Page 104 - REVISTA AUDITORÍA PUBLICA 86
P. 104
El deber de la Intervención Local de revisar los controles de seguridad de la información. La metodología de los controles básicos...
quetas de Mar y Granada, la estafa man in the middle su- plimientos. Se trata de una metodología de trabajo que
frida por el Ayuntamiento de Sevilla o el fraude del CEO parte de un conocimiento profundo de la organización, de
en la Empresa Municipal de Transportes de Valencia. su entorno y de sus procesos clave, para identificar dónde
se concentran las mayores vulnerabilidades. A partir de
Conscientes de la importancia de evaluar los controles esa valoración, la auditoría se planifica de forma selectiva,
de seguridad de la información, los Órganos de Control dirigiendo más recursos y pruebas hacia los ámbitos de
Externo aprobaron en 2018 la GPF–OCEX 5313 Revisión mayor exposición, y reduciendo la intensidad de revisión
de los controles básicos de ciberseguridad (CBCS), con en aquellos otros con un riesgo bajo. Este enfoque busca
el propósito declarado de permitir formar una idea ge- optimizar la eficiencia del trabajo, aumentar la probabilidad
neral de la situación en la entidad revisada sin requerir de detectar errores significativos y, al mismo tiempo, ofre-
la dedicación de excesivos recursos especializados. Esta cer conclusiones más útiles para la gestión.
guía se elaboró de forma completamente alineada con
los requerimientos del ENS, pero reduciendo a ocho los En entidades con uso intensivo de tecnologías de la in-
controles a evaluar. Como se menciona en la propia guía, formación, como son las entidades locales actuales, ese
se estima que solo con el adecuado funcionamiento de conocimiento y evaluación del control interno de la enti-
los seis primeros controles (CBCS 1 a 6), es posible re- dad que debe hacer el auditor implicará evaluar las me-
peler el 85% de los ataques informáticos. didas de seguridad informática aplicadas por la entidad,
al menos respecto a los tipos de transacciones, saldos
La metodología de la GPF–OCEX 5313 presenta, ade- contables o información a revelar significativos.
más, la virtud de ofrecer resultados cuantitativos, eva-
luando la existencia de los controles en índices de madu- En la valoración de riesgos, la NIA–ES 315 revisada y su
rez (0-100%), de modo que permite la comparación entre transposición en la GPF–OCEX 1315 revisada obligan al
administraciones, el seguimiento de la evolución en una auditor a obtener un conocimiento suficiente de la enti-
misma entidad a lo largo del tiempo, y la medición de dad y de su entorno, incluyendo su modelo de negocio
la distancia existente entre la situación actual y el nivel y la forma en que este se apoya en las tecnologías de
mínimo exigido normativamente. la información. Este conocimiento resulta esencial para
identificar los riesgos derivados del uso de las TI, aunque
Hasta la fecha han sido cuatro los OCEX que han iniciado no todos ellos se materializan en riesgos de incorrec-
la revisión de los CBCS en entidades locales: la Sindica- ción significativa en las cuentas anuales. En particular,
tura de Cuentas de la Comunidad Valenciana, el Consejo los riesgos de ciberseguridad son inherentes a cualquier
de Cuentas de Castilla y León, el Consejo de Cuentas de organización, pero su impacto contable dependerá del
Galicia y la Sindicatura de Cuentas de Cataluña, que han grado de digitalización de la entidad y de la criticidad de
evaluado un total de 7 diputaciones, 35 ayuntamientos y sus sistemas de información en la gestión económico–
una empresa pública municipal, realizándose en algunos financiera.
casos informes de seguimiento sobre la misma entidad.
El conjunto de informes emitidos por los OCEX sobre
los CBCS permite observar un nivel realmente bajo en el 3. Responsabilidades de las intervenciones
cumplimiento de las obligaciones impuestas por el ENS.
De todas las entidades analizadas, únicamente la Dipu- locales respecto a los controles de
tación de A Coruña cumplía inicialmente con los niveles ciberseguridad.
de madurez mínimos exigidos por el ENS, y en los infor-
mes de seguimiento realizados solo el Ayuntamiento de Dentro de las funciones tradicionales de los intervento-
Benidorm pudo mejorar lo suficiente para alcanzar esos res locales resultaría, en principio, impensable extender
niveles mínimos obligatorios. su ámbito de actuación hasta abarcar controles técnicos
sobre las tecnologías de la información, pues la función
interventora se ha configurado históricamente en torno
2. El enfoque de riesgos en la auditoría de a la fiscalización de la legalidad, la regularidad contable y
la verificación del destino correcto de los recursos públi-
cuentas y el papel de las tecnologías cos, y en cualquier caso sería el correspondiente depar-
de la información. tamento informático de la entidad, dotados de personal
especializado en la gestión y protección de los sistemas
El modelo de auditoría contemporáneo, tanto en el sec- tecnológicos, los llamados a diseñar, implantar y mante-
tor privado como en el público, pivota sobre un enfoque ner los controles técnicos necesarios en materia de se-
basado en riesgos, según el cual el auditor centra sus es- guridad de la información.
fuerzos en aquellas áreas donde es más probable que se
produzcan errores significativos, irregularidades o incum- Sin embargo, como hemos visto, la evaluación del riesgo
103
