COBIT (Control Objectives for Information and related Technology)

COBIT (Control Objectives for Information and related Technology):

Es emitido por ISACA (Information Systems Audit and Control Association), Es un modelo estructurado, lógico de mejores prácticas de Tecnología de Información, definidas por un consenso de expertos en todo el mundo en aspectos técnicos, seguridad, riesgos, calidad y control, se realiza con el fin de ayudar a la gerencia a tener una visión entendible de las TI, Provee lineamientos avanzados en áreas de alto interés, como la arquitectura empresarial, gestión de activos y servicios y el gerenciamiento de la innovación en TI y Puede ser aplicado en cualquier tipo de organización, inclusive en aquellas que no poseen fin de lucro y en el sector público.

Cuenta con 5 principios que son:

·         Cumplir con las necesidades de las partes interesadas.

·         Cubrir toda la empresa de principio a fin.

·         Aplicar un mismo y sencillo marco de referencia.

·         Permitir un enfoque holístico.

·         Separación entre el gobierno y la gerencia.

Sus categorías son:

·         Los principios, las políticas y el marco de referencia son el vehículo para interpretar el comportamiento deseado en una guía práctica para la gestión del día a día.

·         Los procesos describen un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir una serie de productos de apoyo a la consecución de metas relacionadss con las TI.

·         Las estructuras organizativas son las principales entidades de toma de decisiones en una empresa.

·         La cultura, la ética y el comportamiento de los individuos y de la empresa son muy a menudo subestimado como factor de éxito en las actividades de gobierno y de gestión.

·         La información es necesaria para mantener la organización funcionando bien la empresa, pero a nivel operativo, la información es muy a menudo la clave del producto de la propia empresa.

·         Los servicios, infraestructuras y aplicaciones incluyen infraestructura, la tecnología y aplicaciones que proporcionan a la empresa el procesamiento de tecnología y los servicios.

·         Las habilidades personales y competencias son necesarias para alcanzar con éxito todas las actividades, y para tomar decisiones correctas y tomar las medidas correctivas.

Productos: cuenta con un marco conceptual donde se explica cómo COBIT organiza los objetivos de gobierno y las buenas prácticas de TI con base en dominios y procesos de TI. Control de objetivos donde se miran que se requiere por parte de la dirección con respecto al control en las TI. Guía de implementación: Se establece un plan de trabajo con respecto a TI. Que puede ser seguido por el gobierno corporativo. Guía de aseguramiento de COBIT que es un guía donde dice como COBIT ayuda a las operaciones de la empresa.

Dominios de COBIT: estos interactúan entre si y se equiparan a las 4 áreas fundamentales de TI (planear, construir, ejecutar y monitorear):

·         Planear y organizar: cubre la estrategia y las tácticas de TI, y se refiere a la forma en que la tecnología de la información puede contribuir al logro de los objetivos del negocio

·         Adquirir e implementar: identificación, desarrollo o adquisición de las soluciones de TI que deben ser implementadas e integradas dentro de los procesos del negocio para llevar a cabo la estrategia de TI.

·         Entregar y dar soporte: este dominio hace referencia a la entrega de los servicios de TI requeridos por la organización y abarca desde las operaciones tradicionales hasta el entendimiento, pasando por seguridad y aspectos de continuidad.

·         Monitorear y evaluar: evaluación regular de los procesos de TI para verificar su calidad y suficiencia

COSO (sistema integrado de control interno)

INFORME COSO

COSO (sistema integrado de control interno) fue publicado en 1992 por el instituto de auditores internos de España, es un estándar en el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. COSO nos define el control interno como el proceso que efectúa la entidad por medio del consejo de accionistas,  la alta gerencia y otro personal designado para proporcionar una seguridad razonable hacia el logro de objetivos con respecto a la eficiencia y eficacia de las operaciones, la confiabilidad de la información financiera y el cumplimiento de leyes y normas. 

Objetivos:

1.       Operativo: los procesos deben ser eficaces es decir que se cumplan con las metas propuestas, y eficientes que significa producir lo máximo posible con un mínimo de recursos.

2.       Confiabilidad de la información financiera: los datos financieros y de gestión deben ser  confiables, completos y oportunos

3.       Cumplimiento de leyes y normas: se deben cumplir con todas aquellas normas que rigen a la organización y así evitar posibles acciones legales contra la compañía y perder reputación.

Componentes:

·         Ambiente de control: Marca el comportamiento en una organización. Tiene influencia directa en el nivel de concientización del personal respecto al control, se sigue una filosofía de la administración de riesgos, políticas y se tienen en cuenta los valores éticos.   

·         Evaluación de riesgos: Mecanismos para identificar y evaluar riesgos para alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados con el cambio. Se establecen objetivos que van de la mano con la misión y visión de la compañía, se identifican riesgos internos como externos y se les da respuesta.

·         Actividades de control: Acciones, Normas y Procedimientos que tiende a asegurar que se cumplan las directrices  políticas de la Dirección para afrontar los riesgos identificados, se dan dentro de toda la organización, se mira por ejemplo el procesamiento de la información, se hacen controles físicos y realizan indicadores de gestión.

·         Información y comunicación: Sistemas que permiten que el personal de la entidad capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones. La comunicación puede ser interna o externa, además según la calidad de la información puede ser adecuada, oportuna, actualizada, exacta y accesible.

·         Monitoreo: Evalúa la calidad del control interno en el tiempo. Es importante para determinar si éste está operando en la forma esperada y si es necesario hacer modificaciones, el monitoreo debe ser permanente.

El COSO requiere de un enfoque a nivel de toda la entidad.  

En el 2004 se publicó el COSO II o también llamado ERM (Enterprise Risk Management), este marco se enfoca a la gestión de los riesgos más allá de la intención de reducir riesgos que se plantea en COSO I mediante técnicas como la administración de un portafolio de riesgos. Sus componentes son entorno interno, definición de objetivos, identificación de eventos, valoración del riesgo, respuesta al riesgo, actividades de control, información y comunicación y monitoreo.