Administración electrónica presente y futuro

PORTAL DE CONTROL INTERNOPATROCINADO POR

Alejandro Salom CamposJefe de la Unidad de Auditoría de Sistemas de Información

Sindicatura de Cuentas de la Comunidad Valenciana

1

21/01/2020

¿Afecta en algo la implantación de la administración electrónica / las TI

a nuestra metodología de fiscalización?

2

¿Tenemos alguna respuesta a esta pregunta?

¿Tenemos alguna reacción a nuestra respuesta?

¿No tenemos nada que decir? ¿Nada que hacer?

3

4

(febrero 2015)

Leyes 39 y 40, 2015

Digital por defecto

RD 3/2010 (ENS) y 4/2010 (ENI)

5

¡TIC!¡Desaparición del papel!

Automatización

¡Desaparición pistas de auditoría!Seguridad

¡Sistemas ERP!

+ contratación electrónica!!! + facturación electrónica !!!

+ ……

¿¿Procedimientos de auditoría??¿Métodos?

6

Preguntas del auditor

¿Cuales son las tendencias en cuanto a nuevos riesgos en seguridad de la información:

• Dispositivos interconectados (móviles, tabletas, relojes, asistentes de voz, pulseras inteligentes, …)

• Internet de las cosas (IOT)

• Datos disponibles en Internet (grandes volúmenes)

• Desarrollo de nuevas aplicaciones

• Terceros proveedores

• Cloud computing

• Personas

7

8

9

Preguntas del auditor

A la vista de estos datos:

¿Qué podemos hacer?

INCORPORAR A LOS PLANES DE FISCALIZACIÓN REVISIONES BÁSICAS DE

CONTROLES INFORMÁTICOS:

- Revisiones de controles generales TI y/o ciberseguridad

- Revisiones de controles de aplicaciones

10

11

Auditoría de Sistemas de Información: ejemplo FACe

Artículo 12,3 de la ley 25/2013:

“Las Intervenciones Generales u

órganos equivalentes de cada

Administración realizarán una auditoría de sistemas anual ….”

Data Analytics + CGTI..

Intervenciones Generales

12

13

Normas aplicables EELLGPF-OCEX 5300

Real Decreto 424/2017, de 28 de abril:

Artículo 33. Ejecución de las actuaciones de auditoría pública.

1. Las actuaciones de auditoría pública se someterán a las normas de auditoría delsector público aprobadas por la Intervención General de la Administración delEstado y a las normas técnicas que las desarrollen …

…

4. Para la aplicación de los procedimientos de auditoría podrán desarrollarse lassiguientes actuaciones:

….e) Verificar la seguridad y fiabilidad de los sistemas informáticos que soportanla información económico-financiera y contable.

14

Normas aplicables EELL

Resolución de la Intervención General de la Administración del Estado, por la que se aprueba la adaptación de las Normas de Auditoría del Sector Público a las Normas Internacionales de Auditoría, de 25 de octubre de 2019. Aplicable a cuentas que se inicien a partir del 1 de enero 2019.

NIA-ES-SP 1315, IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO

Preguntas del auditor

REVISIONES BÁSICAS DE CONTROLES INFORMÁTICOS

¿Cómo lo podemos hacer?

Incorporar conocimientos y metodología de auditoría de sistemas de información

De forma paulatina y planificada15

16

¿Qué es la auditoría de SI?

La auditoría de Sistemas de Información (SI) consiste en la emisión de una opinión(por parte de un auditor de sistemas de información independiente) en base a un

trabajo de auditoría realizado de acuerdo con unas normas concretas, sobre:

✓si los sistemas de información de una entidad se gestionan de forma que existe una

alineación entre ellos y los objetivos generales de la entidad,

✓si garantizan la integridad, disponibilidad y confidencialidad de la información

contenida en los sistemas de información,

✓si se gestionan los activos del sistema de manera económica, eficiente y eficaz.

✓si se protegen adecuadamente los activos.

También es una auditoría de SI un trabajo de las características indicadas, limitado a

alguno o algunos de los sistemas o aspectos a que nos hemos referido, en cuyo

caso el alcance del trabajo deberá quedar perfectamente identificado en el informe

resultado del trabajo.

17

Marco normativo de referencia para la auditoría de sistemas de información:

✓ Normas de auditoría de Sistemas de información y guías de ISACA. También del Instituto de auditores internos.

✓ Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

✓ Guía de auditoría de seguridad del Centro Criptológico Nacional CCN STIC 802

✓ Formación CISA (Certified Information Systems Auditor) y CCN

✓ Estándares generalmente aceptados gestión de SI: Cobit, ENS, ISO 27002 sobre seguridad de la información, …

18

19

Acciones formativas específicas recomendadas

20

“Un nuevo tipo de auditoría

requiere

un nuevo tipo de auditor.

Seguirá siendo esencial que

el auditor tenga un sólido

conocimiento de los

fundamentos de la auditoría.

Pero se necesitarán una

variedad de conocimientos

avanzados, incluyendo la

utilización de herramientas

de análisis de datos.”

Thomas Davenport

2016

Nuevos perfiles del auditor público: Auditores en general

• Deberán tener un nivel alto de conocimientos tecnológicos, más profundo que el existente actualmente.

• Se deberán establecer acciones formativas orientadas a las nuevas necesidades, dirigidas a los actuales y futuros profesionales.

21

“Un nuevo tipo de auditoría

requiere

un nuevo tipo de auditor.

Seguirá siendo esencial que

el auditor tenga un sólido

conocimiento de los

fundamentos de la auditoría.

Pero se necesitarán una

variedad de conocimientos

avanzados, incluyendo la

utilización de herramientas

de análisis de datos.”

Thomas Davenport

2016

Nuevos perfiles del auditor público: Auditores de sistemas

Personal y equipos especializados en:

• Auditoría de sistemas informatizados.

• Datos, Big Data y Cloud.

• Herramientas de análisis de datos y de visualización.

• Ciberseguridad.

Preguntas del auditor

¿Por dónde empezamos los auditores/interventores no informáticos?

¿Por qué no introducir en el plan de control revisiones simples?:

• Revisión de Políticas y procedimientos de seguridad (RD 3/2010 ENS)

• Revisión de controles de acceso, físicos y lógicos

• Revisión del principio de mínimos privilegios

• Formación de personal en seguridad de la información

• Control de proveedores TIC

• Inventario de activos TIC

• Continuidad de negocio (copias de seguridad internas, externas, pruebas, …)

• Parcheo de software 22

Preguntas del auditor¿Para la implantación de medidas técnicas y organizativas

de controles TI?

¿Obtener apoyo del CCN y las diputaciones?:

23

• Es necesario un Plan a largo plazo

• Todas las actuaciones deben desarrollarse en un marco técnico-metodológico coherente basado en las NIA-ES/ISSAI-ES

• Conocer lo que se audita

• Integración de la ASI en las fiscalizaciones

• Es necesario el uso de Herramientas de análisis de datos (HAD)

• Estandarizar la forma de trabajar

• Imprescindible colaboración externa

• No hay futuro sin ASI (+HAD)

24

Lecciones aprendidas en la Sindicatura(durante la implantación de la ASI)

25

salom_ale@gva.es