El anlisis del riesgo ayuda a identificar los riesgos y vulnerabilidades para que el auditor pueda determinar los controles que se necesitan para mitigar esos riesgos

V.2 SISTEMAS DE INFORMACIONCONTROLES Y SEGURIDAD EN LOS SISTEMAS DE INFORMACION CON APLICACIN INTENSIVA DE TECNOLOGIALA NECESIDAD DE LA EXISTENCIA DE PROCEDIMIENTOS DE CONTROL INTERNO APLICADOS A LOS SISTEMAS DE INFORMACIONEn julio de 2.002, como reaccin a los escndalos financieros y de fraude corporativo que sacudieron los mercados norteamericanos (Enron, MCI Worldcom, etc.) se promulg la ley Sarbanes-Oxley, con la cual se persigue garantizar a los accionistas la transparencia y correccin puestas en prctica en la elaboracin de los estados contables.

La seccin 302 de la mencionada ley exige que las compaas que cotizan en la SEC (Security Exchange Comission), a travs de sus mximos referentes, CEO (Chief Executive Officer) y CFO (Chief Financial Officer), certifiquen, trimestral y anualmente, la efectividad de los controles y procedimientos de exposicin, que incluyen los controles internos para un adecuado reporte de la informacin contable.La seccin 404, por otra parte, exige que la compaa asuma la responsabilidad sobre el diseo, la documentacin, el mantenimiento y la evaluacin del sistema de control interno que garantiza que toda la informacin financiera comunicada a los mercados sea fiable y est adecuadamente elaborada.

Paralelamente, establece que se deber obtener un informe del auditor externo certificando la calidad y efectividad del sistema de control interno de la compaa.Para atender estos requerimientos, las compaas deben documentar, de forma exhaustiva y detallada, todos sus procesos y actividades, a la vez que establecer mecanismos de control y revisin de la aplicacin del modelo de control interno diseado.

En la actualidad, para la mayora de las organizaciones, los procesos y controles de TI (Tecnologa Informtica) son claves dentro de los procesos de generacin de reportes financieros y de su control asociado. Los sistemas aplicativos (ERP Enterprise Resource Planning, u otros) son comnmente utilizados por las empresas para registrar sus operaciones y emitir sus estados financieros.

Los controles claves de TI agrupan aquellos que estn incluidos en las aplicaciones financieras (controles de aplicacin), as como tambin los relativos a la infraestructura de TI (bases de datos, redes, sistemas operativos, equipos computadores, etc.) que soporta tales aplicaciones.

Es en este escenario donde se pone de manifiesto la necesidad, por parte del profesional, de incursionar en el conocimiento de los mecanismos y herramientas que permitan implementar controles generales y de aplicacin en el mbito de la Tecnologa Informtica.Teniendo en cuenta que los controles generales de TI son actividades que proveen razonable seguridad de alcanzar los objetivos relacionados con el procesamiento de informacin financiera dentro del ambiente computarizado, podemos enunciar algunos de sus aspectos ms comunes:

Acceso a programas y datos, Desarrollo de aplicaciones y administracin de cambios, Operaciones de procesamiento, Soporte de base de datos, redes y software de base, Software de usuario final,En cambio, los controles de las aplicaciones estn, habitualmente, incluidos dentro de las mismas para prevenir o detectar transacciones no autorizadas y tienen por finalidad, asegurar la integridad, exactitud, autorizacin y validez de las transacciones durante su procesamiento, as como tambin asegurar que las interfases con otros sistemas funcionan correctamente y que todos los ingresos y salidas de informacin son ntegros y correctos.Entre estos ltimos controles podemos enunciar:

Controles de ingreso y validacin de datos, Chequeos lgicos y/o de razonabilidad, Balanceo de totales o sumas, Controles de integridad, Controles de acceso y de autorizacin, Segregacin de funciones, Controles de salida y de reporte, Prevencin/deteccin de transacciones fraudulentas,Es tarea de quienes son responsables por la correccin y oportunidad de la emisin de los reportes financieros, verificar el cumplimiento de los aspectos ms relevantes relacionados con la seguridad en plataformas, el desarrollo, el mantenimiento y la seguridad de las aplicaciones, que se detallan a continuacin:

