No es ninguna novedad el importante papel que juegan los sistemas de información en la auditoría. Aun más lo será en el futuro. Poco a poco, las plantillas de las instituciones de control externo se van adaptando a esta nueva realidad. Como nos muestra, la reciente convocatoria (¡aun en plazo!) de puestos de técnico de la Unidad de Auditoría de Sistemas de Información para la Sindicatura de Cuentas de la Comunidad Valenciana. Un campo donde los equipos de trabajo de fiscalización deben contar con expertos de alto nivel, para afrontar con garantías el análisis de los riesgos.
Tecnología y auditoría
Las normas técnicas de auditoría van contemplando esos nuevos papeles. Un ejemplo: este lunes se ha celebrado en Oviedo una reunión de Conferencia de Presidentes de la Asociación de Órganos de Control Externo de las Comunidades Autónomas (Asocex), en la sede de la Sindicatura de Cuentas del Principado de Asturias (ver foto adjunta). En el encuentro han sido aprobadas nuevas guías prácticas de fiscalización, en materia de comunicación de las cuestiones clave en el informe de auditoría y sobre ciberseguridad, seguridad de la información y auditoría externa.
Estas guías son documentos técnicos que adaptan a las características de los órganos de control externo lo dispuesto por las Normas Internacionales de Auditoría (NIA) y las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI, por sus siglas en inglés), teniendo en cuenta, además, determinadas disposiciones del Tribunal de Cuentas.
Así, los responsables de cada auditoría deben analizar cómo afectan las cuestiones relacionadas con la seguridad informática y la ciberseguridad a los objetivos de su auditoría. Lógicamente, cuanto mayor sea la entidad auditada y más complejos sus sistemas de información, mayor impacto tendrán los aspectos tecnológicos y los riesgos TIC, y mayores serán las consideraciones al respecto que deba hacerse el auditor.
Las GPF-OCEX 1315-1316/NIA-ES 315 requieren que en las auditorías financieras de cuentas anuales o de elementos de las cuentas anuales (por ejemplo: de la cuenta general de un ayuntamiento, de la liquidación del presupuesto, de los gastos de personal, de los ingresos tributarios) el auditor obtenga un conocimiento suficiente sobre cómo utiliza el ente auditado los sistemas de información, sobre los controles automatizados y su impacto en los estados financieros. Esto incluye revisar los controles generales de tecnología de información -que básicamente están formados por los controles de seguridad de la información y ciberseguridad- con el alcance específico que se determine, en concordancia con el alcance y objetivos de la auditoría.
Solo tras adquirir ese conocimiento se podrán valorar los riesgos de incorrección material en los estados financieros, por ejemplo, los riesgos resultantes de un acceso no autorizado a los sistemas de información y de una utilización y disposición no autorizados de los activos de información de la entidad.
Por ello, la norma recomienda, en las auditorías de los sistemas de información en apoyo de una auditoría financiera, que los expertos en seguridad TI analizen con los auditores financieros aquellos controles que son relevantes para los objetivos de la auditoría financiera, ya que no todos los riesgos que pretenden mitigar los controles son iguales, ni en probabilidad, ni en su materialidad. Para determinar cuales son relevantes se deberá adoptar un enfoque basado en el análisis del riesgo.
En definitiva, los auditores deben conocer los controles automatizados que tienen impacto en el proceso de elaborar la información financiera incluyendo los controles generales de tecnología de información.
La norma propone un ejemplo: si se audita el gasto de la gestión de la receta electrónica, una parte importante del trabajo debería ser abordado por auditores especializados que revisarán los sistemas de información. Un caso muy claro de la problemática de la ciberseguridad ya que ese proceso está respaldado por un complejo conjunto de aplicaciones y sistemas de información interrelacionados a través de redes públicas y privadas, con múltiples actores, en el que los ciberriesgos son muy elevados. Hoy en día ciberdelincuentes podrían introducir recetas falsas en el sistema sin necesidad de acudir a un médico o una farmacia y cobrar el dinero fraudulentamente obtenido, cómodamente sentados en una ciudad de Asia o de América, suplantando las identidades electrónicas de facultativos y farmacias. Para evitar este tipo de fraude están los controles de ciberseguridad.
Siguiendo con este ejemplo, se puede afirmar que solo el trabajo conjunto e integrado de auditores financieros y de sistemas de un OCEX, permite hoy día fiscalizar este componente muy significativo del gasto sanitario. Como en muchos otros ejemplos que se podrían poner, auditar de otra forma en el siglo XXI no es posible.
Gracias por comentar con el fin de mejorar