Bases Generales – Página 2 – Randy A. Valverde Valverde

Bases Generales: Planeamiento / Planeación

Como todo proceso bien hecho en la vida, requiere de la planeación, para los casos de las auditorias desde cualquier punto de vista el Planeamiento es un factor esencial.

En forma sencilla podemos decir que el planeamiento es: “Elaboración o establecimiento de un plan”. Fuente: Búsqueda en google “Que es el planeamiento”

Siendo un poco más técnico y aprovechando recursos como la web, desde auditool.org se extrae el siguiente texto:

El Planeamiento o Planificación en términos generales, es un proceso mediante el cual se toma decisiones sobre los objetivos y metas que se debe alcanzar en una determinada actividad y en un determinado tiempo. Por lo tanto es un plan de acción detallado y cuantificado.

El Planeamiento como etapa primaria del proceso de Auditoría fue establecido para preveer los procedimientos que se aplicarán a fin de obtener conclusiones válidas y objetivas que sirvan de soporte a la opinión que se vierta sobre la Entidad o Empresa bajo examen.

La planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto con la Empresa a auditar. Es importante esta reflexión para identificar aquellas áreas problemáticas a las que probablemente haya que dedicar más tiempo y recursos.

Como se puede detallar todos los estudios de auditoria formales u informales necesitan de una etapa o tiempo de planeación, buscando con esto tener una visión general de la serie de pasos a seguir con tal de llegar al objetivo primordial que viene a ser un estudio bien confeccionado que busca ayudar a la administración a lograr sus objetivos estratégicos de forma adecuada.

Como bien se muestra en la imagen del libro “El trabajo de campoen Auditoría” de la editorial EUNED, este proceso de planeamiento nos da una visión general de la amplitud del estudio a realizar.

Para el caso de la planeación o planeamiento en el proceso de la auditoria va a generar un producto, que en algunos casos tiene por nombre el Programa de Auditoría, dentro del este programa de auditoria se encontrara los procesos que se van a abordar para el estudio.

Cierre RVV:

La planeación o el planeamiento es un proceso que se debe de realizar con detenimiento, detallando de forma minuciosa cada uno de los temas que se desean abarcar en el estudio de auditoria, esto de la mano del alcance que se llega a definir con la asignación del estudio. En este proceso se deben de definir en primera instancia los procedimientos, con los procedimientos se deben ir categorizando las tareas a realizar para con esto hacer un estimado de tiempo, como muchos otros de los aspectos de las bases generales forman parte esencial de los estudios de auditoria, con el fin de que sean desarrollados de forma ordena y exitosa.

Fuentes:

https://www.auditool.org/blog/auditoria-externa/2139-planificacion-auditoria-de-informacion-financiera-lo-que-todo-auditor-debe-conocer

Bases Generales: Confidencialidad

Allá por el siglo III antes de Cristo existió un historiador y filósofo griego Diógenes Laercio de la ciudad de Laertes en Cicilia. Aunque muchos otros historiadores cuestionan dicha información, una de sus frases fue:

Callando es como se aprende a oír; oyendo es como se aprende a hablar; y luego, hablando se aprende a callar.

Lo que nos lleva al concepto de Confidencialidad: “La confidencialidad es la garantía de que la información personal será protegida para que no sea divulgada sin consentimiento de la persona. Dicha garantía se lleva a cabo por medio de un grupo de reglas que limitan el acceso a ésta información.” Fuente. Definición.de

Entonces si consideramos la frase de Diógenes como regla moral, vamos por buen camino con el tema de la confidencialidad.

En la práctica de la auditoría:

Como profesionales que ejercemos la auditoria tenemos como regla de oro la confidencialidad, en el Manual de Normas Generales de Auditoria para el Sector Publico en su Capítulo I nos dice:

103. Naturaleza Confidencial y discreción sobre el trabajo: “El personal que participa en el proceso de auditoría en el sector público debe mantener la reserva y la discreción debidas respecto de la información obtenida durante el proceso de auditoría, y no deberá revelarla a terceros, salvo para los efectos de cumplir con requerimientos legales.

Por otro lado dentro del mismo manual en su Capítulo V sobre las Normas Generales sobre auditorio de carácter especial nos menciona el tema: 506. Resguardo de la confidencialidad de la información:

De conformidad con el marco legal existente, el auditor debe garantizar la confidencialidad de la información que respalde el contenido de las relaciones de hechos y denuncias penales que se tramiten, en resguardo de los derechos de los presuntos responsables, de la identidad del o los denunciantes y de la buena marcha del procedimiento jurídico que se lleve a cabo, hasta tanto esa información no pueda ser divulgada de acuerdo con la normativa correspondiente.

Sin embargo no podemos dejar de lado que a nivel general dentro de nuestro hermoso país la Ley General de Control Interno dentro de sus alcances menciona de igual forma la importancia de la confidencialidad para los estudios de auditoría.

Confidencialidad en el ámbito jurídico:

Cuando surgen dudas sobre el tipo de información y su relación con la confidencialidad se genera consultas judiciales, y para cada una de ellas se van generando criterios, desde este punto de vista al buscar dentro del Sistema Costarricense de Información Jurídica nos dan una serie de resultados que podemos considerar como fuente de información para temas de confidencialidad:

Resultados para: Confidencialidad.

A partir del año 2011 con la creación de la Prodhab, la ley 8968 y su reglamento el tema de la confidencialidad se me respaldado a nivel general como también en el ámbito de las tecnologías de información.

Así por ejemplo dentro de la ley 8968 en el Artículo 3 respecto a las definiciones nos menciona:

f) Deber de confidencialidad: obligación de los responsables de bases de datos, personal a su cargo y del personal de la Agencia de Protección de Datos de los Habitantes (Prodhab), de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por esta ley, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aun después de finalizada la relación con la base de datos.

