Por razones que no vienen al caso, recientemente he tenido contacto con el funcionamiento interno de un sistema de información que soporta el Registro Contable de Facturas (RCF) de una pequeña entidad local. Después de ver los elementos del sistema de información (y la interacción entre ellos), la infraestructura tecnológica que le da soporte, la obsolescencia tecnológica de algunos componentes, los procesos de gestión, etc, la única conclusión posible es que lo verdaderamente milagroso es que funcione (con garantías).
Cabría preguntarse si esa situación es generalizada en la Administración teniendo en cuenta que la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público, fue modificada mediante la Ley orgánica 6/2015, de 12 de junio, para introducir un nuevo apartado 3 en el artículo 12 con la redacción siguiente:
“Las Intervenciones Generales u órganos equivalentes de cada Administración realizarán una auditoría de sistemas anual para verificar que los correspondientes registros contables de facturas cumplen con las condiciones de funcionamiento previstas en esta Ley y su normativa de desarrollo y, en particular, que no quedan retenidas facturas presentadas en el Punto general de entrada de facturas electrónicas …”
Entonces, ¿realmente se están realizando esas auditorías de sistemas a las que obliga la Ley? La respuesta corta es que NO se están haciendo, al menos de forma generalizada. Me explico…
Veamos en primer lugar qué se entiende por auditoría de sistemas. El Centro Criptológico Nacional, en su Guía de Seguridad de las TIC CCN-STIC 802 la define de la siguiente forma:
1) La Auditoría de sistemas de información es el proceso metodológico, realizado con independencia de los elementos auditados y con objetividad, de recoger, agrupar y evaluar evidencias para determinar si los sistemas o tecnologías de la información salvaguardan los activos, mantienen la integridad de los datos, contribuyen al logro de los fines de la organización y utilizan eficientemente los recursos.
2) La actividad de auditoría debe evaluar las exposiciones al riesgo referidas al gobierno, operaciones y sistema de información de la organización, con relación a la fiabilidad e integridad de la información, la eficacia y eficiencia de las operaciones, la protección de activos, y el cumplimiento de leyes, regulaciones y contratos.

Entonces, ¿realmente se están realizando esas auditorías de sistemas a las que obliga la Ley? La respuesta corta es que NO se están haciendo, al menos de forma generalizada.


En mi opinión, para realizar estas auditorías de sistemas, cuyo foco es analizar detalladamente los sistemas de información y tecnologías que los soportan, es necesario contar con recursos humanos cualificados y especializados en auditoría de tecnologías de la información. Estos recursos por lo general no se disponen en los órganos de intervención, especialmente en las administraciones de menor tamaño -seguramente tampoco dispongan de los medios económicos necesarios para contratar dichos recursos externamente-. Por lo tanto, se hace difícil pensar que la obligatoria auditoría de sistemas de los registros contables de facturas pueda estar realizándose de manera adecuada.
Incidiendo en lo anterior, la excelente guía práctica de fiscalización GPF-OCEX 5330 “Revisión de los controles generales de tecnologías de información en un entorno de administración electrónica” elaborada por la Comisión Técnica de los Órganos de Control Externo (CT-OCEX) indica:
“En un entorno informatizado de complejidad media o alta, la revisión de los controles generales de tecnologías de la información (CGTI) requerirá, normalmente, la colaboración de un experto en auditoría de sistemas de información y la aplicación de una metodología específica. En estas circunstancias la revisión de los CGTI (y de los controles de aplicación) es un procedimiento indispensable para reducir los riesgos de auditoría a un nivel aceptable”.
Puesta de manifiesto la carencia de recursos especializados en auditoría informática en los órganos encargados de llevarla a cabo, hablemos de la metodología….
La Intervención General de la Administración del Estado (IGAE) publicó a mediados de 2016 una guía para realizar las auditorías previstas en el artículo 12 de la Ley 25/2013. Se trata de una guía marco que contiene una serie de orientaciones a efectos de la realización de la auditoría anual de los registros contables de facturas.
Esta guía delimita claramente los objetivos y alcance de la auditoría de sistemas en los registros contables de facturas:

“…

  1. Verificar la correcta implementación de los controles de gestión en las aplicaciones informáticas implicadas.
  2. Revisión de la gestión de la seguridad en aspectos relacionados con la confidencialidad, autenticidad, integridad, trazabilidad y disponibilidad de los datos y servicios de gestión.
    ….
    En relación al alcance de este tipo de auditorías, es importante destacar que se tratan de auditorías de sistemas encaminadas exclusivamente a la validación de los sistemas de información que gestionan los registros contables de facturas…
    Igualmente, aunque en los informes de auditoría se puedan incluir tablas con alguna información estadística para ilustrar los resultados, no está entre los objetivos de estas auditorías la realización de un informe estadístico del funcionamiento de los registros contables de facturas.”

