01.12.

Auditora Informtica: Concepto y contenidos, Normas tcnicas y Estndares, Organizacin de la funcin auditora, Aspectos especficos de la Auditora Informtica en la Administracin Pblica.
Autor:
Emilio Lorenzo Gil

Sumario
01.12.01. 01.12.01.01. 01.12.01.02. 01.12.02. 01.12.02.01. 01.12.02.02. 01.12.02.03. 01.12.03. 01.12.03.01. 01.12.03.02. 01.12.04. 01.12.04.01. 01.12.04.02. Conceptos y contenidos. Introduccin y definiciones. Ambito de la Auditora Informtica. Normas tcnicas y Estndares. Introduccin. Normas y Estndares. Cdigos Profesionales. Organizacin de la funcin auditora. Funciones del Auditor Informtico. Encuadre Orgnico. Aspectos especficos de la Auditora Informtica en las AA. PP. La necesidad de la Auditora Informtica. Referencias en la legislacin.

Bibliografa
Agencia de Proteccin de Datos, Instruccin 1/1995 de 1 de marzo (BOE de 4/3/95), relativa a servicios de solvencia patrimonial y crdito. Ministerio de Justicia; Ley Orgnica 5/92, de 29 de Octubre, (BOE de 31/10/92) de Regulacin del Tratamiento Automatizado de Datos de carcter personal. Real Decreto 428/1993 de 26 de Marzo(BOE de 4/5/93), Estatuto de la Agencia de Proteccin de Datos. M para las Administraciones Pblicas, GUA DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIN PARA DIRECTIVOS DE LAS AA. PP. BOE-MAP, 1994. Intervencin General de la Administracin del Estado, NORMAS DE AUDITORA DEL SECTOR PBLICO, 1985. Malik, W. ON THE ORGANIZATIONAL PLACEMENT OF INFORMATION SECURITY. Gartner Group, SMS november 1995. Marta DAmore LA AUDITORA INFORMTICA Y SU METODOLOGA DE REALIZACIN. Actas Congreso Iberoamericano de Informtica y Auditora. CREI. 1.987. Pablo Lanza. Curso de AUDITORA DEL UNIX. CREI. 1995. Pablo Lanza, AUDITORA DE SISTEMAS DE INFORMACIN, Cuadernos de Actualidad de la Hacienda Pblica. U.S. General Accounting Office: GOVERNMENT AUDITING STANDARS, Wash., rev. 1994. The Information Sytems Audit and Control Association, MANUAL DE REVISIN CISA, 1994. EDP Auditors Association (EDPAA), GENERAL STANDARDS FOR INFORMATION SYSTEMS AUDITING AND STATEMENTS ON INFORMATION SYSTEMS AUDITING.

________________________________________________________________________
01.12 - Auditora Informtica: Concepto y contenidos, Normas tcnicas y Estndare. Organizacin de la funcin auditora, Aspectos especficos de la Auditora Informtica en la Administracin Pblica.

Emilio de Peso, Miguel ngel Ramos, CONFIDENCIALIDAD Y SEGURIDAD DE LA INFORMACIN: LA LORTAD Y SUS IMPLICACIONES SOCIOECONMICAS, Daz de Santos, 1994. David B. Dunmore, FAREWELL TO THE INFORMATION SYSTEM AUDIT PROFESSION, Internal Auditor, February 1989.

