Controles de tecnología de la información

format_list_bulleted Contenido keyboard_arrow_down

ImprimirCitar

Todos

Los

controles de tecnología de la información (o controles de TI) son actividades específicas realizadas por personas o sistemas para garantizar que los sistemas informáticos funcionen de una manera que minimice el riesgo. Son un subconjunto del control interno de una organización. Los objetivos de control de TI generalmente se relacionan con garantizar la confidencialidad, integridad y disponibilidad de los datos y la gestión general de la función de TI. Los controles de TI a menudo se describen en dos categorías: controles generales de TI (ITGC) y controles de aplicaciones de TI. ITGC incluye controles sobre el hardware, el software del sistema, los procesos operativos, el acceso a programas y datos, el desarrollo de programas y los cambios de programas. Los controles de aplicaciones de TI se refieren a controles para garantizar la integridad de la información procesada por el entorno de TI. La Ley Sarbanes-Oxley ha otorgado mayor importancia a los controles de tecnología de la información en las corporaciones que cotizan en bolsa en los Estados Unidos. El Marco COBIT (Objetivos de Control para la Tecnología de la Información) es un marco ampliamente utilizado promulgado por el Instituto de Gobernanza de TI, que define una variedad de objetivos de control de aplicaciones y ITGC y enfoques de evaluación recomendados.

Controles generales de TI (ITGC)

ITGC representa la base de la estructura de control de TI. Ayudan a garantizar la confiabilidad de los datos generados por los sistemas de TI y respaldan la afirmación de que los sistemas funcionan según lo previsto y que los resultados son confiables. Los ITGC suelen incluir los siguientes tipos de controles:

Medio ambiente de control, o esos controles diseñados para dar forma a la cultura corporativa o "tone at the top".
Procedimientos de gestión del cambio - controles diseñados para garantizar que los cambios cumplan con los requisitos de negocio y están autorizados.
Código fuente / procedimientos de control de versiones de documentos - controles diseñados para proteger la integridad del código del programa
Normas del ciclo de vida del desarrollo de software - controles diseñados para asegurar que los proyectos de TI sean gestionados eficazmente.
Políticas, estándares y procesos de acceso lógico - controles diseñados para gestionar el acceso basado en las necesidades empresariales.
Políticas y procedimientos de gestión de incidentes - controles diseñados para abordar errores de procesamiento operativo.
Políticas y procedimientos de gestión de problemas - controles diseñados para identificar y abordar la causa raíz de los incidentes.
Políticas y procedimientos de apoyo técnico - políticas para ayudar a los usuarios a realizar más eficientemente e informar de problemas.
Configuración de hardware/software, instalación, pruebas, normas de gestión, políticas y procedimientos.
Procedimientos de recuperación y recuperación en casos de desastre, para permitir el procesamiento continuo a pesar de las condiciones adversas.
Seguridad física - controles para garantizar la seguridad física de la tecnología de la información de las personas y de los riesgos ambientales.

Controles de aplicaciones de TI

Los controles de aplicaciones o programas de TI están completamente automatizados (es decir, los sistemas los realizan automáticamente) y están diseñados para garantizar el procesamiento completo y preciso de los datos, desde la entrada hasta la salida. Estos controles varían según el propósito comercial de la aplicación específica. Estos controles también pueden ayudar a garantizar la privacidad y seguridad de los datos transmitidos entre aplicaciones. Las categorías de controles de aplicaciones de TI pueden incluir:

Comprobaciones de integridad - controles que aseguran que todos los registros fueron procesados de iniciación a terminación.
Comprobaciones de validez - controles que aseguran que sólo los datos válidos son entrada o procesado.
Identificación - controles que aseguran que todos los usuarios sean identificados de forma única e irrefutable.
Autenticación - controles que proporcionan un mecanismo de autenticación en el sistema de aplicación.
Autorización - controles que aseguran que sólo los usuarios de negocios aprobados tengan acceso al sistema de aplicación.
Controles de entrada - controles que aseguran la integridad de los datos alimentados desde fuentes de corriente hasta el sistema de aplicaciones.
Controles forenses - control que asegura que los datos sean científicamente correctos y matemáticamente correctos basados en insumos y salidas

Controles de TI y el CIO/CISO

El director de información o el director de seguridad de la información de una organización suele ser responsable de la seguridad, precisión y confiabilidad de los sistemas que administran y reportan los datos de la empresa, incluidos los datos financieros.

