Mapa conceptual ISO 27001

 

MAGERIT

Metodología de análisis y gestión de riesgos.

 

Es una metodología que identificar e implementar un control en la seguridad de la información en las organizaciones, mediante la identificación de activos de información, valoración de activos y riesgos, para poder minimizar las amenazas y vulnerabilidades a las que esta expuesta la organización debido a sus TI.

El presente video nos explica la metodología y los pasos a seguir para una efectiva aplicación.

COBIT

(Objetivos de Control para Información y Tecnologías Relacionadas) 

Es una guía de mejores prácticas dirigidas al control y supervisión de tecnología de la información (TI) emitido por ISACA (Information Systems Audit and Control Association). 

Es un marco de referencia integrado, que permite ser integrado con otros marcos como por ejemplo COSO, alinea las metas y actividades de la función de tecnología de la información con el negocio, establece un nivel de control e integra buenas prácticas.

En 1996 se emitio COBIT 1, con otras 5 versiones más incluida en su última versión COBIT 5 publicado el 10 de abril de 2012. Sus principios fundamentales son:

• Satisfacer las necesidades de las partes interesadas. 
• Cubrir la organización de forma integral.
• Aplicar un sólo marco integrado.
• Habilitar un enfoque holístico.
• Separar el gobierno de la administración.

 A continuacion el cubo COBIT 4.1

 Tomado de: https://chaui201511701023232.wordpress.com/category/empresa-2/

1. Los requerimientos de negocio: en Cobit 5, cambiaron de nombre a: Utilidad, usabilidad, libre de error, credibilidad, accesabilidad, seguridad, conformidad. Los cuales se entienden como los principios del negocio y de aplicabilidad general.
2. Los recursos de TI: se redujeron a 3: información; servicios, infraestructura y aplicaciones; personas, habilidades y competencias.
3. Los procesos de TI:

Dominios y procesos:

Tomada de: http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx

 

Donde los cuadros en blanco son los dominios (5) y los procesos que se definen son procesos para el gobierno y la gestión, con un total de 37 procesos segregados en cada dominio y las actividades las cuales son acciones requeridad para lograr un resultado medible. 

Resumen basado en:

 

Auditoría informática 

ISACA 

COBIT-Ecopetrol 

 

 

 

 

INFORME COSO I Y II

¿Qué es COSO?
 

Por sus siglas en inglés: The Committee of Sponsoring Organizations of the Treadway Commission (COSO) es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a promover el desarrollo de marcos de referencia y guias en gestión del riesgo empresarial, control interno y fraude. La organizaciones que integran el COSO, son: 

• IIA - The Institute of Internal Auditors.
• IMA - The Association of Accountants and Financial Professionals in Business.
• FEI - Financial Executives International.
• AICPA - American Institute of CPAs.
• AAA - American Accounting Association.

¿De qué tratan los informes?

El informe COSO es un documento que contiene las principales pautas para la implementación, gestión y control de un sistema de control. En 1992, se emitio el COSO I, el cual se convirtio en el mejor estandar de referencia y el más aceptado en el mundo coroporativo. Pero en 2004, se emitio el COSO ERM, el cual incorpora las exigencias de la Ley Sarbanes Oxley a su nuevo modelo. La finalidad de la ley SOX es monitorear a aquellas empresas que cotizan en bolsa y asi evitar fraudes y bancarrota, protegiendo al inversor y nació después de los escandalos financieros producidos en Estados Unidos, el más conocido de Enron, hasta finales de 2001 de su desplome.

Con lo anterior, cabe resaltar en COSO ERM o II, no contradice el primero, ambos son enfoques aceptados y vigentes para las organizaciones. COSO I, se enfoca en reducir riesgos, mientras que en ERM se gestionan, mediante técnicas como la administración de un portafolio de riesgos y es responabilidad de todos. Son enfoques donde no solo se involucran procedimientos, si no dónde su efectividad y eficacia es debido a cada una de las partes de la organización, tanto internas como externas.