01.12.01. Conceptos y contenidos

01.12.01.01. Introduccin. La Auditora de Sistemas de Informacin (SI), que en Espaa se ha denominado generalmente auditora informtica, es la natural extensin de la funciones auditoras al terreno del examen y revisin de los sistemas automatizados de informacin que dan soporte a las operaciones, econmico-financieras o de otro tipo, de una organizacin. La Auditora de Sistemas de Informacin, es una disciplina joven cuyos orgenes se sitan a comienzos de la dcada de los 60. Entonces no era ms que una proyeccin de los mtodos de la auditora financiera sobre aplicaciones contables desarrolladas en los primeros ordenadores. Es en 1977 con la publicacin de la primera edicin de Systems Auditability and Control (SAC) un trabajo conjunto de IIA (Institute of Internal Auditors), IBM y SRI (Stanford Research Institute), cuando la auditora informtica adquiere las caractersticas por las que se identifica actualmente. Podemos definir auditora corno la investigacin que se sigue para determinar si algo es lo que pretende ser, aunque siendo ms precisos, presentamos la siguiente definicin: Es el examen de la informacin por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intencin de establecer su suficiencia y adecuacin, e informar de los resultados del examen con objeto de mejorar su unidad. A partir de esta definicin y por sucesivas especificaciones, auditora de los Sistemas ser la investigacin que se sigue para determinar si un Si satisface los principios de buena prctica generalmente admitidos, y tiene las capacidades y cumple las funciones que se esperan de l. De una forma recursiva, la auditora de las comunicaciones se referir a esta investigacin centrada en la estructura de comunicaciones, y se podra definir igualmente la auditora del desarrollo, etc. En ingls, audit se relaciona implcitamente con auditora de cuentas. En espaol el proceso ha sido inverso, solo recientemente la Real Academia Espaola aprob la acepcin de revisor de cuentas, colegiado. La primera acepcin de la palabra auditor es oyente, y, en efecto, el auditor informtico debe or, observar y comprobar, desde una posicin independiente y una actitud escptica, para llegar a conclusiones objetivas, razonadas y documentadas. Y volviendo al terreno de las definiciones, la Auditora de Sistemas de Informacin ser. Aquella revisin o auditora que, empleando una aproximacin basada en la descomposicin jerrquica de funciones, evala las operaciones de los sistemas de informacin automatizados de una organizacin, para determinar si estos sistemas producen informacin cualitativamente caracterizada por su fiabilidad, precisin y disponibilidad, y si la forma en que esta informacin es producida atiende a los principios de economa, eficacia y eficiencia. 01.12.01.02. mbito de la Auditora Informtica. Sobre la posicin concreta de la Auditora de Sistemas de Informacin en el mbito de la Auditora, existe una amplia variedad de posturas en la no muy copiosa literatura espaola de la materia, oscilando desde la negacin de su existencia, hasta el sostenimiento de su independencia frente al resto de las Auditoras. As algunos autores, desde esta ptica aislacionista, sostienen la existencia de diversos tipos aislados de auditora, mezclando auditora de funciones verticales en una organizacin (Auditora Financiera, Auditora Operativa, Auditora de Recursos Humanos, etc.) con auditora de funciones horizontales, como la Auditora de Sistemas de Informacin. Otros autores distinguen entre Auditora Financiera, Auditora de Cumplimiento, y Auditora Operativa, considerando a la Auditora de Sistemas de Informacin como una forma especial de Auditora Operativa, que trata de verificar la integridad y fiabilidad de los sistemas de informacin automatizados y su contribucin a los estados financieros presentados. Si bien no se puede negar la existencia e independencia de la Auditora de Sistemas de Informacin como disciplina o rama del conocimiento, debe tenerse en cuenta siempre que su funcin es, en la mayora de los casos, completar y cerrar el crculo de las auditoras financieras y operativas dentro de un esquema moderno de control. Como seala DAmore, la Auditoria de Sistemas de informacin est tan ntimamente conectada

_________________________________________________________________
VOLUMEN 01 LOS SISTEMAS DE LA INFORMACIN Y LA ORGANIZACIN

con la Auditora Financiera y Operativa que su tratamiento aislado carecera de significado. Bien es verdad, que subconjuntos de una Auditora de SI, como puede ser una auditora de la seguridad de los Si se pueden ejecutar fuera completamente del mbito de la Auditora Financiera.
El enfoque de considerar la Auditora como un todo integral donde se desarrollan actividades de Auditora Financiera, de Auditora de Sistemas de Informacin, y de Auditora Operativa, es sin duda el vigente hoy en da en el mundo anglosajn, y es el sostenido por The Institute of Internal Auditors Research Foundation en su enciclopdica obra, antes citada, Systems Auditability and Control, donde se define la Auditora de Sistemas de Informacin como Tipo de auditora que abarca revisiones de los sistemas automatizados, datos y

componentes tcnicos de un sistema de informacin. El auditor rene evidencias acerca de las operaciones de los sistemas, evala estas evidencias, y rinde una opinin sobre los controles del sistema. Este tipo de auditoria otorga garantas a la direccin relativas a la fiabilidad del sistema, proporcionando informacin precisa para el proceso de toma de decisiones.

