V.2 SISTEMAS DE INFORMACION CONTROLES Y SEGURIDAD EN LOS SISTEMAS DE INFORMACION CON APLICACIÓN INTENSIVA DE TECNOLOGIA LA NECESIDAD DE LA EXISTENCIA DE PROCEDIMIENTOS DE CONTROL INTERNO APLICADOS A LOS SISTEMAS DE INFORMACION En julio de 2.002, como reacción a los escándalos financieros y de fraude corporativo que sacudieron los mercados norteamericanos (Enron, MCI Worldcom, etc.) se promulgó la ley Sarbanes-Oxley, con la cual se persigue garantizar a los accionistas la transparencia y corrección puestas en práctica en la elaboración de los estados contables. La sección 302 de la mencionada ley exige que las compañías que cotizan en la SEC (Security Exchange Comission), a través de sus máximos referentes, CEO (Chief Executive Officer) y CFO (Chief Financial Officer), certifiquen, trimestral y anualmente, la efectividad de los controles y 1 de 26 procedimientos de exposición, que incluyen los controles internos para un adecuado reporte de la información contable. La sección 404, por otra parte, exige que la compañía asuma la responsabilidad sobre el diseño, la documentación, el mantenimiento y la evaluación del sistema de control interno que garantiza que toda la información financiera comunicada a los mercados sea fiable y esté adecuadamente elaborada. Paralelamente, establece que se deberá obtener un informe del auditor externo certificando la calidad y efectividad del sistema de control interno de la compañía. Para atender estos requerimientos, las compañías deben documentar, de forma exhaustiva y detallada, todos sus procesos y actividades, a la vez que establecer mecanismos de control y revisión de la aplicación del modelo de control interno diseñado. En la actualidad, para la mayoría de las organizaciones, los procesos y controles de TI (Tecnología Informática) son claves dentro de los 2 de 26 procesos de generación de reportes financieros y de su control asociado. Los sistemas aplicativos (ERP – Enterprise Resource Planning, u otros) son comúnmente utilizados por las empresas para registrar sus operaciones y emitir sus estados financieros. Los controles claves de TI agrupan aquellos que están incluidos en las aplicaciones financieras (controles de aplicación), así como también los relativos a la infraestructura de TI (bases de datos, redes, sistemas operativos, equipos computadores, etc.) que soporta tales aplicaciones. Es en este escenario donde se pone de manifiesto la necesidad, por parte del profesional, de incursionar en el conocimiento de los mecanismos y herramientas que permitan implementar controles generales y de aplicación en el ámbito de la Tecnología Informática. Teniendo en cuenta que los controles generales de TI son actividades que proveen razonable seguridad de alcanzar los objetivos relacionados con el procesamiento de información financiera dentro del 3 de 26 ambiente computarizado, podemos enunciar algunos de sus aspectos más comunes: Acceso a programas y datos, Desarrollo de aplicaciones y administración de cambios, Operaciones de procesamiento, Soporte de base de datos, redes y software de base, Software de usuario final, En cambio, los controles de las aplicaciones están, habitualmente, incluidos dentro de las mismas para prevenir o detectar transacciones no autorizadas y tienen por finalidad, asegurar la integridad, exactitud, autorización y validez de las transacciones durante su procesamiento, así como también asegurar que las interfases con otros sistemas funcionan correctamente y que todos los ingresos y salidas de información son íntegros y correctos. Entre estos últimos controles podemos enunciar: Controles de ingreso y validación de datos, Chequeos lógicos y/o de razonabilidad, 4 de 26 Balanceo de totales o sumas, Controles de integridad, Controles de acceso y de autorización, Segregación de funciones, Controles de salida y de reporte, Prevención/detección de transacciones fraudulentas, Es tarea de quienes son responsables por la corrección y oportunidad de la emisión de los reportes financieros, verificar el cumplimiento de los aspectos más seguridad en relevantes relacionados con plataformas, el desarrollo, la el mantenimiento y la seguridad de las aplicaciones, que se detallan a continuación: 1.