Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 37

La ciberseguridad, el auditor externo y los OCEX
35
Auditoría Pública nº 70
(2017), pp. 27 - 38
En un reciente artículo publicado en la revista del
Col.legi de Censors Jurats de Comptes de Catalunya,
JoaquimAltafaja, presidente del capítulo de Barcelona de
ISACA, señalaba que “la ciberseguridad se transforma
en
un elemento material más de la auditoría de
cuentas
por los efectos sobre el negocio, las posibles
implicaciones legales y se postula como un indicador
de la preparación de la organización para abordar el
futuro” (Altafaja, 2017).
Por motivos que ya he comentado, esta afirmación
relativa a las auditorías privadas es totalmente válida
cuando hablamos de las auditorías públicas que realizan
los OCEX.
Las normas de auditoría, en particular la GPF-OCEX
1316 y la NIA-ES 315, requieren al auditor que obtenga
un conocimiento suficiente sobre cómo utiliza el ente
auditado los sistemas de información, sobre los contro-
les automatizados
14
y su impacto en los estados finan-
cieros.
Solo tras adquirir ese conocimiento se podrán valo-
rar los riesgos de incorrección material en los estados
financieros, por ejemplo, los riesgos de TI resultantes de
un acceso no autorizado a una base de datos o de una
disposición no autorizados de los fondos de banca elec-
trónica de la entidad.
Los auditores deben conocer los controles automa-
tizados que tienen impacto en el proceso de elaborar
la
información financiera incluyendo los controles
generales de tecnología de información (CGTI) que
están formados principalmente por controles relacio-
nados con la seguridad de la información, incluyendo
los de ciberseguridad.
Por ejemplo, si se audita el gasto correspondiente
a la gestión de la receta electrónica, se deberá con-
tar necesariamente con recursos humanos especiali-
zados para revisar los sistemas de información, los
CGTI y la ciberseguridad. Este es un ejemplo muy
claro de la problemática de la ciberseguridad, ya que
el proceso está respaldado por un complejo conjunto
de aplicaciones y sistemas de información interrela-
cionados a través de redes públicas y privadas, con
múltiples actores, en el que los ciberriesgos son muy
elevados. Hoy en día ciberdelincuentes podrían in-
troducir recetas falsas en el sistema sin necesidad de
acudir a un médico o una farmacia y cobrar el dinero
fraudulentamente obtenido, cómodamente sentados
en una ciudad de Asia o de América, suplantando las
identidades electrónicas de facultativos, farmacias y
funcionarios. Para evitar este tipo de fraude están los
controles de ciberseguridad.
Siguiendo con este ejemplo, se puede afirmar que
solo el
trabajo conjunto e integrado de auditores fi-
nancieros y auditores de sistemas
de un OCEX, permi-
te hoy día fiscalizar este componente muy significativo
del gasto sanitario. Como en muchos otros ejemplos
que se podrían poner, auditar de otra forma en el siglo
XXI no es posible.
Por otra parte, debido al gran número de CGTI que
existen en una entidad mediana o grande resulta ma-
terialmente imposible para un auditor revisarlos en su
totalidad. Además, gran parte de ellos no tendrán in-
terés para los objetivos de la auditor
í
a ya que solo un
pequeño subconjunto tendrá impacto en nuestro riesgo
de auditor
í
a y s
ó
lo sobre ellos se deberá centrar la
atención y el trabajo del auditor.
Para seleccionar los controles a revisar el auditor
de estados financieros utilizará un enfoque de riesgo,
de arriba-abajo en la auditoría del control interno,
siguiendo la metodología de la GPF-OCEX 1315, y
para cada área o aplicación significativa identificada se
requiere que:
a) Se valoren los riesgos de incorrección material re-
lacionados.
b) Se revise la eficacia de los CGTI.
La importancia de los CGTI es tal que del resultado
de su revisión dependerá la naturaleza, extensión y
momento de realización de las pruebas sobre los
controles de procesos/aplicación y de las pruebas
sustantivas.
c) Se revise la eficacia de los controles de aplicación.
d) Se realicen las pruebas sustantivas.
Este enfoque nos permitirá centrarnos solo en los
controles que están relacionados con los sistemas y
las aplicaciones significativas a efectos de la informa-
ción contable, financiera o presupuestaria auditada, de
acuerdo con los objetivos y alcance de la auditoría que
se esté realizando. El resto carece de interés para la au-
ditoría. Si se revisan los CGTI que no tiene relación con
la información auditada se estará haciendo un trabajo
innecesario y por tanto ineficiente.
14
Véase el apartado 9.2 de la GPF-OCEX 1316 y apartados 21 y A95-A97 de la NIA-ES 315. De acuerdo con estas normas deben distinguirse dos tipos de controles:
Los CGTI son políticas y procedimientos vinculados a muchas aplicaciones y favorecen un funcionamiento eficaz de los controles de las aplicaciones.
Si los CGTI son débiles, disminuye la fiabilidad en los controles relacionados con aplicaciones individuales.
Los controles de aplicación son procedimientos manuales o automatizados que normalmente operan a nivel de procesos de gestión y que se aplican al proce-
samiento de las transacciones mediante aplicaciones informáticas específicas.
Tienen como finalidad asegurar la integridad de los registros contables, están relacionados con los procedimientos utilizados para iniciar y procesar transac-
ciones y otros datos financieros, así como para informar sobre ellos.
Estos controles ayudan a asegurar que las transacciones han ocurrido, están autorizadas y se han registrado y procesado íntegra y exactamente.
1...,27,28,29,30,31,32,33,34,35,36 38,39,40,41,42,43,44,45,46,47,...170
Powered by FlippingBook