El último número de la Revista Auditoría Pública (nº 81, Enero-junio 2023, Páginas: 36-47) incluye un interesante artículo de Lorenzo Pérez Sarrión, Secretario General de la Sindicatura de Comptes de la Comunidad Valenciana, titulado “A vueltas con la interoperabilidad: su impacto de eficiencia en el ámbito de la auditoría publica”. Su autor no oculta su intención de reflexionar, desde una visión generalista y divulgativa, sobre su papel en la evolución de la función pública auditora de los OCEX, generando el necesario debate para incorporar los activos que la interoperabilidad puede comportar desde el punto de vista de la eficacia y la eficiencia en sus logros y resultados.
Durante los XV Encuentros Técnicos celebrados la semana pasada en Zaragoza, pudimos escucharle en directo, dando otra vuelta de tuerca a lo que él denomina “la parte de abajo del iceberg de las ICEX” (necesaria para que todo funcione pero que nadie ve) en una brillante intervención dentro del Grupo de trabajo sobre seguridad e interoperabilidad, coordinado por José María Ortíz de Zárate, Director de Tecnologías y Sistemas de la Información en la Cámara de Cuentas de Aragón.
Las ICEX en concreto tienen camino por recorrer en esta materia, debiendo permitir que aplicaciones y sistemas interactúen entre sí, pero sin descuidar la seguridad, ya que deben ir de la mano. Aquí fue muy provocador: «¿superaríamos nuestras propias auditorias? Recordemos que el análisis de los ciberriesgos se ha incorporado a la rutina del trabajo de auditoría y la Sindicatura de la Comunidad Valenciana desde hace años hace regularmente este tipo de trabajos.
La interoperabilidad cuesta dinero.
El intercambio de datos e información que conlleva el cumplimiento de estándares en materia de protección de datos y de seguridad digital exige que los actores que intervienen en el proceso de intermediación de datos dispongan de los requerimientos exigibles.
Además, la interoperabilidad permite liberar tiempo para actividades de mayor valor añadido, y reducir las cargas burocráticas que la rendición comporta para los cuentadantes, algo especialmente relevante para la Intervención de las entidades locales, que muchas veces han de remitir una misma información a distintos destinatarios en formatos y plataformas distintas, lo que consume muchos recursos innecesariamente
Mediante un acceso sin restricciones, por parte de los OCEX a la información pública de terceros, se puede facilitar la realización de auditorías operativas de calidad: piénsese en ejemplos como como el de auditar la eficacia y eficiencia en el destino e impacto real de subvenciones y ayudas a PYMES, que requiere conocer información relevante que obra en una diversidad de organismos que deberían facilitarlos a los OCEX de acuerdo con la finalidad de su uso para el ejercicio legítimo de las competencias que muchas leyes autonómicas de creación habilitan: Agencia Estatal de la Administración Tributaria, Tesorería General de la S.S. o información concursal de empresas (D. General de Justicia o registros mercantiles).
La adecuación al Esquema Nacional de Seguridad (ENS), en sus niveles Medio/Alto, obliga a cada organización a trazar su propia hoja de ruta asignando para ello los recursos precisos para orientarse a su cumplimiento, así como el referido a la protección de datos de carácter personal. Sin embargo, no pueden obviarse las economías de escala que se producen con una verdadera interoperabilidad entre las AAPP titulares legítimos de la información que generan, con su puesta a disposición, en las debidas condiciones de intercambio seguro de datos de sus repositorios, al resto de organismos y entre ellos los OCEX, juegan un papel esencial.
El ENS tiene como finalidad la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Por cierto, para los muy cafeteros, aquí podéis acceder al XIII CNIS del 10 y 11 de octubre próximos, en Madrid.
Se trata de cambiar el paradigma: pasar del tradicional envío de documentos al acceso a la información en origen, en sus fuentes primarias, para después operar con los datos disponibles
Recordemos que, tras la promulgación del RD 311/2022, los sistemas preexistentes a su entrada en vigor tienen 2 años para cumplirlo (fecha límite 4 mayo 2024). El panel puso énfasis en los cambios que el nuevo ENS introduce: el concepto vigilancia continua, flexibiliza segregación de funciones, obligatoriedad auditoría interna y cambios en medidas seguridad (requisitos, refuerzos y opcionales).
El debate señaló que la certificación y conformidad con el ENS conlleva la elaboración previa de un Plan de Adecuación (Política de Seguridad, categorización de sistemas, análisis de riesgos y declaración de aplicabilidad), la implantación seguridad y la certificación de conformidad.
El camino para la certificación ENS es duro, especialmente arrancar, implica un gran desarrollo documental para los diferentes procesos y procedimientos. Hay que determinar bien el alcance, definir los roles dentro de la organización y conformar un comité de seguridad.
Gracias por comentar con el fin de mejorar