Colegio de Contadores Públicos de México A.C.
Colegio de Contadores Públicos de México A.C.10 Ene, 2011
La seguridad de la información y su relación con la práctica contable
En los libros (o e-books) de historia que leerán nuestros nietos referentes a la era de la información que comenzó a finales del siglo pasado seguramente se hará referencia a los primeros trabajadores de la información, y no me refiero a los programadores de las primeras computadoras o a los constructores de los circuitos que hacen que estos aparatos funcionen, sino a los contadores quienes fueron los primeros usuarios profesionales de los sistemas electrónicos de manejo de información. Al ser los primeros usuarios de la información que emanaba de estos sistemas se volvieron también los primeros testigos y en algunos casos afectados por la seguridad –o inseguridad– de estos sistemas ya que cualquier error de programación o de funcionamiento del sistema podía devenir una serie de problemas y errores contables, ya no por error humano sino por el error de una máquina.
La información es valiosa por lo que representa, lo que se puede hacer con ella o lo que no se puede hacer sin ella, es como cualquier otro activo en una empresa, pero uno que se puede mover sin que nos demos cuenta de un lugar del mundo a otro y puede ser alterado sin que lo percibamos físicamente, de ahí la dificultad de implementar medidas de seguridad efectivas que mitiguen los riesgos a los que la información se encuentra expuesta al “vivir” en los sistemas electrónicos. En este ciclo de vida y para abonar a un control interno adecuado, se debe de contar con controles en los sistemas de información, tal cual como se tienen controles sobre los procesos contables. Estos controles, en el ámbito de tecnología de información pueden ser de dos tipos; controles generales y controles aplicativos. Los generales son aquellas prácticas de control que se ejercen sobre los procesos generales de gestión tecnológica tales como la planeación de sistemas, la adquisición e implementación de aplicaciones, el soporte de la operación y la evaluación sobre los sistemas, estos controles permiten a una organización establecer las medidas básicas de vigilancia y protección sobre el ambiente de sistemas en su totalidad sin embargo por si mismos no son suficientes para asegurar de manera razonable que la información se encuentra protegida y regulada. Para ello están los controles aplicativos que velan por la información una vez que ingresa a un sistema de procesamiento tal como lo puede ser un sistema contable o administrativo. La importancia de la seguridad de la información desde el punto de vista contable hoy más que nunca cobra relevancia con la cada vez mayor prevalencia de sistemas administrativos integrales, los también conocidos por su nombre en Inglés ERP (Enterprise Resources Planners) que concentran en una sola plataforma las operaciones administrativas, contables, de recursos humanos y financieras.
Un control adecuado sobre este tipo de sistemas se refleja de manera directa sobre el buen control interno de toda la organización. Los principales riesgos que enfrentan estos sistemas no radican en las amenazas tecnológicas tales como virus informáticos o hackers sino en los propios usuarios internos de la organización, ya que, para que un hacker pueda afectar un registro contable requeriría conocer información que no sería nada fácil de obtener desde el exterior de la organización, en cambio un usuario que cuenta con acceso al sistema puede acceder a mucha información e inferir mucha más por el simple hecho de encontrarse dentro de la estructura organizacional. La calidad de la información que generan los sistemas contables de las organizaciones depende de muchos factores y existen regulaciones como la ley Sarbanes-Oxley de Estados Unidos y en México la Ley Federal de Protección de Datos en Posesión de Terceros que delinean requerimientos de protección y aseguramiento no de los sistemas solamente sino de la información que fluye.
El control interno no se podría entender sin un adecuado control tecnológico y es una realidad que la tarea de aseguramiento no sólo recae en los profesionales de la administración y contabilidad, sino también en los profesionales de la informática. En este tenor, existen diversas certificaciones profesionales inter disciplinarias que buscan establecer capacidades y competencias en las personas encargadas de la vigilancia y auditoría de la información y los sistemas, tal es el caso de la credencial profesional emitida por el Instituto de Auditoría y Control de Sistemas (ISACA por sus siglas en Inglés) denominada CISA (Auditor Certificado de Sistemas de Información),También está la certificación CPA/CITP (Certified Information Technology Professional) emitida por la Asociacion Americana de Contadores Públicos.
*Integrante de la Comisión de Investigación
Este artículo refleja la opinión del autor y no necesariamente del colegio.
El contenido mostrado es responsabilidad del autor y refleja su punto de vista.
:quality(75)/media/dinero/users/picture-1008-1709180642.jpg)
