OJ-121-2004
4 de octubre de
2004
Licenciado
Edgardo Moreira
González
Auditor
General
Asamblea
Legislativa
S.
O.
Estimado señor:
Con la aprobación de la Procuradora General, me refiero a su atento oficio N° A.I. 284-2004 de 21 de mayo de este
año, asignado a la suscrita en el mes de
septiembre, mediante el cual solicita el criterio de la Procuraduría respecto de si
“como parte de su responsabilidad en el establecimiento y cumplimiento de un efectivo
sistema de control interno, contemplado en los artículos del 8 al 10 de la Ley General de
Control Interno, compete a la Administración establecer y ejecutar acciones para
monitorear o comprobar, en forma continua, el uso dado por el personal a los servicios de
correo electrónico e INTERNET, con la finalidad de verificar que sean utilizados en
asuntos de naturaleza institucional y tomar acciones administrativas cuando compruebe un
uso inadecuado de esos recursos públicos”.
Relata Ud. que esa Auditoría
incluyó en su Plan de Trabajo para el período 2003-2004 un estudio sobre el uso y
control de INTERNET y del correo electrónico en la Asamblea Legislativa. Producto de ese
trabajo, se emitió el Informe N° 08-2003 de 12 de setiembre
de 2003, en el cual se determinó que en la Asamblea Legislativa existe un reglamento para
regular el uso de los recursos informáticos institucionales, “Reglamento para el Uso
de Equipos de Cómputo, Programas Informáticos y Accesorios en la Asamblea
Legislativa”. En él se regula el correo electrónico e Internet en los siguientes
términos:
“Art. 13:
La red Internet
y el correo electrónico son de exclusiva utilización institucional. Es prohibido
utilizar estas herramientas para asuntos de interés privado. Las actividades en línea
serán controladas a solicitud de la jefatura respectiva, cuando se tenga conocimiento de
que un funcionario está desacatando esta disposición”.
De lo cual deduce la Auditoría que la Administración
ha considerado que dichos servicios deben ser controlados y ha tomado medidas para
controlar su correcta utilización. En su Informe la Auditoría
expresó que la Administración tiene la obligación de establecer un efectivo sistema de
control interno sobre el patrimonio público, en este caso los recursos informáticos y
las herramientas de correo electrónico e Internet, para conservarlo y protegerlo de
cualquier pérdida, despilfarro, uso indebido e irregularidad. La Auditoría
debe realizar estudios para comprobar que el control interno sea suficiente, efectivo y se
cumpla. Por lo que se expresa que tanto la Auditoría como la Administración tienen un rol en el ejercicio de
mecanismos de control sobre el apropiado uso de esos bienes, la Auditoría
una función de fiscalización y la Administración en el establecimiento y ejecución de
controles efectivos, de operación permanente. En el Informe de Auditoría
se hicieron recomendaciones sobre la labor que correspondía a diversas instancias
administrativas. El Informe provocó diferencias de criterio al interno de la
Administración acerca de la competencia para ejercer el control y fiscalización sobre el
uso de la infraestructura tecnológica. Diversas instancias administrativas al interno de
la Asamblea consideran que la Auditoría Interna tiene la
responsabilidad de establecer un sistema de control interno sobre el uso adecuado del
correo electrónico e Internet, criterio acogido por el Directorio Legislativo en sesión N° 93-2004 de 16 de marzo de 2004. Por su parte, la Auditoría considera que la Administración debe monitorear o dar
seguimiento al uso que los funcionarios legislativos hacen del correo electrónico e
Internet y tomar las acciones administrativas correspondientes cuando se compruebe la
inadecuada utilización de esos recursos. La Auditoría debe
incluir en su plan anual de trabajo un estudio sobre esas herramientas, para evaluar la
efectividad del control interno establecido por la Administración, para comprobar el uso
debido de ellas en asuntos institucionales. Con base en los estudios formular
recomendaciones a la Administración. No le corresponde asumir una función de control
continua y permanente porque ésta es una función de administración activa.
