EL INFORME DE AUDITORIA

INTRODUCCION

El tema de este capítulo es el Informe de Auditoría Informática, que a su vez es el objetivo de la Auditoría
Informática.
Para comprender ésta, en función del Informe que realiza un, digamos, experto o perito -al que llamaremos
Auditor Informático-, conviene explicar someramente el contexto en el que se desenvuelve hoy su práctica.
La sociedad actual, está en fase tecnológica; apenas guarda recuerdo práctico de anteriores etapas evolutivas
(la artesanal, por ejemplo); más aún, las va olvidando a creciente velocidad, generación tras generación.
El dominio de la tecnología como motor de cambio social acelerado y como catalizador de cambios
tecnológicos que se superponen, se hace rabiosamente evidente en las llamadas Tecnologías de Información y
Comunicaciones de uso en las organizaciones. (Tras el mainframe y los terminales tontos, surgieron los PC's y
las redes, el EDI, los entornos distribuidos, las arquitecturas cliente/servidor, las redes TCP/IP -intranets,
extranets, redes privadas virtuales , los accesos remotos y móviles mediante portátiles y teléfonos móviles, y,
finalmente -por ahora-, se nos proponen terminales domésticos vinculados con el equipo de televisión y
terminales cuasitontos de trabajo conectados a servidores dominantes descentralizados... Y todo en un período
no superior a ¡treinta y cinco años!)
Está claro: las tecnologías de la información, al tiempo que dominan de modo imparable las relaciones
humanas (personales, familiares, mercantiles, internacionales...), tienen un ciclo de vida cada vez más corto.
Sea como fuere, una de las consecuencias de lo dicho consiste en la dificultad de asimilación rápida y
equilibrada en la empresa de los entornos tecnológico y de organización (referido el primero a las Tecnologías
de Información y Comunicaciones, y el segundo a lo mercantil).
En este sentido, el Auditor Informático, en tanto que experto, lo tiene crudo (menos, sin embargo, que el
Auditor de Cuentas), al tener que encarar profesionalmente y en el paisaje que estoy presentando, plagado de
necesidades de reciclaje y formación, el llamado "desfase entre las expectativas de los usuarios y los
informes de auditoría". Las cosas ya no son como eran, y algo habrá que hacer para encontrar un punto de
equilibrio razonable entre el desfase mencionado y la contabilidad de los usuarios en el Informe (y en el
Auditor Informático).
La complejidad de los sistemas de información crece con sus prestaciones y características (conectividad,
portabilidad...); la necesidad de utilizarlos que tienen las organizaciones -públicas y privadas- en todos sus
ámbitos, alcanza hoy un valor estratégico de competitividad y supervivencia... Podemos afirmar que nunca
antes hemos sido tan dependientes de los sistemas de información. Y nunca antes hemos necesitado tanto a
expertos eficientes (no infalibles) en Auditoría Informática.
Conviene mencionar, al respecto de la práctica de la Auditoría (Informática), y siempre en función del
Informe de Auditoría, la existencia del fraude y del error, sobre todo si son significativos, así como la
valoración de las garantías que aportan los informes de los auditores informático s a los usuarios, incluyendo
gobiernos y organizaciones nacionales e internacionales.
La Informática es muy joven; por tanto, la Auditoría Informática lo es más (en España, por cierto, de modo
superlativo). No está todo sin hacer; pero sí quedan muchos cabos por atar, y en esto el tiempo no es neutral.
En este capítulo (y en este contexto) vamos a tratar de fijar la práctica de la Auditoría Informática en función,
como queda dicho, del Informe. Para ello, repasaremos someramente aspectos previos fundamentales, como
son las normas, el concepto de evidencia en auditoría, las irregularidades, los papeles de trabajo o
documentación para, finalmente, encarar el Informe, sus componentes, características y tendencias detectadas.
Intentaremos, también, ofrecer algunas conclusiones de interés, sin perder de vista en todo caso que en el
mundo auditor de hoy todo ejercicio de predicción es, en principio, una temeridad.

