Академический Документы
Профессиональный Документы
Культура Документы
Introducción:
Como parte del establecimiento de los términos del compromiso, es útil para el
profesional comprender las responsabilidades de la administración; por lo tanto, este
módulo también proporciona una breve descripción de las mismas.
Objetivos
En general, el profesional aceptará o continuará una relación con el cliente solo después
de que haya considerado
no tenga información que lleve al profesional a creer que el cliente carece de integridad.
Si una o más de las condiciones previas no están presentes, el profesional debe discutir
el asunto con la administración e intentar resolver el problema ANTES DE ACEPTAR O
CONTINUAR EL COMPROMISO. El PÁRRAFO .28 DE LA SECCIÓN 105 DE AT-C
proporciona orientación a un profesional que descubre, una vez aceptado el
compromiso, que una o más de las condiciones previas no están presentes.
a. No hay razón para creer que los requisitos éticos relevantes (incluida la
independencia) en el Código de Conducta Profesional de AICPA no se
cumplirán.
b. Determinó que las personas que realizan el compromiso tienen la competencia
y las capacidades adecuadas para realizarlo.
c.
d. Planea adjuntar una opinión escrita expresada en el informe del profesional, el
cual está incluido en el informe del examen de gestión de riesgos de seguridad
cibernética.
Debido a la falta de madurez de los PROGRAMAS DE GESTIÓN DE RIESGOS DE
SEGURIDAD CIBERNÉTICA de muchas entidades, la administración puede no tener
expectativas realistas sobre el desempeño del compromiso y las conclusiones que el
profesional expresará al final del compromiso. Esto es particularmente cierto cuando
existe la posibilidad de que la opinión del profesional (sobre la descripción, la efectividad
de los controles, o ambos) pueda requerir calificación u otra modificación debido a la
falta de controles apropiados o evidencia adecuada suficiente. Durante la aceptación
del compromiso, el profesional puede desear discutir estos factores con la
administración para ayudar a la administración a formar sus expectativas.
• Es probable que los usuarios del informe del examen de gestión de riesgos
de ciberseguridad comprendan otros factores relacionados con el
compromiso, como la naturaleza del compromiso.
• Los criterios de descripción utilizados para evaluar la presentación de la
descripción pueden ser comprendidos por los usuarios.
• El efecto de terceros (clientes, proveedores, socios comerciales y otros) con
acceso a los sistemas de la entidad en los riesgos de ciberseguridad se
aborda en el programa de gestión de riesgos de ciberseguridad y los usuarios
pueden entenderlo.
• Los criterios de control utilizados para evaluar la efectividad de los controles
pueden ser comprendidos por los usuarios.
• El período durante el cual se realizará el compromiso cumplirá las
necesidades de información de los usuarios.
Por ejemplo, una entidad planea vender una división particular de su negocio que opera
bajo un programa de gestión de riesgos de ciberseguridad independiente y separado, y
los compradores potenciales han expresado su preocupación por los riesgos de
ciberseguridad que pueden estar asumiendo a través de la compra. En respuesta a esas
inquietudes, la administración podría contratar a un profesional para que examine e
informe únicamente sobre el programa de gestión de riesgos de ciberseguridad de esa
división.
En este ejemplo, sería razonable que un profesional concluya que un informe de examen
de gestión de riesgos de ciberseguridad de la división que se vende es un tema
apropiado para el compromiso porque dicho informe es probable que SATISFAGA LAS
NECESIDADES INFORMATIVAS de los compradores potenciales de la división.
También concluiría que el USO DEL INFORME DEBERÍA ESTAR RESTRINGIDO a
tales compradores.
Cuando el examen de gestión de riesgos de ciberseguridad abarca solo una parte del
programa de gestión de riesgos, el lenguaje utilizado en la aseveración de la
administración y en el informe del profesional debe adaptarse para reducir el riesgo de
malentendidos por parte de los usuarios del informe, identificando claramente la parte
del programa que se abordó en el examen.