La Auditoría Interna acude a la Procuraduría a efecto
de que se determine si le corresponde ejercer determinadas competencias de control. La
competencia es un aspecto que atañe directamente la organización administrativa. La
definición de la competencia, la interpretación de su alcance y límites es parte de las
competencias que corresponden a la Procuraduría General de la República. Empero, en el
presente caso el problema se presenta en relación con los órganos del sistema de control
interno. Precisamente, el objeto de la consulta es definir los alcances de las formas de
control dispuestas en la Ley de Control Interno, así como de los órganos llamados a
ejercerlas. En ese sentido, debe establecerse si es parte de la auditoría
la realización de determinadas labores. La consulta concierne un punto esencial del
control interno y de las relaciones que dentro del sistema respectivo se establecen. Lo
cual implica que la situación no puede ser analizada sin observancia de la posición
institucional de la Contraloría General de la República en materia de control. Esta es
el órgano rector del sistema de control interno. En ejercicio de su competencia emite
diversas normas en relación con el control. En igual forma, resuelve conflictos que se
presenten por la aplicación del sistema. Cabe considerar que la definición del punto
objeto de consulta se enmarca dentro de la función consultiva que compete a la
Contraloría General. En consecuencia, resulta improcedente emitir un dictamen vinculante
como se solicita. Empero, con el objeto de orientar al consultante se procede, sin
embargo, a emitir una opinión consultiva, como tal no vinculante para este órgano, sin
que ello se interprete en modo alguno como un desconocimiento de la competencia del Organo de Control. Antes bien, debe estarse a lo que disponga la
Contraloría General de la República en ejercicio de sus competencias.
De conformidad con las disposiciones legales, tanto la administración activa como
la auditoría interna son órganos de control interno. Lo
anterior no significa, sin embargo, que ambas puedan ejercer toda forma de control y
consecuentemente, que una u otra pueda desempeñar las actividades y formas de control que
corresponden a la otra.
A.- UN SISTEMA DE CONTROL
INTERNO
En nuestra Administración Pública tradicionalmente el concepto de control se ha
asociado con la Contraloría General de la República y las auditorías
internas, por una parte, y con el concepto de fondos públicos, por otra parte. Dentro de
esa concepción ha sido normal estimar que dentro de la organización administrativa el
control lo ejerce la auditoría y que ese control está
dirigido a determinar si los fondos públicos se han utilizado y administrado conforme a
la ley y a las prácticas contables. No se ha considerado a las autoridades
administrativas como parte del control. Asimismo, no se ha estimado que el sistema de
control tiene otro objetivo distinto de la protección del
patrimonio público, incluido los fondos correspondientes.
La aprobación de la Ley Orgánica de la Contraloría General de la República
obliga a reconsiderar el contenido y alcance de la función de control. Este se concibe
como un sistema, cuyos componentes fundamentales son la Contraloría General de la
República como órgano rector y el control implantado
al interno de cada organización administrativa por el jerarca respectivo. Se
establece un sistema de fiscalización que exige el funcionamiento
armónico de sus componentes, a efecto de permitir el control de los fondos públicos y de las actividades y fondos
privados de origen público y evaluar el desempeño administrativo. No obstante, del
control interno se regula sobre todo la auditoría.
Al aprobarse la Ley de Administración Financiera y Presupuestos Públicos, Ley N° 8131 del 18 de setiembre del 2001, se refuerza la obligación de
la administración pública de contar con un sistema de control interno (artículo 17),
dirigido sobre todo a fiscalizar la adecuada utilización de los recursos financieros a
cargo de la organización pública. Se dispone ya que el sistema de control interno es
responsabilidad de la máxima autoridad de cada dependencia (artículo 18).
La Ley General de Control Interno, N° 8292 de 31 de
julio de 2002, refuerza el concepto de sistema, precisando de mejor manera los elementos
integrantes de éste, sus objetivos y funciones. La
Ley pretende reforzar la responsabilidad de los órganos de control interno
(administración activa y auditorías internas) en esta
función. El control interno no depende de un órgano específico, la auditoría,
sino de toda la organización y fundamentalmente de la jerarquía del ente. Se parte del
principio de organización que señala que el control tiene como objeto preservar su
propia existencia y contribuir con el logro de sus resultados. La administración activa
se convierte, así, en un elemento esencial para el establecimiento del sistema de control
interno y para su funcionamiento efectivo y eficiente, todo con el objeto de proteger los
fondos públicos y garantizar la eficacia y eficiencia del aparato administrativo.
