Auditoría de evaluación del modelo de control de tecnología de información para cumplimiento de la ley Sarbanes Oxley, en una empresa privada del sector financiero costarricense

Abstract

Este documento contiene la ejecución de un ejercicio cuyo objetivo fue aplicar una auditoría al diseño y efectividad de los controles establecidos por la gerencia de Tecnología de Información para el cumplimiento de la ley Sarbanes Oxley. Derivó en una opinión sobre los controles definidos y generó las oportunidades de mejora pertinentes, con el fin de asegurar su eficacia y dar una seguridad razonable de la mitigación de los riesgos respectivos relacionados con TI. Como parte del alcance, se abarcó un total de tres controles de la cartera definida para TI en la organización, por medio de la ejecución de una prueba de escritorio, una prueba de recorrido del control y una prueba de validación de su efectividad. Asimismo, se generaron los machotes de papeles utilizados en el ejercicio y se adjuntó dicha información con el objetivo de proporcionar una guía para futuros esquemas de trabajo similares. A nivel de resultados, se evaluaron tres controles en alcance, los cuales resultaron con una conclusión de “Adecuado en diseño”, y dos controles que se declararon como “Inefectivos en ejecución”, lo cual implicó la recomendación al respecto. Como parte de las recomendaciones, se generaron diez oportunidades de mejora, orientadas a evitar posibles inefectividades futuras y a mejorar la gestión a nivel de las áreas encargadas.This document contains the execution of an audit exercise to comply with the Sarbanes Oxley act, the auditor gave an opinion on the design and effectiveness of the defined controls and develops the corresponding improvement opportunities. The objective of the work was to apply an audit to the design and effectiveness of the controls established by the administration in order to comply with the Sarbanes Oxley act, to ensure its effectiveness and provide reasonable comfort on IT risk mitigation. As part of the scope, three controls of the portfolio defined for IT were included, executing a desk test, a walkthrough test and an effectiveness validation test. Likewise, guidelines were generated, and information is attached to provide a guide for similar future work schemes. As a result, the audit evaluate d three controls; and obtained three with a conclusion of "Adequate in design" and two controls that were declared as "ineffective in execution" which implied the election in this regard. As part of the recommendations, ten opportunities for improvement were generated, which can prevent future ineffectiveness and improve management.