Auditorías <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> InformaciónContaduría Mayor <strong>de</strong> Cuentas (antece<strong>de</strong>nte<strong>de</strong>l actual Tribunal <strong>de</strong> Cuentas, órganoconstitucional <strong>de</strong>l Estado y supremoórgano fiscalizador <strong>de</strong> <strong>la</strong>s cuentas y <strong>de</strong> <strong>la</strong>gestión económica <strong>de</strong>l Estado, así como<strong>de</strong>l Sector Público, excepto en el ámbito<strong>de</strong> <strong>la</strong>s Comunida<strong>de</strong>s Autónomas).Con esta breve referencia a <strong>la</strong> evoluciónhistórica, evi<strong>de</strong>ntemente más prolija,pretendo evi<strong>de</strong>nciar <strong>la</strong> transformacióny <strong>de</strong>scentralización <strong>de</strong> los procesos <strong>de</strong>control o auditoría, <strong>la</strong> información comoelemento fundamental en <strong>la</strong> ejecución <strong>de</strong>los mismos, así como <strong>la</strong> asignación <strong>de</strong>funciones y responsabilida<strong>de</strong>s a órganosin<strong>de</strong>pendientes. Dicha evolución nos permitei<strong>de</strong>ntificar, al menos, dos <strong>de</strong> losprincipios básicos en el ejercicio <strong>de</strong>l controlo auditoría: función in<strong>de</strong>pendiente ysegregación <strong>de</strong> funciones, presentesen todos los tipos <strong>de</strong> auditoría: auditoríafinanciera, auditoría operativa, auditoría<strong>de</strong> sistemas <strong>de</strong> información, etc.La auditoría inicialmente se encargaba<strong>de</strong> revisar <strong>la</strong>s anotaciones contables<strong>de</strong> una institución, entre otros fines para<strong>de</strong>tectar frau<strong>de</strong>s o malversación <strong>de</strong> fondos.Posteriormente <strong>la</strong> contabilidad pasóa consi<strong>de</strong>rarse información orientada afacilitar <strong>la</strong> gestión administrativa, y losauditores ampliaron su ámbito <strong>de</strong> verificaciónal examen <strong>de</strong> estados financieros(auditoría financiera) y a <strong>la</strong>s evaluaciones<strong>de</strong> control interno.El antece<strong>de</strong>nte más cercano a <strong>la</strong>sAuditorías <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Información(ASI) es <strong>la</strong> auditoría operativa. La mismasurge cuando se <strong>de</strong>tecta <strong>la</strong> necesidad <strong>de</strong>evaluar <strong>la</strong>s <strong>de</strong>cisiones adoptadas en losdistintos niveles jerárquicos respecto <strong>de</strong>los objetivos, políticas, p<strong>la</strong>nes, estructuras,presupuesto, canales <strong>de</strong> comunicación,sistemas <strong>de</strong> información, controlesejercicios, etc.Auditorías <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong>Información en <strong>la</strong> IGAEEn el año 1995 comienzan en <strong>la</strong> IGAEa realizarse auditorías <strong>de</strong> procedimientosinformatizados. <strong>De</strong> ese mismo año datael Real <strong>De</strong>creto 2188/1995, por el que se<strong>de</strong>sarrol<strong>la</strong> el régimen <strong>de</strong> control internoejercido por <strong>la</strong> IGAE. En su artículo 35 seindica que “<strong>la</strong>s auditorías consistirán en<strong>la</strong> comprobación <strong>de</strong> <strong>la</strong> actividad económico-financiera<strong>de</strong> los entes y programaspresupuestarios objeto <strong>de</strong> control, realizada<strong>de</strong> forma sistemática y mediante<strong>la</strong> aplicación <strong>de</strong> procedimientos <strong>de</strong>análisis <strong>de</strong> <strong>la</strong>s operaciones o actuacionessingu<strong>la</strong>res seleccionadas al efecto”.En el citado Real <strong>De</strong>creto no se hacíamención a <strong>la</strong> automatización <strong>de</strong> losprocedimientos ni al intercambio <strong>de</strong>información entre sistemas <strong>de</strong> información,ni a <strong>la</strong> necesidad <strong>de</strong> verificar el funcionamientoa<strong>de</strong>cuado <strong>de</strong> los sistemas<strong>de</strong> información como instrumento <strong>de</strong> <strong>la</strong>ejecución <strong>de</strong> los procedimientos.El embrión <strong>de</strong> <strong>la</strong> realización <strong>de</strong> auditorías<strong>de</strong> sistemas <strong>de</strong> información es elReal <strong>De</strong>creto 405/1996 que establece <strong>la</strong>Oficina Nacional <strong>de</strong> Auditoría (ONA). En <strong>la</strong>Resolución <strong>de</strong> 9 <strong>de</strong> junio <strong>de</strong> 1998 <strong>de</strong>l Interventor<strong>General</strong> <strong>de</strong> <strong>la</strong> Administración<strong>de</strong>l Estado, se aprueba <strong>la</strong> distribución <strong>de</strong>funciones <strong>de</strong> <strong>la</strong> ONA.Internamente <strong>la</strong> ONA se estructuróen Divisiones y a <strong>la</strong> División <strong>de</strong> Organización,Coordinación y Supervisión se leasignó <strong>la</strong> realización <strong>de</strong> auditorías <strong>de</strong> sistemas<strong>de</strong> información <strong>de</strong> naturaleza económico-financiera.A pesar <strong>de</strong>l citado avance, <strong>la</strong>s tecnologíasaplicadas a los procedimientos <strong>de</strong>naturaleza económico-financiera no semencionarán expresamente hasta Real<strong>De</strong>creto 686/2005, por el que se modificael Real <strong>De</strong>creto 2188/1995. <strong>De</strong>l Real<strong>De</strong>creto 686/2005 cabe <strong>de</strong>stacar los siguientespárrafos:“...El <strong>de</strong>sarrollo acelerado <strong>de</strong> <strong>la</strong> sociedad<strong>de</strong> <strong>la</strong> información y <strong>de</strong> <strong>la</strong>s nuevastecnologías electrónicas ha tenido sureflejo en nuestro or<strong>de</strong>namiento jurídico,en que se contiene una <strong>de</strong>cidida apuestapor <strong>la</strong> incorporación <strong>de</strong> <strong>la</strong>s tecnologíaselectrónicas, informáticas y telemáticasen <strong>la</strong> actividad administrativa.… La Ley 59/2003 <strong>de</strong> firma electrónicaha venido a dar respuesta a <strong>la</strong>necesidad <strong>de</strong> conferir seguridad en <strong>la</strong>scomunicaciones que permiten <strong>la</strong>s nuevastecnologías....Resulta prever los efectos sobre <strong>la</strong>función interventora <strong>de</strong>rivados <strong>de</strong> <strong>la</strong> validaciónautomática a través <strong>de</strong> sistemasinformáticos <strong>de</strong> <strong>de</strong>terminados extremosobjeto <strong>de</strong> verificación”.Existe una extensa re<strong>la</strong>ción <strong>de</strong> <strong>de</strong>finiciones<strong>de</strong> sistema <strong>de</strong> información, porejemplo “Conjunto <strong>de</strong> datos, documentación,procedimientos, tratamientos informáticos,bases <strong>de</strong> datos, re<strong>de</strong>s <strong>de</strong> comu-tecnología y AA.PP.número 06■201345
número 06■2013nicación, sistemas <strong>de</strong> interconexión, sistemas<strong>de</strong> control <strong>de</strong> accesos, personas,or<strong>de</strong>nadores y terminales”. <strong>De</strong> esta <strong>de</strong>finiciónse <strong>de</strong>duce que un sistema <strong>de</strong> informaciónno se compone sólo <strong>de</strong> elementosinformáticos.Al igual que suce<strong>de</strong> en el caso <strong>de</strong> unsistema <strong>de</strong> información, para <strong>la</strong>s auditoríasre<strong>la</strong>cionadas con ellos existe tambiénuna extensa re<strong>la</strong>ción <strong>de</strong> <strong>de</strong>finiciones.Cabe <strong>de</strong>stacar <strong>la</strong>s siguientes “actividaddirigida a verificar y juzgar información”y “examen o revisión que facilite<strong>la</strong> obtención <strong>de</strong> evi<strong>de</strong>ncias mediante<strong>la</strong> realización <strong>de</strong> un trabajo metódico(normas, procedimientos y estándaresreconocidos) teniendo en cuenta <strong>la</strong>s políticasinternas, normas <strong>de</strong> carácter generaly sectorial re<strong>la</strong>cionadas con los sistemas<strong>de</strong> información con el objetivo final<strong>de</strong> emitir una opinión profesional in<strong>de</strong>pendiente”.La opinión que emite el auditor estáre<strong>la</strong>cionada con <strong>la</strong> vali<strong>de</strong>z <strong>de</strong> <strong>la</strong> informacióny efectividad <strong>de</strong> los controlesimplementados en los sistemas <strong>de</strong> información,entendiendo por control al “instrumentoen forma <strong>de</strong> política, praxis,procedimiento, estructura organizativa,función <strong>de</strong> software o cualquier otro elementoque permita alcanzar un objetivo”.Aunque <strong>la</strong> realización <strong>de</strong> <strong>la</strong>s ASI hansido necesarias <strong>de</strong>s<strong>de</strong> que comenzó <strong>la</strong>informatización <strong>de</strong> los procesos y serviciosen el Sector Público, es con el cumplimiento<strong>de</strong> <strong>la</strong> Ley Orgánica 15/1999<strong>de</strong> protección <strong>de</strong> datos <strong>de</strong> carácter personal,<strong>de</strong>l Real <strong>De</strong>creto 1720/2007 por elque se <strong>de</strong>sarrol<strong>la</strong> <strong>la</strong> Ley Orgánica15/1999 y, más recientemente, con <strong>la</strong>Ley 11/2007 <strong>de</strong> acceso electrónico <strong>de</strong>los ciudadanos a los servicios públicos y<strong>de</strong>l Real <strong>De</strong>creto 3/2010 por el que se<strong>de</strong>sarrol<strong>la</strong> el Esquema Nacional <strong>de</strong> Seguridad,cuando su ejecución se hace imprescindibley continuada en el tiempopues se <strong>de</strong>ben realizar bienalmente. Nosólo se han <strong>de</strong> prestar los servicios a losciudadanos y entre <strong>la</strong>s AdministracionesPúblicas utilizando medios electrónicos,sino que se <strong>de</strong>be garantizar <strong>la</strong> vali<strong>de</strong>z<strong>de</strong> <strong>la</strong> información que se proporcionapor los citados servicios, así como sudisponibilidad in<strong>de</strong>finida.La información es válida cuando nose ha manipu<strong>la</strong>do (integra), se ha e<strong>la</strong>boradopor <strong>la</strong> persona u órgano responsable<strong>de</strong> proporcionar<strong>la</strong> (auténtica) y sólo tieneacceso a <strong>la</strong> información el <strong>de</strong>stinatario <strong>de</strong><strong>la</strong> misma (confi<strong>de</strong>ncialidad). El servicioque proporciona <strong>la</strong> información también<strong>de</strong>be ser íntegro y auténtico.Los servicios se apoyan en sistemas<strong>de</strong> información y éstos, a su vez, en unainfraestructura (servidores, re<strong>de</strong>s <strong>de</strong> comunicación,sistemas operativos, gestores<strong>de</strong> bases <strong>de</strong> datos, etc.).Con <strong>la</strong> Administración electrónica,a<strong>de</strong>más <strong>de</strong> ser órgano ejecutor <strong>de</strong> auditorías,<strong>la</strong> IGAE es también un órgano auditadoen el ámbito <strong>de</strong> lo que indicamosen este artículo: en el cumplimiento <strong>de</strong> <strong>la</strong>normativa <strong>de</strong> protección <strong>de</strong> datos <strong>de</strong> carácterpersonal y <strong>de</strong> <strong>la</strong> re<strong>la</strong>tiva a <strong>la</strong> administraciónelectrónica. El cumplimiento<strong>de</strong> <strong>la</strong>s citadas normas no sólo afecta a <strong>la</strong>IGAE sino también a todas <strong>la</strong>s unida<strong>de</strong>sadministrativas que componen