CAPITULO 4 EL INFORME DE AUDITORIA José de la Peiia Sdnchez 4.1, INTRODUCCION El tema de este capitulo cs cl Informe de Auditoria Informatica, que a su vex sel objetivo de la Auditoria Informética. Para comprender ésta, en funcidn det Informe que realiza un, digamas, experto © ferito ~al que Hamaremos Auditor Informdtico-, conviene explicar someramente el tentexto en el que se desenvuclve hoy su priictica, La sociedad sctual, est en fase tecnoligica; apenas guarda recuerdo préctico de anteriores etapas evolutivas (la artesanal, por ejemplo); més adn, las va olvidando a enciente velocidad, generacidn tras generacién. El dominio de la tecnologia como motor de cambio social acelerado y como talizador de cambios tecnokégioos que s¢ superponcn, se hace rabiosamente evidente en las Hamadas Tecnologias de Informacién y Comunicaciones de uso ea las Qrpmizaciones. (Tras el mainframe y los tcrminales tontos, surgieron los PC's y las nes, el EDI, los entornos distribuides, las arquitecturas cliente/servidor, las redes TOMIP -intranets, extranets, redes privadas virtuales.,.-, bos accesos remotos y éviles mediante portitiles y teléfonos méviles, y, finalmente ~por ahora-, s¢ nos prponen terminales domésticos vinculades con el equipo de televisiGn y terminales ‘Gusitontos de trabajo conectados a servidores dominantes descentralizados... Y todo ‘aun periodo no superior a jtreinta y cinco afios!) Esti claro: las tecnologias de la informacién, al tiempo que dominan de modo imporable las relaciones humanas (personales, familiares, mercantiles, intemacionalcs...), tienen un ciclo de vida cada vex més corto,EES S_AUDITORIA INFORMATICACUN ENFOQUEPRACTICO coum Sea como fuere, una de las consecuencias de lo dicho consiste cn la dificultad & asimilacion répida y equilibrada en la empresa de los entomos tecnolégico y & organizacién (referido el primero a las Tecnologias de Informaciin y Comunicacione, y el segundo a lo mercantil). En este sentido, el Auditor Informético, en tanto que experto, 10 tiene crude| (menos, sin embargo, que el Auditor de Cuentas), al tener que encare Profesionalmente y en ¢l palsaje que esloy presentiando, plagado de necesidades de| feciclaje y formacidn, el llamado “desfase entre las expectativas de los usuarios y los informes de auditoria”. Las cons ya no son como eran, y algo habed que hacer para encontrar un panto de equilibrio razonable entre cl desfase mencionado y lil ‘contabilidad de los usuarios en ef Informe (y en el Auditor Informatica), La complejidad de tos sistemas de informacién erece CON sus prestaciones y caracteristicas (conectividad, portabilidad.,.); la necesidad de utilizarlos que tienen ly organizaciones —pdblicas y privadas- en todos sus Ambitos, alcanza hoy un vale éxtratégico de competitividad y supervivencia.,.. Podemos afirmar que nunca sate hemos sido tan dependientes de tos sistemas de informacién. Y nunca antes hema Recesitado tanto a expertos eficientes (no infalibles) en Awditoria Informética. Conviene mencionar, al respecto de la Prictica de Ja Avditoria (Unformatica), y siempre en funcién del Informe de Avditoria, la existencia del fraude y del error, sobee La Informatica es may joven; Por tanto, la Auditoria Informitica lo es mas (a Espaiia, por cierto, de modo Superlativo). No esti todo sin hacer; Pero sf queda muchos cabos por atar, y en esto el tiempo no es neutral. ditoria Informatica en funcién, come queda dicho, del Informe. Para‘cllo, Tepasaremes arideainente aspectos previos fundamentales, como son las nornsus, cl concepto de evidencta en auditoria, las irregularidades, los papeles de trabajo o documentaciée para, finalmente, encarar el Informe, sus Componentes, caracteristicas y tendencias detectadas. Intentaremos, también, ofrecer algunas conclusiones de interés, sin perder de vista en todo caso