ISACA ha publicado la segunda edición de la guía IT Control Objectives for Sarbanes-Oxley. Está especialmente orientado a la Gerencia, gestores de TI, así como profesionales de la Auditoría en general, que tengan que tratar con procesos de validación y conformidad de la Ley Sarbanes-Oxley (SOX).
La fuente de este documento es COBIT 4.0 y ofrece una guía sobre que elementos se necesitan y cómo ver y adaptar sus controles.
El nuevo texto de 128 páginas, incorpora:
- Un mayor enfoque en la monitorización y la asesoría de riesgos.
- Asesoría especializada en definir y priorizar controles relevantes.
- Especificaciones para identificar y organizar controles de aplicación y aplicar casos de negocio para su utilización.
- Un plan de acción simplificado.
- Una referencia directa a los procesos del COBIT 4.0
- Una incursión al manejo de conflictos de personal y culturales para resaltar los factores humanos que se deben considerar referentes a Sarbanes-Oxley.
Esta segunda edición contiene la actualización necesaria a raíz de los cambios importantes introducidos por SEC (U.S. Securities and Exchange Commission) y la PCAOB (The Public Company Accounting Oversight Board), al emitir dictámenes que complementan aspectos con implicación, entre otros, en la gestión de riesgo, los controles de aplicación y la evaluación de deficiencias.
SOX
La Ley Sarbanes-Oxley esta vigente en Estados Unidos desde el año 2002 y su propósito es fortalecer los gobiernos Corporativos (de las Sociedades Anónimas) y restituir la confianza de los inversionistas. Es ley fue promovida por el Senador, Paul Sarbanes y el Representante, Michael Oxley.
Compuesta por 11 títulos, obliga a requisitos rígidos para la contabilidad de las empresas. Los diversos títulos y secciones de SOX definen las responsabilidades de administración en los reportes anuales y semestrales, el ambiente del control, gestión de riesgo, el monitoreo y la medición de las actividades de control. La organización encargada de implementar esta ley y verificar su cumplimiento es la SEC.
La ley también obliga a las compañías extranjeras que cotizan en las bolsas de Estados Unidos y añade nuevas obligaciones para la administración y las empresas de Auditoria.
Existen 3 secciones que involucran directamente a los departamentos de TI, la 302, 404 y 409:
La cláusula 302. Habla de la obligación de generar informes donde se muestre el resultado financiero de la empresa y que este debe de estar avaluado en cuanto a su integridad.
La cláusula 404. Obliga a la existencia de procedimientos y políticas que aseguren la integridad de la información así como la disponibilidad de ella y se refiere a normas para mantener la documentación de los sistemas al día y mecanismos para controlar las modificaciones que sufren los sistemas.
La cláusula 409. Indica que toda organización debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo y esto afecte de manera seria a las ventas de la organización.
Esta ley no sólo obliga a la alta Gerencia a establecer los adecuados controles internos, sino que cuenta con una sección de normas y reglas que dispone que los Auditores deben incluir en sus trabajos:
- El alcance de las pruebas del auditor de la estructura de control interno.
- Los hallazgos del auditor con respectos a dicha pruebas.
- La evaluación de la estructura de control.