Controles Internos

Sigo convencido que para proporcionar servicios de calidad es recomendable seguir las buenas prácticas de ITIL o COBIT, o adaptarse a los estándares ISO 27001 y/o ISO 20000. Sin embargo, aún más importante es dejar que un auditor externo nos realice una Auditoría de Sistemas de Información que nos diga si los controles que aplicamos a nuestra organización son suficientes para entregar servicios de calidad.

Los controles internos están compuestos por políticas y procedimientos que se implementan para reducir el riesgo de la organización, entendiendo por riesgo a la posibilidad de que se explote una vulnerabilidad en un activo o grupo de activos causando perjuicio para la organización. Si aún no conocemos nuestros riesgos, en las primeras fases del Proceso de Auditoría se realizará el Análisis de Riesgos que desvelará los peligros a los que está expuesto la organización.

Los controles son desarrollados pensando en qué se quiere evitar y qué se quiere lograr, siempre alineándolos con los objetivos del negocio. Podemos dividir los controles en tres tipos:

• Prevenir: Son aquellos controles que detectan y predicen los problemas antes de que sucedan, monitorizan los procesos y nos previenen de errores o acciones malintencionadas. Por ejemplo, dividir responsabilidades y tareas, controles de acceso, cifrado de la información, etc.
• Detectar: Son los controles que además de detectar, avisan de la ocurrencia de un error o acción malintencionada. Por ejemplo, mensajes de error, informes de rendimiento, auditoría internas, etc.
• Corregir: Son controles que minimizan el impacto de una amenaza, subsanan problemas descubiertos, identifican la causa de los problemas, corrigen errores y modifican los sistemas para que no vuelva a ocurrir el problema. Por ejemplo, plantes de contingencia, procedimientos de backup, etc.

Dependiendo de la dimensión de la compañía, el director o CEO es el encargado de aprobar los controles, además de planificar, ejecutar y monitorizar que los controles se alineen con los objetivos empresariales. Por otro lado, el Gobierno, compuesto por la Junta Directiva y Presidente, se deben asegurar que se cumplen las condiciones y necesidades de los accionistas estableciendo directrices, tomando decisiones, priorizando tareas y monitorizando el rendimiento y cumplimento de los objetivos de negocio. La Junta Directiva y los directores son los responsables de fomentar una cultura en la organización que permita ejecutar y monitorizar eficientemente los controles internos, ya que los controles van dirigidos a todos los niveles para mitigar el riesgo.

Independientemente en el nivel en el que nos encontremos, no olvidemos que los controles deberán ser propuestos, pensados y definidos por la organización, y no por el auditor ya que éste no debe hacer las funciones de consultor debido a que su función es obtener evidencias para presentar finalmente un informe de auditoría. No obstante, en el informe de auditoría no sólo aparecerá los problemas encontrados sino también comentarios positivos que ayudan a mejorar los procesos y controles que están ya establecidos. Por tanto, el rol que tiene un auditor de TI es entender e identificar los riesgos bajo las áreas de gestión de la información, infraestructura TI, gobierno TI y operación TI, mientras que otros especialistas auditarán el entorno organizativo, los riesgos del negocio y los controles del negocio.

Seguro que se nos ocurren muchos controles, pero … ¿están identificados, documentados y medidos?