ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Objetivos de control de TI para Sarbanes-Oxley

Felix RinaldiEnsayo13 de Noviembre de 2019

10.320 Palabras (42 Páginas)476 Visitas

Página 1 de 42

[pic 1]

Objetivos de control de TI para Sarbanes-Oxley: El rol de TI en el diseño e implementación del control interno en el reporte financiero, 2ª edición

Apéndice C

IT Governance Institute®

El IT Governance Institute (ITGITM) (www.itgi.org) se creó en 1998 para potenciar ideas y normas  a nivel internacional  en la dirección y control de los sistemas de información de las empresas.  Una dirección efectiva de TI ayuda a garantizar que las TI sustentan los objetivos de negocio, optimizan las inversiones de negocio en TI y dirigen de forma apropiada los riesgos y oportunidades relacionados con las TI. El  ITGI ofrece recursos electrónicos, investigación original y casos de estudio para ayudar a directivos y órganos de dirección de las empresas en sus responsabilidades de gestión de las TI.

Propósito de los programas de auditoría y de los cuestionarios de control interno

Uno de los objetivos de ISACA es asegurar que los productos educativos dan soporte a las necesidades de información de sus miembros y de la industria. Para responder a los requerimientos de sus miembros de acceder a programas de auditoría útiles, la dirección educativa de ISACA ha publicado programas de auditoría y cuestionarios  de control interno, para que sean utilizados por sus miembros a través del K-Net. Estos productos son desarrollados por publicaciones del  ITGI o facilitados por profesionales en dicho campo.

Objetivos de control para información y tecnologías relacionadas

Objetivos de Control para Información y tecnologías relacionadas (CobiT® - sus siglas en inglés) ha sido desarrollado como un marco aplicable y generalmente aceptado de seguridad eficaz sobre los sistemas de información (TI), y buenas prácticas de control para la dirección, para los usuarios y para los profesionales de auditoría de los sistemas de información y controles de seguridad.  Los programas de auditoría incluidos en K-Net están referenciados a los objetivos de controles clave de CobiT.

Limitación de responsabilidades

El IT Governance Institute, ISACA® y otros colaboradores no se hacen responsables de que la utilización de este documento asegure un resultado satisfactorio. Esta publicación no debe considerarse una recopilación exhaustiva de los controles, procedimientos y test de las TI o excluyente de otros controles, procedimientos y test de las TI, que seguramente están presentes en un sistema efectivo de control interno de reporte financiero. Para determinar la corrección de un control, procedimiento o test específico, las empresas cotizadas en la US Security Exchange Commission (SEC) deberá aplicarse el juicio profesional adecuado a las circunstancias específicas de control que tenga el sistema o el entorno del sistema de información en particular.  

Los lectores deben considerar que este documento no ha sido aprobado por la SEC, que es el organismo regulador de las compañías cotizadas, ni por el US Public Company Accounting Oversight Board (PCAOB), organismo responsable de la regulación de la profesión de contables públicos.  Los aspectos tratados en esta publicación continuarán evolucionando. Por lo tanto, las compañías deberán buscar el consejo y asesoramiento adecuado de sus responsables de riesgos y/o de sus auditores.  Los responsables de este documento no se responsabilizan, ni garantizan y tampoco dan ninguna seguridad, que la utilización de este documento por parte de una organización suponga la existencia de un detalle de controles, procedimientos, controles internos y procedimientos para la información financiera que:

  • Cumpla con los requerimientos de control interno establecidos en la Ley Sarbanes-Oxley.
  • Haga que los planes de la organización sean suficientes para dirigir y corregir las posibles deficiencias que prohibirían a la organización obtener el certificado requerido o reportar  en base a la Ley Sarbanes-Oxley.

Los controles internos, con independencia de lo bien diseñados y lo bien que operen, únicamente puede dar una seguridad razonable de que la entidad logre sus objetivos de control.  La probabilidad de lograrlo está condicionada por las limitaciones inherentes del control interno. Esto incluye la realidad de que los juicios humanos en la toma de decisiones pueden ser incorrectos y que los errores en el control interno pueden ocurrir por fallos humanos como simples errores o equivocaciones. Además, los controles, ya sean manuales o automáticos, pueden ser eludidos por la connivencia de dos o más personas o porqué la dirección, inapropiadamente, ignora los controles internos.

El propósito de estos apéndices es facilitar la auditoría, controles y profesionales de la seguridad, una metodología para evaluar el contenido de la publicación del ITGI  “Objetivos de control de IT para Sarbanes-Oxley: El rol de TI en el diseño e implementación del control interno sobre el reporte financiero, 2ª Edición”. Dichos apéndices examinan los aspectos clave y los componentes que deben ser tomados en consideración al analizar este tema. Estos han sido desarrollados y revisados  con respecto a CobiT 4.0.

Nota: el profesional debe adaptarlas a las particularidades de las prácticas y políticas de cada organización.

Incluye los siguientes apéndices:

  • C—Controles generales de TI

Apéndice C --- Controles Generales de TI

La Norma Sarbanes-Oxley (SOX) requiere que las organizaciones seleccionen y apliquen un marco de control interno adecuado. El Marco de Control Interno Integrado COSO (www.COSO.org) se ha convertido en el más comúnmente utilizado por las empresas para cumplir con Sarbanes-Oxley. Mientras que COSO hace referencia a la importancia de TI en relación con el entorno global de control, no proporciona una guía detallada para las empresas que necesitan diseñar e implementar controles específicos para su entorno.