Marcos de control interno

COBIT (Objetivos de Control de Tecnologías de la Información)

COBIT es un marco ampliamente utilizado que contiene las mejores prácticas para el gobierno y la gestión de la información y la tecnología, dirigido a toda la empresa. Se compone de dominios y procesos. La estructura básica indica que los procesos de TI satisfacen los requisitos del negocio, que son habilitados por actividades de TI específicas. COBIT define los factores de diseño que la empresa debe considerar para construir un sistema de gobierno que mejor se ajuste. COBIT aborda cuestiones de gobernanza agrupando componentes de gobernanza relevantes en gobernanza y gestión. objetivos que pueden gestionarse hasta los niveles de capacidad requeridos.

COSO

El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) identifica cinco componentes del control interno: entorno de control, evaluación de riesgos, actividades de control, información y comunicación y seguimiento, que deben existir para lograr los objetivos de divulgación e información financiera; COBIT proporciona una guía detallada similar para TI, mientras que Val IT, interrelacionado, se concentra en la gobernanza de TI de alto nivel y en cuestiones de relación calidad-precio. Los cinco componentes de COSO pueden visualizarse como las capas horizontales de un cubo tridimensional, y los dominios objetivos de COBIT se aplican a cada uno de ellos de forma individual y agregada. Los cuatro dominios principales de COBIT son: planificar y organizar, adquirir e implementar, entregar y respaldar, y monitorear y evaluar.

Controles de TI y la Ley Sarbanes-Oxley (SOX)

SOX (parte de la ley federal de los Estados Unidos) exige que el director ejecutivo y los directores financieros de las empresas públicas den fe de la exactitud de los informes financieros (Sección 302) y exige que las empresas públicas establezcan controles internos adecuados sobre los informes financieros (Sección 404 ). La aprobación de SOX resultó en un mayor enfoque en los controles de TI, ya que estos respaldan el procesamiento financiero y, por lo tanto, caen dentro del alcance de la evaluación del control interno por parte de la administración según la Sección 404 de SOX.

El marco COBIT se puede utilizar para ayudar con el cumplimiento de SOX, aunque COBIT tiene un alcance considerablemente más amplio. La guía SOX de 2007 de la PCAOB y la SEC establece que los controles de TI solo deben ser parte de la evaluación SOX 404 en la medida en que se aborden riesgos financieros específicos, lo que reduce significativamente el alcance de los controles de TI requeridos en la evaluación. Esta decisión de alcance es parte de la evaluación de riesgos de arriba hacia abajo SOX 404 de la entidad. Además, las Declaraciones sobre Normas de Auditoría No. 109 (SAS109) analizan los riesgos de TI y los objetivos de control pertinentes para una auditoría financiera y se hace referencia a ellas en la guía SOX.

Los controles de TI que normalmente caen dentro del alcance de una evaluación SOX 404 pueden incluir:

Procedimientos específicos de control de aplicaciones (procesamiento de transacciones) que mitiguen directamente los riesgos de presentación de informes financieros identificados. Por lo general, existen algunos controles de ese tipo en las principales aplicaciones de cada proceso financiero, como las cuentas por pagar, la nómina de sueldos, el libro mayor, etc. El enfoque se centra en los controles "key" (los que abordan específicamente los riesgos), no en toda la aplicación.
Controles generales de TI que apoyan las afirmaciones de que los programas funcionan como previstos y que los informes financieros clave son fiables, principalmente control de cambio y controles de seguridad;
Controles de las operaciones de TI, que aseguran la identificación y corrección de problemas con el procesamiento.

Las actividades específicas que pueden ocurrir para respaldar la evaluación de los controles clave anteriores incluyen:

Comprender el programa de control interno de la organización y sus procesos de presentación de informes financieros.
Determinación de los sistemas informáticos que participan en la iniciación, autorización, procesamiento, resumición y presentación de datos financieros;
Determinación de los controles clave que abordan los riesgos financieros específicos;
Diseñar y aplicar controles diseñados para mitigar los riesgos identificados y vigilarlos para una eficacia continua;
Documentar y probar controles informáticos;
Velar por que los controles de TI se actualicen y cambien, según sea necesario, para ajustarse a los cambios en los procesos de control interno o de presentación de informes financieros; y
Supervisión de los controles de TI para una operación eficaz con el tiempo.

