Propuesta de un set de controles para una auditoría de tecnologías de información de cumplimiento de la ley N°8204

Abstract

El presente trabajo final de graduación tiene como finalidad, diseñar una propuesta de un set de controles para una auditoría de tecnologías de información de cumplimiento de la ley N°8204, con el propósito de generar una mejora en la calidad de estas revisiones. En la actualidad la tecnología es empleada de forma casi desmesurada en la mayor parte de procesos dentro de las organizaciones para automática y optimizarlos; y no es la excepción, su uso en organizaciones fiscalizadas por algún ente regulador para facilitar el cumplimiento de los requerimientos impuestos por alguna ley. Por lo tanto, empieza a ser importante considerar las buenas prácticas de gestión de tecnologías de información como COBIT 2019 y/o ISO9001 cuando existe algún componente tecnológico que es regulado por actividades de control. Dado lo anterior, la presente investigación procederá a realizar un análisis del proceso actual realizado por una empresa que brinda servicios de auditoría externa sobre cumplimiento de la ley Nº8204, para determinar si el proceso se encuentra definido y delimitado de forma que todo colaborador realice un proceso unificado, estandarizado y con el mismo grado de calidad para cada cliente, asegurando resultados confiables y abordando los aspectos mínimos de la legislación nacional en temas de fraude y lavado de dinero. Más adelante se consideran aspectos de la regulación nacional, específicamente el acuerdo SUGEF 12-10 y de los marcos de trabajo que contribuyen, fundamentan y consolidan la propuesta elaborada mediante este proyecto. Posteriormente, se diseña la propuesta de controles basada en el análisis de brechas, con todas las oportunidades de mejora identificadas durante el desarrollo de la investigación, de forma que se pretende estandarizar el proceso de ejecución de las auditorías de TI de cumplimiento de la ley Nº8204 para que puedan ser ejecutadas por cualquier colaborador con poca experiencia sin sufrir cambios en la calidad del proceso o los resultados. De esta forma, el presente trabajo final de graduación alcanzó a resolver la situación problemática planteada sin afectar los aspectos mínimos de la legislación nacional que deben considerarse durante la revisión. Finalmente, mediante un modelo de costos se determinó que la propuesta es viable de implementar desde el punto de vista financiero pues presenta indicadores de inversión positivos.

The purpose of this final graduation work is to design a proposal for a set of controls for an information technology audit in compliance with Law No. 8204, with the purpose of generating an improvement in the quality of these reviews. At present, technology is used in an almost excessive way in most processes within organizations to automate and optimize them; and it is not the exception, its use in organizations supervised by a regulatory entity to facilitate compliance with the requirements imposed by any law. Therefore, it is becoming important to consider good information technology management practices such as COBIT 2019 and / or ISO9001 when there is a technological component that is regulated by control activities. Given the above, this investigation proceeds to carry out an analysis of the current process carried out by a company that provides external audit services on compliance with Law No. 8204, to determine if the process is defined and delimited in such a way that all collaborators carry out a unified, standardized process with the same degree of quality for each client, ensuring reliable results and addressing the minimum aspects of national legislation on fraud and money laundering issues. Later, aspects of national regulation are considered, specifically the SUGEF 12-10 agreement and the frameworks that contribute, base, and consolidate the proposal prepared through this project. Subsequently, the control proposal is designed based on the analysis of gaps, with all the opportunities for improvement identified during the development of the investigation, in such a way that it is intended to standardize the process of executing IT audits in compliance with Law No. 8204 so that they can be executed by any collaborator with little experience without undergoing changes in the quality of the process or the results. In this way, the present final graduation work managed to resolve the problematic situation raised without affecting the minimum aspects of the national legislation that must be considered during the review. Finally, used a cost model to determine that the proposal is feasible to implement from a financial point of view, since it presents positive investment indicators.