LAS NORMAS

En 1996 la Unión Europea publicó el Libro Verde de la Auditoría, dedicado al papel, la posición y la
responsabilidad del auditor legal. Su contenido afecta a la Auditoría Informática.
En principio, el Libro acepta las Normas Internacionales IFAC para su adaptación adecuada a la Unión
Europea; por tanto, se transmitirán a través de las Directivas correspondientes a España para que se
transformen en legislación positiva.
En lo referente al Tratamiento Automatizado de Datos de Carácter Personal -incluso disponiendo de una Ley
orgánica-, el asunto se resolverá por los mismos cauces, con la trasposición de la actual Directiva de
protección de datos personales y, quizá, de otra, en forma de propuesta todavía, relacionada con los servicios
de telecomunicaciones apoyados en tecnología digital y especialmente Red Digital de Servicios Integrados.
Otra fuente de Normas Internacionales es ISACF, ya más específica de Auditoría Informática. Nuestro país
está representado en ISACA por la Organización de Auditoría Informática, en lento take off.
Hoy por hoy, la normativa española oficial que afecta, en mayor o menor medida, a la Auditoría Informática,
es la siguiente:

-ICAC: Normas Técnicas de Auditoría: punto 2.4.10, Estudio y Evaluación del Sistema de Control Interno.

-AGENCIA DE PROTECCIÓN DE DATOS: Instrucción relativa a la prestación de servicios sobre solvencia

patrimonial y créditos. Norma cuarta: Forma de Comprobación.

Del artículo 9 de la LORTAD se desprende el desarrollo reglamentario de medidas técnicas y organizativas

alusivas a la seguridad en lo que concierne a integridad y confidencialidad de los datos personales
automatizados. Todavía no ha sido publicado tal reglamento, pero sería de esperar que se incluyera en su texto
alguna referencia específica sobre Auditoría Informática.
También conviene reseñar que dentro de la Unión Europea, la FEE tiene en marcha el Proyecto EDIFICAS
EUROPE, dentro del UN/EDIFACT, en el que España está representada por el IACJCE, que se estructura en
cuatro grupos de trabajo: Mensajes, Auditoría (Guías de Auditoría de entornos de EDI), Promoción y
Asuntos Especiales.

La Auditoría Informática no está muy desarrollada y, por añadidura, se encuentra en un punto crucial para la
definición del modelo en que deberá implantarse y practicarse en la Unión Europea y, por tanto, España, vía
directivas UE/Iegislación positiva y normas profesionales.
Maticemos este aspecto: hay dos tendencias legislativas y de práctica de disciplinas: la anglosajona, basada en
la Common Law, con pocas leyes y jurisprudencia relevante; y la latina, basada en el Derecho Romano, de
legislación muy detallada.
La tensión entre estos dos modelos, esto es, entre el intervencionismo máximo latino y el mínimo
intervencionismo anglosajón, es ya insostenible. Uno de los dos deberá prevalecer, si es que realmente nos
encaminamos a la sociedad global.
Justo es reconocer que los parámetros del cambio tecnológico parecen hacer más práctico el modelo
anglosajón: no en vano, en Estados Unidos, tanto la Auditoría como la Informática (y las Comunicaciones),
tienen un desarrollo muy experimentado y, sobre todo, adaptativo. Los parámetros de velocidad y tiempo
hacen aconsejable un esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas de
origen profesional.
Si la globalización antes mencionada es un hecho incuestionable, el sabio uso de los llamados principios
generalmente aceptados hará posible la adaptación suficiente a la realidad de cada época.
En este sentido, no podemos olvidar que los organismos de armonización, normalización, homologación,
acreditación y certificación tendrán que funcionar a un ritmo más acorde con las necesidades cambiantes. El
conjunto ISO-CEN-AENOR y los vinculados con seguridad, ITSEC/ITSEM Europa, TCSEC USA y
Common Criteria UE/Norteamérica, necesitan ir más rápido; ya que su lentitud está provocando, en un mundo
tan acelerado, la aparición de multitud de organizaciones privadas, consorcios y asociaciones que con muy
buena voluntad y óptimo sentido de la conveniencia mercantil, pretenden unificar normas y promocionar
estándares.
Por último, conviene que se clarifique el panorama normativo, de prácticas y responsabilidades en lo que
concierne a los problemas planteados por los servicios profesionales multidisciplinares, ya que el Informe
de Auditoría Informática se compone de tres términos: Informática, Auditoría e Informe.