A continuación se presenta el cubo de COSO I:

 Imagen tomada de: https://estudiantesvirtuales.wordpress.com/

Como se evidencia del cubo anterior, COSO I tiene cinco componentes, tres clases de objetivos (Operaciones, informe y cumplimiento) y las unidades de negocio que se encuentran en la parte derecha.

Para efectos del presente resumen, explicare a detalle el cubo del COSO ERM, ya que este posee lo de COSO I, el cual es el siguiente:

Imagen tomada de: http://ayhconsultores.com/img/COSO.pdf

¿Qué es COSO ERM?

La administración de riesgos corporativos es un proceso efectuado por toda la organización (consejo de administración, dirección, personal), aplicable a la definición de estrategias en toda la entidad, diseñado para identificar eventos potenciales que puedan afectar a la organización y administrar sus riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable respecto al logro de objetivos.

Categorias de objetivos.

• Estratégicos: Tienen directa realción con la planificación a largo plazo y son el fundamento de las categorias restantes.
• Operacionales: Se refieren a la eficacia y eficiencia de la entidad.
• Reporte: Consisten en la preparación de estados financieros confiables.
• Cumplimiento: Adhesión a las leyes y regulaciones que rigen a la entidad. 

Componentes. 

1.  Ambiente Interno: Incluyen la filosfia de gestión de riesgos, su riesgo aceptado, la supervisión ejercida por el consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en que la dirección asigna la autoridad y responsabilidad, ademas organiza y desarrolla al personal.
2. Establecimiento de objetivos: Los objetivos se fijan a escala estratégica, y asi por las subcategorías mencionadas. Asi pues, la fijación de objetivos, tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.
3.  Identificación de eventos: La dirección identifica los eventos. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección y los eventos de impacto positivo representan oportunidades, que la dirección reconduce hacia la estratégia y el proceso de fijación de objetivos.
4. Evaluación de riesgos: La dirección evalúa estos acontecimientos desde dos perspectivas: probabilidad (posibilidad de ocurrencia) e impacto (efecto), por medio de análisis cualitativos y cuantitativos. 
5. Respuesta a los riesgos: Las respuestas pueden ser: evitar, reducir, compartir y aceptar el riesgo.
6. Actividades de control: Son politicas y procedimientos que ayudan a asegurar que se lleven a cabo las respuestas de la dirección a los riesgos. Son diversas y tienen lugar en toda la organización.
7. Información y comunicación: Comunicación eficaz que fluye en todas las direcciones dentro de la organización.
8. Monitoreo: Se realiza por medio de actividades permanente de supervisión, evaluaciones independientes o una combinación. 

Resumen basado en:     

• El Informe COSO I y II
• COSO.ORG 
• COSO 
• Ley SOX 
• COSO ERM 
• Libro: Auditoría interna servicios de aseguramiento y consultoría, Reding, Kurt F. 2009

Contrapartida 431

Contrapartida 431.

En esta contrapartida el autor se refiere a las complicaciones que se pueden tener al momento de planear e implementar un SIC en una Pyme y los beneficios y necesidad de una adecuada implementación y selección. Las complicaciones pueden ser:

• Ciberfobia: Apatía del usuario al interactuar con un sistema.
• GIGO (garbage in, garbage out): Los datos que no se toman automáticamente, se exponen a errores humanos. Es decir, si se ingresa basura, el sistema generará basura.
• Only virtual: Pérdida del registro en documento físico.
• Information Overload: Se da cuando el usuario se agobia por la generación de gran cantidad de información, causando pérdida de información relevante o dejando pasar información sin ser procesada.
• Paradoja de la productividad: Un SIC mal implementado, puede producir una baja en la productividad.

