Uno de los grupos de trabajo de los XV Encuentros Técnicos celebrados en Zaragoza tenía como título Auditoría de sistemas y sistemas para la auditoría y estuvo coordinado por Ignacio Barquero, director de auditoría en la Cámara de Cuentas de Aragón. Una de las ponencias se refería a las Normas de auditoría, la tecnología y la gobernanza sobre las TI y corrió a cargo de dos representantes de la Sindicatura de Comptes de la Comunitat Valenciana: Antonio Minguillón , Auditor Director del Gabinete Técnico y Esperanza Pinar, técnica de la Unidad de Auditoría de Sistemas de la Información (UASI).
En el Grupo de trabajo tecnológico se expusieron una serie de trabajos innovadores relacionados con el uso de las TIC en las auditorías financieras, de cumplimiento y operativas que realizan los OCEX.
Destacó Minguillón nada más empezar que las NIA-ES 315Revisada y GPF-OCEX 1315Revisada de plena aplicación en 2023 introducen una serie de requerimientos de obligado cumplimiento, relacionados con la auditoría en entornos de administración electrónica avanzada y destacó como las nuevas normas de auditoría son mucho más exigentes respecto de la revisión de los sistemas de control interno soportados por cada vez más complejos sistemas informáticos. Para ello esas normas señalan explícitamente la necesidad de que los equipos de auditoría integren especialistas en auditoría de sistemas de información, personal con formación en alguna ingeniería que forme parte de equipos pluridisciplinares de nueva creación.
En este sentido señaló cómo la Sindicatura modificó hace ya cinco años su RPT creando cuatro puestos de auditores de sistemas de información, con perfil estrictamente técnico a los que se incorporó por ejemplo Esperanza Pinar ingeniera de telecomunicaciones que continuó con la presentación.
Esperanza expuso cual es la forma en la que se está trabajando actualmente para acceder directamente a las bases de datos masivas de los grandes entes auditados, de una forma más eficiente, montando una “máquina de salto” en la propia red del ente auditado en la que instalamos nuestras herramientas informáticas. También expuso cómo están trabajando este año en la auditoría de los controles de seguridad sobre la última versión de los sistemas SAP implantados en casi todas las comunidades autónomas y los principales ayuntamientos. En este sentido es interesante el trabajo que, señaló, está realizando un grupo de trabajo de la Comisión Técnica de los OCEX para elaborar guías de auditoría de las principales áreas de este tipo de sistemas, que esperemos sean de gran ayuda a los auditores de todos los OCEX.
Minguillón comentó cómo a nivel internacional se está utilizando cada vez más por los auditores herramientas de Process Mining para revisar el control interno y que en la UASI han iniciado dos trabajos piloto para experimentar con esta metodología en la que tienen puestas muchas expectativas, que esperan poder comunicar en los próximos Encuentros. Continuó comentando un importante trabajo recientemente finalizado consistente en auditorías de ciberseguridad de los 15 mayores ayuntamientos de la Comunidad Valenciana y las tres diputaciones, cuyos resultados malos en general, pueden verse en el siguiente gráfico y donde solo una entidad alcance el nivel de madurez de ciberseguridad exigido por el Esquema Nacional de Seguridad:
La gobernanza de la ciberseguridad (una adecuada gobernanza) es un elemento obligatorio del ENS y forma parte de los controles generales TI.
Destacó Minguillón la importancia para el auditor de revisar la gobernanza. Uno de los aspectos importantes que analizar, «y para esto no hace falta tener formación técnica», es el de la gobernanza corporativa y la gobernanza sobre las TI. Es una parte importante del entorno de control (primer componente de un sistema de control interno). La nueva GPF-OCEX 1315R/NIA-ES 315R señala que la evaluación por el auditor del entorno de control en relación con la utilización de TI por la entidad puede incluir cuestiones tales como si la gobernanza sobre las TI es acorde con la naturaleza y complejidad de la entidad y de sus operaciones de negocio realizadas a través de TI, incluida la complejidad o madurez de la plataforma o arquitectura tecnológica de la entidad y hasta qué punto confía la entidad en aplicaciones de TI para sustentar su información financiera. Entenderemos por gobierno corporativo de las TIC o gobernanza sobre las TI, el conjunto de mecanismos para la toma de decisiones estratégicas con relación al uso y la gestión de las TIC en un determinado contexto organizativo.
La gobernanza de ciberseguridad, como parte del concepto más amplio de gobernanza de TI, se refiere al conjunto de responsabilidades y actividades realizadas por la alta dirección con el objetivo de proporcionar una dirección estratégica en esta materia, garantizar que se logren los objetivos, verificar que el riesgo se gestione adecuadamente y comprobar que se utilicen los recursos de la entidad de una forma responsable. Es el proceso de establecer y mantener un marco de referencia, y apoyar la estructura y los procesos de gestión para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de los datos.
Esperanza Pinar finalmente comentó un tipo de trabajos que está realizando la UASI sobre auditoría de gestión de grandes proyectos TI y sobre la metodología que han desarrollado de acuerdo con buenas prácticas implementadas por oficinas de auditoría de países anglosajones mucho más avanzados que nosotros en esta materia.
Minguillón cerró la presentación señalando que los auditores de «los OCEX tenemos que experimentar nuestra propia transformación digital, entendida no como mera informatización de determinados procesos sino como cambio profundo de nuestra forma de auditar con las herramientas tecnológicas y nueva metodología como elemento transformador«.
Replica a Los síndicos preocupados por la ciberseguridad de las instituciones – Fiscalizacion.es Cancelar la respuesta