En la elaboración de esta publicación, los objetivos de control TI, que ilustran los controles y pruebas de los controles se obtuvieron utilizando CobiT, véase el apéndice B.  También se tuvo en cuenta a la norma ISO 17799, el Código de Prácticas de Gestión de Seguridad de Información, y la Biblioteca de Infraestructura de Tecnología de Información (ITIL) para la gestión del servicio.  Si bien todos estos marcos se dirigen a objetivos de control operacional y dirección financiera, sólo han sido seleccionados y personalizados a los efectos de esta publicación las guías consideradas relevantes para el control del reporte financiero.

Controles de TI a Nivel de Entidad

En términos generales, los controles generales incluyen los objetivos a nivel de entidad y a nivel de actividad. Esta publicación se dirige a ambos, sin embargo, los objetivos a nivel de entidad se presentan como "puntos a considerar” ya que el propósito de los controles a nivel de entidad son para obtener una comprensión de la cultura y el estilo operativo de la organización.  Además, los controles a nivel de entidad son menos propensos a tener actividades específicas, por lo tanto, el tratar de definir los controles y pruebas relacionadas de cada área de la entidad, están fuera del alcance de este documento.  Como resultado de ello, esta publicación ofrece consideraciones que, cuando se analizan en conjunto, proporcionan una evaluación global del diseño y la efectividad de los controles a nivel de entidad.

En el uso de estos puntos a considerar, las empresas deben tener cuidado de no responder simplemente "sí" o "no". El objetivo de las preguntas es iniciar un diálogo que dará ejemplos de cómo los controles se llevan a cabo, se evidencian mediante la documentación o se corroboran a través de la investigación.

Las tablas 11 a 14 proporcionan consideraciones para la evaluación a nivel de entidad del entorno de control de TI en una organización. Como la mayoría de las organizaciones están utilizando el marco de control COSO para sus programas de control interno, las tablas se han estructurado en el mismo orden que COSO y abordan los puntos que deberían considerarse para determinar si se ha logrado un objetivo a nivel de entidad.

Entorno de Control

El entorno de control crea la base para un control interno efectivo, establece la "directriz superior" y representa la cúspide de la estructura de gobierno corporativo. Las cuestiones planteadas en el componente del entorno de control aplican a toda la organización TI.

Figura 11— Consideraciones del Entorno de Control

Puntos a Considerar

COBIT 4.0 Referencia

Respuesta/Evidencia

Plan Estratégico TI

  1. ¿Ha preparado la dirección planes estratégicos de TI que alineen los objetivos de negocio con las estrategias de TI?

¿El enfoque de planificación incluye mecanismos para solicitar la participación de los actores internos y externos relevantes, afectados por los planes estratégicos de TI?

PO1.4

  1. ¿La organización de TI comunica sus planes de TI a los responsables de los procesos de negocio y a otras partes interesadas de toda la organización?

PO1.2

PO6.5

  1. ¿La dirección de TI comunica sus actividades, retos y riesgos habitualmente  al Director General y al Director de Administración?

¿Es esta información compartida con el Consejo de Administración?

PO1.2

PO6.5

  1. ¿La gerencia de TI supervisa el  progreso del plan estratégico y reacciona en consecuencia para alcanzar los objetivos establecidos?

PO1.2

ME1.2

Procesos, Organización y Relaciones

  1. ¿Tienen los gestores de TI un adecuado conocimiento y experiencia para cumplir con sus responsabilidades?

PO7.2

PO7.4

  1. ¿Los sistemas clave y los datos han sido inventariados y han sido identificados sus propietarios?

PO4.9

  1. ¿Las funciones y responsabilidades del departamento de TI han sido definidas, documentadas y entendidas?

PO4.6

  1. ¿El personal de TI comprende y acepta su responsabilidad en relación con el control interno?

PO4.6

PO6.1

ME2.2

  1. ¿Ha sido comunicada a sus propietarios para la totalidad de los datos, la propiedad y las responsabilidades? ¿Los propietarios han aceptado estas responsabilidades?

PO4.9

PO6.5

  1. ¿Ha implementado la dirección de TI una división de roles y responsabilidades (separación de funciones) que razonablemente evite que un sólo individuo pueda alterar un proceso crítico?

PO4.11

Dirección Recursos Humanos TI

  1. ¿La organización ha adoptado y promovido la cultura de la empresa de gestión de la integridad, incluyendo la ética, las prácticas empresariales y las evaluaciones de los recursos humanos?

PO6.1 PO7.7

Educar y Formar a los Usuarios

  1. ¿La dirección de TI ofrece programas de educación y de formación continua a todo el personal, que incluyen la conducta ética, prácticas del sistema de seguridad, las normas de confidencialidad, las normas de integridad y responsabilidad de la seguridad?

PO7.4

DS7.1

...

Descargar como (para miembros actualizados) txt (73 Kb) pdf (578 Kb) docx (375 Kb)
Leer 41 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com