1.- Aspectos relacionados con la seguridad en plataformas Existencia de estndares que definan los parmetros mnimos de seguridad para cada plataforma,, Existencia de procedimientos formales para la administracin de la seguridad lgica y fsica, Adecuados mecanismos de registro y monitoreo de eventos de seguridad, Existencia de un circuito de notificacin de las bajas de personal de planta y contratado, Adecuada administracin de usuarios crticos,2.- Aspectos relacionados con el desarrollo y mantenimiento de aplicaciones

Existencia de un procedimiento de aseguramiento de la calidad para verificar la validez de las modificaciones a programas, Adecuado modelo de puesta en produccin y separacin de ambientes: el personal de desarrollo no debe tener acceso al ambiente de produccin ni el personal operativo debe tener acceso al ambiente de desarrollo, Formalizacin de las pruebas de sistemas por parte de los usuarios finales,3.- Aspectos relacionados con la seguridad de las aplicaciones

Asignacin de la propiedad de los datos para gestionar la seguridad, Existencia de procedimientos para la revisin peridica de accesos otorgados a los usuarios finales, Adecuada segregacin de funciones, Separacin de ambientes entre los entornos de desarrollo y produccin, Existencia de procedimientos de validacin de los cambios realizados sobre los documentos electrnicos,La seccin 404 de la ley Sarbanes-Oxley recomienda un enfoque de preparacin basado en la mejora continua, que contempla los pasos que se detallan ms abajo, a desarrollar por la Gerencia. Esta secuencia debera brindar los elementos necesarios para que los auditores externos puedan certificar e informar sus conclusiones. Iniciar el proyecto y evaluar los riesgos

+ Formar el equipo de proyecto y uniformar objetivos

Establecer las obligaciones y los propsitos, as como tambin la estructura del proyecto, Determinar miembros clave de la compaa y recursos externos para participar en el proyecto (comit directivo, equipo bsico, reas de apoyo), Desarrollar el proyecto y el plan de comunicaciones a los involucrados,+ Determinar el alcance y el enfoque Utilizando los estados contables como base, fijar el alcance y enfoque mediante la determinacin de los ciclos y las reas funcionales de transacciones financieras clave, diagramando ciclos a rubros de los estados contables (Mapear controles con cuentas importantes, clases de transacciones, exposiciones y viceversa), Determinar y acordar cuentas y procesos crticos analizando la materialidad en las unidades de negocio y riesgos cualitativos, Obtener consenso respecto de la cobertura para todas las unidades operativas/de negocios internacionales y nacionales y sus funciones y procesos, Determinar una funcin o unidad de negocios para utilizar en la ejecucin de prueba piloto, si correspondiera, Establecer el cronograma del proyecto,+ Evaluar el riesgo y priorizar reas clave

Evaluar el riesgo asociado con cuentas clave de los estados contables y priorizar, en consecuencia, los ciclos y las reas funcionales afines

+ Establecer madurez prevista de controles internos

Basados en el riesgo relativo, establecer la madurez requerida para cada ciclo y rea funcional de las transacciones financieras, de acuerdo a su importancia

Documentar y evaluar el diseo de controles

+ Desarrollar estndares y modelos de documentacin basadas en COSO y CobiT que facilitarn la determinacin de controles claves utilizando, Matrices de Objetivos de Control y sus riesgos para cada Proceso y Ciclo de negocio, Descripciones generales de Procesos/Ciclos, Diagramas de Flujo panormicos de Procesos/Ciclos,Comunicar estndares de la documentacin al equipo de proyecto

+ Inventariar la documentacin existente

- A travs de revisiones y entrevistas, determinar y acumular la documentacin existente para las entidades y unidades de negocios que corresponda,- Hacer un inventario de los problemas de controles conocidos, con importancia para la presentacin de informacin financiera,- Reunir documentacin de controles internos para cada componente del COSO (Ambiente de Control, Administracin de riesgo, Informacin y Comunicacin , Monitoreo),+ Documentar y evaluar diseo de controles

