La importancia de los controles de tecnología de la información

Por Ricardo Zuazo, gerente senior de Risk Assurance Services

No es novedad que, hoy por hoy, las empresas se soportan de gran manera en sistemas de información. Como parte de esta transformación, la importancia del control interno alrededor de la tecnología de la información (TI) ha ido en aumento y hemos observado un incremento en la madurez de dichos controles.

Si queremos simplificar el concepto del soporte brindado por los sistemas de información, estas son herramientas que apoyan al cumplimiento de tareas. Por usar una analogía simple, es el taladro eléctrico que reemplazó el cincel para perforar la piedra. Si bien los beneficios operativos de los sistemas son claros, ya que soportan las actividades del día a día de la compañía por medio de procesamientos automáticos, reportes clave, controles automáticos, entre otras funcionalidades, estos traen consigo riesgos que deben ser abordados por la organización.

La naturaleza de los riesgos puede ser financiera, operacional o de cumplimiento, y los sistemas de información se encuentran relacionados a los tres tipos. De no contar con una adecuada evaluación de riesgos, acompañada por una estrategia para abordarlos, el cumplimiento de los objetivos de la compañía se podría ver afectado.

Dicho esto, reconocemos que aún existe un largo camino por recorrer para la mejora del control interno de TI. Actualmente, algunos de los “puntos de dolor” más comunes son los siguientes:

  • Falta de cultura de control interno en la organización, incluyendo el “tone at the top”

La noción básica del control interno se mantiene a la fecha. Sin embargo, cada organización se encuentra en distintos niveles de madurez. Como parte de dichas nociones básicas, un adecuado ambiente de control de TI debe ir de la mano con la cultura de la organización y la importancia que la alta gerencia le brinda a dicho concepto. Esto es lo que llamamos “tone at the top”. Es muy difícil que una organización pueda mostrar mejoras significativas en el control interno, en una cultura en la que la dirección de la compañía no lo considera importante. Este aspecto es uno de los más complejos de mejorar, ya que, como todo cambio cultural, es un proceso largo.

  • Falta de formalización de las actividades de control interno

Como parte de la madurez del control interno, es importante contar con las actividades de control debidamente formalizadas, con el fin de que las mismas se ejecuten de manera consistente y no se cree dependencia de personal sobre actividades clave para el ambiente de control. Contar con políticas y procedimientos, e idealmente matrices de riesgos y controles, soporta dicha formalización y, a la vez, facilita la evaluación del diseño actual de los controles, a fin de validar que estos mitiguen de manera adecuada los riesgos relacionados.

  • Falta de un área que vele por la mejora del control interno y el monitoreo de su cumplimiento

Existe un marcado beneficio de contar con una función de control interno que apoye con foco de experto a la evaluación de riesgos y controles y al mejoramiento del ambiente de control. En el caso que una organización no cuente con dicha función, una práctica ampliamente usada es la contratación de un tercero especializado que pueda fungir dichas funciones.

  • Falta de entendimiento y evaluación sobre los riesgos relacionados a terceros

Como parte del proceso de especialización de las organizaciones, cada vez más funciones son tercerizadas. Esta práctica no es ajena a las funciones y soporte de TI, desde la tercerización de soporte a sistemas, hasta el uso de servicios cloud para el soporte de las necesidades de la organización. Es clave considerar que, si bien el tercero es responsable por muchas funciones operativas y debe velar por contar con un adecuado control interno, la responsabilidad final recae en la compañía. Es importante que las organizaciones entiendan cómo sus terceros críticos gestionan sus riesgos y puedan validar dicha gestión a través de revisiones de auditoría interna o de terceros, confirmando que el nivel de control interno sea al menos igual al que se ha definido en la organización.

  • Falta de entendimiento y evaluación sobre los riesgos de tecnología emergente

Este punto es especialmente importante a la fecha, debido a la coyuntura que atravesamos. Como parte de una encuesta efectuada a inicios del 2021 por PwC a distintos CEOs de manera global, identificamos que el 83% de las organizaciones esperan aumentar su inversión de transformación digital durante el 2021, de los cuales casi 50% efectuará un aumento en más del 10% de su inversión actual. Tomando esto en consideración, las organizaciones deben acompañar su transformación digital con las contemplaciones de riesgos y controles que esta conlleva.

Es importante que las organizaciones efectúen las evaluaciones pertinentes sobre la gestión de su control interno, contemplando su evaluación desde la identificación de riesgos, el mapeo de controles actuales y la evaluación de la madurez del ambiente de control, incluyendo el “tone at the top“.

No existe una única respuesta sobre el camino a tomar para el mejoramiento de su madurez de control interno, pero es imperativo que las organizaciones tengan un adecuado entendimiento de sus necesidades y que se defina la ruta crítica para superar aquellos puntos de dolor y deficiencias que puedan tener mayor impacto en la organización.

Deja un comentario