Para cumplir con Sarbanes-Oxley, las organizaciones deben comprender cómo funciona el proceso de presentación de informes financieros y deben poder identificar las áreas donde la tecnología juega un papel fundamental. Al considerar qué controles incluir en el programa, las organizaciones deben reconocer que los controles de TI pueden tener un impacto directo o indirecto en el proceso de presentación de informes financieros. Por ejemplo, los controles de las aplicaciones de TI que garantizan la integridad de las transacciones pueden estar directamente relacionados con las declaraciones financieras. Por otro lado, existen controles de acceso dentro de estas aplicaciones o dentro de sus sistemas de soporte, como bases de datos, redes y sistemas operativos, que son igualmente importantes, pero no se alinean directamente con una afirmación financiera. Los controles de aplicación generalmente están alineados con un proceso comercial que da lugar a informes financieros. Si bien hay muchos sistemas de TI que operan dentro de una organización, el cumplimiento de Sarbanes-Oxley solo se centra en aquellos que están asociados con una cuenta importante o un proceso comercial relacionado y mitigan riesgos financieros materiales específicos. Este enfoque en el riesgo permite a la administración reducir significativamente el alcance de las pruebas de control general de TI en 2007 en comparación con años anteriores.

Sección	Título	Descripción
302	Responsabilidad Corporativa de Informes Financieros	Certifica que la exactitud de los estados financieros y las actividades operacionales han sido documentadas y proporcionadas al CEO y al CFO para la certificación
404	Evaluación de la gestión de los controles internos	Los procesos operacionales se documentan y practican demostrando los orígenes de los datos dentro del balance. SOX Section 404 (Sarbanes-Oxley Act Section 404) mandates that all publicly traded companies must establish internal controls and procedures for financial reporting and must document, test and maintain those controls and procedures to ensure their effectiveness.
409	Divulgación del emisor en tiempo real	Las empresas públicas deben revelar cambios en sus condiciones financieras o operaciones en tiempo real para proteger a los inversores de la demora en la presentación de informes sobre acontecimientos materiales
802	Penalties for Altering Documents	Requiere que las empresas públicas y sus empresas contables públicas retengan registros, incluyendo registros electrónicos que impacten los activos o el rendimiento de la empresa. Las multas y el encarcelamiento de quienes a sabiendas y deliberadamente violan esta sección con respecto a (1) destrucción, alteración o falsificación de registros en investigaciones federales y quiebra y (2) destrucción de registros de auditoría corporativa.

Divulgación en tiempo real

La Sección 409 exige que las empresas públicas revelen información sobre cambios importantes en su situación financiera u operaciones con rapidez. Las empresas deben determinar si sus sistemas financieros existentes, como las aplicaciones de gestión de recursos empresariales, son capaces de proporcionar datos en tiempo real, o si la organización necesitará agregar dichas capacidades o utilizar software especial para acceder a los datos. Las empresas también deben tener en cuenta los cambios que ocurren externamente, como cambios realizados por clientes o socios comerciales que podrían afectar materialmente su propia posición financiera (por ejemplo, quiebra e incumplimiento de un cliente/proveedor clave).

Para cumplir con la Sección 409, las organizaciones deben evaluar sus capacidades tecnológicas en las siguientes categorías:

Disponibilidad de portales internos y externos - Los portales ayudan a abordar e identificar cuestiones y requisitos de presentación de informes a los inversores y otras partes pertinentes. Estas capacidades abordan la necesidad de una rápida divulgación.

Divulgación y adecuación de los desencadenantes financieros y alerta - La organización establece los cables de viaje que iniciarán un evento de divulgación de la Sección 409.

Adecuación de los depósitos de documentos – Los depósitos desempeñan un papel crítico para el monitoreo de eventos para evaluar las necesidades de divulgación y proporcionar un mecanismo para auditar la idoneidad de la divulgación.

Capacidad para ser un adoptador temprano de Extensible Business Reporting Language (XBRL) – XBRL será una herramienta clave para integrar e interactuar sistemas transaccionales, herramientas analíticas, portales y repositorios.

Más resultados...