Controles internos y auditoría según SOX

Bajo SOX (Ley Sarbanes-Oxley), se necesitan que los gerentes certifiquen los informes financieros de la empresa, además que tanto gerentes y un contador independiente certifiquen los controles internos de la empresa. En caso todas las empresas, los informes financieros dependen de la infraestructura de tecnologías de la información, ya sea que se necesite para la generación de una factura, para el funcionamiento eficaz del sistema principal (como un ERP) o para el sistema de control y gestión integrada de la organización. A menos que se incorporen controles internos apropiados en esta infraestructura, los gerentes no serán capaces de cumplir con los requisitos de certificación.

COSO

El SEC o La Comisión de Bolsa de Valores de Estados Unidos, ordena a las empresa del mismo país a utilizar un marco de control interno reconocido que ha sido establecido por una empresa que desarrolló el marco a través de un debido proceso, incluyendo la invitación del comentario público. El marco descrito, ampliamente conocido, es el marco COSO, el cual también es conocido como el Marco Integrado de Control Interno. Este marco identifica a dos grupos amplios de actividades de control de sistemas de TI, ellos son para los controles generales y para los controles de aplicaciones. Los controles generales son estos controles que aseguran que la información financiera de los sistemas de la empresa son confiables. Los controles generales existen generalmente como parte de un sistema de gestión de seguridad de la información (sí, el producto de la norma ISO/IEC 27001). Los controles de aplicación están integrados en el software para detectar o prevenir transacciones no autorizadas. Dichos controles se pueden utilizar para garantizar la integridad, precisión, validez y autorización de las transacciones. Entonces, los controles de TI son fundamentales para el control financiero, y la norma ISO/IEC 27001 establece un enfoque estructurado para identificar el riesgo y seleccionar la mitigación adecuada para ese riesgo.

ERM o Gestión de riesgo empresarial

El concepto ERM ha surgido en los últimos años como una forma fundamentalmente nueva para que las organizaciones aborden al riesgo. Esto es impulsado parcialmente por la amplia superposición entre los requisitos de gestión de riesgos de SOX, Base 2/3 y los regímenes de gobierno corporativo en otras partes del mundo, así como los cambios latentes en la economía de la información global. Las organizaciones enfrentan riesgos complejos y nuevos en un ambiente con cambios muy rápidos en el aspecto de negocio, tecnológico y regulatorio. Ellos no pueden darse el lujo de no identificar y controlar todas las áreas de riesgos, incluidos aquellos que pueden permanecer sin identificar o imprevistos, como fluctuaciones monetarias, problemas de recursos humanos en países extranjeros, cambiar o desaparecer canales de distribución, gobierno corporativo y presión regulatoria, y el rango del riesgo asociado con la tecnología, información y activos intelectuales. Un proceso ERM debe garantizar un enfoque uniforme para la identificación de riesgos, y para la medición y tratamientos de esos riesgos a través de la organización. El estándar ISO 31000 está estableciéndose como un estándar ampliamente reconocido para la gestión de riesgos empresarial.

COSO ERM Framework

El marco de control interno COSO se ha convertido en el estándar de facto para las empresas que cumplen con SOX. COSO empezó a desarrollar un marco de gestión de riesgos separado en el 2001. Este marco, el marco integrado de gestión de riesgo empresarial, fue diseñado para brindar un marco común con conceptos, principios claves, un lenguaje común, una dirección clara y una guía, como se establece en su resumen ejecutivo, COSO, 2004. Este marco amplía el marco de control interno, brindando un enfoque más amplio y más robusto en el ERM; al incorporar el marco de control interno, las empresas pueden (tal como sugiere COSO) avanzar la implementación de un marco ERM para satisfacer sus necesidades de control interno así como sus necesidades de gestión de riesgos de negocio más ampliamente. COSO define ERM como un proceso, efectuado por la junta directiva, la gerencia u otro personal de una entidad, aplicado en el establecimiento de estrategias y en toda la empresa, diseñado para identificar eventos potenciales que pueden afectar la entidad, y gestionar el riesgo para estar dentro de su apetito de riesgos brindar un aseguramiento razonable de los logros de los objetivos.

Consejo audit

Uno de los artefactos más fuertes para iniciar en el entendimiento de la gestión de riesgos, es el estándar ISO 31500. Una organización debería afinar un proceso de gestión de riesgos empresarial para luego introducir los riesgos de seguridad de la información. Hay pocas ocasiones que inician con la gestión de riesgos de tecnología de la información, para luego no agregar los demás riesgos, pero ambas forman tienen buen puerto para el cumplimiento. En audit asesoramos a las empresas para obtener lo que desean.