136

PARTE l. FUNDAMENTOS

no y largo plazos." Esta meta resulta de inters general para las empresas y requerir procedimientos de control "generales" para proveer continuidad y consistencia a todos sus sistemas y servicios. Sin embargo, dentro de toda empresa existirn sistemas o servicios que resultan ms importantes que otros y dichos sistemas o servicios debern contar con medidas "especficas" para preservar su continuidad y consistencia. Es precisamente esta dualidad de condiciones la que define la naturaleza "general-especfica" de este tipo de metas. Podemos pensar que estas metas reflejan la interaccin entre los "controles generales" y los "controles especficos". Metas especficas. Finalmente, este tipo de meta requerir medidas especficas para cada sistema o servicio proporcionado por el rea de TI. De acuerdo con los lineamientos de auditora emitidos por la ISACF, este tipo de metas estara relacionado con los controles "de aplicacin" (application controls). Por lo general, si se presentan deficiencias en el cumplimiento de metas especficas, el impacto se reflejar slo en un sistema o servicio proporcionado por el rea de TI, sin afectar a otros sistemas. Un ejemplo de estas metas sera: "La informacin ingresada y proporcionada por sistemas de informacin basados en tecnologa debe ser oportuna." Esta meta requerir procedimientos de control especficos para cada sistema, ya que cada sistema podra tener distintas caractersticas, distinta tecnologa y/o distintos criterios para calificar la oportunidad requerida en su informacin. Veamos ahora las metas de control clasificadas de acuerdo con los tres grupos mencionados.

METAS DE CONTROL EN TI
METAS GENERALES
\

1. Los recursos de tecnologa de informacin deben ser empleados de

acuerdo con las prioridades de la empresa. Esta es una meta de control estratgica; es fundamental que los recursos tecnolgicos de una empresa (que normalmente son escasos) sean utilizados con base en las prioridades de negocio de la compaa. Aun considerando que las prioridades las representan los procesos sustantivos sobre los de administracin, podrn existir diferentes prioridades entre los primeros, mismas que debern reflejar los intereses de la empresa en general y no los de una sola rea en particular.

CAP. 5. CONTROL INTERNO EN TECNOLOGA

137

2. Debe existir una visin clara del empleo de recursos de tecnologa a mediano y largo plazos, fundamentada en los objetivos estratgicos de la empresa. Las decisiones sobre inversin y estrategias de tecnologa de informacin deben realizarse bajo una perspectiva que considere el mediano y largo plazos de la empresa, es decir, deben realizarse de acuerdo con la visin estratgica que tenga la empresa para asegurar el mximo beneficio sobre las inversiones realizadas y, sobre todo, asegurar un soporte competitivo de la tecnologa de informacin. 3. Los recursos financieros destinados a tecnologa de informacin deben obtenerse, aplicarse y controlarse en forma adecuada a los intereses y prioridades de la empresa. ste representa una meta de control muy clara en el sentido de administracin y control de otro recurso tpicamente escaso, como lo es el recurso financiero. Es importante asegurar la existencia de fondos disponibles para inversin y gasto en tecnologa de informacin y que todas las inversiones reflejen los intereses de la empresa, que se respeten las prioridades de negocio y que exista un control adecuado sobre el ejercicio del presupuesto del rea. 4. Las inversiones en tecnologa (hardware, software, metodologa o servicios) deben representar la mejor alternativa desde la perspectiva de costo-beneficio para la empresa. Es importante asegurar que las inversiones en tecnologa de informacin que realice la empresa representen la mejor alternativa considerando el costo y los beneficios que genere a la compaa. Una inversin puede realizarse de acuerdo con las polticas presupuestales de la empresa y puede corresponder a las prioridades de la empresa, como por ejemplo: la adquisicin de un paquete de software o la contratacin de servicios profesionales. Sin embargo, es necesario asegurar que el paquete seleccionado o el proveedor del servicio tambin representen la mejor alternativa para el negocio. S. Los procesos de trabajo, los recursos tecnolgicos y los recursos humanos deben estar debidamente enfocados a la estrategia de la empresa. Resulta fundamental considerar a la tecnologa no como un elemento aislado en la empresa. Est totalmente comprobado que la tecnologa no funciona por s sola y que su valor depende de los beneficios que proporcione al negocio, y precisamente el valor que pueda generar estar supeditado a que los procesos de trabajo de la empresa y los recursos humanos estn debidamente coordinados con la tecnologa y estos tres elementos se encuentren alineados a la estrategia de la compaa. Muchas empresas se preguntan cul es el mejor lenguaje para desarr.ollo o cul es el mejor sistema operativo. La respuesta es muy sencilla: el mejor lenguaje de desarrollo es el que mejor conozca su personal de programacin y el que

138

PARTE l. FUNDAMENTOS

6.

7.

8.

9.

