REVISTA AUDITORÍA PÚBLICA / 84






            comportamiento ético y diligente del personal.      las distintas aplicaciones son utilizadas por distintas
                                                                unidades u organizaciones y no existe un responsable
            Cuando la auditoría de SI se realice combinada con   global del proceso o del SI.
            otro tipo de auditoría, las pruebas sustantivas pueden
            ser imprescindibles para responder a los objetivos de      A lo largo de todo el proceso de la auditoría es fun-
            la auditoría financiera, de cumplimiento u operativa.   damental cuidar la comunicación fluida con la entidad
            Pero, incluso cuando la auditoría solo tiene un objetivo   auditada. En este tipo de trabajos es probable que
            de evaluar el SI, las conclusiones sobre si los riesgos   contactemos con unidades y personal que no tienen
            identificados han llegado a materializarse pueden ser   interlocución habitual con el OCEX. Es muy convenien-
            muy relevantes para los destinatarios y usuarios del   te realizar una cierta labor didáctica, explicando nues-
            informe.                                            tros objetivos y la naturaleza de nuestro trabajo para
                                                                superar posibles suspicacias y establecer un clima de
            Habitualmente las pruebas sustantivas se basan en   entendimiento, confianza y colaboración constructiva
            el análisis de datos con ayuda de TI, lo que permite   que resultan esenciales en este tipo de trabajos. A ello
            realizar pruebas de gran fiabilidad sobre grandes vo-  contribuirá el trato directo, explicar la motivación de
            lúmenes de datos. Sin embargo, encontramos casos    las pruebas, ir contrastando las observaciones… Todo
            en los que el modelo de datos no permite una traza-  ello también facilita la adecuación de las conclusiones
            bilidad suficiente para realizar este tipo de pruebas, lo   y recomendaciones, así como la implantación de és-
            que puede hacer necesario realizar pruebas mediante   tas desde el convencimiento del ente auditado. De
            muestreo.                                           hecho, algunos de nuestros trabajos han dado lugar a
                                                                la implantación de algunas recomendaciones ya antes
            En todo caso, el hecho de que, durante el periodo au-  de la publicación de los informes.
            ditado, los riesgos no hayan llegado a materializarse no
            conducirá a una conclusión favorable sobre un SI cuyos
            controles no sean suficientes para reducir el nivel de   El informe de auditoría
            riesgo a un nivel aceptablemente bajo. Las deficiencias
            deberán ponerse de manifiesto en el informe y proce-  El resultado del trabajo de auditoría se reflejará en un infor-
            derá formular las recomendaciones correspondientes.  me. En estos trabajos, la evaluación del SI no se concibe
                                                             solo como un medio para la valoración de los riesgos de
            ¡  Pruebas de interfaces                         incorrección material relativos a una auditoría financiera,
                                                             de cumplimiento u operativa, sino como un objetivo de
            Es habitual que en un SI haya implicadas diferentes   auditoría en sí mismo. Por tanto, el informe de auditoría
            aplicaciones, en ocasiones utilizadas por distintas uni-  expresará las conclusiones de la auditoría de SI.
            dades organizativas.
                                                             Las GPF-OCEX no establecen una estructura estándar de
            Las interfaces pueden ser de distinta naturaleza. Exis-  este tipo de informes. Los informes emitidos por la Cá-
            ten interfaces manuales, en las que la transferencia   mara de Comptos en este ámbito, en líneas generales,
            de los datos se realiza mediante su registro manual   siguen la siguiente estructura:
            (p.ej. tecleándolos en una aplicación) o enviando fiche-
            ros por correo electrónico. También existen interfaces   •  Introducción
            automáticas o semiautomáticas, en las que la transfe-
            rencia de datos se ejecuta de manera automática de   •  Descripción de la actividad, de los procesos de ges-
            manera programada o bien a petición del usuario, pero   tión y del SI (en algunos casos).
            sin intervención manual de este.
                                                               •  Objetivos, alcance y, en su caso, limitaciones de la
            En las pruebas de interfaces debe tenerse en cuenta   fiscalización.
            la integridad de los datos que transfieren entre aplica-
            ciones, pues existe el riesgo de que los datos sufran   •  Opinión y fundamento de la opinión.
            alteraciones al pasar de una aplicación a otra. También
            deben tenerse en cuenta la forma en que se ordena   •  Conclusiones y recomendaciones.
            y verifica la ejecución del proceso, ya que existe el
            riesgo de que la transferencia de datos no se produz-  •  Responsabilidades de la entidad auditada.
            ca, dando lugar, por ejemplo, a una falta de actuali-
            zación de los datos. En general, estos riesgos serán   •  Responsabilidades de la Cámara de Comptos.
            mayores cuanto mayor sea la intervención manual en
            la interfaz. El riesgo también puede agravarse cuando   •  Apéndices.



          110