Ley de control interno en Costa Rica.

En 1992 nace la definición de Control Interno de acuerdo a COSO: “Proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonables en cuanto a la consecución de los objetivos…” link Bastaron diez largos años para que en el 2002 en nuestro país, para ser exactos un 4 de setiembre se creara la Ley 8292: ley  General de Control Interno (LGCI).

En la buena práctica toda su ley tiene un reglamento el cual nos va a prevenir de los vacíos que puedan existir en la ley, además dicho reglamento nos sirve como respaldo para legitimar ciertos procesos.

En el artículo que se publicó en el diario digital El Mundo.cr: https://www.elmundo.cr/que-ha-pasado-con-la-ley-de-control-interno-y-su-reglamentacion/ se aborda una preocupación respecto a la falta de reglamentación que tenemos actualmente en el país, para la LGCI 8292.

Dieciséis años después sin una reglamentación para la ley; como auditores nos toca ir a buscar en la página de la CGR, propiamente en el apartado de normativa bajo el título de Control Interno, sean directrices, acuerdos o documentación pertinente con el fin de respaldar nuestros trabajos. Cito del artículo publicado en el diario digital:

Luego de este análisis nos topamos con vacíos reflejo de la ausencia de reglamentación de la citada Ley, esto a pesar de que se han tratado de atender por parte de la Contraloría General  con  directrices y manuales, pero en algunos  temas relevantes, han quedado y persisten vacíos, además, de que por ser una disposición de Ley  su reglamentación  se debe  cumplir,   pues de lo contrario,  sería apartarse  del referido mandato y una  actuación contraria al  “principio de legalidad”,  que dispone la Ley de Administración Pública  y la Constitución Política en los artículos 11, de ambos marcos normativos. (En su momento expuesto por el Máster. Juan de Dios Araya Navarro, Auditor gubernamental). Esto viene a reforzar la necesidad de actualización del tema del abordaje de las Tecnologías de Información y Comunicación (TICs) que a pesar de tener una normativa (N-2-2007-CO-DFOE Normas técnicas para la gestión TI) se necesita de igual forma una actualización de la misma.

Los invito a leer la nota, con el fin de que busquemos en conjunto una pronta reglamentación para el bien de la ciudadanía y en especial de nuestra patria.

Cierro nuevamente con la consulta: ¿Qué ha pasado con el reglamento para la ley 8292?

Evaluación efectiva del sistema de control interno en un ambiente de TI

Meses atrás me dieron la oportunidad de asistir a un curso sobre cómo aplicar una evaluación efectiva del Control Interno para un ambiente de tecnologías de información. En términos generales si tuviera que describirlo con una palabra seria “Provechoso”.

Es mi deber como profesional aprender y procurar compartir dichos conocimientos por lo tanto les voy a comentar un poco sobre las ideas expuestas en el curso:

Iniciamos con una premisa en donde se nos comunico que cien horas no son suficientes para evaluar el un SCI dentro de un entornos de tecnologías de información; tomando en cuenta que debo de explicar:  1- Que es lo que veo yo como auditor,  2- Para compararlo con lo que ven nuestros clientes u empresas para el negocio =>  Es entonces donde este primer análisis nos pide invertir el tiempo suficiente (la cantidad de horas van a depender del tamaño del cliente) para con esto tener un punto de partida en la evaluación.

Dentro del curso se planteo una idea, que mas que idea o consejo debe der ser regla, debería de ser una ley para la evaluación de los SCI en las áreas de TIC, “debemos de partir del estudio de los objetivos operacionales de las empresas/instituciones/ departamentos de TI , una vez que los conocemos y sabemos cuáles son procedemos a planificar nuestros estudios” .

Una vez que se conocen los objetivos de los clientes para cada una de las áreas que se estén auditando, se pasa al siguiente nivel este viene a ser lo que conocemos como procesos. Los procesos debemos de considerarlos dentro de los Cinco Componentes funcionales para el Sistema de Control Interno (Adjunto el link de un breve repaso del SCI que escribí tiempo atrás).

Una vez superado estos temas introductorios la capacitación nos llevo al SCI.

El Sistema de Control Interno, tiene la oportunidad de ajustarse a los diferentes actores/areas dentro de los clientes, partiendo de sus cinco componentes (Ambiente de Control, Valoración de Riegos, Actividades de Control, Información Comunicación y Actividades de monitoreo).

Una vez que conocemos estos cinco componentes de COSO 2013, vamos a trabajar bajo 17 principios que se distribuyen en estos cinco componentes a saber:

Ambiente de Control:

  • Demostrar compromiso con la integridad y valores éticos.
  • Ejercitar responsabilidades de supervisión.
  • Establecer estructura, niveles de autoridad y responsabilidad.
  • Demostrar compromisos con la competencia.
  • Fortalecer la rendición de cuentas.

Valoración de Riesgos:

  • Especificar objetivos alcanzados.
  • Identificar y analizar riesgos.
  • Medir los riesgos de fraude.
  • Identificar y analizar cambios significativos.

Actividades de Control:

  • Seleccionar y desarrollar actividades de control.
  • Seleccionar y desarrollar controles generales sobre tecnología.
  • Implementar políticas y procedimientos.

Información y comunicación:

  • Usar información relevante.
  • Comunicarse internamente.
  • Comunicarse externamente.

Actividades de monitoreo:

  • Realizar evaluaciones periódicas y/o externas.
  • Evaluar y comunicar las deficiencias.

Conforme vamos evaluando los procesos debemos de ubicar los mismos dentro del SCI interno implementado en la empresa, esto de la mano al primer paso en donde nos pide basar nuestros estudios partiendo de los objetivos operacionales y sus procesos asociados.

Se debe de recordar que un SCI es eficaz si reduce en un nivel aceptable los riegos de no cumplir los objetivos basado en alguna de las tres categorías que están dentro del SCI, con esto se debe de buscar:

  • Cada uno de los 5 componentes del SCI están presentes dentro del cliente y funcionando de forma adecuada.
  • Los 5 componentes están funcionando juntos y de forma integrada; con esto se busca la interdependencia basado en interrelaciones y vínculos.

Puedo cerrar con que el curso estuvo muy completo y dio el refrescamiento necesario para como auditores hacer cada día mejor nuestro trabajo.

El curso fue impartido por el CISA Manuel Arauz Montero, que además de ser Auditor en TI es un colega de la carrera, colegiado del CPIC. Don Manuel es consultor bajo la firma T.I. Audiseg.

Protección de datos

Si bien la mayor parte de las legislaciones iberoamericanas regulan el derecho de las personas a la protección sobre sus datos, en el marco del llamado habeas data, como garantía constitucional, cada vez son más los Estados que cuentan con normas específicas en materia de protección de datos, adecuando sus leyes, decretos y otra normativa para una mejor salvaguarda de este derecho fundamental, así como su tutela judicial efectiva.

La protección de la privacidad debe ser entendida como un derecho fundamental, tal y como reconoce Naciones Unidas en el marco de la protección de la libertad individual, la libertad de expresión, la intimidad y la dignidad personal. A mayor abundamiento, el Consejo de Europa lo define como un derecho humano fundamental, mismo sentido en que es tratado en la Declaración Universal de Derechos Humanos y el Pacto Internacional de las Naciones Unidas sobre los Derechos Civiles y Políticos, donde se define la privacidad como un derecho, afirmándose que “nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación”…

Daniel López Carballo, Director del observatorio Iberoamericano de Protección de Datos / España, Fuente: http://es.calameo.com/read/002682399c9e17199b3dd

(El subrayado no es del original)

Hablar de la protección de datos hoy en día puede implicar una serie de conceptos que terminan complementando el tema de tal forma que la complejidad del mismo llega a ser significativa, como bien podemos ver en el texto introductorio tenemos si bien una serie de productos globales desde el punto de vista de las TI, de igual forma ahora tenemos normas locales.

La protección de los datos es un tema estrictamente relacionado con el insumo más importante de la compañía o institución en la cual estamos trabajando, hablamos de la INFORMACIÓN.

La información es sin duda uno de los insumos más importantes de las organizaciones, la protección de la misma implica una serie de buenas prácticas y políticas que a nivel general podemos encontrar dentro de COBIT y su universo, específicamente dentro del capítulo: Business Model for Information Security (BMIS).

Dentro de las características del Modelo de Negocio para la Seguridad de la Información (BMIS) que encontramos dentro del Cobit 5, podemos mencionar 3:

  • Nos presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la información dentro de la organización.
  • Establece una línea de parámetros bajo un lenguaje común para referirse a la protección de la información
  • Por ultimo describe de forma detallada el modelo de negocio para gestionar la seguridad de la información, en donde se invita a utilizar una perspectiva sistémica

Como podemos ver en un marco global tenemos el Cobit 5 como punto de partida, con mucha información que se puede aprovechar para el tema de la protección de datos, por otro lado cuando damos el siguiente paso y pensamos en una normativa, regulación o ley local no podemos dejar por fuera la: “Ley de protección de datos, 8968”.

Si bien es cierto la Ley 8968 “Protección de la Persona frente al tratamiento de su datos personales” viene a ser un marco regulatorio para garantizar la seguridad de los datos de las personas que son utilizados por las diferentes organizaciones, podemos tomarlo como punto de partida para establecer un entorno de seguridad dentro de la empresa o institución, es decir, partiendo de los derechos con los que cuentan los individuos relacionados a sus datos sensibles, como instituciones debemos de garantizar la protección y buen manejo de los mismos.

Desde la auditoria de TI:

Como auditores de TI tenemos dos responsabilidades muy grandes con respecto a este tema:

  • Debemos de procurar que la ley, normativa se vea aplicada de buena forma. Es decir, tenemos principios que nos invitan a evaluar que las organizaciones estén trabajando por hacer valer la ley, buscando que esas buenas practicas que manejan vayan de la mano de los reglamentos establecidos, recordemos que el valor de la información es indeterminable una vez que se ve expuesta o perdida.
  • Debemos de garantizar la privacidad de la información con la cual nosotros trabajamos. Para nuestro caso como funcionarios que trabajamos con la recopilación de información para respaldar los hallazgos es de suma importancia la seguridad, actualidad, veracidad y exactitud de la misma (Articulo 6. – Principios de calidad de información, Ley 8968, )

 

Cierre RVV:

Como vemos la  protección de datos implica una gran responsabilidad hacia el individuo principalmente, además que una serie de elementos que derivan del tema como lo son: Confidencialidad, Riesgos, Seguridad, Control Interno, tomando un rumbo incluso más técnico debemos de tomar en cuenta el anonimato y la Ciberseguridad.

Nuestra responsabilidad como auditores recae en la búsqueda de que se valide y rectifique este derecho que tienen los individuos y que las organizaciones debemos de garantizarlo, más aún para el caso de nuestro país donde tenemos una ley de por medio.