En los negocios y la contabilidad , los controles de tecnología de la información (o controles de TI ) son actividades específicas realizadas por personas o sistemas diseñados para garantizar que se cumplan los objetivos comerciales. Son un subconjunto del control interno de una empresa . Los objetivos de control de TI se relacionan con la confidencialidad, integridad y disponibilidad de los datos y la gestión general de la función de TI de la empresa comercial. Los controles de TI a menudo se describen en dos categorías: controles generales de TI ( ITGC ) y controles de aplicaciones de TI. ITGC incluye controles sobre la tecnología de la informaciónEntorno (TI), operaciones informáticas, acceso a programas y datos, desarrollo de programas y cambios de programas. Los controles de aplicaciones de TI se refieren a controles de procesamiento de transacciones, a veces llamados controles de "procesamiento de entrada-salida". Los controles de tecnología de la información han recibido una mayor prominencia en las empresas que figuran en los Estados Unidos por la Ley Sarbanes-Oxley . El Marco COBIT (Objetivos de Control para Tecnología de la Información) es un marco ampliamente utilizado promulgado por el Instituto de Gobernanza de TI, que define una variedad de ITGC y objetivos de control de aplicaciones y enfoques de evaluación recomendados. Los departamentos de TI de las organizaciones suelen estar dirigidos por un director de información. (CIO), que es responsable de garantizar que se utilicen controles efectivos de tecnología de la información.
Controles generales de TI (ITGC)
ITGC representa la base de la estructura de control de TI. Ayudan a garantizar la confiabilidad de los datos generados por los sistemas de TI y respaldan la afirmación de que los sistemas funcionan según lo previsto y que la salida es confiable. ITGC generalmente incluye los siguientes tipos de controles:
- Entorno de control, o aquellos controles diseñados para moldear la cultura corporativa o el " tono en la cima ".
- Procedimientos de gestión de cambios : controles diseñados para garantizar que los cambios cumplan con los requisitos comerciales y estén autorizados.
- Procedimientos de control de la versión del documento / código fuente : controles diseñados para proteger la integridad del código del programa
- Estándares del ciclo de vida del desarrollo de software : controles diseñados para garantizar que los proyectos de TI se gestionen de forma eficaz.
- Políticas, estándares y procesos de acceso lógico : controles diseñados para administrar el acceso en función de las necesidades comerciales.
- Políticas y procedimientos de gestión de incidentes : controles diseñados para abordar los errores de procesamiento operativo.
- Políticas y procedimientos de gestión de problemas : controles diseñados para identificar y abordar la causa raíz de los incidentes.
- Políticas y procedimientos de soporte técnico : políticas para ayudar a los usuarios a desempeñarse de manera más eficiente e informar problemas.
- Configuración, instalación, pruebas, estándares de gestión, políticas y procedimientos de hardware / software .
- Procedimientos de recuperación / respaldo y recuperación ante desastres , para permitir el procesamiento continuo a pesar de condiciones adversas.
- Seguridad física : controles para garantizar la seguridad física de la tecnología de la información de las personas y de los riesgos ambientales.
Controles de aplicaciones de TI
Los controles de programas o aplicaciones de TI están completamente automatizados (es decir, los sistemas los realizan automáticamente) y están diseñados para garantizar el procesamiento completo y preciso de los datos, desde la entrada hasta la salida. Estos controles varían según el propósito comercial de la aplicación específica. Estos controles también pueden ayudar a garantizar la privacidad y seguridad de los datos transmitidos entre aplicaciones. Las categorías de controles de aplicaciones de TI pueden incluir:
- Verificaciones de integridad: controles que garantizan que todos los registros se procesaron desde el inicio hasta su finalización.
- Verificaciones de validez: controles que garantizan que solo se ingresen o procesen datos válidos.
- Identificación: controles que garantizan que todos los usuarios estén identificados de forma única e irrefutable.
- Autenticación: controles que proporcionan un mecanismo de autenticación en el sistema de la aplicación.
- Autorización: controles que garantizan que solo los usuarios comerciales aprobados tengan acceso al sistema de aplicaciones.
- Controles de entrada: controles que garantizan la integridad de los datos alimentados desde fuentes ascendentes al sistema de aplicación.
