Normas de Auditora

de Tecnologas de
la Informacin y la
Comunicacin

Resolucin CGE/094/2012
27 de agosto de 2012

NE/CE-017

N O R M A D E C O N T R O L E X T E R N O
 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

NORMAS DE AUDITORA DE TECNOLOGAS DE LA INFORMACIN Y LA

COMUNICACIN

DISPOSICIONES GENERALES

Propsito

El presente documento contiene un conjunto de normas y aclaraciones que permiten

asegurar la uniformidad y calidad de la auditora gubernamental en Bolivia.

Las normas se presentan bajo el numeral 01 y las aclaraciones correspondientes que forman
parte de las mismas, se exponen bajo los numerales subsiguientes.

Aplicacin

Estas normas son de aplicacin obligatoria en la prctica de la auditora realizada en toda

entidad pblica comprendida en los artculos 3 y 4 de la Ley N 1178, de Administracin y
Control Gubernamentales, promulgada el 20 de julio de 1990, por los auditores
gubernamentales de las siguientes organizaciones de auditora:

- Contralora General del Estado;

- Unidades de Auditora Interna de las entidades pblicas; y

- Profesionales o firmas de auditora.

Cuando cualquiera de los miembros de las organizaciones mencionadas ejecuta tareas de

auditora en el sector pblico, se los denomina auditores gubernamentales, para efectos de
la aplicacin de estas Normas.

Auditora

Es la acumulacin y evaluacin objetiva de evidencia para establecer e informar sobre el

grado de correspondencia entre la informacin examinada y criterios establecidos.

Consideraciones bsicas

Los servidores pblicos deben rendir cuenta de su gestin a la sociedad. En este sentido, los
servidores pblicos, los legisladores y los ciudadanos en general desean y necesitan saber,
no slo si los recursos pblicos han sido administrados correctamente y de conformidad
con el ordenamiento jurdico administrativo y otras normas legales aplicables, sino tambin
de la forma y resultado de su aplicacin, en trminos de eficacia, eficiencia, economa y
efectividad.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

El presente documento contribuye al cumplimiento de la obligacin que tienen los

servidores pblicos de responder por su gestin. Incluye conceptos y reas de auditora que
son vitales para los objetivos de confiabilidad de la informacin.

Los servidores pblicos y otros a los que se les ha confiado la administracin de los
recursos pblicos, deben:

a) Emplear estos recursos con eficacia, eficiencia, economa y efectividad.

b) Cumplir con el ordenamiento jurdico administrativo y otras normas legales

aplicables, implantando sistemas adecuados para promover y lograr su cumplimiento.

c) Establecer y mantener controles efectivos para garantizar la consecucin de las metas

y objetivos correspondientes, promover la eficiencia de sus operaciones, salvaguardar
los recursos contra irregularidades, fraudes y errores, y emitir informacin operativa y
financiera til, oportuna y confiable.

Los informes de auditora gubernamental son importantes elementos de control y

responsabilidad pblica y otorgan credibilidad a la informacin generada por los sistemas
correspondientes de las entidades pblicas, ya que reflejan objetivamente el resultado de las
evidencias acumuladas y evaluadas durante la auditora.

Definiciones

Las definiciones presentadas en la Ley N 1178 y sus reglamentos deben considerarse en la

interpretacin y aplicacin de estas Normas.

Vacos tcnicos

Si durante el desarrollo de la auditora gubernamental surgiesen aspectos no contemplados

en estas Normas, deben entonces observarse las Normas Generales de Auditora de
Sistemas de Informacin emitidas por la Asociacin de Auditora y Control de Sistemas de
Informacin ISACA (The Information Systems Audit and Control Association), el modelo
de control COBIT (Objetivos de Control para la Informacin y Tecnologas Relacionadas),
las Normas Internacionales de Auditora (NIA) emitidas por la Federacin Internacional de
Contadores (IFAC); las Declaraciones sobre Normas de Auditora (SAS) emitidas por el
Instituto Americano de Contadores Pblicos (AICPA) y las Normas de Auditora emitidas
por la Organizacin Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).

Fuentes

Estas Normas incorporan en su contenido los principales criterios de la normatividad

emitida al respecto, por:

- La Fundacin para la Auditora y Control de Sistemas de Informacin (ISACF).

