Cómo utilizar el marco COSO en la valoración de los controles de TI

El Principio 11 del conocido marco COSO ayuda a los contadores certificados a administrar la tecnología.
Por John White, CPA/CITP, Ph.D.

Mantener los controles apropiados sobre la tecnología de la información es una preocupación constante para las empresas, ya que acuden a los avances tecnológicos para impulsar la eficiencia y el crecimiento.

El Principio 11 del marco de control interno recién actualizado del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) ofrece directrices para la valoración de la efectividad de los controles sobre la TI. Como parte de la valoración general del control interno de la organización bajo el marco, el Principio 11 permite a los contadores públicos certificados manejar rápidamente la tecnología de avanzada que su organización utiliza.

El flujograma a continuación muestra los pasos que los contadores pueden seguir para utilizar el Principio 11 y entender el sistema de TI de su organización y sus controles, y así valorar la efectividad de los mismos. Este flujograma es lo suficientemente general para ser aplicado a cualquier proceso empresarial, ya sea grande y complejo o pequeño y sencillo.

Los-controles-sobre

El primer paso consiste en obtener un entendimiento de la tecnología en cuestión, incluyendo:

  • La infraestructura TI y sus componentes;
  • Los ámbitos de aplicación de ordenadores portátiles, dispositivos portátiles, y hojas de cálculo;
  • Las aplicaciones TI tercerizadas a la nube y otros proveedores de servicio off-site; y
  • Cómo se maneja la función de la tecnología a través de la entidad.

El entendimiento de estas cuatro áreas del sistema de tecnología se logra utilizando procedimientos descritos en el Estándar de Auditoría Clarificado del AICPA, AU-C Sección 315, Entendiendo la entidad y su entorno y valorando el riesgo de error material:

  • Investigación del personal;
  • Procedimientos analíticos;
  • Observación de operaciones (por ejemplo guías); e
  • Inspección de documentos y documentación.

Los últimos cuatro pasos de la actividad muestran el análisis de los controles de aplicación y la valoración de los riesgos de información-procesamiento, y luego un análisis de los controles generales sobre la tecnología que protegen los controles de aplicación (imagínese una sombrilla). Finalmente, el contador utilizará un sistema con procedimientos para asignar un valor a la probabilidad que los controles prevengan (o no) o detecten y corrijan el error.

El último paso sugiere el uso de una matriz de control (probablemente en una hoja de cálculo) y un modelo de madurez para asignar la calificación del control en una escala de 0 a 5. Al igual y como es cierto en el mundo de la contabilidad y la auditoría, se debe utilizar el juicio profesional para determinar si la valoración general (calificación) representa una aprobación del sistema de control TI o su rechazo.

Imagine por ejemplo que un director financiero de una fábrica utiliza el marco COSO para garantizar la efectividad de su sistema de control interno. El director financiero (o el controlador o el auditor interno) podría utilizar este flujograma para obtener un entendimiento exhaustivo de la totalidad de controles TI de la compañía. Si bien algunas compañías utilizan el marco COSO únicamente para supervisar sus controles internos sobre la información financiera externa, el marco 2013 recién revisado puede ser utilizado igualmente para valorar controles en múltiples áreas operativas, procesos de información internos y no financieros como los sistemas de correo corporativo, nómina, procesos de RRHH y diferentes procesos de producción.

El flujograma permite al director financiero y al personal contable y de auditoría analizar toda la aplicación TI de la compañía y los controles generales para valorar su efectividad. ¿El sistema garantiza que las autorizaciones, verificaciones, conciliaciones y actividades de control físico están diseñadas y documentadas adecuadamente y están operando efectivamente en los procesos operativos y de información financiera de la compañía? ¿El acceso a la información personal de los empleados en los datos de nómina está asegurado apropiadamente? Estas son preguntas que el flujograma ayuda a responder.

Dado que la tecnología continua evolucionando y está integrada en más procesos empresariales, el marco COSO proporciona una guía útil de controles efectivos. La aplicación correcta del marco y del Principio 11 es un paso importante hacia el logro de un sistema sólido de control interno.

Nota del editor: El AICPA es miembro de COSO.

Instituto Nacional de Contadores Públicos (INCP)

Este artículo ha sido traducido por el Instituto Nacional de Contadores Públicos (INCP).

SPONSORED REPORT

Cybersecurity threats proliferating for midsize and smaller businesses

This report details how SMBs can properly protect private information from breaches, design and implement a cybersecurity policy, and create safeguards for training and education.

QUIZ

Test yourself on these often confused words

The spelling checker on your word processing program can do only so much to flag problems. Your best insurance is to learn the troublesome words that trip up writers and use them correctly by the standards of formal, written English.