ofrezca las caractersticas funcionales que los procesos de negocio requteren. El rea de tecnologa de informacin debe contar con capacidad de toma de decisiones en forma objetiva y en beneficio de la empresa en general. Es importante asegurar que el responsable de tecnologa de informacin en la empresa cuente con libertad y capacidad de toma de decisiones en beneficio de la empresa en general y no est sesgado o limitado en este sentido. Muchas reas de TI reportan a uno de sus usuarios directos (normalmente finanzas), esto no es garanta de que las decisiones de TI sern sesgadas y favorezcan a quien le reporta, pero definitivamente el riesgo de que esto suceda como consecuencia de los niveles de autoridad establecidos en la estructura de organizacin es mayor. Los recursos de tecnologa de informacin deben encontrarse en buen estado y ser utilizados en forma eficiente y con adecuados niveles de aprovechamiento por personal de tecnologa de informacin. Pareceque nunca son suficientes los recursos tecnolgicos en una empresa; jams hemos escuchado decir a un director de sistemas: "Estoy sobrado, tengo demasiado personal para atender a mis usuarios y stos ya no saben qu hacer con tantas computadoras personales y con todos las oportunidades de automatizacin que les ofrezco..." Normalmente es todo lo contrario. Es por esto importante asegurar una gestin de TI en un ambiente en que los recursos se encuentren consistentemente en buen estado, que exista eficiencia en su operacin y se obtenga un elevado nivel de aprovechamiento de recursos. Los componentes de la infraestructura de TI deben corresponder con las necesidades y caractersticas de la empresa. Es importante que todos los componentes de tecnologa de informacin sean adecuados a las caractersticas especficas y necesidades de negocio de la empresa. Es decir, tanto los equipos, los sistemas, las comunicaciones y el equipo de servicio (UPS,extincin, etc.) deben ser adecuados en trminos de necesidades de servicio, crecimiento, seguridad, etc. Existe otra meta de control que indica la necesidad de coordinar y alinear tecnologa, procesos y recursos humanos a la estrategia de la empresa, pero es importante que adems de relacionarse los recursos sean adecuados a las caractersticas de la empresa. La empresa debe contar con acceso a tecnologa de vanguardia que pueda ser utilizada en beneficio de la compaa. Es importante que la empresa cuente con la posibilidad de acceder a la tecnologa de informacin que incorpore los avances de la industria y que pueda proporcionar beneficios a la empresa. Nor-

CAP. 5. CONTROL INTERNO EN TECNOLOGA

139

malmente esta capacidad est relacionada con los propios proveedores de tecnologa e instituciones de investigacin y desarrollo en el campo de tecnologa de informacin y las relaciones de trabajo que la empresa pueda establecer con dichas instituciones y pro-

veedores.

10. La organizacin del rea de tecnologa de informacin debe evitar la incompatibilidad de actividades, responsabilidades y autoridad entre sus integrantes. Esta meta busca que la organizacin del rea proporcione una divisin de funciones adecuada para evitar que se concentren en una sola persona o en un mismo grupo atribuciones de autoridad o responsabilidad mediante las cuales puedan beneficiarse en forma personalo perjudicar a la empresa. 11. El personal del rea de tecnologa de informacin debe desarrollar sus actividades ordenada, regular y eficientemente. Es importante que las actividades importantes de tecnologa de informacin sean realizadas en forma ordenada, consistente y de manera eficiente. El orden y consistencia en el desarrollo de las actividades permitirn depositar un mayor nivel de confianza en los procesos informticos, ya que los controles que se encuentren incorporados a los mismos sern observados tambin en forma consistente. Por lo que respecta al concepto de eficiencia, esto implica precisamente la optimizacin en el empleo de recursos. Uno de los objetivos de control de TI es precisamente facilitar (habilitar) la eficiencia en el empleo de recursos de la empresa mediante el uso de elementos de tecnologa de informacin. Sin embargo, la eficiencia en las propias actividades de TI puede resultar importante, sobre todo en instalaciones con elevado nmero de elementos y recursos. 12. Debe existir comunicacin efectiva entre el personal del rea de TI. Es importante que el personal de tecnologa de informacin cuente con canales de comunicacin efectivos que permitan un intercambio d~ conocimiento y una coordinacin adecuada para realizar sus funCtones de manera ms efectiva y que se pueda consolidar una base de conocimientos de la empresa al existir comunicacin entre el personal encargado del anlisis del negocio. 13. El personal del rea de tecnologa de informacin debe ser suficiente y contar con una adecuada preparacin terica y prctica para desempearse de acuerdo con los requerimientos de la empresa. Uno de los elementos clave en el desempeo general de la tecnologa de informacin lo representan los recursos humanos dedicados a funciones relacionadas con dicha tecnologa. En la actualidad no se puede concebir un rea informtica sin personal capacitado en forma terica, lo cual normalmente se logra mediante una preparacin

140

PARTE l. FUNDAMENTOS

acadmica y con experiencia prctica, lo cual se obtiene como producto de experiencia laboral. La tecnologa de informacin puede presentar muchas oportunidades a una empresa, pero requiere que el personal dedicado a su administracin y aplicacin en la empresa logre un aprovechamiento ptimo de la misma. Es necesario que adems de una preparacin general terico-prctica del personal de TI, ste cuente con la capacidad suficiente para aplicar la tecnologa y metodologas propias de la empresa para lograr un mximo aprovechamiento. 14. El personal del rea de tecnologa de informacin debe contar con

elevados valores personales.

Es importante que el personal de la empresa cuente con valores elevados en cuanto a tica, honestidad, lealtad, nobleza, bondad, sentido de justicia, etc. Estos valores permitirn un "autocontrol" en los colaboradores de la empresa que ayudar a compensar posibles deficiencias en otros elementos del control interno. 15. El personal del rea de tecnologa de informacin debe contar con adecuados niveles de motivacin para trabajar con la empresa. La motivacin del personal de TI representa tambin un elemento intangible y, por lo mismo, difcil de evaluar. Sin embargo, debemos reconocer que la motivacin para el trabajo es un componente de productividad importante y un catalizador entre el personal de TI. 16. El personal del rea de tecnologa de informacin debe contar con adecuados niveles de identificacin con la empresa. Al igual que la motivacin para el trabajo, la identificacin con la empresa es un elemento intangible pero de gran vala, no slo para la productividad en el desarrollo de las actividades, sino para solidificar conductas ticas y en general el aspecto de moralidad que juega un papel importante en los conceptos de control interno. 17. El personal de la empresa debe contar con un adecuado conocimiento de los beneficios, riesgos, costos y responsabilidades relacionados con la tecnologa de informacin aplicable a su negocio. Es importante que el personal de la empresa dedicado a los procesos sustantivos y administrativos (distintos a informtica), cuente con un conocimiento suficiente sobre las capacidades de aplicacin de la tecnologa de informacin en la empresa. Esto no slo redituar en un mejor aprovechamiento de los servicios ofrecidos por el rea de TI, sino en identificar el empleo estratgico de la misma, lo cual puede representar ventajas competitivas a la empresa. Por otro lado, es necesario tambin concientizar al personal sobre el costo de la tecnologa, los riesgosque implica y la responsabilidad que asumen todos los usuarios de tecnologa de informacin. Estos elementos en su conjunto contribuyen a la formacin de usuarios "modelo ", es decir, usuarios que saben qu solicitar, estn conscientes del

---

CAP. 5. CONTROL INTERNO EN TECNOLOGA

141

18.

