Los recursos de la tecnología de información deben ser controlados con el objetivo de garantizar el cumplimiento de los requisitos del sistema de información que la entidad necesita para el logro de su misión.
La información que necesitan las actividades de la entidad, es provista mediante el uso de recursos de tecnología de información, los que abarcan: datos, sistemas de aplicación, tecnología asociada, instalaciones y personal.
La administración de estos recursos debe llevarse a cabo mediante procesos de tecnología de información agrupados naturalmente, a fin de proporcionar la información necesaria que permita a cada trabajador cumplir con sus responsabilidades y supervisar el cumplimiento de las políticas. A fin de asegurar el cumplimiento de los requisitos del sistema de información, es preciso definir actividades de control apropiadas, así como implementarlas, supervisarlas y evaluarlas.
La seguridad del sistema de información es la estructura de control para proteger la integridad, confidencialidad y disponibilidad de datos y recursos de la tecnología de información.
Las actividades de control general de la tecnología de información se aplican a todo el sistema de información, incluida la totalidad de sus componentes, desde la arquitectura de procesamiento de grandes computadoras, mini computadoras y redes, hasta la gestión de procesamiento por el usuario final. También abarcan las medidas y procedimientos manuales que permiten garantizar la operación continua y correcta del sistema de información.
Indicadores de desempeño
Toda entidad debe contar con métodos de medición de desempeño que permitan la preparación de indicadores para su supervisión y evaluación.
La información obtenida se utilizará para la corrección de los cursos de acción y el mejoramiento del rendimiento.
La dirección de una entidad, programa, proyecto o actividad, debe conocer cómo marcha hacia los objetivos fijados para mantener el dominio del rumbo, es decir, ejercer el control.
Un sistema de indicadores elaborados desde los datos emergentes de un mecanismo de medición del desempeño, contribuirá al sustento de las decisiones.
Los indicadores no deben ser tan numerosos que se tornen ininteligibles o confusos, ni tan escasos que no permitan revelar las cuestiones claves y el perfil de la situación examinada.
Cada entidad debe preparar un sistema de indicadores ajustado a sus características, es decir, tamaño, proceso productivo, bienes y servicios que entrega, nivel de competencia de sus dirigentes y demás elementos que lo distingan. El sistema puede estar constituido
por una combinación de indicadores cuantitativos, tales como los montos presupuestados y cualitativos, como el nivel de satisfacción de los usuarios.
Los indicadores cualitativos deben ser expresados de una manera que permita su aplicación objetiva y razonable. Por ejemplo: una medición indirecta del grado de satisfacción del usuario puede obtenerse por el número de reclamos.
Función de Auditoría Interna independiente
La unidad de auditoría interna de las entidades debe depender de la máxima autoridad de estas y sus funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen.
Las unidades de auditoría interna deben brindar sus servicios a toda la entidad. Constituyen un "mecanismo de seguridad" con el que cuenta la autoridad superior para estar informada, con razonable certeza, sobre la confiabilidad del diseño y funcionamiento de su sistema de control interno.
Esta unidad de auditoría interna, al depender de la autoridad superior, puede practicar los análisis, inspecciones, verificaciones y pruebas que considere necesarios en los distintos sectores de la entidad con independencia de estos, ya que sus funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen.
Así, la auditoría interna vigila, en representación de la autoridad superior, el adecuado funcionamiento del sistema, informando oportunamente a aquella sobre su situación. Por su parte, los mecanismos y procedimientos del Sistema de Control Interno protegen cuestiones específicas de la operatoria para brindar una razonable seguridad de éxito en el esfuerzo por alcanzar los objetivos de organización.
Evaluación del componente Actividades de Control
Comprobar que están debidamente segregadas y diferenciadas (en la medida de lo racionalmente posible) la responsabilidad de autorizar, ejecutar, registrar y comprobar una transacción, teniendo en cuenta la necesaria coordinación entre las distintas áreas de responsabilidad definidas en la entidad.
Verificar el registro y clasificación oportuna de las transacciones y hechos importantes, atendiendo a la importancia, relevancia y utilidad que ello tiene para la presentación razonable de los saldos en los estados financieros.
Comprobar la realización de conteos físicos, periódicos, de los activos y su conciliación con los registros contables.
