• Bookmark

COBIT 5 aplicado al sistema de registro contable informático argentino

By Graciela Braga, CGEIT, CPA

COBIT Focus | 5 Enero 2015 Inglés

Graciela Braga En Argentina, el Código de Comercio establece las obligaciones comunes a los comerciantes: todo comerciante está obligado a llevar cuenta y razón de sus operaciones. Para satisfacer este requerimiento legal actual, es necesario identificar un marco de trabajo de gobierno y gestión de TI tal como COBIT 5.


Los comerciantes deben llevar un Diario, un libro donde se asentarán todas las operaciones día por día y según el orden en que se vayan efectuando.


De acuerdo a la Ley 19550 de Sociedades Comerciales, este libro podrá sustituirse por un sistema de registro contable informático en la medida que la autoridad de control o el Registro Público de Comercio lo autorice. Para esta autorización las sociedades comerciales deben presentar una demostración técnica del grado de inalterabilidad de los registros a efectuar mediante el sistema de registro contable informático propuesto.


Por qué COBIT 5?

Los marcos de negocios (o frameworks), las teorías empresariales, las mejores prácticas, asisten a los administradores y representantes de la sociedad en el cumplimiento y posterior demostración de su responsabilidad como “buen hombre de negocios”.


La propia Ley 19550 estructura a las sociedades en base a dos órganos, uno de administración o gestión social, que dirige la actividad a la consecución del objeto social, y uno de gobierno que delibera, vota y aprueba la gestión.


El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos. Este principio, propio de COBIT 5, convalida su aplicabilidad no solo a los sistemas de registros contables informáticos sino, también, al espíritu de organización societaria dela Ley 19550.


El gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.


La gestión planifica, construye, ejecuta y supervisa actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.


La aplicación de los principios de COBIT 5

COBIT 5 parte del supuesto que las empresas existen para crear valor para sus “partes interesadas” (stakeholders), entonces cualquier empresa, comercial o no, tendrá la creación de valor como un objetivo de gobierno.


Para aplicar el primer principio de COBIT 5, satisfacer las necesidades de las partes interesadas, al sistema de registro contable informático, es necesario definir quiénes son sus “partes interesadas” y cuáles son sus ”necesidades”.

  • Partesinteresadas:
    • Externas: sociedad en general, clientes, proveedores, autoridad de contralor, auditores externos
    • Internas: órgano de administración y de gobierno, responsables de los procesos de negocios, responsables del sistema de registro contable, responsables de la TI, responsables del cumplimiento, auditores internos
  • Necesidades de las partes: En este trabajo se hará hincapié en dos de las propuestas por el marco COBIT 5:
    • Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas: Se requiere cumplir con un conjunto de leyes nacionales y las emitidas por la autoridad de contralor.
    • Seguridad de la información, infraestructura de procesamiento y aplicaciones: La autoridad de control requiere que el sistema de registro contable ofrezca un elevado grado de inalterabilidad (no modificación) delos registros realizados, el que estará sustentado en controles internos de tipo administrativo contable y otros de tipo operativos o programados, aplicables sobre la información de entrada, su procesamiento e información de salida.

COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo, cubriendo todas las funciones y procesos dentro de la empresa. No se enfoca sólo en la “función de tecnología de información”, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa.


El principio 2, cubrir la empresa extremo-a-extremo, se refleja en la definición de sistema de registro contable, considerado como tal al conjunto de elementos interrelacionados destinados al registro de las operaciones y hechos económico–financieros de “toda” entidad. Por ejemplo, al realizar una compra de un activo informático crítico, el mismo serárecibido, registrado y controlado por los roles de negocio, mientras que será utilizado y administrado por los distintos roles de TI. Ambos roles definirán posteriormente si ese activo ha contribuido al logro de los objetivos de negocio y de TI.


COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la empresa. Esto se refleja en el principio 3, aplicar un marco de referencia único integrado.


Esta alineación a alto nivel permite hacer un mapeo entre los diferentes marcos y así utilizar lo mejor de cada uno de ellos para cumplir con las leyes y normas vigentes nacionales basadas en marcos reconocidos internacionalmente, tales como el Marco Integrado de Control Interno publicado por el Committee of Sponsoring Organizations of theTreadway Commission (COSO), ISO/IEC 27002 y las relacionadas con protección de datos personales.


