Evaluación efectiva del sistema de control interno en un ambiente de TI

Meses atrás me dieron la oportunidad de asistir a un curso sobre cómo aplicar una evaluación efectiva del Control Interno para un ambiente de tecnologías de información. En términos generales si tuviera que describirlo con una palabra seria “Provechoso”.

Es mi deber como profesional aprender y procurar compartir dichos conocimientos por lo tanto les voy a comentar un poco sobre las ideas expuestas en el curso:

Iniciamos con una premisa en donde se nos comunico que cien horas no son suficientes para evaluar el un SCI dentro de un entornos de tecnologías de información; tomando en cuenta que debo de explicar:  1- Que es lo que veo yo como auditor,  2- Para compararlo con lo que ven nuestros clientes u empresas para el negocio =>  Es entonces donde este primer análisis nos pide invertir el tiempo suficiente (la cantidad de horas van a depender del tamaño del cliente) para con esto tener un punto de partida en la evaluación.

Dentro del curso se planteo una idea, que mas que idea o consejo debe der ser regla, debería de ser una ley para la evaluación de los SCI en las áreas de TIC, “debemos de partir del estudio de los objetivos operacionales de las empresas/instituciones/ departamentos de TI , una vez que los conocemos y sabemos cuáles son procedemos a planificar nuestros estudios” .

Una vez que se conocen los objetivos de los clientes para cada una de las áreas que se estén auditando, se pasa al siguiente nivel este viene a ser lo que conocemos como procesos. Los procesos debemos de considerarlos dentro de los Cinco Componentes funcionales para el Sistema de Control Interno (Adjunto el link de un breve repaso del SCI que escribí tiempo atrás).

Una vez superado estos temas introductorios la capacitación nos llevo al SCI.

El Sistema de Control Interno, tiene la oportunidad de ajustarse a los diferentes actores/areas dentro de los clientes, partiendo de sus cinco componentes (Ambiente de Control, Valoración de Riegos, Actividades de Control, Información Comunicación y Actividades de monitoreo).

Una vez que conocemos estos cinco componentes de COSO 2013, vamos a trabajar bajo 17 principios que se distribuyen en estos cinco componentes a saber:

Ambiente de Control:

  • Demostrar compromiso con la integridad y valores éticos.
  • Ejercitar responsabilidades de supervisión.
  • Establecer estructura, niveles de autoridad y responsabilidad.
  • Demostrar compromisos con la competencia.
  • Fortalecer la rendición de cuentas.

Valoración de Riesgos:

  • Especificar objetivos alcanzados.
  • Identificar y analizar riesgos.
  • Medir los riesgos de fraude.
  • Identificar y analizar cambios significativos.

Actividades de Control:

  • Seleccionar y desarrollar actividades de control.
  • Seleccionar y desarrollar controles generales sobre tecnología.
  • Implementar políticas y procedimientos.

Información y comunicación:

  • Usar información relevante.
  • Comunicarse internamente.
  • Comunicarse externamente.

Actividades de monitoreo:

  • Realizar evaluaciones periódicas y/o externas.
  • Evaluar y comunicar las deficiencias.

Conforme vamos evaluando los procesos debemos de ubicar los mismos dentro del SCI interno implementado en la empresa, esto de la mano al primer paso en donde nos pide basar nuestros estudios partiendo de los objetivos operacionales y sus procesos asociados.

Se debe de recordar que un SCI es eficaz si reduce en un nivel aceptable los riegos de no cumplir los objetivos basado en alguna de las tres categorías que están dentro del SCI, con esto se debe de buscar:

  • Cada uno de los 5 componentes del SCI están presentes dentro del cliente y funcionando de forma adecuada.
  • Los 5 componentes están funcionando juntos y de forma integrada; con esto se busca la interdependencia basado en interrelaciones y vínculos.

Puedo cerrar con que el curso estuvo muy completo y dio el refrescamiento necesario para como auditores hacer cada día mejor nuestro trabajo.

El curso fue impartido por el CISA Manuel Arauz Montero, que además de ser Auditor en TI es un colega de la carrera, colegiado del CPIC. Don Manuel es consultor bajo la firma T.I. Audiseg.

