Page 124 - Revista de Auditoría Pública
P. 124

REVISTA AUDITORÍA PÚBLICA / 84






         Por tanto, durante la etapa de planificación se deben es-     mación por la que se garantiza que está ac-
         tablecer distintas fases que se plasmarán en un programa      cesible únicamente a personal autorizado a
         de trabajo. Se propone seguir los siguientes pasos para       acceder a dicha información.
         realizar una auditoría de un RPA:
                                                                    -   Integridad, es la propiedad de la información
         1.  Selección del equipo de trabajo con la experiencia y      por la que se garantiza la exactitud de los da-
            formación adecuada. Una de las principales conclusio-      tos transportados o almacenados, asegurando
            nes de los XV Encuentros Técnicos OCEX (Órganos de         que no se ha producido su alteración, pérdida
            Control Externo) señala que la formación tecnológica       o destrucción, ya sea de forma accidental o in-
            de los auditores y la incorporación de perfiles nativos    tencionada, por errores de software o hardwa-
            digitales a los equipos de auditoría, son condiciones      re o por condiciones medioambientales.
            necesarias para desarrollar correctamente las audito-
            rias del sector público en un entorno de administra-    -   Disponibilidad, se trata de la capacidad de un
            ción electrónica avanzada.                                 servicio, un sistema o una información, de ser
                                                                       accesible y utilizable por los usuarios o proce-
         2.  Solicitar  y  analizar  los  documentos  que  soportan  el   sos autorizados cuando éstos lo requieran.
            proceso de robotización, así como las guías con las
            definiciones y validaciones establecidas.               -   Autenticidad, propiedad o característica con-
                                                                       sistente en que una entidad es quien dice ser
         3.  Realizar un análisis de todos los posibles riesgos que    o bien que garantiza la fuente de la que proce-
            se pueden presentar. En el anterior apartado se ha         den los datos.
            determinado un listado de los mismos que se puede
            utilizar de base. Se puede utilizar como orientación la   -   Trazabilidad, propiedad o característica consis-
            GPF-OCEX 1315, en la que se identifican y se valoran       tente en que las actuaciones de una entidad
            los riesgos de incorrección material.                      (persona o proceso) pueden ser trazadas de
                                                                       forma indiscutible hasta dicha entidad.
         4.  Analizar los controles establecidos por el gestor, así
            como el control interno implementado.               ¡  Cumplimiento de seguridad de la aplicación en la
                                                                    que trabaja el RPA.
         5.  Análisis controles generales y de la aplicación:
                                                                ¡  Se pueden elaborar unos cuestionarios para remi-
            ¡  Cumplimento de los requisitos de la información      tir al gestor con los puntos que se van a verificar
                en especial la seguridad y privacidad.              para validar los controles:

            ¡  Análisis de los principales Controles Generales de   -   Cuestionario tecnológico sobre las aplicaciones.
                tecnología de la información (en adelante CGTI). Se
                puede utilizar como ayuda la GPF-OCEX 5330 Re-      -   Cuestionario sobre el Esquema Nacional de
                visión de los CGTI en un entorno de administración     Seguridad.
                electrónica. Según dicha GPF, los CGTI son contro-
                les de los procesos de TI de la entidad que apoyan el   ¡  Elaborar una prueba de recorrido verificando los
                funcionamiento continúo apropiado del entorno de    aspectos relativos al proceso que realiza el RPA.
                TI, incluido el funcionamiento continuo efectivo de   Dicha prueba implica seguir el rastro de una ope-
                los controles de procesamiento de la información    ración desde su inicio hasta su finalización, de
                y la integridad de la información (es decir, la com-  forma que se observe y evalúe cómo se aplican
                pletitud, exactitud y validez de la información) en   los controles, si las validaciones son realizadas co-
                el sistema de información de la entidad. Desde el   rrectamente, o si hay brechas o debilidades en los
                punto de vista del auditor los objetivos de los CGTI   controles internos.
                son proporcionar una garantía razonable de que los
                datos, la información y los activos de los sistemas   6.  Analizar los controles, así como las validaciones au-
                de información cumplen las siguientes propieda-  tomáticas y manuales. Se puede utilizar como base
                des, que coinciden con las cinco dimensiones de   la GPF-OCEX 5340, que detalla la revisión de los con-
                la seguridad de la información que establece el Es-  troles de procesamiento de la información (CPI) en un
                quema Nacional de Seguridad (en adelante ENS),   entorno de administración electrónica. Según dicha
                establecido en el Real Decreto 311/2022:        guía, los CPI son controles relacionados con el pro-
                                                                cesamiento de la información en aplicaciones de TI
                -   Confidencialidad, es la propiedad de la infor-  o procesamientos manuales de la información en el



          124
   119   120   121   122   123   124   125   126   127   128   129