domingo, 25 de septiembre de 2016

COBIT

(Objetivos de Control para Información y Tecnologías Relacionadas) 

Es una guía de mejores prácticas dirigidas al control y supervisión de tecnología de la información (TI) emitido por ISACA (Information Systems Audit and Control Association). 

Es un marco de referencia integrado, que permite ser integrado con otros marcos como por ejemplo COSO, alinea las metas y actividades de la función de tecnología de la información con el negocio, establece un nivel de control e integra buenas prácticas.

En 1996 se emitio COBIT 1, con otras 5 versiones más incluida en su última versión COBIT 5 publicado el 10 de abril de 2012. Sus principios fundamentales son:
  • Satisfacer las necesidades de las partes interesadas. 
  • Cubrir la organización de forma integral.
  • Aplicar un sólo marco integrado.
  • Habilitar un enfoque holístico.
  • Separar el gobierno de la administración.
 A continuacion el cubo COBIT 4.1

 Tomado de: https://chaui201511701023232.wordpress.com/category/empresa-2/

  1. Los requerimientos de negocio: en Cobit 5, cambiaron de nombre a: Utilidad, usabilidad, libre de error, credibilidad, accesabilidad, seguridad, conformidad. Los cuales se entienden como los principios del negocio y de aplicabilidad general.
  2. Los recursos de TI: se redujeron a 3: información; servicios, infraestructura y aplicaciones; personas, habilidades y competencias.
  3. Los procesos de TI:
Dominios y procesos:
Tomada de: http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-Volumen-1-enero-de-2014.aspx
 
Donde los cuadros en blanco son los dominios (5) y los procesos que se definen son procesos para el gobierno y la gestión, con un total de 37 procesos segregados en cada dominio y las actividades las cuales son acciones requeridad para lograr un resultado medible. 

Resumen basado en:
 
 
 
 
     
    Publicado por en No hay comentarios:

    lunes, 12 de septiembre de 2016

    INFORME COSO I Y II

    ¿Qué es COSO?
     
    Por sus siglas en inglés: The Committee of Sponsoring Organizations of the Treadway Commission (COSO) es una iniciativa conjunta de cinco organizaciones del sector privado y se dedica a promover el desarrollo de marcos de referencia y guias en gestión del riesgo empresarial, control interno y fraude. La organizaciones que integran el COSO, son: 
    • IIA - The Institute of Internal Auditors.
    • IMA - The Association of Accountants and Financial Professionals in Business.
    • FEI - Financial Executives International.
    • AICPA - American Institute of CPAs.
    • AAA - American Accounting Association.
    ¿De qué tratan los informes?
    El informe COSO es un documento que contiene las principales pautas para la implementación, gestión y control de un sistema de control. En 1992, se emitio el COSO I, el cual se convirtio en el mejor estandar de referencia y el más aceptado en el mundo coroporativo. Pero en 2004, se emitio el COSO ERM, el cual incorpora las exigencias de la Ley Sarbanes Oxley a su nuevo modelo. La finalidad de la ley SOX es monitorear a aquellas empresas que cotizan en bolsa y asi evitar fraudes y bancarrota, protegiendo al inversor y nació después de los escandalos financieros producidos en Estados Unidos, el más conocido de Enron, hasta finales de 2001 de su desplome.
    Con lo anterior, cabe resaltar en COSO ERM o II, no contradice el primero, ambos son enfoques aceptados y vigentes para las organizaciones. COSO I, se enfoca en reducir riesgos, mientras que en ERM se gestionan, mediante técnicas como la administración de un portafolio de riesgos y es responabilidad de todos. Son enfoques donde no solo se involucran procedimientos, si no dónde su efectividad y eficacia es debido a cada una de las partes de la organización, tanto internas como externas.
    A continuación se presenta el cubo de COSO I:
     Imagen tomada de: https://estudiantesvirtuales.wordpress.com/
    Como se evidencia del cubo anterior, COSO I tiene cinco componentes, tres clases de objetivos (Operaciones, informe y cumplimiento) y las unidades de negocio que se encuentran en la parte derecha.

    Para efectos del presente resumen, explicare a detalle el cubo del COSO ERM, ya que este posee lo de COSO I, el cual es el siguiente:

    Imagen tomada de: http://ayhconsultores.com/img/COSO.pdf


    ¿Qué es COSO ERM?
    La administración de riesgos corporativos es un proceso efectuado por toda la organización (consejo de administración, dirección, personal), aplicable a la definición de estrategias en toda la entidad, diseñado para identificar eventos potenciales que puedan afectar a la organización y administrar sus riesgos dentro del riesgo aceptado, proporcionando una seguridad razonable respecto al logro de objetivos.
    Categorias de objetivos.
    • Estratégicos: Tienen directa realción con la planificación a largo plazo y son el fundamento de las categorias restantes.
    • Operacionales: Se refieren a la eficacia y eficiencia de la entidad.
    • Reporte: Consisten en la preparación de estados financieros confiables.
    • Cumplimiento: Adhesión a las leyes y regulaciones que rigen a la entidad. 
    Componentes. 
    1.  Ambiente Interno: Incluyen la filosfia de gestión de riesgos, su riesgo aceptado, la supervisión ejercida por el consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en que la dirección asigna la autoridad y responsabilidad, ademas organiza y desarrolla al personal.
    2. Establecimiento de objetivos: Los objetivos se fijan a escala estratégica, y asi por las subcategorías mencionadas. Asi pues, la fijación de objetivos, tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma.
    3.  Identificación de eventos: La dirección identifica los eventos. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección y los eventos de impacto positivo representan oportunidades, que la dirección reconduce hacia la estratégia y el proceso de fijación de objetivos.
    4. Evaluación de riesgos: La dirección evalúa estos acontecimientos desde dos perspectivas: probabilidad (posibilidad de ocurrencia) e impacto (efecto), por medio de análisis cualitativos y cuantitativos. 
    5. Respuesta a los riesgos: Las respuestas pueden ser: evitar, reducir, compartir y aceptar el riesgo.
    6. Actividades de control: Son politicas y procedimientos que ayudan a asegurar que se lleven a cabo las respuestas de la dirección a los riesgos. Son diversas y tienen lugar en toda la organización.
    7. Información y comunicación: Comunicación eficaz que fluye en todas las direcciones dentro de la organización.
    8. Monitoreo: Se realiza por medio de actividades permanente de supervisión, evaluaciones independientes o una combinación. 
    Resumen basado en:     
    Publicado por en No hay comentarios:
    Suscribirse a: Entradas (Atom)