Evaluar la calidad y cumplimiento de los planes de rotación en el desempeño en las tareas claves del personal involucrado.
Verificar que la dirección efectúe análisis, periódicos y sistemáticos, de los resultados obtenidos, comparándolos con períodos anteriores, con los presupuestos y planes aprobados y otros niveles de análisis que les sean útiles.
Evaluar la utilización del sistema de indicadores de rendimiento implementado en la entidad para la puesta en marcha de acciones correctivas que disminuyan o eliminen las desviaciones importantes.
Valorar el funcionamiento, utilización y respeto a los resultados de la Auditoría Interna.
Comprobar el cumplimiento de los controles de la tecnología de información referidos a:
(Seguridad física de los equipos de información.
(Controles de acceso.
(Controles sobre software.
(Controles de las operaciones de proceso de datos.
(Controles sobre el desarrollo y mantenimiento de las aplicaciones.
(Controles de las aplicaciones.
Revisar que el plan de prevención elaborado ha tenido en cuenta el diagnóstico de los riesgos internos o peligros potenciales, el análisis de las causas que lo provocan o propician y las propuestas de medidas para prevenir o contrarrestar su ocurrencia.
Comprobar que el plan de prevención, en cada una de las acciones, define el tiempo o los momentos de ejecución, los ejecutantes y los responsables de su control.
Información y comunicación
La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores y permita asumir las responsabilidades individuales.
La comunicación es inherente a los sistemas de información. Las personas deben conocer, en tiempo, las cuestiones relativas a su responsabilidad de gestión y control. Cada función debe especificarse con claridad, entendiendo como tal las cuestiones relativas a la responsabilidad de los individuos dentro del Sistema de Control Interno.
Los informes deben transmitirse adecuadamente a través de una comunicación eficaz, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal.
La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar, por parte de los dirigentes, resultan vitales.
Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria y, en ambos casos, importa contar con medios eficaces, como los manuales de políticas, memorias, difusión institucional, canales formales e informales, la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción vale más que mil palabras.
Normas de Información y Comunicación
Información y responsabilidad
La información debe permitir a los funcionarios y empleados cumplir sus obligaciones y responsabilidades. Los datos pertinentes deben ser identificados, captados, registrados, estructurados en información y comunicados, en tiempo y forma.
Una entidad debe disponer de una corriente fluida y oportuna información relativa a los acontecimientos internos y externos. Por ejemplo, necesita tomar conocimiento con prontitud de los requerimientos de los usuarios para proporcionar respuestas oportunas o de los cambios en la legislación y reglamentaciones que le afectan. De igual manera, debe tener conocimiento constante de la situación de sus procesos internos.
Los riesgos que afronta una entidad se reducen en la medida que la adopción de las decisiones se fundamente en información relevante, confiable y oportuna. La información es relevante para un usuario, en la medida que se refiera a cuestiones comprendidas dentro de su responsabilidad y que él cuente con la capacidad suficiente para apreciar su significación.
La supervisión del desempeño de la entidad y sus partes componentes, opera mediante procesos de información y de exigencia de responsabilidades de tipos formales e
informales. La cultura, el tamaño y la estructura de organización influyen, significativamente, en el tipo y la confiabilidad de estos procesos.
Contenido y flujo de la información
La información debe ser clara y con un grado de detalle ajustado al nivel de la toma de decisiones. Se debe referir tanto a situaciones externas como internas, a cuestiones financieras como operacionales.
Para el caso de los niveles directivo y gerencial, los informes deben relacionar el desempeño con los objetivos y metas fijados.
El flujo informativo debe circular en todos los sentidos: ascendente, descendente, horizontal y transversal.
Es fundamental para la conducción y control de la entidad disponer de la información satisfactoria, en tiempo y en el lugar necesario, y por ende, el diseño del flujo informativo y su posterior funcionamiento adecuado, deben constituir preocupaciones centrales para los responsables de la entidad, para la toma de decisiones, si no de nada serviría.
Calidad de la información
La información disponible en la entidad debe cumplir con los atributos de: contenido apropiado, oportunidad, actualización, exactitud y accesibilidad.
Esta norma plantea las cuestiones a considerar con vistas a formar juicios sobre la calidad de la información que utiliza una entidad y hace imprescindible su confiabilidad.