LA EVIDENCIA
En este epígrafe parece saludable reseñar algunos asuntos previos, referidos a la redacción del Informe,
tratados en otros capítulos de esta obra, puesto que el referido Informe es su consecuencia.
Por tanto, tratemos de recordar en qué consiste la evidencia en Auditoría Informática, así como las pruebas
que la avalan, sin olvidar la importancia relativa y el riesgo probable, inherente y de control.
La certeza absoluta no siempre existe, según el punto de vista de los auditores; los usuarios piensan lo
contrario. No obstante lo dicho, el desarrollo del control interno, incluso del específicamente informático, está
en efervescencia, gracias al empuje de los Informes USA/Treadway (1987), UK/Cadbury (1992) y
Francia/Vienot (1995), y en lugar destacado el USA/COSO (1992), traducido al español por Coopers &
Lybrand y el Instituto de Auditores Internos de España.
Pero volvamos a la evidencia, porque ella es la base razonable de la opinión del Auditor Informático, esto es,
el Informe de Auditoría Informática.

La evidencia tiene una serie de calificativos; a saber:

- La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.
- La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.
- La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.
- La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.

En principio, las pruebas son de cumplimiento o sustantivas.

Aunque ya tratado en otro capítulo, conviene recordar el escollo práctico de la importancia relativa o
materialidad, así como el riesgo probable.
La opinión deberá estar basada en evidencias justificativas, es decir, desprovistas de prejuicios, si es preciso
con evidencia adicional.

LAS IRREGULARIDADES

Las irregularidades, o sea, los fraudes y los errores, especialmente la existencia de los primeros, preocupa
tanto que aparece con énfasis en el ya citado Libro Verde de la DE. La Dirección General XV (Comercio
Interior) y el MARC (Maastricht) están claramente sensibilizados al respecto.
Recordemos antes de proseguir, que en los organismos y las empresas, la Dirección tiene la responsabilidad
principal y primaria de la detección de irregularidades, fraudes y errores; la responsabilidad del auditor se
centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección.
Es, pues, indudablemente necesario diseñar pruebas antifraude, que lógicamente incrementarán el coste de la
auditoría, previo análisis de riesgos (amenazas, importancia relativa...).
La auditoría de cuentas se está judicializando -camino que seguirá la Auditoría Infonnática, práctica
importada de Estados Unidos-, ya que aparece en el vigente Código Penal (delitos societarios y otros puntos)
con especial énfasis en los administradores. No olvidemos, al respecto, la obligatoriedad de suscribir pólizas
de seguro de responsabilidad civil para auditores independientes, individuales y sociedades.
Por prudencia y rectitud, convendrá aclarar al máximo -de ser posible- si el Informe de Auditoría es
propiamente de auditoría y no de consultoría o asesoría informática, o de otra materia afín o próxima.
Aunque siempre debe prevalecer el deber de secreto profesional del auditor, conviene recordar que en el caso
de detectar fraude durante el proceso de auditoría procede actuar en consecuencia, con la debida prudencia
que aconseja episodio tan delicado y conflictivo, sobre todo si afecta a los administradores de la organización
objeto de auditoría. Ante un caso así, conviene consultar a la Comisión Deontológica Profesional, al asesor
jurídico, y leer detenidamente las normas profesionales, el Código Penal y otras disposiciones; incluso hacer
lo propio con las de organismos oficiales tales como el Banco de España, la Dirección General de Seguros, la
Comisión Nacional del Mercado de Valores, el organismo regulador del medio ambiente..., que pudieran estar
afectados, no debería desestimarse. El asunto podría, incluso, terminar en los Tribunales de justicia.