- La Asociacin de Auditora y Control de Sistemas de Informacin (ISACA).

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

- La Federacin Internacional de Contadores (IFAC).

- El Instituto Americano de Contadores Pblicos (AICPA).

Contratacin de servicios de auditora

Aunque no constituye norma de auditora, es importante aplicar polticas y procedimientos

idneos para la adjudicacin y contratacin de servicios de auditora y supervisar que las
mismas se realicen de acuerdo a las condiciones pactadas conforme establece el
Reglamento emitido por la Contralora General del Estado.

Registro de firmas y profesionales independientes de auditora externa

Para prestar servicios de auditora en las entidades pblicas comprendidas en los artculos 3
y 4 de la Ley N 1178 y en aquellas entidades comprendidas en las previsiones del artculo
5 de la referida disposicin legal, concordante con el artculo 5 del Reglamento aprobado
por el Decreto Supremo N 23215, los profesionales independientes y las firmas de
auditora externa, deben inscribirse en el Registro que est a cargo de la Contralora
General del Estado. Al respecto, el proceso de inscripcin debe sujetarse al Reglamento que
el rgano Rector del Sistema de Control Gubernamental emita a tal efecto.

Ejercicio de la auditora

Para la aplicacin de las presentes Normas, en lo que corresponda, necesariamente debern

tomarse en cuenta las Normas Generales de Auditora Gubernamental 210.

Auditora de tecnologas de la informacin y la comunicacin

Es el examen objetivo, crtico, metodolgico y selectivo de evidencia relacionada con

polticas, prcticas, procesos y procedimientos en materia de tecnologas de la informacin
y la comunicacin, para expresar una opinin independiente respecto:

a) A la confidencialidad, integridad, disponibilidad y confiabilidad de la informacin.

b) Al uso eficaz de los recursos tecnolgicos.

c) A la eficacia del control interno asociado a los procesos de las Tecnologas de la

Informacin y la Comunicacin.

Los incisos sealados, podrn ser considerados en forma individual o en conjunto.

La auditora de tecnologas de la informacin y la comunicacin est definida

principalmente por sus objetivos y puede ser orientada hacia uno o varios de los siguientes
enfoques:

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

a) Enfoque a las seguridades: Consiste en evaluar los controles de seguridad

implementados en los sistemas de informacin con la finalidad de mantener la
confidencialidad, integridad y disponibilidad de la informacin.

b) Enfoque a la informacin: Consiste en evaluar la estructura, integridad y

confiabilidad de la informacin gestionada por el sistema de informacin.

c) Enfoque a la infraestructura tecnolgica: Consiste en evaluar la correspondencia de

los recursos tecnolgicos en relacin a los objetivos previstos.

d) Enfoque al software de aplicacin: Consiste en evaluar la eficacia de los procesos y

controles inmersos en el software de aplicacin, que el diseo conceptual de ste
cumpla con el ordenamiento jurdico administrativo vigente.

e) Enfoque a las comunicaciones y redes: Consiste en evaluar la confiabilidad y

desempeo del sistema de comunicacin para mantener la disponibilidad de la
informacin.

Para una adecuada comprensin de las Normas de Auditora de Tecnologas de la

Informacin y la Comunicacin, se deben considerar las siguientes definiciones:

Datos: Son objetos de informacin, los cuales pueden ser externos o internos, estructurados
y no estructurados del tipo grfico, sonido, imgenes, nmeros, palabras y de otra ndole,
etc.

Informacin: Datos que han sido organizados, sistematizados y presentados de manera que
los patrones subyacentes resulten claros.

Tecnologa: Es un conjunto ordenado de instrumentos, conocimientos, procedimientos y

mtodos aplicados a las reas.

Tecnologas de la Informacin y la Comunicacin (TIC): Comprende al conjunto de

recursos, herramientas, equipos, programas informticos, aplicaciones, redes y medios, que
permiten la compilacin, procesamiento, almacenamiento, transmisin y recepcin de
informacin, voz, datos, texto, video e imgenes. Se consideran como sus componentes el
hardware, el software y los servicios.

