El Control General de las Tecnologías de Información

Anuncio
El Control General de las
Tecnologías de Información, Pieza
Fundamental del Control Interno en
las Organizaciones
Por: Ing. Gustavo Lutteroth Echegoyen ([email protected]) con la colaboración de la
Ing. Karen Zambrano ([email protected])
Las empresas actualmente están muy
interesadas en revisar la situación en la que se
encuentra el control de las actividades que se
realizan en el área de sistemas o tecnologías
de información (TI).
Actualmente existe un modelo COSO
(Comité de Organizaciones Patrocinadoras,
por sus siglas en inglés) que ve a los controles
en una forma más amplia y define al control
interno como:
•
•
•
•
Ambiente de Control
Para comprender esta estructura de control
desde otra perspectiva, vea la figura 1 del
análisis del dominio de información.
Figura 1 Dominio del Proceso de Análisis
Un proceso
Es establecido por el consejo de
administración, la administración y el
personal de una entidad
Diseñado para proporcionar un
aseguramiento razonable
El modelo COSO cambió la estructura de
control de tres elementos (incluidos en el SAS
55) a cinco componentes integrados:
•
•
•
•
Monitoreo
Información y Comunicación
Actividades de Control
Evaluación de Riesgos
Para poder realizar un diagnóstico del control
interno, se requiere de personal calificado, en
su mayoría auditores, que lleven a cabo una
auditoría dentro de la organización para
poder dar observaciones u oportunidades de
mejora a sus controles. La realización de la
auditoría en sistemas de información
implantados evitará los fraudes realizados con
ayuda del computador y proporcionará
información confiable. La evaluación del
control interno, hace algunos años, estuvo
enfocada al control llevado a cabo a nivel
contable, ya que se deseaba analizar y
detectar los posibles riesgos del control
interno en diferentes áreas operativas,
administrativas, contables y en auditoría
externa, para aplicar los procedimientos,
alcances y pruebas de los estados financieros.
Existen despachos que se especializan en
realizar proyectos referentes al diagnóstico
del control interno de las tecnologías de
información en las organizaciones, y cada
uno de ellos lleva su propia metodología; sin
embargo, la mayoría se basa en la
metodología COBIT.
proporcionar un nivel razonable de certeza
de que se logran los objetivos globales del
control interno como son: efectividad,
eficiencia,
confidencialidad,
integridad,
disponibilidad, cumplimiento y confiabilidad
de la información financiera.
Los controles generales de TI pueden
incluir:
Preinstalación.
Se
refiere
acondicionamiento físico y medidas
seguridad en el área donde se localiza
equipo de cómputo y a la capacitación
personal y adquisición o desarrollo
sistemas.
Controles
de
organización
y
administración. Diseñados para establecer
un marco de referencia organizacional sobre
las actividades de TI, incluyendo:
•
•
Control interno informático
Hay diferencias de opinión en torno al
significado y los objetivos del control interno.
Para muchos son los pasos que toma una
compañía para prevenir fraudes, tanto la
malversación de activos como los informes
financieros fraudulentos, como afirman Ray
Whittington y Kart Pany.
El control interno informático controla
diariamente que todas las actividades de los
sistemas de información sean realizadas
cumpliendo los procedimientos, estándares y
normas fijados por la dirección de la
organización y/o dirección de informática, así
como los requerimientos legales.
Controles generales
El propósito de los controles generales de TI
es establecer un marco de referencia de
control global sobre las actividades de TI y
al
de
el
de
de
Políticas y procedimientos relativos a
funciones de control
Segregación apropiada de funciones
incompatibles (por ejemplo, preparación
de transacciones de entrada a los
sistemas, diseño y programación de
sistemas y operaciones de cómputo)
Desarrollo de sistemas de aplicación y
control de mantenimiento. Diseñados para
proporcionar certeza razonable de que los
sistemas se desarrollan y mantienen de
manera eficiente y autorizada. También están
diseñados para establecer control sobre:
•
•
•
•
•
Pruebas, conversión, implementación y
documentación de sistemas nuevos y
revisados
Cambios a sistemas
Acceso de documentación de sistemas
Adquisición de sistemas de aplicación de
terceros
Verificación de controles sobre los
cambios en la configuración o
estandarización de sistemas integrados
Controles de operación de cómputo y de
seguridad. Diseñados para controlar la
operación de los sistemas y proporcionar
certeza razonable de que:
•
•
Para que un equipo de profesionales logre
obtener un resultado homogéneo, como si lo
hiciera uno solo, es habitual el uso de
metodologías
en
las
empresas
auditoras/consultoras profesionales, las cuales
son desarrolladas por los más expertos para
conseguir resultados homogéneos en equipos
de trabajo heterogéneos.
•
•
•
Los sistemas son usados para propósitos
autorizados únicamente
El acceso a las operaciones de cómputo
es restringido a personal autorizado
Sólo se usan programas autorizados
Los errores de procesamiento son
detectados y corregidos
Controles de software de sistemas.
Diseñados
para
proporcionar
certeza
razonable de que el software del sistema
(sistema operativo) se adquiere o desarrolla
de manera autorizada y eficiente, incluyendo:
•
•
Autorización, aprobación, análisis, diseño,
pruebas técnicas, pruebas de usuario,
implementación,
liberación
y
documentación de software de sistemas
nuevos y modificaciones del software de
sistemas
Restricción de acceso a software y
documentación de sistemas sólo a
personal autorizado
Controles de entrada de datos y
programas (control de acceso). Diseñados
para proporcionar certeza razonable de que:
•
•
•
•
Conclusión
La proliferación de metodologías en el
mundo de la auditoría y el control
informáticos se puede observar en los
primeros años de la década de los ochenta,
paralelamente
al
nacimiento
y
comercialización
de
determinadas
herramientas metodológicas (como el
software de análisis de riesgos).