LA DOCUMENTACION

En el argot de auditoría se conoce como papeles de trabajo la "totalidad de los documentos preparados o
recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y
de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para
llegar a formarse su opinión".
El Informe de Auditoría, si se precisa que sea profesional, tiene que estar basado en la documentación o
papeles de trabajo, como utilidad inmediata, previa supervisión.
La documentación, además de fuente de know how del Auditor Informático para trabajos posteriores así como
para poder realizar su gestión interna de calidad, es fuente en algunos casos en los que la corporación
profesional puede realizar un control de calidad, o hacerlo algún organismo oficial. Los papeles de trabajo
pueden llegar a tener valor en los Tribunales de justicia.
Por otra parte, no debemos omitir la característica registral del Informe, tanto en su parte cronológica como en
la organizativa, con procedimientos de archivo, búsqueda, custodia y conservación de su documentación,
cumpliendo toda la normativa vigente, legal y profesional, como mínimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o expertos independientes, así
como de los auditores internos, se reseñen o no en el Informe de Auditoría Informática, formarán parte de la
documentación.
Además, se incluirán:

- El contrato cliente/auditor informático y/o la carta propuesta del auditor informático.

- Las declaraciones de la Dirección.
- Los contratos, o equivalentes, que afecten al sistema de información, así como el informe de la asesoría
jurídica del cliente sobre sus asuntos actuales y previsibles.
- El informe sobre terceros vinculados. - Conocimiento de la actividad del cliente.

EL INFORME

Se ha realizado una visión rápida de los aspectos previos para tenerlos muy presentes al redactar el Informe de
Auditoría Informática, esto es, la comunicación del Auditor Informático al cliente, formal y, quizá, solemne,
tanto del alcance de la auditoría; (objetivos, período de cobertura, naturaleza y extensión del trabajo realizado)
como de los resultados y conclusiones.

Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su

importancia y vinculación con el factor riesgo, tarea eminentemente de carácter profesional y ético, según el
leal saber y entender del Auditor Informático.
Aunque no existe un formato vinculante, sí existen esquemas recomendados con los requisitos mínimos
aconsejables respecto a estructura y contenido.
También es cuestión previa decidir si el informe es largo o, por el contrario, corto, por supuesto con otros
informes sobre aspectos, bien más detallados, bien más concretos, como el informe de debilidades del
control interno, incluso de hechos o aspectos; todo ello teniendo en cuenta tanto la legislación vigente como
el contrato con el cliente.
En mi modesta opinión, los términos cliente o proveedor/interno o externo, típicos de la Gestión de la
Calidad, resultan más apropiados que informático/auditor informático/usuario, ya que este último término
tiene una lamentable connotación peyorativa.
En lo referente a su redacción, el Informe deberá ser claro, adecuado, suficiente y comprensible. Una
utilización apropiada del lenguaje informático resulta recomendable.
Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:

1. Identificación del Informe: El título del Informe deberá identificarse con objeto de distinguirlo de
otros informes.
2. Identificación del Cliente: Deberá identificarse a los destinatarios y a las personas que efectúen el
encargo.
3. Identificación de la entidad auditada: Identificación de la entidad objeto de la Auditoría Informática.
4. Objetivos de la Auditoría Informática: Declaración de los objetivos de la auditoría para identificar su
propósito, señalando los objetivos incumplidos.
5. Normativa aplicada y excepciones: Identificación de las normas legales y profesionales utilizadas, así
como las excepciones significativas de uso y el posible impacto en los resultados de la auditoría.
6. Alcance de la Auditoría: Concretar la naturaleza y extensión del trabajo realizado: área organizativa,
período de auditoría, sistemas de información... señalando limitaciones al alcance y restricciones del
auditado.
7. Conclusiones: Informe corto de opinión: Lógicamente, se ha llegado a los resultados y, sobre todo, a
la esencia del dictamen, la opinión y los párrafos de salvedades y énfasis, si procede.
El Informe debe contener uno de los siguientes tipos de opinión: favorable o sin salvedades, con
salvedades, desfavorable o adversa, y denegada.

