En la era de la automatización y la tecnología toda empresa busca mejorar su productividad, reduciendo costos de producción –laborales- mejorando la calidad, optimizando las condiciones de trabajo de todo el personal, eliminando los trabajos tediosos, repetitivos y rutinarios, realizando operaciones imposibles de controlar intelectual o manualmente, mejorando la disponibilidad de los productos, suministrando las cantidades necesarias en el momento oportuno e integrando la gestión y la producción.
La automatización del trabajo
trae un aumento de la productividad, disminuyendo el valor de los productos,
estimulando el crecimiento económico y
favoreciendo a todos los profesionales y técnicos ya que nos exige en el
futuro reinventar nuestro trabajo.
Automatizar tareas en muchas entidades es sinónimo de
reducir costos de operación, sin
embargo, son ideas nuevas que se
realizan con tecnología, que día a día
crece, dibujando en la organización un mapa de tecnologías físicas, operativas,
base de datos, lenguajes de programación y aplicaciones móviles, que aumentan
la eficiencia de las operaciones.
La implementación de tecnologías
en una organización introduce riesgos operacionales –ausencia de
disponibilidad, dependencia ciertas personas que conocen la tecnología, cambios
que generan problemas, financieros –falta o exceso de capacidad-y del negocio
–seguridad y continuidad.
Mitigar y controlar estos riesgos
son un reto de los órganos de gobierno,
gestión y operativos TI. Los controles sobre las tecnologías de
información están relacionados con los
conocimientos necesarios que requieren los miembros de gobierno, ejecutivos,
profesionales TI y auditores para conocer
los temas de control de tecnología y los posibles impactos en el
negocio. Los marcos de referencia son los principales instrumentos para
implementar los controles TI, además, de que permiten las estrategias de
la dirección.
Para la evaluación de los
controles TI, todo auditor debe entender el concepto de controles TI con el fin
de proporcionar aseguramiento que está relacionado con la fiabilidad de la
información y de los servicios de información. Mitigar riesgos comprende
políticas corporativas, implementación física
e instrucciones codificadas, protección de acceso físico, trazabilidad
de acciones y transacciones,
edificaciones automáticas y análisis de la razonabilidad de un volumen alto de
datos.
Conocer conceptos básicos de
control TI es clave, el aseguramiento es proporcionado por los controles TI
dentro del gran sistema controles que son continuos y producen evidencia fiable
y oportuna.
El aseguramiento del auditor
comprende el entendimiento, examen y evaluación de los controles claves que
están relacionados con los riesgos que se visualizan y gestionan, como la
ejecución de pruebas suficientes que aseguran que los controles se diseñaron
adecuadamente y de forma continua.
La necesidad de controles TI,
está relacionada con la competitividad
de la organización, reducción de costos, estrategias del gobierno y cumplimiento de políticas de gestión TI y operativos TI. Los controles TI originan fiabilidad, eficiencia que facilita la adaptación de la entidad a
entornos de riesgos cambiantes. Cualquier control que reduzca o descubra
fraudes o ataques cibernéticos aumenta la flexibilidad de la organización, que
es el resultado de un sistema robusto de control interno.
Dentro de las responsabilidades
de TI son bastantes las funciones del gobierno TI, gestión TI y operativo TI.
Cada función dentro de los niveles del gobierno, de gerencia, operativos y técnicos deben tener manuales funciones que
describan de forma detallada y clara las
funciones, responsabilidades y propiedad con respecto a los controles TI para
asegurar la asignación de responsabilidad relacionados con temas específicos.
Para la evaluación de riesgos,
los controles TI son elegidos e
implementados con base en los riesgos para los que fueron diseñados. Cuando se
identifican los riesgos, inmediatamente se establecen respuestas adecuadas para
los riesgos, contemplando desde no hacer nada
y aceptar el riesgo como un costo
de hacer transacciones, hasta la aplicación de un abanico de controles
específicos, examinando e incluyendo seguros.
La monitorización y aplicación de
técnicas permiten identificar y evaluar
los controles TI. Toda organización debe
tener una estructura de control formal o
informal sistematizada de categorización
de controles, para asegurar que riesgo sea cubierto totalmente. Esta estructura de control debe abarcar
control interno, la parte estratégica TI, táctica TI y operacional TI de la
organización.
La evaluación de los controles TI
debe ser continuo. Todo proceso de negocio fluye y cambia con la tecnología,
continuamente aparecen nuevas amenazas y vulnerabilidades. Estos métodos de
auditoria mejoran en la medida que el auditor adopta un enfoque donde los
aspectos de control TI son un soporte de los objetivos de la organización y son
prioritarios. El gobierno rinde informe sobre los controles TI, los auditores
verifican su validez y dan una opinión. Auditor y gobierno deben ser una unidad
que genere confianza en el aseguramiento de los informes sobre controles TI.
Fuente: Mauricio Guillermo Díaz Villate colaborador del Curso
Virtual Auditool SAS: Evaluación de Controles sobre Tecnologías de la
Información –Nuevo-. https://www.auditool.org/cursos-virtuales-auditool/ver-todos/6264-curso-virtual-evaluacion-de-controles-sobre-tecnologias-de-la-informacion
Hasta pronto.
0 comentarios:
Publicar un comentario