Por lo cual, se sugiere que para evitar este tipo de complicaciones la Pyme debe tener un plan estratégico, donde la SIC que se adapte sea de fácil uso y utilizado como una herramienta de gestión, esto se logra dando apoyo y capacitaciones a los empleados.  Así pues, se considera que la SIC es fundamental y necesario para las pequeñas empresas en el mundo actual que está creciendo vertiginosamente y ayuda a obtener beneficios financieros y operacionales.

Resumen basado en:

Contrapartida 431 

Contrapartida 430

Contrapartida 430.

 

Esta contrapartida nos afirma la importancia y beneficios de implementar sistemas de información computarizados en Pymes, trabajo realizado y aplicado por el autor de esta, Khadyd Arciria Garrido. Pone en contexto algunos puntos positivos y negativos en la implementación de un SIC (sistema de información contable), para iniciar se debe hacer un análisis del negocio, donde se reconoce las funciones y objetivos de cada una de las áreas para poder adaptar el sistema a toda la organización y en esta etapa de realiza una retroalimentación con las personas encargadas de la toma de decisiones, pero aqui viene un punto negativo. Estas personas no tienen en cuenta la información contable para la toma de decisiones ya que consideran que no es oportuna, no da confiabilidad y no es útil.

Despues de la implementación y desarrollo de un SIC, se evidencio que la información financiera estaba siendo usada, ya que cumpláa con las cualidades enmarcadas en el marco conceptual y/o decreto 2649 de 1993, por lo cual permitía que se tomaran decisiones adecuadas y se tenia un control sobre el negocio. Así pues, se satisface una necesidad de información interna y externa, que ayuda al cumplimiento del objeto social de la organización y mejorar la productividad de las Pymes en cada uno de sus procesos.

 Adicionalmente se resalta que un sistema de información contable en Pymes, sirve para:

• Integrar los procesos operativos de las diferentes áreas en las cuales se involucra información contable.
• Corregir oportunamente errores.
• Apoyar  la evaluación de impacto que la actividad representa para la sociedad, por medio de indicadores.
• Mejorar la comunicación e integración de las áreas. 
• Obtener ventajas competitivas para el cumplimiento de objetivos, ya que se genera información financiera de tipo estratégico. 

Resumen basado en: 

Contrapartida 430. Doc 

 

Mapa conceptual control interno

Basado en: Revista cuadernos de contabilidad No. 7. El control. Páginas 129 a 137.
Cuaderno de contabilidad No. 7

Mapa conceptual evolución de las prácticas de auditoría

Basado en: Revista cuadernos de contabilidad No. 13. Panorama sobre la evolución de las prácticas de auditoría.
Cuaderno de contabilidad No. 13

Hardware y Software

Hardware y Software en los Sistemas de Información.

Imagen tomada de: http://www.c3po.es/invertir-en-software-o-en-hardware/

El sistema computacional se divide en dos partes: Hardware las cuales son las partes físicas y Software el cual son los programas.

El Software, este es el conjunto de instrucciones necesarias para hacer determinadas tareas, este se divide en:

·    Sistemas de software o sistemas operativos, como: Windows 7, Windows vista, etc. Los cuales ya vienen incorporados

·     Aplicaciones y programas de software: los cuales dependen del sistema operativo para que puedan funcionar, por ejemplo: office de Windows, entre otros.

El Hardware, son todas las partes tangibles del computador y tienen la siguiente clasificación:

·      Hardware interno, se le conoce también como componentes, los cuales contienen:

o   CPU (Unidad central de proceso) el cual procesa las instrucciones más básicas a las más complejas. Es decir, desde abrir un documento de texto hasta la edición de un video.

o   Memoria principal o memoria RAM: permite abrir con rapidez los archivos o programas que están en el computador.

o   Almacenamiento secundario o disco duro: se almacena toda la información que se guarda en el computador.

·     - Hardware externo, se le conoce también como periféricos los cuales contienen: dispositivos de entrada y salida como lo son el monitor, mouse, teclado, entre otros.

    Enlaces tomados para el presente resumen:

• Definición de harware y software

• Intro to computer Architecture

• Network Inventory Advisor