Aunque a estas alturas ya debera estar clara la definicin, en positivo, de la Auditora de Sistemas de Informacin, aclaremos en este momento lo que no es: No incluye la planificacin informtica en forma de Planes Informticos, Planes Estratgicos de Seguridad, Planes de Aseguramiento de Calidad Software, etc. . Auditora es detectar problemas, valorar situaciones, y recomendar actuaciones. Excluye la valoracin detallada y reorganizacin de los recursos humanos del Departamento de Sistemas de Informacin. Aunque si pudiese incluir la deteccin de los problemas existentes o una valoracin global del Departamento. Fuera de su mbito est tambin la evaluacin de la Poltica de personal (reclutamiento, salarios y promociones), excepto en aquellos aspectos que tengan una incidencia clara en la seguridad de los SI, en los que deber proponer las recomendaciones de cambio pertinentes. No incluye el estudio de oportunidad de las aplicaciones, aunque deba estudiar, en una auditora de costos, eficacia y eficiencia, los costos habidos y la forma en que son justificados econmicamente las aplicaciones implantadas y el equipamiento, fsico y lgico, existente

01.12.02. Normas Tcnicas y Estndares

01.12.02.01. Introduccin Las Normas de Auditora del Sector Pblico, publicadas por primera vez en 1983, no recogen referencia alguna a la fiabilidad de los sistemas automatizados. Lo mismo ocurra en los Estados Unidos de Norteamrica, donde la edicin de 1977 de los Government Auditing Standards no haca tampoco mencin de ello. A partir del ao 1988, la nueva edicin de los Government Auditing Standards (el famoso libro amarillo de normas tcnicas de auditora de la US General Accounting Office), dedica al tema las normas tcnicas nmeros 62 a 70, reconociendo la importancia de los sistemas automatizados, al establecer en la norma tcnica N 62 que

cuando los datos procesados por ordenadores sean una parte, importante o integral de la auditoria, y la fiabilidad de tales datos sea crucial para alcanzar los objetivos de la aurora, los auditores debern verificar por s mismos que tales datos son fiables y relevantes.

Estas normas tcnicas son los principios sobre los que debe basarse la actuacin de un auditor informtico. En una primera aproximacin seran aspectos directamente relacionados con la profesionalidad del auditor, su necesaria independencia (aspecto ste que recalcaremos insistentemente), etc. Las normas o estndares son emitidos por las organizaciones de Auditora y deben ser seguidos por los auditores y organizaciones auditoras cuando sean requeridos por la Ley, reglamentaciones o contratos o por el propio cdigo interno de la asociacin de auditora. Las normas tcnicas de cualquier organizacin o colectivo profesional se aplican a las tareas de sus miembros cuando desarrollan trabajos profesionales de una naturaleza determinada. La EDP Auditors Foundation (Fundacin de Auditores Informticos), una asociacin que tiene entre sus objetivos desarrollar y mantener estndares profesionales y normas tcnicas de auditora de sistemas de informacin, determin en su da que la naturaleza especializada de los trabajos de auditora de sistemas de informacin, y los conocimientos necesarios para su elaboracin, requeran la elaboracin y promulgacin de normas tcnicas de auditora que se aplicaran especficamente a la auditora de sistemas de informacin.

________________________________________________________________________
01.12 - Auditora Informtica: Concepto y contenidos, Normas tcnicas y Estndare. Organizacin de la funcin auditora, Aspectos especficos de la Auditora Informtica en la Administracin Pblica.