que en et mundo auditor de hoy todo ejercicio de Prediccién es, en principio, una temeridad,same CAPHTULO 4:61 ENFORME DE AUDITORIA 9% 42, LAS NORMAS En 1996 Ia Unidin Europea publicé el Libro Verde de la Auditoria, dedicado al fepel, la posicién y la responsabilidad del auditor legal. Su contenido afecta a la Aaditoria Informatica. En principio, el Libro acepta las Normas Internacionales IFAC para su adaptaciéa edecuada 2 la Unide Europea; por tanto, se transmitirdn a través de las Directivas ‘corespondientes a Espaiia para que se transformen en legislacién positiva. En lo referente al Tratamiento Automatizado de Datos de Cardcter Personal incluso disponiendo de una Ley orginica-, el asunto se resolverd por los mismos ‘ances, con Ia traspasiciin de la actual Directiva de proveccita de datos personales y. quiti, de otra, en forma de propuesta todavia, relacionada con los servicios de ‘elecomunicaciones apoyados en tecnologia digital y especialmente Red Digital de Servicios Integrados. Otra fuente de Normas Internacionales es ISACF, ya mis especifica de Auditoria Ihcemética. Nuestro pais esti representado en ISACA por la Organizacién de Aaditoria Informatica, en lento take off. Hoy por hoy, la normativa espafiola oficial que afecta, en mayor o menor medida, ala Auditorfa Informatica, es ta siguiente: * ICAC: Normas Técnicas de Auditoria: punto 2.4.10, Estadio y Evaluacién del ‘Sistema de Control Interno. * AGENCIA DE PROTECCION DE DATOS; Instrocciéa relativa a la prestaciGn de servicios sobre solvencia patrimonial y créditos. Norma cuarta: | Forma de Comprobacién. Del anticulo 9 de la LORTAD se desprende el desarrollo reglamentario de medi- as ueaiicas y organizativas alusivas a la seguridad en lo que concierne a integridad y ‘Gafidencialidad de los datos personales automatizados. Todavia no ha sido publicado Wl mglamento, pero seria de esperar que se incluyera en su texto alguna referencia (Gqecifica sobre Auditoria Informitica. También conviene reseflar que dentro de la Unién Europea. la FEE tiene en mincta el Proyecto EDIFICAS. EUROPE, dentro del UN/EDIFACT, en ef que Espafia ‘etd representada por el IACICE, que se estructura en cuatro grupos de trabajo: Mesajes, Auditoria (Guias de Auditorfa de entornos de EDI), Promocidn y Asuntos4 S36 _AUDITORIA INFORMATICA: UN ENFOQUE PRACTIOO eum La Auditoria Informdtica no esté muy desarrollada y, por afladidura, s¢ encucom en un punto crucial para la definicién del modelo en que deberd implantarse y practicarse en la Unién Europea y, por tanto, Espaiia, via directivas UE/egislacite positiva y normas profesionales. Maticemos este aspecto: hay dos tendencias legislativas y de prictica é& disciplinas: ta anglosajona, basada en la Common Law, con pocas leyes y jorisprodencia relevante: y ta latina, basada en el Derecho Romano, de legislacie muy detallada, La tensida entre estos dos modelos, esto es, entre el intervencionismo miine | latino y el minimo intervencionismo anglosajén, es ya insostenible. Uno de los da deberd prevalecer, si es que realmente nos encarinamos a la sociedad global. Justo es reconocer que los parimetros del cambio tecnolégico parecen hacer mis prictico el modelo anglosajén: no en vano, en Estados Unidos, tanto la Audited como la Informatica (y las Comunicaciones), tienen un desarrollo muy experimentads y. sobre todo, adaptative, Los pariimetros de velocidad y tiempo hacen aconsejabie tun esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas é origen profesional. Si la globalizacidn antes mencionada es un hecho incuestionable, el sabio uso &| Jos Hlamados principios generalmente aceptados har& posible la adaptacién suficiene ala realidad de cada época. En este sentido, no podemos olvidar que los organismos de armonizaciée, normalizacién, homologacién, acreditacién y certificacién