Cómo utilizar el marco COSO en la valoración de los controles de TI

El Principio 11 del conocido marco COSO ayuda a los contadores certificados a administrar la tecnología.
Por John White, CPA/CITP, Ph.D.

Mantener los controles apropiados sobre la tecnología de la información es una preocupación constante para las empresas, ya que acuden a los avances tecnológicos para impulsar la eficiencia y el crecimiento.

El Principio 11 del marco de control interno recién actualizado del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) ofrece directrices para la valoración de la efectividad de los controles sobre la TI. Como parte de la valoración general del control interno de la organización bajo el marco, el Principio 11 permite a los contadores públicos certificados manejar rápidamente la tecnología de avanzada que su organización utiliza.

El flujograma a continuación muestra los pasos que los contadores pueden seguir para utilizar el Principio 11 y entender el sistema de TI de su organización y sus controles, y así valorar la efectividad de los mismos. Este flujograma es lo suficientemente general para ser aplicado a cualquier proceso empresarial, ya sea grande y complejo o pequeño y sencillo.

Los-controles-sobre

El primer paso consiste en obtener un entendimiento de la tecnología en cuestión, incluyendo:

  • La infraestructura TI y sus componentes;
  • Los ámbitos de aplicación de ordenadores portátiles, dispositivos portátiles, y hojas de cálculo;
  • Las aplicaciones TI tercerizadas a la nube y otros proveedores de servicio off-site; y
  • Cómo se maneja la función de la tecnología a través de la entidad.

El entendimiento de estas cuatro áreas del sistema de tecnología se logra utilizando procedimientos descritos en el Estándar de Auditoría Clarificado del AICPA, AU-C Sección 315, Entendiendo la entidad y su entorno y valorando el riesgo de error material:

  • Investigación del personal;
  • Procedimientos analíticos;
  • Observación de operaciones (por ejemplo guías); e
  • Inspección de documentos y documentación.

Los últimos cuatro pasos de la actividad muestran el análisis de los controles de aplicación y la valoración de los riesgos de información-procesamiento, y luego un análisis de los controles generales sobre la tecnología que protegen los controles de aplicación (imagínese una sombrilla). Finalmente, el contador utilizará un sistema con procedimientos para asignar un valor a la probabilidad que los controles prevengan (o no) o detecten y corrijan el error.

El último paso sugiere el uso de una matriz de control (probablemente en una hoja de cálculo) y un modelo de madurez para asignar la calificación del control en una escala de 0 a 5. Al igual y como es cierto en el mundo de la contabilidad y la auditoría, se debe utilizar el juicio profesional para determinar si la valoración general (calificación) representa una aprobación del sistema de control TI o su rechazo.

Imagine por ejemplo que un director financiero de una fábrica utiliza el marco COSO para garantizar la efectividad de su sistema de control interno. El director financiero (o el controlador o el auditor interno) podría utilizar este flujograma para obtener un entendimiento exhaustivo de la totalidad de controles TI de la compañía. Si bien algunas compañías utilizan el marco COSO únicamente para supervisar sus controles internos sobre la información financiera externa, el marco 2013 recién revisado puede ser utilizado igualmente para valorar controles en múltiples áreas operativas, procesos de información internos y no financieros como los sistemas de correo corporativo, nómina, procesos de RRHH y diferentes procesos de producción.

El flujograma permite al director financiero y al personal contable y de auditoría analizar toda la aplicación TI de la compañía y los controles generales para valorar su efectividad. ¿El sistema garantiza que las autorizaciones, verificaciones, conciliaciones y actividades de control físico están diseñadas y documentadas adecuadamente y están operando efectivamente en los procesos operativos y de información financiera de la compañía? ¿El acceso a la información personal de los empleados en los datos de nómina está asegurado apropiadamente? Estas son preguntas que el flujograma ayuda a responder.

Dado que la tecnología continua evolucionando y está integrada en más procesos empresariales, el marco COSO proporciona una guía útil de controles efectivos. La aplicación correcta del marco y del Principio 11 es un paso importante hacia el logro de un sistema sólido de control interno.

Nota del editor: El AICPA es miembro de COSO.

Instituto Nacional de Contadores Públicos (INCP)

Este artículo ha sido traducido por el Instituto Nacional de Contadores Públicos (INCP).

SPONSORED REPORT

How to make the most of a negotiation

Negotiators are made, not born. In this sponsored report, we cover strategies and tactics to help you head into 2017 ready to take on business deals, salary discussions and more.

VIDEO

Will the Affordable Care Act be repealed?

The results of the 2016 presidential election are likely to have a big impact on federal tax policy in the coming years. Eddie Adkins, CPA, a partner in the Washington National Tax Office at Grant Thornton, discusses what parts of the ACA might survive the repeal of most of the law.

QUIZ

News quiz: Scam email plagues tax professionals—again

Even as the IRS reported on success in reducing tax return identity theft in the 2016 season, the Service also warned tax professionals about yet another email phishing scam. See how much you know about recent news with this short quiz.