Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

El análisis del riesgo ayuda a identificar los riesgos y

Anuncio 
V.2 SISTEMAS DE INFORMACION
CONTROLES Y SEGURIDAD EN LOS SISTEMAS
DE INFORMACION CON APLICACIÓN INTENSIVA
DE TECNOLOGIA
LA NECESIDAD DE LA EXISTENCIA DE
PROCEDIMIENTOS DE CONTROL INTERNO
APLICADOS A LOS SISTEMAS DE
INFORMACION
En julio de 2.002, como reacción a los escándalos
financieros y de fraude corporativo que sacudieron
los
mercados
norteamericanos
(Enron,
MCI
Worldcom, etc.) se promulgó la ley Sarbanes-Oxley,
con la cual se persigue garantizar a los accionistas
la transparencia y corrección puestas en práctica en
la elaboración de los estados contables.
La sección 302 de la mencionada ley exige que las
compañías que
cotizan
en
la
SEC (Security
Exchange Comission), a través de sus máximos
referentes, CEO (Chief Executive Officer) y CFO
(Chief Financial Officer), certifiquen, trimestral y
anualmente, la efectividad de los controles y
1 de 26
procedimientos de exposición, que incluyen los
controles internos para un adecuado reporte de la
información contable.
La sección 404, por otra parte, exige que la
compañía asuma la responsabilidad sobre el diseño,
la documentación, el mantenimiento y la evaluación
del sistema de control interno que garantiza que toda
la información financiera comunicada a los mercados
sea fiable y esté adecuadamente elaborada.
Paralelamente, establece que se deberá obtener un
informe del auditor externo certificando la calidad y
efectividad del sistema de control interno de la
compañía.
Para atender estos requerimientos, las compañías
deben documentar, de forma exhaustiva y detallada,
todos sus procesos y actividades, a la vez que
establecer mecanismos de control y revisión de la
aplicación del modelo de control interno diseñado.
En
la
actualidad,
para
la
mayoría
de
las
organizaciones, los procesos y controles de TI
(Tecnología Informática) son claves dentro de los
2 de 26
procesos de generación de reportes financieros y de
su control asociado. Los sistemas aplicativos (ERP
– Enterprise Resource Planning, u otros) son
comúnmente utilizados por las empresas para
registrar sus operaciones y emitir sus estados
financieros.
Los controles claves de TI agrupan aquellos que
están incluidos en las aplicaciones financieras
(controles de aplicación), así como también los
relativos a la infraestructura de TI (bases de datos,
redes, sistemas operativos, equipos computadores,
etc.) que soporta tales aplicaciones.
Es en este escenario donde se pone de manifiesto la
necesidad,
por
parte
del
profesional,
de
incursionar en el conocimiento de los mecanismos y
herramientas que permitan implementar controles
generales y de aplicación en el ámbito de la
Tecnología Informática.
Teniendo en cuenta que los controles generales de
TI son actividades que proveen razonable seguridad
de alcanzar los objetivos relacionados con el
procesamiento de información financiera dentro del
3 de 26
ambiente computarizado, podemos enunciar algunos
de sus aspectos más comunes:
 Acceso a programas y datos,
 Desarrollo de aplicaciones y administración de
cambios,
 Operaciones de procesamiento,
 Soporte de base de datos, redes y software
de base,
 Software de usuario final,
En cambio, los controles de las aplicaciones están,
habitualmente, incluidos dentro de las mismas para
prevenir o detectar transacciones no autorizadas y
tienen
por finalidad,
asegurar
la
integridad,
exactitud, autorización y validez de las transacciones
durante
su procesamiento, así como también
asegurar que las interfases con otros sistemas
funcionan correctamente y que todos los ingresos y
salidas de información son íntegros y correctos.
Entre estos últimos controles podemos enunciar:
 Controles de ingreso y validación de datos,
 Chequeos lógicos y/o de razonabilidad,
4 de 26
 Balanceo de totales o sumas,
 Controles de integridad,
 Controles de acceso y de autorización,
 Segregación de funciones,
 Controles de salida y de reporte,
 Prevención/detección
de
transacciones
fraudulentas,
Es tarea de quienes son responsables por la
corrección y oportunidad de la emisión de los
reportes financieros, verificar el cumplimiento de los
aspectos
más
seguridad
en
relevantes
relacionados con
plataformas,
el
desarrollo,
la
el
mantenimiento y la seguridad de las aplicaciones,
que se detallan a continuación:
1.- Aspectos relacionados con la seguridad en
plataformas