19.

20.

21.

costo y la responsabilidad que la TI implica y conocen los riesgos derivados de la misma, lo cual facilita la implementacin efectiva de controles. El personal de la empresa debe tener confianza en los servicios y capacidad del rea de tecnologa de informacin. Un elemento que en sentido estricto puede resultar subjetivo es la confianza que el personal usuario tenga en los servicios y capacidad del rea de TI. Esto evidentemente ser producto del historial de un buen servicio recibido, pero resulta indispensable que exista esta caracterstica para lograr una comunicacin efectiva y, sobre todo, una actitud positiva de los usuarios en todas las actividades en que se requiera su participacin. El personal de la empresa debe utilizar adecuadamente los recursos de tecnologa de informacin disponibles. La adecuada utilizacin de los recursos de TI por parte de los usuarios de los mismos resulta un factor elemental en el esquema general de la empresa. Puede no ser suficiente contar con equipo, sistemas y servicios de primera calidad, si no existe un adecuado empleo de los mismos por parte del personal de la empresa. Esto requerira tanto de una adecuada capacitacin como de una actitud proactiva del personal. El empleo de tecnologa de informacin debe facilitar la comunicacin y coordinacin entre las distintas reas de la empresa. Uno de los problemas que enfrentan las empresas en la actualidad es la falta de una adecuada comunicacin entre sus reas, sobre todo las empresas que experimentan un crecimiento y cuya comunicacin ya no es tan personalizada, en algunos casos simplemente porque las instalaciones fsicas ya no lo permiten. La tecnologa de informacin debe ser un vehculo para establecer mecanismos de comunicacin efectiva entre las reas y el personal de una organizacin, coadyuvando as a una eficiente operacin y un mejor aprovechamiento de la informacin de la compaa. El empleo de tecnologa de informacin debe permitir la obtencin y anlisis de informacin externa a la empresa. Sabemos que uno de los factores crticos de xito de las empresas es poder reaccionar en forma gil y efectiva ante la evolucin de su medio y tambin sabemos que en ocasiones existe "demasiada" info.rmacin en dicho medio y/o que la empresa no cuenta con mecantsmos efectivos que le permitan obtener la informacin necesaria. La te~nologa de informacin tambin debe proveer mecanismos que per:nztan a la empresa identificar y obtener toda la informacin que requzera sobre su medio, su evolucin y traducir dicha informacin en requerimientos de adecuacin para mantener un equilibrio con su entorno.

142

PARTE l. FUNDAMENTOS

22. Debe existir un adecuado nivel de independencia de los recursos de tecnologa de informacin con respecto a proveedores y/o terceros. Es indispensable que la empresa tenga independencia con respecto a proveedores o terceros sobre sus recursos de TI, es decir, que la continuidad y consistencia de su operacin no presente riesgos por existir una relacin de dependencia con algn proveedor de bienes o servicios. Esto no significa que algunos proveedores no puedan participar en sus procesos informticos, como podra ser el caso de un outsourcing; lo que significa es que la empresa debe tener bajo su control todos los elementos que le aseguren independencia, aun bajo el supuesto de una falla de dichos proveedores. Un ejemplo de esto sera contar con documentacin de todos los aspectos crticos de su relacin con terceros, contar con personal dentro de la empresa con conocimiento suficiente, contratos de servicio adecuados, etctera. No debe ser necesario indicar que todos los recursos provenientes de terceros deben ser de utilidad a la empresa, de otra forma no tendra sentido contar con ellos. 23. Los recursos humanos, equipos e instalaciones de tecnologa de informacin deben estar debidamente protegidos contra riesgos. Es evidente que a las empresas les interesa mantener sus recursos humanos, equipos de cmputo e instalaciones libres de riesgos. El primer caso se justificara simplemente por el valor propio de la integridad humana. Sin embargo, no es el nico motivo, ya que tambin es importante considerar que la compaa podra tener una fuerte dependencia de sus recursos. 24. Los mtodos de trabajo y la tecnologa propietaria de la empresa deben estar protegidos para preservar su confidencialidad. Al igual que los sistemas y la informacin, los mtodos de trabajo y el empleo de determinadas tecnologas puede representar una ventaja competitiva para una empresa, por lo que ser de inters mantener dicho conocimiento en forma confidencial. De hecho, algunas empresas pueden comercializar dicho conocimiento, situacin que no sera factible si ste fuese del dominio pblico o por lo menos de
\

sus competidores,tal como lo hizo Nissan al vender tecnologaa la

empresa coreana Goldstar para fabricar automviles. 25. Las actividades relacionadas con TI, deben realizarse con apego a la normatividad interna, legal, regulatoria y contractual que corresponda. Es importante que todas las actividades de TI, tanto las involucradas directamente en la prestacin de servicios, como las relativas a su administracin interna, se realicen con estricto apego a la normatividad existente. Esto puede incluir normatividad corporativa y normatividad gubernamental (penal, civil, fiscal y ecolgica, entre otras),