Por otro lado dentro de la misma ley tenemos la Sección III con el título: “Seguridad y Confidencialidad del Tratamiento de los datos”.

Artículo 11. – Deber de la Confidencialidad:

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

En términos globales:

Sin bien es cierto lo normal es ir de lo global a lo especifico en este caso luego de haber repasado las normas, leyes, reglamentos y definiciones relacionadas con la confidencialidad en Costa Rica, vamos a ver que nos dice el Instituto global de Auditores Internos:

Para dicho caso debemos partir por el Código de Ética del IIA; dentro de sus 4 principios fundamentales vamos a encontrar: Integridad, Objetividad, Competencia y la Confidencialidad.

Confidencialidad: Los auditores internos respetan el valor y la propiedad de la información que reciben y no divulgan información sin la debida autorización a menos que exista una obligación legal o profesional para hacerlo.

Así mismo en relación a la guía que tenemos para las mejores prácticas de las T.I. (Cobit) dentro de uno de sus criterios de información encontramos la confidencialidad: se refiere a la protección de información sensitiva contra revelación no autorizada. Fuente: Cobit y los controles de aplicación

Cierre RVV:

La confidencialidad es un término que va de la mano con la ética profesional (Principios Éticos de los Funcionarios Públicos). Como profesionales relacionados con la tecnologías de información (en primera instancia) nos vemos enfrentados a esta regla, ya que en algún momento (encargado de las BD, encargados de servidores, desarrolladores) llegamos a ser los dueños/custodios de la información de las instituciones/empresas, pero por una serie de principios éticos nos enfocamos en proteger este insumo, nunca en vulnerarlo.

Una vez que cambiamos de rol (auditores de sistemas) nos vemos aún más preocupados por este tipo de temas, encontramos una serie de principios tanto nacionales como internacionales que viene a reglamentar esa ética que ya tenemos por defecto. Es entonces cuando debemos defender y procurar que se cumpla con el principio de la confidencialidad. by RVV

Bases Generales: Riesgos

Si bien es cierto el Riesgo o los Riesgos son un componente importantísimo del Control Interno, no dejan de ser una guía primordial a la hora de abordar los estudios de auditoria. Estudios de auditoria en cualquiera de sus áreas del Universo, pero para continuar con la columna vertebral de este sitio, se procurara relacionar con los procesos de Auditoria de Sistemas. Vamos ahora a su definición.

Definición de Riesgo:

Desde el sitio web de la RAE, de forma sencilla se nos dice: “Contingencia o proximidad de un daño”.

Por otro lado la UNISDR (The United Nations Office for Disaster Risk Reduction) lo define: “El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre”

Para la Contraloría General de la Republica en la Norma de Control Interno (N-2-2009-CO-DFOE) en su página 47 se define el Riesgo como: “Probabilidad de que ocurran eventos de origen interno o externo, que tendrían consecuencias sobre el cumplimiento de los objetivos institucionales”

Tipos de Riegos:

Como segundo paso es importante definir cuantos tipos se pueden determinar o prevenir (objetivo primordial de una auditoria), en uno curso de cual fui parte (Gestión de auditoria de alto impacto en riesgos, 2016) se nos ofrecía dos tipos de riesgos a gran escala, rescato de mis apuntes lo siguiente:

Riesgo Inherente: riesgo que amenaza el cumplimiento de un objetivo, este va a estar más relacionado con la causa por tanto se les suele conocer como riesgo causal.

Riesgo de Control: es aquel riesgo en que los controles no mitiguen el riesgo inherente, viene a ser la consecuencia de la falta de controles por lo tanto se le conoce como riesgo consecuente.

Entornos de T.I.

Dentro de las Normas Técnicas para la gestión de las Tecnologías de la Información vamos a tener dentro del su alcance en su Capítulo I, las normas de aplicación en donde se puede leer el punto 1.3:

Gestión del Riesgo: La organización debe responder adecuadamente a las amenazas que puedan afectar la gestión de las TI, mediante una gestión continua de riesgos que esté integrada al sistema específico de valoración del riesgo institucional y considere el marco normativo que le resulte aplicable.

Tomando como punto de partida ese argumento podemos ver la importancia del tema de riesgo para las tecnologías de información, en donde el propósito fundamental es tender a eliminarlo procurando su disminución al máximo. Es decir tomando en cuenta las definiciones iniciales, “minimizar las probabilidades de que se materialicen los RIESGOS”, esto porque en esencia los riesgos siempre van a existir.

Por otro lado es importante mencionar que dentro de las normativas internacionales el riesgo también forma parte de capítulos de interés, por un lado el Instituto Internacional de Auditoria Interna nos ofrece la certificación CRMA (Certification in Risk Management Assurance) en el otro extremo más del lado de las tecnologías de información tenemos la reciente certificación que ofrece ISACA llamada CRISC (Certified in Risk and Information System Control).

Dentro de la normativa de TI (N-2-2007-CO-DFOE)con la cual solemos trabajar los auditores de sistemas en este bello país como lo es Costa Rica, podemos ubicar dentro de ella 19 resultados donde se menciona la palabra riesgo, esto con justa razón; en todos los procesos donde vemos relacionados las tecnologías de información van a existir riesgos, los cuales debemos de minimizar, esto con el fin de que no se vean materializados para que las empresas u instituciones no vean su día a día afectado.

Es de suma importancia dejar de lado lo urgente y darle la importancia apropiada al tema de los riesgos, debemos apropiarnos de la tarea: de analizar, documentar, clasificar y evaluar de forma periódica el tema. By. RVV