1

Título: FISCALIZACIONES DE LAS ICEX, ENFOQUE DE RIESGO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN: CONTROLES AUTOMÁTICOS IMPRESCINDIBLES Autor: Alejandro Salom Campos Correo electrónico: salom_ale@gva.es SINDICATURA DE CUENTAS DE LA COMUNIDAD VALENCIANA

Resumen comunicación

Las fiscalizaciones de las ICEX se llevan a cabo sobre entidades del Sector Público que

utilizan intensivamente las tecnologías de la información y las comunicaciones. La Ley

11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios

públicos y la búsqueda de la eficiencia prevista en el artículo 31.2 de la Constitución les

obligan a ello.

Por ello, la información contenida en los estados financieros y los procedimientos de

gestión en que se materializa la acción pública (gestión de personal, compras,

subvenciones, …) están soportados por aplicaciones informáticas. Muchos de los

controles implantados por la dirección de los Entes del Sector Público para mitigar

riesgos están configurados en las aplicaciones y son, por tanto, controles automáticos.

Algunos de ellos tienen tal relevancia que su verificación debería ser obligatoria en

cualquier tipo de fiscalización.

2

FISCALIZACIONES DE LAS ICEX, ENFOQUE DE RIESGO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN: CONTROLES AUTOMÁTICOS IMPRESCINDIBLES 1. Introducción La adaptación de las Normas Internacionales de las Entidades Fiscalizadoras Superiores 100, 200, 300 Y 400 (ISSAI-ES) aprobadas por la Conferencia de Presidentes de las Instituciones Públicas de Control Externo (ICEX) el 27 de junio de 2014 y que después están siendo aprobadas por el máximo órgano de cada ICEX, obligatorias a partir de 1 de enero de 2015 implican que los auditores de estas instituciones deben aplicar un enfoque de auditoría basado en el análisis de riesgos (ABAR).

El enfoque ABAR hace necesario un análisis de riesgos de las diferentes masas patrimoniales de los estados financieros, de los principales procedimientos de la entidad sujeta a fiscalización, así como de las transacciones relevantes cuya gestión se plasma en los estados financieros que van a ser objeto de fiscalización y debe incluir los de riesgos de un posible fraude

En las fiscalizaciones, por tanto, se deberá analizar en profundidad y

.

verificar los procedimientos de control interno

La revisión de los controles internos relacionados con los riesgos de incorrección material detectados es necesaria para reducir el riesgo de auditoría, de emitir una opinión de auditoría incorrecta, a unos niveles adecuados de acuerdo con el criterio del auditor.

establecidos por la entidad para minimizar riesgos, garantizar que se logran los objetivos de la organización y de que se reflejan adecuadamente en contabilidad los hechos económicos acontecidos.

En la mayoría de las Entidades Públicas todos los procedimientos de gestión relevantes están soportados por aplicaciones informáticas y cualquier revisión de los controles internos que no incluya los controles implantados en las aplicaciones informáticas será incompleta y poco eficaz para reducir el riesgo de auditoría en la fiscalización.

Para revisar estos controles que, en buena medida son dependientes de las aplicaciones informáticas, adoptamos una metodología de auditoría de sistemas de información.

En esta comunicación voy a analizar algunos de los controles automáticos que se suelen revisar en el área de controles de aplicación.

Esta metodología incluye tres áreas de trabajo: controles generales de las tecnologías de la información (CGTI), controles de aplicación y pruebas de datos.

No son objeto de análisis completo los CGTI, que son necesarios para que estos controles implementados en las aplicaciones sean totalmente efectivos (ver sección 850 del Manual de Fiscalización de la Sindicatura de Comptes de la CV en su Web) ni tampoco las pruebas de datos.

2. Controles automáticos imprescindibles en los procedimientos de gestión pública Aunque los procedimientos de gestión públicos son muy variados, las fiscalizaciones de las ICEX incluyen revisiones de procedimientos de gestión de ingresos, gastos (personal, compras, subvenciones, …) y siempre forma parte del universo a fiscalizar la gestión contable.

3

En la auditoría basada en el enfoque ABAR, es fundamental el análisis del proceso, la detección de los riesgos de incorreción material, los controles que mitigan estos riesgos y también cómo se integran las aplicaciones informáticas en el proceso de gestión así como la fiabilidad de los controles que se encuentran configurados o delegados en estas aplicaciones.

Las nuevas normas de auditoría nos obligan además a contemplar específicamente los controles para mitigar riesgos de fraude.

Las aplicaciones que soportan la gestión contable (en la Comunidad Valenciana nos encontramos con CONTAG-SIP para la GV, pero también en empresas SAP, Navision y Sicalwin o SICAP, entre otros, para las Entidades Locales) incorporan controles automáticos en el proceso de contabilidad.

También las aplicaciones de gestión, de personal (SIGNO, PAN, HUMAN, NÓMINA, GINPIX, …), de compras (ORION-LOGIS, SAP, …), de subvenciones (GUSTAVO, GAIA, …) incorporan controles automáticos en la gestión de los correspondientes procedimientos.

Sin entrar a analizar en profundidad todos los riesgos y controles de los diferentes procedimientos de gestión, para lo que me remito al Manual de Fiscalización de la Sindicatura de Comptes de la Comunidad Valenciana, existen algunos controles automáticos relevantes que están o deben estar definidos y en funcionamiento los procedimientos que son objeto de fiscalización por las ICEX y que, en mi opinión, deberían ser objeto de revisión en todas las fiscalizaciones.

Se trata de controles que mitigan riesgos de incorrección material, reducen el trabajo necesario para emitir la opinión de auditoría y mitigan también parte de los posibles riesgos de fraude que, como hemos dicho, deben ser objeto de especial atención por los auditores de las ICEX.

Algunos de los controles automáticos más relevantes a verificar en las aplicaciones son los siguientes:

- Implementación en las aplicaciones del principio de asignar las mínimas capacidades a los usuarios para que puedan ejecutar todas las tareas asignadas en función del puesto de trabajo.

- Adecuada configuración de la segregación de funciones entre los usuarios que acceden a las aplicaciones utilizadas en los procedimientos de gestión auditados y, en todos los casos, en las aplicaciones de contabilidad, gestión del maestro de terceros y tesorería.

- Adecuada implementación y configuración en las aplicaciones de las validaciones para la aprobación de cada una de las fases en que se ha definido el procedimiento.

- Verificación de que las acciones de los usuarios en las aplicaciones son registradas y revisadas periódicamente.

- Adecuada protección a nivel de accesos a los ficheros generados por las aplicaciones para realizar los pagos a través de banca electrónica.

4

3. Auditoría de los controles automáticos relevantes en los procedimientos de gestión pública Cada control requiere un procedimiento para verificar dos aspectos: que es adecuado para mitigar el riesgo al que se asocia y que ha estado en funcionamiento en el periodo que estamos auditando.

En la práctica cada una las pruebas para verificar controles constituye un paso del programa a realizar y será necesario obtener evidencia suficiente, pertinente y válida para sustentar la conclusión de que el control es efectivo, parcialmente efectivo o no efectivo.

3.1 Implementación del principio de asignar las mínimas capacidades a los usuarios para que puedan ejecutar todas las tareas asignadas Un primer nivel la prueba de auditoría sobre este control consiste en solicitar al personal del área de TI responsable de la aplicación la extracción de todos los usuarios con los correspondientes perfiles (niveles de capacidades en la aplicación) y la explicación de las capacidades de cada uno los perfiles.

Sobre estos usuarios se analizará, bien por muestreo o por grupos de usuarios, las capacidades que tienen asignadas y se comparará con las necesidades de los puestos de trabajo. Siempre serán objeto de revisión los súper usuarios (usuarios que pueden realizar todas o la mayor parte de las acciones).

A este primer nivel de revisión de los usuarios en las aplicaciones se debe añadir una revisión similar sobre las aplicaciones de base de datos y del sistema operativo sobre los que trabaja la aplicación de gestión para tener así una seguridad razonable de que el análisis es completo.

3.2 Adecuada configuración de la segregación de funciones entre los usuarios que acceden a las aplicaciones utilizadas en los procedimientos de gestión auditados Sobre los usuarios indicados en el punto anterior se analizará bien por muestreo o por grupos de usuarios las capacidades si realizan funciones incompatibles desde el punto de vista de segregación de funciones en el proceso auditado (aprobación del gasto-reconocimiento de la obligación-pago, realización de pedidos-aprobación de pedidos-recepción de materiales-contabilización-pago, …).

3.3 Adecuada implementación y configuración en las aplicaciones de las validaciones para la aprobación de cada una de las fases en que se ha definido el procedimiento. Normalmente, existen diferentes fases en los procedimientos de gestión públicos que requieren de determinadas aprobaciones o validaciones establecidas bien en normas legales o en procedimientos aprobados por los diferentes niveles directivos.

Por ejemplo para autorizar un gasto se requiere que exista crédito y que se apruebe por el órgano competente. Estos requisitos pueden estar configurados automáticamente en la aplicación. Deberemos verificar que la aplicación garantiza que estos controles son automáticos y no pueden ser evitados por los usuarios.