Objetivos que no corresponden a una Administración Pública en concreto, sino que
deberían ser propios de toda organización administrativa. Además, se produce una
modificación en orden a los objetivos del sistema de control, ya que se da un énfasis en
el concepto de evaluación de la gestión administrativa. En ese sentido, el control no
puede ser identificado con el control contable.
La Ley, en su artículo 7, obliga a disponer del sistema de control interno,
sistema que debe corresponder a las competencias y atribuciones propias de la
organización. Esa correspondencia se justifica por cuanto el sistema debe evaluar el
desempeño institucional, pero al mismo tiempo debe dar seguridad en el cumplimiento de
las atribuciones y competencias. En consecuencia, el sistema de control no puede ser
abstraído de la competencia de la organización. No es algo que se superpone a ésta. El
artículo 8 de la Ley define el control interno como:
“la
serie de acciones ejecutadas por la
administración activa, diseñadas para proporcionar seguridad en la consecución de los
siguientes objetivos:
a) Proteger y
conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido,
irregularidad o acto ilegal.
b) Exigir
confiabilidad y oportunidad de la información.
c) Garantizar
eficiencia y eficacia de las operaciones.
d) Cumplir con el
ordenamiento jurídico y técnico”.
Interesa recalcar
que el sistema se define en orden a las responsabilidades de la administración activa y
en razón de determinados objetivos. La definición legal responde a criterios técnicos.
El estudio “Control Interno: Marco de Referencia Integrado” patrocinado por el American Institute of
Certified Public Accountants, el American Accouting Association, el Financial Executives Institute, el Institute of Internal Auditors,
Inc y el Institute of Management Accountans
define el control interno como:
“Un proceso,
efectuado por la junta directiva de la entidad, gerencia y demás personal, diseñado para
proporcionar seguridad razonable relacionada con el logro de objetivos en las siguientes
categorías:
Confiabilidad en la
presentación de informes financieros
Efectividad y
eficiencia en las operaciones.
Cumplimiento de las
leyes y regulaciones aplicables”. (citado por O.
Ray HITTINGTON-K, PANY: Auditoría. Un enfoque integral, McGRAW-HILL Interamericana S. A., Colombia, 2000, p. 172.
El ejercicio del
control supone una planificación de la actividad administrativa, dirigida al
establecimiento de los objetivos y metas del accionar institucional. En ese sentido,
comprende el:
“…
conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin
de asegurar que los activos están debidamente protegidos, que los registros contables son
fidedignos y que la actividad de la entidad se desarrolla eficazmente de acuerdo con las
políticas trazadas por la gerencia, en atención a las metas y los objetivos
previstos”. G, CEPEDA: Auditoría y Control Interno, McGraw-Hill,
1997, p. 4
En esa medida, el
control interno provee garantía del logro de los objetivos y de las metas de la
organización. Ese control se expresa a través de las políticas institucionales,
mediante elaboración y aplicación de técnicas de dirección, verificación y
evaluación de regulaciones administrativas, la implantación de manuales de funciones y
procedimientos, de sistemas de información. Su objetivo es garantizar la eficacia,
eficiencia y economía en las operaciones de la administración, promoviendo y facilitando
la correcta ejecución de las funciones y actividades establecidas; velando porque las
actividades y recursos de la organización estén dirigidos al cumplimiento de los
objetivos previstos; garantizando la correcta y oportuna evaluación y seguimiento de la
gestión de la organización, asegurando la oportunidad, claridad y confiabilidad de la
información y de los registros que respaldan la gestión de la organización; protegiendo
los recursos de esta y procurando su adecuada administración; corrigiendo y previniendo
riesgos; así como la verificación y evaluación del propio sistema de control interno.