tendran que funcionar aw) ritmo mis acorde con las mecesidades cambiantes. El conjunto ISO-CEN-AENOR y las vinculados con seguridad, ITSEC/ATSEM Europa, TCSEC USA y Comma Criteria UE/Nortcamérica, necesitan ir mds rapido, ya que su lentitud ea Provocando, en un mundo tan acelerado, la aparicién de multitud de organizacions Privadas, consorcios y asociaciones que con muy bucna voluntad y Gptimo sentido de Ja conveniencia mercantil, pretenden unificar normas y promocionar estindares. Por tltimo, conviene que se clarifique ¢l panorama normative, de priicticas y responsabilidades en lo que concierne a los problemas planteados por los servicis profesionales multidisciplinares, ya que el Informe de Auditoria Informuitica compone de tres términos: Informatica, Auditoria e Informe.hes CAPITULO 4 EL INFORME DE AUDITORIA 97 43. LA EVIDENCIA En este epigrafe parece saludable reseflar algunos asuntos previos, referidos a ta redacciéin del Informe, tratados en otros capitulos de esta obra, puesto que el referido Informe es su consecvencia, Por tanto, tratemsos de recordar en qué consiste la evidencia en Avditoria Isformitica, asf como las prucbas que la avalaa, sin olvidar la importancia relativa y el ‘Resgo probable, inherente y de control. La certeza absoluta no siempre existe, segtin el punto de vista de los auditores; los usuarios piensan lo contrario. No obstante lo dicho, ¢l desarrollo del control interno, inchaso del especificamente informitico, estd en efervescencia, gracias al empuje de bos Informes USA/Treadway (1987), UK/Cadbary (1992) y Francia/Vienot (1995), y en lugar destacado el USA/COSO (1992), traducido al espafiol por Coopers & Lybrand y el Instituto de Auditores Intemos de Espaiia, Pero volvamos a la evidencia, porque clla ex la base razonable de la opinién del Avditor Informatica, esto es, el Informe de Auditoria Informatica, La evidencia tiene una serie de calificatives: a saber: - Laevidencia relevante, que tiene una relacidn légica con los abjetives de la auditoria, = Laevidencia flable, que es vilida y objetiva, aunque con nivel de confianza. — Laevidencia suficiente, que ¢s de tipo cuantitativo para soportar la opinida profesional del auditor. = La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor. En principio, las pruebas son de cumplimiente o sustantivas. i Aunque ya tratado en otro capitulo, coaviene recordar ¢l escollo prictico de la | importancia relativa © materialidad, as{ como el riesgo probable. La opinigin deberi estar basada en evidencias justificativas, es decir, desprovistas 4 prejuictos, si es preciso con evidencia adicional.98 AUOVTORIA INFORMATICA: UN ENKOQUE FRACTION oy 4.4, LAS IRREGULARIDADES Las irregularidades, o sea, las fraudes y los errores, especialmente la existenciade Jos primeros, preocupa tanto que aparece con énfasis en el ya citado Libro Verde dela UE. La Direccién General XV (Comercio Interior) y el MARC (Maastricht) esa claramente sensibilizados al respecto. Recordemos antes de proseguir, que en los organismos y las empresas, ly Direccién tiene la responsabilidad principal y peimaria Mie In deacccia & irregularidades, fraudes y errores; Ia responsabilidad del auditor se centra om Planificar, Hevar a cabo y evaluar su trabajo para oblener una expectativa razonable de sa deteccisn, Es, pues. indudablemente necesario disefiar pruebas antifraude, que kigicamene incrementarin cl coste de la auditoria, previo andlisis de riesgos (amenazs, importancia retativa....). La auditoria de cuentas se est4 judicializando —camino que seguird la Auditors Informatica. préctica importada de Estados Unidos-. ya que aparece en el vigene Cédigo Penal (delitos societarios y otros puntos) con especial énfasis en lor administradores. No olvidemas, al respecto, la obligatoriedad de suscribir puilizas de seguro de