Para los miembros de alguna de las asociaciones profesionales o gubernamentales en este terreno, se determina la obligatoriedad de las normas tcnicas. Por ejemplo, los miembros de la EDP Auditors Association y poseedores del Certificado en Auditora de Sistemas de Informacin estn obligados a cumplir con las normas tcnicas de auditora de sistemas de informacin adoptados por la EDP Auditors Foundation. En cualquier situacin donde se perciba la existencia de un conflicto entre normas emitidas por diferentes organizaciones, el auditor ser responsable de utilizar su buen juicio profesional para resolver el conflicto, basndose en los hechos especficos del caso. 01.12.02.02. Normas y Estndares. La Fundacin de Auditores Informticos, (EDPAF) propone las siguientes diez normas generales que deberan encuadrar el que hacer de los auditores en lo referente a independencia, competencia tcnica, realizacin de los trabajos e informes: 1. 2. 3. 4. 5. 6. 7. 8. 9. Actitud y apariencia: En todas las cuestiones relacionadas con la auditora, el Auditor de SI debe ser independiente de quien es auditado en actitud y apariencia. Relacin en la organizacin: La funcin Auditora de SI ha de estar lo suficientemente independiente del rea que se audita para permitir una realizacin objetiva de la auditora. Cdigo de tica profesional: El Auditor debe cumplir el Cdigo de tica Profesional de la EDPAF. Destreza y conocimientos: El Auditor de SI ha de ser competente tcnicamente, con las destrezas y conocimientos necesarios para la realizacin de tareas de auditora. Educacin profesional permanente: El Auditor de Si ha de mantener su competencia tcnica por medio de la correspondiente educacin permanente. Planificacin y supervisin: Las Auditorias de SI han de ser planificadas y supervisadas para brindar seguridad de que se alcanzan los objetivos de auditora y se cumplen estas normas. Exigencia de evidencia: Durante la realizacin de la Auditora, el Auditor de Si ha de obtener evidencia que por su naturaleza y suficiencia respalden los hallazgos y conclusiones informadas. Debido cuidado profesional: Debe observarse el debido cuidado profesional en todos los aspectos de la tarea del Auditor de SI, incluyendo el cumplimiento de las normas de auditora aplicables. Informe de la extensin de la auditoria: Al preparar los informes, el Auditor de S debe expresar los objetivos de la auditora, el perodo que cubre y la naturaleza y extensin de las tareas llevadas a cabo.

10. Informe de los hallazgos y conclusiones: Al preparar los informes, el Auditor de SI ha de expresar las observaciones y conclusiones respecto de las tareas de auditora llevadas a cabo, y cualquier reserva o salvedad que el auditor tenga respecto de la auditora. 01.12.02.03. Cdigos Profesionales. Los aspectos relacionados con el buen servicio a empleadores, clientes y pblico en general, los de confidencialidad de la informacin obtenida, y muchos otros, son contemplados dentro de los cdigos de tica Profesional, establecidos por las asociaciones profesionales del sector como gua para la conducta personal y profesional de los miembros de la correspondiente asociacin profesional. Como ejemplo de uno de estos cdigos mostramos el correspondiente a la EDP Auditors Association, denominada actualmente Information Systems Audit and Control Association: Los auditores de sistemas de informacin debern: 1. Apoyar el establecimiento y cumplimiento de los apropiados estndares, procedimientos y controles en los sistemas de informacin. 2. Cumplir con las Normas Tcnicas de Auditora de Sistemas de Informacin tal y como han sido adoptados por la EDP Auditors Foundaton. 3. Servir en el mejor inters de sus empleadores, accionistas, clientes y pblico en general de forma honesta, leal y diligente, y no tomar parte en ninguna actividad ilegal o impropia de su condicin. 4. Mantener la confidencialidad de la informacin obtenida en el curso de sus trabajos. Esta informacin no ser usada para obtener beneficio personal, ni facilitada a terceras partes sin la debida justificacin.

_________________________________________________________________
VOLUMEN 01 LOS SISTEMAS DE LA INFORMACIN Y LA ORGANIZACIN

5. Desempear sus obligaciones de una forma independiente y objetiva, y evitar las actividades que amenacen, real o aparentemente, su independencia. 6. Mantener la suficiente competencia profesional en los campos interrelacionados de la aurora y los sistemas de informacin, mediante la participacin activa en actividades de formacin profesional 7. Emplear el celo profesional debido en la obtencin y documentacin de suficiente material actual en el que basar conclusiones y recomendaciones. 8. Informar a las partes apropiadas de los resultados del trabajo realizado. 9. Apoyarla formacin de directivos, clientes, y pblico en general para potenciar su comprensin de la aurora y los sistemas de informacin. 10. Mantener los ms altos estndares de conducta y carcter tanto en sus actividades profesionales como en las personales.