Es deber de la autoridad superior, responsable del control interno, esforzarse por obtener un grado adecuado de cumplimiento de cada uno de los atributos mencionados.
Flexibilidad al cambio
El sistema de información debe ser revisado y de corresponder, rediseñado cuando se detecten deficiencias en su funcionamiento y productos. Cuando la entidad cambie su estrategia, misión, política, objetivos, programa de trabajo, etc, se debe contemplar el impacto en el sistema de información y actuar en consecuencia.
Si el sistema de información se diseña orientado en una estrategia y un programa de trabajo, es natural que al cambiar estos, tenga que adaptarse, atendiendo a que la
información que dejó de ser relevante siga fluyendo en detrimento de otra que sí pasó a serlo, cuidando porque el sistema no se sobrecargue artificialmente, situación que se genera cuando se adiciona la información, ahora necesaria, sin eliminar la que perdió importancia.
El sistema de información
El sistema de información debe diseñarse atendiendo a la estrategia y programa de operaciones de la entidad.
La calificación de sistema de información se aplica, tanto al que cubre la información financiera de una entidad como al destinado a registrar otros procesos y operaciones internas. Aquí se explica en un sentido más amplio por alcanzar también al tratamiento de acontecimientos y hechos externos a la entidad, refiriéndose a la captación y procesamiento oportuno de situaciones referentes a, por ejemplo:
堃ambios en la normativa, legal o reglamentaria, que alcance a la entidad
堃onocer la opinión de los usuarios sobre el servicio que se le proporciona
堓us reclamos, inquietudes y sus necesidades emergentes.
Tal sistema de información, deberá ser diseñado para apoyar la estrategia, misión, política y objetivos de la entidad.
La entidad necesita información que le permita alcanzar todas las categorías de objetivos: operacionales, financieros y de cumplimiento. Cada dato en particular puede ayudar a lograr una o todas estas categorías de objetivos.
Compromiso de la dirección
El interés y el compromiso de la dirección de la entidad con los sistemas de información se deben explicitar mediante una asignación de recursos suficientes para su funcionamiento eficaz.
Es fundamental que la dirección de una entidad tenga cabal comprensión del importante rol que desempeñan los sistemas de información, para el correcto desenvolvimiento de sus deberes y responsabilidades y, en ese sentido, debe mostrar una actitud comprometida hacia estos.
Esta actitud debe expresarse en declaraciones y acciones que evidencien la atención a la importancia que se otorga a los sistemas de información.
Comunicación, valores de la organización y estrategias
El proceso de comunicación de la entidad debe apoyar la difusión y sustentación de sus valores éticos, así como los de su misión, políticas, objetivos y resultados de su gestión.
Para que el control sea efectivo, las entidades necesitan un proceso de comunicación abierto, multidireccionado, capaz de transmitir información relevante, confiable y oportuna.
El proceso de comunicación es utilizado para transmitir una variedad de temas, pero queremos destacar, en este caso la comunicación de los valores éticos y la comunicación de la misión, políticas y objetivos Si todos los trabajadores de la entidad están imbuidos de los valores éticos que deben respetar, de la misión a cumplir, de los objetivos que se persiguen y de las políticas que los encuadran, la probabilidad de un desempeño eficaz, eficiente, económico, enmarcado en la legalidad y la ética, aumenta notoriamente.
Canales de comunicación
Los canales de comunicación deben presentar un grado de apertura y eficacia adecuado a las necesidades de información internas y externas.
El sistema se estructura en canales de transmisión de datos e información. En gran medida el mantenimiento del sistema radica en vigilar la apertura y buen estado de estos canales, que conectan diferentes emisores y receptores de variada importancia.
La comunicación con los empleados, para que estos puedan hacer llegar sus sugerencias sobre mejoras o posibles cambios que proporcionen el cumplimiento de las tareas y metas.
Evaluación de Información y Comunicación
Existen mecanismos para conseguir la información externa pertinente sobre las condiciones de mercado, programas de competidores, novedades legislativas o de organismos de control y cambios económicos.
Se suministran, a los directores y jefes de departamentos, la información que necesitan para cumplir con sus responsabilidades.
La información está disponible, en tiempo oportuno, para permitir el control efectivo de los acontecimientos y actividades, posibilitando la rápida reacción ante factores económicos comerciales y asuntos de control.
