REVISTA AUDITORÍA PÚBLICA / 87






            Sistemas de Tecnologías de la Información de la Se-  plan, dando lugar al informe definitivo.
            cretaría General, y la supervisión de nuestro comité
            de seguridad en la Sindicatura (Comisión de Informá-  De igual manera, las observaciones identificadas en el In-
            tica y Gestión de la Seguridad de la Información –CIG-  forme son objeto de seguimiento por nuestro comité de
            SI–) perseguía, en definitiva, ajustar el funcionamien-  seguridad –CIGSI– y serán revisadas en la próxima audito-
            to de la organización a los requisitos definidos en el   ría de renovación del certificado.
            Anexo II de RD 311/2022 y en las guías oportunas del
            Centro Criptológico Nacional, especialmente, la “Guía   De todo el proceso de auditoría, sucintamente descrito,
            CCN-STIC 808 Auditoría del ENS”. Todo ello derivó en   cabe concluir su utilidad y pertinencia para contribuir a la
            la revisión formal llevada a cabo por la consultora es-  mejora en la gestión de la actividad propia de la Sindicatu-
            pecializada durante el mes de julio de 2025, sobre las   ra, tanto en lo que se refiere a su función pública fiscaliza-
            68 medidas de seguridad.                         dora –auditoría del sector público valenciano– como a su
                                                             organización y funcionamiento de todos sus servicios hori-
            El alcance del sistema auditado se definió, con carác-  zontales. En definitiva, una buena práctica como estímulo
            ter integral para todas las actividades de la institución,   para el progreso de las ICEX y de sus entes fiscalizados.
            en el ámbito de la categoría Media, así como los si-
            guientes servicios, prestados por la Sindicatura:
                                                             III. Lecciones aprendidas.
            ¡  Auditoría. Auditoria y fiscalización.
            ¡  Administración electrónica. Administración digital.  La planificación, con método, es una buena práctica para
            ¡  Gestión económica y contratación. Contabilidad y   llevar a cabo cualquier decisión estratégica, también a ni-
                contratación.                                vel de proyectos concretos.
            ¡  Gestión de recursos humanos. Personal.
            ¡  Secretaría: Traducción, Biblioteca, Informática, Ar-  La ejecución, con medición, control y seguimiento, posibili-
                chivo, Ofimática, Secretaria General, Documenta-  ta resultados concretos, plasmados en datos, que permiten
                ción, Jurídico.                              su orientación ordenada hacia los cambios pretendidos.

            En los trabajos de auditoría ordinaria se concretaron   La práctica de auditorías sobre cualquier actividad –tam-
            hallazgos y evidencias relativos a diversos ámbitos au-  bién sobre la gestión de los servicios horizontales que
            ditados:                                         dan soporte a la función fiscalizadora que nos define a los
            ¡  Sistema de Gestión de la Seguridad de la Informa-  OCEX– siempre es positiva, desde el punto de vista de la
                ción.                                        mejora continua de la operativa desde una perspectiva de
            ¡  Política de Seguridad de la Información.      cumplimiento, calidad, progreso y excelencia.
            ¡  Roles, responsabilidades y segregación de funciones.   La acreditación, a través de auditorías, del cumplimiento
            ¡  Análisis y gestión de riesgos.                de determinados estándares en el ejercicio de funciones
            ¡  Categorización del sistema.                   públicas refuerza la confianza de terceros –administracio-
            ¡  Medidas de seguridad del ENS.                 nes públicas, ciudadanía y sectores productivos–.
            ¡  Declaración de Aplicabilidad.
                                                             Una cultura de la auditoría a nivel interno debe revestir el
         De los controles realizados, se derivaron determinadas   ADN de las instituciones de control que tienen precisa-
         no conformidades que motivaron una segunda auditoría   mente atribuido el rol fiscalizador de los respectivos ámbi-
         extraordinaria, realizada en el mes de diciembre de 2025,   tos del sector público.
         de acuerdo con la metodología aplicable, a cuyo fin pre-
         viamente se redactó, aprobó, ejecutó y documentó un   Plantear su extensión y aplicación al propio ejercicio de la
         Plan de Acciones Correctivas, que contenía una batería de   actividad auditora que realizamos las ICEX quizás debería
         acciones y medidas encaminadas a su cumplimiento. En   incluirse en el debate sobre una mejora en la estandariza-
         esta segunda fase de auditoría se procedió a evidenciar   ción de procesos, como un elemento de calidad adicional,
         el tratamiento, corrección y cierre efectivo de las no con-  y plasmarse, en su caso, en una guía de fiscalización es-
         formidades identificadas previamente, con arreglo a dicho   pecífica .
                                                                   15





         14  Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas para garantizar un elevado nivel común de ciber-
         seguridad en la Unión, por la que se modifica el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2) (Texto
         pertinente a efectos del EEE): https://eur-lex.europa.eu/eli/dir/2022/2555/oj
         15  https://www.sindicom.es/public/Attachment/2026/3/mfsc26cas.pdf


          48