Existencia de estándares que definan los
parámetros mínimos de seguridad para cada
plataforma,,

Existencia de procedimientos formales para la
administración de la seguridad lógica y física,

Adecuados
mecanismos
de
registro
monitoreo de eventos de seguridad,
5 de 26
y

Existencia de un circuito de notificación de las
bajas de personal de planta y contratado,

Adecuada administración de usuarios críticos,
2.- Aspectos relacionados con el desarrollo y
mantenimiento de aplicaciones

Existencia
de
un
procedimiento
de
aseguramiento de la calidad para verificar la
validez de las modificaciones a programas,

Adecuado modelo de puesta en producción y
separación de ambientes: el personal de
desarrollo no debe tener acceso al ambiente
de producción ni el personal operativo debe
tener acceso al ambiente de desarrollo,

Formalización de las pruebas de sistemas por
parte de los usuarios finales,
3.- Aspectos relacionados con la seguridad de las
aplicaciones

Asignación de la propiedad de los datos para
gestionar la seguridad,

Existencia de procedimientos para la revisión
periódica
de
accesos
otorgados
usuarios finales,

Adecuada segregación de funciones,
6 de 26
a
los

Separación de ambientes entre los entornos
de desarrollo y producción,

Existencia de procedimientos de validación de
los cambios realizados sobre los documentos
electrónicos,
La
sección
404
de
la
ley
Sarbanes-Oxley
recomienda un enfoque de preparación basado en la
mejora continua, que contempla los pasos que se
detallan más abajo, a desarrollar por la Gerencia.
Esta secuencia debería brindar los elementos
necesarios para que los auditores externos puedan
certificar e informar sus conclusiones.
 Iniciar el proyecto y evaluar los riesgos
+ Formar el equipo de proyecto y uniformar
objetivos
-
Establecer
las
obligaciones
propósitos,
así
como
y
los
también
la
clave
la
estructura del proyecto,
-
Determinar
miembros
de
compañía y recursos externos para
participar
en
el
7 de 26
proyecto
(comité
directivo,
equipo
básico,
áreas
de
apoyo),
-
Desarrollar el proyecto y el plan de
comunicaciones a los involucrados,
+ Determinar el alcance y el enfoque
-
Utilizando los estados contables como
base, fijar el alcance y enfoque mediante
la determinación de los ciclos y las áreas
funcionales de transacciones financieras
clave, diagramando ciclos a rubros de
los estados contables (Mapear controles
con cuentas importantes, clases de
transacciones,
exposiciones
y
viceversa),
-
Determinar
procesos
y
acordar
críticos
cuentas
analizando
y
la
materialidad en las unidades de negocio
y riesgos cualitativos,
-
Obtener
cobertura
consenso
para
respecto
todas
las
de
la
unidades
operativas/de negocios internacionales y
nacionales y sus funciones y procesos,
-
Determinar una función o unidad de
negocios para utilizar en la ejecución de
prueba piloto, si correspondiera,
8 de 26
-
Establecer el cronograma del proyecto,
+ Evaluar el riesgo y priorizar áreas clave
-
Evaluar el riesgo asociado con cuentas
clave
de
los
estados
contables
y
priorizar, en consecuencia, los ciclos y
las áreas funcionales afines
+ Establecer madurez prevista de controles
internos
-
Basados en el riesgo relativo, establecer
la madurez requerida para cada ciclo y
área funcional de las transacciones
financieras, de acuerdo a su importancia
 Documentar y evaluar el diseño de controles
+
Desarrollar
estándares
y
modelos
de
documentación basadas en COSO y CobiT
que facilitarán la determinación de controles
claves utilizando,
-
Matrices de Objetivos de Control y sus
riesgos para cada Proceso y Ciclo de
negocio,
-
Descripciones
generales
de
Procesos/Ciclos,
-
Diagramas de Flujo
Procesos/Ciclos,
9 de 26
panorámicos de
Comunicar estándares de la documentación al
equipo de proyecto
+ Inventariar la documentación existente
-
A
través
de
revisiones
y
entrevistas,
determinar y acumular la documentación
existente para las entidades y unidades de
negocios que corresponda,
- Hacer un inventario de los problemas de
controles conocidos, con importancia para la
presentación de información financiera,
- Reunir documentación de controles internos
para cada componente del COSO (Ambiente
de
Control,
Administración
de
riesgo,
Información y Comunicación , Monitoreo),
+ Documentar y evaluar diseño de controles
