Page 108 - Revista de Auditoría Pública
P. 108

REVISTA AUDITORÍA PÚBLICA / 84






            con las áreas responsables de los procesos de ges-     En todo caso, se analizará una selección de controles
            tión como con las áreas técnicas informáticas, lo   generales considerados más relevantes en función
            que proporcionará un conocimiento más completo y    de las particularidades del sistema de gestión objeto
            vendrá facilitado por la composición mixta del propio   de la auditoría.
            equipo de auditoría.                                Los principales tipos de controles que analizamos de
                                                                manera habitual son:
            Con frecuencia, el SI no está desarrollado y mantenido
            por personal interno, sino por proveedores externos.   •  Los relativos a control de acceso a la información
            Esto puede propiciar incoherencias, riesgos potencia-   (alta, baja, revisión de usuarios y sus roles y per-
            les y dificultades para implementar actualizaciones y   misos).
            mejoras. Además, puede suponer una dificultad para
            el desarrollo del trabajo de auditoría ya que el conoci-  •  Revisión de los privilegios administrativos, tanto
            miento del SI no se encuentra en la organización y la   a nivel de aplicación como de bases de datos.
            interlocución puede resultar menos fluida.
                                                                •  Gestión de cambios en las aplicaciones.
            En esta fase conviene solicitar acceso a las principa-
            les aplicaciones y bases de datos del SI. El acceso   •  Gestión de trazas.
            a las aplicaciones permitirá formarse una idea sobre
            las funcionalidades de cada una y de los distintos ro-  •  Revisión de los interfaces.
            les de usuario. El acceso a las bases de datos, junto
            a la descripción del modelo de datos, permite cono-  •  Gestión de las tareas de operación.
            cer directamente su estructura y contenido y hacer
            una evaluación preliminar de la calidad de los datos,      Con cierta frecuencia, los SI auditados comparten in-
            que es indicativa de la calidad del SI. Todo ello deberá   fraestructura o algunas aplicaciones con otros SI que
            tenerse en cuenta en el diseño de las pruebas de    han sido auditados con anterioridad. En la medida en
            auditoría, también a efectos de valorar su viabilidad.  que los resultados de dichas auditorías sigan siendo
                                                                relevantes, podremos tenerlos en cuenta en nuestro
            ¡  Evaluación de los controles generales            trabajo a efectos de establecer el diseño, extensión
                                                                y momento de realización de las pruebas.
            Se revisará el cumplimento del Esquema Nacional de
            Seguridad (ENS). Si la entidad dispone de una audito-  ¡  Identificación de riesgos y controles
            ría sobre el cumplimiento del ENS, esta ofrecerá in-
            formación muy valiosa para nuestra evaluación de los      Se trata de identificar tanto las posibilidades de que
            controles generales de tecnologías de la información   el funcionamiento o los resultados del SI se vean al-
            (CGTI).                                             terados de manera indebida como consecuencia de


































          108
   103   104   105   106   107   108   109   110   111   112   113