CAP. 5. CONTROL INTERNO EN TECNOLOGA

143

cuya observancia permitir a la empresa desarrollar sus actividades en forma consistente. 26. La tecnologa de informacin debe preservar la delimitacin de responsabilidades (accountability) en las operaciones de la empresa. Es importante que la tecnologa de informacin permita mantener la delimitacin de responsabilidades entre el personal de la empresa tanto en las operaciones generales de la empresa que sean soportadas mediante tecnologa de informacin, como las actividades especficas propias de tecnologa de informacin, de forma que las operaciones (su autorizacin, realizacin, supervisin y registro) puedan asociarse con una persona que asuma la responsabilidad. En ingls, este concepto se conoce como accountability. 27. Debe existir la capacidad de identificar y corregir posibles deficiencias en los procesos informticos. Es importante que el rea de tecnologa de informacin cuente con la capacidad de identificar y corregir deficiencias que puedan poner en riesgo el cumplimiento de los objetivos establecidos para los procesos de TI, dicha capacidad debe incluir la correccin de posibles deficiencias identificadas para evitar su recurrencia e incrementar la probabilidad de que los objetivos sean alcanzados en forma satisfactoria. 28. Deben existir mecanismos de mejora continua para los procesos informticos. Es importante que el rea de tecnologa de informacin cuente con mecanismos y cultura de mejora continua para el desarrollo de sus procesos de trabajo. Estos mecanismos deben incluir medidas que permitan incorporar las mejores prcticas para el desarrollo de procesos informticos, tanto para los procesos sustantivos, desarrollo, mantenimiento e integracin de sistemas, como para los procesos de administracin de la infraestructura informtica.
METAS GENERALES-ESPECFICAS 29. La informacin contenida en equipos o dispositivos tecnolgicos (informticos) debe mantener adecuados niveles de disponibilidad. Esta condicin implica que los usuarios de la informacin pueden tener acceso a la misma en el momento en que sta sea requerida. Algunos autores consideran como una condicin distinta la pertenencia de la informacin, es decir, sostienen que la primera condicin para que exista la disponibilidad es que la empresa "tenga" la informacin. Un ejemplo sera el robo de un archivo de clientes; si el archivo no se encuentra en poder de la empresa, evidentemente tampoco estar disponible. En este texto consideraremos a la disponibilidad como una sola condicin que abarca los dos conceptos mencionados.

144

PARTE 1, FUNDAMENTOS

30. La informacin contenida en equipos o dispositivos tecnolgicos (informticos) debe mantener adecuados niveles de integridad. En este concepto vale la pena hacer una pausa para reflexionar, pues el significado de integridad se ha manejado de distinta forma en varios textos y por diversos autores. De acuerdo con la definicin de ISO13335/1507492-2, integridad se define como: "integridad de los datos ms la integridad del sistema". Tambin de acuerdo con ISO, la integridad de datos se define como: "la propiedad de que los datos no han sido alterados o destruidos en forma no autorizada". En diversas definiciones, se coincide en que integridad significa el mantenerse sin dao (unimpaired) o modificaciones. Sin embargo, debemos estar conscientes de que algunos autores consideran que la integridad implica tambin que los datos poseen las caractersticas de ser correctos, consistentes, vlidos, exactos, oportunos y completos, tal es el caso de Kor Mollema en su libro sobre calidad de los datos. Integridad, tal como se entender en este libro, se refiere a que la informacin no debe ser destruida (parcial o totalmente) en forma no autorizada y debe preservar los atributos que la hacen til y confiable al usuario. Esta definicin se basa en que otros atributos de la informacin dependern de ms aspectos y no slo de la integridad. Este supuesto parte de la idea de que una vez que la informacin cuenta con determinados atributos, stos deben ser conservados mediante el aseguramiento de su integridad. Sin embargo, los datos de un sistema pueden ser originados con deficiencias desde su generacin por los propios usuarios, y aunque nadie modifique la informacin y sta preserve su integridad, los datos seguirn teniendo las deficiencias con que se ongmaron. Una ilustracin clara de esta meta es la necesidad de proteger la informacin de accesos no autorizados de personal de la misma empresa o de personal externo a la organizacin que pueda tener acceso a travs de redes interconectadas a las de la compaa, mediante lo cual la informacin pueda perder sus atributos de veracidad, totalidad (complets1), exactitud, oportunidad, validez o actualidad. 31. La informacin contenida en equipos o dispositivos tecnolgicos (informticos) debe mantener adecuados niveles de confidencialidad. Esta condicin se vuelve crtica en muchas organizaciones y se refiere a evitar que el personal tenga acceso a la informacin de la empresa en forma indebida. Esta condicin tiene validez tanto en forma
1Despus del paro respiratorio que provoc a mi correctora de estilo esta palabra, me siento obligado a aclarar que su significado debe entenderse como que la informacin est completa. ~

CAP. 5. CONTROL INTERNO EN TECNOLOGA

145

32.

33.

34.

