Control interno en los sistemas informáticos
Governance, control interno y COBIT
La Informática hoy, está subsumida en la gestión integral
de la empresa, y por eso las normas y estándares propiamente informáticos deben
estar, por lo tanto, sometidos a los generales de la misma. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones,
pero no decide por sí misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, existe la Auditoría Informática, que es un examen crítico que se realiza con
el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc., la auditoría es un
examen crítico pero no mecánico, que no implica la pre-existencia de fallas en
la
entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y
eficiencia de una sección o de un organismo.
Las tecnologías de la información
están presentes en todas las áreas de las organizaciones; esta implantación
generalizada de SI se ha realizado en muchos casos sin planificación, en parte
porque los conceptos necesarios no estaban desarrollados. En los últimos
tiempos el ejercicio en las actividades de auditoria y control en tecnologías
informáticas, ha auspiciado un desenvolvimiento acelerado de todas las demás
actividades inmersas en la economía de un país; esto da pie a pensar que las
tareas realizadas por ellas han de ser igualmente auditadas.
En las organizaciones modernas la misión de las TI es facilitar la
consecución de sus objetivos estratégicos; para ello, se invierte una
considerable cantidad de recursos en personal, equipos y tecnología, además de
los costos derivados de la posible organización estructural, que muchas veces
conlleva la introducción de estas tecnologías. Esta importante inversión debe
ser constantemente justificada en términos de eficacia y eficiencia.
Las exigencias del control sobre procesos e inversiones es tendencia que
poco a poco se vuelve imperativo para un creciente número de CIOs; por ello se
ven, cada vez más, obligados a alinear de manera precisa sus estrategias de
inversión en TI con los objetivos del negocio, y, además, demostrar con los
datos el impacto positivo de las inversiones. Esta situación está despertando interés
entre las organizaciones por lo que se conoce como “IT Governance” (gobierno o
control de TI), enfoque que permite evaluar la inversión en TI –potencial o ya
realizada– desde el punto de vista empresarial. Nacida durante los 90s,
impulsada principalmente por la asociación de TI, ISACA, inicialmente el IT
Governance comenzó como concepto conectado a la gestión de los recursos de TI,
sin embargo, se ha ampliado a varios aspectos relativos a la provisión de
activos TI y de su efecto en los procesos de negocio, ya que estas herramientas
permiten mejorar reporte financiero y visibilidad de procesos, ayudan a cumplir
las nuevas normativas y, especialmente, a administrar la informática.
Según Guillermo Pérez, BSO de CA, “IT Governance es disciplina que forma
parte integral de la gobernabilidad corporativa y consiste en estructura de
procesos que controlan la empresa en torno al logro de objetivos y busca
balance entre riesgo e inversión”; agregó que consta de tres principios
básicos: a) Transparencia en la toma de decisiones; b) Responsabilidad en las
inversiones; c) Equidad, un balance entre la inversión y el riesgo. Por su
parte, Tomas Helou, director Ejecutivo América Latina de BEA Systems, indicó
que “IT Governance es filosofía de negocios orientada a alinear las TI con las
estrategias de negocios. Permitir que TI sea facilitador a la hora de manejar
el activo más importante de las organizaciones, la información. Es decir,
permitir el flujo eficiente de información entre personas, sistemas y
organizaciones en pos de agregar valor al negocio”.
Lo más importante es que una vez definida una disciplina de IT
Governance, es tarea que no termina, pues constantemente se tiene que hacer
revisión de procesos; el objetivo final es la aceleración en la adopción de
estrategias empresariales, para gestionar el ciclo de vida completo de los
proyectos de TI, desde la gestión de la demanda hasta la producción final,
pasando por su justificación, establecimiento de prioridades, disponibilidad y
asignación de recursos, control de costos, despliegue de las soluciones
desarrolladas, así como la medición de los beneficios.
El control interno ha sido diseñado, aplicado y considerado como la
herramienta más importante para el logro de los objetivos, la utilización
eficiente de los recursos y para obtener la productividad, además de prevenir
fraudes, errores, violación a principios y normas contables, fiscales y
tributarias.