Puede haber circunstancias en las que la administración no esté preparada para hacer
una afirmación acerca de si los controles dentro del programa de gestión de riesgo de
ciberseguridad de la entidad fueron efectivos para lograr los objetivos de ciberseguridad
de la entidad. En tales circunstancias, en lugar de hacer una afirmación sobre si los
controles fueron efectivos para lograr los objetivos de ciberseguridad de la entidad, la
administración puede hacer una afirmación sobre la idoneidad del diseño de los
controles dentro del programa.
Dicho examen de solo diseño incluiría los siguientes dos temas: (1) la descripción del
programa de gestión de riesgos de ciberseguridad de la entidad y (2) el adecuado diseño
de los controles implementados dentro de ese programa para lograr los objetivos de
ciberseguridad de la entidad.
Las siguientes son circunstancias en las que un informe de solo diseño podría ser útil:
Consideración de terceros
Los criterios también deben estar disponibles para informar a los usuarios y permitirles
comprender cómo la entidad ha preparado su descripción y evaluado la efectividad de
los controles para lograr los objetivos de ciberseguridad de la entidad.
Criterios de Control
Al realizar esa evaluación, el profesional debe considerar los atributos de los objetivos
adecuados descritos en el marco de COSO. De acuerdo con el marco de COSO, los
objetivos adecuados son:
Disponibilidad
Confidencialidad
Integridad de Procesamiento
El PÁRRAFO .10 DE LA SECCIÓN 205 DE AT-C requiere que el profesional solicite una
declaración escrita de la parte responsable que aborde ambos temas en el examen de
gestión de riesgos de ciberseguridad. Específicamente, la afirmación aborda si (1) la
descripción se presenta de acuerdo con los criterios de descripción y (2) los controles
dentro del programa fueron efectivos para lograr los objetivos de ciberseguridad de la
entidad.
El párrafo .24 de la sección 105 de AT-C y el párrafo .06 de la sección 205 de AT-C
establecen que un profesional debe ser independiente al realizar un trabajo de
certificación, como el examen de gestión de riesgos de ciberseguridad.
En algunos compromisos, sin embargo, la parte comprometida puede ser otra persona
que no sea la gerencia.
Por ejemplo, en una adquisición propuesta, la parte comprometida podría ser la parte
interesada en adquirir la entidad. Como parte de su debida diligencia en la compañía
objetivo, la parte comprometida puede querer información sobre el PROGRAMA DE
ADMINISTRACIÓN DE RIESGOS DE CIBERSEGURIDAD de la entidad para evaluar
los riesgos adicionales que la parte comprometida podría estar asumiendo en caso de
una brecha de seguridad en la entidad.
Mantener la calidad adecuada en el compromiso implica que los miembros del equipo
del compromiso realicen el trabajo con la competencia y las capacidades adecuadas.
Por esa razón, el profesional no debe aceptar el examen de administración de riesgos
de ciberseguridad a menos que haya determinado que las personas que realizan el
compromiso en particular tienen la competencia y las capacidades adecuadas para
realizarlo.
Al considerar la competencia y las capacidades de los miembros del equipo del
compromiso, el socio del compromiso debe considerar si el equipo asignado
colectivamente tiene, o puede adquirir, lo siguiente:
Además, el socio del compromiso debe asegurarse de que los miembros del equipo
estén informados de sus responsabilidades, incluidos los objetivos de los
procedimientos que deben realizar y los asuntos que pueden afectar la naturaleza, el
calendario y el alcance de dichos procedimientos. El socio del compromiso también
debe estar satisfecho de que los miembros del equipo del compromiso hayan sido
dirigidos a llamar su atención sobre cualquier pregunta importante planteada durante el
compromiso.
El socio del compromiso puede decidir complementar el conocimiento y las habilidades
del equipo del compromiso con el uso de especialistas.
