Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

CSP, valorar el riesgo de control y determinar el enfoque de auditoría a aplicar (de cumplimiento o sustantivo). El auditor obtendrá información referida al diseño e implementación de los controles y valorará el nivel de riesgo preliminar, en función del cual decidirá si es conveniente continuar con la comprobación de los controles mediante pruebas que permitan evaluar su eficiencia operativa, aplicando un enfoque de cum- plimiento si el riesgo de control es bajo o aplicando un enfoque sustantivo, cuando el riesgo de control sea muy alto. Dicho análisis debe ser realizado para dos catego- rías de controles, los CGTI y los controles de aplica- ción, evaluándolos en ese orden, en la medida en que el mal funcionamiento de los primeros invalida los segundos. La revisión de los CGTI será análoga al trabajo que se realiza cuando se auditan los sistemas de información en el marco de una auditoría financiera en una entidad que no utiliza servicios cloud. Es decir, se debe aplicar la GPF-OCEX 5330, Revisión de los CGTI en un entorno de administración electrónica , sobre los relacionados con las áreas significativas para la auditoría. Pero cuando el ente auditado haga uso de servicios cloud, se adapta- rá este trabajo para incluir en el alcance de la revisión los controles que, en función de la categoría de servi- cio (IaaS/PaaS/SaaS), sean responsabilidad directa de la entidad auditada. También se deberá prestar especial atención a la revisión del contrato del servicio cloud y al seguimiento del cumplimiento de los indicadores de nivel de servicio establecidos en éste. Por último, cabe señalar que determinadas compro- baciones de los CGTI podrán darse por cumplidas si el CSP dispone de auditorías de seguridad (ENS, pro- tección de datos), tal como se señala en la GPF-OCEX 5330, o si se dispone de informes de auditoría tipo 2, con los requisitos que establece el párrafo 17 de la NIA- ES-SP 1402. En la revisión de los controles de aplicación y de las interfaces se seguirá la metodología ordinaria (GPF- OCEX 5340) teniendo muy en cuenta los riesgos deri- vados de su gestión en la nube. 9. OBTENCIÓN DE EVIDENCIA ELECTRÓNICA, UTILIZACIÓN DE TÉCNICAS Y DE HERRAMIENTAS INFORMÁTICAS PARA EL ANÁLISIS DE DATOS Cuando se audite en un entorno cloud la práctica totalidad de la evidencia disponible será electrónica. Se deberán aplicar los criterios de actuación en relación con este tipo de evidencia señalados en las guías prác- ticas de fiscalización de los OCEX, en particular en la GPF-OCEX 1503: La evidencia electrónica de auditoría . No es posible la estandarización de procedimientos para la obtención, análisis y presentación de evidencias, debido a la diversidad de las arquitecturas de la nube y a que cada servicio y aplicación es distinta a los demás, debiéndose adaptar los programas y procesos de obten- ción de evidencias a cada caso en particular, si bien hay diversos factores que afectan a la cantidad y detalle de las evidencias que podrán obtenerse durante la ejecu- ción de una auditoría: • Como ya se ha señalado, las cláusulas inclui- das en el contrato afectarán al desarrollo de la auditoría. Puede acordarse con el proveedor el envío de informes del servicio, reportes de incidencias, informes de auditoría llevados a cabo por el proveedor, etc. • El modelo de servicio también es un factor clave a la hora de obtener evidencias. En un modelo SaaS, las evidencias accesibles al audi- tor externo son más limitadas, sin que llegue a obtenerse demasiada información sobre la infraestructura que soporta el servicio, pero sí sobre el acceso a ésta. Sin embargo, un modelo IaaS, permitirá la obtención de evidencias más ricas sobre dicha infraestructura y su funcio- namiento. • A medida que la madurez de la organización en relación con el uso de servicios cloud au- menta, así como el gobierno cloud mejora, habrá una mayor cantidad de evidencias dis- ponibles como fruto del control que la organi- zación ejerce sobre el servicio. Al planificar las pruebas a realizar, el auditor debe evaluar la disponibilidad de la información para los fi- nes de la auditoría y los riesgos específicos de su uso. La misma puede verse afectada por características propias de la evidencia electrónica, como la falta de visibilidad de los registros de auditoría por la inexistencia de so- porte documental material de los archivos electrónicos. Asimismo, debe evaluarse el nivel de fiabilidad , con- siderando cómo se haya obtenido cada evidencia. Aun- que una evidencia no se haya manipulado de manera malintencionada, sigue existiendo la posibilidad de que ésta no sea relevante o que el proceso de obtención no haya sido apropiado. 10. EFECTOS EN LOS INFORMES DE FISCALIZA- CIÓN Si el auditor no puede obtener evidencia de auditoría suficiente y adecuada con respecto a los servicios pres- tados por el CSP que sean relevantes para la auditoría 42 Junio nº 75 - 2020 AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS

RkJQdWJsaXNoZXIy MTEw