El sistema de control interno comprende los sistemas contables, financiero, de
planeación, verificación, de información y de operaciones. Sistemas que son propios de
la organización administrativa.
Conforme lo
dispuesto en el artículo 10 de la Ley de Control Interno es responsabilidad del jerarca y
del titular subordinado establecer, mantener y perfeccionar el sistema, procurando que se
adecue a la naturaleza, estructura y finalidad de la organización. Pero la responsabilidad de la Administración no se
reduce a implantar el sistema. Por el contrario, le corresponde tomar las decisiones
necesarias para que el sistema funcione correcta y eficazmente. La administración debe
verificar que los objetivos y metas trazados para la organización se han cumplido.
Dispone el artículo 10 de la Ley:
“Responsabilidad por el
sistema de control interno. Serán responsabilidad del
jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema
de control interno institucional. Asimismo, será responsabilidad de la administración
activa realizar las acciones necesarias para garantizar su efectivo funcionamiento”.
Lo cual implica que la
Administración debe establecer mecanismos de seguimiento de las normas, métodos,
procedimientos adoptados así como la evaluación de los resultados. Ante lo cual cabría
plantearse cuál es el papel de la auditoría dentro del
sistema y particularmente, en la verificación del cumplimiento de las disposiciones
adoptadas.
Como parte del sistema, la auditoría ejerce funciones
de control. Le corresponde evaluar la
eficiencia, efectividad, aplicabilidad y actualidad del sistema de control de la
organización, así como hacer las recomendaciones necesarias para mejorar el sistema y el
funcionamiento de la organización.
Administración activa y auditoría son órganos de
control con funciones específicas. Se sigue de lo expuesto que el control no se
identifica con auditoría. La auditoría
es una forma de control, no el control. Por consiguiente, determinadas formas de control
escapan a la administración activa, así como otras no son propias de la auditoría.
B.- EL CONTROL DE LOS
MEDIOS INFORMATICOS
De acuerdo con lo indicado por la Auditoría
Interna se ha presentado un conflicto en orden al control permanente sobre el uso de
correo electrónico e Internet propio de la Asamblea Legislativa. La consulta va dirigida
a establecer si corresponde a la Administración el monitoreo periódico sobre el uso dado
a estas herramientas, en tanto que a la Auditoría le
correspondería como parte de su labor de fiscalización, incluir en el plan anual de
trabajo y ejecutar un estudio sobre correo electrónico e Internet, evaluando la
efectividad del control establecido por la Administración para comprobar ese uso, sin que
la Auditoría deba asumir la función administrativa continúa
de verificar de manera consistente el uso dado por los servidores a los referidos
instrumentos.
En el dictamen N° C-003-2003 de 14 de enero de 2003, la Procuraduría se refirió
al uso por parte de los funcionarios públicos del equipo de cómputo, sistemas, correos
electrónicos, Internet y en general las aplicaciones electrónicas. Se señaló al
efecto que:
“ Dado el
objeto de la fiscalización y por el hecho mismo de que el equipo de cómputo, el
software, los servicios que se desarrollan electrónicamente constituyen fondos públicos,
se sigue como lógica consecuencia que los órganos de control interno deben ejercer
fiscalización sobre el empleo de dichos fondos por parte de los distintos funcionarios
públicos”.
Si bien se habla de una fiscalización sobre el empleo del equipo de cómputo y los
servicios electrónicos a cargo de los órganos de control interno, lo que comprendería
no sólo a la auditoría interna sino también a la
Administración activa, es lo cierto que el dictamen desarrolla particularmente la
posibilidad de control por parte de la primera. Ese hecho y la reiterada mención que se
hace a la auditoría informática podría
llevar a concluir que la verificación constante del respeto a las normas que se hayan
emitido en relación con el uso de las herramientas informáticas y el equipo de cómputo
es responsabilidad exclusiva del auditor interno.
