Page 107 - Revista de Auditoría Pública
P. 107
Auditoría de sistemas de información. Práctica y desarrollo en la Cámara de Comptos de Navarra
boración de una firma externa de auditoría privada, pero ¡ Conocimiento de la entidad
en la actualidad estos trabajos se realizan con medios
propios, lo que facilita la integración de los equipos y el Exige comprender la naturaleza, función, objetivos
aprendizaje de la institución. Con esta finalidad, se han y organización de la entidad auditada e identificar
reorientado las funciones del personal técnico informá- los procesos de negocio a los que da soporte el sis-
tico para incluir la participación directa en los trabajos tema de información objeto de la auditoría. También
de fiscalización y también se ha incorporado nuevo per- será necesario determinar y comprender la norma-
sonal con este perfil. tiva aplicable, e identificar a las personas involucra-
das y la infraestructura informática.
Los integrantes del equipo realizan tareas acordes con
su rol, pero habitualmente necesitarán del conocimien- Este conocimiento se obtendrá a través de las téc-
to propio de otros roles. La integración plena del equipo nicas habituales incluyendo el análisis de la norma-
genera importantes sinergias y un intenso intercambio tiva y de la organización, entrevistas con el personal
de conocimiento. En este sentido, resulta clave una ac- clave, obtención de manuales de procedimiento y
titud de disposición al aprendizaje y a la colaboración. documentación sobre los SI y aplicaciones, utiliza-
ción de cuestionarios… Resulta de gran ayuda la
elaboración de narrativas y flujogramas.
Desarrollo del trabajo de auditoría
Debemos llegar a responder, entre otras, estas pre-
La experiencia adquirida nos ha permitido establecer un guntas:
procedimiento común para este tipo de trabajos, que
sirva como guía adaptable a las particularidades de los - ¿Cuál es la naturaleza de la entidad o entidades
sistemas y entidades auditados. Se estructura en las que intervienen en el SI? Puede suceder que
siguientes fases: en un SI intervengan distintas entidades. Por
ejemplo, en el sistema de gestión de la presta-
¡ Objetivos y alcance de la auditoría ción farmacéutica del Servicio Navarro de Salud
- Osasunbidea, además del propio organismo
En términos genéricos, el objetivo de la auditoría de autónomo, intervienen la Hacienda Tributaria
SI será evaluar el sistema de información que da so- de Navarra, la Tesorería General de la Seguridad
porte a uno o varios procesos de gestión, con la fi- Social aportando determinados datos y las far-
nalidad de determinar si la eficacia de los controles macias, que dispensan los medicamentos.
existentes en el mismo reduce el riesgo de errores
e irregularidades de manera que aportan un nivel - ¿Qué unidades organizativas están involucradas
de confianza razonable acerca de la correcta ejecu- en el proceso y cuál es el personal clave en el
ción de dicho proceso de gestión. Una auditoría de mismo? Puede haber procesos sencillos en los
SI puede realizarse de manera aislada o combinada que interviene una única unidad y otros que im-
con objetivos de auditoría financiera o de cumpli- plican a distintas unidades de una o varias orga-
miento. nizaciones, lo que incrementará la complejidad
del trabajo. La no existencia de una dirección
El hecho de que un SI esté basado en TIC no sig- común puede suponer un factor de riesgo al no
nifica que todos sus elementos y procedimientos existir nadie que asuma la responsabilidad glo-
sean de carácter informático. Puede incluir aplica- bal y tenga una visión completa del sistema.
ciones informáticas y procedimientos automatiza-
dos, semiautomatizados y manuales. El análisis del - ¿Qué aplicaciones se utilizan? Puede tratarse de
SI no debe limitarse a los elementos estrictamente aplicaciones propias, desarrolladas para atender
informáticos, sino que debe considerar el sistema las necesidades específicas del proceso de ges-
en su conjunto, como un todo formado por diversos tión correspondiente, o bien de aplicaciones de
elementos y las relaciones existentes entre ellos, y uso general en la organización, que se utilizan
en su contexto. por distintas unidades y dan soporte a distintos
procesos de gestión. También cabe distinguir el
Por otra parte, con frecuencia los SI están mutua- uso de aplicaciones de desarrollo propio de las
mente interconectados. Esto puede implicar que, adquiridas a terceros.
aunque se parta de una primera definición del alcan-
ce, esta tenga que terminar de precisarse a partir Dentro de esta fase tienen lugar los primeros con-
del conocimiento de la entidad, de los procesos de tactos con la entidad auditada. Desde el primer
gestión y de los SI. momento conviene establecer interlocución tanto
107
