Siglo y medio fiscalizando (I)

en por Antonio Arias Rodriguezen Control interno, e-Administración

En febrero de este año dieron comienzo los actos de conmemoración del 150 aniversario de la creación de la Intervención General de la Administración del Estado (IGAE) mediante el Decreto del Ministro de Hacienda José de Echegaray, el 7 de enero de 1874. Se concretan en varias reuniones a lo largo de todo el territorio nacional. Primero fue el solemne acto celebrado en el Auditorio del Museo Nacional Centro de Arte Reina Sofía (16-2-2024) seguida de la jornada del 17 y 18 de abril en Zaragoza (“presente y futuro del control”).

Otra actividad se desarrolló el 22 de mayo en el Consejo General de Colegio de Economistas (“fiabilidad y transparencia”) y la Jornada de León, que hoy comentaremos, celebrada el 5 y 6 de junio (ver programa) tuvo su sede en la Colegiata de San Isidoro bajo el lema “Las tecnologías de la información en el ámbito de la IGAE” y que comentaremos a continuación -y en entradas posteriores- no sin avisar de que del 10 al 12 de julio se celebrará un Curso de verano de la UIMP en Santander (ver programa, ya en periodo de inscripción) que versará sobre el control interno al servicio de la mejora de la gestión pública, el control de los Fondos Europeos así como contabilidad pública y reglas fiscales. Por último, en Sevilla y durante la segunda quincena de octubre acogerá otro seminario, cuyo programa se está ultimando.

La jornada leonesa giró sobre los aspectos tecnológicos relacionados con la fiscalización. El Interventor General, Pablo Arellano, en primera fila durante todo el seminario, entregando la medalla conmemorativa a los ponentes, con la Interventora Territorial de Castilla y León Laura Muñoz haciendo de maestra de ceremonias de las distintas mesas que presentaba. Da para muchas entradas de la bitácora un programa precedido de la entrega a la IGAE de la certificación del Esquema Nacional de Seguridad (ENS) a cargo de Bureau Veritas, como entidad de certificación acreditada para expedir certificaciones de conformidad con el ENS.

El primer panel tuvo como tarea el análisis de la ciberseguridad en las Administraciones Públicas. Corrió a cargo de Javier Candau Romero (en la foto, a la izquierda), Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, de Jorge Ordás Alonso, Director de Operaciones de INCIBE, moderados por María Jesús Casado Robledo, responsable de Seguridad de la Oficina de Informática Presupuestaria de la IGAE.

Candau   comenzó su intervención destacando una idea clave que todas las administraciones públicas deberían tener grabada en su frontispicio: NO HAY TRANSFORMACIÓN DIGITAL SIN CIBERSEGURIDAD. Desgranó  de forma sucinta las principales ciberamenazas a las que se enfrenta todo el sector público y el crecimiento exponencial de los ciberataques de todo tipo, frente a los que la única defensa posible es implantar las medidas de seguridad establecidas en el Esquema Nacional de Seguridad (ENS) como las que tiene implantadas la IGAE y que la certificación entregada acredita. Aunque no es una garantía completa frente a los malos, representa que se dispone de una potente barrera defensiva.

De este tema hablaremos más profundamente en el seminario del 8 de julio próximo destinado a la ciberseguridad de las Universidades españolas y sus aspectos financieros, que celebraremos en Salamanca y anunciaremos oportunamente. Candau tendrá su propia ponencia allí.

Auditoría informatica

Mesa sobre auditoría informática y las garantías en los procesos TIC. De izquierda a derecha: José Alberto Pérez, ex Interventor General de la Administración del Estado, Antonio Minguillón, Director del Gabinete Técnico y de la Unidad de Auditoría de Sistemas de Información. Sindicatura de Cuentas de la Comunidad Valenciana, Carlos Casado, SDG de Control Financiero de la Intervención General de la Seguridad Social y Vanessa González, responsable de equipo de auditoría informática en la IGAE

En la mesa sobre auditoría informática, José Alberto Pérez empezó la sesión que moderaba recordando la importancia del panel, algo que resulta evidente en momentos como los actuales, en los que en las organizaciones han generalizado el uso de las tecnologías de la información:

“Una auditoría informática que facilite una evaluación sistemática y exhaustiva de los sistemas de información de una organización es necesaria, porque permite chequear los niveles de seguridad que tiene el sistema de información de la organización, su posible vulnerabilidad y la forma en la que el personal obtiene, almacena, comparte y utiliza la información sensible de la organización”.

Pablo Arellano entregando a Antonio Minguillón la Medalla Conmemorativa del aniversario

Minguillón fue más allá. Primero presentó la UASI (unidad de auditoría de sistemas de información) de la Sindicatura de la Comunidad Valenciana, creada en 2008 como respuesta a la preocupación sobre el efecto que el uso de la tecnología por los entes públicos a los que auditamos tenía/tiene sobre los riesgos de auditoría. Ayer, sin embargo, no comentó el minguimapa, donde el uso de las tecnologías emergentes (IoT, IA, cloud, etc) no hace sino acelerar estos riesgos adaptando sus procedimientos y métodos a un entorno de administración electrónica avanzada, cero analógica, con riesgos y controles invisibles.

“La UASI se creó con un objetivo principal: apoyar a los equipos de auditoría de la SCCV en la realización de sus fiscalizaciones en entornos de administración electrónica”.

La mitad de sus trabajos son de apoyo a esos equipos, en la revisión de aplicaciones informáticas, CPI, CGTI o extracción y análisis de datos. El resto son trabajos específicos, por ejemplo, auditorías de ciberseguridad, auditorías de proyectos TI, de controles internos (CGTI+CPI), etc, de estas han realizado más de 60 informes.

“Todos somos deudores de la IGAE, de las NASP y especialmente de las publicaciones de Pablo Lanza (1997, 2000) que fueron inspiradoras”.

Desde su punto de vista, se está ignorando el hecho diferencial, radical, de que estamos auditando en un mundo de administración electrónica avanzada, muy distinto al de principios de siglo, el entorno actual está caracterizado entre otras cosas por:

  • Gestión soportada al 100% por tecnología cada vez más compleja.
  • Cero papel y cero pistas visibles de auditoría.
  • Controles automatizados (invisibles).
  • Hiperconexión de sistemas a través de internet
  • Ciberriesgos potencialmente catastróficos y crecientes.
  • Volúmenes de información disponible (datos) exponencialmente creciente. Podríamos hablar de conceptos tales como Big Data, espacios de datos, etc
  • Implantación de transacciones y actuaciones administrativas automatizadas.
  • Crecimiento enorme del uso de dispositivos conectados (IoT), que constituyen un vector de riesgo muy relevante.
  • Futuro uso de la IA lo que plantea nuevos y múltiples riesgos y retos.
Café con sabios: María José Mora (IGAE Asturias), Antonio Minguillón y Rafael Moral, de la Oficina de Informática Presupuestaria de la IGAE

En este apartado reeconoció de manera inequívoca que “la situación actual de la auditoría informática o auditoría de sistemas de información en el ámbito de la auditoría pública deja mucho que desear, por casi inexistente (..) Las NIAs a lo largo de los años no hacían si no reforzar las exigencias, OBLIGATORIAS, al auditor para que realice el trabajo que de forma muy sencilla y clara decían las NASP”. Para Antonio no hay nada nuevo bajo el Sol, “pero ahora el Sol resulta abrasador”.

Por tanto, su hoja de ruta exige:

  1. Incorporar especialistas en auditoría de sistemas
  2. Mejorar la formación en materia de herramientas TI y en metodología basada en las NIAs (especialmente la NIA-ES 315 Revisada) para auditores en general.
  3. Mejorar la formación sobre auditoría en entornos de administración electrónica avanzada

Minguillón mantiene desde hace lustros la opinión de la necesaria integración, no solo en el caso de las auditorías financieras, sino también en las auditorías de cumplimiento y operativas:

No lo considero algo recomendable o conveniente, creo que es algo absolutamente necesario para realizar nuestro trabajo de conformidad con las normas técnicas de auditoría y disminuir los riesgos de auditoría a un nivel aceptable (..) Se debe por tanto integrar el trabajo de los auditores de sistemas en los equipos de auditoría financiera y de cumplimiento. El trabajo de los auditores de SI es una parte más del trabajo global de una auditoría financiera o de cumplimiento, no son trabajos aislados, desde el principio debe haber una alineación total en el trabajo realizado por unos y por otros”.

Pablo Arellano el primero de la fila, ante la mesa sobre Inteligencia artificial de Dolores Genaro (Tcu), Pablo Lanza (ONA) y Susana Campuzano (CNMC)

Por tanto, se deben crear equipos especializados de auditores de sistemas. Los interventores/auditores no tienen, en general, ni está previsto que tengan las competencias o conocimientos propios de un auditor de sistemas. Entiende necesario incorporar perfiles técnicos a los órganos de auditoría (interna o externa): auditores de sistemas de información, informáticos, ingenieros de telecomunicaciones, ingenieros de datos, especialistas en seguridad, etc.

Los conocimientos requeridos a un auditor de SI son muy diferentes a los necesarios para un auditor/interventor tradicional, aunque con carácter general éstos deben elevar su nivel de conocimientos tecnológicos”.

En definitiva: las organizaciones de auditoría pública deben adoptar las medidas precisas para posibilitar la creación y el desarrollo de equipos de auditoría de sistemas de información proporcionados al tamaño de la entidad. “No algo recomendable o conveniente sino absolutamente necesario para realizar nuestro trabajo”.

La Intervención de Defensa no podía faltar

Gracias por comentar con el fin de mejorar

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.