7.1. Opinión favorable. La opinión calificada como favorable, sin salvedades o limpia, deberá
manifestarse de forma clara y precisa, y es el resultado de un trabajo realizado sin limitaciones de
alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional.
Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a
debilidades de control interno en sentido amplio, y las salvedades, existe o puede existir una zona de
gran sensibilidad; tan es así que tendrá que clarificarse al máximo, pues una salvedad a la opinión
deberá ser realmente significativa; concretando: ni pasarse, ni no llegar, dicho en lenguaje coloquial;
en puridad es un punto de no retorno.

7.2. Opinión con salvedades. Se reitera lo dicho en la opinión favorable al respecto de las salvedades
cuando sean significativas en relación con los objetivos de auditoría, describiéndose con precisión la
naturaleza y razones.

Podrán ser éstas, según las circunstancias, las siguientes:

. Limitaciones al alcance del trabajo realizado; esto es, restricciones por parte del auditado,
etc.
. Incertidumbres cuyo resultado no permita una previsión razonable.
. Irregularidades significativas.
. Incumplimiento de la normativa legal y profesional.

7.3. Opinión desfavorable. La opinión desfavorable o adversa es aplicable en el caso de:

. Identificación de irregularidades
. Incumplimiento de la normativa legal y profesional, que afecten significativamente a los
objetivos de auditoría informática estipulados, incluso con incertidumbres; todo ello en la
evaluación de conjunto y reseñando detalladamente las razones correspondientes.

7.4. Opinión denegada. La denegación de opinión puede tener su origen en:

. Las limitaciones al alcance de auditoría.

. Incertidumbres significativas de un modo tal que impidan al auditor formarse una opinión.
. Irregularidades.
. El incumplimiento de normativa legal y profesional.

7.5. Resumen. El siempre difícil tema de la opinión, estrella del Informe de Auditoría Informática,
joven como informática y más todavía como auditoría informática; por tanto, puede decirse que más
que cambiante, mutante. Debido a ello, y además con la normativa legal y profesional
desacompasadas, la ética se convierte casi en la única fuente de orientación para reducir el desfase
entre las expectativas del usuario en general y el informe de los auditores.
No olvidemos que existe la ingeniería financiera y la contabilidad creativa; tampoco que las
entidades que pueden ser auditadas suelen estar sometidas a cambios, como, por ejemplo, la
implantación de aseguramiento y gestión de la calidad -vía ISO 9000, vía EFQM (modelo europeo )-,
reingeniería de procesos y otras transformaciones significativas (adaptaciones al Milenio y al Euro).

8. Resultados: Informe largo y otros informes

Parece ser que, de acuerdo con la teoría de ciclos, el informe largo va a colocar al informe corto en su debido
sitio, o sea, como resumen del informe largo (¿quizá obsoleto?). Los usuarios, no hay duda, desean saber más
y desean transparencia como valor añadido.
Es indudable que el límite lo marcan los papeles de trabajo o documentación de la Auditoría Informática, pero
existen aspectos a tener en cuenta:

. El secreto de la empresa.
. El secreto profesional.
. Los aspectos relevantes de la auditoría.
….

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la Auditoría Informática, tal
como el de Debilidades de Control Interno o los informes especiales y/o complementarios que exigen
algunos organismos gubernamentales, como, por ejemplo, el Banco de España, la Comisión Nacional del
Mercado de Valores y la Dirección General de Seguros, entre otros y por ahora.

9. Informes previos

No es una práctica recomendable, aunque sí usual en algunos casos, ya que el Informe de Auditoría
Informática es, por principio, un informe de conjunto.
Sin embargo, en el caso de detección de irregularidades significativas, tanto errores como fraudes, sobre todo,
se requiere una actuación inmediata según la normativa legal y profesional, independientemente del nivel
jerárquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la
responsabilidad civil del Auditor (Informático).

