empleados
para obtener y analizar la evidencia; asimismo, se mencionarán los criterios y
normas aplicadas durante el desarrollo del examen.
- En el
resultado del examen, se expondrá:
• Los
hallazgos significativos que tengan relación con los objetivos de auditoría,
los que incluirán la información suficiente que permita una adecuada
comprensión del asunto que se informa.
Las
recomendaciones que se consideren apropiadas para eliminar o minimizar las
causas que originaron las deficiencias identificadas durante el examen.
-
Las conclusiones, que son inferencias lógicas sobre el
objetivo de auditorías basadas en los hallazgos, deben ser expresadas
explícitamente de manera convincente y persuasiva, evitando el riesgo de
interpretaciones erróneas por parte de los lectores.
05. Si
correspondiera, se debe hacer referencia a las auditorías especiales que se
hubieran iniciado por alguna situación evidenciada en la auditoría de
tecnologías de la información y la comunicación, o a los informes de auditoría
especial emergentes de la misma.
Opinión Personal
En la
Normativa Boliviana respecto a la Auditoría Informática no considere que se
encuentre desarrollada en muchos aspectos dejando vacíos legales que hay que
suplir con normativa y procedimientos externos como COBIT y otros. Sin embargo
es fundamental socializar la normativa vigente hasta el momento para que todos
los administradores TIC y las instituciones puedan comprender y seguir
metodologías de acuerdo a normas establecidas.
