Alineación de Cobit 5 Y Coso IC-IF para definición de controles basados en Buenas Practicas TI en cumplimiento de la Ley Sarbanes-Oxley

Abstract

La Ley Sarbanes-Oxley permite garantizar la integridad de la información financiera de las empresas que cotizan en bolsa, y su principal objetivo es proteger al inversionista. Actualmente y con la intensión de proteger los datos, las empresas almacenan y gestionan su información financiera en infraestructuras tecnológicas y sistemas informáticos propios. Por otra parte, COBIT 5 es el marco de trabajo que se implementa para gobernar las Tecnologías de la Información (TI) y asegurar la alineación de TI a la visión de la organización. Sin embargo, COBIT no posee las herramientas que posibiliten el tratamiento en detalle de la información financiera; por tal razón, aquí se propone articular COBIT 5 y el Marco Integrado de Control Interno del Committee of Sponsoring Organizations of the Treadway Commission (COSO ICIF), fundamentados en los lineamientos expuestos por las normas ISO 38500 e ISO 27001, para dar cumplimiento a la Ley Sarbanes-Oxley. Como resultado de esta articulación se obtuvo una guía para el auditor financiero, que le permita definir controles de calidad basados en buenas prácticas de controles de TI. Para lograr esto, se realizó una alineación de los procesos de COBIT con los principios de cada uno de los componentes de COSO IC-IF. Adicionalmente, se propuso cómo evaluar el cumplimiento de los requisitos de la Ley desde una perspectiva de TI, aplicando buenas prácticas en la implementación del control y la referenciación de los procesos de COBIT 5.

The Sarbanes-Oxley Act makes it possible to guarantee the integrity of the financial information of listed companies, and its main objective is to protect the investor. Currently, in an effort to protect data, companies store and manage their financial information in their own technology infrastructures and IT systems. On the other hand, COBIT 5 is the framework that is implemented to govern Information Technology (IT) and ensure the alignment of IT to the organization's vision. However, COBIT does not have the tools that enable the detailed treatment of financial information; For this reason, it is proposed here to articulate COBIT 5 and the Integrated Framework of Internal Control of the Committee of Sponsoring Organizations of the Treadway Commission (COSO IC-IF), based on the guidelines set forth by the ISO 38500 and ISO 27001 standards, to comply To the Sarbanes-Oxley Act. As a result of this articulation, a guide was obtained for the financial auditor, allowing him to define quality controls based on good practices of IT controls. To achieve this, an alignment of the COBIT processes was performed with the principles of each of the components of COSO IC-IF. Additionally, it was proposed how to evaluate compliance with the requirements of the Law from an IT perspective, applying good practices in the implementation of the control and referencing of COBIT 5 processes.