- Controles forenses: control que garantiza que los datos sean científicamente correctos y matemáticamente correctos en función de las entradas y salidas
Controles de TI y el CIO / CISO
El director de información de la organización (CIO) o el director de seguridad de la información (CISO) suele ser responsable de la seguridad , precisión y confiabilidad de los sistemas que administran e informan los datos de la empresa, incluidos los datos financieros. Los sistemas de planificación de recursos empresariales y contabilidad financiera están integrados en la iniciación, autorización, procesamiento y presentación de informes de datos financieros y pueden estar involucrados en el cumplimiento de Sarbanes-Oxley, en la medida en que mitiguen riesgos financieros específicos.
Marcos de control interno
COBIT (Objetivos de control para la tecnología de la información)
COBIT es un marco ampliamente utilizado que contiene las mejores prácticas para el gobierno y la gestión de la información y la tecnología, dirigido a toda la empresa. Consta de dominios y procesos. La estructura básica indica que los procesos de TI satisfacen los requisitos comerciales, lo que está habilitado por actividades de TI específicas. COBIT define los factores de diseño que la empresa debe considerar para construir el sistema de gobierno que mejor se adapte. COBIT aborda los problemas de gobernanza agrupando los componentes de gobernanza relevantes en objetivos de gobernanza y gestión que pueden gestionarse a los niveles de capacidad requeridos. [1]
COSO
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) identifica cinco componentes del control interno: ambiente de control , evaluación de riesgos , actividades de control , información y comunicación y monitoreo , que deben estar implementados para lograr los objetivos de divulgación e información financiera ; COBIT proporciona una guía detallada similar para TI, mientras que Val IT interrelacionado se concentra en cuestiones de gobernanza de TI de alto nivel y relación calidad-precio. Los cinco componentes de COSO se pueden visualizar como las capas horizontales de un cubo tridimensional, con los dominios objetivos de COBIT , aplicándose a cada uno individualmente y en conjunto. Los cuatro dominios principales de COBIT son: planificar y organizar, adquirir e implementar, entregar y respaldar, monitorear y evaluar.
Controles de TI y la Ley Sarbanes-Oxley (SOX)
SOX (parte de la ley federal de los Estados Unidos ) requiere que el director ejecutivo y los directores financieros de las empresas públicas den fe de la exactitud de los informes financieros (Sección 302) y requieren que las empresas públicas establezcan controles internos adecuados sobre los informes financieros (Sección 404). La aprobación de SOX dio como resultado un mayor enfoque en los controles de TI, ya que estos respaldan el procesamiento financiero y, por lo tanto, caen dentro del alcance de la evaluación de la administración del control interno según la Sección 404 de SOX.
El marco de COBIT se puede utilizar para ayudar con el cumplimiento de SOX, aunque COBIT tiene un alcance considerablemente más amplio. La guía SOX 2007 de PCAOB [2] y SEC [3] establece que los controles de TI solo deben ser parte de la evaluación SOX 404 en la medida en que se aborden los riesgos financieros específicos, lo que reduce significativamente el alcance de los controles de TI requeridos en la evaluación. . Esta decisión de alcance es parte de la evaluación de riesgos de arriba hacia abajo SOX 404 de la entidad . Además, las Declaraciones sobre Normas de Auditoría No. 109 (SAS109) [4] discuten los riesgos de TI y los objetivos de control pertinentes a una auditoría financiera y son referenciadas por la guía SOX.
Los controles de TI que normalmente caen dentro del alcance de una evaluación SOX 404 pueden incluir:
- Procedimientos de control de aplicación específicos (procesamiento de transacciones) que mitigan directamente los riesgos de informes financieros identificados. Por lo general, hay algunos controles de este tipo dentro de las principales aplicaciones de cada proceso financiero, como cuentas por pagar, nómina, libro mayor, etc. El enfoque está en los controles "clave" (aquellos que abordan específicamente los riesgos), no en toda la aplicación.
- Controles generales de TI que respaldan las afirmaciones de que los programas funcionan según lo previsto y que los informes financieros clave son confiables, principalmente control de cambios y controles de seguridad;
- Controles de operaciones de TI, que garantizan que los problemas con el procesamiento se identifiquen y corrijan.