El párrafo .07 de la sección 205 de AT-C requiere que el profesional esté de acuerdo y
documente en una comunicación escrita, los términos del compromiso con la parte
comprometida. Dicha comunicación escrita reduce el riesgo de que el profesional o la
gerencia (que generalmente es la parte involucrada en el examen de gestión de riesgos
de ciberseguridad) puedan MALINTERPRETAR LAS NECESIDADES O
EXPECTATIVAS de la otra parte. Por ejemplo, reduce el riesgo de que la administración
tenga la intención de confiar en el trabajo del profesional para proteger a la entidad
contra ciertos riesgos o para realizar ciertas funciones de administración. Además, la
comprensión preliminar de los términos del examen de administración de riesgos de
seguridad cibernética le permite al profesional identificar si existen indicios de que es
poco probable que el alcance del compromiso o los criterios que se utilizarán en el
examen satisfagan las necesidades de información de los usuarios.
Los términos acordados del compromiso deben incluir, como mínimo, lo siguiente:
Al igual que en otros compromisos de control interno, el enfoque de arriba hacia abajo
en un examen de gestión de riesgos de ciberseguridad generalmente implica la
consideración de los asuntos discutidos en los párrafos anteriores de esta sección,
seguido de la consideración de los procesos y controles a nivel de entidad, así como la
evaluación y el monitoreo de la administración.
En este contexto, es razonable que el profesional asuma que los usuarios del informe:
A menos que el compromiso haya sido diseñado para satisfacer las necesidades
de información particulares de los usuarios específicos del informe del examen de
gestión de riesgos de ciberseguridad (y el informe está restringido a esos usuarios
específicos),
El profesional debe obtener una comprensión suficiente del tema del compromiso. Hay
dos temas en el examen de gestión de riesgos de ciberseguridad:
Al evaluar los riesgos de error importante, el profesional debe obtener una comprensión
del control interno que, en el caso de un examen de gestión de riesgos de
ciberseguridad, se centra en evaluar el diseño de los controles sobre la preparación de
la descripción y determinar si se han implementado mediante consultas al personal
responsable de la descripción y realizando otros procedimientos. Además, el profesional
debe considerar los controles, incluidas las actividades de monitoreo, que la entidad ha
diseñado e implementado para proporcionar una seguridad razonable de que se logran
los objetivos de ciberseguridad de la entidad.
Los riesgos para los activos de información de la entidad, incluidos los sistemas de
control industrial y de fabricación, pueden surgir de cualquiera de los siguientes:
Una vez que el profesional ha identificado y evaluado los riesgos, debe considerar los
procesos y controles que la entidad ha diseñado, implementado y operado para mitigar
esos riesgos. Como lo requiere el párrafo 18 de la sección 205 de AT-C, el profesional
debe considerar el riesgo evaluado de error material como la base para diseñar y realizar
procedimientos adicionales cuya naturaleza, oportunidad y alcance (a) responden a los
riesgos evaluados de error material y (b) permiten que el profesional obtenga una
seguridad razonable sobre si la descripción se presenta de acuerdo con los criterios de
descripción y si los controles fueron efectivos para lograr los objetivos de ciberseguridad
de la entidad basados en los criterios de control.
La mayoría de los procedimientos del profesional para formar una opinión sobre la
descripción y la efectividad de los controles consiste en obtener y evaluar evidencia. Los
procedimientos para obtener evidencia incluyen inspección, observación, re-ejecución y
procedimientos analíticos, a menudo en alguna combinación, además de la
investigación.
Por ejemplo, una entidad puede contratar a un proveedor de servicios para realizar:
a) Pruebas de vulnerabilidad
b) Responsabilidades de la función de auditoría interna que el área en sí no tiene
la competencia o las calificaciones para desempeñar.
c) Una evaluación especial única a petición de la junta directiva. Ni el título de la
función, ni el hecho de que lo realice la entidad o un proveedor de servicios
externo, son los únicos determinantes de si el profesional puede utilizar el trabajo
de los auditores internos. Más bien, es la naturaleza de las actividades, el estado
organizativo de la función de auditoría interna, y las políticas y procedimientos
relevantes, las que apoyan la objetividad y competencia de los auditores
internos, y el enfoque sistemático y disciplinado de la función que se realiza.
