1 42 Table of Contents 44 184

Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

• Pérdida de gobernanza. • Riesgos legales. • Brechas/Fuga de datos. • Uso inadecuado de usuarios administradores. • Inadecuada gestión de identidades, accesos y credenciales. • Dependencia del proveedor. • Portabilidad. • Disponibilidad. • Pérdida de trazabilidad. • Otros riesgos o riesgos no vinculados solo a la nube. De todos los riesgos existentes a nivel operativo, no solo los anteriores, el auditor debe, aplicando su juicio profesional, determinar cuáles son riesgos significativos a efectos de la auditoría financiera, es decir aquellos que pueden suponer un impacto significativo en las cuentas anuales y por tanto representan un riesgo de incorrec- ción material. Para poder valorar el riesgo de un entorno en la nube y aplicar la NIA-ES-SP/GPF-OCEX 1315 el auditor de la entidad usuaria habrá de: • Conocer la naturaleza del servicio recibido y el efecto en las áreas y materias objeto de la audito- ría, incluyendo el control interno. • Considerar la naturaleza y materialidad de las transacciones involucradas, controladas por la prestadora del servicio. • Tener en cuenta el control interno de la entidad usuaria en relación con los servicios o tareas ex- ternalizados. • Valorar la evidencia obtenida para la identifica- ción de riesgos. Se identificarán los riesgos y los controles de la forma prevista en la GPF-OCEX 1316, teniendo en conside- ración el efecto del tipo de servicio cloud que se utilice. El riesgo de auditoría es creciente conforme se in- crementa la complejidad del entorno informatizado. La estrategia del auditor de la entidad usuaria para valorar el riesgo derivado del uso de cloud computing consistirá, según la NIA-ES-SP 1402 en: • Tratar de obtener evidencia de los procedi- mientos de control interno sobre los servicios externalizados que tiene establecidos la propia entidad usuaria. Por ejemplo, la usuaria es la que autoriza todas las transacciones y la de servicios quien las contabiliza, siendo en este sentido la prestadora del servicio un mero ins- trumento. • Obtener evidencia en la entidad prestadora del servicio (CSP) de alguna de las siguientes formas: a) Obteniendo informe tipo 1. Un “informe tipo 1” es un informe sobre la descripción y el diseño de los controles del CSP, que comprende tanto: -una descripción preparada por la dirección del CSP del sistema de la organización de servicios (CSP), de los objetivos de control y de otros controles relacionados que se han diseñado e implementado en una fecha determinada; -un informe elaborado por el auditor del CSP, con el objetivo de alcanzar una seguridad razo- nable, que incluya su opinión sobre la descrip- ción del sistema de la organización de servicios, de los objetivos de control y otros controles re- lacionados, así como de la idoneidad del diseño de los controles para alcanzar los objetivos de control especificados. b) Obteniendo informe tipo 2. Se entiende por “in- forme tipo 2” aquel informe que contiene tanto: - una descripción, preparada por la dirección del CSP, del sistema del CSP, de los objetivos de control y otros controles relacionados que se han diseñado e implementado en una fecha de- terminada o a lo largo de un período específico y, en algunos casos, su eficacia operativa a lo largo de un período específico; - un informe elaborado por el auditor del CSP con el objetivo de alcanzar una seguridad razo- nable, que incluya su opinión sobre la descrip- ción del sistema de la organización de servicios, de los objetivos de control y otros controles re- lacionados, así como la idoneidad del diseño de los controles para alcanzar los objetivos de control especificados y la eficacia operativa de dichos controles; y una descripción de las prue- bas de controles realizadas por el auditor y de los resultados obtenidos. c) Obteniendo información específica, a través de la entidad usuaria, sobre la prestadora del servicio. d) Visitando y aplicando directamente procedimien- tos de auditoría sobre la prestadora del servicio. • Recurriendo a otro auditor a fin de que aplique determinados procedimientos. 8. REVISIÓN DE LOS CONTROLES GENERALES DE TI (CGTI) Y DE LOS CONTROLES DE APLICACIÓN Una vez obtenido un adecuado conocimiento del ente a auditar e identificados y valorados los riesgos significativos, el auditor debe evaluar el diseño e im- plementación de los controles internos relevantes que sirven para prevenir, detectar o corregir los riesgos o errores relacionados con los servicios prestados por el Auditando en la nube (no en las nubes) 41 Auditoría Pública nº 75 (2020), pp. 35 - 44

RkJQdWJsaXNoZXIy MTEw