sábado, 19 de septiembre de 2015

COBIT - Resumen Descriptivo


COBIT - Objetivos de Control para Información y Tecnologías Relacionadas

Como consecuencia de la evolución de la tecnología y de su participación en los procesos de la empresa, así como de la mayor regulación, ISACA emitió un marco de referencia para los ejecutivos que permitiera dar un manejo adecuado a la tecnología de la información. Este estándar fue denominado COBIT, que es una herramienta de buenas prácticas para el control y el monitoreo de los elementos de TI utilizados en la organización. 

Debido al proceso evolutivo de la tecnología de información, ISACA ha publicado actualizaciones pasando de un marco de gobierno para el control de tecnologías en 1992, a COBIT 5 que se caracteriza por la importancia del riesgo, su enfoque a los altos niveles de la empresa y su cambio en la definición de proceso de control.

Por otro lado, para lograr el éxito de su implementación, COBIT se basa en 5 principios, que son:
  • Satisfacer las necesidades de las partes interesadas.
  • Cubrir la empresa de extremo a extremo.
  • Aplicar un marco de referencia único integrado.
  • Hacer posible un enfoque holístico.
  • Separar el gobierno de la gestión.
Adicionalmente, se requiere de la ejecución de procesos, la disponibilidad de recursos y que la información cumpla con ciertos criterios, así:


Los procesos de TI cuentas con tres niveles de actividad que se encuentran en cascada. Estos son dominios (4), procesos (31) y actividades o tareas.
Los dominios se dividen en:
  • Planeación y organización; Identificar el rol de la TI dentro de la organización.
  • Adquisición e implementación: Adquirir o desarrollar internamente nuevos programas, así como su implementación dentro del sistema actual.
  • Entrega y soporta: Utilizar las adquisiciones para entregar nuevos servicios a las operaciones.
  • Monitoreo: Control constante para asegurar la efectividad del proceso. 
Los recursos que se requieren para implementar COBIT son: aplicaciones, infraestructura, personas e información. Esta información requiere cumplir con ciertos criterios como que sea útil, utilizable, libre de error, creíble, accesible, segura y que cumpla con la regulación.

Por otro lado, para medir los procesos que está ejecutando la compañía se utiliza un modelo de madurez basado en la ISO 15504 que se compone de seis niveles de capacidad: 0 incompleto, 1 alcanzado, 2 gestionado, 3 establecido, 4 predecible y 5 optimizado.

Finalmente, y como se mencionó anteriormente, uno de los beneficios de COBIT es permitir cumplir con cierta regulación como la ley Sarbanes Oxley que regula el control interno de las empresas para prevenir el fraude.


Este resumen descriptivo está basado en ISACA. (2012). COBIT 5 for Information Security. USA.


domingo, 13 de septiembre de 2015

COSO - Resumen descriptivo


COSO: Committe of Sponsoring Organizations of the Treadway Commission

COSO es un documento emitido por la comisión COSO. Ésta ha emitido tres estándares: Coso I, Coso II ERM y Coso III. Estos tienen como objetivo prevenir el fraude que se genera por las fallas en el Control Interno de las compañías.

COSO I
Este documento fue publicado en 1992 e incluyó la definición de Control Interno. Así, CI es:
"Proceso efectuado por la dirección o alta gerencia y el resto de integrantes de una organización, destinado a proveer seguridad razonable en relación al cumplimiento, enfocado en las siguientes categorías: Eficacia y eficiencia en las operaciones, confiabilidad en la elaboración de información contable y cumplimiento de la leyes y regulaciones aplicables" (COSO, 1992).

Por otro lado este se compone de 5 elementos que son:
1. Entorno de control: Con el que se establece la cultura y filosofía de la empresa. Es la base de los otros componentes.
2. Evaluación de riesgos: Identificar aquellos eventos que pueden afectar la consecución de los objetivos de la organización.
3. Actividades de control: Procedimientos que dan respuesta a los riesgos.
4. Información y Comunicación: Los empleados deben conocer su rol en el Control Interno y se les debe comunicar la información relacionada.
5. Monitoreo: Evaluar el diseño y la aplicación de los controles. Se deben realizar evaluaciones continuas o separadas.

COSO II ERM
Fue publicado en 2004 con el objetivo de ser actualizado bajo la Ley Sabanes Oxley. Por otro lado, los componentes fueron aumentados de 5 a 8.


COSO III
Finalmente, en el año 2013 se emitió COSO III, modelo que busca ajustarse a la evolución tecnológica y los cambios globales. Este mantuvo la definición de Control Interno de 1992, así como los 5 componentes. Sin embargo, ajustó temas relacionados con:
Aumentó a 17 principios, extendió el objetivo de reporte a no financieros, cambió el orden de los componentes, incrementó la expectativa anti-fraude, tuvo en cuenta la globalización y la tecnología, entre otros.

En conclusión, COSO fue emitido como un modelo para ayudar a las organizaciones a alcanzar sus objetivos. Este ha ido evolucionando para ajustarse a la reglamentación anti-fraude y a los cambios tecnológicos. Aunque su aplicación no asegura el éxito de la compañía, si da una seguridad razonable del cumplimiento de las metas.

Este resumen descriptivo está basado en Commission, C. o. (2013). Internal Control - Integrated Framework. Estados Unidos: COSO.