Auditoría Pública nº 70. Revista de los Órganos Autonómicos de Control Externo - page 39

caz y eficientemente. Esta integración de disciplinas es
un aspecto clave para el futuro de los OCEX.
Descuidar esta materia, trabajar como se hacía hace
30 años, supone incrementar el riesgo de auditoría has-
ta niveles inadmisibles. Los OCEX deben estar perfec-
tamente preparados para enfrentar el nuevo entorno y
abordar los riesgos relacionados con la ciberseguridad,
ya que no solo las actividades ordinarias se realizan a
través de los sistemas de información interconectados,
las actividades fraudulentas, corruptas y delictivas, tam-
bién se realizan por medios electrónicos.
Hasta que se incorporen auditores de sistemas de in-
formación y expertos en ciberseguridad, los OCEX dis-
ponen del recurso de contratar expertos externos para
cubrir ese déficit de conocimientos y de profesionales.
Por otra parte, hay que tener en cuenta que debido
a que cada vez más organizaciones confían en las TIC
para automatizar sus operaciones, la línea que separa
el rol de los auditores de sistemas de información y el
resto de auditores es cada vez más difusa
16.
El auditor
financiero es responsable de valorar los riesgos de inco-
rrección material en los estados financieros, incluyendo
los derivados de accesos no autorizados a los sistemas
TIC, por lo que cada vez se va a tener que relacionar
más extensamente con el personal de sistemas de los en-
tes fiscalizados y tener presente cuestiones relacionadas
con la seguridad de la información.
De cara al futuro el perfil del auditor financiero va
a requerir un mayor componente tecnológico, aspecto
este que deberá incorporarse en los mecanismos de ac-
ceso a las plantillas de los OCEX.
Hasta que se incorporen las nuevas generaciones de
auditores con perfiles actualizados, el personal actual
debe recibir continuas actividades formativas relaciona-
das con la administración electrónica, la seguridad de
la información, la ciberseguridad y las TIC en general.
7. CONCLUSIONES
Dada la potencial repercusión que las amenazas a la
seguridad de los sistemas de información representan
sobre la actividad de los entes públicos y su efecto sobre
las cuentas que se auditan, la ciberseguridad se ha con-
vertido en uno de los temas más relevantes tanto para
los gobiernos, como para los gestores públicos y por su-
puesto para los OCEX.
La importancia máxima de la ciberseguridad en los
actuales entornos de administración electrónica está en
estos momentos fuera de toda discusión. El crecimien-
to y extensión de los ciberincidentes padecidos en los
últimos tiempos (por ejemplo los casos Wannacry y Le-
xnet) ha fortalecido la concienciación de los auditores
público
s para incluir en su metodología ordinaria de
trabajo la revisión de los controles de seguridad de la
información y de ciberseguridad.
Puesto que en un futuro muy cercano los auditores
s
ó
lo van a trabajar con evidencia electrónica es necesario
realizar procedimientos de auditoría para obtener un
determinado nivel de seguridad respecto de la evidencia
digital que soporte los informes de fiscalización. Esta
seguridad se obtendrá mediante la revisión de los CGTI
y mediante la confianza que se deposite en el adecuado
cumplimiento del ENS por parte de los entes fiscalizados.
Por su gran importancia, los OCEX deben verificar
en todas las fiscalizaciones el cumplimiento de la
legalidad en relación con el ENS, y si no se acredita se
debería reflejar en el informe como un incumplimiento
grave o muy significativo.
Los OCEX deben actualizar su metodología de
trabajo de forma que contemple la importancia de las
TIC y de la ciberseguridad, integrando la disciplina de
auditoría de sistemas de información. Esta tarea a nivel
general se está acometiendo con la elaboración de las
Guías Prácticas de Fiscalización de los OCEX.
En las fiscalizaciones individuales, los auditores res-
ponsables deben analizar cómo afectan las cuestiones
relacionadas con la seguridad informática y la ciberse-
guridad a los objetivos de su auditoría y a los riesgos.
Ante el reto que representa abordar las auditorías in-
tegrando cuestiones de ciberseguridad, los OCEX de-
ben plantearse modificar sus plantillas y crear equipos
de especialistas en auditoría de sistemas de información
para que presten apoyo a los equipos que realizan audi-
torías financieras y se formen equipos de auditoría inte-
grados por ambas disciplinas, con metodología actua-
lizada, de forma que se haga un trabajo adaptado a las
nuevas circunstancias de la administración electrónica
mucho más eficaz y eficientemente.
Hasta que se incorporen auditores de sistemas de in-
formación y expertos en ciberseguridad, los OCEX dis-
ponen del recurso de contratar expertos externos para
cubrir ese déficit de conocimientos y de profesionales.
De cara al futuro, el perfil del auditor financiero va
a requerir un mayor componente tecnológico, aspecto
este que deberá incorporarse en los mecanismos de ac-
ceso a las plantillas de los OCEX.
El personal actual debe recibir continuas actividades
formativas relacionadas con la administración electró-
nica, la seguridad de la información, la ciberseguridad y
las TIC en general.
La puesta en marcha de todas estas medidas, con total
seguridad, no será ni fácil, ni rápida, ni barata, por eso
La ciberseguridad, el auditor externo y los OCEX
37
Auditoría Pública nº 70
(2017), pp. 27 - 38
16
Véase
Handbook on IT Audit
, apartado I.6.
1...,29,30,31,32,33,34,35,36,37,38 40,41,42,43,44,45,46,47,48,49,...170
Powered by FlippingBook