Se ha desarrollado un plan informático, a largo plazo, vinculado con las iniciativas estratégicas.
Se aportan recursos suficientes, según sean necesarios, para mejorar o desarrollar nuevos sistemas de información.
Las vías de comunicación, sesiones formales o informales de formación, reuniones y supervisiones durante el trabajo, son suficientes para efectuar tal comunicación
Existen mecanismos establecidos para que los empleados puedan aportar sus recomendaciones de mejora.
Supervisión o Monitoreo
Es el proceso que evalúa la calidad del control interno en el tiempo. Es importante monitorear el control interno para determinar si este está operando en la forma esperada y si es necesario hacer modificaciones.
Las actividades de monitoreo permanente incluyen actividades de supervisión realizadas de forma permanente, directamente por las distintas estructuras de dirección.
Las evaluaciones separadas son actividades de monitoreo que se realizan en forma no rutinaria, como las auditorias periódicas efectuadas por los auditores internos.
Algunas de las cuestiones a tener en cuenta son:
堃onstitución del comité de control integrado, al menos, por un dirigente del máximo nivel y el auditor interno. Su objetivo sería la vigilancia del adecuado funcionamiento del Sistema de Control Interno y su mejoramiento continuo.
堅n las organizaciones que lo justifiquen, la existencia de unidades de auditoria interna con suficiente grado de independencia y calificación profesional.
El objetivo es asegurar que el control interno funcione adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales.
Las primeras son aquellas incorporadas a las actividades normales o recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las circunstancias sobrevivientes.
En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones:
堓u alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que estos entrañan, la competencia y experiencia de quienes los controlan y los resultados de la supervisión continuada.
堓on ejecutados por los propios responsables de las áreas de gestión, de la auditoria interna incluidas en el planeamiento o solicitadas especialmente por la dirección y los auditores externos.
堃onstituyen todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, prima una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan, estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos y que resulten aptos para los fines perseguidos.
堒esponden a una determinada metodología con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos.
堅l nivel de documentación de los controles varía según la dimensión y complejidad de la entidad. Existen controles informales que, aunque no estén documentados, se aplican correctamente y son eficaces, si bien un nivel adecuado de documentación suele aumentar la eficiencia de la evaluación y resulta más útil al favorecer la comprensión del sistema por parte de los empleados. La naturaleza y el nivel de la documentación requieren un mayor rigor cuando se necesite demostrar la fortaleza del sistema ante terceros.
Debe confeccionarse un plan de acción que contemple:
堅l alcance de la evaluación.
堌as actividades de supervisión continuadas existentes.
堌as tareas de los auditores internos y externos.
堦Aacute;reas o asuntos de mayor riesgo.
堐rograma de evaluaciones.
堅valuadores, metodología y herramientas de control.
堐resentación de conclusiones y documentación de soporte.
堓eguimiento para que se adopten las correcciones pertinentes.
Normas de Supervisión o Monitoreo
Evaluación del Sistema de Control Interno
La dirección de la entidad y cualquier funcionario que tenga a su cargo un área de segmento de organización, programa, proyecto o actividad, debe evaluar periódicamente la eficacia de su Sistema de Control Interno y comunicar los resultados ante quien es responsable.
Un análisis periódico de la forma en que ese sistema está operando le proporcionará, al responsable, la tranquilidad de un adecuado funcionamiento, o la oportunidad de su corrección y fortalecimiento.
Eficacia del Sistema de Control Interno
El Sistema de Control Interno se considera efectivo en la medida en que la autoridad a la que apoya cuente con una seguridad razonable en:
堌a información acerca del avance en el logro de sus objetivos y metas y en el empleo de criterios de economía y eficiencia
堌a confiabilidad y validez de los informes y estados financieros
堅l cumplimiento de la legislación y normas vigentes, incluida las políticas y los procedimientos emanados de la propia entidad.
Esta norma fija el criterio para calificar la eficacia de un Sistema de Control Interno, basándose en las tres materias del control:
堌as operaciones.
堌a información financiera.
堅l cumplimiento con las leyes, decretos, reglamentos y cualquier tipo de normativa
Autor:
Eduardo Velasco
 Página anterior | Volver al principio del trabajo | Página siguiente  |