- Aspectos relacionados con la seguridad en plataformas Existencia de estándares que definan los parámetros mínimos de seguridad para cada plataforma,, Existencia de procedimientos formales para la administración de la seguridad lógica y física, Adecuados mecanismos de registro monitoreo de eventos de seguridad, 5 de 26 y Existencia de un circuito de notificación de las bajas de personal de planta y contratado, Adecuada administración de usuarios críticos, 2.- Aspectos relacionados con el desarrollo y mantenimiento de aplicaciones Existencia de un procedimiento de aseguramiento de la calidad para verificar la validez de las modificaciones a programas, Adecuado modelo de puesta en producción y separación de ambientes: el personal de desarrollo no debe tener acceso al ambiente de producción ni el personal operativo debe tener acceso al ambiente de desarrollo, Formalización de las pruebas de sistemas por parte de los usuarios finales, 3.- Aspectos relacionados con la seguridad de las aplicaciones Asignación de la propiedad de los datos para gestionar la seguridad, Existencia de procedimientos para la revisión periódica de accesos otorgados usuarios finales, Adecuada segregación de funciones, 6 de 26 a los Separación de ambientes entre los entornos de desarrollo y producción, Existencia de procedimientos de validación de los cambios realizados sobre los documentos electrónicos, La sección 404 de la ley Sarbanes-Oxley recomienda un enfoque de preparación basado en la mejora continua, que contempla los pasos que se detallan más abajo, a desarrollar por la Gerencia. Esta secuencia debería brindar los elementos necesarios para que los auditores externos puedan certificar e informar sus conclusiones. Iniciar el proyecto y evaluar los riesgos + Formar el equipo de proyecto y uniformar objetivos - Establecer las obligaciones propósitos, así como y los también la clave la estructura del proyecto, - Determinar miembros de compañía y recursos externos para participar en el 7 de 26 proyecto (comité directivo, equipo básico, áreas de apoyo), - Desarrollar el proyecto y el plan de comunicaciones a los involucrados, + Determinar el alcance y el enfoque - Utilizando los estados contables como base, fijar el alcance y enfoque mediante la determinación de los ciclos y las áreas funcionales de transacciones financieras clave, diagramando ciclos a rubros de los estados contables (Mapear controles con cuentas importantes, clases de transacciones, exposiciones y viceversa), - Determinar procesos y acordar críticos cuentas analizando y la materialidad en las unidades de negocio y riesgos cualitativos, - Obtener cobertura consenso para respecto todas las de la unidades operativas/de negocios internacionales y nacionales y sus funciones y procesos, - Determinar una función o unidad de negocios para utilizar en la ejecución de prueba piloto, si correspondiera, 8 de 26 - Establecer el cronograma del proyecto, + Evaluar el riesgo y priorizar áreas clave - Evaluar el riesgo asociado con cuentas clave de los estados contables y priorizar, en consecuencia, los ciclos y las áreas funcionales afines + Establecer madurez prevista de controles internos - Basados en el riesgo relativo, establecer la madurez requerida para cada ciclo y área funcional de las transacciones financieras, de acuerdo a su importancia Documentar y evaluar el diseño de controles + Desarrollar estándares y modelos de documentación basadas en COSO y CobiT que facilitarán la determinación de controles claves utilizando, - Matrices de Objetivos de Control y sus riesgos para cada Proceso y Ciclo de negocio, - Descripciones generales de Procesos/Ciclos, - Diagramas de Flujo Procesos/Ciclos, 9 de 26 panorámicos de Comunicar estándares de la documentación al equipo de proyecto + Inventariar la documentación existente - A través de revisiones y entrevistas, determinar y acumular la documentación existente para las entidades y unidades de negocios que corresponda, - Hacer un inventario de los problemas de controles conocidos, con importancia para la presentación de información financiera, - Reunir documentación de controles internos para cada componente del COSO (Ambiente de Control, Administración de riesgo, Información y Comunicación , Monitoreo), + Documentar y evaluar diseño de controles - Documentar los controles de cada proceso de negocio en las matrices desarrolladas previamente, - Documentar los flujos de cada Proceso/Ciclo definidos como críticos en la etapa de inicio del proyecto, + Efectuar análisis de brechas - Determinar el estado actual de los controles internos y asignar la clasificación de madurez, 10 de 26 “en el estado en que se encuentran” para las actividades de control, - Identificar ausencias de documentación (áreas no documentadas de acuerdo con el estándar) y de diseño y/o implementación de controles, - Revisar la documentación con respecto a eficacia de diseño y determinar dónde es adecuado o puede mejorarse el diseño de controles, + Crear un registro de acciones respecto a brechas identificadas - Desarrollar un registro de acciones para corregir las brechas, - Revisar el registro de acciones y desarrollar consenso respecto a las prioridades de corrección, - Establecer un plan, asignando responsabilidades y cronograma para las gestiones de corrección, Corregir brechas + Preparar un plan para las gestiones de corrección, 11 de 26 + Efectuar el seguimiento de las acciones tendientes a corregir las deficiencias identificadas, + Reevaluar la eficacia operativa y/o de diseño de controles, según sea necesario, Probar la eficacia operativa + Desarrollar estándares de pruebas - Desarrollar estándares y modelos de la documentación para facilitar la revisión de la eficacia operativa (Pruebas), - Identificar los controles claves, - Considerar los documentación dimensiones requerimientos de de determinación la y pruebas, misma de las y manejo la de excepciones/desvíos , + Desarrollar plan de prueba - Probar controles clave, - Determinar tipo de control (integridad, exactitud, validez, acceso restringido), - Determinar categoría de control de control (detectivo o preventivo), - Determinar método (automatizado versus manual), 12 de 26 - Determinar tipo de evaluación por efectuarse (investigación, examen, observación y/o reejecución), - Completar y distribuir el plan de prueba, + Efectuar prueba de eficacia operativa - Efectuar el plan de prueba utilizando estándares de documentación, - Determinar excepciones de las pruebas/desvíos, y acciones posteriores, + Crear registro de acciones respecto a las deficiencias de control identificadas - Desarrollar un registro de acciones para capturar los problemas de eficacia operativa - Revisar el registro de acciones y desarrollar consenso respecto a las prioridades para la corrección - Establecer un plan, asignando responsabilidades y cronograma para las gestiones de corrección Preparar el informe de los controles internos sobre la presentación Financiera 13 de 26 de Información - Documentar las afirmaciones sobre la presentación de información financiera - Proporcionar las afirmaciones requeridas por la Sección 404 a la firma de auditoría externa Este requerimiento, que si bien alcanza a las empresas norteamericanas en cualquier lugar del mundo o a las empresas de cualquier origen que estén subordinadas a la órbita de la SEC (Security Exchange Comission), no hizo más que poner de manifiesto la necesidad de que los profesionales de ciencias económicas participen activamente del proceso integral de gestión de los sistemas de información desde el aspecto inicial con el ingreso de los datos, su registro, su procesamiento hasta la generación de información a ser considerada en la toma de decisiones. Es necesario procedimientos avanzar de en control el interno diseño para de poder reaccionar a tiempo y prevenir, en la medida de lo posible, o corregir los desvíos que se pudieren producir. 14 de 26 DE QUE HABLAMOS, CUANDO HABLAMOS DE CONTROLES? Los controles están clasificados por su naturaleza como preventivos, de detección o correctivos. Los controles preventivos tienen por finalidad detectar problemas antes que surjan mediante el seguimiento del ingreso de datos y las operaciones; los controles detectivos ponen de manifiesto que ha ocurrido un error, una omisión o un hecho malicioso y lo reportan, mientras que los errores correctivos mitigan el impacto de un error detectado o minimizan el efecto potencial de una amenaza La segregación de funciones evita la posibilidad que una sola persona pueda ser responsable de funciones diversas y críticas de tal forma que pudieran ocurrir errores u operaciones indebidas y no ser detectadas oportunamente en el curso normal de los procesos de negocios. La segregación de funciones es un importante medio por el cual se puede prevenir y disuadir actos fraudulentos o maliciosos. 