35.

interna (dentro de la propia empresa), como en forma externa. Internamente tenemos el ejemplo clsico de la informacin de nmina. A nivel externo podemos pensar en informacin sobre estrategias de venta, el archivo de clientes preferenciales o frmulas secretas, como el caso de Coca-Cola y Pepsi, por mencionar algunos ejemplos. La informacin trasmitida entre distintas localidades geogrficas debe conservar sus condiciones. Esta meta de control pretende asegurar que la informacin trasmitida entre dos puntos remotos, ya sea mediante mtodos manuales o electrnicos, conserve sus condiciones de integridad, disponibilidad y confidencialidad. En estricto sentido, la informacin trasmitida tambin debe conservar sus atributos (veraz, completa, exacta, oportuna, vlida, actual y relevante). Sin embargo, se considera que si la trasmisin preserva su integridad, en forma implcita conservar todos sus atributos, ya que esto ser un indicativo de que ningn elemento de la informacin habr sido modificado en forma indebida. Los sistemas de informacin slo deben ser modificados mediante solicitudes autorizadas y de acuerdo con las normas e intereses de la empresa. Esta meta pretende asegurar que los sistemas de informacin sean modificados slo en forma debida, lo cual implica la autorizacin de un usuario con las facultades para solicitar cambios y que dichos cambios estn de acuerdo con los intereses de la empresa. No es necesario tener acceso directo a los archivos de datos si se puede hacer mediante los sistemas de informacin que utilizan dichos datos; es por eso que los atributos y condiciones de la informacin dependen de que este objetivo sea cumplido satisfactoriamente. Los sistemas de informacin deben estar debidamente protegidos para preservar su integridad, confidencialidad y disponibilidad. Los ,sistemas de informacin no slo deben estar protegidos para prevenrr modificaciones indebidas, sino para evitar su destruccin accidental o intencional y para impedir que alguna persona no autorizada tenga c:ccesoa ellos, ya que en la actualidad muchas de las prcticas de negoctO estn incluidas en los sistemas de informacin y podran represer:tar u.n~ ,ventaja competitiva que deber protegerse como tal. La dts~onrbtltdad de los sistemas de informacin tambin es un asP:~to tmportante, debe asegurarse que los usuarios tengan la posibtltdad ~e ,emplear los sistemas de informacin en el momento y en las condtctOnes necesarias para desarrollar sus actividades. Los recursos de tecnologa de informacin deben ser utilizados para promover la velocidad de los procesos de trabajo de la empresa. Uno 4e los propsitos del empleo de la tecnologa es promover la veloctdad de los procesos de negocio de la compaa; esto redituara

-,
146
PARTE l. FUNDAMENTOS

no slo en una posible eficiencia operativa, sino en la posibilidad de mejorar el servicio al cliente al reducir los tiempos de espera del mismo para recibir un producto o servicio. 36. Los recursos de tecnologa de informacin deben ser utilizados para reducir el costo de los procesos de trabajo de la empresa. Otro elemento importante para una empresa es reducir sus costos de operacin y el empleo de tecnologa de informacin puede jugar un papel muy importante en este sentido. Si se logra una reduccin del costo de operacin de una empresa, esto se reflejar en una mayor productividad y rentabilidad del negocio. 37. Los recursos de tecnologa de informacin deben ser utilizados para promover la calidad de los procesos de trabajo de la empresa. Un objetivo de la adecuada utilizacin de tecnologa de informacin en apoyo a los objetivos de negocio de una empresa lo constituye la promocin de la calidad de sus procesos de trabajo. Esto puede parecer subjetivo o ambiguo, pues la calidad tiene distintas formas de ser medida. Sin embargo, lo importante en este caso es poder identificar los criterios de medicin de calidad en los procesos de negocio y orientar los recursos de tecnologa en este sentido. La calidad normalmente ser medida en funcin de requerimientos de clientes, ya sean internos o externos. 38. Los recursos de tecnologa de informacin deben ser utilizados para dar soporte al proceso de toma de decisiones de la empresa. Es importante considerar que la tecnologa de informacin puede soportar tanto las operaciones como el proceso de toma de decisiones de una empresa. Este ltimo aspecto es atendido normalmente por lo que se conoce como sistemas de informacin gerencial. En materia de decisiones es conveniente indicar que no es lo mismo una decisin tomada por un cajero en una sucursal bancaria sobre

el pago de un cheque, que la decisin del lanzamiento de un nuevo producto para la captacin de recursos. Las dos son decisiones de negocio. Sin embargo, la primera se puede considerar como parte de la propia operacin y la segunda como una decisin de negocio que no forma parte directa de la operacin. Indudablemente exist~n
\

mejores ejemplos de soporte a la operacin, como el intercambIo

electrnico de informacin (EDI) con proveedores; mencionamos este ejemplo por la posibilidad de prestarse a confusin al ser en esencia ambas toma de decisiones. 39. Los proyectos de tecnologa deben ser concluidos en el tiempo estimado y sobre el cual se fundament la decisin de desarrollados. Es fcil comprender que muchos de los beneficios o requerimientos de los proyectos de TI estarn dados por la fecha en que se obtengan sus resultados. Esto puede estar marcado por disposiciones normativas o legales (como el cambio del NA o el desarrollo de sistemas para

...
147

CAP.5. CONTROL INTERNO ENTECNOLOGA

40.

41.

42.

43.

manejar el ADE: apoyo a deudores bancarios) o por condiciones de competitividad. Tambin sabemos por experiencia que la mayora de los proyectos de TI no terminan a tiempo, por lo que resulta una meta de control importante asegurar la oportunidad en la entrega de resultados. Los proyectos de tecnologa deben ser concluidos en el costo estimado, sobre el cual se fundament la decisin de desarrollados. Probablemente por una relacin con el punto anterior y por otras razones, los proyectos de TI tambin suelen incurrir en un costo mayor al estimado originalmente. En ocasiones la decisin de iniciar un proyecto se fundamenta en un anlisis costo-beneficio, por lo que al variar uno de los elementos de la relacin, la decisin de realizar el proyecto puede perder su validez. Los proyectos de tecnologa deben satisfacer los objetivos de negocio, sobre los cuales se fundament la decisin de desarrollados. Independientemente del costo y el tiempo requeridos para su realizacin; es importante que los proyectos de TI satisfagan plenamente los objetivos de negocio para los cuales fueron desarrollados. Lo peor que puede suceder es que un proyecto resulte ms caro de lo pensado, que se concluya despus de la fecha esperada y que una vez concluido no satisfaga los objetivos de negocio que lo sustentaron. Debe existir una comunicacin, coordinacin y servicio efectivos entre el rea de tecnologa de informacin y los usuarios de sus servicios. Resulta fundamental una comunicacin efectiva entre el rea de TI y sus usuarios, tanto para asegurar un conocimiento detallado del negocio y sus requerimientos por parte de TI, como para asegurar que l~: usua,:ios conozcan las capacidades de la tecnologa de informaClan apltcada a su negocio y que todos los problemas que se les presenten sean resueltos en forma adecuada. Debe existir una adecuada divisin de responsabilidades entre el rea de tecnologa de informacin y sus usuarios. No slo. es importante una divisin de funciones interna en el rea de TI,. smo qu~ debe existir una clara "frontera" entre esta rea y sus

