Controles de TI: Cómo usar el Modelo COSO de guía.
El Principio 11 del popular marco de referencia es una herramienta útil para que los Contadores Públicos Certificados administren la tecnología. Una constante preocupación para los negocios que tratan de usar los avances en tecnología para impulsar eficiencia y crecimiento es mantener los controles apropiados de la Tecnología de la Información (TI).
El Principio 11 del marco de referencia del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés), recientemente actualizado sobre controles internos, brinda los lineamientos para evaluar la efectividad de los controles sobre TI. Como parte de la evaluación general del control interno de una organización que se rige por el marco de referencia, el Principio 11 puede ayudar a administrar la tecnología siempre cambiante.
El Principio declara que la organización selecciona y desarrolla actividades generales de control sobre la tecnología para soportar el logro de objetivos. Los puntos importantes son:
- Determine la dependencia entre el uso de la tecnología en los procesos de negocios y los controles generales de la tecnología.
- Establezca actividades relevantes de control de la infraestructura de la tecnología.
- Establezca actividades relevantes de control en el proceso de administración de la seguridad.
- Establezca actividades relevantes de control del proceso de adquisición, desarrollo y mantenimiento de la tecnología.
- La infraestructura y componentes de Tecnología de la Información.
- Las áreas de computación de usuario final de laptops, aparatos móviles y hojas de cálculo.
- Aplicaciones de TI subcontratadas en la nube y otros proveedores de servicios externos.
- Cómo se administra la función de la tecnología en toda la entidad.
El entendimiento de estas cuatro áreas del sistema de tecnología se logra con el uso de procedimientos que se describen en la Aclaración a la Norma de Auditoría AU-C Sección 315 del Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés). Entendimiento de la entidad, su entorno y evaluación del riesgo de representación errónea de importancia relativa:
- Investigación con el personal.
- Procedimientos analíticos.
- Observación de procesos (es decir, inspecciones).
- Inspección de documentos y documentación. Los últimos cuatro pasos (nodos) de la actividad muestran el análisis de controles de aplicación y la evaluación de los riesgos de procesamiento de información que están manejando, y luego un análisis de los controles generales de la tecnología que protegen los controles de aplicación. Finalmente, el CPA usará un sistema con procedimientos para asignar un valor a la probabilidad de que los controles prevengan (o no) o detecten y corrijan el error. El último paso sugiere usar una matriz de controles (probablemente en una hoja de cálculo) y un modelo de madurez para asignar la puntuación del control en una escala de 0 a 5.
Aunque algunas compañías usan el marco de referencia de COSO solo para vigilar sus controles internos sobre la información financiera externa, el marco de referencia de 2013, recientemente revisado, también puede usarse para evaluar controles en múltiples áreas operativas y en procesos internos que no sean de información financiera como los sistemas de la compañía para correo electrónico, nómina y procesamiento de Recursos Humanos, y diversos procesos de manufactura. Con el uso de este Cuadro, el CFO y el personal de contabilidad y auditoría podría analizar todos los controles de aplicación de TI y controles generales para evaluar su efectividad. ¿Asegura el sistema que autorizaciones, verificaciones, conciliaciones y actividades de control físico están diseñadas y documentadas de manera apropiada y operando con efectividad en los procesos de operación y de información financiera de la compañía? ¿Está debidamente asegurado el acceso a la información personal de los empleados en los datos de nómina? Estas son preguntas que puede ayudar a responder el Cuadro. Al seguir evolucionando la tecnología e integrarla en más procesos de negocios, el marco de referencia de COSO brinda una guía útil para controles efectivos. Aplicar el marco de referencia y el Principio 11 de manera correcta es un paso importante hacia el logro de un sistema sólido de control interno.
No hay comentarios.:
Publicar un comentario