Ahora bien, la guía la IGAE una vez indica de forma precisa los objetivos de la auditoría de sistemas de los registros contables, hace un especial énfasis en los controles para verificar que las facturas no quedan retenidas. Dicha guía incluye igualmente a modo de ejemplo algunas (o muchas) pruebas de auditoría que poco (o nada) tienen que ver con lo que realmente es una auditoría de sistemas. Parece difícil pues que la mayoría de órganos de intervención -ya hemos dicho que no cuentan con recursos especializados- aplicando exclusivamente lo que indica la guía referida puedan realizar una auditoría de sistemas dentro de unos riesgos razonables.
Para apoyar mi afirmación anterior, aprovechando que algunos órganos de intervención de entidades locales dan difusión pública a los informes con el resultado de la auditoría de sistemas del RCF de la entidad, se ha realizado un pequeño muestreo -evidentemente carente de rigor científico alguno-. De los cinco informes de “auditoría de sistemas” analizados, ninguno de ellos incluye una sola evidencia de verificación de algún extremo específico y relativo a los sistemas o tecnologías de la información que soportan el sistema auditado. Tampoco a la seguridad en aspectos relacionados con la confidencialidad, autenticidad, integridad, trazabilidad y disponibilidad de los datos. Eso sí, en todos los casos analizados, en el informe de auditoría, insisto de sistemas, aparece la comparación de facturas que entran en la entidad en formato papel respecto las electrónicas.

Parece difícil pues que la mayoría de órganos de intervención -ya hemos dicho que no cuentan con recursos especializados- aplicando exclusivamente lo que indica la guía referida puedan realizar una auditoría de sistemas dentro de unos riesgos razonables.


A modo anecdótico, pero seguramente interesante para complementar lo dicho sobre la “confusión” acerca del alcance, objetivos y metodología para realizar la auditoría de sistemas de los registros contables de facturas, recientemente he visto que información comercial de un producto software de contabilidad pública, ampliamente implantado en la administración local, destaca entre sus funcionalidades la obtención del informe de auditoría de sistemas “atendiendo a las indicaciones de la IGAE” … ¿un sistema que se audita a sí mismo y hace el informe de auditoría automáticamente? … sin comentarios.
Con la intención de que nada de lo anterior quede como una crítica gratuita, máxime si tenemos en cuenta que posiblemente estemos ante otro caso más -y no son pocos- de “aparición” de disposiciones legislativas de cierto impacto, sin tener en cuenta los recursos y medios precisos para llevarlas a cabo (supongo que nadie pretendería que de la noche a la mañana los ya sufridos y saturados interventores se convertirían en especialistas en auditoría informática -como bien apuntaba aquí Antonio Arias al tiempo de publicarse la nueva obligación de auditoría del RCF-), sería interesante comentar alguno de los riesgos que esta situación extendida de “NO auditoría de sistemas” conlleva.
En los lejanos tiempos cuando los sistemas de información se empezaban a utilizar de forma generalizada, se afirmaba que uno de los objetivos que se perseguía con las auditorías de sistemas era generar confianza en la utilización de dichos sistemas. Pues bien, en los tiempos actuales de ubicuidad tecnológica habría que dar la vuelta al planteamiento anterior para afirmar que cada vez son más necesarias las auditorías informáticas dada la excesiva confianza que muchas veces tenemos en los sistemas de información.
Respecto a la seguridad de los registros contables, cabría abordarla desde una doble perspectiva, por un lado, para el cumplimiento legal de las obligaciones relacionadas con la seguridad, y, por otro lado, para la minimización de los crecientes riesgos de seguridad (y ciberseguridad) a los que están sometidos los sistemas de información.
Desde la perspectiva de cumplimiento legal en lo relacionado con la seguridad, en la ya citada guía de la IGAE se indica que dentro del ámbito de la auditoría de sistemas anual habría que verificar el cumplimiento de los requisitos de disponibilidad, confidencialidad, integridad y seguridad del registro contable de facturas que figuran en el artículo 12 de la Orden HAP/492/2014, por la que se regulan los requisitos funcionales y técnicos del registro contable de facturas. Indicándose en la guía la necesidad de realizar comprobaciones respecto:

  • Redundancia y disponibilidad del sistema.
  • Cumplimiento de la normativa en materia de protección de datos.
  • Verificación que los sistemas de gestión del RCF cumplan con el Esquema Nacional de Seguridad (ENS).

Conviene recordar en este sentido que desde hace tiempo viene siendo obligatorio para los sistemas de información de categoría MEDIA y ALTA realizar una auditoría de seguridad cada dos años en cumplimiento del artículo 34 del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad.

