ÁREA DE TECNOLOGÍA DE LA INFORMACIÓN  DE LA COMISIÓN HONORARIA ADMINISTRADORA DEL FONDO DE SOLIDARIDAD

1. ANTECEDENTES

Se realiza la presente evaluación en el marco de las auditorías que realiza el Tribunal de Cuentas, de conformidad a lo establecido en los Artículos 138 y 160 del Texto Ordenado de Contabilidad y Administración Financiera (TOCAF).

2. OBJETIVO

El objetivo consistió en efectuar una revisión limitada de los Controles de Computadora sobre el Sistema de Profesionales en operación en la Comisión Honoraria Administradora del Fondo de Solidaridad (en adelante “Fondo de Solidaridad”), estableciendo un moderado nivel de seguridad sobre la efectividad de los procedimientos de control anteriormente mencionados. Esto equivale a manifestar solamente si, sobre la base de los procedimientos aplicados, no se hallaron debilidades de carácter material que invaliden la hipótesis de trabajo de que los controles objetivo son efectivos (expresión de seguridad negativa).

3. ALCANCE

El examen practicado a octubre de 2008 fue realizado de acuerdo normas emitidas por la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI); limitándose a los Controles Generales de Tecnología de la Información (en adelante “TI”) vigentes en el Fondo de Solidaridad, en el contexto relevante para los objetivos de auditoría de estados financieros y a los controles del sistema de Profesionales.

Se debe considerar a los controles generales de “TI” como estructuras, políticas y procedimientos con objetivo primario de proporcionar un marco de protección para los recursos computacionales, aplicaciones y datos relacionados en este caso con información financiera.

Aunque no es común que impacten directamente en los reportes financieros, dichos controles incluyen actividades para razonablemente prevenir, detectar o corregir errores o irregularidades significativas en los reportes financieros o divulgaciones inapropiadas. A su vez, los controles de aplicación son diseñados para prevenir o detectar transacciones contables no autorizadas y dar soporte a objetivos financieros tales como completitud, exactitud, existencia y debida autorización de transacciones a través del sistema de información financiera, asegurando la integridad de los registros contables.

El diseño e implementación adecuada de los controles generales y de aplicación son esenciales para proteger los recursos computacionales, aplicaciones y datos del Fondo de Solidaridad del riesgo de acceso y/o divulgación no autorizada y/o modificación inapropiada (fraude o error) de información financiera; daño o pérdida de recursos, e interrupción de las operaciones, entre otros factores de vulnerabilidad.

En términos generales, debe configurarse una combinación efectiva de los controles generales y de aplicación para asegurar razonablemente la confiabilidad, apropiada confidencialidad y disponibilidad de la información financiera.

La efectividad de los controles generales es un factor significativo para establecer confianza en los controles de aplicación, en el entendido que estos últimos pueden volverse inefectivos por modificación o burla (entre otros), ante la presencia de controles generales débiles.

No obstante, los procedimientos íntegramente manuales ejercidos por los usuarios pueden proporcionar control efectivo a nivel de la aplicación. Por todo lo expuesto, los controles generales deberían ser documentados con anterioridad a los de aplicaciones específicas.

Por otra parte se deja constancia que el estudio no constituye en forma alguna auditoría, revisión u otra forma de dictamen sobre estados financieros-contables o declaración sobre el objetivo básico de razonabilidad de la información financiera.

A su vez, este informe no emite opinión sobre el nivel de eficacia y eficiencia operacional de la aplicación bajo revisión. Sin embargo, este informe sí emite opinión limitada sobre la efectividad y confiabilidad de los controles de computadora significativos para los objetivos de auditoría financiera. 

4. PROCEDIMIENTOS APLICADOS

Se han llevado a cabo los procedimientos considerados necesarios en las circunstancias, en consistencia con las normas aplicadas y particularmente con las Guías de Estándares de Control Interno de la INTOSAI, consistentes con auditorías de estados financieros. A tales efectos, se han cumplido procedimientos de indagación, observación, análisis de documentación, pruebas limitadas tanto en naturaleza como extensión de la operación de los controles.

A efectos de su presentación ejecutiva, para los controles generales de “TI” el informe se ha clasificado en 6 áreas consistentes con los objetivos de control para ambientes computarizados según las normas de referencia, a saber:

1: Programas de planificación de seguridad

2: Controles de acceso

3: Controles de desarrollo, mantenimiento y cambio de aplicaciones

4: Controles de Hardware y Software de sistema

5: Segregación de funciones

6: Continuidad en el servicio

5. CONCLUSIONES

Sobre la base de los procedimientos aplicados, se hallaron debilidades de relevancia que invalidan nuestra hipótesis de trabajo que los controles generales son efectivos. Dichas debilidades merman considerablemente nuestra hipótesis que los controles automáticos del Sistema de Profesionales son efectivos.

Sin embargo, en términos generales, no se hallaron debilidades de alta significación como para invalidar nuestra hipótesis que los controles manuales ejercidos por los usuarios son efectivos para lograr una razonable integridad de las transacciones a través del Sistema de Profesionales. Sin perjuicio de lo anterior, cabe señalar que, por su naturaleza, los controles manuales presentan riesgos específicos al control interno de la entidad, siendo menos confiables que los automatizados ya que pueden ser más fácilmente burlados o ignorados y por ser más propensos a errores simples.