Las actividades específicas que pueden ocurrir para respaldar la evaluación de los controles clave anteriores incluyen:
- Comprender el programa de control interno de la organización y sus procesos de información financiera .
- Identificar los sistemas de TI involucrados en el inicio, autorización, procesamiento, resumen y reporte de datos financieros;
- Identificar los controles clave que abordan riesgos financieros específicos;
- Diseñar e implementar controles diseñados para mitigar los riesgos identificados y monitorearlos para una efectividad continua;
- Documentar y probar los controles de TI;
- Asegurarse de que los controles de TI se actualicen y cambien, según sea necesario, para corresponder con los cambios en los procesos de control interno o informes financieros; y
- Supervisión de los controles de TI para un funcionamiento eficaz a lo largo del tiempo.
Para cumplir con Sarbanes-Oxley, las organizaciones deben comprender cómo funciona el proceso de informes financieros y deben poder identificar las áreas en las que la tecnología juega un papel fundamental. Al considerar qué controles incluir en el programa, las organizaciones deben reconocer que los controles de TI pueden tener un impacto directo o indirecto en el proceso de información financiera. Por ejemplo, los controles de aplicaciones de TI que garantizan la integridad de las transacciones pueden estar directamente relacionados con las afirmaciones financieras. Los controles de acceso, por otro lado, existen dentro de estas aplicaciones o dentro de sus sistemas de soporte, como bases de datos , redes y sistemas operativos , son igualmente importantes, pero no se alinean directamente con una afirmación financiera. Los controles de la aplicación generalmente están alineados con un proceso comercial que da lugar a informes financieros. Si bien hay muchos sistemas de TI que operan dentro de una organización, el cumplimiento de Sarbanes-Oxley solo se enfoca en aquellos que están asociados con una cuenta significativa o un proceso comercial relacionado y mitigan riesgos financieros materiales específicos. Este enfoque en el riesgo permite a la gerencia reducir significativamente el alcance de las pruebas de control general de TI en 2007 en comparación con años anteriores.
302 | Responsabilidad corporativa por informes financieros | Certifica que la precisión de los estados financieros y las actividades operativas se han documentado y proporcionado al director ejecutivo y al director financiero para su certificación. |
404 | Evaluación de la gestión de los controles internos | Los procesos operativos se documentan y practican demostrando el origen de los datos dentro del balance. La Sección 404 de SOX (Sección 404 de la Ley Sarbanes-Oxley) exige que todas las empresas que cotizan en bolsa deben establecer controles y procedimientos internos para la presentación de informes financieros y deben documentar, probar y mantener esos controles y procedimientos para garantizar su eficacia. |
409 | Divulgaciones del emisor en tiempo real | Las empresas públicas deben divulgar los cambios en su situación financiera u operaciones en tiempo real para proteger a los inversores de la demora en la notificación de eventos importantes. |
802 | Sanciones penales por alterar documentos | Requiere que las empresas públicas y sus firmas de contadores públicos retengan registros, incluidos los registros electrónicos que afectan los activos o el desempeño de la empresa. Multas y encarcelamiento para aquellos que a sabiendas y deliberadamente violen esta sección con respecto a (1) destrucción, alteración o falsificación de registros en investigaciones federales y quiebras y (2) destrucción de registros de auditoría corporativa. |
Divulgación en tiempo real
La Sección 409 requiere que las empresas públicas divulguen información sobre cambios materiales en su situación financiera u operaciones con rapidez. Las empresas deben determinar si sus sistemas financieros existentes, como las aplicaciones de gestión de recursos empresariales, son capaces de proporcionar datos en tiempo real, o si la organización necesitará agregar dichas capacidades o utilizar software especializado para acceder a los datos. Las empresas también deben dar cuenta de los cambios que ocurren externamente, como cambios por parte de los clientes o socios comerciales que podrían tener un impacto material en su propio posicionamiento financiero (por ejemplo, la quiebra y el incumplimiento de un cliente / proveedor clave).
Para cumplir con la Sección 409, las organizaciones deben evaluar sus capacidades tecnológicas en las siguientes categorías:
- Disponibilidad de portales internos y externos : los portales ayudan a enrutar e identificar problemas y requisitos de informes a los inversores y otras partes relevantes. Estas capacidades abordan la necesidad de una divulgación rápida.
- Amplitud y adecuación de los desencadenantes y alertas financieros : la organización establece los cables de disparo que iniciarán un evento de divulgación de la Sección 409.
- Idoneidad de los repositorios de documentos : los repositorios desempeñan un papel fundamental en el seguimiento de eventos para evaluar las necesidades de divulgación y proporcionar un mecanismo para auditar la idoneidad de la divulgación.
- Capacidad para ser uno de los primeros en adoptar el Extensible Business Reporting Language (XBRL) : XBRL será una herramienta clave para integrar e interconectar sistemas transaccionales, herramientas de informes y análisis, portales y repositorios.
Sección 802 y retención de registros
La sección 802 de Sarbanes-Oxley requiere que las empresas públicas y sus firmas de contadores públicos mantengan todos los documentos de trabajo de auditoría o revisión durante un período de cinco años a partir del final del período fiscal en el que se concluyó la auditoría o revisión. Esto incluye registros electrónicos que se crean, envían o reciben en relación con una auditoría o revisión. Dado que los auditores externos dependen hasta cierto punto del trabajo de auditoría interna, esto implicaría que los registros de auditoría interna también deben cumplir con la Sección 802.
Junto con la retención de documentos, otro problema es el de la seguridad de los medios de almacenamiento y qué tan bien están protegidos los documentos electrónicos para su uso actual y futuro. El requisito de retención de registros de cinco años significa que la tecnología actual debe poder soportar lo que se almacenó hace cinco años. Debido a los rápidos cambios en la tecnología, algunos de los medios de comunicación actuales podrían quedar obsoletos en los próximos tres o cinco años. Es posible que los datos de auditoría que se conservan en la actualidad no se puedan recuperar no debido a la degradación de los datos, sino a los equipos y medios de almacenamiento obsoletos.
La Sección 802 espera que las organizaciones respondan a preguntas sobre la gestión del contenido SOX. Los problemas relacionados con TI incluyen políticas y estándares sobre retención, protección y destrucción de registros, almacenamiento en línea, pistas de auditoría, integración con un repositorio empresarial, tecnología de mercado, software SOX y más. Además, las organizaciones deben estar preparadas para defender la calidad de su programa de gestión de documentos (MR); exhaustividad de RM (es decir, comunicaciones en papel, electrónicas, transaccionales, que incluyen correos electrónicos , mensajes instantáneos y hojas de cálculo que se utilizan para analizar los resultados financieros), idoneidad del ciclo de vida de la retención, inmutabilidad de las prácticas de RM, pistas de auditoría y accesibilidad y control de RM contenido.
Controles de hoja de cálculo / aplicación de usuario final
Las hojas de cálculo o bases de datos basadas en PC se utilizan a menudo para proporcionar datos críticos o cálculos relacionados con áreas de riesgo financiero dentro del alcance de una evaluación SOX 404. Las hojas de cálculo financieras a menudo se clasifican como herramientas informáticas para el usuario final (EUC) que históricamente han estado ausentes de los controles de TI tradicionales. Pueden admitir cálculos complejos y proporcionar una flexibilidad significativa. Sin embargo, la flexibilidad y el poder conllevan el riesgo de errores, un mayor potencial de fraude y el uso indebido de hojas de cálculo críticas que no siguen el ciclo de vida del desarrollo de software (por ejemplo, diseñar, desarrollar, probar, validar, implementar). Para corregir y controlar las hojas de cálculo, las organizaciones públicas pueden implementar controles como:
- Inventario y hojas de cálculo de clasificación de riesgo que están relacionadas con riesgos financieros críticos identificados como dentro del alcance de la evaluación SOX 404. Por lo general, estos se relacionan con las estimaciones y juicios clave de la empresa, donde están involucrados cálculos y supuestos sofisticados. Las hojas de cálculo que se utilizan simplemente para descargar y cargar son una preocupación menor.
- Realice un análisis basado en riesgos para identificar errores lógicos de la hoja de cálculo. Existen herramientas automatizadas para este propósito.
- Asegúrese de que los cálculos de la hoja de cálculo funcionen según lo previsto (es decir, "basarlos").
