28 marzo 2016

COBIT

 ISACA 


  • Information Systems Audit and Control Association
  • ISACA fue creada en 1969
  • Ofrece estándares, certificaciones, acreditación y desarrollo de carrera en toda la temática relacionada con la auditoría en sistemas de información, seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información (TI)
  • ISACA conjuntamente con la ITGI (IT Governance Institute) son precursores en la creación del COBIT. LA ITGI es una institución  que ayuda a la compañías para maximizar la inversión y cumplir con los objetivos del negocio, mediante  la apropiada gestión a los riesgos y oportunidades que brinda la TI.

Certificaciones de ISACA:
·       CISA Certified Information Systems Auditor
·       CISM Certified Information Security Manager
·       CGEIT Certified in the Governance of Enterprise IT
·       CRISC  Certified in Risk and Information Systems Control

Requisitos para acceder a las certificaciones:
  • Aprobar el examen
  • Tener experiencia suficiente
  • Mantener una educación profesional continua 
  • Apegarse al Código de Ética de ISACA
  • Cumplir con los estándares de ISACA

COBIT 

(Control objetives for Information and related Technology)
El COBIT es un marco aplicable para las buenas prácticas de control, seguridad y gobierno de la TI. Se utiliza en la implementación del gobierno de TI y para mejorar los controles de TI.
  • Ayuda a las organizaciones a lograr sus metas
  • Crea valor en la organización
  • Administración de TI de manera holística en toda la empresa


Hechos históricos relevantes:

  • En 1992 la dependencia de las compañías en la TI aumentó, por ello este tema tomo relevancia en el gobierno corporativo.
  • En 1995 inició el proyecto COBIT
  • Primera edición COBIT 1996 creada por ISACA
  • Segunda edición 1998 creada por ISACA
  • Tercera edición 2000 creada por ITGI
  • Cuarta edición 2005
  • Quinta versión 2012


 Fuente: https://chauditoriaudecaldas.wordpress.com/2014/02/04/evolucion-del-cobit-1996-2012/

GOBIERNO DE TI

El Gobierno de TI son las acciones de la gerencia con relación a la TI para:
  • Maximizar valor
  • Identificar riesgos y minimizarlos
  • Asignar responsabilidades
  • Alinear los objetivos de la TI con los objetivos organizacionales

Fuente: http://www.bitcompany.biz/que-es-cobit/#.Vx_bHfnhCM8

·         Alineación estratégica:  alineación de TI con la estrategia de la compañía
·         Entrega de valor: optimizar costos y dar valor a TI
·         Administración de recursos: optimizan conocimiento e infraestructura
·       Administración de riesgos: conocimiento de los riesgos y su administración
·      Medición de desempeño: monitorea


GOBIERNO DE TI Y COBIT

Cuando COBIT se aplica en un marco de gobierno de TI brinda a la compañía:
  • Organiza las actividades de TI en un proceso empresarial
  • Identifica recursos de TI necesarios
  • Define los principales objetivos de Control Interno (CI)
  • Contribuye al cumplimiento de los objetivos organizacionales

BENEFICIOS DE COBIT

  • Brinda soporte para el cumplimiento de la herramienta de control interno COSO
  • Lenguaje empresarial común, tanto para toda la entidad como para los terceros y reguladores
  • Orientado hacia procesos 

NIVELES DE COBIT

  • Estratégico: nivel gerencial, desde ahí se crea la idea de la creación de un gobierno de TI
  • Táctico: administración del negocio y de la tecnología de información, mediante actividades como benchmark.
  • Operativo: implementa los controles para minimizar riesgos, asegurar información y brindar seguridad.

Fuente: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

PRINCIPIOS DE COBIT

  • Satisfacer las necesidades de las partes interesadas
  • Cubrir a la compañía en forma integral: el sistema de Gobierno de TI fluye en toda la organización
  • Aplicar un marco integrado: como lo pueden ser COSO, COSO ERM, los estándares ISO
  • Enfoque holístico
  • Separar el gobierno de la administración: puesto que cumplen funciones diferentes, por un lado el gobierno evalúa las necesidades de los stakeholders y la administración planifica, organiza, direcciona y monitorea actividades.