El control interno comprende el plan de organización y el conjunto de
métodos y medidas adoptadas para
salvaguardar recursos, verificar la exactitud y veracidad de la información
financiera y administrativa, promover eficiencia en las operaciones, estimular
observación de las políticas prescritas y lograr el cumplimiento de las
metas y objetivos programados.
ü La
obtención de información financiera oportuna, confiable y suficiente
ü Promover
obtención de información técnica y otro tipo de información no financiera para
utilizar como elemento útil para gestión y control.
ü Procurar
medidas para la protección, uso y conservación de recursos financieros, materiales,
técnicos y cualquier recurso de propiedad de la entidad.
ü Promover eficiencia organizacional de la entidad para
el logro de sus objetivos y misión.
ü Asegurar
que las acciones institucionales se desarrollen en el marco de normas
constitucionales, legales y reglamentarias.
ü Instaurar
y hacer cumplir normas, políticas y procedimientos que regulen actividades de sistematización.
ü Establecer acciones para adecuado diseño e
implementación de sistemas computarizados.
Elementos del control interno:
Los elementos del control interno
deben gravitar alrededor de los principios de calidad e idoneidad, entre ellos
están: Planeación, Organización, Procedimientos, Personal, Autorización,
Sistema de información, Supervisión.
En el ambiente informático, el control interno se materializa en
controles de dos tipos: Controles manuales, ejecutados por personal del
área usuaria o de informática sin utilización de herramientas computacionales y
Controles automáticos, generalmente en
el software, llámense de operación, de comunicación, de gestión de base de
datos, programas de aplicación, etc.
Los controles según su finalidad
se clasifican en:
• Controles Preventivos, para tratar de evitar la producción de
errores o hechos fraudulentos, como por ejemplo el software de seguridad que
evita el acceso a personal no autorizado.
• Controles Detectivos, para
descubrir a posteriori errores o fraudes que no haya sido posible evitar con
controles preventivos.
• Controles Correctivos,
tratan de asegurar que se subsanen todos los errores identificados mediante los
controles detectivos.
Al
conjunto de técnicas de investigación que nos sirven para fundamentar la
opinión del auditor dentro de una auditoría, se les da el nombre de procedimientos
de auditoría en informática; la combinación de dos o más procedimientos,
derivan en programas de auditoría, y al conjunto de programas de auditoría se
le denomina plan de auditoría, el cual servirá al auditor para estrategia y organización de la propia auditoría.
El auditor no puede obtener el conocimiento que necesita en una sola prueba, es
necesario examinar los hechos, mediante varias técnicas de aplicación
simultánea.
En general los procedimientos de auditoría permiten:
ü Obtener
conocimientos del control interno.
ü Analizar
las características del control interno.
ü Verificar
los resultados de control interno.
ü Fundamentar conclusiones de la auditoría.
Acá desarrollaremos diversos tipos de técnicas y procedimientos que se
describen a continuación:
Comparación de programas:
Se emplea para comparar código
(fuente, objeto o comandos de proceso) entre la versión de un programa en
ejecución y la versión de un programa piloto que ha sido modificado en forma
indebida, para encontrar diferencias.
Mapeo y rastreo de
programas:
Se emplea software especializado
que permite analizar programas en ejecución, indicando las veces que cada línea
de código es procesada y las de las variables de memoria que estuvieron
presentes.
Análisis de código de programas:
Se emplea para analizar programas de una aplicación; puede efectuarse en
forma manual (en cuyo caso sólo se podría analizar el código ejecutable).
Auditoría en informática
Auditoría en Informática es la
revisión y evaluación de los controles, sistemas, procedimientos de
informática, de los equipos de cómputo, su utilización, eficiencia y seguridad
de la organización, que participan en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información. Pero, antes de determinar
riesgos, hay que determinar objetivos; cada entidad debe determinar sus
objetivos, sus puntos fuertes y débiles y oportunidades y amenazas del entorno;
así obtendrá un plan estratégico que identificará los factores de éxito o
condiciones para alcanzar sus objetivos. Los objetivos se clasifican así: objetivos
operacionales, relacionados con la información financiera y de cumplimiento.
