Entrevista a Antonio Minguillón
Antonio Minguillón ha impartido en la sede de la Cámara de Cuentas de Andalucía un curso sobre “El enfoque de riesgo y la integración de sistemas de información es las fiscalizaciones” dirigido al personal técnico de la institución.
Antonio Minguillón es Licenciado en Ciencias Económicas y Empresariales por la Universidad de Zaragoza. Desde 1988 es Auditor de la Sindicatura de Cuentas de la Comunidad Valenciana. Desde 2008 es Director del Gabinete Técnico con responsabilidades, principalmente, en el desarrollo de metodología y en el área de auditoría de sistemas de información.
¿Por qué es necesaria la integración de la auditoría de sistemas de información en las fiscalizaciones?
El conocimiento y la revisión de los procedimientos de gestión de los entes fiscalizados, incluyendo los sistemas presupuestarios, contables y de control interno, es una parte del trabajo de auditoría que, de acuerdo con todas las normas técnicas de auditoría, es obligatoria desde siempre. En la medida en que dichos procedimientos y sistemas se han ido transformando de mecanismos manuales en otros informatizados, los auditores públicos hemos ido encontrando dificultades crecientes en cumplimentar nuestro trabajo.
Por tanto, para cumplir con las normas técnicas de auditoría y ser capaces de revisar procedimientos de gestión y sistemas contables y de control interno que están muy informatizados, el auditor público no tiene más alternativa que adaptarse a la nueva situación y adquirir nuevas capacidades mediante la integración de la auditoría de sistemas de información en las fiscalizaciones.
Sólo de esta forma se estará en condiciones de reducir los riesgos de auditoría, muchos de ellos directamente afectados por las tecnologías de la información, a un nivel aceptable.
Desde la perspectiva de varios años de experiencia ¿cuál debe ser la hoja de ruta de los OCEX para trabajar en este sentido?
Para implantar con éxito la metodología de auditoría de sistemas de información en un OCEX se debe:
- Ser consciente de las necesidades no cubiertas actualmente (la brecha de capacidad fiscalizadora).
- Tener la voluntad de eliminar la deficiencia (creando capacidad).
- Planificar a largo plazo cómo se va a hacer frente al problema
- Adoptar las medidas necesarias para crear/adaptar recursos (humanos y técnicos)
- Ser constante
¿Qué aspectos organizativos y de funcionamiento interno de un OCEX hay que considerar para implementar esta metodología de trabajo?
Cuando se aborda el problema de la implantación de la metodología de sistemas de información, lo normal es no tener personal con la preparación o formación adecuada. Entonces se platean las siguientes cuestiones:
¿Se deben crear en la plantilla del OCEX plazas especializadas en auditoría informática?
¿Se debe prestar este servicio interno mediante la contratación de expertos externos?
¿Existe personal en la plantilla que con el reciclaje y la formación adecuada pueda prestar este servicio? ¿Será suficiente?
¿Está nuestra metodología fiscalizadora preparada para integrar la auditoría de sistemas de información? ¿Qué adaptaciones son necesarias?
Dado que el factor humano, en definitiva, es esencial en nuestra actividad la principal cuestión será decidir qué puestos de trabajo se necesitan de acuerdo con el plan a largo plazo que se ha diseñado y cómo se van a integrar dentro de la organización existente (dentro de los equipos actuales o creando un equipo nuevo y especializado).
El siguiente aspecto esencial será integrar la metodología de trabajo preexistente con la nueva. Este aspecto requiere un esfuerzo muy importante de información y de formación a todos los niveles, no solo entre el grupo de especialistas en auditoría de sistemas, ya que al final la metodología debe ser integrada, pero única.
¿Es necesaria o importante la colaboración de personal externo?
Al principio es absolutamente necesaria, ya que en los OCEX carecemos de los conocimientos básicos de auditoría de sistemas de información. Actualmente en la Sindicatura de Cuentas de la Comunidad Valenciana tenemos una experiencia apreciable y la compartimos en foros, cursos, etc, Pero aunque compartimos toda nuestra experiencia y conocimientos, y pensamos que esto es importante, si algún OCEX empieza a realizar algún trabajo de auditoría de sistemas va a necesitar realizar los primeros trabajos codo con codo con alguien que sepa lo que hace y ese alguien solo puede ser personal externo.
No obstante, como ya he dicho, por parte de la Sindicatura estamos encantados en compartir toda nuestra experiencia en la materia con cualquiera que decida trabajar en esta materia.
Al ser una persona relevante en la organización y coordinación de varios foros tecnológicos ¿Qué papel tienen estos eventos en la divulgación de la metodología que aplicáis?
Aunque no soy objetivo por razones evidentes, creo que los foros han jugado y siguen jugando un papel esencial para la mentalización de nuestras instituciones y de su personal en las ventajas que la tecnología aporta a nuestra actividad.
Han ayudado a difundir, entre todos nosotros, información y conocimientos sobre diversos aspectos técnicos que de otra forma no creo que se hubiera diseminado tanto. Se han compartido experiencias de los distintos OCEX entre todos los colegas y eso es muy enriquecedor para todos.
En muchos aspectos ha ayudado a la implantación de diversas herramientas en unos OCEX y en otros, aunque todavía no se hayan implantado, ha ayudado a crear conciencia de su necesidad, lo que no es poco.
En este sentido el próximo Foro tecnológico, el quinto ya, que se va a celebrar en Sevilla, estoy seguro que tendrá tanto éxito como los anteriores.
¿Cuáles son las principales características de los informes que se emiten como resultado de esta metodología? ¿Qué valoración realizan las entidades auditadas?
Aunque en esto tampoco soy objetivo, creo que los informes que emitimos como resultado de la auditoría de sistemas de información en la Sindicatura, aportan un gran valor añadido a los gestores tanto del área de sistemas como a los funcionales de las áreas auditadas. Desde que se planifica el trabajo se involucra mucho a los responsables del ente fiscalizado, se discute mucho con ellos la evolución del trabajo las incidencias detectadas y las recomendaciones finales.
La experiencia en los años que llevamos trabajando esta materia es muy positiva, en el sentido de que percibimos una buena valoración de nuestros informes y una buena predisposición a aceptar e implantar nuestras recomendaciones.
Y lo más importante, ya que es el objetivo principal de la Unidad de Auditoria de Sistemas de Información de la Sindicatura, aportamos seguridad a los equipos de fiscalización a la hora de emitir los informes de auditoría de regularidad. Nuestro equipo fundamentalmente presta servicios de apoyo al resto de equipos de la Sindicatura cuando se audita en entornos intensamente informatizados.