Bases Generales: El Control Interno

Dentro de las bases generales que debemos de considerar cuando somos parte de este mundo de la auditoria, independientemente del sector del universo auditable del cual hablemos, es sin duda el Control Interno.

Control Interno 01       Control Interno 02

 

Como auditores debemos de respaldar nuestras respuesta siempre en base a normativas, textos formales (libros, estudios previos; nunca un sitio web sin veracidad científica), razón por la cual en un inicio compre el Libro “Manual práctico de Control Interno” del editorial Profit que a pesar de ser muy orientado a España, tiene conceptos generales y elementos interesantes que sirven como fuente de información. Esto claro está partiendo de la premisa que para nuestro país debemos de tomar como punto de partida la Ley 8292.Definición de Control Interno:

De acuerdo al Libro que tenemos como guía “Manual práctico de Control Interno” en sus pagina 36 menciona la definición proporcionada en el manual de control interno (Internal Control-Integrated Framework) de 1992 publicado por COSO:

“Proceso efectuado por el consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el objetivo de proporcionar un grado de seguridad razonables en cuanto a la consecución de los objetivos dentro de la siguientes categorías:

  • Eficacia y eficiencia de las operaciones.
  • Fiabilidad de la información financiera.
  • Cumplimiento de las leyes y normas aplicables. “

Cabe mencionar que COSO son las siglas del Committee of Sponsoring Organizations of the Treadway Commission (Comité de Patrocinadores de la Comisión Treadway), que patrocinó el informe de investigación de los Estados Unidos titulado Control interno – Marco Integrado que fue publicado en 1992, teniendo como punto de partida una referencia formal para el CI.

coso-2013-rvv

En el 2013 se publica el MARCO COSO 2013, ojo que no es el COSO 3 como muchos lo llaman, dentro de este Marco la definición del Control Interno no cambio.Otra definición de Control Interno:

Ahora bien, de acuerdo a la normativa que tenemos dentro de la norma: N-2-2009-CO-DFOE Normas de Control Interno, en el glosario al ubicar el concepto de control interno nos pide que veamos el concepto de Sistema de Control Interno (SCI) por lo tanto cito:

Sistema de Control Interno (SCI): También denominado “control interno”. Comprende la serie de acciones diseñadas y ejecutadas por la administración activa para proporcionar una seguridad razonable en torno a la consecución de los objetivos de la organización, fundamentalmente en las siguientes categorías: a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal; b) Confiabilidad y oportunidad de la información; c) Eficiencia y eficacia de las operaciones; y d) Cumplir con el ordenamiento jurídico y técnico.Componentes del Control Interno:

Basado en los estándares internacionales que se establecieron con el COSO, el Sistemas de Control Interno va a caracterizarse por cinco componentes de vital importancia:

  • Entorno de control (Control enveronment)
  • Evaluación de riesgos (Risk assessment)
  • Activación de control (Control Activities)
  • Información y comunicación (Information & Communication)
  • Actividades de seguimiento (Monitoring)

Estos cinco componentes que se mencionan, vienen a ser analógicamente como las fases de aplicación del Control Interno para un escenario ideal dentro de la compañía.

En nuestro caso para Costa Rica cada uno de estos cinco componentes se ven aún más desmenuzados en cada uno de sus capítulos de la Normas de Control Interno N-2-2009-CO-DFEO:

  • Entorno de control (Capítulo II)
  • Evaluación de riesgos (Capítulo III)
  • Activación de control (Capítulo IV)
  • Información y comunicación (Capítulo V)
  • Actividades de seguimiento (Capítulo VI)

Podríamos resumir al Control interno como:

Partiendo de la premisa de la necesidad de un ambiente donde controlamos el mismo, nos lleva a pensar en la tarea periódica de poder medir la posibilidad de ver materializado un riesgo razón por la cual son necesarias las actividades de control. No podemos dejar de lado como auditores la necesidad de comunicar e informar los análisis a los cuales nos llevan el apego de las normas, leyes, etc y sin duda procurar darle seguimiento al accionar de la administración.

Por los datos mencionados es que nace el Control Interno, un eje de la Auditoría que podemos ubicar en cada uno de los elementos del Universo Auditable con el propósito de buscar una seguridad razonable en las instituciones. By. RVV