Meses atrás me dieron la oportunidad de asistir a un curso sobre cómo aplicar una evaluación efectiva del Control Interno para un ambiente de tecnologías de información. En términos generales si tuviera que describirlo con una palabra seria “Provechoso”.
Es mi deber como profesional aprender y procurar compartir dichos conocimientos por lo tanto les voy a comentar un poco sobre las ideas expuestas en el curso:
Iniciamos con una premisa en donde se nos comunico que cien horas no son suficientes para evaluar el un SCI dentro de un entornos de tecnologías de información; tomando en cuenta que debo de explicar: 1- Que es lo que veo yo como auditor, 2- Para compararlo con lo que ven nuestros clientes u empresas para el negocio => Es entonces donde este primer análisis nos pide invertir el tiempo suficiente (la cantidad de horas van a depender del tamaño del cliente) para con esto tener un punto de partida en la evaluación.
Dentro del curso se planteo una idea, que mas que idea o consejo debe der ser regla, debería de ser una ley para la evaluación de los SCI en las áreas de TIC, “debemos de partir del estudio de los objetivos operacionales de las empresas/instituciones/ departamentos de TI , una vez que los conocemos y sabemos cuáles son procedemos a planificar nuestros estudios” .
Una vez que se conocen los objetivos de los clientes para cada una de las áreas que se estén auditando, se pasa al siguiente nivel este viene a ser lo que conocemos como procesos. Los procesos debemos de considerarlos dentro de los Cinco Componentes funcionales para el Sistema de Control Interno (Adjunto el link de un breve repaso del SCI que escribí tiempo atrás).
Una vez superado estos temas introductorios la capacitación nos llevo al SCI.
El Sistema de Control Interno, tiene la oportunidad de ajustarse a los diferentes actores/areas dentro de los clientes, partiendo de sus cinco componentes (Ambiente de Control, Valoración de Riegos, Actividades de Control, Información Comunicación y Actividades de monitoreo).
Una vez que conocemos estos cinco componentes de COSO 2013, vamos a trabajar bajo 17 principios que se distribuyen en estos cinco componentes a saber:
Ambiente de Control:
- Demostrar compromiso con la integridad y valores éticos.
- Ejercitar responsabilidades de supervisión.
- Establecer estructura, niveles de autoridad y responsabilidad.
- Demostrar compromisos con la competencia.
- Fortalecer la rendición de cuentas.
Valoración de Riesgos:
- Especificar objetivos alcanzados.
- Identificar y analizar riesgos.
- Medir los riesgos de fraude.
- Identificar y analizar cambios significativos.
Actividades de Control:
- Seleccionar y desarrollar actividades de control.
- Seleccionar y desarrollar controles generales sobre tecnología.
- Implementar políticas y procedimientos.
Información y comunicación:
- Usar información relevante.
- Comunicarse internamente.
- Comunicarse externamente.
Actividades de monitoreo:
- Realizar evaluaciones periódicas y/o externas.
- Evaluar y comunicar las deficiencias.
Conforme vamos evaluando los procesos debemos de ubicar los mismos dentro del SCI interno implementado en la empresa, esto de la mano al primer paso en donde nos pide basar nuestros estudios partiendo de los objetivos operacionales y sus procesos asociados.
Se debe de recordar que un SCI es eficaz si reduce en un nivel aceptable los riegos de no cumplir los objetivos basado en alguna de las tres categorías que están dentro del SCI, con esto se debe de buscar:
- Cada uno de los 5 componentes del SCI están presentes dentro del cliente y funcionando de forma adecuada.
- Los 5 componentes están funcionando juntos y de forma integrada; con esto se busca la interdependencia basado en interrelaciones y vínculos.
Puedo cerrar con que el curso estuvo muy completo y dio el refrescamiento necesario para como auditores hacer cada día mejor nuestro trabajo.
El curso fue impartido por el CISA Manuel Arauz Montero, que además de ser Auditor en TI es un colega de la carrera, colegiado del CPIC. Don Manuel es consultor bajo la firma T.I. Audiseg.