COBIT (Objetivos de Control para Tecnología
de Información y Tecnologías relacionadas)
COBIT, creado por la Asociación para la Auditoría y Control de Sistemas
de Información (ISACA) y el Instituto de Administración de las Tecnologías de la Información
(ITGI), lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la
forma en que trabajan los profesionales de TI. Vinculando tecnología
informática y prácticas de control, COBIT consolida y armoniza estándares de
fuentes globales en un recurso crítico para la gerencia, los profesionales de
control y los auditores.
COBIT se
aplica a todos los sistemas de información de la empresa, incluyendo computadoras personales, mini computadoras y
ambientes distribuidos; está basado en la filosofía de que los recursos de TI
deben administrarse por un conjunto de procesos naturalmente agrupados, para
proveer la información pertinente y confiable que requiere una organización
para lograr sus objetivos.
Investigar,
desarrollar, publicar y promover un conjunto internacional y actualizado de
objetivos de control para TI, que sea de uso cotidiano para gerentes y
auditores
La
Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes
obtienen una garantía sobre la seguridad y el control de los productos que
adquieren interna y externamente.
Los Auditores: para
soportar sus opiniones sobre los
controles de los proyectos de TI, su impacto en la organización y determinar el
control mínimo requerido.
Los
Responsables de TI: para identificar los controles que requieren en sus
áreas.
También
puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio, en su responsabilidad de controlar los aspectos de información del
proceso, y por todos aquellos con responsabilidades en el campo de la TI en las
empresas.
ü Orientado
al negocio.
ü Alineado
con estándares y regulaciones “de facto”.
ü Basado
en una revisión crítica y analítica de las tareas y actividades en TI.
ü Alineado
con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
La estructura del modelo COBIT propone un marco de acción donde se
evalúan los criterios de información, como por ejemplo la seguridad y calidad,
se auditan los recursos que comprenden la tecnología de información, como por
ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente
se realiza una evaluación sobre los procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de
negocios y la seguridad IT y que abarca controles específicos de IT desde una
perspectiva de negocios. “La adecuada
implementación de un modelo COBIT en una organización, provee una herramienta
automatizada, para evaluar de manera ágil y consistente el cumplimiento de los
objetivos de control y controles detallados, que aseguran que los procesos y
recursos de información y tecnología contribuyen al logro de los objetivos del
negocio, en un mercado cada vez más exigente, complejo y diversificado”.
El conjunto de lineamientos y
estándares internacionales conocidos como COBIT, define un marco de referencia,
que clasifica los procesos de las unidades de tecnología de información de las
organizaciones, en cuatro “dominios” principales, a saber:
ü Planificación
y organización
ü Adquisición
e implantación
ü Soporte y Servicios
ü Monitoreo.
Estos dominios agrupan objetivos
de control de alto nivel, que cubren tanto los aspectos de información, como de
la tecnología que la respalda; estos dominios y objetivos de control facilitan
que la generación y procesamiento de la información cumpla con las
características de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad.
Veamos que ventajas ofrece COBIT:
COBIT es un marco de referencia aceptado mundialmente, de gobierno IT
basado en estándares y mejores prácticas de la industria. Una vez implementado,
es posible asegurarse de que IT se encuentra efectivamente alineado con las
metas del negocio, y orientar su uso para obtener ventajas competitivas.
ü Suministra
un lenguaje común que les permite a los ejecutivos de negocios comunicar sus
metas, objetivos y resultados con Auditores IT y otros profesionales.
ü Proporciona
las mejores prácticas y herramientas para monitorear y gestionar las
actividades de IT.
ü El uso de
sistemas usualmente requiere de una inversión que necesita ser adecuadamente
gestionada.
ü Ayuda a los ejecutivos a entender y gestionar
las inversiones en IT a través de sus ciclo de vida, así como también
proporcionándoles métodos para asegurarse que IT entregara los beneficios
esperados.
No hay comentarios.:
Publicar un comentario