Control Interno y uso de TI en las organizaciones

En la actualidad las tecnologías de información han sido sin lugar a duda de gran ayuda en el desarrollo cotidiano, el carecer de estas herramientas puede ser crucial para el crecimiento o el estancamiento en aspectos , económicos, personales, profesionales, etc.

En las que se requiere de la mejora constante, capacitación e innovación, ya que están cada día más presentes en el desarrollo normal de las actividades operativas y financieras de las organizaciones, y frente a este veloz impulso tecnológico, y requieren una permanente evaluación y vigilancia, además, las entidades necesitan una opinión independiente que les permita medir la eficacia y eficiencia en el cumplimiento de sus objetivos. Esta evaluación consiste en una revisión integral y critica enfocada a comprobar la veracidad y confiabilidad de los registros, labores y resultados de la empresa, midiendo y diagnosticando el comportamiento de sus operaciones empresariales.

Hoy en día la información se ha convertido en uno de los principales activos de la empresa. Las organizaciones invierten fuertes sumas de dinero y tiempo en la creación de sistemas de información que generen mayor productividad y eficiencia en sus procesos. El uso de la informática favorece a la empresa logrando la distribución adecuada de costos, mejora en la capacidad de toma de decisiones, progreso en la calidad de los servicios al adaptarse a las dinámicas del mercado y servicios al cliente basados en tecnología sin el uso de estos sería imposible ofertar estos mismos.

La información de las empresas cada día depende más de los computadores. De ahí la necesidad de verificar que los sistemas informáticos funcionen adecuadamente. Con el transcurso del tiempo hay evidencias de varios casos de fraude cometidos con ayuda del los sistemas informáticos, lo que hace poco viable seguir confiando con una auditoria alrededor de la PC surgiendo así la necesidad de una nueva rama dentro de la auditoria, con el objetivo de verificar el correcto funcionamiento de la informática, es decir auditoria de sistemas computacionales, que también se conoce con el nombre de auditoría de informática o con otros nombres similares como Auditoría con la computadora, sin computadora, a la gestión informática, al sistema de computo, alrededor de los equipos tecnológicos, de la seguridad de los sistemas, a los sistemas de redes, integral a los centros de cómputo, ISO-9000 a los sistemas computacionales, outsoursing y ergonómica de sistemas computacionales.

El propósito esencial de la auditoria en sistemas es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, procedimiento adecuado de la información y la emisión oportuna de sus resultados en la entidad, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la organización. El marco esquemático de la auditoria de sistemas computacionales evalúa a: Hardware, software, gestión informática, información, diseño de sistemas, bases de datos, seguridad, redes de cómputo y especializadas.

La auditoría y control interno en sistemas computacionales son dos campos semejantes y tienen objetivos comunes, pero existen diferencias. El control interno analiza los controles día a día, el informe se dirige solo al personal interno y el alcance de sus funciones es solamente sobre el área de informática. Por el contrario auditoría realiza un análisis de un momento informático determinado, informa a la dirección general de la empresa y cubre todos los componentes de los sistemas de información de la entidad. Se puede hablar también de similitudes en cuanto a conocimientos especializados en tecnología de la informática, verificación del cumplimiento de controles internos, normatividad y procedimientos establecidos por la Gerencia de informática y la Dirección General para los sistemas de información. Indiscutiblemente prestan un servicio de valor agregado al ayudar a la entidad y a sus directivos a cumplir sus obligaciones relativas al control interno mediante el proceso de recolección, agrupación y evaluación de evidencias para determinar de esta forma si el sistema informatizado cumple efectivamente los objetivos de la empresa y utiliza en forma eficiente estos recursos.

Cada día son mayores los riesgos de seguridad informática, las aplicaciones institucionales a la medida pueden sufrir vulnerabilidades que cualquiera puede descubrir y atacar; se necesitan con urgencia un backup online en remoto con infraestructuras seguras, por otro lado las reuniones por fuera, el teletrabajo, una caída de la red significa horas de trabajo perdidas, es decir se hace necesario proteger la red de la empresa.

Las organizaciones solicitan las auditorías externas cuando se detectan señales de debilidad, amenazas, desorganización, insatisfacción de los usuarios, falta evaluación de los niveles de riesgo, seguridad física y lógica, centro de proceso de datos fuera de control y falta de planes de contingencias. La seguridad sigue siendo el área principal a auditar, aunque puede haber seguridad sin auditoria, es importante entender la utilidad de la protección de la información y de la auditoria.

Son bastantes las firmas que suministran seguridad y la auditoria entre sus servicios o simplemente aceptan los trabajos, sin disponer de expertos, lo que desencadena una desilusión en la entidad auditada, y muchas veces los resultados son desastrosos y no benefician en nada a los auditores.

La auditoria es una actividad muy especializada que puede ser ejecutada sólo por quienes están capacitados profesionalmente para ello. Es necesario que estos profesionales cuenten con los conocimientos, experiencia, actitudes y aptitudes necesarios para realizar este tipo de trabajo, a fin de cumplirlo tal y como lo demandan las empresas y la sociedad.

El autor es Integrante de la Comisión de Desarrollo Auditoría – Bosques del Colegio de Contadores Públicos de México