Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS 35 Auditoría Pública nº 75 (2020), pp. 35 - 44 Auditando en la nube (no en las nubes) Antonio Minguillón Roy Auditor director del Gabinete Técnico de la SCCV Esperanza Pinar Lorente Técnico de auditoría de sistemas de información de la SCCV La utilización de la computación en la nube es una forma de provisión de servicios tecnológicos utiliza- da desde hace muchos años por las grandes empresas y las administraciones públicas que en los últimos años ha experimentado un fuerte crecimiento. La crisis provocada por el Covid-19 ha puesto de manifiesto el mayor nivel de resiliencia de las enti- dades que tenían un mayor despliegue de sus sis- temas información en la nube respecto de aquellas con unos sistemas de información tradicionales. La computación en la nube aporta notables ven- tajas a las entidades usuarias, pero también tiene riesgos importantes y afecta de forma significativa al sistema de control interno y a la seguridad, y por con- siguiente al trabajo de los auditores públicos. Al igual que la sociedad y las administraciones se están adap- tando a marchas forzadas a una nueva realidad, los auditores debemos apretar el paso y adaptarnos. Para ayudar a los auditores en esta tarea, la Conferencia de Presidentes de los OCEX aprobó el 20 de mayo pasa- do la GPF-OCEX 1403 Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios de computación en la nube. Una de las cosas más importantes sobre la que todos los auditores y las instituciones de control de- ben reflexionar es que, en general, dado el complejo entorno TIC, muchos de los procedimientos para revisar los controles internos y realizar las pruebas de auditoría deberán ser llevados a cabo por per- sonal especializado, idóneamente por auditores de sistemas de información que presten apoyo a los auditores integrados en los equipos de fiscalización. The use of cloud computing is a technology service provision that has long been used by large compa- nies and public administrations and has grown con- sistently in recent years. The Covid-19 crisis has shown that entities with a greater deployment of their information systems in the cloud have greater levels of resilience than those with traditional information systems. Cloud computing provides considerable advan- tages to user entities, but it also has major risks and significantly affects the internal control system and security, and therefore, the work of public audi- tors. Just as society and administrations are rapidly adapting to a new reality, we, the auditors, have to keep up the pace and adapt. To assist the auditors in this task, on 20 May the Conference of Presidents of OCEX (Regional External Control Bodies) ap- proved the Practical Guide for (GPF-OCEX 1403) Audit Considerations for an entity using a cloud computing services organisation. One of the most important things for all auditors and control institutions to reflect upon is that, in general, given the complex ICT environment, many procedures for reviewing internal controls and per- forming audit tests will need to be carried out by specialised personnel, ideally by information sys- tems auditors supporting the auditors on the audit teams. COVID-19, COMPUTACIÓN EN LA NUBE, CLOUD COMPUTING, CONTROL INTERNO, FUTURO, RIESGO DE AUDITORÍA, NIA-ES-SP, GPF-OCEX COVID-19, CLOUD COMPUTING, INTERNAL CONTROL, FUTURE, AUDIT RISK, NIA-ES-SP, GPF-OCEX RESUMEN/ ABSTRACT: PALABRAS CLAVE / KEYWORDS: