 |
| Imagen creada con: Cmaps |
MAGERIT
 |
| Imágen: http://slideplayer.es/slide/1644740/ |
Fue creada con el fin de proteger a los usuarios de los sistemas de información (SI) por medio del análisis de riesgos en los SI para poder minimizarlos oportunamente. Aquello se hace mediante la planificación de controles efectivos contra los riesgos. De esta manera, los usuarios aprovechan os beneficios de los Sistemas de Información y a su vez se mantienen alerta en cuanto a los riesgos del mismo.
MAGERIT cuenta con cuatro objetivos, 3 directos y 1 indirecto, además de distintas dimensiones de seguridad:
Objetivos directos:
Objetivos indirectos:
- Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
Dimensiones:
- Disponibilidad
- Integridad
- Confidencialidad
- Autenticidad
- Riesgo
- Análisis de riesgo
- Gestión de riesgo
COBIT
 |
| Imagen: http://www.apmg-international.com/en/qualifications/cobit5/cobit5.aspx |
Breve introducción a ISACA
Sus siglas corresponden a Information Systems Audit and Control Association. ISACA fue creada en 1969, ofrece estándares, certificaciones, acreditación y desarrollo de carrera en toda lo relacionado con la auditoría en sistemas de información, seguridad de la Información y Gestión y Gobierno de la Tecnologías de la Información (TI).
ISACA en conjunto con la ITGI (IT Governance Institute) son precursores en la creación del COBIT. ITGI es una institución que ayuda a la compañías para maximizar la inversión y cumplir con los objetivos del negocio, mediante la apropiada gestión a los riesgos y oportunidades que brinda la TI.
Como anteriormente se dijo, ISACA ofrece distintas certificaciones, entre las que se encuentran las siguientes:
- CISA Certified Information Systems Auditor
- CISM Certified Information Security Manager
- Certified in the Governance of Enterprise IT
- Certified in Risk and Information Systems Control
Sin embargo, para la emisión de estas certificaciones a un profesional se debe cumplir con ciertos requisitos que listaré a continuación:
- Aprobar el examen
- Tener experiencia suficiente
- Mantener una educación profesional continua
- Apegarse al Código de Ética de ISACA
- Cumplir con los estándares de ISACA
COBIT (Control objetives for Information and related Technology)
El COBIT es un marco aplicable para las buenas prácticas de control, seguridad y gobierno de la TI. Se utiliza en la implementación del gobierno de TI y para mejorar los controles de TI. Sus siglas corresponden a "Objetivos de control para la información y la tecnología relacionada).
 |
| Imagen: https://chauditoriaudecaldas.wordpress.com/2014/02/04/evolucion-del-cobit-1996-2012/ |
La anterior gráfica muestra las ediciones que tuvo el COBIT, cada una mostrando el concepto al cual le dio énfasis en dicho periodo.
NIVELES DE COBIT 5
- Estratégico: Nivel gerencial, desde el cual se crea la idea de la creación de un gobierno de TI
- Táctico: Administración del negocio y de la tecnología de información, mediante actividades como benchmark.
- Operativo: Se implementa los controles para minimizar riesgos, asegurar información y brindar seguridad.
 |
| Imagen: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf |
PRINCIPIOS DE COBIT 5:
- Satisfacer las necesidades de las partes interesadas
- Cubrir a la compañía en forma integral
- Aplicar un marco integrado
- Separar el gobierno de la administración
 |
| Imagen: http://www.calidadti.cetecna.com/?page_id=33 |
1. Procesos de TI: La primera cara del cubo se divide en dominios, procesos y actividades.
- Dominios: Son 34 procesos que se agrupan en cuatro categorías de dominios:
- Planear y Organizar (PO): Integra los objetivos de TI con la consecución de los objetivos organizcionales.
- Adquirir e Implementar (AI): Modifica y mejora los Sistemas de Información.
- Entregar y Dar Soporte (ES): Administra los servicios y da soporte a los usuarios.
- Monitorear y Evaluar (ME): Verifica si está funcionando correctamente el Control Interno.
- Procesos: Conjunto de actividades definidas por corte de control.
- Actividades: Tareas con un resultado medible.
2. Requerimientos del negocio: Para el cumplimiento de los objetivos empresariales se requiere información que cumplir con los siguientes requerimientos de control.
 |
| Imagen: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf |
3. Recursos de TI: Se dividen en las categorías de aplicaciones, información, personas e infraestructura. A continuación se muestra una gráfica con la explicación de ello.
 |
| Imagen: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf |
COSO - Committee of Sponsoring Organizations
Este marco toma gran importancia dentro del tópico de control interno, el cual es un proceso que se lleva a cabo por los miembros de la administración, la alta gerencia y todos los demás miembros de la organización.
Componentes:
Ambiente de control: Se refiere al entorno y la filosofía interna de la organización, es decir, el modo en que llegan a sus objetivos.
Valoración del riesgo: Es el proceso de identificación y análisis de riesgos que afecten la consecución de los objetivos de la empresa. Estos riesgos pueden ser internos o externos.
Actividades de control: Son actividades que pretenden mitigar o eliminar los riesgos que afectan los objetivos de la organización.
Información y comunicación: La información relevante debe identificada, capturada y comunicada a lo largo de toda la organización, de tal manera que la información sea entendida y unificada para los miembros de la empresa.
Monitoreo: Es necesario vigilar que el control interno está funcionando efectivamente y si se llegasen a encontrar falencias se podrán corregir oportunamente. El monitoreo debe ser una actividad constante mediante evaluaciones periódicas de los riesgos y de la eficacia de la supervisión.
Ley Sarbanes-Oxley:
Luego de los grandes escándalos financieros, se aprobó el acta de Sarbanes Oxley, dando lugar a la sección 404 que promueve el control interno y la administración de riesgos, por lo cual se amplió el alcance de COSO y se añadieron los componentes de Identificación de eventos, Respuesta al riesgo y Establecimiento de objetivos, que componen al COSO ERM. Además se añadió el objetivo estratégico y los diferentes niveles de la entidad, como se puede apreciar en la siguiente imagen.
Contrapartidas 430 y 431 - Comentarios
 |
| Imagen tomada de: http://www.spgalicia.com/ |
La implementación de un sistema de información contable en una empresa puede mejorar la utilidad de los informes financieros, en la medida que estos serán oportunos y más confiables.
El uso de los sistemas de información contables (u otros tipos) no debería limitarse sólo a las grandes empresas, pues es benéfico incluso para las pyme ya que integra sus procesos operativos, haciéndola más competitiva.
Contrapartida No. 431
Es importante que se haga una buena planeación e implementación de los sistemas de información contable para que no hayan problemas de productividad de tales SIC.
Lo más importante a la hora de la utilización de un nuevo sistema de información de cualquier tipo (no solo contable) es que se planee y ejecute una buena capacitación para el personal, de manera que utilicen el sistema sin complicaciones y que saquen el mayor provecho de él.
Subscribe to:
Comments (Atom)