Objetivos de control de TI para Sarbanes-Oxley
Enviado por Felix Rinaldi • 13 de Noviembre de 2019 • Ensayo • 10.320 Palabras (42 Páginas) • 449 Visitas
[pic 1]
Objetivos de control de TI para Sarbanes-Oxley: El rol de TI en el diseño e implementación del control interno en el reporte financiero, 2ª edición
Apéndice C
IT Governance Institute®
El IT Governance Institute (ITGITM) (www.itgi.org) se creó en 1998 para potenciar ideas y normas a nivel internacional en la dirección y control de los sistemas de información de las empresas. Una dirección efectiva de TI ayuda a garantizar que las TI sustentan los objetivos de negocio, optimizan las inversiones de negocio en TI y dirigen de forma apropiada los riesgos y oportunidades relacionados con las TI. El ITGI ofrece recursos electrónicos, investigación original y casos de estudio para ayudar a directivos y órganos de dirección de las empresas en sus responsabilidades de gestión de las TI.
Propósito de los programas de auditoría y de los cuestionarios de control interno
Uno de los objetivos de ISACA es asegurar que los productos educativos dan soporte a las necesidades de información de sus miembros y de la industria. Para responder a los requerimientos de sus miembros de acceder a programas de auditoría útiles, la dirección educativa de ISACA ha publicado programas de auditoría y cuestionarios de control interno, para que sean utilizados por sus miembros a través del K-Net. Estos productos son desarrollados por publicaciones del ITGI o facilitados por profesionales en dicho campo.
Objetivos de control para información y tecnologías relacionadas
Objetivos de Control para Información y tecnologías relacionadas (CobiT® - sus siglas en inglés) ha sido desarrollado como un marco aplicable y generalmente aceptado de seguridad eficaz sobre los sistemas de información (TI), y buenas prácticas de control para la dirección, para los usuarios y para los profesionales de auditoría de los sistemas de información y controles de seguridad. Los programas de auditoría incluidos en K-Net están referenciados a los objetivos de controles clave de CobiT.
Limitación de responsabilidades
El IT Governance Institute, ISACA® y otros colaboradores no se hacen responsables de que la utilización de este documento asegure un resultado satisfactorio. Esta publicación no debe considerarse una recopilación exhaustiva de los controles, procedimientos y test de las TI o excluyente de otros controles, procedimientos y test de las TI, que seguramente están presentes en un sistema efectivo de control interno de reporte financiero. Para determinar la corrección de un control, procedimiento o test específico, las empresas cotizadas en la US Security Exchange Commission (SEC) deberá aplicarse el juicio profesional adecuado a las circunstancias específicas de control que tenga el sistema o el entorno del sistema de información en particular.
Los lectores deben considerar que este documento no ha sido aprobado por la SEC, que es el organismo regulador de las compañías cotizadas, ni por el US Public Company Accounting Oversight Board (PCAOB), organismo responsable de la regulación de la profesión de contables públicos. Los aspectos tratados en esta publicación continuarán evolucionando. Por lo tanto, las compañías deberán buscar el consejo y asesoramiento adecuado de sus responsables de riesgos y/o de sus auditores. Los responsables de este documento no se responsabilizan, ni garantizan y tampoco dan ninguna seguridad, que la utilización de este documento por parte de una organización suponga la existencia de un detalle de controles, procedimientos, controles internos y procedimientos para la información financiera que:
- Cumpla con los requerimientos de control interno establecidos en la Ley Sarbanes-Oxley.
- Haga que los planes de la organización sean suficientes para dirigir y corregir las posibles deficiencias que prohibirían a la organización obtener el certificado requerido o reportar en base a la Ley Sarbanes-Oxley.
Los controles internos, con independencia de lo bien diseñados y lo bien que operen, únicamente puede dar una seguridad razonable de que la entidad logre sus objetivos de control. La probabilidad de lograrlo está condicionada por las limitaciones inherentes del control interno. Esto incluye la realidad de que los juicios humanos en la toma de decisiones pueden ser incorrectos y que los errores en el control interno pueden ocurrir por fallos humanos como simples errores o equivocaciones. Además, los controles, ya sean manuales o automáticos, pueden ser eludidos por la connivencia de dos o más personas o porqué la dirección, inapropiadamente, ignora los controles internos.
El propósito de estos apéndices es facilitar la auditoría, controles y profesionales de la seguridad, una metodología para evaluar el contenido de la publicación del ITGI “Objetivos de control de IT para Sarbanes-Oxley: El rol de TI en el diseño e implementación del control interno sobre el reporte financiero, 2ª Edición”. Dichos apéndices examinan los aspectos clave y los componentes que deben ser tomados en consideración al analizar este tema. Estos han sido desarrollados y revisados con respecto a CobiT 4.0.
Nota: el profesional debe adaptarlas a las particularidades de las prácticas y políticas de cada organización.
Incluye los siguientes apéndices:
- C—Controles generales de TI
Apéndice C --- Controles Generales de TI
La Norma Sarbanes-Oxley (SOX) requiere que las organizaciones seleccionen y apliquen un marco de control interno adecuado. El Marco de Control Interno Integrado COSO (www.COSO.org) se ha convertido en el más comúnmente utilizado por las empresas para cumplir con Sarbanes-Oxley. Mientras que COSO hace referencia a la importancia de TI en relación con el entorno global de control, no proporciona una guía detallada para las empresas que necesitan diseñar e implementar controles específicos para su entorno.
En la elaboración de esta publicación, los objetivos de control TI, que ilustran los controles y pruebas de los controles se obtuvieron utilizando CobiT, véase el apéndice B. También se tuvo en cuenta a la norma ISO 17799, el Código de Prácticas de Gestión de Seguridad de Información, y la Biblioteca de Infraestructura de Tecnología de Información (ITIL) para la gestión del servicio. Si bien todos estos marcos se dirigen a objetivos de control operacional y dirección financiera, sólo han sido seleccionados y personalizados a los efectos de esta publicación las guías consideradas relevantes para el control del reporte financiero.
...