Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

de estados financieros de la entidad usuaria (limitación al alcance), deberá emitir un informe de auditoría que exprese una opinión modificada, de conformidad con la NIA-ES-SP 1705 R o la GPF-OCEX 1730. Esto puede deberse a: • el auditor de la entidad usuaria no puede ob- tener conocimiento suficiente de los servicios prestados por la organización de servicios y no tiene una base suficiente y adecuada para identificar y valorar los riesgos de incorrec- ción material; • la valoración del riesgo por el auditor de la entidad usuaria parte del supuesto de que los controles de la organización de servicios fun- cionan eficazmente y el auditor de la entidad usuaria no puede obtener evidencia de audito- ría suficiente y adecuada sobre la eficacia ope- rativa de dichos controles; o • la evidencia de auditoría suficiente y adecuada sólo está disponible en los registros manteni- dos en la organización de servicios y el auditor de la entidad usuaria no puede obtener acceso directo a dichos registros. La opinión será con salvedades o denegada depen- diendo de la conclusión del auditor con respecto a si los posibles efectos sobre los estados financieros son mate- riales o generalizados. Dada la relevancia creciente que están adquiriendo estos servicios y en consecuencia la dependencia cada vez mayor de los CSP, junto con los riesgos de ciber- seguridad, la revisión de los contratos cloud y las defi- ciencias, en su caso, detectadas deben reflejarse en los informes de fiscalización considerando y evaluando cuidadosamente su significatividad. 11. A MODO DE CONCLUSIÓN Si a principios de año nuestra sociedad, nuestras administraciones públicas, nuestro entorno de traba- jo en definitiva, se caracterizaba por un alto grado de desarrollo de las TIC, el mundo post-COVID-19 va a experimentar una aceleración notable del proceso de implantación de la administración electrónica. Y ade- más con una característica diferencial muy relevante: se han roto las barreras sicológicas y culturales al traba- jo en remoto y a la utilización de la computación en la nube. La computación en la nube ha pasado de verse por muchos como una fuente de riesgos y de pérdida de control, a considerarse una herramienta muy útil, senci- lla de desplegar, que facilita la gestión en estos tiempos tan complicados. Pero este cambio afecta de forma importante a nues- tras auditorías. Igual que la sociedad y las administra- ciones se están adaptando a marchas forzadas a una nueva realidad, los auditores debemos apretar el paso y adaptarnos también, sin excusas y sin demora . Los auditores debemos adquirir unos conocimientos mínimos suficientes que nos permitan entender cómo está estructurado el sistema de información y de control interno de los entes que fiscalizamos cuando está total o parcialmente desplegado en la nube, debemos entender cómo afecta a nuestras auditorías y debemos aprender a auditar en la nube y evitar que los nuevos tiempos nos pillen en las nubes . En consecuencia, una de las cosas más importantes sobre la que todos los auditores y las instituciones deben mentalizarse es que, en general, dado el complejo en- torno TIC, muchos de los procedimientos para revisar los controles internos y realizar las pruebas de auditoría deberán ser llevados a cabo por personal especializado, idóneamente por auditores de sistemas de informa- ción que presten apoyo a los auditores integrados en los equipos de fiscalización. Aunque este tipo de perfiles profesionales se están in- corporando poco a poco a las plantillas de los OCEX, es un proceso que sin duda debe acelerarse a corto plazo. La sociedad no espera. Auditando en la nube (no en las nubes) 43 Auditoría Pública nº 75 (2020), pp. 35 - 44 BIBLIOGRAFÍA ASOCEX: GPF-OCEX 5311 Ciberseguridad, seguridad de la información y auditoría externa, 27/11/2017 GPF-OCEX 5313 Revisión de los controles básicos de ciberseguridad, 12/11/2018 GPF-OCEX 5330 Revisión de los controles generales de tecnologías de información en un entorno de administración electrónica, 12/11/2018 GPF-OCEX 1403 Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios de computación en la nube, 20/05/2020 NIA-ES-SP 1402 Consideraciones de auditoría relativas a una entidad que utiliza una organización de ser- vicios.