Una prueba de auditoría es realizar una prueba de recorrido sobre el procedimiento auditado, normalmente en un entorno de pruebas con datos idénticos o similares a los existentes en la aplicación real o de producción. En la prueba realizaremos acciones que deberían impedir estos controles para ver que efectivamente están en funcionamiento.

5

Obtendremos evidencia con impresiones de pantalla en un documento Word de los avisos que da la aplicación (o de que el control no es efectivo).

Adicionalmente, con los responsables técnicos de la aplicación indagaremos y obtendremos evidencia del diseño de estos controles a nivel de desarrollo de la aplicación.

3.4 Verificación de que las acciones de los usuarios en las aplicaciones son registradas y revisadas periódicamente Otro de los principios que deben garantizan los sistemas de información es la trazabilidad de las acciones que realizan los usuarios en esas aplicaciones. Para cumplir con esta importante función son necesarios dos requisitos:

- Los usuarios de las aplicaciones deben ser nominativos. Un nombre de usuario de una aplicación debe estar asignado unívocamente a una persona identificada por la organización. No se deben compartir usuarios de las aplicaciones.

- Las aplicaciones deben tener activadas las funcionalidades de auditoría y estas deben permitir almacenar la información suficiente de las actividades llevadas a cabo por los usuarios y por un periodo suficiente de tiempo y previamente establecido.

Para que estos controles sean plenamente efectivos deben existir procedimientos que contemplen una revisión periódica de la actividad de los usuarios (normalmente sobre de actividades atípicas).

Estos controles son fundamentales de cara a prevenir, detectar y probar actividades fraudulentas en las aplicaciones. También son un requisito para cuando se trata de datos personales previsto en la Ley Orgánica de Protección de Datos Personales.

Las pruebas a realizar consisten en:

- Obtener los procedimientos aprobados por la entidad para la revisión de la actividad de los usuarios en la aplicación.

- Verificar en las aplicaciones (aplicación, base de datos y servidor) que se encuentran activadas las opciones de auditoría a un nivel adecuado.

- Obtener evidencia de las actividades de revisión de accesos llevadas a cabo en el ejercicio fiscalizado.

3.5 Adecuada protección a nivel de accesos a los ficheros generados por las aplicaciones para realizar los pagos a través de banca electrónica. Prácticamente todos los procedimientos de gestión del gasto terminan en la generación de un fichero de texto en el formato de la Asociación Española de Banca C34 que contiene los datos de todas las transferencias bancarias a realizar (nóminas, proveedores, acreedores, beneficiarios de subvenciones, …). Este fichero se gestiona en el área de tesorería de la entidad pública y se remite por medios telemáticos a la entidad financiera con la que trabaja la entidad para que proceda a realizar automatizadamente los pagos detallados en el fichero.

El formato de este fichero es estandarizado y público (está disponible en Internet) y normalmente los ficheros generados por las aplicaciones no tienen ningún tipo de protección (firma electrónica o cifrado). También es habitual que se depositen, antes de su remisión a la entidad financiera, en una carpeta de red a la que tienen acceso muchos usuarios que no lo necesitan por las funciones que tienen asignadas.

6

En estas condiciones un usuario avezado (no es necesario que sea muy avezado) con acceso a la carpeta de pagos podría sustituir una o varias de las transferencias contenidas en el fichero de pagos y dirigirlas a su cuenta bancaria. Esto ya ha sucedido en entidades del sector público.

La prueba de auditoría a realizar consiste en verificar:

- Si los ficheros de pagos tienen alguna protección (firma electrónica o cifrado).

- Los usuarios que tienen acceso a las carpetas de los ficheros de pago y la relación de este permiso de acceso con las funciones que tienen asignadas.

4. Conclusiones Los controles automáticos implantados en las aplicaciones utilizadas en los procedimientos de gestión de las entidades públicas son una garantía de que esa gestión se está llevando a cabo de acuerdo con los procedimientos establecidos en la normativa y/o aprobados por la dirección con el fin de obtener de manera económica, eficiente y eficaz los objetivos de estas entidades.

Las fiscalizaciones llevadas a cabo por las ICEX, para minimizar el riesgo de auditoría y para cumplir con las normas de fiscalización deben contemplar en los programas de auditoría procedimientos (pasos de programa) para verificar los controles automáticos más importantes, al menos aquellos dirigidos a mitigar los riesgos de incorrección material y los riesgos de fraude.

Controles automáticos

imprescindibles en las

fiscalizaciones de las ICEX

1

Alejandro Salom CamposUnidad de Auditoría de Sistemas de Información

Sindicatura de Cuentas de la Comunidad Valenciana

VI Foro tecnológico

18 y 19 de junio de 2015

3

4

ISSAI-ES 100 PRINCIPIOS FUNDAMENTALESDE LA FISCALIZACIÓN DEL SECTOR PÚBLICONorma 34“… El auditor debe considerar y valorar el riesgo de los diferentes tipos de deficiencias, desviaciones o incorrecciones que pudieran detectarse en relación con la materia/asunto objeto de fiscalización…”

5

ISSAI-ES 200 PRINCIPIOS FUNDAMENTALESDE LA FISCALIZACIÓN O AUDITORÍA FINANCIERANorma 82. “El conocimiento por el auditor de los controles internos que sean relevantes para la información financiera podrá incluir las siguientes áreas:…- Los procedimientos, tanto manuales como

informáticos …- La forma en que el sistema de información

captura los hechos y condiciones, … que sean significativos para los estados financieros.”

Obtener una seguridad razonable de que las cuentas anuales en su conjunto están libres de incorrecciones materiales, debidas a fraude o error.

Obtener una seguridad razonable de

que el estado contable / capítulo

presupuestario/ epígrafe del balance / …

están libres de incorrecciones materiales,

debidas a fraude o error.6

8

Por ejemplo, podría suceder:

�Que se paguen cantidades por compras o servicios no recibidos

�Que ingresos de la entidad se cobren por terceros o dejen de

cobrarse

�Apropiaciones de efectivo o de disponible en cuentas

�Pagos no autorizados

�Pagos, por compras/servicios recibidos, a cuentas que no son

las del proveedor

Ejemplos

Funciones Ejemplos de riesgos inherentes Objetivo de control interno

Cobros

Omitir o retrasar el registro de las entradas de

efectivo/cobros.

Detraer las entradas de efectivo, una vez registradas.

Todos los cobros se identifican correctamente, se

obtienen los totales de control y se ingresan en

bancos, íntegros, los importes cobrados.

Pagos

Ordenar pagos no autorizados, respaldados por

documentación falsa.

Alterar el nombre del beneficiario o el importe de las

transferencias.

Todas las transferencias se preparan basándose

en la documentación adecuada y aprobada; se

comparan con los datos justificativos, se

aprueban, y se ordenan según las normas

establecidas.

Custodia

Apropiación indebida de los fondos de caja o de la caja fija.

Ocultar entradas de caja desviadas o desembolsos no

autorizados de efectivo.

Todas las cuentas bancarias y el efectivo en caja

están sometidos a eficaces procedimientos de

custodia y protección física.

Contabilidad

Ocultar operaciones no autorizadas introduciendo abonos no

justificados (p. e., descuentos por pronto pago) o anulaciones

simuladas para ocultar la apropiación indebida de los cobros.

Que se cancelen cuentas a cobrar como si fueran incobrables,

sustrayendo los fondos o facturando por importes inferiores a

los normales para disimular las cantidades sustraídas.

Todas las operaciones se registran pronta y

exactamente en registros auxiliares y se emiten

los informes apropiados.

Contabilidad Ocultar operaciones no autorizadas mediante la falsificación

de conciliaciones bancarias.

Todas las operaciones se acumulan, clasifican y

resumen correctamente en las cuentas; los saldos

contables se concilian con los de los extractos

bancarios.

11

1. Asignar los mínimos permisos o capacidades en las aplicaciones necesarios para realizar las funciones asignadas

2. Adecuada configuración de la segregación de funciones entre los usuarios que acceden a las aplicaciones utilizadas en los procedimientos de gestión auditados

3. Adecuada implementación y configuración en las aplicaciones de las validaciones para la aprobación de cada una de las fases del procedimiento

4. Las acciones de los usuarios en las aplicaciones son registradas y revisadas periódicamente

5. Adecuada protección a nivel de accesos a los ficherosgenerados por las aplicaciones para realizar los pagosa través de banca electrónica

12

Principio

Asignar los mínimos permisos o capacidades en las aplicaciones necesarios para realizar las

funciones asignadas

15

Control: La segregación de funciones

constituye uno de los principios más

importantes del control interno.

18

Control: Validaciones para la aprobación de

cada una de las fases del procedimiento

21

Control: Las acciones de los usuarios en las

aplicaciones son registradas y revisadas

periódicamente

23

Control: Adecuada protección a nivel de accesos a los ficheros generados por las

aplicaciones para realizar los pagos a través de banca electrónica

28

El nivel de control existente en los sistemas de información

y de control interno relacionados con los procesos

auditados, aporta un grado de confianza razonable para

garantizar su correcta ejecución, la adecuada

contabilización de las transacciones realizadas y para

reducir el riesgo de errores o irregularidades sobre el

proceso de generación de la información contable

correspondiente, y asegura la validez, integridad, exactitud,

confidencialidad y disponibilidad de la información.

29

30