La seguridad TIC ante la encrucijada de la medición del valor de los activos

Todo parece indicar que los cambios que se avecinan en materia contable, en materia de responsabilidad, en materia de medición del valor y en materia de medición de riesgos, van a traer días más felices que los de hoy al mundillo de las TIC.
La repercusión de dichos cambios podría ser parecida a la del Efecto 2000 y bastante más significativa que la de la implantación del euro; existe, desde luego, know how suficiente para hacer las cosas bien, aunque digno es reconocer que se observa una escasa sensibilización ante lo que nos espera.
JOSÉ DE LA PEÑA SÁNCHEZ
Auditor de Cuentas Censor Jurado
y Licenciado en Informática
info@codasic.com

Es evidente que los sistemas de información de las empresas, sometidos a la dura y veloz presión del cambio tecnológico, van a resultar afectados significativamente en todos los ámbitos. Digamos que lo que se avecina podría entenderse con un poco de buena voluntad como un examen de buen gobierno a sus gestores.
Iniciaré el recorrido por la implantación de las NIC/NIIF, obligatorias en las cuentas consolidadas de las sociedades cotizadas en las bolsas de la UE a partir del ejercicio 2005, que afectan en profundidad a activo, pasivo, resultados, flujos de tesorería y patrimonio neto, tanto a su cualificación como a las reglas de valoración.
Las mencionadas son normas emitidas por IASB (International Accounting Standards Board), aceptadas por la UE, pero no por USA; las NIC (Normas Internacionales de Contabilidad, IAS en inglés) y las NIIF (Normas Internacionales de Información Financiera, IFRS en inglés), a efectos del Sistema de Información, se refieren al Subsistema de contabilidad externa o financiera, es decir, a las transacciones con el exterior en el más amplio sentido y valoradas en euros. Se estima que para el 2007 se implantarán en el ámbito empresarial en su totalidad dentro de la UE. Queda tiempo para ello, pero algo justo.
Concretando aquí y ahora para 2005, y expresándome en “informatiqués”, sólo las aplicaciones corporativas del grupo se regirán por las NIC/NIIF; el resto de las sociedades componentes seguirán llevándose por la normativa vigente; se emplearán por tanto dos varas de medir, simultánea y paralelamente.
El paralelismo coordinado dentro del sistema de información entre el subsistema interno y opaco que incluye la gestión empresarial, comprensiva de la contabilidad de costes, valorada en unidades de medida idóneas y en euros, con la contabilidad financiera o externa, parcialmente transparente, componen la información directiva, o sea, la de la cúpula corporativa.
Al hilo de lo dicho anteriormente, recuerdo que es conocida la diferencia entre el valor bursátil de una corporación y su valor contable (externo o financiero); pues bien, es posible que las NIC/NIIF persigan tan mítico objetivo, o por lo menos algo cercano.
Me atrevería a enunciar una especie de síndrome de “Babel”, por aquello de la bíblica confusión de lenguas, ya que se está produciendo una transformación del lenguaje vigente, hoy metabolizado por la parte no económico-financiera, al lenguaje NIC/NIIF, propio de iniciados, ejemplo típico de deconstrucción de la gestión empresarial.

Las TIC y su seguridad ya no están dentro de una burbuja en las corporaciones, y resulta más que
evidente que necesitan de una pasada de NIC/NIIF.

Y de la seguridad TIC, ¿qué?

ISO está últimanente desperezándose en lo referente a la seguridad de la información. Y eso es bueno. Un servidor ha sido testigo del cambio experimentado por las normas ISO, ya que se ha pasado de un mundo industrial a un mundo de servicios, y en eso estamos. Pero no nos podemos quedar ahí. Quizás le haya tocado a la seguridad, en el ámbito normativo, dar ese esperado toque maestro, imprimir ese efecto sutil, que distingue al sector industrial del de servicios, ya que en este último tan preponderante hoy, se enmarca la seguridad de la información que se está necesitando y demandando.
Pero volvamos a la contabilidad, no sin antes indicar que en el siglo actual, la Nueva Economía ha sido fagocitada por la Economía, y en ésta no se comprende una empresa sin TIC, ni TIC sin seguridad.
Las TIC y la seguridad TIC ya no están dentro de una burbuja en las corporaciones (recordemos el 11-S y el 11-M, auténticos toques de generala), y resulta más que evidente que necesitan de una pasada de NIC/ NIIF.
Me explico: entre los activos intangibles que hay que medir, se encuentra el complejo TIC y su seguridad, evaluables vía valor razonable, o sea, oscilante/fluctuante/volátil.
Esto explica una especie de reescritura sistemática de la historia, algo así como un Fahrenheit 451.
El valor razonable viene a ser definido por el precio de mercado o una “estimación” que se aproxime suficientemente, en ausencia de éste. La regla es clarísima cuando hay precio de mercado.
Retomemos en este punto las normas ISO sobre seguridad de la información: las NIC/NIIF obligan a reconsiderar el Anexo B “Valoración de activos” de la UNE 71501-3:2001 – Guía para la gestión de la seguridad TI - Técnicas para la gestión (equivalente a ISO/IEC TR 13335-: 1998), que empieza así: “En un proceso de análisis de riesgos en TI, el paso inicial y fundamental es el de la valoración de los activos de la organización“. Desde luego el asunto no es fácil con las normas actuales, pero las NIC/NIIF lo complican todavía más, sobre todo si ha habido fusiones, absorciones,...
Comentario similar podría realizarse sobre la UNE ISO/IEC 17799: 2002 / TI Código de buenas prácticas para la Gestión de la Seguridad de la Información: 5/ Clasificación y control de Activos, sobre todo en el apartado 5.1.1: Inventario de Activos: “... su valor e importancia relativos... “, ante los nuevos criterios de clasificación y reglas de valoración, tanto de intangibles como materiales, así como los conceptos de amortización, depreciación y valor razonable.
En lo referente al Acuerdo Basilea II sobre la adaptación de las instituciones financieras a partir del 1-1-2007, en lo referente a riesgos (operativos, de crédito y de mercado) y sus tres métodos de medición (estándar, intermedio y avanzado) para adaptar el capital regulatorio al capital económico, parece ser que desde el punto de vista de las TIC y su seguridad es el riesgo operacional (u operativo) que asumirá el sistema de información el más complicado. Y a todo esto se une la implantación de las NIC/NIIF.
Acerca de Solvencia II, que afecta a las aseguradoras españolas, merece la pena indicar que se encuentra dentro del “maelstrom” Basilea II y NIC/NIIF, principalmente por las inversiones y su inclusión en grupos consolidados.
Por otra parte, la aplicación de la SAO en USA está siendo contestada como cara y excesiva, pero no se matiza su idoneidad para cumplir sus objetivos, y se está olvidando su origen y motivación.
Reitero mi opinión en el sentido de que esta olimpiada de cambios normativos da mucha importancia, y realmente la tiene, a las funciones TIC y su seguridad; pero también creo que los “agujeros negros” descubiertos, no sólo en los epicentros Enron/Parmalat, sino también la práctica generalizada significativamente de usos heterodoxos, ha provocado este “tsunami”, que es una auténtica reingeniería del sistema socio-económico de amplio alcance, en la que no se debería olvidar el factor humano, componente básico de las empresas.


Documento en PDF
 

<volver