-
Documentar los controles de cada proceso de
negocio
en
las
matrices
desarrolladas
previamente,
-
Documentar los flujos de cada Proceso/Ciclo
definidos como críticos en la etapa de inicio
del proyecto,
+ Efectuar análisis de brechas
-
Determinar el estado actual de los controles
internos y asignar la clasificación de madurez,
10 de 26
“en el estado en que se encuentran” para las
actividades de control,
-
Identificar
ausencias
de
documentación
(áreas no documentadas de acuerdo con el
estándar) y de diseño y/o implementación de
controles,
-
Revisar la documentación con respecto a
eficacia de diseño y determinar dónde es
adecuado o puede mejorarse el diseño de
controles,
+ Crear un registro de acciones respecto a brechas
identificadas
-
Desarrollar un registro de acciones
para corregir las brechas,
-
Revisar el registro de acciones y
desarrollar consenso respecto a las
prioridades de corrección,
-
Establecer
un
plan,
asignando
responsabilidades y cronograma para
las gestiones de corrección,
 Corregir brechas
+ Preparar un plan para las gestiones de
corrección,
11 de 26
+ Efectuar el seguimiento de las acciones
tendientes
a
corregir
las
deficiencias
identificadas,
+ Reevaluar la eficacia operativa y/o de diseño
de controles, según sea necesario,
 Probar la eficacia operativa
+ Desarrollar estándares de pruebas
-
Desarrollar estándares y modelos de la
documentación para facilitar la revisión
de la eficacia operativa (Pruebas),
-
Identificar los controles claves,
-
Considerar
los
documentación
dimensiones
requerimientos
de
de
determinación
la
y
pruebas,
misma
de
las
y
manejo
la
de
excepciones/desvíos ,
+ Desarrollar plan de prueba
-
Probar controles clave,
-
Determinar tipo de control (integridad,
exactitud, validez, acceso restringido),
-
Determinar
categoría
de
control
de
control
(detectivo o preventivo),
-
Determinar
método
(automatizado versus manual),
12 de 26
-
Determinar tipo de evaluación por
efectuarse
(investigación,
examen,
observación y/o reejecución),
-
Completar y distribuir el plan de
prueba,
+ Efectuar prueba de eficacia operativa
-
Efectuar el plan de prueba utilizando
estándares de documentación,
-
Determinar
excepciones
de
las
pruebas/desvíos, y acciones posteriores,
+ Crear registro de acciones respecto a las
deficiencias de control identificadas
-
Desarrollar un registro de acciones
para capturar los problemas de eficacia
operativa
-
Revisar el registro de acciones y
desarrollar consenso respecto a las
prioridades para la corrección
-
Establecer
un
plan,
asignando
responsabilidades y cronograma para
las gestiones de corrección
 Preparar el informe de los controles internos
sobre
la
presentación
Financiera
13 de 26
de
Información
-
Documentar las afirmaciones sobre la
presentación de información financiera
-
Proporcionar las afirmaciones requeridas
por la Sección 404 a la firma de auditoría
externa
Este requerimiento, que si bien alcanza a las
empresas norteamericanas en cualquier lugar del
mundo o a las empresas de cualquier origen que
estén subordinadas a la órbita de la SEC (Security
Exchange Comission), no hizo más que poner de
manifiesto la necesidad de que los profesionales de
ciencias económicas participen activamente del
proceso integral de gestión de los sistemas de
información desde el aspecto inicial con el ingreso
de los datos, su registro, su procesamiento hasta la
generación de información a ser considerada en la
toma de decisiones.
Es
necesario
procedimientos
avanzar
de
en
control
el
interno
diseño
para
de
poder
reaccionar a tiempo y prevenir, en la medida de lo
posible, o corregir los desvíos que se pudieren
producir.
14 de 26
DE QUE HABLAMOS, CUANDO HABLAMOS DE
CONTROLES?
Los controles están clasificados por su naturaleza
como preventivos, de detección o correctivos. Los
controles preventivos tienen por finalidad detectar
problemas antes que surjan mediante el seguimiento
del ingreso de datos y las operaciones; los controles
detectivos ponen de manifiesto que ha ocurrido un
error, una omisión o un hecho malicioso y lo
reportan, mientras que los errores
correctivos
mitigan el impacto de un error detectado o minimizan
el efecto potencial de una amenaza
La segregación de funciones evita la posibilidad que
una sola persona pueda ser responsable de
