domingo, 5 de octubre de 2014

Mapa MARGERIT



Resumen argumentativo COBIT






Es un marco de referencia para las buenas prácticas de control, seguridad y gobierno de la Tecnologia de Información emitido por la ISACA (Information Systems Audit and Control Association).


Por sus siglas en ingles "COBIT" significa Objetivos de Control para la Información y la Tecnología relacionada y surge de la necesidad de generar un ambiente de control sobre las tecnologias de informacion que soportan las operaciones de las empresas y su esquema de gobierno.


La primera version de este marco fue publicada en 1996 y actualmente se encuentra en la version no 5 publicada el 10 de abril de 2012.

La mision del COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores"; para esto el marco define unos recursos genericos de tecnologias de Información TI que son las siguientes:
Infraestructura: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.
Información: Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.
Personas: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

El COBIT permite el Alineamiento estrátegico, la entrega de valor, la gestión de riesgos, la gestion de recursos y la medicion del desempeño a traves de 4 Dominios que encierran 34 Procesos (Conjuntos o series de actividades unidas con delimitación o cortes de control.) y Actividades(Acciones requeridas para lograr un resultado medible.) con el fin de cubrir 210 objetivos.

Entre otros beneficios se encuentra la alineacion de los objetivos de la tecnologia de informacion con el enfoque de negocios de la antidad, la aceptacion general de terceros y el cumplimiento del COSO.


El marco de trabajo COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades de TI. Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y monitorear.



Planear y Organizar (PO) - Proporciona dirección para la entrega de solucioens (AI) y la entrega de servicio (DS)
Adquirir e Implementar (AI) - Proporciona las soluciones y las pasa para convertirlas en servicios.
Entregar y Dar Soporte (DS) - Recibe las soluciones y las hace utilizables por los usuarios finales.
Monitorear y Evaluar (ME) - Monitorear todos los procesos para asegurar que se sigue la dirección prevista. Con todo el enfoque de procesos el COBIT busca la alineacion de los recursos de TI con los procesos para cumplir unos requerimientos del negocio (8) los cuales estan divididos en dos grupos:

Requisitos de Seguridad: Confidencialidad, Disponibilidad e Integridad
Requisitos de Calidad: Efectividad, Eficiencia, Confiabilidad y Cumplimiento


El COSO es un comité de organizaciones patrocinadoras de la comisión Treadway, éste viene de una iniciativa independiente del sector privado que estudia los factores causales que pueden conducir a información financiera fraudulenta. También elaboró recomendaciones para las empresas publicas y sus auditores independientes, para la SEC y otros reguladores, y para las instituciones educativas.

Existen dos versiones de este, la primera de 1992 y la segunda version del 2004, que incorpora las exigencias de la ley Sarbanes-Oxley a su modelo (Ley que pretende evitar fraudes y riesgos de bancarrota con el fin de proteger al inversionista).

COSO I: Buscó facilitar a las empresas la evaluación y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos. 
COSO II o COSO - ERM (Enterprise Risk Management): El cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

CONTROL INTERNO : Proceso realizado por el consejo de directores, administradores y otro personal de una entidad, diseñado para proporcionar seguridad razonable y generar valor al interior de la compañia observando el cumplimiento de los siguientes objetivos:

  • Efectividad y eficiencia de las operaciones.
  • Confiabilidad de la información financiera.
  • Cumplimiento de las leyes y regulaciones aplicables.


COSO I

COMPONENTES:
Ambiente de Control. Es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura.
Valoración de Riesgos. Identificación y análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos.
Actividades de Control. Políticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven a cabo.
Información y Comunicación: Identificación, obtención y comunicación de información pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades.
Monitoreo: Proceso que valora el desempeño de sistema en el tiempo

COSO II:



COMPONENTES:
Ambiente interno: base fundamental para los otros componentes del ERM, dandole disciplina y estructura.
Establecimientos de objetivos La empresa debe tener una meta clara que se alineen y sustenten con su visión y misión, pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe ser previsto por la empresa. 


Identificación de eventos La empresa debe identificar los eventos que afecten los objetivos de la entidad y diagnosticarlos como oportunidades o riesgos para los mismos.
Actividades de control Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. Tipo de actividades de control: Preventiva, detectivas, manuales, computarizadas o controles gerenciales


Respuesta al riesgo Las respuestas al riesgo pueden ser:

Evitarlo: se discontinúan las actividades que generan riesgo.
Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo. 
La gerencia debe evaluar cual es la mejor respuesta al riesgo para que este relacionado con los objetivos de la organizacion 

Información y comunicación La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todos los sentidos.

Monitoreo: Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente.