MARCO METODOLÓGICO PARA LA SUPERVISIÓN DEL ÁREA DE TECNOLOGÍA, APLICABLE A LAS INSTITUCIONES FINANCIERAS DEL SEGMENTO 3, 4 Y 5 DE LA ECONOMÍA POPULAR Y SOLIDARIA.
Loading...
Date
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
There are several studies on the frameworks and methodologies for performing IT audits, however there is
little information about its application in financial institutions of the Popular and Solidarity Economy with
limited resources. This research study raises the IT audit with a focus on operational risk. The proposal is
based on a literary review of the main risk concepts, as well as models applicable to IT auditing, including:
COBIT 5, COSO 2013 and ISA-315. The research presents an audit model for IT, through a graphic
scheme which is based on international auditing standards such as ISA-315 International Standard on
Auditing in reference Identifying and assessing the risks, this scheme establishes as main tasks the
identification of risks and the recognition of controls implemented as a measure to prevent economic
losses. In addition, as a complement to the methodology, an audit matrix is proposed which serves as a
tool for the identification of controls in the IT area, through the following categories: validity of information,
data center, access security, changes in applications and system acquisitions.
The validation of the proposed methodological framework is done using the technique of focus groups, in
Description
A pesar de la gran cantidad de material publicado sobre marcos y metodologías para la supervisión del
área de tecnología, existe poca información sobre la aplicabilidad de estos a instituciones financieras de
la Economía Popular y Solidaria con recursos limitados. Por lo que el presente estudio de investigación
aborda este aspecto desde la perspectiva de supervisión al área de tecnología enfocada en riesgo
operativo. La propuesta se fundamenta en una revisión literaria de los principales conceptos sobre
riesgo, así como modelos aplicables a la auditoría de tecnología, entre los que se considera: COBIT 5,
COSO 2013 e ISA-315. La investigación presenta un modelo de supervisión, a través de un esquema
gráfico el cual se sustenta en normas internacionales de auditoria como es el caso de ISA-315 Norma
Internacional de Auditoría referente a la identificación de riesgos, en dicho esquema se establece como
tareas primordiales la identificación de riesgos y la verificación de controles implementados como
medida de prevención de pérdidas económicas. Por otra parte y como complemento de la metodología
propuesta se define una matriz de supervisión la cual considera las actividades necesarias para la
identificación de controles en el área de tecnología sobre las siguientes categorías: validez de la
información, centro de datos, seguridad de accesos, cambios en aplicaciones y adquisiciones.
La validación del marco metodológico propuesto, se realiza mediante la técnica de grupos focales, con
la finalidad de obtener datos cualitativos que muestran la percepción de los participantes sobre el marco
metodológico definido, para dicha validación se abarcó un grupo de profesionales con amplia
experiencia en procesos de supervisión y análisis de riesgo operativo tecnológico en entidades
financieras regidas por la Superintendencia de Economía Popular y Solidaria.