La normativa SUGEF 14-17 y la auditoría externa que las entidades supervisadas deben cumplir

---

La gestión del ámbito de la tecnología del a información se convierte en un aspecto neurálgico de cualquier organización y las entidades financieras reguladas por SUGEF no son la excepción. Por ello, SUGEF establece una auditoría externa de TI basada en la normativa o acuerdo 14-17.

SUGEF establece que el intervalo de solicitud del supervisor de la auditoría externa de TI no puede ser menor a dos años ni mayor a cuatro años; a menos que el supervisor decida adelantarla. Esta auditoría debe cumplir con el ciclo de auditoría de TI conforme a las Normas de Auditoría y Aseguramiento de Sistemas de Información emitidas por ISACA.  

El auditor externo que realiza la auditoría debe estar inscrito en el Registro de Auditores Elegibles del Registro Nacional de Valores e Intermediarios y en el contrato con este debe debe incluirse una cláusula que lo obligue a entregar al supervisor copia de la información recopilada y procesada.

La entidad supervisada debe entregar al supervisor productos específicos que son el informa de auditoría externa de TI, la matriz de evaluación de los procesos auditados, copia del acta del Órgano de Dirección de la entidad en el que se aprueba el informe.

Según documentación de SUGEF, el alcance de la auditoría lo establece el supervisor con base en los siguientes aspectos:

• Procesos y objetivos de control a evaluar, con base en el marco de gestión de TI aplicables en el momento de la solicitud de la auditoría externa de TI.

• Entidades supervisadas y áreas de negocio a considerar en cada proceso.

• Servicios de TI suministrados por proveedores de TI.

• El periodo de cobertura.

La entidad supervisada debe presentar un plan de acción que debe ser aprobado por el Órgano de Dirección de la entidad y debe ejecutar las modificaciones solicitadas por el supervisor.  

Si desea profundizar sobre estos temas, puede indigar entre nuestros servicios