z;u:rtos. ?n e!ef!1plo de esta. meta sera e~itar que personal de tecnoso~ a pudtes~ mtCl~r o auto:t~ar transaCClOnes de negocio o que per. al .usuarto pudtese modtftcar programas en produccin en forma mdebtda (es necesario mencionar que alg unos usuarios desarrollan . sus P P . 1 ,lO tos Ststemas en ambientes de computadores personales o 10~a :tea networks, LANs, en cuyo caso debern existir procedimien44 -!:s e control especficos a dicho ambiente). . dOSrecursos de tecnologa de informacin deben ser utilizados para E ar sopo~te a los procesos sustantivos de la empresa, s muy tmportante para las empresas poder utilizar la tecnologa ~~~..

148

PARTE l. FUNDAMENTOS

como soporte a sus procesos sustantivos, es decir, a los procesos que representan las competencias bsicas de la empresa. Las competencias bsicas son las habilidades y experiencia que una empresa posee y que su competencia no puede igualar o por lo menos no en un corto plazo. Estas competencias bsicas se deben reflejar en otro concepto que se denomina capacidades bsicas; esto representa la capacidad de llevar a la realidad el conocimiento y la experiencia que conforman sus competencias. Como puede verse, esto es un diferenciador estratgico, por lo que ser de inters prioritario para la direccin de la empresa proporcionar soporte tecnolgico a estos aspectos. 45. Los recursos de tecnologa de informacin deben ser utilizados para dar soporte a los procesos administrativos de la empresa. Aun cuando los procesos administrativos de una organizacin no representan su razn de existir, es una verdad innegable que muchas deficiencias y oportunidades de mejoramiento existen en dichos procesos. De hecho, podemos pensar que la eficiencia operativa de una empresa tendr un importante impacto dependiendo del nivel de soporte que sus procesos de administracin reciban de la tecnologa de informacin. Iradicionalmente, la mayor parte de los esfuerzos de optimizacin (reingeniera) son enfocados a los procesos productivos de las empresas, por lo que no es sorpresa que en algunos casos el nmero de personal dedicado a actividades administrativas en una empresa no mantenga una relacin proporcional con las dedicadas a las actividades sustantivas y los beneficios que ambas generan a la empresa. 46. Debe existir continuidad y consistencia de los servicios de tecnologa de informacin a corto, mediano y largo plazos. Es imprescindible que los recursos de tecnologa de informacin proporcionen continuidad y consistencia no slo en el corto plazo de la operacin diaria, sino en un horizonte a mediano y largo plazos. Esta es una caracterstica estratgica en la definicin de todos los recursos de la infraestructura tecnolgica. Es importante que el crecimiento y evolucin de la empresa est sustentado en una capacidad d~ desarrollo paralela de sus recursos de hardware, software, comu~tcaciones y en la posibilidad de incorporacin de nuevas tecnologtas que proporcionen ventajas competitivas a la empresa. ., 47. El conocimiento sobre los sistemas de informacin y la contlllUldad de la operacin de los recursos de tecnologa de informacin debe ser independiente del personal de la empresa. Aun cuando los recursos humanos se reconocen como un elemento fundamental en la empresa, es necesario conservar un adecuado nivel de independencia. Esto quiere decir que el conocimiento sobre los sistemas de informacin y sobre la operacin de los recursos de tec-

CAP. 5. CONTROL INTERNO EN TECNOLOGA

149

nologa de informacin debe ser un patrimonio de la empresa y no depender del conocimiento individual de sus colaboradores. 48. La operacin de la empresa que depende de los recursos de tecnologa de informacin debe encontrarse debidamente protegida. En muchas empresas, la dependencia de su operacin en recursos de tecnologa de informacin ha ido en aumento, a grado tal que muchos tipos de empresa difcilmente podran subsistir ms de un da sin contar con el soporte de sus recursos tecnolgicos, es por esto que la operacin de la empresa debe estar protegida contra interrupciones del soporte que recibe de tecnologa de informacin. 49. Los sistemas de informacin deben evolucionar de acuerdo con la propia evolucin de la empresa. La evolucin de los sistemas de informacin pretende asegurar que las aplicaciones del negocio se transforman adecuadamente de acuerdo con el propio desarrollo de los requerimientos de la empresa. De forma anloga a la capacidad de evolucin de la plataforma tecnolgica de una empresa, los sistemas de informacin que proporcionan soluciones directamente a los usuarios, deben evolucionar para mantener un alto nivel de satisfaccin y ofrecer ventajas competitivas a la empresa.