Pero el uso de métodos de auditoría es casi
paralelo al nacimiento de la informática, en lo
que existen muchas disciplinas, cuyo uso de
metodologías constituyen una práctica
habitual. Una de ellas es la seguridad de los
sistemas de información. Éste y no otro, debe
ser el campo de actuación de un auditor
informático del siglo XXI.
Está establecida una estructura de
autorización sobre las transacciones que
se alimentan al sistema
El acceso a datos y programas está
restringido a personal autorizado
Hay otras salvaguardas que contribuyen a la
continuidad del procesamiento de TI y a
promover razonables prácticas de control,
manuales o automatizadas, durante una
interrupción del sistema principal. Éstas
pueden incluir:
•
Procedimientos y controles alternos
durante el incidente de interrupción
Respaldo de datos y programas de
cómputo en otro sitio
Procedimientos de recuperación para
usarse en caso de robo, pérdida o
destrucción intencional o accidental
Provisión para procesamiento externo en
caso de desastre
El objetivo de todas las actividades del control
de TI es asegurar la protección de los recursos
informáticos y mejorar la eficiencia de los
procesos que ya están establecidos en la
organización; lo que derivará en una mayor
exactitud en los reportes financieros, además
de que proveerá seguridad a todos aquellos
relacionados con la empresa.
En conclusión, los controles generales de la
tecnología de información, sin importar que
se trate de controles preventivos, detectivos o
correctivos, son parte importante en la
evaluación del control interno en las
empresas y representan, por su cobertura
alrededor de los procesos de negocio,
controles
clave
que
asegurarán
el
cumplimiento de los objetivos del control
interno, así como los de la información.
El Ing. Gustavo Lutteroth Echegoyen es Socio de
Innovaciones Tecnológicas de Horwath Castillo
Miranda. La Ing. Karen Zambrano es
Especialista en Innovaciones Tecnológicas de
Horwath Castillo Miranda.
###
© 2008 Castillo Miranda y
Compañía, S.C. es miembro
de Horwath International
Association, una asociación
Suiza.
Cada firma miembro de
Horwath es una entidad legal
separada e independiente.
El contenido de esta
publicación es de carácter
general.
Si desea obtener mayor
información, por favor
contacte a nuestros
especialistas.
Fundada en 1943, Horwath Castillo Miranda es una de las
principales firmas de contadores públicos y consultores de
negocios en México.
Horwath Castillo Miranda provee soluciones de negocio
innovadoras en las áreas de auditoría, impuestos, finanzas
corporativas, consultoría de riesgos, consultoría en
hotelería y turismo, control financiero (outsourcing) y
tecnología.
Nuestra Presencia en México
México
Guadalajara
Monterrey
Paseo de la Reforma 505-31
06500 México, D.F.
Tel. +52 (55) 8503-4200
Fax +52 (55) 8503-4277
Carlos Garza y Rodríguez
[email protected]
Mar Báltico 2240-301
44610 Guadalajara, Jal.
Tel. +52 (33) 3817-3747
Fax +52 (33) 3817-0164
Carlos Rivas Ramos
[email protected]
Av. Lázaro Cárdenas 2400 Pte. B-42
66270 San Pedro Garza García, N.L.
Tel. +52 (81) 8262-0800
Fax +52 (81) 8363-0050
José Luis Jasso González
[email protected]
Aguascalientes
Cancún
Ciudad Juárez
Fray Pedro de Gante 112
20120 Aguascalientes, Ags.
Tel. +52 (449) 914-8619
Fax +52 (449) 914-8619
Alejandro Ibarra Romo
[email protected]
Cereza 37-401
77500 Cancún, Q. Roo
Tel. +52 (998) 884-0112
Fax +52 (998) 887-5239
Luis Fernando Méndez
[email protected]
Av. de la Raza 5385-204
32350 Ciudad Juárez, Chih.
Tel. +52 (656) 611-5080
Fax +52 (656) 616-6205
José Martínez Espinoza
[email protected]
Hermosillo
Mérida
Mexicali
Paseo Valle Verde 19-A
83200 Hermosillo, Son.
Tel. +52 (662) 218-1007
Fax +52 (662) 260-2176
Humberto García Borbón
[email protected]
Calle 60 474
97000 Mérida, Yuc.
Tel. +52 (999) 923-8011
Fax +52 (999) 923-8011
Manlio Díaz Millet
[email protected]
Reforma 1507
21100 Mexicali, B.C.
Tel. +52 (686) 551-9624
Fax +52 (686) 551-9824
Ramón Espinoza Jiménez
[email protected]
Querétaro
Tijuana
Circuito del Mesón 168
76039 Querétaro, Qro.
Tel. +52 (442) 183-0990
Fax +52 (442) 183-0990
Aurelio Ramírez Orduña
[email protected]
Germán Gedovius 10411-204
22320 Tijuana, B.C.
Tel. +52 (664) 634-6110
Fax +52 (664) 634-6114
Javier Almada Varona
[email protected]
www.horwath.com.mx
Descargar