01.12.03. Organizacin de la funcin auditora.

La funcin auditora informtica est experimentando un cambio notable en los ltimos aos acorde con, y debido a, los grandes cambios tecnolgicos que parecen afectar a las tecnologas de la informacin y a su uso por parte de la sociedad. Aunque los fundamentos de la profesin son los mismos, los especialistas especficos en determinadas reas son imprescindibles. La profesin auditora puede ser dividida en dos grandes bloques: auditora interna y auditora externas. Algunos de los requisitos para auditores externos e internos, de igual manera que para auditores informticos o financieros, son idnticos, principalmente en lo relativo a normas profesionales y cdigos de conducta. El auditor interno, es decir el que pertenece a la propia organizacin objeto de la auditora, est generalmente preocupado por la adecuacin de los controles en los Sistemas de Informacin y en el anlisis de la economa, eficacia y eficiencia de los procedimientos usados. La auditora externa ejerce una funcin de evaluacin independiente y externa a la organizacin auditada. El auditor externo deber ser capaz de expresar la opinin sobre la calidad de las declaraciones financieras (en la mayora de los casos) de la organizacin auditada, o del cumplimiento de leyes y regulaciones en mbitos diferentes del financiero. 01.12.03.01. Funciones del Auditor informtico. El auditor informtico proporciona experiencia y conocimientos en tecnologas de la informacin a la funcin auditora. Segn se acrecienta el uso de sistemas de informacin ms y ms complejos, cambian los procedimientos y tcnicas para evaluar el riesgo y lograr los objetivos de control, pero independientemente de los cambios tecnolgicos que veamos, el auditor informtico deber ser un profesional especializado en el anlisis, diseo, implantacin y evaluacin de controles en los sistemas de informacin. Vista la elevada variedad de sistemas de informacin, de distintas tecnologas y distintas concepciones de diseo y construccin de los SI, es fcil deducir el papel variable del auditor informtico. Si bien a todos les preocupar bsicamente el control interno, la fiabilidad y el control financieros y la seguridad de los activos de la empresa. Dentro de este papel variable de la tarea auditora que apuntamos, pero intentando a pesar de ello ofrecer una clasificacin de funciones, las tareas tpicas de auditora informtica, agrupadas en cuatro categoras principales son: Revisin de sistemas bajo desarrollo Evaluacin de los planes de implantacin de sistemas y mejoras de los existentes. Estas revisiones deberan incluir el examen del diseo de] sistema para asegurar tanto la calidad como la presencia de controles adecuados. La presencia del auditor en fases tempranas del diseo ayudara a eliminar la necesidad de inclusin tarda de controles tras la implantacin del sistema, con su incidencia en costos de desarrollo.,

________________________________________________________________________
01.12 - Auditora Informtica: Concepto y contenidos, Normas tcnicas y Estndare. Organizacin de la funcin auditora, Aspectos especficos de la Auditora Informtica en la Administracin Pblica.

Las revisiones deben incluir el cumplimiento de las metodologas de desarrollo de sistemas y otros estndares en vigor en la organizacin, as como el seguimiento de la gestin del proyecto para garantizar la eficacia y eficiencia. Revisiones de Instalaciones informticas (tpicamente Centros de Proceso de Datos) Las revisiones de los CPD incluyen habitualmente la evaluacin de la estructura organizativa, la revisin de las polticas y procedimientos de personal, el cumplimiento de los estndares y procedimientos operativos, seguridad, procedimientos de control de libreras de datos y programas, redes de comunicacin, backup y planes de recuperacin ante desastres. La revisin podra incidentalmente incluir el anlisis de la efectividad y eficiencia operativo y administrativa. Aunque el mbito de la revisin lo determina parcialmente la Direccin, el auditor debe recomendar, cuando lo requieran las circunstancias, un enfoque ms amplio. Revisin de Aplicaciones La revisin de aplicaciones se realiza normalmente por auditores de cuentas, acompaados por auditores informticos, que centran su atencin en dos reas: Procedimientos programados, que corresponden a la lgica de la aplicacin. Los procedimientos de control programados (ver 1.1 5.2.4) son de especial importancia. Procedimientos de control de usuario, que corresponden a las partes de la aplicacin, del SI en su sentido amplio, que se llevan a cabo y que afectan al personal responsable del funcionamiento y uso de la misma. Estos procedimientos incluyen segregacin de funciones, autorizacin de Transacciones etc. Muchos procedimientos de control dependen de acciones del usuario en respuesta a la aplicacin. Sin el seguimiento del usuario, no podemos hablar de la existencia de un control real.

Soporte a Auditores no-informticos Los auditores informticos colaboran con los auditores financieros y operativos en reas tcnicas, actuando como consultor en esta faceta. Entre los tipos de asistencia que normalmente se prestan, tenemos: Recogida y anlisis de datos. Comprobacin de controles informticos internos. Extraccin de datos de ficheros usando software de auditora. Investigar inconsistencias u omisiones en salidas de aplicaciones. Fiar a los auditores en la determinacin de la naturaleza, momento, oportunidad y extensin de los procedimientos de auditora necesarios.