responsabilidad civil para auditores independientes, individuales y sosiedades. Por prudencia y rectitud, convendri aclarar al miximo de ser posible- si d Informe de Auditoria ¢s propiamente de auditoria y no de consultorfa 0 asesoria informética, o de otra matcria afin o préxims, Aunque siempre debe prevalecer el deber de secreto profesional del auditor, conviene recordar que en ¢l caso de detectar fraude durante el proceso de ayditoris procede actuar en consecuencia, con la debida prudencia que aconseja episodio ta delicado y conflictivo, sobre todo si afecta a los administradores de la organizacida ‘objeto de auditoria, Ante un caso asi, conviene consultar a la Comisién Deontoligica Profesional, al asesor juridico, y leer detenidamente las normas profesionales, ¢ Cédigo Penal y otras disposiciones; incluso hacer lo propio coa las de organismer oficiales tales come el Banco de Espaiia, la Direccién General de Seguros, lt Comisién Nacional del Mercado de Valores, el organismo regulador del medio ambiente... que pudieran estar afectados. no deberia desestimarse. El asunto podria, incluso, terminar en los Tribunales de justicia. 4.5. LA DOCUMENTACION En el argot de auditoria se conoce como papeles de trabajo la “totalidad de tos documentos preparados o recibidos por el auditor, de manera que, en conjenta,eee _CAPETULOA KL INFORM DE AUDITORIA 7% constituyen un compencdio de la informacién utilizada y de las pruebas efectuadas en la ejecucién de su trabajo, junto con tas decisiones que Isa debido tomar para llegar a formarse su opinidn”. El Informe de Auditoria, si se precisa que sea profesional, tiene que estar basado eo la documentaciin o papeles de trabajo, como utilidad inmediata, previa supersisiga, La documentacion, ademuis de fueme de know how del Auditor Informdético para tabajos posteriores asi como para poder realizar su gestién interna de calidad, es foente en algunos casos en las que la corporacida profesional puede realizar un control de calidad, © hacerlo algiin organismo oficial. Los papeles de trabajo pueden llegar a tener valor en bos Tribunales de justicia, Por otra parte, no debemos omitir la caracteristica registral del Informe, tanto en parte cronokigica como en la organizativa, con procedimientos de archivo, bdsgecda, custodia y conservacién de su documentacién, cumplicndo toda la tormativa vigente, legal y profesional, como minimo exigible, Los trabajos utilizados, en el curso de una labor, de otros auditores externas yo tpertos independientes, asf come de los audilores interns. se resefien o fo en el Inleme de Aschota Informatica, formardn parte de la documentacida, Ademés, se incluiréin: ~ El contrato clientefauditor informitico y/o la canta propuesta del auditor informatico. ~ Las declaraciones de la Direceién. — Los contratos, o equivalentes, que afecten al sistema de informacién, asi como el informe de la asesoria juridica del cliente sobre sus asuntos actuales y previsibles, = El informe sobre terceros vinculados. = Conocimiento de la actividad del cliente. 46. EL INFORME Se ha realizado una visién répida de los aspectos previos para tenerlos muy ) Presentes al redactar cl Informe de Auditoria Informatica, esto es, la comunicacién del : Author Informdtico al cliente, formal y, quizd, solemne, tanto del alcance de la | métoria; (objetives, periodo de cobertura, naturaleza y extensién del trabajo i realizado) como de los resultados y conclusiones.200 _AUDITORIA INFORMATICA: UN ENFOOUE FRACTION omy Es momento adecuado de separar lo significative de lo no significative, debidamente evaluados por su importancia y vinculacién con el factor riesgo, tara eminentemente de canicter profesional y ético, segdn el leal saber y entender de Auditor Informatico, Aunque no existe un formato vinculante, si existen esquemas recomendados