funciones diversas y críticas de tal forma que
pudieran ocurrir errores u operaciones indebidas y
no ser detectadas oportunamente en el curso normal
de los procesos de negocios.
La segregación de
funciones es un importante medio por el cual se
puede prevenir y disuadir actos fraudulentos o
maliciosos.
15 de 26
Cuando las funciones están segregadas, se pueden
restringir los accesos a la computadora, la biblioteca
de
datos
de
producción,
los
programas
de
producción, la documentación de programación, el
sistema operativo y sus utilitarios asociados.
Los controles de segregación de funciones más
comunes son:
 Autorización de transacción,
 Custodia de archivos,
 Acceso a los datos,
 Formularios de autorización,
 Tablas de autorización de usuarios,
En una empresa pequeña, donde la reducida planta
de personal impide una eficiente segregación de
funciones,
se
pueden
implementar
controles
compensatorios para mitigar el riesgo resultante de
tal situación:
 Pistas de auditoría,
 Conciliación,
 Reportes de excepción,
 Registros de transacciones,
16 de 26
 Revisiones de supervisión,
 Revisiones independientes,
Algunos de los indicadores más significativos de los
problemas potenciales incluyen:
 Actitudes desfavorables del usuario final,
 Costos excesivos,
 Presupuesto excedido,
 Proyectos demorados,
 Rotación elevada del personal,
 Personal inexperto,
 Errores frecuentes de hardware/software,
 Lista excesiva de solicitudes de usuarios en
espera,
 Tiempo
demorado
de
respuesta
de
computadora,
 Numerosos proyectos de desarrollo abortados
o suspendidos,
 Compras de hardware/software sin soporte o
sin autorización,
 Frecuentes ampliaciones de capacidad de
hardware/software,
 Extensos reportes de excepciones,
17 de 26
 Reportes de excepciones a los que no se dio
seguimiento,
 Poca motivación,
 Ausencia de planes de contingencia,
 Confianza en uno o dos miembros clave del
personal,
 Falta de entrenamiento adecuado,
Como consecuencia de ello, las empresas tomaron
conciencia de la necesidad de revisar integralmente
su modelo de control, entendiendo como tal al
proceso diseñado para dar un grado de seguridad
razonable acerca del cumplimiento de los objetivos
de negocio en cuanto a efectividad y eficiencia de
las operaciones, confiabilidad en la emisión de la
información contable y cumplimiento con las leyes,
normas y regulaciones aplicables.
Con el avance
de la globalización, la interacción
permanente a través de Internet, el vertiginoso
incremento de la potencia de procesamiento y sus
costos decrecientes, es impensable el normal
desarrollo de los sistemas de información sin el
auxilio de la tecnología informática, que se ha
18 de 26
transformado en un elemento clave para soportar los
procesos de negocios.
Las grandes corporaciones, con sus costosos
sistemas
de
presupuestos
clase
mundial
tecnológicos,
y
han
sus
abultados
mostrado
su
incapacidad para evitar los fraudes financieros o, por
lo menos, ponerlos de manifiesto, y sólo salieron a la
luz cuando se encontraban al borde del abismo o en
caída libre hacia su destrucción.
Es que no hay tecnología capaz, por sí sola, de
llevar adelante los procesos de negocios.
Puede
facilitarlos, acelerarlos, darles nuevas oportunidades
o permitirle desarrollar alternativas inviables antes
de su aparición, pero no puede garantizar la solidez
del modelo de negocio ni la transparencia de
gestión. Para ello es necesario diseñar primero un
buen modelo de negocio y una vez implementado,
un proceso de control interno que permita garantizar
la fidelidad de la información suministrada.
Por otra parte, si bien la ley Sarbanes-Oxley está
dirigida
hacia
las grandes corporaciones,
sus
resguardos pueden ser aplicados, guardando las
19 de 26
proporciones, en cualquier tipo de empresa, sin
importar su volumen económico-financiero
Hasta la más pequeña organización cuenta con
recursos tecnológicos, incipientes o avanzados, que
realizan operaciones automáticas sin que sus
destinatarios hayan tomado conciencia de realizar
controles
que
verifiquen
la
corrección de
su
funcionamiento y su validez en el tiempo y… ese es
el desafío de los tiempos que corren!!!!.
Un buen análisis ayuda a identificar los riesgos y
vulnerabilidades
que
permitan
determinar
los
