1 41 Table of Contents 43 184

Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

los pliegos, la revisión de estos es un punto fundamental en el trabajo de auditoría con efecto tanto en el control interno como en el cumplimiento legal. 5. CONSIDERACIONES GENERALES QUE DEBEN REALIZARSE EN UNA AUDITORÍA FINANCIERA Un auditor debe, como parte esencial de sus pro- cedimientos de auditoría financiera, conocer el siste- ma de información y de control interno de la entidad auditada, identificar riesgos y controles, incluidos los basados en las TIC, y diseñar y ejecutar las pruebas pertinentes adaptadas a las circunstancias particula- res. En la medida que alguna de las áreas significativas para la auditoría (por ejemplo, la gestión tributaria en un ayuntamiento, las nóminas o la gestión económica y contable en una entidad) se gestione mediante apli- caciones en la nube, el auditor deberá adaptar conve- nientemente sus procedimientos para tener en cuenta las características y riesgos específicos de ese entorno tecnológico. Un entorno cloud no es sino una parti- cularidad de un entorno TIC, con sus características y riesgos específicos. De acuerdo con el enfoque de riesgo y lo previsto en la NIA-ES-SP 1315/GPF-OCEX 1315/1316, Identifica- ción y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno , el auditor deberá tener en cuenta en cada etapa de la auditoría el efecto sobre su trabajo del hecho de que una parte significativa de la gestión del ente auditado esté soportada mediante sistemas TIC y, si fuera el caso, me- diante el procesamiento en la nube. Por otra parte, los servicios de computación en la nube o cloud computing solo son un caso particular de los servicios contemplados en la NIA-ES-SP 1402 “Con- sideraciones de auditoría relativas a una entidad que uti- liza una organización de servicios” . La NIA-ES-SP 1402 y la GPF-OCEX 1403 se aplican cuando una entidad auditada (usuaria) recibe servi- cios de cloud computing de otra entidad (organización de servicios o entidad prestadora o CSP) relacionados con aquellas áreas de la entidad (contabilidad, com- pras, personal, ingresos, etc) en las cuales el auditor tiene que valorar el riesgo, aplicar procedimientos de auditoría, revisar el sistema de control interno y ob- tener evidencia de auditoría, que es lo que requiere la NIA-ES-SP/GPF-OCEX 1315 y la NIA-ES-SP/GPF- OCEX 1330. El objetivo de una auditoría financiera no varía por el hecho de que una entidad tenga varios servicios y aplicaciones significativas operando en la nube me- diante un contrato de servicios . 6. CONOCIMIENTO DE LA ENTIDAD AUDITADA, DE SUS SISTEMAS DE INFORMACIÓN Y DE CON- TROL INTERNO Un primer paso fundamental en la etapa de planifica- ción, de acuerdo con los previsto en la GPF-OCEX 1316 El conocimiento del control interno de la entidad, consis- te en lograr un conocimiento profundo de la actividad del ente auditado, de sus operaciones y de su entorno. El auditor debe adquirir una clara comprensión del proceso de gestión auditado y conocer qué parte de este y qué actividades se realizan directamente por la entidad auditada, y cuáles son servicios prestados por el provee- dor cloud, qué aplicaciones significativas hay en la nube e identificar las interfaces significativas. El conocimiento debe incluir dónde se almacenan los datos, los controles existentes y cómo se puede acceder a ellos para realizar muestreos, análisis de datos y todo tipo de pruebas. Se indagará sobre el tipo de servicio cloud y la re- lación contractual con el CSP. Una adecuada compren- sión del modelo de servicio y de distribución de respon- sabilidad adoptado por el ente será fundamental, dado que no solo poseen características propias, sino que en principio pueden representar diferentes tipos de riesgos que pueden afectar la información financiera. El equipo de auditoría debe conocer la diferencia en- tre las distintas formas de prestación del servicio cloud y de los riesgos asociados a cada una, que pueden ser muy diferentes, por eso es importante conocer el tipo de servicio contratado en cada caso. 7. IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS CUANDO SE UTILIZA LA COMPUTACIÓN EN LA NUBE La adopción de servicios en la nube aporta notables ventajas, pero introduce nuevos riesgos que han de ser identificados y controlados. La identificación de riesgos asociados al servicio cloud contratado varía en cada en- tidad, puesto que el tipo, las características y el uso de los servicios contratados determinará en gran medida los riesgos a los que está expuesta. El auditor de la entidad usuaria valorará si la exis- tencia de la entidad prestadora de servicios aumenta o disminuye el riesgo de incorrección material (por ejem- plo, al ser la prestadora una organización especializada, puede reducirse el riesgo; sin embargo, éste puede ser aumentado cuando el servicio se ha exteriorizado bus- cando abaratar los costes y se ha desmantelado un ser- vicio propio de la usuaria, y ésta no disponga de medios para supervisar el contrato). Los principales riesgos derivados o acentuados por el uso de soluciones cloud que se citan en la GPF-OCEX 1403 son: 40 Junio nº 75 - 2020 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS

RkJQdWJsaXNoZXIy MTEw