Sin embargo estas no son las únicas referencias al cumplimiento legal con las que los Consultores debemos tratar en nuestro día a día. En un mundo global con relaciones comerciales globales y empresas multinacionales no debemos descuidar la legislación de aquellos otros países en los que operamos. Por ejemplo, dentro del mundo de la banca existe un estándar bajo el que deben regirse las operaciones con tarjeta de crédito, es el Estándar de Seguridad de Datos para la Industria de Tarjeta de Crédito (PCI-DSS). En un sector totalmente opuesto tenemos
Finalmente tenemos
¿Por qué surge SOX?
¿Por qué aplica SOX a los Sistemas de Información? Actualmente el enorme avance de la tecnología ha propiciado que los sistemas financieros se apoyen sobre los sistemas de información para acometer sus funciones. En tal sentido, los SdI deben garantizar la fiabilidad de la información financiera, por lo que se deben implementar controles específicos para garantizar la fiabilidad de este tipo de información. ¿Cómo implantar controles internos? Volvemos aun más atrás en el tiempo, mucho antes de la aparición de SOX, allá por el año 92 surgió el informe COSO, el cual tenéis disponible aquí y que es punto de referencia para la implantación de controles internos sobre la información financiera:
Sin embargo organizaciones como ISACA tampoco se han quedado atrás y han adaptado COBIT a
Seguramente ahora os parezca más sencillo, las aplicaciones financieras no son un tipo especial de aplicaciones, los controles que aplicaremos serán bien conocidos, cambio en los programas, control de acceso, registros de auditoria, etc. Partiendo de esta base el “Road Map” que nos lleve a tener un IT Compliance en una auditoria SOX queda bien reflejado en la siguiente imagen:
Aun así siempre quedarán cositas, todo auditor debe hacer un informe al fin y al cabo, pero no debemos tirarnos de los pelos. A grandes rasgos los controles generales a aplicar sobre los SI se centrarán en:
- Control de Accesos: Control de lectura, alta y modificación, perfiles de acceso, procedimientos documentados, registros de auditoría).
- Pruebas de desarrollo y modificación de los SI.
- Control sobre el funcionamiento de los SI (validación de E/S, comprobación de calculos, gestión de errores).
La forma de implantar controles para estas 3 áreas no viene especificada en
Y esta ha sido la lectura “veraniega”, espero que os haya gustado.
Salu2!
0 comentarios:
Publicar un comentario