Empero,
dicho criterio no es correcto. La verificación del uso de los bienes públicos es
también función de la Administración activa. Ciertamente,
es función primordial de la autoridad administrativa el establecimiento de los planes,
métodos, normas y procedimientos de control y mantenerlos actualizados. Pero para que
exista efectivamente un sistema de control no es suficiente con que la organización
cuente con políticas, normas y procedimiento. Es necesario que éstas se cumplan y ese
cumplimiento debe ser asegurado por la Administración activa, en sus diversas
estructuras. Cabe recordar que el artículo 10 de la Ley de Control Interno expresamente
señala que la Administración activa debe realizar las acciones necesarias para
garantizar que los controles funcionen. Y ello implica que los controles se cumplan. Es
deber de la Administración y en particular del jerarca y de los titulares subordinados
velar por el “adecuado” desarrollo de la organización, tomando las medidas
correctivas en caso de irregularidades. El correcto uso de los fondos públicos y la
sujeción a la ética de la función pública es fundamental para el adecuado desarrollo
de la organización. Por lo que esas autoridades deben tomar las medidas necesarias para
garantizar ese uso, verificando que se está empleando para los fines públicos
correspondientes. El control no solo debe ser establecido formalmente, sino que debe ser
mantenido y el mantenimiento implica el verificar que se cumpla y que se adecue a los
imperativos de la organización. Definir un sistema de control no es solo establecer la
línea funcional de autoridad, las funciones y responsabilidades, el procedimiento a
seguir para adoptar un acto; es también establecer el mecanismo de comprobación interna
de las decisiones adoptadas. Parte de la competencia de control de la autoridad consiste
en la definición de las funciones que dentro de ese control ejercerán diversas
autoridades administrativas. Esta definición de deberes y funciones de los funcionarios
subordinados puede comprender el verificar que los planes, procedimientos, normas de
control se cumplan. Los procedimientos de control son establecidos por la jerarquía, pero
deben ser cumplidos por funcionarios subordinados. Lo que implica una forma de control. No
se trata de una asignación de trabajo al auditor, sino de funciones de control que deben
ser realizadas por los funcionarios subordinados en los términos en que establezcan las
normas internas y el jerarca. El artículo 17 de la Ley reafirma que funcionarios
subordinados deben ejercer control en los términos determinados por las normas y
procedimientos dispuestos por el jerarca. En orden al seguimiento del sistema de control
interno se dispone como función del jerarca y del titular subordinado:
"Artículo
17.—Seguimiento del
sistema de control interno.
(…).
En cuanto al
seguimiento del sistema de control interno, serán deberes del jerarca y los titulares
subordinados, los siguientes:
a) Que los
funcionarios responsabilizados realicen continuamente las acciones de control y
prevención en el curso de las operaciones normales integradas a tales acciones.
(…)”.
Los funcionarios administrativos tienen funciones de control, que deben ser
desempeñadas en forma continua y como parte de las operaciones normales integradas a
tales acciones. El incumplimiento de esas tareas de control, por
ende de verificación es causa de responsabilidad administrativa (artículo 39 de la Ley
de Control Interno) para el funcionario subordinado.
Luego,
está el concepto mismo de la función de auditoría. El
artículo 21 de la Ley contiene un concepto “funcional” de auditoría
interna, referido a la actividad en sí misma, a su objetivo y a su efecto sobre la
organización y la sociedad. Esta se define como una actividad “asesora”,
dirigida a proporcionar seguridad a la organización, “mediante la práctica de un
enfoque sistémico y profesional para evaluar y mejorar la efectividad de la
administración del riesgo, del control y de los procesos de dirección en las entidades y
los órganos sujetos a esta Ley…”.
De esa definición
interesa resaltar el carácter asesor de la función de auditoría
y la evaluación del control y del proceso de dirección. El Instituto de Auditores
Internos define la auditoría precisamente como:
“una
actividad de evaluación independiente, establecida dentro de una organización para
examinar y evaluar sus actividades como un servicio para la organización”. Citado
por R, WHITTINGTON-K, PANY, Ibid, p. 592.
