Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 38

Por ejemplo, si se está revisando una aplicación de
gestión de nóminas por ser los gastos de personal un
área significativa, los procedimientos de revisión de los
controles generales estarán focalizados en aquellos que
afectan más directamente a esa aplicación. En este caso
no tendría ningún interés revisar los controles relaciona-
dos con el desarrollo y mantenimiento de la aplicación
de gestión del inventario del inmovilizado. Tampoco se
revisarían los controles de acceso o la gestión de usua-
rios de la aplicación de ingresos, ya que esos trabajos no
nos permitirían reducir el riesgo de auditoría del área
de gastos de personal. Se deberían revisar los CGTI re-
lacionados con la aplicación de recursos humanos, con
la de nóminas, las bases de datos de ambas aplicaciones,
y con los sistemas operativos y servidores que soportan
dichas aplicaciones y bases de datos.
El interés principal de un auditor financiero y de los
auditores de sistemas que le prestan apoyo está en los
controles y sistemas más próximos a los datos y a las apli-
caciones significativas para las cuentas auditadas, tales
como las aplicaciones de contabilidad, compras, personal,
inmovilizado, etc.
É
stas son solo un subconjunto de la to-
talidad de los sistemas y datos utilizados por las entidades
para gestionar todas las operaciones de su actividad.
36
Noviembre nº 70 - 2017
AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS
En la figura 3
15
describe el típico camino de acceso a los datos en un sistema de información.
15
Gráfico inspirado en
Cybersecurity and the External Audit, Center for Audit Quality
.
Es importante destacar que los ciberincidentes nor-
malmente se inician a través de los niveles/capas de la
red perimetral e interna, que tienden a estar cada vez
más alejados de las aplicaciones, bases de datos y sis-
temas operativos que son los que se suelen incluir en
las pruebas de controles de acceso a los sistemas que
afectan a los estados financieros. La revisión de aspectos
como por ejemplo, la protección perimetral de la red
frente a intrusiones y los accesos a la intranet, la revi-
sión de la configuración de los cortafuegos existentes en
los puntos de acceso a las redes corporativas, requiere
perfiles técnicos muy especializados en los equipos de
auditoría de sistemas de información.
También será importante revisar los controles de ac-
ceso lógico (contraseñas, identificación y autenticación
de usuarios)
,
la gestión de usuarios de las aplicaciones
significativas para la auditoría y de las bases de datos
subyacentes. Una típica prueba de auditoría en esta área
consiste en verificar que los denominados “superusua-
rios” o usuarios privilegiados están debidamente res-
tringidos al mínimo estrictamente necesario y además
que están debidamente controlados.
Adicionalmente, si el número de aplicaciones signi-
ficativas es elevado, tal como sucede por ejemplo en la
auditoría de las cuentas de una comunidad autónoma,
será imposible revisar en una fiscalización todos los
controles de aplicación y CGTI relacionados. En estos
casos se diseñará un plan de auditoria plurianual que es-
tablezca un calendario para la revisión de los controles
automatizados, tanto de aplicación cómo generales, que
sea realizable con los recursos del OCEX.
6. RETOS EN MATERIA DE PERSONAL
Ante el reto que representa abordar las audito-
rías integrando cuestiones de ciberseguridad, los
OCEX deben plantearse modificar sus plantillas e
incorporar especialistas en auditoría de sistemas de
información.
Estos especialistas en auditoría de sistemas de infor-
mación prestarán apoyo a los auditores financieros y se
formarán
equipos de auditoría integrados por ambas
disciplinas, con metodología actualizada
, de forma
que se haga un trabajo adaptado a las nuevas circuns-
tancias de la administración electrónica mucho más efi-
1...,28,29,30,31,32,33,34,35,36,37 39,40,41,42,43,44,45,46,47,48,...170
Powered by FlippingBook