El Control General de las Tecnologías de Información, Pieza Fundamental del Control Interno en las Organizaciones

Transcripción

1 El Control General de las Tecnologías de Información, Pieza Fundamental del Control Interno en las Organizaciones Por: Ing. Gustavo Lutteroth Echegoyen con la colaboración de la Ing. Karen Zambrano Las empresas actualmente están muy interesadas en revisar la situación en la que se encuentra el control de las actividades que se realizan en el área de sistemas o tecnologías de información (TI). Actualmente existe un modelo COSO (Comité de Organizaciones Patrocinadoras, por sus siglas en inglés) que ve a los controles en una forma más amplia y define al control interno como: Ambiente de Control Para comprender esta estructura de control desde otra perspectiva, vea la figura 1 del análisis del dominio de información. Figura 1 Dominio del Proceso de Análisis Un proceso Es establecido por el consejo de administración, la administración y el personal de una entidad Diseñado para proporcionar un aseguramiento razonable El modelo COSO cambió la estructura de control de tres elementos (incluidos en el SAS 55) a cinco componentes integrados: Monitoreo Información y Comunicación Actividades de Control Evaluación de Riesgos Para poder realizar un diagnóstico del control interno, se requiere de personal calificado, en su mayoría auditores, que lleven a cabo una auditoría dentro de la organización para

2 poder dar observaciones u oportunidades de mejora a sus controles. La realización de la auditoría en sistemas de información implantados evitará los fraudes realizados con ayuda del computador y proporcionará información confiable. La evaluación del control interno, hace algunos años, estuvo enfocada al control llevado a cabo a nivel contable, ya que se deseaba analizar y detectar los posibles riesgos del control interno en diferentes áreas operativas, administrativas, contables y en auditoría externa, para aplicar los procedimientos, alcances y pruebas de los estados financieros. Existen despachos que se especializan en realizar proyectos referentes al diagnóstico del control interno de las tecnologías de información en las organizaciones, y cada uno de ellos lleva su propia metodología; sin embargo, la mayoría se basa en la metodología COBIT. Control interno informático Hay diferencias de opinión en torno al significado y los objetivos del control interno. Para muchos son los pasos que toma una compañía para prevenir fraudes, tanto la malversación de activos como los informes financieros fraudulentos, como afirman Ray Whittington y Kart Pany. El control interno informático controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o dirección de informática, así como los requerimientos legales. proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno como son: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información financiera. Los controles generales de TI pueden incluir: Preinstalación. Se refiere al acondicionamiento físico y medidas de seguridad en el área donde se localiza el equipo de cómputo y a la capacitación de personal y adquisición o desarrollo de sistemas. Controles de organización y administración. Diseñados para establecer un marco de referencia organizacional sobre las actividades de TI, incluyendo: Políticas y procedimientos relativos a funciones de control Segregación apropiada de funciones incompatibles (por ejemplo, preparación de transacciones de entrada a los sistemas, diseño y programación de sistemas y operaciones de cómputo) Desarrollo de sistemas de aplicación y control de mantenimiento. Diseñados para proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de manera eficiente y autorizada. También están diseñados para establecer control sobre: Pruebas, conversión, implementación y documentación de sistemas nuevos y revisados Cambios a sistemas Acceso de documentación de sistemas Adquisición de sistemas de aplicación de terceros Verificación de controles sobre los cambios en la configuración o estandarización de sistemas integrados Controles generales El propósito de los controles generales de TI es establecer un marco de referencia de control global sobre las actividades de TI y