Sistema de Informacin (SI): Se refiere a un conjunto de procesos y recursos de

informacin organizados con el objetivo de proveer la informacin necesaria (pasada,
presente, futura) en forma precisa y oportuna para apoyar la toma de decisiones en una
entidad.

Software de aplicacin: Se refiere a un elemento de los Sistemas de Informacin, es un

conjunto de programas de computador diseados y escritos para realizar tareas especficas
del negocio y que permiten la interaccin entre el usuario y el computador.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

Sistemas de comunicacin: Se refiere a la tecnologa que se emplea para el intercambio de

informacin.

Confidencialidad de la informacin: Se refiere a la proteccin de la informacin crtica

contra su divulgacin no autorizada.

Integridad de la informacin: Se vincula con la exactitud y la totalidad de la informacin

as como tambin con su validez de acuerdo con los valores y las expectativas de la entidad.

Confiabilidad de la informacin: Se vincula con la provisin oportuna e ntegra de la

informacin para coadyuvar a la consecucin de los objetivos de la entidad.

Disponibilidad de la informacin: Se vincula con el hecho de que la informacin se

encuentre disponible cuando el proceso la requiera. Tambin se asocia con la proteccin de
los recursos necesarios y las capacidades asociadas.

Tcnicas de Auditora Asistidas por Computador (TAAC): Se refiere a las tcnicas de

auditora que contemplan herramientas informticas con el objetivo de realizar ms
eficazmente, eficientemente y en menor tiempo pruebas de auditora.

Ejercicio de la auditora interna

La auditora interna es una funcin de control interno posterior de la organizacin, que se

realiza a travs de una unidad especializada, cuyos integrantes no participan en las
operaciones y actividades administrativas. Su propsito es contribuir al logro de los
objetivos de la entidad mediante la evaluacin peridica del control interno.

Las Normas de Auditora Gubernamental deben ser aplicadas por el auditor interno
gubernamental.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

270 NORMAS DE AUDITORA DE TECNOLOGAS DE LA INFORMACIN Y

LA COMUNICACIN

271 Planificacin

01. La primera norma de auditora de tecnologas de la informacin y la comunicacin es:

La auditora de tecnologas de la informacin y la comunicacin se debe

planificar en forma metodolgica, para alcanzar eficientemente los objetivos
de la misma.

02. La planificacin debe permitir un adecuado desarrollo de las etapas subsecuentes; para
el efecto, se debe tomar conocimiento del sujeto y del objeto a evaluar. Adems, es un
proceso continuo y dinmico que puede modificarse o ampliarse durante el desarrollo
de la auditora.

03. El auditor gubernamental debe comprender del objeto de auditora: el diseo

conceptual, polticas de gestin, formas de registro, niveles de seguridad y uso de las
comunicaciones para la gestin de la informacin y el ordenamiento jurdico
administrativo relacionado con el objeto de auditora.

04. En funcin de la naturaleza, complejidad y modularidad del objeto de auditora, la

evaluacin del control interno y la evaluacin de riesgos, se determinarn las reas
crticas, dependiendo de stas se definirn los objetivos o el(los) enfoque(s) y el
alcance de la auditora.

05. Se deben identificar los criterios a partir de la normatividad aplicable al objeto de

auditora. En el caso de que la normativa asociada al objeto de auditora no permita
identificar criterios de evaluacin, stos sern definidos por el auditor gubernamental y
comunicados a la entidad. Todo criterio debe estar sustentado por evidencia suficiente
y competente.

06. Se disearn programas de trabajo que se aplicarn durante la ejecucin del trabajo de
campo, para el efecto, en funcin a la evaluacin del control interno y evaluacin de
riesgos, se determinar la naturaleza, oportunidad y extensin de los procedimientos de
auditora que se aplicarn para la obtencin de evidencia competente y suficiente.

07. Como resultado del proceso de planificacin de la auditora de tecnologas de la

informacin y la comunicacin, se debe elaborar el Memorndum de Planificacin de
Auditora, el cual debe contener todos los aspectos detallados en la presente norma y
aqullos que se consideren necesarios incluir, y que tengan relacin con los objetivos
del examen, el alcance y la metodologa.

Las modificaciones que ameriten, deben ser expuestas en una adenda al Memorndum
de Planificacin de Auditora, que refleje los aspectos ajustados, as como su
justificacin.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

272 Supervisin

01. La segunda norma de auditora de tecnologas de la informacin y la comunicacin es:

Personal competente debe supervisar sistemtica y oportunamente el trabajo

realizado por los profesionales que conformen el equipo de auditora.

02. La supervisin implica dirigir los esfuerzos del equipo de auditores gubernamentales
hacia la consecucin de los objetivos de auditora.

03. La supervisin debe ser realizada en cada una de las etapas de la auditora, la misma
incluye:

- Examinar la factibilidad y/o razonabilidad tcnica de los objetivos y alcances de

la auditora propuestos.

- Asegurar que los miembros del equipo comprendan los objetivos de la auditora.
En particular se debe asegurar que entiendan claramente el trabajo a realizar, por
qu se va efectuar y qu se espera lograr.

- Guiar a los miembros del equipo de auditora a lo largo del desarrollo de las
tareas asignadas.

- Revisar oportunamente el trabajo realizado, a travs de los respectivos papeles de

trabajo en medios fsicos y/o electrnicos.

- Ayudar a absolver problemas tcnicos y administrativos.

- Detectar debilidades del personal asignado y proporcionar en consecuencia la

capacitacin necesaria o requerir que la misma sea proporcionada por terceros.

- Asegurar que la evidencia obtenida sea suficiente y competente.

04. La supervisin efectuada durante el desarrollo de la auditora, debe estar evidenciada

en los papeles de trabajo en medios fsicos y/o electrnicos, acumulados durante la
misma.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

273 Control interno

01. La tercera norma de auditora de tecnologas de la informacin y la comunicacin es:

Debe obtenerse una comprensin del control interno relacionado con el

objeto del examen.

02. Se debe evaluar el control interno para identificar las reas crticas que requieren un
examen profundo y determinar su grado de confiabilidad a fin de establecer la
naturaleza, alcance y oportunidad de los procedimientos de auditora a aplicar.

03. A efectos de este tipo de auditora, se establecen dos tipos de controles: el control
general y el control especfico de los sistemas de informacin. El control general
involucra a todos los sistemas de informacin y el control especfico est diseado
para controlar el procesamiento en s de la informacin.

04. Los controles generales son polticas y procedimientos que tienen que ver con el
ambiente en el cual se desarrollan, mantienen y operan los sistemas de informacin y
respaldan el funcionamiento efectivo de los controles especficos, en consecuencia
involucran a todos los sistemas de informacin.

05. Los controles especficos son los aplicables a los procesos de adquisicin, produccin,
almacenamiento, tratamiento, comunicacin, registro y presentacin de la informacin.

06. El control interno es un proceso implementado por la direccin y todo el personal,

diseado con el objetivo de coadyuvar al logro de los objetivos de la entidad.

Comprende el plan de organizacin, incluyendo la Unidad de Auditora Interna, todos

los mtodos coordinados y procedimientos adoptados en la entidad para promover la
eficacia y la eficiencia de las operaciones y la confiabilidad de la informacin, as
como el cumplimiento de las polticas gerenciales, el ordenamiento jurdico
administrativo y otras normas legales aplicables, y las obligaciones contractuales.

07. El control interno est conformado por cinco componentes que interactan entre s y se
encuentran integrados al proceso de gestin: ambiente de control, evaluacin de
riesgos, actividades de control, informacin y comunicacin, y supervisin.

08. El estudio y evaluacin del control interno incluye dos fases:

a) Conocimiento y comprensin de los procedimientos establecidos en la entidad

referente a los sistemas de informacin, al trmino del cual, el auditor
gubernamental debe ser capaz de emitir una opinin preliminar presumiendo un
satisfactorio cumplimiento del control interno.

b) Comprobacin de que los procedimientos relativos a los controles internos estn

siendo aplicados tal como fueron observados en la primera fase.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

274 Evidencia

01. La cuarta norma de auditora de tecnologas de la informacin y la comunicacin es:

Debe obtenerse evidencia competente y suficiente como base razonable para

sustentar los hallazgos y conclusiones del auditor gubernamental.

02. Se denomina evidencia al conjunto de hechos comprobados, suficientes y competentes

que sustentan las conclusiones del auditor. Es la informacin especfica obtenida
durante la labor de auditora a travs de observacin, inspeccin, entrevistas y examen
de los registros; y otros procedimientos que sean aplicables.

03. La acumulacin de evidencia es un proceso integrado a toda la ejecucin de la

auditora y debe sustentar todos los atributos de los hallazgos de auditora (condicin,
criterio, causa y efecto).

04. La evidencia debe ser acumulada mediante un proceso supervisado de aplicacin de

metodologas y tcnicas de auditora.

05. La evidencia para ser competente, debe ser vlida como relevante.

La evidencia es vlida cuando es consistente con la realidad y los hechos, la misma ha

sido obtenida de fuente independiente, por el auditor en forma directa o se ha
asegurado de la confiabilidad de la informacin generada por la entidad.

La evidencia es relevante cuando tiene directa relacin con el objeto de la auditora y

contribuye a sustentar los hallazgos y conclusiones del auditor gubernamental.

06. La evidencia es suficiente si basta para sustentar la opinin del auditor gubernamental,
para ello debe ejercitar su juicio profesional con el propsito de determinar la cantidad
y tipos de evidencia necesarias.

07. Las Tcnicas de Auditora Asistidas por Computador (TAAC) pueden producir parte
de la evidencia de auditora, como consecuencia de ello, el auditor debe planificar y ser
competente en el uso de las TAAC.

08. La evidencia obtenida por el auditor gubernamental debe conservarse en papeles de

trabajo en medios fsicos y/o electrnicos.

09. Respecto a las caractersticas de competencia, suficiencia y clasificacin de la

evidencia, y a los papeles de trabajo que la contienen, deben considerarse los aspectos
mencionados en los numerales 07 al 13 de la Norma de Auditora Financiera 224.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

275 Comunicacin de resultados

01. La quinta norma de auditora de tecnologas de la informacin y la comunicacin es:

El informe de auditora de tecnologas de la informacin y la comunicacin

debe ser oportuno, objetivo, claro, convincente, conciso y ser el medio para
comunicar los resultados obtenidos durante la misma.

02. El informe de auditora de tecnologas de la informacin y la comunicacin debe ser

emitido en forma escrita, lgica y organizada.

03. El informe debe contener informacin suficiente para ser entendido por los
destinatarios y facilitar la accin correctiva si corresponde.

04. El contenido del informe de auditora de tecnologas de la informacin y la

comunicacin deber hacer referencia a:

- Los antecedentes, acciones o circunstancias que dieron origen a la auditora.

- Los objetivos, que identificarn los propsitos especficos que se cubrirn durante
la misma.

- El objeto, identifica aquello que ha sido examinado.

- El alcance, se referir al periodo examinado; as como a la cobertura del trabajo

realizado.

Se debe especificar en el alcance, que la auditora se realiz de acuerdo con las

Normas de Auditora Gubernamental.

- Si se presentaron limitaciones que no permitieron al auditor gubernamental

cumplir con los objetivos previstos, stas deben ser mencionadas en el informe de
manera expresa.

- La metodologa, explicar las tcnicas y procedimientos de auditora que fueron

empleados para obtener y analizar la evidencia; asimismo, se mencionarn los
criterios y normas aplicadas durante el desarrollo del examen.

- En el resultado del examen, se expondr:

Los hallazgos significativos que tengan relacin con los objetivos de

auditora, los que incluirn la informacin suficiente que permita una
adecuada comprensin del asunto que se informa.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15

 Versin: 1; Vigencia: 11/2012 Cdigo: NE/CE-017

Las recomendaciones que se consideren apropiadas para eliminar o

minimizar las causas que originaron las deficiencias identificadas durante
el examen.

- Las conclusiones, que son inferencias lgicas sobre el objetivo de auditoras

basadas en los hallazgos, deben ser expresadas explcitamente de manera
convincente y persuasiva, evitando el riesgo de interpretaciones errneas por
parte de los lectores.

05. Si correspondiera, se debe hacer referencia a las auditoras especiales que se hubieran
iniciado por alguna situacin evidenciada en la auditora de tecnologas de la
informacin y la comunicacin, o a los informes de auditora especial emergentes de la
misma.

CGE / Normas de Auditora de Tecnologas de la Informacin y Comunicacin 5/15