cos tos requisitos minimos aconsejables respecto a estructura y contenido. También es cuestidn previa decidir si el informe es largo 0, por el contrarie, corto, por supuesto con otros informes sobre aspectos, bien mis detallados, bien mis concretos, como cl informe de debilidades del control interno, incluso de hechos 9 aspectos; todo ello teniendo en cuenta tanto la legislaciéa vigente como el contra ‘con el cliente. En mi modesta opinidn, los témminos cliente 0 proveedor/interno 0 exter tipicos de la Gestidn de la Calidad, resultan mds apropiados que informatica/auditce informéticofusuario, ya que este Gitimo término tiene una lamentable connotacife peyorativa. En lo referente a su redacciim, el Informe deberd ser claro, adecuado, suficiente y comprensible, Una utilizacitn apropiada del lenguaje informético resulta recomend: ble. Los puntos esenciales, genéricos y minimos del Informe de Auditoria Informatica, son los siguiemes: 4, Idemificacion del Informe El titulo del Informe deberi idemtificarse con objeto de distinguirlo de ots informes. 2. ddemtificacion del Cliente Debera identificarse a los destinatarios y a las personas que efectien el encargo. 3. Identificacién de la entidad andiada Identificacién de la entidad objeto de la Auditoria Informitica.een CAPITULO 4: EL INFORME DE AUDITORIA 10 4. Objetivos de ia Auditoria Informdtica Declaracién de los objetivos de Ia anditoria para identificar su propésito, scfalaado los objetivos incumplides. 5. Normativa aplicada v excepeiomes Idemtificaciin de las normas legales y profesionales utilizadas, asi como las excepciones significativas de uso y cl posible impacto en los resultados de la auditoria. 6 Aleance de ler Auditorta Concretar la naturaleza y extensidn del trabajo realizado; drea organizativa, periodo de auditoria, sistemas de informacién... sefialande limitaciones al alcance y 7. Conclusiones: Informe corto de opinicin Logicameme, se ha Hegado a los resultados y, sobre todo, a la esencia del Gctamen, la opinién y los parrafos de salvedades y énfasis, si procede, El Informe debe contener uno de los siguientes tipos de opinién: favorable o sin salvedades, con salvedades, desfavorable o adversa, y denegada. 7. Opinién favorable. La opinién catificada como favorable, sin salvedades limpia. deberé manifestarse de forma clara y precisa, y es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional. Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a debilicades de control interno en sentido amplio, y las salvedades, cxistc o pucde cxistir una roma de gran scnsibilidad, tan cs asi que tendré que clarificarse al maximo, pues una salvedad a la opinidn deberd ser realmente significativa; concretando: ni pasarse, ni no Negar, dicho en Jenguaje coloquial: en puridad es un punto de no retomno. 7.2. Opinién con salvedades. Se reitera lo dicho en la opinidn favorable al fespecto de las salvedades cuando sean significativas en relacién con los objetives de auditoria, describiéndose con precisiin la naturaleza y razones, Podrin ser éstas, segin las circunstancias, las siguientes:102_AUDITORIA INFORSLATICA: UN ENFOQUE PRACTICO omaus * Limitaciones al alcance del trabajo realizado; esto es, restricciones por parte del auditado, etc, + Incertidumbres cuyo resultado no permita una previsiGn razonable. + Inregularidades significativas, + Incumplimiento de la normativa legal y profesional, 7.3. Opinién desfavorable. La opinién desfavorable o adversa es aplicable en el caso de: * Identificacién de irregularidades * Incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de avditoria informstica estipulados, incluso con incertidumbres; todo ello en la evaluaciéa de conjunto y resefiando detalladamente las razones correspondicntes, 7.4, Opinidén denegada. La denegacidn de opinién puede tener su origen