REVISTA AUDITORÍA PÚBLICA / 87






             Los informes de control financiero permanente –tam-  toimpuesto la Sindicatura.
            bién el llevado a cabo en 2025– incluyen un plan de
            seguimiento de las recomendaciones de los informes   4.  Auditoría interna de seguimiento de recomendacio-
            de la Cámara de Cuentas y de los informes de Control   nes y situación a 30/4/25 de los controles básicos de
            Financiero de la Sindicatura, lo que también ha sido   ciberseguridad de la Sindicatura, llevada a cabo por
            objeto de análisis por parte del informe de control ex-  la UASI.
            terno.
                                                                En el Programa Anual de Actuación de 2025 (PAA2025)
            La complementariedad de ambos controles se basa     se incluyó la realización de una auditoría interna de
            en el principio de colaboración y transparencia entre   seguimiento de las recomendaciones realizadas en
            profesionales e instituciones, y supone una dinámica   el trabajo sobre revisión de los controles básicos de
            que aporta valor y confianza para la mejora continua   ciberseguridad de los sistemas de información (CBCS)
            de la gestión de la actividad interna de la Sindicatura,   de la Sindicatura, llevado a cabo en 2021, con objeto
            en un marco de riguroso cumplimiento del ordena-    de evaluar su situación a 30 de junio de 2025.
            miento jurídico en vigor.
                                                                Con similar metodología a la empleada en las habitua-
         3.  Auditoría, realizada por la Unidad de Auditoría de   les auditorías de sistemas que lleva a cabo la propia
            Sistemas de la Información (UASI) de la propia Sindi-  UASI, dicha revisión de los controles, orientada para
            catura, del registro contable de facturas.          alimentar las previsiones y grado de ejecución y me-
                                                                didas implementadas por la Sindicatura desde enton-
            Estamos aquí ante una auditoría específica, dentro   ces, se centraba sobre la gobernanza de la cibersegu-
            de otra más amplia. Efectivamente, una de las líneas   ridad y los siguientes ocho controles:
            abiertas por el control financiero permanente que se
            viene llevando a cabo de forma interna –pero externa   ¡  CBCS 1 Inventario y control de dispositivos físicos;
            al propio ámbito de gestión de la Secretaría General–   ¡  CBCS 2 Inventario y control de software autoriza-
            es la que tiene que ver con la relación de la Sindicatura   do y no autorizado;
            con sus proveedores, tal y como exige el artículo 12.3   ¡  CBCS 3 Proceso continuo de identificación y re-
            de la Ley 25/2013, de 27 de diciembre, de impulso de    mediación de vulnerabilidades;
            la factura electrónica y creación del registro contable   ¡  CBCS 4 Uso controlado de privilegios administra-
            de facturas en el Sector Público, que establece que     tivos;
            las intervenciones u órganos equivalentes realizarán   ¡  CBCS 5 Configuraciones seguras del software y
            una auditoría de sistemas anual del registro de factu-  hardware;
            ras.                                                ¡  CBCS 6 Registro de la actividad de los usuarios;
                                                                ¡  CBCS 7 Copias de seguridad de datos y sistemas;
            Dada la imbricación de este control específico con los   ¡  CBCS 8 Gobernanza de ciberseguridad y cumpli-
            sistemas de información a través de los cuales se da    miento normativo.
            cumplimiento a la norma, a propuesta del órgano ti-
            tular del control financiero permanente, la Secretaría      Es de reseñar que este informe de auditoría, junto con
            General encargó esta auditoría a la UASI, que ha ela-  el que señalamos en último lugar, referido a la certi-
            borado el Informe de Auditoría del registro contable de   ficación del ENS, realizado por una empresa externa
            facturas de la Sindicatura de Comptes: situación al 31   debidamente acreditada para ello, constituyen la in-
            de diciembre de 2024.                               formación indispensable, en cuanto que foto real de
            Dicho informe ha pivotado sobre la revisión de diez   la situación de la Sindicatura bajo la perspectiva tec-
            controles de procesamiento de la información (CPI) y   nológica, que nos permite retroalimentar la gobernan-
            cuatro controles generales de tecnologías de la infor-  za ya consolidada en materia de ciberseguridad, así
            mación (CGTI). Dichos controles se han diseñado para   como poder planificar con garantías, programando y
            proporcionar una garantía razonable de que las tran-  presupuestando, la ejecución de los proyectos nece-
            sacciones y los datos que contiene el Registro conta-  sarios para la progresión en el nivel de madurez de los
            ble de facturas de la Sindicatura cumplen las propieda-  sistemas con los que la Sindicatura realiza su función
            des de Completitud, Exactitud, Validez y Legalidad.  pública fiscalizadora, incluida la de la propia UASI.

            El informe concluye una serie de recomendaciones   5.  Auditoría independiente sobre el grado de cumpli-
            encaminadas  a  mejorar  el  sistema  de  controles  ya   miento de la normativa vigente en materia de pro-
            operativos en la gestión del registro contable de factu-  tección de datos (Reglamento General (UE) 2016/679,
            ras, que encaja con la perspectiva de mejora continua   de 27 de abril, relativo a la protección de datos de
            que auspicia el sistema de controles que se ha au-  las personas físicas –RGPD–) y de los procedimien-



          46