METAS ESPECFICAS

50. La informacin ingresada y proporcionada por sistemas de informacin basados en tecnologa debe ser veraz. Esto quiere decir que la informacin refleja fielmente la realidad; algunos autores se refieren a esta caracterstica como que la informacin debe ser "real". Es decir, las transacciones deben reflejar los eventos de negocio que afecten a la empresa. Un ejemplo podra ser el que todas las ventas registradas en un sistema de informacin se hayan realizado efectivamente o que todos los pedidos registrados realmente reflejen la intencin de compra de clientes. 51. La informacin ingresada y proporcionada por sistemas de informacin basados en tecnologa debe ser completa. Esto quiere decir que la informacin no presente omisiones que puedan distorsionar su significado. Un ejemplo podra ser que un sistema de co5 bra'!za identifique y registre todos los cobros realizados por la empresa. 2. La lllformacin ingresada y proporcionada por sistemas de informacin basados en tecnologa debe ser exacta. Este atributo de la informacin implica que los datos deben ser correct~s, particularmente los datos numricos. Un ejemplo podra ser el ~alculo de intereses en un sistema de crdito; el resultado debe refleJar un resultado aritmticamente correcto del clculo.

150

PARTE l. FUNDAMENTOS

53. La informacin ingresada y proporcionada por sistemas de informacin basados en tecnologa debe ser oportuna. Este atributo implica que la informacin debe llegar a manos del usuario en el tiempo en que ste la necesita para su proceso de toma de decisiones. Evidentemente, el hecho de llegar a manos del usuario en forma oportuna implica que la informacin debe ser ingresada al sistema, procesada y registrada en su formato final tambin en forma oportuna. Un ejemplo podra ser el registro de pagos efectuados por clientes, los cuales deben actualizar los registros individuales para que sus saldos reflejen dichos movimientos y esto se refleje en las decisiones de negocio que deban tomarse al respecto. Siguiendo este ejemplo, me toc vivir personalmente un caso en el que pagu la totalidad del saldo de una tarjeta de crdito en la fecha solicitada por el banco. Quince das despus aproximadamente, cuando intent utilizar la tarjeta en una comida de negocios, el banco rechaz la transaccin. Cuando me comuniqu con el servicio a clientes del banco, se me inform que debido a que el pago fue realizado con un cheque de otro banco, el registro en mi cuenta se haba realizado un da despus, habiendo incurrido en mora!!! Independientemente de los cargos por intereses moratorios que se aplicaron a mi cuenta y la situacin embarazosa que tuve que pasar (y que probablemente no le quit el sueo al banco), en realidad lo que sucedi fue que el banco dej de percibir el porcentaje del importe de mi consumo que cobran como comisin a sus establecimientos. El personal del banco me inform que el pago correspondiente estaba efectivamente registrado en el sistema, pero que haba sido extemporneo, por lo que todas las autorizaciones automticas seran rechazadas hasta el prximo corte de la tarjeta. No es necesario mencionar las consecuencias que este caso multiplicado por miles puede tener para el banco. 54. La informacin ingresada y proporcionada por sistemas de informacin basados en tecnologa debe ser vlida. En el contexto de auditora de TI, el concepto de validez representa el hecho de que la informacin rena todos los atributos necesarios para que pueda ser confiable2 para la empresa y consecuentemente pueda ser utilizada para los efectos que se hayan predefinido. Para lograr esto, se consideran dos aspectos. El primero se re~er~ al contenido de la informacin, el cual debe corresponder a los cntenos establecidos previamente para el sistema. Algunos ejemplos de esto podran ser que los caracteres contenidos en un "campo" o "atributo":
2Recordemos que la confiabilidad no es un atributo de la informacin en s mismo, sino una caracterstica que los usuarios otorgan a la informacin corno respuesta a los atributos que la informacin posea. Entre mayores atributos tenga la informacin, mayor ser la confianza que los usuarios le otorguen.

CAP.5. CONTROL INTERNO EN TECNOLOGA

151

a) Sean todos alfabticos (el nombre de un empleado). b) Sean todos numricos (el nmero de un proveedor). c) Correspondan a un valor preexistente (el nmero de cuenta de un cliente). d) No contengan caracteres vacos. El segundo aspecto se refiere al origen de la informacin, el cual a su vez debe contar con los elementos de autoridad y autenticidad previamente definidos por el sistema. Esto quiere decir que la informacin debe provenir de una fuente (un sistema, un cliente, un empleado, etc.) con autorizacin para generar dicha informacin. Un ejemplo sera una orden de pago autorizada por el gerente de la sucursal que origina la transaccin (el gerente debe contar con el nivel de autoridad formal suficiente para avalar la operacin). El concepto de autenticidad, en realidad debe considerarse como un elemento intrnseco de la autoridad y se refiere al aseguramiento de que el emisor de la informacin es en realidad la fuente autorizada y no un impostor. Resumiendo, podemos pensar que el concepto de validez debe asegurar que la informacin es originada realmente por la "fuente" indicada, dicha "fuente" cuenta con autoridad formal para generar la informacin y que el contenido de sta corresponde a los criterios de aceptacin previamente definidos por el usuario del sistema. SS. La informacin proporcionada por sistemas de informacin basados en tecnologa debe ser actual. Este atributo tiene relacin con los de informacin completa e informacin oportuna. En realidad, se refiere a que un sistema de informacin debe incluir todos los eventos realizados en el "mundo real" que deban estar incluidos en el sistema por tener importancia para la empresa. No se refiere al registro de transacciones como ventas o cobranza, sino a elementos como cambios en la paridad cambiaria de a~guna moneda, cambios en tasas de inters, modificaciones en el catalogo de artculos de un proveedor, etctera. E~ realidad no se trata de una meta que se logre mediante procedimIentos de control operativos (como asegurar que se registran todas las e'!tradas al almacn en forma oportuna), sino ms bien se logra ~edlante ,!n .adecuado anlisis de sistemas en el que se identifiquen t~S r~querzm!ento~ .de informaci,: ~e la empresa en forma comple-