LAS ACTIVIDADES DE LA FUNCIÓN DE AUDITORÍA INTERNA que pueden ser
relevantes para el examen de gestión de riesgos de ciberseguridad incluyen aquellas
que proporcionan información o evidencia sobre si la descripción se presenta de
acuerdo con los criterios de descripción o si los controles dentro del programa de gestión
de riesgos de ciberseguridad fueron efectivos para lograr objetivos de la ciberseguridad
de la entidad.
Por ejemplo, la lectura del plan de auditoría interna y los informes emitidos por la función
de auditoría interna le permiten al profesional entender la naturaleza de las
responsabilidades de la función de auditoría interna y cómo la función de auditoría
interna se ajusta a la estructura organizativa de la entidad. Además, cualquier hallazgo
en los INFORMES DE AUDITORÍA INTERNA que se relacione con la presentación de
la descripción del programa de gestión de riesgos de ciberseguridad o la efectividad de
los controles dentro de ese programa se debe tomar en cuenta como parte de la
evaluación de riesgos y para determinar la naturaleza, el calendario, y alcance de los
procedimientos planeados por el practicante.
El profesional puede determinar que el trabajo puede realizarse de manera más efectiva
o eficiente utilizando el trabajo de la función de auditoría interna u obteniendo asistencia
directa del personal. La frase "USAR EL TRABAJO DE LA FUNCIÓN DE AUDITORÍA
INTERNA" generalmente se refiere al uso del trabajo diseñado y realizado por la función
de auditoría interna, de acuerdo con un plan de auditoría interna, para obtener evidencia
para respaldar los diversos objetivos de la entidad. Esto difiere del trabajo que realiza la
función de auditoría interna para brindar asistencia directa al profesional, incluida la
asistencia para realizar pruebas de los controles diseñados por el profesional y
realizados por miembros de la función de auditoría interna bajo la dirección, supervisión
y revisión del profesional. Cuando los miembros de la función de auditoría interna
brindan asistencia directa, los procedimientos que realizan son similares al trabajo
realizado por el equipo de trabajo.
Para evitar el uso indebido de la función de auditoría interna para obtener evidencia, el
profesional debe realizar un trabajo más directo cuando:
• Se requiere más juicio para planificar y realizar los procedimientos o para evaluar
la evidencia obtenida.
• El riesgo evaluado de error material es alto.
• El estado organizativo de la función de auditoría interna y las políticas y
procedimientos relevantes generan inquietudes acerca de la objetividad de los
auditores internos.
• El nivel de competencia de la función de auditoría interna es bajo.
Como base para coordinar las actividades respectivas entre el profesional y los
auditores internos, puede ser útil abordar lo siguiente cuando se planea usar el trabajo
de la función de auditoría interna:
La comunicación a lo largo del compromiso brinda oportunidades para que los auditores
internos presenten asuntos que pueden afectar el trabajo del profesional. Luego, el
profesional puede tomar en cuenta dicha información (por ejemplo, al evaluar los riesgos
que la descripción no se presenta de acuerdo con los criterios de descripción o que los
controles no fueron efectivos para lograr los objetivos de ciberseguridad basados en los
criterios de control).
Por esas razones, el practicante que decide utilizar el trabajo de otro debe:
Una vez que el profesional ha decidido utilizar el trabajo de otro auditor, debe
comunicarse con él sobre el alcance y el calendario del trabajo. A través de esta
comunicación, el profesional puede planificar mejor la naturaleza, el tiempo y el alcance
de cualquier procedimiento relacionado con el trabajo del otro profesional, incluida su
participación en la dirección, supervisión y revisión del trabajo.
Resumen: