Page 106 - Revista de Auditoría Pública
P. 106

REVISTA AUDITORÍA PÚBLICA / 84






         Las entidades públicas vienen adoptando  progresiva-   •  ‘Servicios de pago telemático de la Administra-
         mente innovaciones en materia de sistemas de informa-      ción de la Comunidad Foral de Navarra’ (2021).
         ción (SI), que están conduciendo a una transformación
         del modo de gestión y prestación de los servicios pú-  •  ‘¿Es adecuada la gestión de las listas de espe-
         blicos, acelerada en los últimos años, que exige que las   ra en el Servicio Navarro de Salud-Osasunbidea
         entidades públicas tengan que funcionar como platafor-     (2018-2022)?’.
         mas digitales que proporcionan servicios e infraestructu-
         ra para SI basados en tecnologías de la información y la   •  ‘Sistema de contratación temporal de perso-
         comunicación (TIC).                                        nal  docente  en el Departamento  de Educación
                                                                    (2020-2022)’.
         Esta transformación puede permitir evidentes beneficios
         para el funcionamiento del sector público desde el pun-  La elaboración de estos informes ha supuesto un proce-
         to de vista de la eficacia y la eficiencia, pero, da lugar a   so interno de aprendizaje y adaptación que sigue en de-
         nuevos riesgos, como pone de manifiesto el creciente   sarrollo, del cual hemos extraído una serie de conclusio-
         número de incidentes de ciberseguridad.             nes y experiencias que nos parece interesante compartir.

         En consecuencia, es necesario que las entidades públi-
         cas adopten controles para garantizar la protección de la   Auditoría de SI vs. análisis de datos
         información dentro de la entidad con independencia de   en auditoría
         su formato (seguridad de la información) y la protección
         de los activos de información procesada almacenada y   Ante todo, es  importante subrayar la diferencia entre
         transportada a través de redes y SI interconectados (ci-  una auditoría de SI y la realización de análisis de datos
         berseguridad). Todo ello con el objetivo de garantizar las   en el marco de una auditoría. Aunque ambas requieran
         cinco dimensiones de la seguridad de la información:   de conocimientos en sistemas y bases de datos, el ob-
         confidencialidad, integridad, autenticidad, disponibilidad   jetivo último de cada uno es esencialmente diferente.
         y trazabilidad.

                                                             El análisis de datos presenta indudables ventajas para
         En este entorno, es imprescindible que los OCEX desa-  realizar las pruebas de auditoría en el contexto de una
         rrollen las capacidades adecuadas para tener en cuenta   auditoría financiera, de cumplimiento, operativa e inclu-
         las cuestiones relativas la seguridad de la información en   so de una auditoría de SI.
         el contexto de las auditorías financieras, de cumplimien-
         to u operativas, pero también para la realización de audi-  Sin embargo, la auditoría de SI tiene como objetivo eva-
         torías específicas de seguridad de la información.
                                                             luar los controles de un sistema de información basado
                                                             en TIC a fin de evaluar la fiabilidad de los datos utilizados
         Las Guías Prácticas de Fiscalización de los OCEX (GPF-  en un sistema de gestión objeto de una auditoría finan-
         OCEX) sobre auditoría de TI constituyen una orientación   ciera, de cumplimiento u operativa, así como formular
         muy valiosa y práctica. No obstante, la propia naturaleza   recomendaciones con una finalidad preventiva: reducir
         de muchos SI y de este tipo de auditoría hace que la rea-  la probabilidad de que el ejercicio de la función de la
         lización de este tipo de trabajos resulte compleja.
                                                             entidad pública pueda verse afectado por impactos ad-
                                                             versos de origen interno o externo a la organización, así
         La Cámara de Comptos de Navarra viene realizando au-  como el efecto negativo que estos podría tener sobre
         ditorías de SI desde 2018. Desde entonces, ha emitido   la misma.
         los siguientes informes con objetivos específicos de au-
         ditoría de SI:

            •  Gestión de la prestación farmacéutica en el Ser-  La importancia del equipo de auditoría
                vicio Navarro de Salud–Osasunbidea’ (2019).
                                                             La configuración del equipo de auditoría resulta deter-
            •  ‘Gestión de la nómina del personal funcionario   minante para el desarrollo del trabajo. Desde nuestra
                del Departamento de Educación’ (2019).       experiencia, consideramos idóneo formar equipos ple-
                                                             namente integrados.  Además del auditor, el equipo in-
            •  ‘Retribuciones variables del Servicio Navarro de   corpora, como mínimo, un miembro de perfil técnico
                Salud–Osasunbidea (2018-2019)’,              formado en ciberseguridad y SI y un técnico o técnica
                                                             de auditoría, que no es necesario que disponga de for-
            •  ‘Gestión del Impuesto sobre la Renta de las Per-  mación específica en materia informática.
                sonas Físicas (2015-2019)’                   Inicialmente la Cámara de Comptos contó con la cola-



          106
   101   102   103   104   105   106   107   108   109   110   111