MAGERIT  

Posted by: Unknown

VIDEO



Comentario: 
MAGERIT es una metodología de análisis y gestión de riesgos, que tiene como objetivo concienciar a los encargados de los aspectos de tecnología  de información que existen riesgos y que se deben gestionar. MAGERIT proporciona asimismo una metodología sistemática de análisis de riesgos y tratamiento oportuno de estos por medio de salvaguardas, preparando a la compañía para procesos de auditoria, evaluación, certificación y acreditación. la importancia de tener una herramienta de análisis y gestión de riesgos es que protege a los activos mas valiosos de la organización de los diferentes incidentes negativos. entre los principales activos de la organización encontramos la información, recurso humano, software y hardware. La utilización de esta metodología requiere de un proceso empezando por la planificación (donde se establecen los objetivos y recursos necesarios para ejecutar el trabajo), después por el análisis de riesgos (donde se identifican los activos, la relación entre estos y los riesgos asociados a los activos) y finalmente la gestión de riesgos (donde se establecen las salvaguardas, la calidad y eficacia de estas en la mitigación de riesgos). Para el análisis y gestión de riesgo se debe determinar los activos , determinar las amenazas, desarrollar salvaguardas, estimar el impacto y evaluar el riesgo. 

COBIT (Control Objectives for Information and related Technology)  

Posted by: Unknown



COBIT: Objetivos de control para la información y tecnologías relacionadas  

Es un marco que comprende las mejores practicas enfocadas al control y monitoreo de la tecnología de la información. El cual es desarrollado por ISACA (Asociación de Auditoría y Control de Sistemas de Información), la cual es una asociación internacional creada en el año 1967, con el objetivo de suplir la necesidad de centralizar información y metodologías en el área operativa, en 1976 emitió la primera certificación en sistemas de información. Actualmente se encarga de apoyar y patrocinar la construcción de metodologías y certificaciones para la realización de auditorias y control en sistemas de información.
Hechos relevantes ISACA

  • Son los custodios del framework COBIT
  • Son los creadores del ITGI (instituto de gobierno TI
  • Desarrollaron cuatro certificaciones profesionales, las cuales son:



  • Certificado de auditor de sistemas de información
    Esta certificación se otorga para auditar, controlar, supervisar los sistemas de tecnología de la información y de negocio de una organización.

    Certificado de administrador de seguridad de información

    Esta certificación es aceptada para las personas que diseñan, construyen y gestionan la seguridad de la información empresarial de los programas 



    Certificado de gobierno de la empresa de TI
    Este reconoce conocimientos y aplicación de las TI en las empresas, así como principios y practicas de gobierno. Ofrece que la credibilidad para discutir temas críticos en torno a la gobernabilidad y alineación estratégica basada en la experiencia , habilidades y conocimientos del negocio


    Certificados en riesgo y información de sistemas de control
    Este certificado hace referencia a la capacidad de gestionar riesgos empresariales, convirtiendo en piezas estratégicas para el negocio



    COBIT, es un modelo de administración de la TI el cual incluye una marco, unos objetivos de control, un mapa de auditoria, herramientas para su implementación y fundamentalmente guías de técnica de gestión. 
    COBIT a sacado 6 ediciones, La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000, la cuarta edición en diciembre de 2005, la versión 4.1 en 2007 y la versión 5  en el año 2012 

    Beneficios de COBIT
    1. Alinea las metas y actividades de la función de TI con el negocio 
    2. Aprovechar al máximo la información generando beneficios para el negocio
    3. integrar e institucionalizar las buenas prácticas de control TI
    4. cubrir las necesidades de calidad, regulación y seguridad de la información
    5. Establecer un nivel apropiado de control, ajustado a las necesidades del negocio
    6. Enfoque flexible que se integra con otros marcos de referencia (COSO)






    Áreas de enfoque de gobierno de TI

    Alineación estratégica: garantiza la alineación de TI con la estrategia organizacional.
     Entrega de valor: busca que TI genere los beneficios esperados a la estrategia. Se centra en optimizar costos   y dar valor a TI 
    Administración de recursos: optimización de conocimiento e infraestructura 
    Administración de riesgos: conocimiento de los riesgos, del apetito de los mismos y de las responsabilidades de administrarlos en la organización. 
    Medición de desempeño: Rastrea y monitorea la estrategia de implemetación.


            principios 


    Sa   Satisfacer las necesidades de las partes interesadas
           Cubrir la compañía de forma integral
           Aplicar un marco integrado
           Habilitar un enfoque holístico
           Separar el gobierno de la administración


    COBIT 4.1


    COBIT  se divide en 3 niveles el estratégico, táctico y operativo
    EstratégicoSe explica porque el gobierno de TI es importante, cuales son sus intereses y sus responsabilidades para su administración.
    Táctico: Herramientas para asignar responsabilidades, medir el desempeño, llevar a cabo benchmarks y manejar brechas de capacidad. 
    Operativo: Organiza los objetivos de gobierno y las buenas practicas de TI. Relaciona los requerimientos de control de alto nivel considerados por la dirección.

    REQUERIMIENTOS DE NEGOCIO

    Para lograr los objetivos del negocio, la información debe cumplir con ciertos criterios de control (requerimientos de información de negocio):
    Efectividad: la información debe ser relevante y pertinente a los procesos de negocio, y proporcionada oportunamente, correcta, útil y consistente.
    eficiencia: La información debe ser generada con el optimo uso de recursos.
    Confidencialidad: Protección de la información no autorizada.
    Integridad: Precisión, completitud y validez de la información
    Disponibilidad: La información debe estar disponible cuando sea requerida por los procesos del negocio en cualquier momento.
    Cumplimiento: Acatar aquellas leyes, estatutos,reglamento y acuerdos contractuales a los cuales esta sujeta el proceso del negocio (Políticas internas)
    Confiabilidad: proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.


    METAS DE NEGOCIOS Y DE TI

    Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI da un soporte mas refinado y relacionado con el negocio y el establecimiento de sus requerimientos y parámetros para la medición de las metas. 










    RECURSOS DE TI
    La organización realiza sus operaciones con respecto a las metas por medio de un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas y la infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, tomando  ventaja la información del negocio

    Los recursos de TI identificados en COBIT son los siguientes:

    Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
    La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
    • La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
    Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

    PROCESOS DE TI

    COBIT define las actividades de TI en un modelo general de procesos organizados en cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades TI.

    procesos:Conjunto de actividades unidas con delimitación o cortes de control.
    Actividades: Acciones requeridas para lograr un resultado medible
    Los dominios de COBIT corresponden a la responsabilidad organizacional, en este se definen las actividades de TI en 34 procesos genéricos que cubren 210 objetivos de contro, y se agrupan en cuatro: 
    1. Planificación y Organización -PO (Plan and Organize) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). " Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada".
    2. Adquisición e Implantación-AI (Acquire and Implement) Proporciona las soluciones y las pasa para convertirlas en servicios. "Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio".
    3. Entrega y Soporte- ES (Deliver and Support) Recibe las soluciones y las hace utilizables por los usuarios finales. "Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos".
    4. Supervisión y Evaluación-SE (Monitor and Evaluate). Monitorear todos los procesos para asegurar que se sigue la dirección provista. Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

       CONTROLES


    Los procesos necesitan de controles, un control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.

    COBIT 5

    COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las TI de la empresa. COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. 

    COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima generación de guías sobre el Gobierno y la Administración de la información y los Activos Tecnológicos de las Organizaciones

    COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.


    COBIT 5 PRINCIPIOS Y HABILITADORES

    Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.



    Cobit 5 integra cinco aspectos

    El poder de COBIT 5 está en su amplitud de herramientas, recursos y orientación. El valor de COBIT 5 se encuentra en la forma en que se aplica a su profesión.


    Bibliografía

    http://www.isaca.org/cobit/pages/default.aspx
    http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
    http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
    http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf


    COSO Y ERM  

    Posted by: Unknown

                                                                           COSO


    El Committes of Sponsoring Organization (COSO), fue fundado en 1985 por iniciativa de cinco organizaciones profesionales de control interno de los Estado Unidos, las cuales son: 
    • American Accounting Association (AAA)    
    • American Institute of CPA´s (AICPA)
    • Financial Executives International (FEI)
    • The Association of Accountants and Financial Professionals in Business (IMA)
    • The Institute of Internal Auditors (IIA)
    h  COSO tiene como propósito ayudar a mejorar la calidad organizacional por medio de la ética y controles internos efectivos y eficientes. 
     
