La auditoria de sistemas o o auditoria informática y su efecto en los EEFF
Muchas veces hemos oído hablar de auditorias especiales como auditoria de sistemas y no pocas veces tenemos problemas con el personal por pérdida de información, fuga de información y otros. Si bien en los informes de auditoria financiera están predeterminados sus formatos y no siempre corresponde una auditoria de sistemas, ya no es ajena a cualquier sistema de control interno y a una auditoría financiera, realizar algunas medidas de inspección de los sistemas contables o de información que manejamos.
Precisamente porque hoy toda la información es digital y a través de sistemas de la tecnología de la información (TI) en esta entrada hablaremos sobre cómo debemos enfrentarnos y qué medidas tomar como operadores de estos sistemas.
¿Por qué reviste importancia hoy en día los sistemas informáticos?
- Fraudes.
- Compatibilización con sistemas tributarios.
- Seguridad en la información (accesos no deseados).
- Fuga de información.
- Pérdidas monetarias.
Cómo controlar el acceso a la información a través de sistemas informáticos
Los sistemas cumplen una regla general:
[button size=»large» color=»silver»]ENTRADAS + PROCESAMIENTO = SALIDA[/button]
Por consiguiente se debe realizar:
Controles de entrada de datos
Se debe asegurar que toda la información que vaya a ser procesada por el sistema esté completa y correcta y que existan controles adecuados para el manejo de información rechazada (imprimir reportes o enviarlos por email, o hacer backs recurrentes).
Autorización y controles de salida
Asegurar que toda la información que se procesa está debidamente autorizada y que existen controles sobre el acceso al sistema, ya sea para obtener información o para modificarla por alguna transacción, sobre todo cuando es a través de sistemas en línea o de terminales de usuarios, puesto que únicamente personal autorizado debe tener acceso a los datos e informes de TI y que los cambios a los archivos sean autorizados únicamente por el personal designado.
Establecimiento de huellas o pistas
Asegurar lo adecuado de las huellas o pistas en la transformación de la información.
En términos generales, considerar:
- Características de todo el proceso de generación de información
- La importancia del software y su aplicabilidad
Otras recomendaciones
Los sistemas informáticos de información por su complejidad y su constante evolución, requiere para el estudio y evaluación de su control interno de personal con entrenamiento técnico y capacidad profesional adecuados, que muchas de las veces se transforman en uso de especialistas.
El impacto que eventualmente pueda tener una deficiencia o desviación de control interno en el área de estos sistemas puede ser menos evidente y, sin embargo, tener mayor repercusión en errores en los estados financieros que pasen inadvertidas.
El trabajo del auditor y el control interno
Lo anterior significa que el auditor está obligado a efectuar su revisión utilizando todos los elementos que le permitan asegurarse de que la información financiera a dictaminar se procesa adecuadamente, ya sea de forma interna o externa.
En primer lugar, debe mencionarse que, para que el control interno funcione en una empresa determinada, es necesario que su estructura organizacional esté diseñada para que quienes son responsables del establecimiento de los procedimientos de control y de su supervisión, tengan la autoridad necesaria para hacer cumplir sus objetivos.
Esto es particularmente importante en el área del procesamiento de la información en sistemas, ya que ocasionalmente estas funciones en las empresas serán nuevas o recientes y quizá no se les haya asignado un nivel adecuado en la estructura de organización.
Cuestionario básico de control interno sobre los sistemas informáticos
En el control interno de nuestras empresas y en aquellas que se auditan externamente, por lo menos se recomienda una hoja de cuestionario con las siguientes preguntas: (Sí, NO, N/A, Observaciones)
- Existe un manual de procedimientos con respecto a los sistemas informáticos, sobre la protección de datos de carácter personal
- Se aplica la metodología definida en el manual de procedimientos
- Los procedimientos definidos son satisfactorios
- Existen carpetas o unidades de disco duro compartidas. Enumérelos
- Existen carpetas o inidades de disco duro privadas. Enumérelos
- Tales carpetas están con medidas de seguridad
- Existe comunicación o cesión de los datos regularmente
- Los datos están actualizados o presentados a la empresa
- Existe algún seguro o medidas en contratos de personal por los posibles incumplimiento en protección de datos.
Socio y fundador de boliviaimpuestos.com. Autor de artículos tributarios, investigador y consultor.
Especializado en la asesoría, planificación y defensa más compleja en materia tributaria.
Los comentarios están cerrados.