10. Fecha del Informe

El tiempo no es neutral; la fecha del Informe es importante, no sólo por la cuantificación de honorarios y el
cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar
las fechas de inicio y conclusión del trabajo de campo, incluso la del cierre del ejercicio, si es que se está
realizando un Informe de Auditoría Informática como herramienta de apoyo a la Auditoría de Cuentas. En
casos conflictivos pueden ser relevantes aspectos tales como los hechos posteriores al fin del período de
auditoría, hechos anteriores y posteriores al trabajo de campo...

11. Identificación y firma del Auditor

Este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de
auditoría, que deberá corresponder a un socio o socios legalmente así considerados.

12. Distribución del Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informático, deberá definirse quién o quiénes
podrán hacer uso del Informe, así como los usos concretos que tendrá, pues los honorarios deberán guardar
relación con la responsabilidad civil.

CONCLUSIONES

¿Qué es el informe de auditoría informática y qué le diferencia de otro tipo de informes (consultaría, asesoría,
servicios profesionales...) de informática?
Resulta básico, antes de redactar el informe de auditoría, que el asunto esté muy claro, no sólo por las
expectativas ya citadas, sino porque cada término tiene un contenido usual muy concreto; la etiqueta auditoría
es, en esencia, un juicio de valor u opinión con justificación.
Por tanto, habida cuenta que tiene base objetiva -sobre todo con independencia en sentido amplio-, es
eminentemente una opinión profesional subjetiva.
Además, como se aplican criterios en términos de probabilidad, hay que evitar la predisposición a algún
posible tipo de manipulación, debido a la libertad de elección de pruebas; no se debe elegir una serie de ellas
que dé la imagen buscada (prejuicio) como consecuencia de la acumulación de sesgos ad hoc.
Esta insistencia en clarificar es quizá excesiva, pero resulta importante emitir el Informe de auditoría
informática de acuerdo con la aplicación de la Auditoría Informática con criterios éticamente profesionales y
desestimar los procedimientos de Auditoría Informática "creativa" sorteando la posible "contaminación" con
la contabilidad "creativa".
En el precitado Libre Verde de Auditoría Legal de la Unión Europea y recordando la Directiva Octava de
Derecho de Sociedades, se señala que el auditor debe ser independiente, pero sólo la FEE señala que puede
serio de una manera objetiva.
Es ilustrativo revisar textualmente el punto 4.9 del famoso Libro Verde:

"En años recientes, se ha manifestado preocupación sobre las amenazas que se ciernen sobre la independencia
de los auditores. Varias encuestas indican el hecho de que las empresas están cada vez más preparadas a
desafiar a los auditores, comprar opiniones, buscar asesoramiento legal sobre las opiniones de los auditores y
a cambiar de auditores. Algunos informes concluyen que, dadas las presiones competitivas, sería idealista
asumir que todos los auditores actúan en todo momento sin pensar en el riesgo de perder clientes. Se han
manifestado críticas de que el profesionalismo se ha disminuido en favor de una actitud más de negocio."
En fin, que como indicio del estado del arte, este párrafo resulta bastante aleccionador.
Navegando entre definiciones y definiciones, encuentro muy explicativa la de ISACF, que dice así:
"La auditoría de sistemas de información se define como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o alguna sección/área) de los sistemas automatizados de procesamiento de
la información, incluyendo procedimientos relacionados no automáticos y las int~rrelaciones entre ellos."
Creo que precisa lo suficiente sobre el sistema informático, el manual y sus conexiones para delimitar los
objetivos de cobertura de un informe de auditoría informática que, ponderados con los objetivos COSO de la
Actividad de Tecnologías de la Información (planes estratégicos, información fiable, adecuada y disponible, y
sistemas de información disponibles), clarifican en forma razonable las zonas fronterizas con otros temas
afines, por ahora.
En mi opinión, Maastricht está acelerando el asunto; tanto es así que si Maastricht no existiera habría que
inventarIo, aunque el término auditoría tiene connotaciones no deseables. Espero que el MARC (Maastricht
Accounting and Auditing Research Center) sea un factor positivo en la auditoría de los sistemas de
información y, por tanto, en los informes y su normativa legal/profesional correspondiente.