Si partimos de que el ENS es plenamente aplicable a los registros contables de facturas –la guía de seguridad CCN-STIC-830 aclara: “Bastará que el sistema de información en cuestión (cuando esté sustentado en medios electrónicos) se dirija a gestionar las competencias de la entidad pública correspondiente (que deberá estar incluida en su ámbito subjetivo de aplicación), para que le sea de aplicación el ENS”-, y teniendo en cuenta que para la determinación de la categoría de un sistema ha de basarse en la valoración del impacto que tendría sobre la organización un incidente
de seguridad de la información, en muchas administraciones, el registro contable de facturas tras su valoración alcanzaría la categoría de MEDIA o ALTA, por lo que también habría que realizar de forma obligatoria una auditoría de seguridad del mismo cada dos años.
Independientemente a las disposiciones de obligado cumplimiento relativas a la seguridad, no hay que obviar que uno de los objetivos principales del ENS es garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos que prestan las Administraciones públicas.
Los sistemas de información de las administraciones públicas cada vez están más interconectados. En el caso que nos ocupa -los registros contables de facturas-, hemos pasado de sistemas normalmente aislados e independientes, a sistemas complejos y altamente interconectados, donde por ejemplo, el RCF vinculado al sistema contable se relaciona con los sistemas de administración electrónica, puntos de entrada de facturas electrónicas, ambos a su vez con plataformas habilitantes de AE (firma electrónica, gestión documental, sistemas de sellado de tiempo, plataformas de verificación de documentos, notificación electrónica, …), y así sucesivamente. Además, muchos de estos sistemas tienen múltiples componentes expuestos en internet. Por todo ello, ya no sólo es vital tener en cuenta los aspectos relacionados con la seguridad de los sistemas, sino también con la ciberseguridad de los mismos, ya que los riesgos se han multiplicado. John Chambers, ex Director Ejecutivo de CISCO, afirma que hay dos tipos de organizaciones: las que han sido hackeadas y las que aún no saben que han sido hackeadas.
En los últimos tiempos estamos asistiendo a un crecimiento notable de ataques de distinto tipo y procedencia a los sistemas de información públicos y a los datos en ellos procesados y almacenados. Según el informe “Ciberamenazas y tendencias de 2019”, el Centro Criptológico Nacional gestionó en 2018 un total de 38.029 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico para España (un 47% más que el año anterior), de los cuales, más de 2,7% tenían una peligrosidad “muy alta” o “crítica”. En este informe se indica igualmente que las entidades de gobierno seguirán siendo objetivos prioritarios, siendo las principales amenazas para el sector público: robo de información, manipulación de sistemas e información, interrupción de servicios, ciberespionaje.
No es de extrañar, por tanto, que los aspectos de ciberseguridad deban tener su incidencia en la auditoría pública por las importantes amenazas a los que están sometidos los sistemas de información de las administraciones públicas. Por ejemplo, la reciente guía práctica de fiscalización “GPF-OCEX 5311 Ciberseguridad, seguridad de la información y auditoría externa” consciente de dicha problemática indica:
“Actualmente la ciberseguridad se ha convertido en uno de los temas más relevantes tanto para los gobiernos, como para los gestores públicos, y por supuesto para los auditores públicos, dada la potencial repercusión que las amenazas a la seguridad de los sistemas de información representan no solo sobre las cuentas que se auditan si no a la misma continuidad en la prestación de servicios públicos”
Como conclusión, me gustaría incidir en que cada vez se hace más necesario contar con los medios y recursos para abordar de forma rigurosa las obligatorias auditorías de sistemas y seguridad, haciendo especial hincapié en los controles relacionados con la ciberseguridad. En el caso concreto de los registros contables de facturas, vistas las crecientes amenazas y sus riesgos asociados, el mejor escenario que nos podemos encontrar es que algunas facturas electrónicas queden retenidas en el sistema de información…de los peores escenarios, posiblemente todos tengamos noticias en un futuro no muy lejano a través de los medios de comunicación.

La (NO) auditoría en los registros contables de facturas.
Salvador González García

Salvador González García


Ingeniero en Informática. Funcionario de Carrera de la Escala Superior de Sistemas y Tecnologías de la Información de la Junta de Comunidades de Castilla-La Mancha. En diversas áreas del Gobierno Regional he participado en multitud de proyectos relacionados con la modernización, seguridad, gestión de infraestructuras TI y administración electrónica. He sido profesor asociado de la Escuela Superior de Informática de Ciudad Real de la Universidad de Castilla-la Mancha. Actualmente soy el responsable de tecnología del Ayuntamiento de Toledo y ando inmerso en distintas iniciativas de transformación digital e innovación.


Post navigation


One thought on “La (NO) auditoría en los registros contables de facturas.

  1. Muy interesante tu artículo, Salvador, y muy instructivo, destacando toda la normativa que es de aplicación en el caso particular de un Registro Contable de Facturas y la realidad de los recursos con los que se cuentan para cumplir con la misma. Me parece muy acertada tu observación de que mientras que la auditoría informática nacía con el objeto de dar confianza en los sistemas de información, hoy día, dependemos y «confiamos» tanto en ellos, que tiene más sentido aún llevarlas a cabo. De ahí que sea tan importante que todos nos concienciemos de su importancia y, especialmente, quienes deben garantizar los medios para que se puedan realizar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *