1 57 Table of Contents 59 116

Auditoría Pública nº 73. Revista de los órganos autonómicos de control extreno

seguridad de la información, por la importancia que el cumplimiento de las normas tiene en el sector público. Dado que los CBCS están alineados con el ENS, cuando su revisión se realice en entidades que hayan pasado la auditoría de seguridad obligatoria establecida en el artículo 34 del RD 3/2010 por el que se aprueba el ENS, la revisión podrá basarse, en la medida de lo posi- ble, en los resultados de dicha auditoría. GPF-OCEX 5330 REVISIÓN DE LOS CONTROLES GENERALES DE TECNOLOGÍAS DE INFORMA- CIÓN EN UN ENTORNO DE ADMINISTRACIÓN ELECTRÓNICA El enfoque de auditoría basado en el análisis del ries- go es el fundamento central de la actividad auditora de- sarrollada de acuerdo con las Normas Internacionales de Auditoría (NIA-ES) y las ISSAI-ES. Actualmente, en una auditoría financiera basada en el análisis de los riesgos realizada de acuerdo con la ISSAI-ES 200, el estudio y revisión de los sistemas de información en los que se sustenta la gestión de una entidad (empresa o fundación pública, ayunta- miento, administración de la comunidad autónoma, etc.) se ha convertido en una actividad de importan- cia creciente, en la medida en que esa gestión se apo- ya en unos sistemas de información interconectados que, con la plena implantación de la administración electrónica, han ido adquiriendo una complejidad cada vez mayor. Esta situación ha generado una serie de nuevos e importantes riesgos de auditoría (inhe- rentes y de control) que deben ser considerados en la estrategia de auditoría. De acuerdo con las ISSAI-ES/NIA-ES y la GPF- OCEX 1315, una vez adquirido un conocimiento gene- ral de la entidad, incluyendo sus sistemas de informa- ción y de control interno, y antes de iniciar la revisión de los procesos y aplicaciones de gestión significativos a los efectos de la auditoría financiera y de sus controles, se debe revisar la situación de los controles generales , ya que el grado de confianza en los mismos determinará la posterior estrategia de auditoría. Tal como se señala en la guía, el objetivo de la auditoria de los CGTI será verificar si el sistema de control interno proporciona una seguridad razonable sobre la confiden- cialidad, integridad, autenticidad, disponibilidad, y traza- bilidad de los datos, la información y los activos de los sistemas de información. Estos son atributos de los que debe gozar la evidencia electrónica de auditoría y que los auditores de los OCEX debemos verificar, de otro modo, la evidencia no sería suficiente y adecuada. En un entorno informatizado de complejidad media o alta, como sucede con la administración electrónica, la revisión de los controles generales de tecnologías de la información (CGTI) requerirá, normalmente, la co- laboración de un experto en auditoría de sistemas de información y la aplicación de una metodología espe- cífica. En estas circunstancias la revisión de los CGTI (y de los controles de aplicación) es un procedimiento indis- pensable para reducir los riesgos de auditoría a un nivel aceptable. Además de las normas técnicas de auditoría, las nor- mas reguladoras de la auditoría pública más recientes recogen la necesidad de que los auditores revisen la fia- bilidad de los sistemas de información, de los controles internos y de la seguridad de la información. A modo de ejemplo: a) La Ley 16/2017 que modifica la Ley 6/1985, de 11 de mayo, de Sindicatura de Comptes de la Comu- nitat Valenciana establece: “Artículo 11. Uno. En el desarrollo de su función fis- calizadora, la Sindicatura de Comptes está facultada para: … d) Verificar la seguridad y fiabilidad de los sistemas informáticos que soportan la información econó- mico-financiera, contable y de gestión.” b) El Real Decreto 424/2017, de 28 de abril, por el que se regula el régimen jurídico del control interno en las entidades del Sector Público Local establece: “CAPÍTULO III De la auditoría pública Artículo 33. Ejecución de las actuaciones de auditoría pública. 4. Para la aplicación de los procedimientos de auditoría podrán desarrollarse las siguientes actuaciones: … e) Verificar la seguridad y fiabilidad de los sistemas informáticos que soportan la información económi- co-financiera y contable.” c) La Resolución de 30 de julio de 2015, de la Inter- vención General de la Administración del Estado, por la que se dictan instrucciones para el ejercicio de la auditoría pública, establece: “ Duodécima. Procedimientos para el ejercicio de la au- ditoría pública. 2. Para la aplicación de los procedimientos de auditoría podrán desarrollarse las siguientes actuaciones: e) Verificar la seguridad y fiabilidad de los sistemas informáticos que soportan la información económi- co-financiera y contable.” Hay 24 controles principales que se agrupan en las siguientes categorías: A. Marco organizativo B. Gestión de cambios en aplicaciones y sistemas C. Operaciones de los sistemas de información 56 Junio nº 73 - 2019 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS

RkJQdWJsaXNoZXIy MTEw