El principio 4 es hacer posible un enfoque holístico. COBIT 5 define siete categorías de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para la TI de la empresa, todos ellos necesarios para asegurar la correcta implementación del sistema de registro contable informático y la exactitud e integridad de la información contable (financial statement):

  1. Principios, políticas y marcos de referencia necesarios para llevar a cabo y registrar todas las operaciones de la sociedad y gestionar el sistema de registro contable informático.
  2. Procesos necesarios gestionar las actividades de la TI relacionadas con el sistema de registro contable informático.
  3. Estructuras organizativas que definan las responsabilidades de cada uno de los roles de negocios y de TI involucrados en las acciones de registración propiamente dichas y las relacionadas con el sistema de registro contable informático.
  4. Cultura, ética y comportamiento de los individuos y de la empresa, que brinde las bases necesarias para el cumplimiento del negocio de las leyes y regulaciones externas, políticas y procedimientos internos y mejores prácticas para la protección de los activos de TI en general y de información en particular.
  5. Información contable útil para la toma de decisiones de todas las partes interesadas y para demostrar el cumplimiento normativo ante terceras partes, incluyendo situaciones judiciales.
  6. Servicios, infraestructura y aplicaciones que proporcionan a la empresa los servicios y tecnologías de procesamiento de la información relacionados con el sistema de registro contable informático.
  7. Personas, habilidades y competencias tanto de negocios como de TI, necesarias para poder llevar a cabo las actividades y para la correcta toma de decisiones y de acciones correctivas.

COBIT 5 define un mapeo de cómo cada una de estas metas relacionada con TI es soportada por los procesos de COBIT 5.


Con respecto a la meta cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas, COBIT 5 considera que es necesario implementar:


Principalmente los procesos:

  1. BAI10 Gestionar la configuración
  2. DSS05 Gestionar los servicios de seguridad
  3. MEA02 Supervisar, evaluar y valorar el sistema de control interno
  4. MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos
Secundariamente los procesos:
  1. BAI02 Gestionar la definición de requisitos
  2. BAI09 Gestionar los activos
  3. DSS01 Gestionar las operaciones
  4. DSS03 Gestionar los problemas
  5. DSS04 Gestionar la continuidad
  6. DSS06 Gestionar los controles de los procesos del negocio
  7. MEA01 Supervisar, evaluar y valorar rendimiento y conformidad

Con respecto a la meta seguridad de la información, infraestructura de procesamiento y aplicaciones, COBIT 5 considera que es necesario implementar:


Principalmente los procesos:

  1. BAI06 Gestionar los cambios
  2. DSS05 Gestionar los servicios de seguridad
Secundariamente los procesos:
  1. BAI02 Gestionar la definición de requisitos
  2. BAI08 Gestionar el conocimiento
  3. BAI09 Gestionar los activos
  4. BAI10 Gestionar la configuración
  5. DSS01 Gestionar las operaciones
  6. DSS02 Gestionar las peticiones y los incidentes del servicio
  7. DSS04 Gestionar la continuidad
  8. DSS06 Gestionar los controles de los procesos del negocio
  9. MEA01 Supervisar, evaluar y valorar rendimientos y conformidad
  10. MEA02 Supervisar, evaluar y valorar el sistema de control interno
  11. MEA03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos

Como puede observarse varios procesos se repiten. Puestos que los mismos están íntimamente relacionados para la consecución de las metas y las salidas de un proceso son la entrada de otro.


Separar el Gobierno de la Gestión

El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión (principio 5). Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos.


Este principio, propio de COBIT 5, convalida su aplicabilidad no solo al sistema de registro contable informático sino, también, al espíritu de organización societaria de la Ley de sociedades comerciales argentinas.


Graciela Braga, CGEIT, CPA

Es vicepresidente de la Comisión de Estudios sobre Sistemas de Registro, su integridad y autenticidad documental del Consejo Profesional de Ciencias Económicas de la Ciudad Autónoma de Buenos Aires, Argentina e Investigadora del Instituto Autónomo del Derecho Contable, Argentina. Sus antecedentes laborales incluyen auditorías y revisiones del control interno tanto en el ámbito público como en el privado, utilizando Marcos internacionales como COBIT, COSO y la Serie ISO 27000. Participó en la elaboración y revisión de productos y artículos técnicos de ISACA relacionados con COBIT, privacidad y macrodatos (big data).


Referencias

  • Congreso de la Nación Argentina, Código de Comercio, Argentina
  • Congreso de la Nación Argentina, Ley 19550 Sociedades Comerciales, 1972 (texto actualizado), Argentina
  • Inspección General de Justicia, Resolución IGJ N°07/2005, Argentina
  • Comisión de Estudios sobre Sistemas de Registros del Consejo Profesional de Ciencias Económicas de Buenos Aires, Argentina, www.consejo.org.ar/areas/contabilidad/contabilidad.html
  • Favier Dubois (h.), E.; L. Spagnolo; Herramientas Legales para el Contador Público y Estudios Profesionales, 1°ed., Ad Hoc, Argentina, 2013
  • Braga, Graciela; “Aplicación de un marco de negocio de gestión y gobierno de tecnología de información de la empresa a los sistemas de registrosinformáticos”, VII Jornada Nacional de Derecho Contable, IADECO, Argentina, Junio 2014
THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.