Page 129 - REVISTA AUDITORÍA PUBLICA 86
P. 129

REVISTA AUDITORÍA PÚBLICA / 86






            Fase 1. Análisis del sistema.                       e)  Análisis de las APIs de las que se obtiene infor-
                                                                    mación.
            -   Objetivo: identificar con precisión el tipo de ac-  -   Herramientas: GPF-OCEX 1315 (riesgos de inco-
                tuación automatizada y su marco de referencia.      rrección material), minería de procesos (process
            -   Acciones principales: Análisis del entorno y del    mining), auditoría de código y parametrizaciones,
                sistema que va a ser objeto de auditoría            pruebas de integridad de datos, análisis compa-
            a)  Determinación del nivel de automatización (par-     rativo con estándares internacionales.
                cial/total; sistemas deterministas vs. sistemas
                no deterministas).                              Fase 4. Revisión de controles.
            b)  Identificación de las tecnologías implicadas (RPA,
                IA, machine learning, bases de datos interopera-  -   Objetivo: comprobar la existencia y eficacia de
                bles…).                                             los controles establecidos.
            c)  Análisis del marco normativo aplicable: Esque-  -   Acciones principales:
                ma Nacional de Seguridad (RD 311/2022), RGPD,   a)  Validación de accesos: gestión de identidades,
                normativa sectorial y planes de digitalización.     roles y permisos, bajas oportunas.
            -   Herramientas: matrices de clasificación, análisis   b)  Revisión de backups y planes de continuidad de
                documental, entrevistas preliminares con res-       negocio.
                ponsables técnicos.                             c)  Análisis de logs y trazabilidad de operaciones
                                                                    realizadas por el sistema.
            Fase 2. Revisión organizativa.                      d)  Revisión de pruebas de funcionalidad y control
                                                                    interno realizadas por la entidad antes de la pues-
            -   Objetivo: evaluar la gobernanza algorítmica y la    ta en producción.
                estructura institucional que soporta el sistema.  -   Herramientas: técnicas CAATs, auditoría de logs
            -   Acciones principales:                               históricos, cuestionarios de cumplimiento ENS,
            a)  Análisis de responsabilidades asignadas (desig-     pruebas de recorrido (walkthrough), simulacio-
                nación de responsables del sistema, control hu-     nes de incidencias.
                mano en fases críticas).
            b)  Revisión de la estrategia institucional de auto-  Fase 5. Análisis ético y jurídico.
                matización y de la existencia de protocolos ante
                incidencias.                                    -   Objetivo: garantizar el respeto a derechos funda-
            c)  Evaluación de la cultura organizativa: grado de     mentales, conductas éticas y principios de bue-
                formación digital de los equipos, existencia de     na administración.
                manuales y guías de uso.                        -   Acciones principales:
            d)  Comprobación de la integración del sistema en   a)  Verificación del cumplimiento normativo (ENS,
                la arquitectura organizativa (unidades responsa-    RGPD, normativa sectorial…).
                bles, supervisión).                             b)  Evaluación de transparencia, motivación de reso-
            -   Herramientas: entrevistas semiestructuradas,        luciones y posibilidad de revisión administrativa.
                revisión de organigramas, análisis de políticas in-  c)  Análisis del grado de explicabilidad del sistema
                ternas, benchmark con buenas prácticas (ej. Uni-    y accesibilidad de la información para el ciudada-
                dad de Automatización Inteligente de la Junta de    no.
                Andalucía).                                     d)  Comprobación de la existencia de control huma-
                                                                    no en fases críticas del proceso automatizado.
            Fase 3. Evaluación de riesgos y análisis técnico.   e)  Identificación de sesgos o impactos discrimina-
                                                                    torios en los resultados.
            -   Objetivo: identificar vulnerabilidades técnicas y   -   Herramientas: metodologías de Evaluación de
                validar la fiabilidad del sistema automatizado.     Impacto Algorítmico (AIA), auditoría de sesgos,
            -   Acciones principales:                               listas de verificación de cumplimiento normativo,
            a)  Revisión de algoritmos, validaciones y fórmulas.    análisis de jurisprudencia y doctrina.
            b)  Evaluación de los datos utilizados: integridad, fia-
                bilidad, calidad, posibles duplicidades o inconsis-  Fase. 6. Emisión del informe y seguimiento.
                tencias.
            c)  Identificación de riesgos críticos: ciberseguridad,   -   Objetivo: consolidar los hallazgos de la auditoría
                obsolescencia, sesgo algorítmico, falta de intero-  en un documento claro y útil.
                perabilidad, entre otros.                       -   Acciones principales:
            d)  Priorización de riesgos en función de impacto y   a)  Redacción de un informe estructurado, con ha-
                probabilidad.                                       llazgos clasificados por riesgo (alto, medio, bajo).



          128
   124   125   126   127   128   129   130   131   132   133   134