Documentar los controles de cada proceso de negocio en las matrices desarrolladas previamente, Documentar los flujos de cada Proceso/Ciclo definidos como crticos en la etapa de inicio del proyecto,+ Efectuar anlisis de brechas

Determinar el estado actual de los controles internos y asignar la clasificacin de madurez, en el estado en que se encuentran para las actividades de control, Identificar ausencias de documentacin (reas no documentadas de acuerdo con el estndar) y de diseo y/o implementacin de controles, Revisar la documentacin con respecto a eficacia de diseo y determinar dnde es adecuado o puede mejorarse el diseo de controles,+ Crear un registro de acciones respecto a brechas identificadas

Desarrollar un registro de acciones para corregir las brechas, Revisar el registro de acciones y desarrollar consenso respecto a las prioridades de correccin, Establecer un plan, asignando responsabilidades y cronograma para las gestiones de correccin, Corregir brechas+ Preparar un plan para las gestiones de correccin,+ Efectuar el seguimiento de las acciones tendientes a corregir las deficiencias identificadas,+ Reevaluar la eficacia operativa y/o de diseo de controles, segn sea necesario, Probar la eficacia operativa

+ Desarrollar estndares de pruebas

Desarrollar estndares y modelos de la documentacin para facilitar la revisin de la eficacia operativa (Pruebas), Identificar los controles claves, Considerar los requerimientos de documentacin de pruebas, las dimensiones de la misma y la determinacin y manejo de excepciones/desvos ,+ Desarrollar plan de prueba

Probar controles clave, Determinar tipo de control (integridad, exactitud, validez, acceso restringido), Determinar categora de control (detectivo o preventivo), Determinar mtodo de control (automatizado versus manual), Determinar tipo de evaluacin por efectuarse (investigacin, examen, observacin y/o reejecucin), Completar y distribuir el plan de prueba,

+ Efectuar prueba de eficacia operativa

Efectuar el plan de prueba utilizando estndares de documentacin, Determinar excepciones de las pruebas/desvos, y acciones posteriores,+ Crear registro de acciones respecto a las deficiencias de control identificadas Desarrollar un registro de acciones para capturar los problemas de eficacia operativa Revisar el registro de acciones y desarrollar consenso respecto a las prioridades para la correccin

Establecer un plan, asignando responsabilidades y cronograma para las gestiones de correccin

Preparar el informe de los controles internos sobre la presentacin de Informacin Financiera

Documentar las afirmaciones sobre la presentacin de informacin financiera

Proporcionar las afirmaciones requeridas por la Seccin 404 a la firma de auditora externa

Este requerimiento, que si bien alcanza a las empresas norteamericanas en cualquier lugar del mundo o a las empresas de cualquier origen que estn subordinadas a la rbita de la SEC (Security Exchange Comission), no hizo ms que poner de manifiesto la necesidad de que los profesionales de ciencias econmicas participen activamente del proceso integral de gestin de los sistemas de informacin desde el aspecto inicial con el ingreso de los datos, su registro, su procesamiento hasta la generacin de informacin a ser considerada en la toma de decisiones.Es necesario avanzar en el diseo de procedimientos de control interno para poder reaccionar a tiempo y prevenir, en la medida de lo posible, o corregir los desvos que se pudieren producir.DE QUE HABLAMOS, CUANDO HABLAMOS DE CONTROLES?Los controles estn clasificados por su naturaleza como preventivos, de deteccin o correctivos. Los controles preventivos tienen por finalidad detectar problemas antes que surjan mediante el seguimiento del ingreso de datos y las operaciones; los controles detectivos ponen de manifiesto que ha ocurrido un error, una omisin o un hecho malicioso y lo reportan, mientras que los errores correctivos mitigan el impacto de un error detectado o minimizan el efecto potencial de una amenazaLa segregacin de funciones evita la posibilidad que una sola persona pueda ser responsable de funciones diversas y crticas de tal forma que pudieran ocurrir errores u operaciones indebidas y no ser detectadas oportunamente en el curso normal de los procesos de negocios. La segregacin de funciones es un importante medio por el cual se puede prevenir y disuadir actos fraudulentos o maliciosos.