en: * Las limitaciones al alcance de auditoria. * Incertidumbres significativas de un modo tal que impidan al auditor formarse una opinidn. + Inregularidades, + El incumplimiento de normativa legal y profesional, 7.5. Resumen, El siempre dificil tema de la opiniéa, estrella del Informe de Auditoria Informatica, joven como informatica y mas todavia como auditoria informdtica; por tanto, puede decirse que mis que cambiante, mutante Debido a ello, y ademis con la normativa legal y profesional desacompasadas, la Gica se convierte casi en la dnica fuente de orientaciée para reducir el desfase entre las expectativas del usuario en general y a informe de los auditores. No olvidemos que existe la ingenieria financiera y la contabilidad creariva; tampoco que las entidades que pucden set auditadas suclen estar sometidas ¢ cambios, como, por ejemplo, la implantacién de aseguramiento y gestidn de la calidad ~via ISO 9000, via EFQM (modelo curopeo)-, reingenieria de procesos y otras transformaciones significativas (adaptaciones al Milenio y al Euro). 8. Resultados: Informe larga y otros informes Parece ser que, de acuerdo con la teoria de ciclos, el informe largo va.a colocar a informe corto en su debido sitio, o sea, como resumen del informe largo (jquizésaan CAPITULO 4 ELINFORME DE AUDITORIA 103 ebsoleto?), Los usuarios, no hay duda, desean saber més y desean transparencia como valor afiadido. Es indudable que el limite lo marcan los papeles de trabajo o documentacién de la Anditoria Informitica, pero cxisten aspectos a tener en cucnta: + Ell secret de la empresa. * El secreto profesional. © Los aspectos relewantes de ta auditorta. Las soluciones previsibles se oricntan hacia un Informe por cada objetivo de la Auditoria Informatica, tal como el de Debilidades de Control Interno o los informes especiales y/o complementarios que exigen algunos organismos gubemnamentales. como, por ejemplo, ¢! Banco de Espaiia, la Comisién Nacional del Mercado de Valores y la Direcciée General de Seguros, entre otros y por ahora. 9. Informes previos No es una prictica recomendable, aunque si usual en algunos casos, ya que el Informe de Auditorta Informitica ¢s, por principio, un informe de conjunto. Sin embargo, en el caso de deteccién de irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacién inmediata segdn la normativa legal y profesional, independientemente del nivel jerérquico afectado dentro de la estructura de la entidad, Recordemos al respecto el delito societario y la responsabilidad civil del Auditor (Informético). 10. Fecha del Informe El tiempo no es neutral; la fecha del Informe es importante, no sdlo por la cwantificacién de honorarios y el cumplimiento con el cliente, sino para conocer la magnited del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusién del trabajo de campo, incluso la del cierre del ejercicio, si es que se esta reatizando un Informe de Auditoria Informatica como herramienta de apoyo a la Awditoria de Cuentas. En casos conflictives pueden ser relevantes aspectos tales come los hechos posteriores al fin del period de auditoria, hechos amteriores y posteriores al urabajo de campo...{Ot ALIDITORLA INFORMATICA: UN ENFOQUE PRACTICO onan 1. tdemtificacién y firma del Auditor Este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de auditoria, que deberd corresponder a un socio 0 socks Jegalmente asf considerados, 12. Distribucién del Informe Bien en el contrato, bien en la carta propuesta del Auditor Informatica, deberd definirse quién o quiénes podrin hacer uso del Informe, asi como los usos concretas que tendré, pues los honorarios deberin guardar relacién con Ia responsabilidad civil, 4,7, CONCLUSIONES {Qué es el informe de auditoria informitica y qué le diferencia de otro tipo de informes (consultaria, asesorta, servicios