Otro post de interés. Blog Agenda Pública. ¿Se puede tener superávit e incumplir la normativa de estabilidad?
Por Antonio Arias. Blog Fiscalización.es.- No es ninguna novedad el importante papel que juegan los sistemas de información en la auditoría. Aun más lo será en el futuro. Poco a poco, las plantillas de las instituciones de control externo se van adaptando a esta nueva realidad. Como nos muestra, la reciente convocatoria (¡aun en plazo!) de puestos de técnico de la Unidad de Auditoría de Sistemas de Información para la Sindicatura de Cuentas de la Comunidad Valenciana. Un campo donde los equipos de trabajo de fiscalización deben contar con expertos de alto nivel, para afrontar con garantías el análisis de los riesgos.
Por Antonio Arias. Blog Fiscalización.es.- No es ninguna novedad el importante papel que juegan los sistemas de información en la auditoría. Aun más lo será en el futuro. Poco a poco, las plantillas de las instituciones de control externo se van adaptando a esta nueva realidad. Como nos muestra, la reciente convocatoria (¡aun en plazo!) de puestos de técnico de la Unidad de Auditoría de Sistemas de Información para la Sindicatura de Cuentas de la Comunidad Valenciana. Un campo donde los equipos de trabajo de fiscalización deben contar con expertos de alto nivel, para afrontar con garantías el análisis de los riesgos.
El mundo del derecho tampoco se queda atrás. La reciente
obra “E-juristas:
más allá de la tecnología legal”, coordinados por Ana I. Caro Muñoz
(Universidad de Oviedo) y Carlos Gómez Otero (Universidad de Santiago),
analizan desde diversos puntos de vista la administración digital española en
diversos capítulos de los que son autores Oscar Cortes, José Ramón Chaves,
Manuel Amutio, Felix Serrano, Santiago Bello, Julio García, Joaquín Messeguer y
yo mismo.
Tecnología y
auditoría
Las normas técnicas de auditoría van contemplando esos
nuevos papeles. Un ejemplo: este lunes se ha celebrado en Oviedo una reunión de
Conferencia de Presidentes de la Asociación de Órganos de Control Externo de
las Comunidades Autónomas (Asocex), en la sede de la Sindicatura de Cuentas del
Principado de Asturias (ver foto adjunta). En el encuentro han sido aprobadas
nuevas guías prácticas
de fiscalización, en materia de comunicación
de las cuestiones clave en el informe de auditoría y sobre ciberseguridad,
seguridad de la información y auditoría externa.
Estas guías son documentos técnicos que adaptan a las
características de los órganos de control externo lo dispuesto por las Normas
Internacionales de Auditoría (NIA) y las Normas Internacionales de las
Entidades Fiscalizadoras Superiores (ISSAI, por sus siglas en inglés), teniendo
en cuenta, además, determinadas disposiciones del Tribunal de Cuentas.
Así, los responsables de cada auditoría deben analizar cómo
afectan las cuestiones relacionadas con la seguridad informática y la
ciberseguridad a los objetivos de su auditoría. Lógicamente, cuanto mayor sea
la entidad auditada y más complejos sus sistemas de información, mayor impacto
tendrán los aspectos tecnológicos y los riesgos
TIC, y mayores serán las consideraciones al respecto que deba hacerse el
auditor.
Las GPF-OCEX 1315-1316/NIA-ES 315 requieren que en las
auditorías financieras de cuentas anuales o de elementos de las cuentas anuales
(por ejemplo: de la cuenta general de un ayuntamiento, de la liquidación del
presupuesto, de los gastos de personal, de los ingresos tributarios) el auditor
obtenga un conocimiento suficiente sobre cómo utiliza el ente auditado los
sistemas de información, sobre los controles automatizados y su impacto en los
estados financieros. Esto incluye revisar los controles generales de tecnología
de información -que básicamente están formados por los controles de seguridad
de la información y ciberseguridad- con el alcance específico que se determine,
en concordancia con el alcance y objetivos de la auditoría.
Solo tras adquirir ese conocimiento se podrán valorar
los riesgos de incorrección material en los estados financieros, por ejemplo,
los riesgos resultantes de un acceso no autorizado a los sistemas de
información y de una utilización y disposición no autorizados de los activos de
información de la entidad.
Por ello, la norma recomienda, en las auditorías de los
sistemas de información en apoyo de una auditoría financiera, que los expertos
en seguridad TI analizen con los auditores financieros aquellos controles que
son relevantes para los objetivos de la auditoría financiera, ya que no
todos los riesgos que pretenden mitigar los controles son iguales, ni en
probabilidad, ni en su materialidad. Para determinar cuales son relevantes se
deberá adoptar un enfoque basado en el análisis del riesgo.
En definitiva, los auditores deben conocer los controles
automatizados que tienen impacto en el proceso de elaborar la información
financiera incluyendo los controles generales de tecnología de información.
La norma propone un ejemplo: si se audita el gasto de la
gestión de la receta electrónica, una parte importante del trabajo debería ser
abordado por auditores especializados que revisarán los sistemas de
información. Un caso muy claro de la problemática de la ciberseguridad ya que
ese proceso está respaldado por un complejo conjunto de aplicaciones y sistemas
de información interrelacionados a través de redes públicas y privadas, con
múltiples actores, en el que los ciberriesgos son muy elevados. Hoy en día
ciberdelincuentes podrían introducir recetas falsas en el sistema sin necesidad
de acudir a un médico o una farmacia y cobrar el dinero fraudulentamente
obtenido, cómodamente sentados en una ciudad de Asia o de América, suplantando
las identidades electrónicas de facultativos y farmacias. Para evitar este tipo
de fraude están los controles de ciberseguridad.
Siguiendo con este ejemplo, se puede afirmar que solo el
trabajo conjunto e integrado de auditores financieros y de sistemas de un OCEX,
permite hoy día fiscalizar este componente muy significativo del gasto
sanitario. Como en muchos otros ejemplos que se podrían poner, auditar de otra
forma en el siglo XXI no es posible.
No hay comentarios:
Publicar un comentario