Cuando las funciones estn segregadas, se pueden restringir los accesos a la computadora, la biblioteca de datos de produccin, los programas de produccin, la documentacin de programacin, el sistema operativo y sus utilitarios asociados.

Los controles de segregacin de funciones ms comunes son:

Autorizacin de transaccin, Custodia de archivos, Acceso a los datos, Formularios de autorizacin,

Tablas de autorizacin de usuarios,En una empresa pequea, donde la reducida planta de personal impide una eficiente segregacin de funciones, se pueden implementar controles compensatorios para mitigar el riesgo resultante de tal situacin:

Pistas de auditora, Conciliacin, Reportes de excepcin, Registros de transacciones, Revisiones de supervisin, Revisiones independientes,Algunos de los indicadores ms significativos de los problemas potenciales incluyen:

Actitudes desfavorables del usuario final, Costos excesivos, Presupuesto excedido, Proyectos demorados, Rotacin elevada del personal, Personal inexperto, Errores frecuentes de hardware/software, Lista excesiva de solicitudes de usuarios en espera, Tiempo demorado de respuesta de computadora, Numerosos proyectos de desarrollo abortados o suspendidos, Compras de hardware/software sin soporte o sin autorizacin, Frecuentes ampliaciones de capacidad de hardware/software, Extensos reportes de excepciones, Reportes de excepciones a los que no se dio seguimiento, Poca motivacin, Ausencia de planes de contingencia, Confianza en uno o dos miembros clave del personal, Falta de entrenamiento adecuado,Como consecuencia de ello, las empresas tomaron conciencia de la necesidad de revisar integralmente su modelo de control, entendiendo como tal al proceso diseado para dar un grado de seguridad razonable acerca del cumplimiento de los objetivos de negocio en cuanto a efectividad y eficiencia de las operaciones, confiabilidad en la emisin de la informacin contable y cumplimiento con las leyes, normas y regulaciones aplicables.Con el avance de la globalizacin, la interaccin permanente a travs de Internet, el vertiginoso incremento de la potencia de procesamiento y sus costos decrecientes, es impensable el normal desarrollo de los sistemas de informacin sin el auxilio de la tecnologa informtica, que se ha transformado en un elemento clave para soportar los procesos de negocios.

Las grandes corporaciones, con sus costosos sistemas de clase mundial y sus abultados presupuestos tecnolgicos, han mostrado su incapacidad para evitar los fraudes financieros o, por lo menos, ponerlos de manifiesto, y slo salieron a la luz cuando se encontraban al borde del abismo o en cada libre hacia su destruccin.

Es que no hay tecnologa capaz, por s sola, de llevar adelante los procesos de negocios. Puede facilitarlos, acelerarlos, darles nuevas oportunidades o permitirle desarrollar alternativas inviables antes de su aparicin, pero no puede garantizar la solidez del modelo de negocio ni la transparencia de gestin. Para ello es necesario disear primero un buen modelo de negocio y una vez implementado, un proceso de control interno que permita garantizar la fidelidad de la informacin suministrada.Por otra parte, si bien la ley Sarbanes-Oxley est dirigida hacia las grandes corporaciones, sus resguardos pueden ser aplicados, guardando las proporciones, en cualquier tipo de empresa, sin importar su volumen econmico-financiero

Hasta la ms pequea organizacin cuenta con recursos tecnolgicos, incipientes o avanzados, que realizan operaciones automticas sin que sus destinatarios hayan tomado conciencia de realizar controles que verifiquen la correccin de su funcionamiento y su validez en el tiempo y ese es el desafo de los tiempos que corren!!!!.

