De la TeorÃa General de Sistemas a las

More documents

Recommendations

Info

Auditorías de Sistemas de InformaciónContaduría Mayor de Cuentas (antecedentedel actual Tribunal de Cuentas, órganoconstitucional del Estado y supremoórgano fiscalizador de las cuentas y de lagestión económica del Estado, así comodel Sector Público, excepto en el ámbitode las Comunidades Autónomas).Con esta breve referencia a la evoluciónhistórica, evidentemente más prolija,pretendo evidenciar la transformacióny descentralización de los procesos decontrol o auditoría, la información comoelemento fundamental en la ejecución delos mismos, así como la asignación defunciones y responsabilidades a órganosindependientes. Dicha evolución nos permiteidentificar, al menos, dos de losprincipios básicos en el ejercicio del controlo auditoría: función independiente ysegregación de funciones, presentesen todos los tipos de auditoría: auditoríafinanciera, auditoría operativa, auditoríade sistemas de información, etc.La auditoría inicialmente se encargabade revisar las anotaciones contablesde una institución, entre otros fines paradetectar fraudes o malversación de fondos.Posteriormente la contabilidad pasóa considerarse información orientada afacilitar la gestión administrativa, y losauditores ampliaron su ámbito de verificaciónal examen de estados financieros(auditoría financiera) y a las evaluacionesde control interno.El antecedente más cercano a lasAuditorías de Sistemas de Información(ASI) es la auditoría operativa. La mismasurge cuando se detecta la necesidad deevaluar las decisiones adoptadas en losdistintos niveles jerárquicos respecto delos objetivos, políticas, planes, estructuras,presupuesto, canales de comunicación,sistemas de información, controlesejercicios, etc.Auditorías de Sistemas deInformación en la IGAEEn el año 1995 comienzan en la IGAEa realizarse auditorías de procedimientosinformatizados. De ese mismo año datael Real Decreto 2188/1995, por el que sedesarrolla el régimen de control internoejercido por la IGAE. En su artículo 35 seindica que “las auditorías consistirán enla comprobación de la actividad económico-financierade los entes y programaspresupuestarios objeto de control, realizadade forma sistemática y mediantela aplicación de procedimientos deanálisis de las operaciones o actuacionessingulares seleccionadas al efecto”.En el citado Real Decreto no se hacíamención a la automatización de losprocedimientos ni al intercambio deinformación entre sistemas de información,ni a la necesidad de verificar el funcionamientoadecuado de los sistemasde información como instrumento de laejecución de los procedimientos.El embrión de la realización de auditoríasde sistemas de información es elReal Decreto 405/1996 que establece laOficina Nacional de Auditoría (ONA). En laResolución de 9 de junio de 1998 del InterventorGeneral de la Administracióndel Estado, se aprueba la distribución defunciones de la ONA.Internamente la ONA se estructuróen Divisiones y a la División de Organización,Coordinación y Supervisión se leasignó la realización de auditorías de sistemasde información de naturaleza económico-financiera.A pesar del citado avance, las tecnologíasaplicadas a los procedimientos denaturaleza económico-financiera no semencionarán expresamente hasta RealDecreto 686/2005, por el que se modificael Real Decreto 2188/1995. Del RealDecreto 686/2005 cabe destacar los siguientespárrafos:“...El desarrollo acelerado de la sociedadde la información y de las nuevastecnologías electrónicas ha tenido sureflejo en nuestro ordenamiento jurídico,en que se contiene una decidida apuestapor la incorporación de las tecnologíaselectrónicas, informáticas y telemáticasen la actividad administrativa.… La Ley 59/2003 de firma electrónicaha venido a dar respuesta a lanecesidad de conferir seguridad en lascomunicaciones que permiten las nuevastecnologías....Resulta prever los efectos sobre lafunción interventora derivados de la validaciónautomática a través de sistemasinformáticos de determinados extremosobjeto de verificación”.Existe una extensa relación de definicionesde sistema de información, porejemplo “Conjunto de datos, documentación,procedimientos, tratamientos informáticos,bases de datos, redes de comu-tecnología y AA.PP.número 06■201345