profesionales...) de informética? Resulta bésico, antes de redactar el informe de auditorta, que el asunto esté muy slaro, no slo por las cxpectativas ya citadas, sino porque cada témino ticne un contenido usual muy concreto; la etiqueta auditoria es, en esencia, un juicio de valor u ‘opinién con justificacién. Por tanto, habida cuenta que tiene base objetiva sobre todo con independencia en sentido amplio-, es eminentemente una opiniGn profesional subjetiva. Ademiis, como se aplican criterios en términos de probabilidad, hay que evitar la predisposicién a algdn posible tipo de manipulacidn, debido a la libertad de elecciin de pruebas; no se debe elegir una serie de ellas que dé la imagen buscada (prejuicio) como consecucncia de la acumulacién de sesgos ad hoc, Esta insistencia en clarificar es quiad excesiva, pero resulta importante emitir el Informe de avditoria informatica de acverdo con la aplicaciin de la Auditoria Informatica con criterios éticamente profesionales y desestimar los procedimientos de Avditoria Informdtica “creativa" sorteando la posible “comtaminaciéa” com la contabiliiad “creativa™, En el precitado Litre Verde de Auditoria Legal de Ia Unida Europea y recordando la Directiva Octava de Derecho de Sociedades, s¢ sefiala que el avditor debe ser independiente, pero sélo la FEE sefala que puede serto de una manera objetiva. Es ilustrativo revisar textualmente ¢l punto 4.9 del famoso Libro Verde:coe CAPITULO 4H INFORME DE AUDATORIA 10:5 “En alos recientes, se ha manifestado preocupacién sobre las amenazas que s¢ ciernen sobre la independencia de Jos auditores. ‘Varias encwestas indican el hecho de que las empresas estén cada vez mis preparadas a desafiar a los auditores, comprar opiaiones, buscar asesoramiento legal sobre las opiniones de los auditores y a cambiar écanditores. Algunos informes concluyen que, dadas las presiones competitivas, seria idealista asumir que todos los auditores actéan en todo momento sin pensar en el riesgo de perder clientes. Se han manifestado criticas de que el profesionalismo se ha disminuido en favor de una actitud mas de negocio.” En fin, que como indicio del estado del arte, este parrafo resulta bastante alecczonadior, Navegando entre definiciones y definiciones, encuentro muy explicativa Ia de ISACF, que dice asi: “La auditoria de sistemas de informacién se define como cualquier auditoria que abarca la revisién y evaluacidn de todos los aspectos (0 alguna secciéa/iirea) de los sistemas awtomatizados de procesamiento de la informacién, incluyendo procedimientos relacionadas no automséticos y las interrelaciones entre ellos.” Creo que precisa lo suficiente sobre el sistema informidtico, el manual y sus conexiones para delimitar los objetives de cobertura de un informe de auditoria informdtica que, ponderados con los objetivos COSO de la Actividad de Tecnologias é la Informacién (planes estravégicos, informacién fiable, adecuada y disponible, y sistemas de informacién disponibles), clarifican en forma razonable las Zonas fromerizas con otros temas afines, por ahora. En mi opinién, Maastricht esté acclerando el asunto; tanto es asi que si Maastricht to etistiera habeia que inventarlo, aunque ¢l término auditorta tiene connotaciones no deseables. Espero que el MARC (Maastricht Accounting and Auditing Research Center) sea un factor positive en la auditoria de los sistemas de informacién y, por tanto, ea las informes y su normativa legal/profesional correspondiente. 4.8, LECTURAS RECOMENDADAS Emilio del Peso Navarro, Miguel Angel Ramos Gonzilez, Carlos Manuel Femindez Sanchez y Maria José Ignoto Azauste. Manual de dicidmenes y peritajes iyfrmaficos. Edliciones Dfaz ale Santos, SA. Maatrit, (AA. Agustin Lépex Casuso, Normas de Auditoria; Cémo Interpretarlas para su Aplicacién. Editorial LACICE. Madrid, 1995,