- Asegúrese de que los cambios en los cálculos clave estén debidamente aprobados.
La responsabilidad del control de las hojas de cálculo es una responsabilidad compartida con los usuarios comerciales y TI. La organización de TI generalmente se preocupa por proporcionar una unidad compartida segura para el almacenamiento de las hojas de cálculo y la copia de seguridad de los datos. El personal comercial es responsable del resto.
Ver también
- Director de información
- Director de seguridad de la información
- Auditoría continua
- Dato de governancia
- Auditoría de tecnología de la información
- Riesgo de TI
- Gestión de riesgos de TI
- Junta de Supervisión Contable de Empresas Públicas
- Arriesgalo
- Sarbanes-Oxley
Referencias
- ^ COBIT 2019, Objetivos de gobernanza y gestión, p.9
- ^ Estándar de auditoría de PCAOB No 5
- ^ Guía interpretativa de la SEC
- ^ "Declaración de AICPA sobre normas de auditoría n. ° 109" (PDF) . Archivado desde el original (PDF) el 7 de abril de 2008 . Consultado el 1 de septiembre de 2007 .
- Coe, Martin J. "Servicios de confianza: una mejor manera de evaluar los controles de TI: cumplir con los requisitos de la sección 404." Revista de contabilidad 199.3 (2005): 69 (7).
- Chan, Sally y Stan Lepeak. "IT y Sarbanes-Oxley". CMA Management 78.4 (2004): 33 (4).
- Goodwin, Bill. "Debería liderar en Sarbanes-Oxley". Computer Weekly 27 de abril de 2004: p5.
- Gomolski, Barbara. "Los cinco temas principales para los CIO". Computerworld, enero de 2004: 42 (1).
- Hagerty, John. "Sarbanes-Oxley es ahora un hecho de la vida empresarial: una encuesta indica que el gasto en cumplimiento de TI de SOX aumentará durante 2005". VARbusiness 15 de noviembre de 2004: 88.
- Altiris.com
- "Objetivos de control de TI para Sarbanes Oxley: la importancia de TI en el diseño, implementación y sostenibilidad del control interno sobre divulgaciones e informes financieros". itgi.org . Abril de 2004. Instituto de Gobernanza de TI. 12 de mayo de 2005
- Johnston, Michelle. "Ejecución de una auditoría de TI para el cumplimiento de Sarbanes-Oxley". informit.com . 17 de septiembre de 2004
- Lurie, Barry N. "Tecnología de la información y cumplimiento de Sarbanes-Oxley: lo que debe comprender el director financiero". Contabilidad y finanzas bancarias 17.6 (2004): 9 (5).
- McCollum, Tim. "El seminario IIA explora el impacto de TI de Sarbanes-Oxley". Auditoría de TI 6 (2003).
- McConnell Jr., Donald K y George Y. Banks. "Cómo Sarbanes-Oxley cambiará el proceso de auditoría". aicpa.org (2003).
- Munter, Paul. "Evaluación de los controles internos y la independencia del auditor según Sarbanes-Oxley". Ejecutivo financiero 19.7 (2003): 26 (2).
- "Perspectivas sobre los informes de control interno: un recurso para los participantes del mercado financiero". Deloitte & Touche LLP, Ernst & Young LLP, KPMG LLP, PricewaterhouseCoopers LLP. Diciembre de 2004.
- Piazza, Peter. "Requisitos de seguridad de TI de Sarbanes-Oxley". Gestión de la seguridad, junio de 2004: 40 (1).
- "Sección 404 de Sarbanes-Oxley: una descripción general de los requisitos de la PCAOB". KPMG. Abril de 2004.
- "El gasto de Sarbanes-Oxley en 2004 fue mayor de lo esperado: el gasto para el cumplimiento de la sección 404 promedió $ 4,4 millones en 2004, según una encuesta". InformationWeek 22 de marzo de 2005.
- "El impacto de Sarbanes-Oxley en TI y gobierno corporativo". serena.com 12 de mayo. 2005
- Cinco pasos para el éxito en el cumplimiento de las hojas de cálculo . Semana de cumplimiento, julio de 2006.
- Pcaobus.org , el nuevo estándar de auditoría de la PCAOB para el control interno de la información financiera está aprobado por la SEC.