A
través de la evaluación, de la asesoría, de las recomendaciones la Auditoría
interna participa en el control interno. Y lo hace por medio de la evaluación de la
efectividad de otros controles. La auditoría representa una
verificación posterior y selectiva de un ámbito de la actividad de la organización. Esa
verificación y evaluación no es continúa o concomitante con las acciones
administrativas u otras acciones de control. Es periódica. En relación con los fondos
públicos se deben realizar auditorías o estudios especiales
semestralmente. Dispone el artículo 22 de la Ley de Control Interno:
“Artículo 22.—Competencias.
Compete a la auditoría interna, primordialmente lo siguiente:
a) Realizar auditorías o estudios especiales semestralmente, en relación con
los fondos públicos sujetos a su competencia institucional, incluidos fideicomisos,
fondos especiales y otros de naturaleza similar. Asimismo, efectuar semestralmente auditorías o estudios especiales sobre fondos y actividades
privadas, de acuerdo con los artículos 5 y 6 de la Ley Orgánica de la Contraloría
General de la República, en el tanto estos se originen en
transferencias efectuadas por componentes de su competencia institucional.
b) Verificar
el cumplimiento, la validez y la suficiencia del sistema de control interno de su
competencia institucional, informar de ello y proponer las medidas correctivas que sean
pertinentes.
c) Verificar
que la administración activa tome las medidas de control interno señaladas en esta Ley,
en los casos de desconcentración de competencias, o bien la contratación de servicios de
apoyo con terceros; asimismo, examinar regularmente la operación efectiva de los
controles críticos, en esas unidades desconcentradas o en la prestación de tales
servicios.
d) Asesorar,
en materia de su competencia, al jerarca del cual depende; además, advertir a los
órganos pasivos que fiscaliza sobre las posibles consecuencias de determinadas conductas
o decisiones, cuando sean de su conocimiento.
e) Autorizar,
mediante razón de apertura, los libros de contabilidad y de actas que deban llevar los
órganos sujetos a su competencia institucional y otros libros que, a criterio del auditor
interno, sean necesarios para el fortalecimiento del sistema de control interno.
f) Preparar
los planes de trabajo, por lo menos de conformidad con los lineamientos que establece la
Contraloría General de la República.
g) Elaborar
un informe anual de la ejecución del plan de trabajo y del estado de las recomendaciones
de la auditoría interna, de la Contraloría General de la
República y de los despachos de contadores públicos; en los últimos dos casos, cuando
sean de su conocimiento, sin perjuicio de que se elaboren informes y se presenten al
jerarca cuando las circunstancias lo ameriten.
h) Mantener
debidamente actualizado el reglamento de organización y funcionamiento de la auditoría interna.
i) Las
demás competencias que contemplen la normativa legal, reglamentaria y técnica aplicable,
con las limitaciones que establece el artículo 34 de esta Ley”.
Para alguna de las
labores de auditoría la Ley impone la frecuencia con que
deben ser realizadas. Así, las auditorías o informes sobre
fondos públicos o en su caso fondos privados de origen público deben ser realizadas
semestralmente; el informe sobre la ejecución del plan de trabajo y el estado de las
recomendaciones impartidas es anual. Respecto de otras facultades la ley no dispone su frecuencia. Empero, de la redacción de
la norma se desprende que esas labores no se ejercen concomitantemente y ante todo que la auditoría lo que verifica es el funcionamiento de los mecanismos de
control que ejercen otros. Es función de la auditoría
verificar que se cumpla y que sea adecuado el sistema de control interno.
El control puntual
lo ejerce la administración activa. La Auditoría ejerce una
verificación posterior y selectiva, que permitirá en su momento fortalecer los controles
internos existentes, sugerir nuevos controles o promover la eficiencia de los existentes.
Para ello, una de las tareas del auditor es verificar que el control sea ejercido por los
funcionarios administrativos, como parte del ejercicio de su competencia.