. S!,no se Identtflcan
'

los requerzmlentos

adecuadamente,

la infor-

7~clon '!unca ser actual porque no reflejar fielmente la situacin 5 6. La e mforma .medlo de , la empresa.. . . ., cI on proporcIOna d a por sIstemas d e In formaCIOn basa d os ~n tecn<:>logadebe ser relevante para el usuario. ste atrzbuto se refiere a que la informacin proporcionada por los sistemas en una empresa debe tener relevancia para el negocio. Es decir, ~~"

152

PARTE l. FUNDAMENTOS

la informacin que recibe un usuario puede ser veraz, completa, exacta, oportuna, vlida y actual. Sin embargo, puede carecer de relevancia para la empresa porque no aporta ningn elemento de valor para la toma de decisiones o para el apoyo a la operacin del negocio. Esta meta de control tampoco es apoyada por procedimientos de control operativos, sino mediante procedimientos de control relativos a las actividades de anlisis de sistemas de informacin. 57. La informacin en sistemas contables soportados por tecnologa de informacin debe ser registrada en el periodo que le corresponda. Esta es una condicin tpica de metas de control relacionadas con la dictaminacin de estados financieros. Resulta importante porque se asocia a un principio de contabilidad llamado "periodo contable", el cual indica que las operaciones deben registrarse en el periodo que les corresponda. Normalmente son los cierres de ejercicios los que presentan problemtica al respecto. Otro caso en que debe tenerse cuidado es en el que se emplean "fechas valor". Las fechas valor son transacciones que pueden realizarse en un da determinado, pero que deben tener efecto contable en una fecha distinta. Un ejemplo sera el envo al sistema de contabilidad de un prstamo otorgado por el rea de crdito, el documento puede registrarse en el sistema de contabilidad el da en que se recibe. Sin embargo, la operacin se realiz dos das antes, fecha desde la cual deben computarse los intereses correspondientes. 58. La informacin en sistemas contables soportados por tecnologa de informacin debe ser valuada correctamente. Esta condicin tambin tiene relacin con sistemas contables y se refiere a operaciones que requieren algn tipo de valuacin, tal es el caso de operaciones con moneda extranjera, las cuales deben presentarse en los estados financieros en la moneda local, de acuerdo con el valor de la paridad cambiaria de la fecha de preparacin de los estados financieros. 59. La informacin en sistemas contables soportados por tecnologa de informacin debe ser clasificada correctamente. La clasificacin se refiere tambin a una clasificacin contable. Un
\

ejemplo que me enorgulleceexponer (porqueni los auditoresfinan-

cieros lo saban) es el caso de los descuentos que se otorgan a los clientes cuando stos efectan un pago anticipado de sus adeudas con la empresa. Muchos sistemas consideran este descuento como un "gasto de venta" de la empresa. Sin embargo, se trata de un "gasto financiero ", ya que su propsito es acelerar la recuperacin de una cuenta por cobrar y no la promocin de una venta, la cual ya fue realizada (qu tal?). 60. La informacin en sistemas contables soportados por tecnologa de informacin debe ser registrada correctamente en los registros contables.

..
CAP.5. CONTROL INTERNO EN TECNOLOGA

'\
153

61.

62.

63.

64

Finalmente, es importante asegurar que todas las transacciones efectuadas por una empresa queden reflejadas en sus sistemas de contabilidad, de forma que los saldos de contabilidad coincidan con los de los otros sistemas, en trminos contables quiere decir que "el libro mayor cheque con ~us auxiliares" de cuentas colect~vas. . La informacin mgresada, almacenada y proporClOna?a por sIstemas de informacin basados en tecnologa debe ser consIstente. Esta es una condicin de la informacin que podramos considerar como "flexible", ya que reconoce la posibilidad (muy probable) de que los sistemas de una empresa cuenten con informacin "repetida", es decir, que la informacin de un cliente se encuentre almacenada en ms de un sistema (en un banco, por ejemplo, un cliente puede estar en el sistema de cheques, en el de tarjeta de crdito y en el de cartera), esta situacin aunque no es deseable es muy comn, por lo que en caso de presentarse, por lo menos debe asegurarse de que dicha informacin sea consistente, es decir, que sean los mismos datos en todos los registros del mismo cliente. La informacin almacenada en o a travs de medios de tecnologa de informacin no debe ser redundante. Esta condicin sera la correccin de la anterior, es decir, el registro que corresponde a un evento o a un objeto del negocio (una transaccin o un cliente) es registrada en una sola ocasin y se mantiene en un registro nico. Existen sistemas en que un pago es registrado (capturado fsicamente) ms de una vez en sistemas distintos y consecuentemente se mantien~ en diferentes registros. Esta meta busca que cada transaccin se regrstre una sola ocasin y que exista un registro nico en los sistemas. U,: ejemplo sera la conveniencia de que exista una cuenta nica del clrente y ~ sta pueda tener acceso cualquier usuario que tenga inters de negoCto en (y autorizacin sobre) dicha cuenta, independientemente ~el departamento o ubicacin geogrfica de dicho usuario. La mformacin generada por tecnologa de informacin e impresa en papel o medios fsicos inteligible s debe mantener adecuados niveles de confidencialidad. . Esta o d' ., . 1 c n rCt~mtr~ne a mrsma naturaleza que la meta correspondiente a I~ a?nfrdencralidad de los registros magnticos, pero con la car~cterrstr~a de que se refiere a informacin impresa, ya que en mu~ as,ocasrones a pesar de fuertes medidas de seguridad en los sistemas e co.mPu.t~ se pierde el control sobre documentos u otros medios que S r~telrgrbles y. por lo tanto fciles de accesar. Lon " . os SIstemas d f 1 . e III ormaclOn d eb en tener lllcorporados los contro;s proplO~ de la operacin de la empresa en forma efectiva. li sto .~ermrte que la empresa proteja su patrimonio a pesar de la utizacron de equipos de procesamiento electrnico, lo cual incluye una