15 de 26 Cuando las funciones están segregadas, se pueden restringir los accesos a la computadora, la biblioteca de datos de producción, los programas de producción, la documentación de programación, el sistema operativo y sus utilitarios asociados. Los controles de segregación de funciones más comunes son: Autorización de transacción, Custodia de archivos, Acceso a los datos, Formularios de autorización, Tablas de autorización de usuarios, En una empresa pequeña, donde la reducida planta de personal impide una eficiente segregación de funciones, se pueden implementar controles compensatorios para mitigar el riesgo resultante de tal situación: Pistas de auditoría, Conciliación, Reportes de excepción, Registros de transacciones, 16 de 26 Revisiones de supervisión, Revisiones independientes, Algunos de los indicadores más significativos de los problemas potenciales incluyen: Actitudes desfavorables del usuario final, Costos excesivos, Presupuesto excedido, Proyectos demorados, Rotación elevada del personal, Personal inexperto, Errores frecuentes de hardware/software, Lista excesiva de solicitudes de usuarios en espera, Tiempo demorado de respuesta de computadora, Numerosos proyectos de desarrollo abortados o suspendidos, Compras de hardware/software sin soporte o sin autorización, Frecuentes ampliaciones de capacidad de hardware/software, Extensos reportes de excepciones, 17 de 26 Reportes de excepciones a los que no se dio seguimiento, Poca motivación, Ausencia de planes de contingencia, Confianza en uno o dos miembros clave del personal, Falta de entrenamiento adecuado, Como consecuencia de ello, las empresas tomaron conciencia de la necesidad de revisar integralmente su modelo de control, entendiendo como tal al proceso diseñado para dar un grado de seguridad razonable acerca del cumplimiento de los objetivos de negocio en cuanto a efectividad y eficiencia de las operaciones, confiabilidad en la emisión de la información contable y cumplimiento con las leyes, normas y regulaciones aplicables. Con el avance de la globalización, la interacción permanente a través de Internet, el vertiginoso incremento de la potencia de procesamiento y sus costos decrecientes, es impensable el normal desarrollo de los sistemas de información sin el auxilio de la tecnología informática, que se ha 18 de 26 transformado en un elemento clave para soportar los procesos de negocios. Las grandes corporaciones, con sus costosos sistemas de presupuestos clase mundial tecnológicos, y han sus abultados mostrado su incapacidad para evitar los fraudes financieros o, por lo menos, ponerlos de manifiesto, y sólo salieron a la luz cuando se encontraban al borde del abismo o en caída libre hacia su destrucción. Es que no hay tecnología capaz, por sí sola, de llevar adelante los procesos de negocios. Puede facilitarlos, acelerarlos, darles nuevas oportunidades o permitirle desarrollar alternativas inviables antes de su aparición, pero no puede garantizar la solidez del modelo de negocio ni la transparencia de gestión. Para ello es necesario diseñar primero un buen modelo de negocio y una vez implementado, un proceso de control interno que permita garantizar la fidelidad de la información suministrada. Por otra parte, si bien la ley Sarbanes-Oxley está dirigida hacia las grandes corporaciones, sus resguardos pueden ser aplicados, guardando las 19 de 26 proporciones, en cualquier tipo de empresa, sin importar su volumen económico-financiero Hasta la más pequeña organización cuenta con recursos tecnológicos, incipientes o avanzados, que realizan operaciones automáticas sin que sus destinatarios hayan tomado conciencia de realizar controles que verifiquen la corrección de su funcionamiento y su validez en el tiempo y… ese es el desafío de los tiempos que corren!!!!. Un buen análisis ayuda a identificar los riesgos y vulnerabilidades que permitan determinar los controles que se necesitan para mitigarlos o, eventualmente, eliminarlos, si su criticidad así lo requiere. Un riesgo es cualquier evento que afecte el logro de los objetivos del negocio. En un sentido amplio, es la posibilidad que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdidas o daño al patrimonio. El impacto es o severidad relativos del riesgo proporcional al valor de la pérdida/daño y a la frecuencia estimada de la amenaza para el negocio. 