Page 125 - Revista de Auditoría Pública
P. 125
La automatización en las Administraciones públicas: cómo auditar un sistema RPA
sistema de información de la entidad que responden 6. Tips para elaboración del informe.
directamente a los riesgos para la integridad de la in-
formación (es decir, la completitud, exactitud y validez
de las transacciones y otra información) y el cumpli- Cuando se realiza una auditoría sobre un RPA, se puede
miento de la legalidad. Algunos aspectos para revisar plantear como una auditoría operativa en la que se analiza
pueden ser los siguientes: el sistema RPA o bien, analizarlo como parte del análisis
del control interno en un informe de cumplimiento.
¡ Revisión de las validaciones para comprobar si
han funcionado a través de pruebas de cumpli- A continuación, se indican algunos consejos para elaborar
miento y de pruebas en detalle. un informe de auditoría de un sistema RPA:
¡ Pedir las evidencias de los controles realizados y ¡ Las incidencias que se expongan en el informe
revisarlas. deben plasmarse de forma que sean fácilmente
entendibles por los distintos destinatarios del in-
¡ Solicitar la base de datos para analizar la validez e forme, por lo que debe utilizarse un lenguaje ade-
integridad de los mismos. cuado para facilitar la comprensión del mismo
¡ Elaboración de un flujograma para comprobar si el ¡ Indicar la documentación que se haya utilizado
procedimiento escrito se ajusta a la realidad. para el diseño del robot, así como las distintas
validaciones programadas y realizadas por el mis-
7. Comprobar si se han establecido controles que garanti- mo.
zan que los robots son dados de baja oportunamente.
¡ Plasmar las debilidades que se han detectado
8. Elaborar un documento con las incidencias que se van durante el análisis del entorno informático en el
detectando para que sirva de base durante la elabora- que se soporta el RPA. En el siguiente cuadro se
ción del informe. exponen ejemplos de algunas debilidades:
- No disponer de la Declaración de aplicabilidad atendiendo a lo dispuesto en el artículo 27 del Real Decreto
311/2022 por el que se regula el ENS.
- No contar con el análisis de riesgo que se establece en el Anexo III del ENS.
RELATIVAS AL - No disponer de evidencia de la revisión y aprobación anual del análisis de riesgos aportado.
ESQUEMA - No realización de la auditoría o autoevaluación de la implantación del ENS que se establece en el Real
NACIONAL Decreto 311/2022.
SEGURIDAD - No disponer de mecanismos de almacenamiento seguro de las contraseñas de los usuarios utilizados por
los robots, ni limitar el login a las aplicaciones y máquinas estrictamente necesarias.
- No se disponen de mecanismos que permitan limitar y controlar los accesos al entorno de producción de
la infraestructura del robot.
RELATIVAS A LA - No disponer de una estrategia para la implantación de robots acorde con las expectativas y aprobada
ESTRATEGÍA por la Dirección
DEFINIDA Y LAS - No se han establecido políticas y normas asociadas que sirvan como requisitos mínimos para el uso de
POLÍTICAS robots a nivel global.
ESTABLECIDAS
- Validaciones que ha realizado el robot y que no se han ejecutado de forma correcta
- Validaciones en las que el RPA las ha realizado de forma correcta, detectando la falta de cumplimiento
de requisitos y, aun así, se ha continuado con el trámite del procedimiento teniendo como consecuencia
RELATIVAS A LAS posibles incumplimientos.
VALIDACIONES - No se leen de forma correcta los documentos incluidos en el sistema para la relización de las validaciones.
REALIZADAS POR - No existe trazabilidad en el sitema informático que garantice por quién ha sido realizada la validación.
EL RPA - No se muestran los cambios en el estado de la validación durante la tramitación.
- No se puede garantizar que los datos de las validaciones registradas en el sistema informático se encuen-
tren actualizados y conformes con el resultado obtenido.
- Validaciones que han dado errores y finalmente se realizan de forma manual, con los consiguientes riesgos.
Fuente: Elaboración propia.
125