01.12.03.02. Encuadre Orgnico. Uno de los problemas que tiene planteada la funcin auditora interna es su articulacin orgnica y funcional. Por una parte, es necesaria la clara separacin a nivel orgnico de Auditora Informtica de aquellas reas que en momento determinado puedan ser objeto de auditora. Su adscripcin orgnica al Departamento de Sistemas de Informacin, (en cualquiera de sus variedades), slo puede ser motivo de problemas, pues uno de los principios bsicos de la auditora, la independencia respecto de los auditados, en todas las cuestiones relacionadas con la auditoria, el Auditor de S debe ser independiente de quien es auditado en actitud y apariencia, se transgrede claramente. Una mejor solucin es la de encuadramiento dentro del staff en la estructura organizativa y ms concretamente integrar esta funcin dentro de la direccin responsable de auditora del organismo, si sta existe. En cuanto a la separacin funcional, la auditora informtica, quiz debido a la especializacin de algunas de sus actividades, comparte funciones con el departamento responsable de Seguridad Informtica. Esta lnea operativa deber estar separada de la funcin tcnica de soporte de los SI, dependiendo directamente de Direccin. W. Malik apunta que el problema surge cuando en la prctica no se ha realizado esta separacin funcional, puesto que ciertas funciones de seguridad, fuertemente especializadas, permanecen dentro del Departamento de Si. La seguridad de las bases de datos requiere personal conocedor en profundidad de la estructura de la base particular, la seguridad en entornos interconectados requiere personal capaz de evaluar la integridad de routers, firewalis, enlaces de comunicaciones, etc. Muy pocas organizaciones pueden afrontar el costo de

_________________________________________________________________
VOLUMEN 01 LOS SISTEMAS DE LA INFORMACIN Y LA ORGANIZACIN

formacin de este personal altamente especializado, y luego retirarlos del Departamento de SI, simplemente por el hecho de obtener esa conveniente independencia funcional.

01.12.04. Aspectos especficos de la Auditora Informtica en las AA. PP.

01.12.04.01. La necesidad de la Auditora Informtica. El anlisis o investigacin en el terreno de la Auditora Informtica en la Administracin Pblica Espaola es un campo mayoritariamente virgen, si bien ha contado con escasas excepciones, entre las que se pueden sealar los intentos contenidos en los manuales de Auditora Financiera y de Auditora Operativa de la Intervencin General de la Administracin del Estado, o las actividades de divulgacin de la materia, realizadas estos ltimos aos por el Centro Regional para la Enseanza de la Informtica del Ministerio para las Administraciones Publicas. Si inexplorados son los territorios de la teora y construccin doctrina o cientfica de la Auditora Informtica en la Administracin Espaola, tambin han sido cortas hasta el momento sus aplicaciones concretas llevadas a la prctica. As, mientras pases de nuestro entorno econmico y cultural han ido introduciendo funciones y tcnicas de Auditora Informtica en sus respectivos administraciones, en Espaa, hasta el momento, poco se puede encontrar. Seala Aibert Hamois que la organizacin que dispone de una funcin de auditora responsable de la realizacin de las auditoras financieras y operativas est obviamente convencida de la utilidad de la Auditora. Si un organismo de la Administracin Pblica no ha establecido an la funcin de Auditora Informtica, es probablemente debido a una, o ms, de las siguientes razones: Nadie ha reconocido an la necesidad de tal funcin. Nadie sabe cmo justificar la funcin. La organizacin sabe que la Auditora Informtica es injustificable e innecesaria.

