Paralelamente al
crecimiento de la necesidad, en los últimos años hemos visto a nivel mundial el
desarrollo y posicionamiento global de modelos, normas y estándares de control,
y la promesa de nuevas versiones de estos, que están disponibles para que las
organizaciones adopten mejores prácticas en sus sistemas de control interno, y
que constituyen una herramienta poderosa para los auditores informáticos y los
evaluadores de riesgos. En la presente
década nadie puede desconocer el valor de estas herramientas. Entre estos modelos tenemos:
MODELO / NORMA / ESTANDAR
|
DESCRIPCION
|
COMMITTEE OF SPONSORING ORGANIZATIONS OF
THE TREADWAY COMMISSION (COSO) / COSO-ERM
|
CREADO
EN 1985. Constituye en los últimos
años el principal referente para la implementación y mejoramiento de la
administración de los riesgos y del control interno en las actividades
estratégicas, operativas, productivas, administrativas y financieras de las
organizaciones. Diversos gobiernos en
América y el mundo han adoptado COSO como su modelo de referencia para
mejorar el control interno en las organizaciones. En Ecuador, la Superintendencia de Bancos y
Seguros lo aplica en sus auditorías y lo exige a las instituciones
controladas del sistema financiero mediante la resolución 834 sobre riesgo
operativo. COSO ha evolucionado a una
moderna versión donde adopta un enfoque de administración de riesgos
corporativos (Enterprise Risk Management.
COSO-ERM es aplicable para cualquier tamaño y tipo de empresa en
cualquier sector de actividad empresarial.
|
Estándar ISO 31000:2009
|
LIBERADO
EN 2009. Se ha posicionado en los recientes
años en un importante referente para la administración de riesgos en las
operaciones productivas, administrativas y financieras de las
organizaciones. Su enfoque de administración
de riesgos lo vuelve aplicable para cualquier tamaño y tipo de empresa en
cualquier sector de actividad empresarial.
|
Control Objectives by Information
related Technology (Cobit) Version 5
|
Primera
versión generada en 1996. Desarrollado específicamente para el control y la gestión
de la tecnología de la información, el modelo de control COBIT Integra y
concilia normas existentes como: COSO, OECD (Organization for Economic
Cooperation and Development), ISO
(International Standars Organization), NIST (National Institute of Standars and
Technology), DTI (Departament of
Trade and Industry of the U.K), ITSEC (Information Technology Security
Evaluation Criteria - Europa), TCSEC (Trusted Computer Evaluatión Criteria -
Orange Book- E.U), IIA SAC (Institute of Internal Auditors - Systems
Auditability and Control), IS Auditing Standars -Japón, Objetivos de Control emitidos por
ISACA (EDPAA) -1992. Todas estas normas regulan actividades y
definiciones sobre seguridad informática, riesgos y controles informáticos y
auditoria de sistemas. Las últimas
versiones de Cobit consideran un refuerzo a la gestión de sistemas a nivel de
Gobierno Corporativo. A nivel mundial los auditores de sistemas de las cuatro
principales firmas de auditoría globales (Price Waterhouse & Coopers,
Deloitte & Touche, Ernst & Young, KMPG) usan Cobit como herramienta
de auditoría informática.
|
ISO/IEC
27001:2005
ISO/IEC
27002:2005
ISO/IEC
27005:2008
|
Norma
ISO (certificable a nivel global) que contempla las especificaciones para
implementar en las organizaciones a nivel integral un Sistema de Gestión de
la Seguridad de la Información, para proteger la integridad, confidencialidad
y disponibilidad de la información donde quiera que esta se encuentre en la
empresa, en cualquier forma que esté representada. Incluye un catalogo de controles
recomendados, basados en mejores prácticas obtenidos a partir de modelos
existentes. El posicionamiento de esta
versión a nivel global se ha producido de manera generalizada, de tal modo
que existen requerimientos permanentes para capacitación, consultoría y
auditoria basadas en esta norma. En Ecuador al menos diez empresas ya han
iniciado procesos de adopción de la norma para certificación, y muchas otras
solo con la intención de aprovechar sus mejores prácticas. Los auditores de la Superintendencia de
Bancos y Seguros del Ecuador usan esta norma para sus auditorías de sistemas
sobre las empresas controladas del sistema financiero ecuatoriano. ISO está desarrollando, en los presentes años,
complementarias normas y guías dentro de la familia 27000 para apoyar aun más
el trabajo de las auditorias y evaluación de riesgos tecnológicos. Una norma destacable es la ISO 27005:2008
para la evaluación de riesgos de la seguridad de la información.
|
Information Technology Infrastructure
Library (ITIL) V3, Update 2011.
ISO/IEC
20000:2011
|
Compendio
de mejores prácticas desarrolladas a fines de los 80s (primera versión) con
el apoyo del gobierno británico, establecido como un estándar de facto a nivel
europeo hasta que en los últimos años, con la comprensión de que fue
considerado como una fuente relevante para el desarrollo de las últimas
versiones de Cobit, ISO/IEC 27001, su fama trascendió a nivel global, y hoy
ha surgido una tendencia fuerte en América de adoptarlo para cubrir aspectos relacionados
con la prestación de servicios informáticos dentro del departamento de
sistemas de las organizaciones. Su
versión 3, actualización 2011, contempla una visión más amplia sobre la
gestión de servicios combinando enfoques de calidad total, servicio al
cliente, entre otros aspectos ligados a la productividad. La norma ISO 20000, que contempla un modelo
de gestión de servicios de TI, permite a las organizaciones certificar su
departamento de TI con respecto a la gestión de servicios.
|
ISO/IEC
22301:2012,
Estándar
británico BS 25999 parte 1 y 2.
|
Compendio
de mejores prácticas sobre la gestión de la continuidad del negocio,
reconocidas como un estándar de facto a nivel europeo hasta que en los
últimos años, con la liberación de la norma 22301 por parte de ISO, su
aceptación se consolido a nivel global.
|
Resolución
No. JB-2005-834 de 20 de octubre del 2005)
sobre la gestión de Riesgo Operativo, y
resoluciones recientes sobre seguridad de la información.
|
Resolución
de 19 páginas y 146 controles emitida por la Superintendencia de Bancos y
Seguros del Ecuador como una obligación para que las instituciones
controladas del sistema financiero ecuatoriano implementen controles y
mejores prácticas con respecto a su gestión sobre las tecnologías de la
información, planificación de contingencias sobre la continuidad del negocio,
procesos, personas y eventos externos.
Basada en recomendaciones del Comité de Supervisión Bancaria de
Basilea en Suiza, esta resolución no es obligatoria para los otros sectores
empresariales, pero su redacción es tan genérica que puede ser tomada tal
cual por las otras entidades reguladoras del país para cada empresa
controlada en su sector. Las
organizaciones obligadas a cumplirla buscan continuamente profesionales con
experiencia y conocimientos en auditoria informática y evaluación de riesgos tecnológicos
con conocimientos sobre riesgo operativo, tal cual hace la misma
Superintendencia en su reclutamiento de profesionales para completar su área
de auditoría a las empresas controladas. En los últimos años han surgido
resoluciones separadas con referencias directas a exigencias sobre controles
para la seguridad de la información y riesgos tecnológicos.
|