La auditoría de sistemas y su vinculación a la operativa de negocio
  • Por
  • Publicado 28 de julio de 2020

La auditoría de sistemas y su vinculación a la operativa de negocio

Aunque los sistemas de información nos brinden la comodidad de automatizar procesos, es nuestra obligación controlar las vulnerabilidades que puedan surgir de su utilización y que puedan hacernos objeto de robo o fraude informático.


Durante muchos años se ha tenido el concepto de que la auditoría de sistemas se basa en la revisión de determinado software para evaluar su correcto desempeño y posibles mejoras.

Sin embargo, la tecnología de la información (TI) ha avanzado a un ritmo creciente, incorporándose de forma imparable a la mayoría de procesos que antes eran completamente manuales. El inicio de este proceso coincide con n el que la presencia de sistemas de TI en entornos de negocio empezó a crear inquietud en cuanto a la fiabilidad operativa de estos. Esa es la razón por la que la auditoría de sistemas de TI tiene hoy en día un papel fundamental en cualquier auditoría financiera.

En el año 1992, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Committee of Sponsoring Organizations of the Treadway Commission (COSO)), organización privada establecida en los Estados Unidos dedicada a la orientación en temáticas de ética empresarial, gobierno de la organización, gestión del riesgo empresarial, fraude, presentación de estados financieros y control interno, publicó un informe titulado “Control interno: Marco integrado de control”. En este marco, que fue actualizado en 2013, COSO define cinco componentes que ayudan a gestionar el riesgo y el control interno de una empresa: Entorno de control, evaluación del riesgo, actividades de control, información y comunicación, y supervisión.

Pero ¿cómo obtener confianza en el adecuado funcionamiento de los procesos de negocio que descansan en sistemas informáticos? Al igual que los procesos manuales, aunque con un alcance distinto, siguiendo las recomendaciones de COSO es imprescindible contar con un marco de control interno. Dicho marco debe incluir  dentro de su alcance, controles relacionados con la operativa de negocio y que normalmente se ejecutan en un software diseñado para ello (SAP, Navision, AS/400, etc). Tal es el caso de controles de acceso al sistema, que limiten al usuario en la ejecución o acceso a ciertas acciones, tareas, reportes o funcionalidades de un sistema. Un ejemplo sencillo es el acceso a información sensible y confidencial relacionada con otros usuarios, clientes o proveedores de servicios. Para la Organización, una brecha de seguridad de información confidencial como pueden ser datos bancarios, operaciones de inversiones, derechos de autor y/o patentes, datos de salud (en caso de empresas del sector farmacéutico), entre otros, puede traducirse en daño reputacional, pérdida de información indispensable para la operativa de negocio, o incluso sanciones por parte del ente regulador.

Sin embargo, es importante tener presente que la implementación de un marco integrado de control no elimina en su totalidad, los riesgos identificados por la empresa. Este marco contiene una limitación: el componente humano, ya que el control interno implica la ejecución de acciones o tareas por parte de los empleados de la empresa. Por ello, hay que resaltar que es muy importante la realización de campañas de educación y concienciación en temas de ciberseguridad dirigidas a todos los empleados de la organización que tengan acceso a los sistemas de información, con la finalidad de reducir aún más el riesgo inherente de que las actividades de negocio no logren los objetivos que perseguimos.

En OptimumTIC estamos preparados para asesorarte en el diseño de tu estrategia de seguridad dentro de las best practices, para brindar la máxima confianza sobre uno de los activos más importantes de tu organización: la información.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com