número 06■2013nicación, sistemas de interconexión, sistemasde control de accesos, personas,ordenadores y terminales”. De esta definiciónse deduce que un sistema de informaciónno se compone sólo de elementosinformáticos.Al igual que sucede en el caso de unsistema de información, para las auditoríasrelacionadas con ellos existe tambiénuna extensa relación de definiciones.Cabe destacar las siguientes “actividaddirigida a verificar y juzgar información”y “examen o revisión que facilitela obtención de evidencias mediantela realización de un trabajo metódico(normas, procedimientos y estándaresreconocidos) teniendo en cuenta las políticasinternas, normas de carácter generaly sectorial relacionadas con los sistemasde información con el objetivo finalde emitir una opinión profesional independiente”.La opinión que emite el auditor estárelacionada con la validez de la informacióny efectividad de los controlesimplementados en los sistemas de información,entendiendo por control al “instrumentoen forma de política, praxis,procedimiento, estructura organizativa,función de software o cualquier otro elementoque permita alcanzar un objetivo”.Aunque la realización de las ASI hansido necesarias desde que comenzó lainformatización de los procesos y serviciosen el Sector Público, es con el cumplimientode la Ley Orgánica 15/1999de protección de datos de carácter personal,del Real Decreto 1720/2007 por elque se desarrolla la Ley Orgánica15/1999 y, más recientemente, con laLey 11/2007 de acceso electrónico delos ciudadanos a los servicios públicos ydel Real Decreto 3/2010 por el que sedesarrolla el Esquema Nacional de Seguridad,cuando su ejecución se hace imprescindibley continuada en el tiempopues se deben realizar bienalmente. Nosólo se han de prestar los servicios a losciudadanos y entre las AdministracionesPúblicas utilizando medios electrónicos,sino que se debe garantizar la validezde la información que se proporcionapor los citados servicios, así como sudisponibilidad indefinida.La información es válida cuando nose ha manipulado (integra), se ha elaboradopor la persona u órgano responsablede proporcionarla (auténtica) y sólo tieneacceso a la información el destinatario dela misma (confidencialidad). El servicioque proporciona la información tambiéndebe ser íntegro y auténtico.Los servicios se apoyan en sistemasde información y éstos, a su vez, en unainfraestructura (servidores, redes de comunicación,sistemas operativos, gestoresde bases de datos, etc.).Con la Administración electrónica,además de ser órgano ejecutor de auditorías,la IGAE es también un órgano auditadoen el ámbito de lo que indicamosen este artículo: en el cumplimiento de lanormativa de protección de datos de carácterpersonal y de la relativa a la administraciónelectrónica. El cumplimientode las citadas normas no sólo afecta a laIGAE sino también a todas las unidadesadministrativas que componen el SectorPúblico, siempre y cuando presten servicioselectrónicos, telemáticos, informáticosa los ciudadanos o a unidades administrativasdistintas pero pertenecientestambién el Sector Público.Teoría General de Sistemas yAuditorías de Sistemas deInformaciónEn la TGS se hace referencia a laevolución de los procesos, a la realidadcambiante y a la aparición de distintasunidades dentro de las organizacionesentre las que distribuir las funciones yresponsabilidades para garantizar independenciaen el ejercicio de las mismas.Ello se puede apreciar en el breve desarrollohistórico anterior. La citada independenciase verifica en todos los tiposde auditoría, incluidas las de sistemas deinformación.La realidad cambiante es un conceptoaplicable al Sector Público, reflejadaespecialmente en su evolución desde losaños 90 del siglo XX hasta la llegada dela administración electrónica mediante laredacción y aplicación de las necesariasleyes orgánicas, leyes y decretos.Debido a dicha evolución, se puedeafirmar que a las auditorías de sistemasde información se les ha reconocido importanciay necesidad de su realización.La TGS también contempla la interrelaciónentre distintos componentes. Extrapolandola voz componentes al SectorPúblico, se puede asociar a la interrelaciónentre las distintas unidades administrativasque lo forman. La interrelaciónentre las citadas unidades se consolidacon la administración electrónica.En la TGS la interrelación tiene comofin alcanzar un objetivo concreto. En elcaso de la interrelación entre las unidadesadministrativas del Sector Público, con laadministración electrónica se pretendenalcanzar varios objetivos como por ejemplomejorar el servicio que se presta a losciudadanos y conseguir mayor eficienciaen el uso de los recursos.ReferenciasMarco para la Auditoría de Sistemas deInformación. ASIA capítulo de Madrid deISACA.La Auditoría se Sistemas de Informaciónintegrada en la Auditoría Financiera. Laperspectiva del Sector Público. AntonioMinguillón, funcionario de la Sindicatura deCuentas de la Generalitat Valenciana.Auditorías de Sistemas de Información. RafaelBernal Montañés y Óscar Coltell Simón.Universidad Politécnica de Valencia.Historia de la Intervención General de laAdministración General del Estado. AgustínGutiérrez Robles.46
Page 1: De la Teoría General deSistemas a

De la TeorÃ­a General de Sistemas a las

Create successful ePaper yourself

Delete template?

Save as template?

De la TeorÃa General de Sistemas a las