De las tres posibles causas mencionadas por Hamois, la tercera no resulta en ningn caso aplicable a la Administracin Pblica. Quedan, por tanto, la primera y segunda. La segunda parece menos verosmil que la primera, ya que la propia existencia de una funcin de Auditora Informtica en el seno de la Administracin Pblica Estatal se justificara por el propio entorno en el que se desenvuelve la actividad de la Administracin del Estado, Organismos Autnomos, y Administracin de la Seguridad Social, a saber: Por el tipo de produccin generada por la Administracin, que es una produccin de servicios (en el sector servicios es ms necesaria la Auditora Informtica, por ser el sector terciario ms intensivo en el uso de informacin, y por el empleo de esta como recurso estratgico en mltiples casos), siendo fundamentalmente de servicios pblicos no destinados a la venta. Por el tamao de la organizacin, con mucho la mayor organizacin de pas, con mayor volumen de ingresos, gastos e inversin que ninguna otra organizacin. Por el tamao de sus centros de proceso de datos y tratamiento de la informacin (entre los ms grandes del pas estn el Departamento de Informtica Tributaria de la Agencia Estatal de la Administracin Tributaria y la Gerencia de Informtica de la Seguridad Social), y de sus sistemas de informacin, localizados en multiplicidad de puntos fsicos y orgnicos, siendo generalmente sistemas transaccionales que afectan de modo directo al ciudadano. Por la propiedad, que en definitiva es del ciudadano. Por la existencia de una funcin de control a posteriori, que demuestra la preocupacin de los ciudadanos, sus representantes, y los directivos pblicos por el control en la Administracin Pblica.

Quiz las peculiaridades intrnsecas de la Auditora Informtica hayan tenido un peso especfico importante en esta situacin, como apunta DAmore: Su nfasis (de la Auditora Informtica) estara en prevenir los problemas, no en detectados y corregirlos, haciendo as el campo substancialmente diferente de la Auditora Financiera. (). Esto hace que la funcin de Auditora Informtica sea difcil de gestionar, y an ms difcil de explicar a la alta direccin.

________________________________________________________________________
01.12 - Auditora Informtica: Concepto y contenidos, Normas tcnicas y Estndare. Organizacin de la funcin auditora, Aspectos especficos de la Auditora Informtica en la Administracin Pblica.

Para ahondar an ms en la razonabilidad de la funcin de Auditora Informtica en la Administracin del Estado, se pueden dar algunas cifras, todas ellas provenientes de las encuestas REINA y del informe IRIA-92 que ha realizado el Ministerio para las Administraciones Pblicas: El valor total del parque informtico de la Administracin del Estado a precios de adquisicin a 1 de Enero de 1992 era de 148.972 millones de pesetas (esto slo incluye equipos fsicos, no teniendo en cuenta pues software o equipos lgicos). De las aplicaciones informticas en funcionamiento a 1 de Enero de 1991, el 62% eran aplicaciones implantadas en los entornos econmico-financiero y de control de la gestin. De las aplicaciones puestas en explotacin a lo largo de 1991, el 65% lo fue tambin en los mencionados entornos.

La magnitud de estas cifras deberan llevar inmediatamente a cuestionarse sobre la eficacia y la eficiencia de esa inversin y ese gasto, y sobre la seguridad y fiabilidad de esas aplicaciones - verdaderas cajas negras para el auditor - implantadas en los entornos de gestin econmica y financiera. 01.12.04.02. Referencias en la legislacin. En el otoo de 1992 las Cortes Espaolas aprobaron, en desarrollo del mandato contenido en el artculo 18.4 de nuestra Constitucin, la Ley Orgnica 5/92, de 29 de Octubre, de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal, conocida coloquialmente como LORTAD. Si bien esta ley no es la justificacin central de la necesidad de la Auditora Informtica, s que refuerza la idea de necesidad de un control que garantice la confidencialidad, integridad y disponibilidad de los datos mantenidos en sistemas informticos. El Real Decreto 428/1993 que desarroll la anterior Ley Orgnica, configura una funcin de Inspeccin de Datos, atribuida a la Agencia de Proteccin de Datos, y con competencias especficas desarrolladas en el artculo 28 del Estatuto de la Agencia: Efectuar inspecciones,... de cualesquiera ficheros,... en los locales en los que se hallen los ficheros y los equipos informticos, y a tal efecto podr: Examinarlos soportes de informacin que contengan los DCP, Examinar los equipos fsicos Requerir el pase de programas y examinar la documentacin pertinente al objeto de determinar, en caso necesario, los logaritmos de los procesos de que los datos sean objeto. Examinar los sistemas de transmisin y acceso a los datos Realizar auditorias de los sistemas informticos con miras a determinar su conformidad con la Ley Orgnica 5/1992 Requerir la exhibicin de cualesquiera otros documentos pertinentes Requerir el envo de toda informacin precisa para el ejercicio de las funciones Inspectoras. Adems, como consecuencia de la instruccin 1/1995 de la Agencia relativa a ficheros de solvencia patrimonial y crdito aparecen dos nuevas funciones asignadas (normas 4.2 y 4.3): Recepcin de los informes finales de las auditoras informticas realizadas a servicios de informacin sobre solvencia patrimonial y crdito. Proponer la adopcin de medidas especficas a resultas del informe inicial de auditora sobre estos servicios. Pasando a otras referencias actuales, el Proyecto de Ley General Presupuestada (Boletn Oficial de las Cortes Generales, 6 de Octubre de 1995) sealaba en su artculo 73 lo siguiente: En relacin con las materias contempladas en esta Ley y en las dems normas que regulen los procedimientos de ejecucin y control de los Presupuestos Generales de/ Estado, el Ministro de Economa y Hacienda podr establecer en qu casos y con qu requisitos se utilizarn medios que faciliten el intercambio electrnico, informtico o telemtico de documentos para: a) Agilizar los procedimientos y facilitar el intercambio de documentos, sustituyendo los soportes documentales en papel o en cualquier otro medio fsico por soportes propios de las tecnologas de la informacin y las comunicaciones, tanto en los tramites internos de la Administracin General del Estado o sus Organismos Autnomos como en las relaciones con terceros, dentro de marco general establecido en el artculo 45 de la Ley de rgimen Jurdico de las Administraciones pblicas y del procedimiento Administrativo Comn. b) Reemplazar los sistemas de actuacin y control formalizados mediante diligencias, firmas manuscritas, sellos u otros medios manuales por autorizaciones y controles establecidos en los sistemas de informacin habilitados o que se habiliten para el tratamiento de los aspectos regulados en esta Ley, siempre que de tal forma se garantice el ejercicio de la competencia por el rgano que la tenga atribuida.

