seguridad_información_en_el_dictamen_estados_financieros

La seguridad de la información en el dictamen de los estados financieros




Por: Aldo Alfredo Escalante Reyes, L. I.

Es muy común que las personas consideren que un estado financiero no tiene relación alguna con un tema como la seguridad de la información. Sin embargo, estos aspectos deben vincularse si deseas evitar una auditoría para el dictamen de estados financieros por parte una empresa externa muy estricta, que implicaría la solicitud de muestras muy grandes y múltiples puntos a revisar.

Es bien sabido por todos que diferentes tipos de sectores productivos se encuentran normados por el gobierno federal -por ejemplo: el sector financiero está bajo la normatividad de la Comisión Nacional Bancaria y de Valores (CNBV), la industria farmacéutica por parte de la Secretaría de Salud, y así algunos más-. Dichas entidades por lo regular solicitan la intervención de un despacho externo.

Los despachos (PWC, Deloitte, E&Y, KPMG, Salles Sainz, entre otros) tienen como labor anual realizar un dictamen, dando su opinión sobre la empresa que decida contratar sus servicios. Seguramente en alguna ocasión te hayas preguntado qué es lo que revisan; lo comentaremos a continuación.

En principio, los despachos identifican cuáles son los procesos más importantes para el negocio; entonces proceden a generar reuniones con la alta gerencia o directivos para mapear los procesos importantes del cliente. De la misma manera, se entrevistan con el encargado del área de sistemas de forma paralela.

Por medio de estas reuniones identifican los procesos que requieren mayor cuidado, así como los sistemas actores de los mismos. Una vez hecho esto, comienzan dos revisiones importantes encaminadas a la seguridad de la información; éstas son la revisión de infraestructura y la revisión del control interno.

En la revisión de infraestructura se examina con qué tipo de equipos se cuenta y, derivado de esta información, los despachos envían a consultores especializados en la seguridad y mejores prácticas de dichas tecnologías. Ellos se encargan de revisar cómo se encuentran configurados y si existe un marco normativo interno (políticas de seguridad institucionales implementadas) y emiten un reporte para los auditores contables.

En la revisión de control interno se identifica la interacción de los sistemas con los procesos importantes de negocio, generando mapeos de los procesos y solicitando información al respecto. El objetivo es seguir una operación desde que nace hasta que termina en un registro contable, identificando controles (controles manuales, controles automáticos o semi-automáticos); de la misma forma, los consultores de control interno detectan posibles problemas de seguridad de la información, ausencia de controles o posibles puntos de mejora en el ambiente de control.

¿Qué puede pasar si encuentran algún incidente con los sistemas? En este caso, los auditores de sistemas lo reportan a los auditores contables y estos pueden concluir que un proceso no es confiable y, por ende, se requiere incrementar muestras y el equipo de auditoría contable e información solicitada a áreas como cartera, tesorería y contabilidad, a causa de la detección de un ambiente tecnológico con posibles incidentes de seguridad.

Por esto, el dictamen que tienen que generar para el año anterior debe ser muy laborioso para ellos, ya que no tienen la certeza de que los sistemas ingresen los controles automáticos o que ayuden a delimitar las funciones de las operaciones.

Por ejemplo, imagina que una empresa tiene el sistema y los controles de acceso al sistema son nulos (no pide usuario y contraseña). Esto provoca que  -aunque el sistema sea de muy buena calidad- la información que se procesa pueda ser editada o modificada por cualquiera que se pueda conectar o tener acceso al equipo que lo posee.

Luego de conocer esta información, ¿consideras que la seguridad de la información y el dictamen de los estados financieros no están ligados? Un fuerte ambiente institucional encaminado a la seguridad de la información puede ahorrarte muchos problemas con el dictamen; por ende, tal vez sea tiempo de solicitar una mejora en los controles.

Síguenos en Facebook

Contenido relacionado: 

Contenido recomendado: