Estándares Internacionales de auditoría de sistemas (COSO)

Estándares Internacionales de Auditoría de Sistemas

La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado.

COSO
Committee of Sponsoring Organizations of the Treadway Commission (COSO): iniciativa de 5 organismos para la mejora de control interno dentro de las organizaciones.
Control interno
Se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia de las operaciones.
 Confiabilidad de la información financiera.
 Cumplimiento de las leyes, reglamentos y normas (que sean aplicables).
Concepto
El informe como tal es un medio para alcanzar un fin y no un fin por sí. No es un evento o circunstancia sino una serie de acciones que permean las actividades de una organización. Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión.
Componentes
De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en el proceso de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos.
Los componentes son:
1. Ambiente de Control.
2. Evaluación de Riesgos.
3. Actividades de Control.
4. Información y Comunicación.
5. Supervisión y Monitoreo.
Ambiente de Control
El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus funcionarios.
Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal utilizadas.
Evaluación de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.
La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.
Actividades de Control
Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella.
Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el punto anterior.
En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.
Información y Comunicación
Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de forma descendente como ascendente.
La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto.
Supervisión y Monitoreo
Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas.