Ley SOX: Todo Lo Que Hay Que Saber Para Entornos IT

L

En los entornos de TI y en determinadas industrias es muy común escuchar la importancia del cumplimiento de la ley Sarbanes Oaxley, también conocida cómo ley SOX, para fortalecer el entorno de control interno y establecer controles ante el riesgo financiero. De igual manera es de obligatorio cumplimiento atender las constantes auditorías que se efectúan para evaluar su correcta implementación.

¿Qué es la ley SOX?

La Sarbanes – Oxley Act / o SOX es una ley federal americana del 2002 la cual busca establecer la confianza de los inversionistas después de varios escándalos corporativos y contables. Tiene como objetivo proteger a los inversionistas mediante la creación de controles internos sobre la información financiera, destinados a facilitar la precisión y confiabilidad de la información y las revelaciones financieras.

¿Cuáles son los controles SOX en TI?

Desde el punto de vista técnico, SOX propone un entorno de control mínimo para asegurar los sistemas de información que soporta la transaccionalidad de la información financiera, de manera que ésta conserve los principios de disponibilidad, confidencialidad e integridad de la información.

Este entorno mínimo considera lo siguiente:

Tipos de controles SOX en TI

Gestión de seguridad

Son aquellos controles existentes que buscan garantizar que la información se encuentra correctamente resguardada y con privilegios de acceso específicos a los colaboradores que, de acuerdo con su rol o función, requieren acceso a la información financiera. Para ello, se definen diferentes actividades de control.

1. Gestión de identidades

Implica procedimientos de gestión de identidad que buscan que la creación, modificación y eliminación de usuarios en los sistemas de información del alcance se realicen de acuerdo con los procedimientos establecidos.

2. Gestión de roles

Es importante establecer una revisión periódica de roles en los sistemas de información, que compruebe que las actividades asignadas por cada rol de los sistemas de información respondan a la actualidad y los usuarios que posean a su vez dicho rol, cuenten con las atribuciones necesarias para operar, sin generar conflictos de segregación de funciones.

3. Configuración de contraseñas

Esta actividad define una adecuada parametrización de contraseñas de acuerdo con las buenas prácticas y procedimientos internos de seguridad, buscando entre otras que los sistemas de información del alcance restrinjan adecuadamente el acceso a través de contraseñas complejas.

4. Gestión de usuarios privilegiados

Implementar controles que aseguren la correcta administración de cuentas privilegiadas, buscando que la gerencia garantice la correcta gestión sobre los usuarios de los sistemas de administración de los sistemas de información. Ésto se garantiza controlando el personal con acceso a las claves de estas cuentas, cambiando periódicamente sus contraseñas y monitoreando su transaccionalidad. 

5. Controles de revisión

Por último, implementar controles de revisión de línea base de seguridad en las bases de datos y sistemas operativos, garantizando que la administración asegura adecuadamente su plataforma de tecnología, de acuerdo con las guías sugeridas por las áreas de Seguridad de la Información o cumplimiento TI.

Gestión de cambios

Son aquellos controles que buscan asegurar que los cambios o modificaciones a los sistemas de información cubiertos por el alcance SOX-IT, cumplan con las políticas y buenas prácticas de desarrollo de software que se le atribuyen a este tipo de actividades.

Dichos controles deben cumplir aspectos tales como:

  • Registrar adecuadamente las aprobaciones de los comités internos creados para desplegar un nuevo desarrollo o cambio sobre los sistemas, garantizando siempre que se evidencie correctamente las pruebas de usuario final y aprobaciones de los usuarios solicitantes.
  • Que existan soportes reales de los pasos a producción o despliegues en fechas posteriores a su autorización.
  • Adecuada segregación de funciones entre los usuarios con privilegios de desarrollo y productivo.

Gestión de operaciones de TI

Estos procedimientos buscan asegurar las buenas prácticas en el entorno de operaciones, de manera que la información generada y procesada sea íntegra y se encuentre disponible siempre para el negocio.

Los controles que normalmente se consideran para este dominio son:

1. Programación y gestión de fallas para jobs o tareas programadas

Establecer una correcta formalización, monitoreo y respuesta a problemas relacionados con la gestión de jobs o tareas programadas para los sistemas de información del alcance.

2. Tratamiento de incidentes de TI

Adecuada gestión de incidentes de acuerdo con los procedimientos internos considerando criticidad, impacto y acuerdos de niveles de servicio suscritos con el cliente interno como con proveedores externos.

3. Respaldos de información y recuperación

Finalmente la implementación de controles de respaldo de información que permita tenerla siempre disponible de acuerdo con las necesidades de negocio y que asegure buenas prácticas de restauración de datos cuando sean necesarias.

¿Cómo cumplir con la ley SOX-TI?

Mi organización debe cumplir la norma, ¿cómo empiezo?

Es probable que tu organización no se encuentre preparada para cumplir la normatividad SOX en un primer año, por lo que regularmente la industria se apoya en profesionales especializados para realizar un ejercicio de SOX – Pre assessment antes de una certificación formal.

Este ejercicio consta de trabajo interno donde se realiza un análisis de brecha, buscando conocer el estado actual de la organización. El fin es conocer lo que se tiene en cuanto a controles implementados, parcialmente implementados o definitivamente aquellos que no funcionan o no existen y deben implementarse de cero o replantearse.

En todos los casos, deberán existir planes de acción estructurados que permitan realizar seguimiento a tiempo y oportuno de los compromisos.

Es relevante a su vez que la Alta Dirección se comprometa con la ejecución de estos controles y monitoree o calibre periódicamente sus equipos para el correcto funcionamiento de los controles SOX- IT implementados.

Por último, los equipos de auditoría interna normalmente vigilarán y acompañarán a las administraciones velando que cumplan adecuadamente con los controles mediante la ejecución periódica de pruebas, emisión de resultados y recomendaciones y acompañamiento permanente.

Cristian Ramírez

Cristian es Especialista de Auditoría de Sistemas y Tecnología con énfasis en evaluación y mejoramiento de procesos de tecnología en empresas de diferentes sectores acompañando proyectos en Colombia.

1 comentario

  • Cristian, su artículo es muy interesante y aborda los elementos principales a tener en cuenta en el entorno SOX-IT, el cual en algunos casos se descudida y se convierte en origen de brechas y hallazgos durante procesos de auditoría y revisiones por parte de entes de control. Un buen punto de partida para el cumplimiento de la norma y reducir la materialización de riesgos asociados con el reporte financiero.

Entradas recientes

Cookie Consent One Trust