CUBO COBIT


Fuente: http://laimportanciadelaauditoria2014.blogspot.com.co/
  1.  Procesos de TI: la primera cara del cubo se divide en dominios, procesos y actividades.
  • Dominios: son 34 procesos que se agrupan en cuatro categorías de dominios:
  • Planear y Organizar (PO): integra los objetivos de TI con la consecución de los objetivos organizcionales
  • Adquirir e Implementar (AI) modifica y mejora los SI
  • Entregar y Dar Soporte (ES):administra los servicios y da soporte a los usuarios
  • Monitorear y Evaluar (ME): verifica si está funcionando correctamente el CI
  • Procesos: conjunto de actividades definidas por corte de control
  • Actividades: tareas con un resultado medible.
      2. Requerimientos del negocio son vitales para poder cumplir con los objetivos empresariales, para ello la información necesita cumplir con los siguientes requerimientos de control:




Fuente:http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf
3. Recursos de TI se dividen en las categorías de: aplicaciones, información, personas e infraestructura:

Fuente: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

COBIT 4,1



  • Los objetivos de TI se alinean con los del negocio
  • Enfocado en procesos
  • Lenguaje común
  • Alineación con diversos estándares (COSO)
  • Maximiza los recursos de TI
  • Administra los riesgos de TI

COBIT 5,0

  • Busca integrar varios marcos  en uno solo
  • Aquellas empresas que ya han implementado COBIT 4,1 el cambio a COBIT 5,0 no implica mayores costos, puesto que solo es una mejora al programa existente
  • Enfocado en ser un sistema completo y sencillo de usar.
Publicado por No hay comentarios:

14 marzo 2016

COSO


COSO: Committee of Sponsoring Organizations 

Fue creado en 1992 como un manual de control interno, el cual tiene como ventajas  brindar a la compañía una visión global del riesgo, puesto que se logra una alineación de los objetivos empresariales con los riesgos y los controles, de esta manera la dirección puede tomar decisiones de una forma más segura.

Control interno 

El control interno es un proceso que se integra con los demás procesos organizacionales, efectuados por la administración, dirección y toda la compañía en general. Mediante este se busca cumplir con los objetivos de la organización para lo cual esta herramienta brinda una seguridad razonable más no absoluta.

Componentes de COSO 


Fuente http://nahunfrett.blogspot.com.co/2012_01_01_archive.html

Ambiente de control 

El ambiente de control es un entorno el cual busca influenciar a toda la organización para que se integren en la filosofía de control interno. 

Valoración del riesgo

  • Se identifican y analizan los riesgos relevantes que afecten el cumplimiento de los objetivos empresariales. 
  • Los riesgos pueden ser factores internos o externos a la organización.
  • Los objetivos pueden ser: operativos, financieros o de cumplimiento

Actividades de control

Son actividades orientadas hacia tratar los riesgos que afectan la consecución de los objetivos 

Información y comunicación 

La información relevante debe identificada, capturada y comunicada mediante un sistema de información desde el cual se producen informes sobre la gestión de la organización, los cuales deben ser enviados al recurso humano de forma oportuna para que todas las personas puedan aportar y mejorar el sistema de control

Monitoreo

Una vez el sistema de control interno está funcionando plenamente, es necesario vigilar que efectivamente este funcionando y en caso dado de encontrar falencias poder ser corregidas a tiempo. El monitoreo debe ser una actividad constante mediante evaluaciones periódicas de los riesgos y de la eficacia de la supervisión.

Ley SOX


La Ley Sarbanes-Oxley fue aprobada en Estados Unidos en 2002 con la finalidad de proteger a los inversionistas con base a unos requerimientos que buscan brindar confiabilidad en la información financiera de las empresas. Esta Ley en su sección 404 trata el tema de la evaluación de la gerencia de los controles internos, para cumplir con este punto de la Ley el mejor marco de control interno es el COSO. 

COSO II o COSO ERM


Fuente: http://qtec.pe/aulavirtual/course/index.php
  • El COSO ERM tiene un enfoque de mitigar el riesgo, este proyecto se finalizó en 2014
  • La diferencia entre COSO I y COSO II es que el segundo incorpora la nueva categoría de objetivos estratégicos y tres componentes adicionales: identificación de eventos, respuesta al riesgo y establecimiento de objetivos.
  • El objetivo del COSO II es ayudar a los gerentes y empleados a gestionar el riesgo con la finalidad de cumplir los objetivos organizacionales.

Identificación de eventos

Identifica los eventos que pueden afectar el logro de la estrategia, estos eventos pueden ser tanto positivos (oportunidades) como negativos (riesgos) 

Respuesta al riesgo 

Se pueden dar las siguientes respuestas al riesgo:
  • Evitarlo
  • Reducirlo
  • Compartirlo
  • Aceptarlo

Establecimiento de objetivos 

Los objetivos estratégicos con aquellos que se encuentran alineados con las metas de la organización. La empresa debe establecer un nivel de riesgo aceptable con el cual se puedan cumplir los objetivos.





Publicado por 1 comentario:
Suscribirse a: Comentarios (Atom)