controles que se necesitan para mitigarlos o,
eventualmente, eliminarlos, si su criticidad así lo
requiere.
Un riesgo es cualquier evento que afecte el logro de
los objetivos del negocio. En un sentido amplio, es la
posibilidad que una amenaza determinada explote
las vulnerabilidades de un activo o grupo de activos
y ocasione pérdidas o daño al patrimonio.
El
impacto
es
o
severidad
relativos
del
riesgo
proporcional al valor de la pérdida/daño y a la
frecuencia estimada de la amenaza para el negocio.
20 de 26
La generación de negocios efectivos, sustentables,
exitosos, estará apoyada en sistemas de información
basados en el uso intensivo de tecnología, ya sea de
distribución masiva o desarrollos de nivel mundial,
diseñados para grandes clientes.
Nuestro país cuenta con profesionales
de primer
nivel en todo lo referido al aseguramiento de la
calidad en tecnología informática y se destaca por el
nivel académico de sus profesionales de las ciencias
económicas tanto en lo referido a la confección de
procedimientos cuanto en lo concerniente a la
elaboración de normas y pautas de control interno, lo
que está faltando es la toma de conciencia, por parte
de la Dirección de las compañías, que no todo gasto
es pérdida sino que, bien efectuado, puede ser una
excelente inversión que reditúe en términos de
confiabilidad de los sistemas de información para la
toma de decisiones. Asimismo, no siempre se pone
el énfasis en una política de seguridad informática,
ya sea por negligencia, desconocimiento o por
razones presupuestarias mal entendidas.
21 de 26
Es
tarea
de
los
profesionales
de
ciencias
económicas impulsar, en el ámbito de la alta
dirección, mecanismos de convicción sobre la
necesidad de ser los primeros sponsors de una sana
y eficiente política de control interno sobre la
seguridad
en
el
ámbito
de
las
plataformas
informáticas, el desarrollo y mantenimiento de las
aplicaciones y la seguridad de las mismas.
El gran esfuerzo ya está hecho, falta muy poco
para consolidar y cristalizar los resultados,
nosotros lo necesitamos, el país lo merece….. a
trabajar!!!!!
22 de 26
Síntesis temática
 Los fraudes económico-financieros ocurridos
en
los
Estados
Unidos
(Enron,
WCI
WorldCom, etc.) generaron una corriente de
opinión
en
el
discrecionalidad
sentido
de
las
de
limitar
corporaciones
la
y
garantizar la transparencia de las operaciones
que tengan incidencia en la elaboración de
los estados financieros.
 La obligación de cumplir con los preceptos de
la citada ley, produjo una reacción en
cascada que implicó la puesta en práctica de
antiguas recomendaciones de auditoría que
no
era
vistas
como
prioritarias
o
imprescindibles para la alta dirección, ya
fuese por negligencia, desconocimiento, falta
de voluntad política o ánimo de realizar
operaciones maliciosas.
 Esto presenta una gran oportunidad por
contagio, en cuanto a la toma de conciencia
de garantizar los procesos de tecnología
informática para la generación de sistemas de
información
que
soporten
decisiones.
23 de 26
la
toma
de
 Será tarea de los profesionales de tecnología
informática
y
de
ciencias
económicas,
desarrollar las estrategias que conduzcan a la
Alta
Dirección
a
focalizar
las
políticas
corporativas hacia el logro de los objetivos de
control que permitan dar transparencia y
credibilidad
a
la
información
financiera
generada por la Empresa.
El gran esfuerzo ya está hecho, falta muy poco
para consolidar y cristalizar los resultados,
nosotros lo necesitamos, el país lo merece….. a
trabajar!!!!!
24 de 26
Referencias bibliográficas : Papeles de trabajo y
seminarios de ADACSI (Asociación de Auditoría y
Control de Sistemas de Información)
Autores :
Gabriela Sol Di Stéfano

Contadora Pública Nacional
C.G.C.E. Socia N° 49200
Norberto Caniggia
 Licenciado en Análisis de Sistemas (Facultad
de Ingeniería – Universidad de Buenos Aires)
 Master
en
Dirección
de
Sistemas
de
Información (Universidad del Salvador – State
University of New York)

Certified Information System Auditor (ISACA
- Information System Audit and Control
Association)
25 de 26

Profesor Adjunto Interino Rentado de la
cátedra de Sistemas Administrativos del
Dr.Fernando
Magdalena
(Facultad
de
Ciencias Económicas de la Universidad de
Buenos Aires)
26 de 26
Descargar
Anuncio
Anuncio