3 Controles de operación de cómputo y de seguridad. Diseñados para controlar la operación de los sistemas y proporcionar certeza razonable de que: Los sistemas son usados para propósitos autorizados únicamente El acceso a las operaciones de cómputo es restringido a personal autorizado Sólo se usan programas autorizados Los errores de procesamiento son detectados y corregidos Controles de software de sistemas. Diseñados para proporcionar certeza razonable de que el software del sistema (sistema operativo) se adquiere o desarrolla de manera autorizada y eficiente, incluyendo: Autorización, aprobación, análisis, diseño, pruebas técnicas, pruebas de usuario, implementación, liberación y documentación de software de sistemas nuevos y modificaciones del software de sistemas Restricción de acceso a software y documentación de sistemas sólo a personal autorizado Controles de entrada de datos y programas (control de acceso). Diseñados para proporcionar certeza razonable de que: Procedimientos y controles alternos durante el incidente de interrupción Conclusión Para que un equipo de profesionales logre obtener un resultado homogéneo, como si lo hiciera uno solo, es habitual el uso de metodologías en las empresas auditoras/consultoras profesionales, las cuales son desarrolladas por los más expertos para conseguir resultados homogéneos en equipos de trabajo heterogéneos. La proliferación de metodologías en el mundo de la auditoría y el control informáticos se puede observar en los primeros años de la década de los ochenta, paralelamente al nacimiento y comercialización de determinadas herramientas metodológicas (como el software de análisis de riesgos). Pero el uso de métodos de auditoría es casi paralelo al nacimiento de la informática, en lo que existen muchas disciplinas, cuyo uso de metodologías constituyen una práctica habitual. Una de ellas es la seguridad de los sistemas de información. Éste y no otro, debe ser el campo de actuación de un auditor informático del siglo XXI. Está establecida una estructura de autorización sobre las transacciones que se alimentan al sistema El acceso a datos y programas está restringido a personal autorizado Hay otras salvaguardas que contribuyen a la continuidad del procesamiento de TI y a promover razonables prácticas de control, manuales o automatizadas, durante una interrupción del sistema principal. Éstas pueden incluir: Respaldo de datos y programas de cómputo en otro sitio Procedimientos de recuperación para usarse en caso de robo, pérdida o destrucción intencional o accidental Provisión para procesamiento externo en caso de desastre El objetivo de todas las actividades del control de TI es asegurar la protección de los recursos informáticos y mejorar la eficiencia de los procesos que ya están establecidos en la organización; lo que derivará en una mayor exactitud en los reportes financieros, además de que proveerá seguridad a todos aquellos relacionados con la empresa. En conclusión, los controles generales de la tecnología de información, sin importar que se trate de controles preventivos, detectivos o correctivos, son parte importante en la evaluación del control interno en las

4 empresas y representan, por su cobertura alrededor de los procesos de negocio, controles clave que asegurarán el cumplimiento de los objetivos del control interno, así como los de la información. El Ing. Gustavo Lutteroth Echegoyen es Socio de Innovaciones Tecnológicas de Horwath Castillo Miranda. La Ing. Karen Zambrano es Especialista en Innovaciones Tecnológicas de Horwath Castillo Miranda Castillo Miranda y Compañía, S.C. es miembro de Horwath International Association, una asociación Suiza. Cada firma miembro de Horwath es una entidad legal separada e independiente. El contenido de esta publicación es de carácter general. Si desea obtener mayor información, por favor contacte a nuestros especialistas. ###

5 Fundada en 1943, Horwath Castillo Miranda es una de las principales firmas de contadores públicos y consultores de negocios en México. Horwath Castillo Miranda provee soluciones de negocio innovadoras en las áreas de auditoría, impuestos, finanzas corporativas, consultoría de riesgos, consultoría en hotelería y turismo, control financiero (outsourcing) y tecnología. Nuestra Presencia en México México Paseo de la Reforma México, D.F. Tel. +52 (55) Fax +52 (55) Carlos Garza y Rodríguez mexico@horwath.com.mx Guadalajara Mar Báltico Guadalajara, Jal. Tel. +52 (33) Fax +52 (33) Carlos Rivas Ramos guadalajara@horwath.com.mx Monterrey Av. Lázaro Cárdenas 2400 Pte. B San Pedro Garza García, N.L. Tel. +52 (81) Fax +52 (81) José Luis Jasso González monterrey@horwath.com.mx Aguascalientes Fray Pedro de Gante Aguascalientes, Ags. Tel. +52 (449) Fax +52 (449) Alejandro Ibarra Romo aguascalientes@horwath.com.mx Cancún Cereza Cancún, Q. Roo Tel. +52 (998) Fax +52 (998) Luis Fernando Méndez cancun@horwath.com.mx Ciudad Juárez Av. de la Raza Ciudad Juárez, Chih. Tel. +52 (656) Fax +52 (656) José Martínez Espinoza cdjuarez@horwath.com.mx Hermosillo Paseo Valle Verde 19-A Hermosillo, Son. Tel. +52 (662) Fax +52 (662) Humberto García Borbón hermosillo@horwath.com.mx Mérida Calle Mérida, Yuc. Tel. +52 (999) Fax +52 (999) Manlio Díaz Millet merida@horwath.com.mx Mexicali Reforma Mexicali, B.C. Tel. +52 (686) Fax +52 (686) Ramón Espinoza Jiménez mexicali@horwath.com.mx Querétaro Circuito del Mesón Querétaro, Qro. Tel. +52 (442) Fax +52 (442) Aurelio Ramírez Orduña queretaro@horwath.com.mx Tijuana Germán Gedovius Tijuana, B.C. Tel. +52 (664) Fax +52 (664) Javier Almada Varona tijuana@horwath.com.mx