El Principio 11 del popular marco de referencia es una herramienta útil para que los Contadores Públicos Certificados administren la tecnología.
Una constante preocupación para los negocios que tratan de usar los avances en tecnología para impulsar eficiencia y crecimiento es mantener los controles apropiados de la Tecnología de la Información (TI).
El Principio 11 del marco de referencia del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés), recientemente actualizado sobre controles internos, brinda los lineamientos para evaluar la efectividad de los controles sobre TI. Como parte de la evaluación general del control interno de una organización que se rige por el marco de referencia, el Principio 11 puede ayudar a administrar la tecnología siempre cambiante. El Principio declara que la organización selecciona y desarrolla actividades generales de control sobre la tecnología para soportar el logro de objetivos. Los puntos importantes son:
- Determine la dependencia entre el uso de la tecnología en los procesos de negocios y los controles generales de la tecnología.
- Establezca actividades relevantes de control de la infraestructura de la tecnología.
- Establezca actividades relevantes de control en el proceso de administración de la seguridad.
- Establezca actividades relevantes de control del proceso de adquisición, desarrollo y mantenimiento de la tecnología.
El Cuadro muestra los pasos que pueden seguir los Contadores para el uso del Principio 11 para entender el sistema de TI y sus controles, y evaluar su efectividad. Este diagrama de flujo es bastante general para aplicarse a cualquier proceso de negocios, grande y complejo o pequeño y sencillo. El primer paso es lograr el entendimiento de la tecnología implicada, incluyendo:
- La infraestructura y componentes de Tecnología de la Información.
- Las áreas de computación de usuario final de laptops, aparatos móviles y hojas de cálculo.
- Aplicaciones de TI subcontratadas en la nube y otros proveedores de servicios externos.
- Cómo se administra la función de la tecnología en toda la entidad.
El entendimiento de estas cuatro áreas del sistema de tecnología se logra con el uso de procedimientos que se describen en la Aclaración a la Norma de Auditoría AU-C Sección 315 del Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés). Entendimiento de la entidad, su entorno y evaluación del riesgo de representación errónea de importancia relativa:
- Investigación con el personal.
- Procedimientos analíticos.
- Observación de procesos (es decir, inspecciones).
- Inspección de documentos y documentación.
Los últimos cuatro pasos (nodos) de la actividad muestran el análisis de controles de aplicación y la evaluación de los riesgos de procesamiento de información que están manejando, y luego un análisis de los controles generales de la tecnología que protegen los controles de aplicación. Finalmente, el CPA usará un sistema con procedimientos para asignar un valor a la probabilidad de que los controles prevengan (o no) o detecten y corrijan el error.
El último paso sugiere usar una matriz de controles (probablemente en una hoja de cálculo) y un modelo de madurez para asignar la puntuación del control en una escala de 0 a 5. Es un hecho para todo el mundo de la contabilidad y auditoría que debe usarse el juicio para determinar si la evaluación global (puntuación) representa un pase (aprobación) o una descalificación del sistema de control de TI.
Imagine, por ejemplo, que un Director de Finanzas (CFO, Chief Financial Officer, por sus siglas en inglés) de una compañía manufacturera hiciera uso del marco de referencia de COSO para asegurar la efectividad de su sistema de control interno. El CFO (o el contralor o el Auditor Interno) podrían usar este Cuadro para lograr el entendimiento de todo el arreglo de controles de TI de la compañía.
Aunque algunas compañías usan el marco de referencia de COSO solo para vigilar sus controles internos sobre la información financiera externa, el marco de referencia de 2013, recientemente revisado, también puede usarse para evaluar controles en múltiples áreas operativas y en procesos internos que no sean de información financiera como los sistemas de la compañía para correo electrónico, nómina y procesamiento de Recursos Humanos, y diversos procesos de manufactura.
Con el uso de este Cuadro, el CFO y el personal de contabilidad y auditoría podría analizar todos los controles de aplicación de TI y controles generales para evaluar su efectividad. ¿Asegura el sistema que autorizaciones, verificaciones, conciliaciones y actividades de control físico están diseñadas y documentadas de manera apropiada y operando con efectividad en los procesos de operación y de información financiera de la compañía? ¿Está debidamente asegurado el acceso a la información personal de los empleados en los datos de nómina? Estas son preguntas que puede ayudar a responder el Cuadro.
Al seguir evolucionando la tecnología e integrarla en más procesos de negocios, el marco de referencia de COSO brinda una guía útil para controles efectivos. Aplicar el marco de referencia y el Principio 11 de manera correcta es un paso importante hacia el logro de un sistema sólido de control interno.
>Este artículo es una reseña del original titulado “How to use COSO to assess it controls”, publicado en Journal of Accountancy, mayo de 2014. Traducido para Veritas, del Colegio de Contadores Públicos de México, por Jorge Abenamar Suárez Arana.
AUTOR ORIGINAL: John White (
Por: Redacción Grupo Medios
Fuente: http://www.ccpm.org.mx/
Y luego Agregar a la pantalla de inicio.