20 de 26 La generación de negocios efectivos, sustentables, exitosos, estará apoyada en sistemas de información basados en el uso intensivo de tecnología, ya sea de distribución masiva o desarrollos de nivel mundial, diseñados para grandes clientes. Nuestro país cuenta con profesionales de primer nivel en todo lo referido al aseguramiento de la calidad en tecnología informática y se destaca por el nivel académico de sus profesionales de las ciencias económicas tanto en lo referido a la confección de procedimientos cuanto en lo concerniente a la elaboración de normas y pautas de control interno, lo que está faltando es la toma de conciencia, por parte de la Dirección de las compañías, que no todo gasto es pérdida sino que, bien efectuado, puede ser una excelente inversión que reditúe en términos de confiabilidad de los sistemas de información para la toma de decisiones. Asimismo, no siempre se pone el énfasis en una política de seguridad informática, ya sea por negligencia, desconocimiento o por razones presupuestarias mal entendidas. 21 de 26 Es tarea de los profesionales de ciencias económicas impulsar, en el ámbito de la alta dirección, mecanismos de convicción sobre la necesidad de ser los primeros sponsors de una sana y eficiente política de control interno sobre la seguridad en el ámbito de las plataformas informáticas, el desarrollo y mantenimiento de las aplicaciones y la seguridad de las mismas. El gran esfuerzo ya está hecho, falta muy poco para consolidar y cristalizar los resultados, nosotros lo necesitamos, el país lo merece….. a trabajar!!!!! 22 de 26 Síntesis temática Los fraudes económico-financieros ocurridos en los Estados Unidos (Enron, WCI WorldCom, etc.) generaron una corriente de opinión en el discrecionalidad sentido de las de limitar corporaciones la y garantizar la transparencia de las operaciones que tengan incidencia en la elaboración de los estados financieros. La obligación de cumplir con los preceptos de la citada ley, produjo una reacción en cascada que implicó la puesta en práctica de antiguas recomendaciones de auditoría que no era vistas como prioritarias o imprescindibles para la alta dirección, ya fuese por negligencia, desconocimiento, falta de voluntad política o ánimo de realizar operaciones maliciosas. Esto presenta una gran oportunidad por contagio, en cuanto a la toma de conciencia de garantizar los procesos de tecnología informática para la generación de sistemas de información que soporten decisiones. 23 de 26 la toma de Será tarea de los profesionales de tecnología informática y de ciencias económicas, desarrollar las estrategias que conduzcan a la Alta Dirección a focalizar las políticas corporativas hacia el logro de los objetivos de control que permitan dar transparencia y credibilidad a la información financiera generada por la Empresa. El gran esfuerzo ya está hecho, falta muy poco para consolidar y cristalizar los resultados, nosotros lo necesitamos, el país lo merece….. a trabajar!!!!! 24 de 26 Referencias bibliográficas : Papeles de trabajo y seminarios de ADACSI (Asociación de Auditoría y Control de Sistemas de Información) Autores : Gabriela Sol Di Stéfano Contadora Pública Nacional C.G.C.E. Socia N° 49200 Norberto Caniggia Licenciado en Análisis de Sistemas (Facultad de Ingeniería – Universidad de Buenos Aires) Master en Dirección de Sistemas de Información (Universidad del Salvador – State University of New York) Certified Information System Auditor (ISACA - Information System Audit and Control Association) 25 de 26 Profesor Adjunto Interino Rentado de la cátedra de Sistemas Administrativos del Dr.Fernando Magdalena (Facultad de Ciencias Económicas de la Universidad de Buenos Aires) 26 de 26