Al analizar la
posibilidad de controlar el uso de las herramientas informáticas por parte de los
funcionarios públicos, la Procuraduría hizo referencia a la realización de auditorías informáticas. En efecto, en el dictamen C-003-2003 se
señaló:
“Como el equipo debe
ser utilizado para el desarrollo de la función pública y dada las competencias que tiene
la Auditoría para fiscalizar el uso que se haga de los
equipos y, por ende, garantizar el correcto manejo de los fondos públicos, se sigue que
puede realizar Auditorías informáticas que permitan
determinar que se ha hecho un correcto uso de los bienes públicos, aún cuando para ello
tenga que accesar la información almacenada y resulte que ésta pueda ser considerada
privada. El artículo 33 de mérito fundamenta ese acceso. Si un funcionario estima que el
acceso violenta sus derechos fundamentales, porque parte de la información almacenada es
de interés privado, configurando documentos privados, tendría que darlo a conocer
formalmente a los organismos de control. Es claro que si la persona no hace referencia a
que tiene dicha documentación privada, el auditor no podrá determinar de antemano que
esa documentación es privada y no tendría motivo para abstenerse de revisarla, siendo
que se encuentra en un equipo de cómputo público donde sólo debe constar información
pública y dadas las amplias potestades de revisión que el artículo 33 le
atribuye”.
De esa forma se respondió a la consulta en orden a las facultades de la auditoría interna. No se analizó la competencia de la
administración activa porque este tema no fue objeto de consulta. Empero, al señalarse
los límites al control de esos bienes, expresamente se hizo referencia tanto a la auditoría interna como a la administración activa. Es a ésta a
quien corresponde efectuar regularmente el control del uso de los instrumentos
informáticos por parte de los funcionarios de la organización respectiva. Controles que
deben existir efectivamente y que podrán ser objeto de una auditoría
informática. Esta es:
“.. la revisión y
evaluación de los controles, sistemas y procedimientos de informática, así como de los
equipos de cómputo, su utilización, eficiencia y seguridad. También de la organización
que participa en el procesamiento de la información, con el fin de que por medio del
señalamiento de cursos alternativos se logre una utilización más eficiente y segura de
la información, que servirá para una adecuada toma de decisiones”, G, CEPEDA, ibid. p. 203.
La auditoría informática verifica el cumplimiento de la normativa de la organización
en orden
a los sistemas informáticos y la gestión de los recursos materiales y humanos informáticos (cf.
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml#top). En ese sentido,
verifica el correcto uso de los recursos que integran el sistema informático. Pero en el ejercicio de esa fiscalización no
se sustituye a la administración activa en la aplicación de las políticas,
procedimientos, normas referidas al uso de esos bienes y que son parte del control de la
organización.
CONCLUSION:
Conforme lo expuesto, es criterio no vinculante de la Procuraduría General de la
República, que:
1.
El sistema de control
interno asigna formas de control específicas a los órganos que lo integran: la
Administración activa y la auditoría interna. La auditoría interna solo puede ejercer el control que se enmarque en
el concepto de auditoría. La necesidad de garantizar su
independencia funcional implica una prohibición de ejercer las funciones administrativas
y de control propias de la administración activa.
2.
El establecimiento de
un sistema de control interno por parte de la Administración activa implica también la
definición de responsabilidades en orden a su aplicación.
3.
La comprobación
regular y continua del cumplimiento de las políticas, procedimientos o normas de control
interno es responsabilidad de la Administración activa.
4.
El correcto uso de los
fondos públicos y la sujeción a la ética de la función pública, fundamental para el
adecuado desarrollo de la organización, debe ser objeto de control por parte de la
Administración activa.
5.
En ese sentido,
corresponde a la Administración verificar el cumplimiento efectivo de las políticas,
procedimientos y normas adoptados en orden al uso de los servicios de correo electrónico
e Internet.
6.
La auditoría
informática verifica el cumplimiento de las políticas, procedimientos y normas de la
organización en orden a los sistemas informáticos y la gestión de los recursos
materiales y humanos informáticos.
7.
La Auditoría
puede realizar auditorías sobre el uso de esos bienes
públicos y a efecto de evaluar la pertinencia y eficacia de los controles establecidos
por la Administración interna.
De Ud.
muy atentamente,
Dra.
Magda Inés Rojas Chaves
PROCURADORA
ASESORA
MIRCH/mvc