Page 111 - Revista de Auditoría Pública
P. 111
Auditoría de sistemas de información. Práctica y desarrollo en la Cámara de Comptos de Navarra
En la sección de ‘Descripción de la actividad, de los pro- efectivo’ se incluyen los controles que, de acuerdo con la
cesos de gestión y del SI’ se proporciona información mencionada GPF-OCEX, se calificarían como ‘Poco efec-
general de la actividad de que se trata y se describe su tivos’ y ‘No efectivos o no implantados’. En todo caso,
organización, los procesos de gestión, el SI y la principal este cuadro tiene un carácter meramente ilustrativo. La
normativa aplicable. Frecuentemente va acompañada de conclusión de síntesis no se expresa en términos cuan-
esquemas o flujogramas que faciliten su compresión. titativos y se alcanza mediante la aplicación del juicio del
Debe hacerse un esfuerzo de claridad y concisión y va- auditor, teniendo en cuenta los niveles de madurez de
lorar la posibilidad de trasladar información a los anexos los procesos según la Guía de seguridad CCN-STIC 804
siempre que ello no dificulte la comprensión del informe. (GPF-OCEX 5330), la importancia relativa de los distintos
Generalmente, en aras de la brevedad y concisión, estos controles, procesos y subprocesos, así como las relacio-
contenidos se incluyen como apéndice. Únicamente se nes existentes entre ellos.
presentan como una sección específica antepuesta a la
de objetivos y alcance cuando se considera que ello re- El párrafo que expresa la conclusión de la auditoría de SI
sulta imprescindible para que las personas destinatarias tiene una redacción análoga a la utilizada en los informes
y usuarias del informe puedan comprender los objetivos, de fiscalización financiera y de cumplimiento, aunque
alcance, conclusiones y recomendaciones del informe. con cierta flexibilidad para expresar las deficiencias o al-
gún otro aspecto muy significativo de la auditoría. Así,
La sección de ‘Opinión’ incluye una conclusión de sínte- por ejemplo, en el informe ‘Gestión de la prestación far-
sis sobre el control interno y, según el caso, la opinión macéutica en el Servicio Navarro de Salud-Osasunbidea’,
de auditoría financiera y/o de cumplimiento. Por su parte, se concluye:
la sección ‘Conclusiones y recomendaciones’ desarrolla ‘De los resultados derivados del cuadro anterior destaca-
las principales conclusiones del informe, tanto relativas a mos que el control sobre el proceso de gestión de altas,
SI y a otros aspectos de la fiscalización, y presenta las modificaciones y bajas de usuarios de las aplicaciones
principales recomendaciones destacando algunas de ellas ATENEA, HCI y LAMIA es inefectivo, habiendo consta-
como prioritarias. tado, entre otros aspectos indicados en el epígrafe V de
este informe, que el procedimiento existente no está ac-
La conclusión de síntesis sobre el control interno inclu- tualizado, si bien existen actualmente dos proyectos para
ye una tabla resumen de los controles analizados en la llevar a cabo esta actualización.
auditoría, distinguiendo los controles generales y los con- En nuestra opinión, a excepción de lo señalado en el pá-
troles de procesamiento de información. Con base en lo rrafo anterior, cabe concluir que el nivel de control interno
previsto en la GPF-OCEX 5340–‘Revisión de los CPI en un existente en los procedimientos de gestión de la presta-
entorno de administración electrónica’, cada uno de los ción farmacéutica y en los sistemas de información que
controles se califica como ‘efectivo’, ‘bastante efectivo’, los soportan, aporta un nivel de confianza razonable para
‘no efectivo’ o ‘no verificable’. Dentro de la categoría ‘No garantizar su correcta ejecución, la adecuada contabili-
111
