Estándares
Internacionales de Auditoría de Sistemas
La tecnología ha sido percibida en la actualidad en
forma global como disparador de cambios permanentes del ambiente de
negocios. Sin embargo, existe una idea
primordial que aparece inmóvil contra esta fuerza tecnológica que implica que
las organizaciones que sobreviven, son aquellas que entregan más valor
verdadero a sus clientes.
La función de auditoría continúa proporcionando
servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnología impacta la forma de
hacer negocios, debe haber formas
efectivas y sencillas para llevar a cabo la evaluación de los controles que
deben existir para garantizar dicho servicio.
Bajo la premisa anterior, existe un gran interés en
el medio por identificar los estándares internacionales que son utilizados
comúnmente por empresas tanto públicas como privadas. Las dos preguntas más
comunes que habría que resolver, ¿Cómo podrían asegurar las organizaciones, que
construyen proyectos de tecnología de información, cubriendo adecuadamente las
necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto
contemplado? Y ¿Cuáles son los estándares que ofrece la industria?
En ambos sectores, se hacen uso de una serie de
estándares que guían el desarrollo de proyectos de TI, entre ellos se pueden
mencionar:
Directrices
Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control
Association (ISACA).
The Management
of the Control of data Information Technology, desarrollado por el Instituto
Canadiense de Contadores Certificados (CICA).
Administración
de la inversión de tecnología de Inversión: un marco para la evaluación y
mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad
General de los Estados Unidos (GAO).
Los estándares
de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados
por la Organización Internacional de Estándares (ISO).
SysTrust –
Principios y criterios de confiabilidad de Sistemas, desarrollados por la
Asociación de Contadores Públicos (AICPA) y el CICA.
El Modelo de
Evolución de Capacidades de software (CMM), desarrollado por el Instituto de
Ingeniería de Software (SEI).
Administración
de sistemas de información: Una herramienta de evaluación práctica,
desarrollado por la Directiva de Recursos de Tecnología de Información.
Guía para el
cuerpo de conocimientos de administración de proyectos, desarrollado por el
comité de estándares del instituto de administración de proyectos.
Ingeniería de
seguridad de sistemas – Modelo de madurez de capacidades (SSE– CMM), desarrollado
por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de
Carnegie Mellon.
Administración
de seguridad de información: Aprendiendo de organizaciones líderes,
desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO).
COSO
Generalidades
El “Informe COSO” es un documento que especifica un
modelo común de control interno con el cual las organizaciones pueden
implantar, gestionar y evaluar sus sistemas de control interno para asegurar
que éstos se mantengan funcionales, eficaces y eficientes.
El modelo coso es producto de un informe sobre control
interno realizado por una comisión llamada: Sponsoring Organizations of the
Treadway Comisión denominado así,
porque se trata
de un trabajo
que encomendó el
Instituto Americano de Contadores Públicos, la Asociación
Americana de Contabilidad, el Instituto de Auditores Internos que agrupa
alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta
países, el Instituto de Administración y Contabilidad, y el Instituto de
Ejecutivos Financieros. Este modelo ha
sido elaborado para uso de los consejos de administración de las empresas
privadas en España y en los países de habla hispana. Su origen ha sido motivado por los
ineficientes controles internos que se han creado y que han repercutido de forma
negativa en muchas empresas produciendo pérdidas e incluso la quiebra. Muchos han sido los fraudes que se han
generados por falta de control, ya sean controles previos, posteriores o
perceptivos.
Cabe señalar que a partir del año 1992 cuando fue publicado
el modelo coso en los Estados
Unidos, son muchos
los países que se han
interesado en este
modelo y muchas las
empresas que han
tratado de estructurar
su control interno
bajo este modelo. El marco referencial que se plantea consta de
cinco componentes interrelacionados: ambiente de control, valoración de
riesgos, actividades de
control, información y
comunicación y monitoreo los
cuales a su vez están derivados e integrados al proceso de gestión razón por la
cual está sumamente relacionado con la auditoria de gestión”. Por otra parte, la
acepción aportada por
el modelo coso
rompe con las
aportaciones tradicionales al asumir que el control interno es una
práctica social desarrollada en todos los ámbitos organizativos, esto es, un
proceso o una multiplicidad de procesos omnipresente e inherente en la
planificación, dirección y supervisión de una entidad.
¿En qué consiste?
En sí es un
marco de referencia aplicable a cualquier organización.
COSO considera que el control interno debe ser un proceso
integrado con el negocio que ayude a conseguir los resultados esperados en
materia de rentabilidad y rendimiento.
Transmitir el concepto de que el esfuerzo involucra a
toda la organización: desde la Alta Dirección hasta el último empleado.
En otras palabras, es el proceso que se encarga de
realizar el consejo de administración, la dirección y el colectivo restante de
una entidad, con el propósito de otorgar un nivel razonable de confianza en la
consecución de los siguientes objetivos:
Asegurar la exactitud y confiabilidad de los
datos de la contabilidad y de las operaciones financieras.
Proteger los recursos contra el despilfarro, el
fraude o el uso ineficiente, así como evaluar el desempeño de todas las
divisiones administrativas y funcionales de la entidad (eficacia y eficiencia
de las operaciones).
Asegurar
el cumplimiento de
las políticas normativas
económicas de la entidad.
Es por ello que se puede afirmar que el control interno
es el conjunto de mecanismos, sistemas, procedimientos y normas que aseguran
una eficiente gestión de la entidad, la consecución de sus objetivos y el
mantenimiento de su patrimonio, en un ambiente de participación e integración
de todos aquellos que lo emplean y con los que se relacionan: clientes y
proveedores.
Definición de Control Interno
Es un proceso que involucra a todos los integrantes de la
organización sin excepción, diseñado para dar un grado razonable de apoyo en
cuanto a la obtención de los objetivos en las siguientes categorías:
Eficacia y eficiencia de las operaciones (O)
Fiabilidad de la información financiera (F)
Cumplimiento de las leyes y normas que son aplicables(C)
No hay comentarios:
Publicar un comentario