        COSO
    E  El marco COSO fue publicado en 1992, es un estándar de referencia para orientar la gestión, control interno y riesgo empresarial, provee seguridad razonable para la administración y para la junta directiva.
         Este marco define control interno como:
         proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:  
    1.       1) Eficacia y eficiencia operativa,
    2.       2) Confiabilidad de información financiera, 
    3.       3)Cumplimiento de leyes,reglas y normas

      Asimismo el control interno los conforman 5 componentes los cuales son: 
       Ambiente de control: Es la base para los demás componentes, da estructura y disciplina, lo conforman: los valores éticos, la filosofía de la dirección y estilo operativo, la atención y orientación brindada por el concejo administrativo y la autoridad y responsabilidad de sus integrantes.
     Evaluación de riesgo: mecanismos de identificación y evaluación de riesgos para alcanzar los objetivos. Consiste en la identificación y análisis de los riesgos relevantes para el logro de los objetivos, adoptando un criterio para elegir relevantes para el logro de los objetivos,adoptando un criterio para elegir la manera en que se deben gestionar dichos riesgos, teniendo en cuenta los riesgos externo e internos para ser evaluados.
       
    Actividades de control: políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección asegurar que las medidas necesarias para mitigar los riesgos identificados durante el proceso de Evaluación de Riesgos se llevan acabo. Incluye actividades como: verificación, conciliaciones, informes financieros, autorizaciones, revisiones, aprobaciones.

    Información y comunicación: Permites el intercambio de información requerida para desarrollar, gestionar y controlar operaciones. La información relevante debe ser identificada, capturada y comunicada de una forma eficaz, para que cada persona cumpla adecuadamente sus funciones. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto.

    Actividades de supervisión: Evalúa la calidad del control interno en el tiempo.Proceso que evalúa la existencia y el funcionamiento de los componentes de control, el gobierno y la gestión de riesgos a través del tiempo, logrando actividades continuas de supervisión o evaluaciones periódicas, además la frecuencia de las evaluaciones permite conocer la eficacia de la supervisión y de la evaluación de los riesgos.

    ERM (Entreprise Risk Management) o COSO II

    El motivo por el cual se expidiera este nuevo marco, se debió a la necesidad de que existiera u marco homogenio con un lenguaje único, tras un proceso desde 2001 a 2004 liderado por la firma PriceWaterHouseCoopers y los 5 miembros nombrados anteriormente se finalizo el documento que contiene concepto, componentes y guías de aplicación.

         Este marco define ERM como: 
       "Un proceso efectuado por el consejo de administración de una entidad, su dirección y demás personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro de un nivel del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos (COSO, 2004)”.

    Este nuevo marco incluye una cuarta categoría:
     1)  Estratégicos: en relación con objetivos de alto nivel, alineadas con la  misión de la entidad 
    2) Operaciones: relacionados con el uso eficaz y eficiente de los recursos de la entidad 3) Confiabilidad de informes: con respecto a la confiabilidad de la información de la entidad
     4) Cumplimiento: en relación con el cumplimiento de la entidad con las leyes y regulaciones aplicables. 

    Asimismo incluye 3 nuevos componentes los cuales son: establecimiento de objetivos, identificación de eventos y respuesta al riesgo.


          Ambiente interno. Base fundamental para los demás componentes, da disciplina y estructura. Influye en la concientización del personal respecto al riesgo y control, y en el modo en los objetivos, estrategias son establecidos. Los factores que contempla son: Filosofía de la administración de riesgos, Apetito al riesgo, Integridad y valores éticos, visión del Directorio, Compromiso de competencia profesional, estructura organizativa, asignación de autoridad y responsabilidad.



       Establecimiento de objetivos: proceso fundamental para identificar eventos potenciales que puedan influir en el logro de los objetivos, los objetivos deben estar alineados con la estrategia y se deben categorizar.



        Identificación de eventos
    Es la identificación de los acontecimientos internos y externos que afectan a los objetivos de la entidad, diferenciandolos entre riesgos y oportunidades. Para la identificación de eventos existen distintas tecnicas como: Análisis de información histórica (de la empresa/sector), indicadores de excepción, entrevistas y cesiones grupales guiadas por facilitadores y análisis de flujos de procesos.

    Evaluación de riesgos
    Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en el logro de los objetivos.
    Los riesgos se pueden evaluar considerando su probabilidad e impacto como base para determinar cómo deben ser  gestionados y se valoran desde una doble perspectiva, inherente y residual.

