Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 36

34
Noviembre nº 70 - 2017
AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS
4. LOS OCEX Y LA CIBERSEGURIDAD
Aunque la ciberseguridad es una cuestión de segu-
ridad nacional, también es una materia que afecta a las
empresas, a los individuos particulares y de forma di-
recta a las entidades públicas, que tienen la responsa-
bilidad de establecer medidas de protección y controles
coherentes con sus políticas generales de seguridad de
la información.
Los OCEX no son ajenos a la problemática provo-
cada por los ciberriesgos y deben realizar un ejercicio
profundo de reflexión, tanto colectivamente puesto que
es un tema que afecta a todos de forma profunda, como
a nivel de cada institución, analizando el potencial im-
pacto de las ciberamenazas, valorando los ciberriesgos
generales y determinando cuáles son las medidas más
adecuadas a adoptar tanto en materia de nuevos recur-
sos humanos especializados en sistemas de información
y seguridad que deben incorporarse a los equipos de au-
ditoría, como en materia de metodología de auditoría,
en formación específica para su personal y en recursos
tecnológicos.
En las fiscalizaciones individuales, los auditores res-
ponsables deben analizar cómo afectan las cuestiones
relacionadas con la seguridad informática y la ciberse-
guridad a los objetivos de su auditoría y a la valoración
de los riesgos.
Cuanto mayor sea la entidad auditada y más com-
plejos sus sistemas de información, mayor impacto ten-
drán los aspectos tecnológicos y los riesgos tecnológi-
cos, y mayores serán las consideraciones al respecto que
deba hacerse el auditor.
La forma de abordar en una auditoría las cuestiones
relacionadas con la ciberseguridad dependerá de cada
caso concreto, del objetivo y alcance de cada fiscaliza-
ción. Caben dos enfoques principales:
a) Auditorias operativas de ciberseguridad o específi-
cas de sistemas de información.
Considerando que las redes de comunicaciones
y sistemas de las administraciones públicas tienen
interconexiones con otras entidades públicas y pri-
vadas, la descripción detallada del alcance de la au-
ditoría es esencial. Generalmente todas las categorías
de controles y todos los CGTI pueden ser relevantes
excepto que expresamente se excluyan del alcance de
la auditoría. Por tanto, se debe delimitar claramente la
extensión y el límite de hasta dónde se audita. Podría-
mos estar hablando de:
• Auditorias de los controles de ciberseguridad
y de ciberresiliencia.
• Auditoría de seguridad de la información.
• Auditoría de seguridad de los registros
contables de facturas electrónicas.
• Auditoría de los sistemas de control interno
automatizados.
• Auditoría de los controles de seguridad de la
receta electrónica.
• Etc.
b) Auditorías de seguridad de la información en apo-
yo de auditorías financieras o de cumplimiento.
En cualquier auditoría, tanto si tiene un alcance li-
mitado, como si se trata de auditorías financieras de
cuentas anuales o de elementos de las cuentas anuales
(por ejemplo: de la cuenta general de un ayuntamien-
to, de la liquidación del presupuesto, de los gastos de
personal, de los ingresos tributarios) será necesario
realizar una revisión de los CGTI (que básicamente
incluyen los controles de seguridad de la información
y ciberseguridad) con el alcance específico que se de-
termine, en concordancia con el alcance y objetivos
de la auditoría.
Los auditores de sistemas de información analiza-
rán con los auditores financieros aquellos controles
que son relevantes para los objetivos de la auditoría
financiera, ya que no todos los riesgos son iguales,
ni en probabilidad, ni en su materialidad. Se deberá
adoptar un enfoque basado en el análisis del riesgo.
En el ámbito de los órganos de control interno, las
normas de auditoría para las intervenciones tanto del
Estado
12
como locales
13
establecen expresamente que en
las auditorías públicas se podrá
verificar la seguridad y
fiabilidad de los sistemas informáticos
que soportan la
información económico-financiera y contable
.
Los OCEX a través de ASOCEX y de su Comisión
Técnica, están desarrollando sendas Guías Prácticas
de Fiscalización (GPF-OCEX) relativas a la cibersegu-
ridad, la seguridad de la información y los CGTI, que
cubrirán el actual vacío existente en las normas técnicas
de fiscalización en relación con la ciberseguridad.
5. AUDITORÍA DE ESTADOS FINANCIEROS, CON-
TROL INTERNO Y CIBERSEGURIDAD
Las auditorías específicas sobre ciberseguridad, que
cabría clasificarlas dentro del amplio grupo de las audi-
torías operativas, tienen unas características propias que
podrían dar lugar a más de un artículo sobre ellas. No
obstante, en este apartado, por su interés más general, me
centraré en las consideraciones que sobre ciberseguridad
deben realizarse en las auditorías financieras.
12
Resolución de 30 de julio de 2015, de la Intervención General de la Administración del Estado, por la que se dictan instrucciones para el ejercicio de la auditoría
pública. Norma Duodécima.Dos e).
13
Real Decreto 424/2017, de 28 de abril, por el que se regula el régimen jurídico del control interno en las entidades del Sector Público Local. Artículo 33.4.e).
1...,26,27,28,29,30,31,32,33,34,35 37,38,39,40,41,42,43,44,45,46,...170
Powered by FlippingBook