Un buen anlisis ayuda a identificar los riesgos y vulnerabilidades que permitan determinar los controles que se necesitan para mitigarlos o, eventualmente, eliminarlos, si su criticidad as lo requiere.Un riesgo es cualquier evento que afecte el logro de los objetivos del negocio. En un sentido amplio, es la posibilidad que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione prdidas o dao al patrimonio. El impacto o severidad relativos del riesgo es proporcional al valor de la prdida/dao y a la frecuencia estimada de la amenaza para el negocio.

La generacin de negocios efectivos, sustentables, exitosos, estar apoyada en sistemas de informacin basados en el uso intensivo de tecnologa, ya sea de distribucin masiva o desarrollos de nivel mundial, diseados para grandes clientes.

Nuestro pas cuenta con profesionales de primer nivel en todo lo referido al aseguramiento de la calidad en tecnologa informtica y se destaca por el nivel acadmico de sus profesionales de las ciencias econmicas tanto en lo referido a la confeccin de procedimientos cuanto en lo concerniente a la elaboracin de normas y pautas de control interno, lo que est faltando es la toma de conciencia, por parte de la Direccin de las compaas, que no todo gasto es prdida sino que, bien efectuado, puede ser una excelente inversin que redite en trminos de confiabilidad de los sistemas de informacin para la toma de decisiones. Asimismo, no siempre se pone el nfasis en una poltica de seguridad informtica, ya sea por negligencia, desconocimiento o por razones presupuestarias mal entendidas.Es tarea de los profesionales de ciencias econmicas impulsar, en el mbito de la alta direccin, mecanismos de conviccin sobre la necesidad de ser los primeros sponsors de una sana y eficiente poltica de control interno sobre la seguridad en el mbito de las plataformas informticas, el desarrollo y mantenimiento de las aplicaciones y la seguridad de las mismas.El gran esfuerzo ya est hecho, falta muy poco para consolidar y cristalizar los resultados, nosotros lo necesitamos, el pas lo merece.. a trabajar!!!!!Sntesis temtica Los fraudes econmico-financieros ocurridos en los Estados Unidos (Enron, WCI WorldCom, etc.) generaron una corriente de opinin en el sentido de limitar la discrecionalidad de las corporaciones y garantizar la transparencia de las operaciones que tengan incidencia en la elaboracin de los estados financieros. La obligacin de cumplir con los preceptos de la citada ley, produjo una reaccin en cascada que implic la puesta en prctica de antiguas recomendaciones de auditora que no era vistas como prioritarias o imprescindibles para la alta direccin, ya fuese por negligencia, desconocimiento, falta de voluntad poltica o nimo de realizar operaciones maliciosas. Esto presenta una gran oportunidad por contagio, en cuanto a la toma de conciencia de garantizar los procesos de tecnologa informtica para la generacin de sistemas de informacin que soporten la toma de decisiones. Ser tarea de los profesionales de tecnologa informtica y de ciencias econmicas, desarrollar las estrategias que conduzcan a la Alta Direccin a focalizar las polticas corporativas hacia el logro de los objetivos de control que permitan dar transparencia y credibilidad a la informacin financiera generada por la Empresa.El gran esfuerzo ya est hecho, falta muy poco para consolidar y cristalizar los resultados, nosotros lo necesitamos, el pas lo merece.. a trabajar!!!!!Referencias bibliogrficas : Papeles de trabajo y seminarios de ADACSI (Asociacin de Auditora y Control de Sistemas de Informacin)

Autores : Gabriela Sol Di Stfano

Contadora Pblica Nacional

C.G.C.E. Socia N 49200

Norberto Caniggia

Licenciado en Anlisis de Sistemas (Facultad de Ingeniera Universidad de Buenos Aires)

Master en Direccin de Sistemas de Informacin (Universidad del Salvador State University of New York) Certified Information System Auditor (ISACA - Information System Audit and Control Association) Profesor Adjunto Interino Rentado de la ctedra de Sistemas Administrativos del Dr.Fernando Magdalena (Facultad de Ciencias Econmicas de la Universidad de Buenos Aires)26 de 26