_________________________________________________________________
VOLUMEN 01 LOS SISTEMAS DE LA INFORMACIN Y LA ORGANIZACIN

De forma similar, el Anteproyecto de Ley de Medidas Fiscales, Administrativas y de Orden Social en si redaccin de 29 de Agosto de 1995 introduca dos nuevas Disposiciones Adicionales en el Texto refundido de la Ley General Presupuestaria - posteriormente no incluidas en la redaccin definitiva del Proyecto de Ley - con la siguiente redaccin: Disposicin Adicional Tercera. En los trminos que se establezcan por el Ministerio de Economa y Hacienda la documentacin justificativa de los gastos, con independencia del tipo de soporte en el que originalmente se hubiera plasmado, podr conservarse en soporte informtico y las copias obtenidas de estos soportes informticos gozarn de la validez y eficacia del documento original, siempre que quede garantizada su autenticidad, integridad y conservacin. Disposicin Adicional Cuarta. 1. De acuerdo con las normas que regulen los procedimientos de ejecucin del presupuesto, el Ministerio de Economa y Hacienda podr establecer en qu casos y con qu requisitos podrn utilizarse tcnicas y medios que faciliten el intercambio electrnico o telemtico de documentos en las relaciones econmicofinancieras de la Administracin General del Estado o sus Organismos Autnomos con terceros, de acuerdo con el marco general establecido en el artculo 45 de la Ley de Rgimen Jurdico de los Administraciones pblicas y del procedimiento Administrativo Comn. De Igual modo, podr establecer, en los trmites internos, la sustitucin de los documentos impresos por documentos soportados en nuevos medios tecnolgicos. 2. En los procedimientos que se tramiten utilizando soportes informticos o tcnicas y medios electrnicos, los sistemas de autorizacin y control instrumentados mediante diligencias, firmas manuscritas, sellos o procedimientos manuales podrn ser sustituidos por autorizaciones y controles establecidos en las propias aplicaciones informticas, tales como validaciones de acceso restringido o sistemas de firma electrnica, que garanticen el ejercicio de la competencia por el rgano que la tenga atribuida. Como es ms que probable y deseable, preceptos similares a los anteriores van a tener una pronta plasmacin en nuestro derecho positivo. El desarrollo efectivo de normas jurdicas de este contenido exige el establecimiento y ejecucin de funciones de Auditora Informtica dentro de los Organismos de la Administracin Pblica.

________________________________________________________________________
01.12 - Auditora Informtica: Concepto y contenidos, Normas tcnicas y Estndare. Organizacin de la funcin auditora, Aspectos especficos de la Auditora Informtica en la Administracin Pblica.

10 _________________________________________________________________
VOLUMEN 01 LOS SISTEMAS DE LA INFORMACIN Y LA ORGANIZACIN