El análisis de los ciberriesgos como rutina del auditor. CCIL21 (2)

en por Antonio Arias Rodriguezen Control interno, e-Administración, Entidades Locales

Una de las mesas más interesantes del programa del CCIL21 celebrado durante la semana pasada en Huesca, analizó los sistemas de información dentro de los procesos de control financiero permanente y auditoría pública. El ponente principal fue Vanessa González San Julián, Jefe del Equipo de auditoría Informática de la Intervención General de la Administración del Estado (IGAE).

Actuó de conductor en este panel Antonio Minguillón Roy, Director del Gabinete Técnico de la Sindicatura de Cuentas de Valencia y profesor del Master Oficial de Auditoría Pública de la Universidad de Casilla la Mancha (UCLM) que en su introducción al tema, destacó varias cuestiones:

  • Que en la mesa redonda que abrió el Congreso, los cuatro ponentes incidieron en un hecho indiscutible e imparable, y es que la gestión pública actual está basada en sistemas de información que sustentan la denominada administración electrónica. En la misma mesa redonda la Interventora general del Ayuntamiento de Madrid, Beatriz Vigo, puso de manifiesto la necesidad de que existiesen garantías sobre la inalterabilidad de la información que se maneja a través de esos sistemas informáticos.
  • En relación con esto Minguillón señaló que cuanto mayor es la complejidad de los sistemas de información que soportan la actual administración electrónica avanzada, mayores son los riesgos de auditoría y mayor es la necesidad de obtener esas garantías que demanda Beatriz Vigo sobre la seguridad de los sistemas de información y sobre la información procesada, garantías que solo se pueden obtener aplicando técnicas y metodologías de auditoría de sistemas de información.
  • Señaló que estos riesgos pueden ser de origen interno y externos, fundamentalmente los ciberriesgos, que últimamente están siendo tan agresivos y mediáticos. Sin ir más lejos en el tiempo, la noticia de la semana estaba siendo el destructivo ataque sufrido por la Universidad Autónoma de Barcelona.
  • Destacó en su intervención que se enfatiza esta cuestión tanto en la exposición de motivos del proyecto de Real Decreto por el que se actualiza el ENS como en un reciente informe de la Sindicatura de Cuentas de la Comunidad Valenciana en el que se afirma que “la total dependencia de los sistemas de información y de comunicaciones existente en la gestión pública hace que las Administraciones públicas sean más vulnerables frente a los ciberataques, de modo que la transformación digital debe ir inseparablemente unida a la ciberseguridad.”
  • Sobre la ciberseguridad citó un reciente informe de la Sindicatura sobre los mayores ayuntamientos de la Comunidad Valenciana cuyos resultados no son muy alentadores, y aventuró que esos resultados, en su opinión, son extrapolables a la generalidad del sector español.
  • Incidió en la importancia de una adecuada implantación del ENS y una adecuada gobernanza de ciberseguridad.

Después pasó a presentar a Vanessa Gonzalez, jefa del Equipo de Auditoría Informática de la IGAE, a quien acompaño en la foto adjunta, expuso cómo trabajan en ese equipo para realizar trabajos de auditoría de sistemas de información, incluyendo pruebas masivas de datos, en apoyo de los equipos de auditores de la ONA y también ayudando a las intervenciones delegadas en sus tareas de control.

Tanto ponente y moderador coincidían en los enfoques del trabajo y metodología que utilizan sus respectivos equipos y en la necesidad de extenderlo a todos los trabajos de control.

Las conclusiones que extrajeron de lo expuesto se pueden resumir así:

El impacto de los sistemas de información sobre los procesos de control financiero permanente y de auditoría pública, en la actualidad y en un futuro inmediato en todos los campos, viene determinado por dos circunstancias principales:

  1. La omnipresencia de entornos tecnológicamente avanzados para el despliegue de la administración electrónica.
  2. Los exponencialmente crecientes riesgos de ciberseguridad. Minguillón viene alertando desde hace años.

Es vital para los órganos de control interno local adaptarse a esta realidad, fundamentalmente:

  1. Incluyendo las auditorías de los sistemas de información de forma sistemática e integrada en los procesos de control financiero permanente y auditoría pública.
  2. Formando equipos de trabajo mixtos, con conocimientos específicos en materias jurídicas o financieras y de sistemas de información, que puedan atender de forma global los procesos de control y auditoría en un entorno digital.
  3. Coadyuvando en la implantación del ENS y de una adecuada gobernanza de ciberseguridad.

Para los muy cafeteros que hayan llegado hasta aquí, recomiendo dentro del  programa Novagob2021 de inscripción gratuita, que se celebra el 28 y 29 de octubre, al menos la mesa de 11:00 a 11:30h titulada FISCALIZACIÓN AUTOMATIZADA. ¿SUEÑO O REALIDAD? a cargo de Núria Josa, Interventora General de la Diputación de Girona y Matilde Castellanos, Viceinterventora de la Junta de Castilla La Mancha.

Reunión previa. Hablando Antonio Minguillón (Sindicatura Comunidad Valenciana)

5 comentarios en “El análisis de los ciberriesgos como rutina del auditor. CCIL21 (2)

  2. Pingback: Conclusiones del Congreso de Control Interno Local (CCIL, 6) – Fiscalizacion.es

  3. Pingback: 2021 batió el récord de ciberincidentes europeos – Fiscalizacion.es

  4. Pingback: El auditor público ya no es lo que era … hablemos de lo que será – Fiscalizacion.es

  5. Pingback: Nuevos perfiles del auditor – Fiscalizacion.es

Gracias por comentar con el fin de mejorar

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.