el SectorPúblico, siempre y cuando presten servicioselectrónicos, telemáticos, informáticosa los ciudadanos o a unida<strong>de</strong>s administrativasdistintas pero pertenecientestambién el Sector Público.Teoría <strong>General</strong> <strong>de</strong> <strong>Sistemas</strong> yAuditorías <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong>InformaciónEn <strong>la</strong> TGS se hace referencia a <strong>la</strong>evolución <strong>de</strong> los procesos, a <strong>la</strong> realidadcambiante y a <strong>la</strong> aparición <strong>de</strong> distintasunida<strong>de</strong>s <strong>de</strong>ntro <strong>de</strong> <strong>la</strong>s organizacionesentre <strong>la</strong>s que distribuir <strong>la</strong>s funciones yresponsabilida<strong>de</strong>s para garantizar in<strong>de</strong>pen<strong>de</strong>nciaen el ejercicio <strong>de</strong> <strong>la</strong>s mismas.Ello se pue<strong>de</strong> apreciar en el breve <strong>de</strong>sarrollohistórico anterior. La citada in<strong>de</strong>pen<strong>de</strong>nciase verifica en todos los tipos<strong>de</strong> auditoría, incluidas <strong>la</strong>s <strong>de</strong> sistemas <strong>de</strong>información.La realidad cambiante es un conceptoaplicable al Sector Público, reflejadaespecialmente en su evolución <strong>de</strong>s<strong>de</strong> losaños 90 <strong>de</strong>l siglo XX hasta <strong>la</strong> llegada <strong>de</strong><strong>la</strong> administración electrónica mediante <strong>la</strong>redacción y aplicación <strong>de</strong> <strong>la</strong>s necesariasleyes orgánicas, leyes y <strong>de</strong>cretos.<strong>De</strong>bido a dicha evolución, se pue<strong>de</strong>afirmar que a <strong>la</strong>s auditorías <strong>de</strong> sistemas<strong>de</strong> información se les ha reconocido importanciay necesidad <strong>de</strong> su realización.La TGS también contemp<strong>la</strong> <strong>la</strong> interre<strong>la</strong>ciónentre distintos componentes. Extrapo<strong>la</strong>ndo<strong>la</strong> voz componentes al SectorPúblico, se pue<strong>de</strong> asociar a <strong>la</strong> interre<strong>la</strong>ciónentre <strong>la</strong>s distintas unida<strong>de</strong>s administrativasque lo forman. La interre<strong>la</strong>ciónentre <strong>la</strong>s citadas unida<strong>de</strong>s se consolidacon <strong>la</strong> administración electrónica.En <strong>la</strong> TGS <strong>la</strong> interre<strong>la</strong>ción tiene comofin alcanzar un objetivo concreto. En elcaso <strong>de</strong> <strong>la</strong> interre<strong>la</strong>ción entre <strong>la</strong>s unida<strong>de</strong>sadministrativas <strong>de</strong>l Sector Público, con <strong>la</strong>administración electrónica se preten<strong>de</strong>nalcanzar varios objetivos como por ejemplomejorar el servicio que se presta a losciudadanos y conseguir mayor eficienciaen el uso <strong>de</strong> los recursos.ReferenciasMarco para <strong>la</strong> Auditoría <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong>Información. ASIA capítulo <strong>de</strong> Madrid <strong>de</strong>ISACA.La Auditoría se <strong>Sistemas</strong> <strong>de</strong> Informaciónintegrada en <strong>la</strong> Auditoría Financiera. Laperspectiva <strong>de</strong>l Sector Público. AntonioMinguillón, funcionario <strong>de</strong> <strong>la</strong> Sindicatura <strong>de</strong>Cuentas <strong>de</strong> <strong>la</strong> <strong>General</strong>itat Valenciana.Auditorías <strong>de</strong> <strong>Sistemas</strong> <strong>de</strong> Información. RafaelBernal Montañés y Óscar Coltell Simón.Universidad Politécnica <strong>de</strong> Valencia.Historia <strong>de</strong> <strong>la</strong> Intervención <strong>General</strong> <strong>de</strong> <strong>la</strong>Administración <strong>General</strong> <strong>de</strong>l Estado. AgustínGutiérrez Robles.46