Antonio Minguillón Roy, es Director del Gabinete Técnico de la Sindicatura de Cuentas de la Comunidad Valenciana y uno de los principales profesores del Master de Auditoría del Sector Público de la UCLM. Acaba de aportar a la comunidad fiscalizadora un nuevo documento de la serie Opiniones de la Fundación Fiasep titulado “Auditoría de cuentas anuales y Ciberseguridad: la nueva NIA-ES 315 (Revisada) y el auditor público”.

¿Porqué es importante la revisión de esta norma internacional de auditoría?

Se trata de la pauta profesional que regula la identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la Entidad y de su entorno. Quizás una de las más importantes del mundo de la auditoría. Pues bien, como parte de esa valoración de riesgos, la actual revisión requiere de forma explícita que el auditor obtenga un conocimiento de los sistemas de información relevantes para la preparación de las cuentas anuales y del sistema de control interno de la entidad. Esto incluye comprender el uso de la tecnología de la información por parte de la entidad e identificar los riesgos derivados de su uso, entre los cuales los de ciberseguridad son cada vez más relevantes.

En opinión del autor: “Para auditar entidades medianas o grandes operando en un entorno de administración electrónica avanzada deben formarse equipos mixtos, integrados por auditores financieros y por especialistas en auditoría de sistemas de información y ciberseguridad, trabajando conjuntamente. .…

Los expertos en seguridad TI analizarán juntamente con los auditores financieros aquellos riesgos y controles que son relevantes para los objetivos de la auditoría financiera, con un enfoque de riesgo según las necesidades de los auditores financieros”.

Para Minguillón, no hacerlo, no abordando los riesgos relacionados con la seguridad de la información y la ciberseguridad con personal especializado en TI integrado en los equipos de auditoría, supone asumir unos riesgos de auditoría hasta niveles muy elevados y, en muchos casos, inaceptables.

La nueva norma es obligatoria para los trabajos de auditoría de cuentas contratados o encargados a partir del 1 de enero de 2023, independientemente de los ejercicios económicos a los que se refieran los estados financieros objeto del trabajo.

Si las plantillas no incorporan auditores de sistemas de información y expertos en ciberseguridad, quedaría la posibilidad de contratar expertos externos para cubrir ese déficit de conocimientos y de profesionales especializados.

La Sindicatura de la Comunidad Valenciana ya dio ejemplo de anticiparse a los nuevos escenarios incorporando hace años a su plantilla puestos de técnico de la Unidad de Auditoría de Sistemas de Información, cuya convocatoria comentamos en su momento. Realiza periódicamente informes sobre los controles básicos de ciberseguridad de las Instituciones así como de la ciberhigiene en el control interno de la Entidades Locales.

En definitiva, el este nuevo informático acabará siendo en las auditorías financieras como el anestesista en el quirófano (“se suspende la operación quirúrgica por falta de anestesista”), una figura imprescindible para garantizar procedimiento, la planificación y la toma de decisiones. Monitorizan todo el funcionamiento, así como para identificar y descartar riesgos.

Nota. Esta semana los Antonios hemos aprovechado para cumplir con nuestros amigos leoneses: el académico Enrique López de la Universidad de León y a Felix Barrio, del Instituto Nacional de Ciberseguridad, con sede en León, donde visitamos las instalaciones.