    Respuesta al riesgo:
    La administración selecciona las posibles respuestas al riesgo. Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido. Las categorías de respuesta al riesgo son:


      ·         Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo

      ·         Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos

      ·         Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo

     ·         Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo


          Actividades de control
    Son las políticas y procedimientos necesarios para asegurar que la respuesta al riesgo se lleva a cabo de manera adecuada y oportuna. La selección o revisión de las actividades de control comprende la consideración de su relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado.

         

         Información y comunicación La información debe ser comunicada en todos los niveles de la organización con el fin de identificar, evaluar y dar una adecuada respuesta al riesgo y asimismo que cada parte de la empresa asuma sus responsabilidades, por lo cual esta información debe ser oportuna y confiable. La comunicación debe darse en sentido amplio, fluyendo a todos los departamentos y niveles de la entidad en todos los sentidos (ascendente, descendente, horizontal y haca fuera de la entidad)



        Monitoreo

        La totalidad de la gestión de riesgos corporativos se supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisión se lleva a cabo mediante actividades permanentes de la dirección, evaluaciones independientes o ambas actuaciones a la vez.


    Ley sarbanes oxley


    Recibe este nombre por sus ponentes, el diputado Michael Oxley y el senador Paul Sarbanes, fue emitida en el año 2002 en los Estados Unidos como respuesta a los escándalos financieros protagonizados por grandes compañías que cotizaban en la bolsa de valores Americana y como consecuencia de la confianza de  los inversionista por acciones de fraude o corrupción. los objetivos de la ley SOX son:  




    ·         Establecer nuevos estándares para comités corporativos y comités de audiencia.

    ·      Establecer nuevos estándares de contabilidad y penas criminales para los gerentes de las corporaciones. 

    ·      Establecer estándares independientes para auditores externos.

    ·       El CEO y el CFO deberán certificar ante los organismos supervisores los estados financieros y manifestar que éstos presentan razonablemente la posición financiera la compañía.
    La ley SOX aprobada por el entonces presidente norteamericano George Bush, está conformada por XI títulos distribuidos en 1107 secciones.
    En la sección 404 de la Ley SOX se habla de “la valoración realizada por la administración respecto de los controles internos” La empresas deberán reportar por medio de un informe de control interno que debe contener: 
    • la responsabilidad de la administración por establecer y mantener una estructura adecuada de control interno y procedimientos para la información financiera
    • valoración, para el final del año fiscal más reciente del emisor respecto de la efectividad de la estructura de control interno y los procedimientos del emisor para la información financiera.  

              Bibliografía

    Ambrosone, M. (2007). La administracion del riesgo empresarial: una responsabilidad de todos - el enfoque coso. PricewaterhouseCoopers, 24.
    Bonilla Carrera, C. C. (s.f.). Gerencie. Recuperado el Marzo de 2016, de Gerencie: http://www.gerencie.com/el-informe-coso.html
    Ambrosone, M. (2007). La administracion del riesgo empresarial: una responsabilidad de todos - el enfoque coso. PricewaterhouseCoopers, 24.

    Cabello Riquelme, N. (s.f.). Auditoría, Contabilidad & Economía. Recuperado el Marzo de 2016, de Auditoría, Contabilidad & Economía: https://blogconsultorasur.wordpress.com/2011/09/06/que-es-coso/
    Committee of Sponsoring Organizations. (s.f.). Committee of Sponsoring Organizations of the treadway commission. Recuperado el Marzo de 2016, de Committee of Sponsoring Organizations of the treadway commission: http://www.coso.org/

    Kirschenbaum, P., & Manguian, J. (2004). Enterprise Risk Management –Integrated Framework. PWC.
    Reding, K. F., Sobel, P. J., Anderson, U. L., Head, M. J., Ramamoorti, S., & Salamasick, M. (2013). Internal auditing assurance & consulting services. En K. F. Reding, P. J. Sobel, U. L. Anderson, M. J. Head, S. Ramamoorti, & M. Salamasick, Internal auditing assurance & consulting services. La Fundación de Investigaciones del IIA.
    Treadway, T. C. (2004). Enterprise Risk Managemet Integrated Framework. COSO.
        United States of America, july 30 2012. Ley Sabanes Oxley Act 2002. Congress 116 stat. 










    Blogger Templates