sábado, 30 de noviembre de 2013

COBIT

COBIT
Control objetives for Information and related Technology

es un conjunto de mejores prácticas para la administración IT creado por ISACA, e ITGI en 1992. COBIT brinda a managers, auditores, y usuarios IT, un conjunto de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del usa de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización.
ISACA es el acrónimo de Informaction Systems Audit and Control Association (Asociación de Auditoría y Control de sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoria y control en sistemas de información.
IT Governance Institute (ITGI, en inglés: IT Governance Institute) Tecnología de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos.

EDICIONES
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007. En la actualidad el ISACA lanzó Cobit 5 el día 10 de Abril.

Ámbito de evolución
Gobierno TI
COBIT 4.1
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

Marco de Gobierno IT
COBIT 5
  • Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de regerencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a tecnología y a la información como protagonistas en la creación de valor para las empresas.
  • COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITL @) y las normas ISO relacionadas.

Gestión
MISIÓN
Investigar, desarrollar, publicar y promover en conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.


Control
VISIÓN
Consolidarse como líder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestión de TI.
Auditoria
VAL IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.


Como satisface COBIT las necesidades



¿Para quiénes?
  • Gerentes de negocio
  • Gerentes de TI
  • Gerentes de riesgo
  • Usuarios de TI
  • Auditores

¿Para qué?

  • Alineación de objetivos de TI y del negocio.
  • Establecer una orientación a procesos.
  • Ser consistente con las mejores prácticas y estándares control (COSO) y de TI, independiente de tecnologías específicas.
  • Proporcionar un lenguaje común para todos los interesados.
  1. Orientado al negocio
  2. Procesos orientados
  3. Basado en controles
  4. Generador de mediciones


1. ORIENTADO AL NEGOCIO
Es el tema principal de COBIT. Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

PRINCIPIO BÁSICO
Proporcionar la información que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.


CRITERIOS DE INFORMACIÓN
Para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas: 


METAS DE NEGOCIO Y DE TI
Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. 

2. PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:

  • Planear y Organizar
  • Adquirir e Implementar,
  • Entregar y Dar Soporte
  • Monitorear y Evaluar
PLANEAR Y ORGANIZAR


ADQUIRIR E IMPLEMENTAR


ENTREGAR Y SOPORTAR


MONITOREAR Y EVALUAR


2. BASADO EN CONTROLES
  • CONTROL: Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados
  • OBJETIVOS DE CONTROL DE COBIT: son los requerimientos mínimos para un control efectivo de cada proceso de IT además brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.

PROCESOS COBIT
  • PC1: Dueño del Proceso
  • PC2: Reiterativo
  • PC3: Metas y Objetivos
  • PC4: Roles y Responsabilidades
  • PC5: Desempeño del Proceso
  • PC6: Políticas, Planes y Procedimiento
CONTROLES DEL NEGOCIO Y CONTROL DE TI

  • AL NIVEL DE DIRECCIÓN EJECUTIVA: fijar objetivos políticas, tomas decisiones de cómo administrar los recursos.
  • AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles para actividades específicas del negocio.
  • PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento)

GENERADORES DE MEDICIÓN

  • Una necesidad básica de toda empresa es entender el estad de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa ¿Qué se debe medir y cómo? 
  • Modelos de Madurez: por medio del Benchmarking identificación de las mejores practicas en la capacidad.
  • Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos internos
Indicadores de desempeño
Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr un meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.

Mediciones de desempeño
  • COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño.
  • Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia---después del hecho--si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general en términos de criterios de información:
  • Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad
  • Rentabilidad de procesos y operaciones
  • Confirmación de confiabilidad, efectividad y cumplimiento

Las métricas efectivas deben de tener las siguientes características:
  • Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos)
  • Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo)
  • Deben ser comparables externamente sin tomar en cuenta el tamaño de las empresa o la industria.
Caso Practico
Se comienza a preparar el software para el trabajo


Tarea 2


Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama


Se ingresan los procesos de negocio que son de interés. Menú : Centro de Análisis



Se identifican cuales son los requerimientos de la información necesarios que deben disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.


Se ingresa la información de los diversos recursos de TI


Se asignan los Procesos de Cobit


Mediante el botón "Comenzar con la Auditoria" iniciara las etapas para auditar los Procesos de Cobit (Objetivos de Alto nivel) seleccionados. A partir de aquí COBIT asiste al auditor en el proceso de arribar a una conclusión sobre el Objetivo de control de alto nivel (en este caso).


Etapa 1: Entrevistas
Las entrevistas permiten tener una primera visión del objeto de la auditoria. En este caso son con los usuarios del sistema para entender su visión en cuanto al funcionamiento.
Asimismo se entrevistara a la Gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo.


Etapa 2: Documentación
En este caso se obtienen los manuales técnicos y de usuarios de la aplicación.


Etapa 3: Emisión de una primera opinión
A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación.


Etapa 4: Verificar el cumplimiento de los controles
Aquí se revisa que esos controles estén funcionando.


Etapa 5: Emisión de una conclusión final
La conclusión se respalda en todos los pasos anteriores del proceso de auditoria. Además debe tener en cuenta los hallazgos. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios.


Ejemplos
Sun Microsystems / Oracle enero 2012
Sun /Oracle ha encontrado matrices COBIT y documentos muy útiles mapas cuando se habla de cómo todos los diferente marcos encajan.
La empresa ha aprovechado con éxito los conceptos de las materias relacionadas con el COBIT para crear debate sobre la salud y la madurez auto-evaluaciones, proporcionar una línea de visión entre sus actividades y sus objetivos de negocio, llevar previsibilidad y la confiabilidad de cómo planea el grupo de TI y administra el trabajo en la empresa, y complementar su ciclo de planificación corporativa con un "ciclo de la gestión de TI".


Ecopetrol SA Junio 2010
La División de Tecnología de la Información eligió COBIT como marco adecuado gobierno de TI para integrar un sistema de gestión de TI.
Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley.


Grupo Bancolombia enero 2011
Grupo Bancolombia utilizar COBIT para crear una visión compartida, la lengua única, la alineación entre la planificación estratégica de negocios y planificación estratégica de TI, y la claridad en los roles y responsabilidades.


jueves, 28 de noviembre de 2013

CONSULTA

¿Qué es Gobierno TI?
Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio. Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definido. Garantiza que:
TI está alineada con la estrategia de! negocio.
Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma más eficiente.
Todos los riesgos relacionados con TI son conocidos y administrados y tos recursos de TI están seguros.

¿Qué es Framework?
La palabra inglesa "framework" (marco de trabajo) define, en términos generales, un conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática particular que sirve como referencia, para enfrentar y resolver nuevos problemas de índole similar.
En el desarrollo de software, un framework o infraestructura digital, es una estructura conceptual y tecnológica de soporte definido, normalmente con artefactos o módulos de software concretos, que puede servir de base para la organización y desarrollo de software. Típicamente, puede incluir soporte de programas, bibliotecas, y un lenguaje interpretado, entre otras herramientas, para así ayudar a desarrollar y unir los diferentes componentes de un proyecto.
Ventajas
  1. El desarrollo rápido de aplicaciones. Los componentes incluidos en un framework constituyen una capa que libera al programador de la escritura de código de bajo nivel.
  2. La reutilización de componentes software al por mayor. Los frameworks son los paradigmas de la reutilización.
  3. El uso y la programación de componentes que siguen una política de diseño uniforme. Un  framework  orientado  a  objetos  logra  que  los  componentes  sean  clases  que pertenezcan a una gran jerarquía de clases, lo que resulta en bibliotecas más fáciles de aprender a usar.
Desventajas:
  1. La dependencia del código fuente de una aplicación con respecto al framework. Si se desea cambiar de framework, la mayor parte del código debe reescribirse.
  2. La demanda de grandes cantidades de recursos computacionales debido a que la característica de reutilización de los frameworks tiende a generalizar la funcionalidad de los componentes. El resultado es que se incluyen características que están "de más", provocando una sobrecarga de recursos que se hace más grande en cuanto más amplio es el campo de reutilización.
Brecha Digital

Brecha digital hace referencia a una totalidad socio-económica entre aquellas comunidades que tienen accesibilidad a Internet y aquellas que no, aunque tales desigualdades también se pueden referir a todas las nuevas tecnologías de la información y la comunicación (TIC), como el computador personal, la telefonía móvil, la banda ancha y otros dispositivos. Como tal, la brecha digital se basa en diferencias previas al acceso a las tecnologías. Este término también hace referencia a las diferencias que hay entre grupos según su capacidad para utilizar las TIC de forma eficaz, debido a los distintos niveles de alfabetización, carencias, y problemas de accesibilidad a la tecnología. También se utiliza en ocasiones para señalar las diferencias entre aquellos grupos que tienen acceso a contenidos digitales de calidad y aquellos que no. El término opuesto que se emplea con más frecuencia es el de inclusión digital y el de inclusión digital genuina (Maggio, 2007). De aquí se extrae también el concepto de "infoexclusion" para designar los efectos discriminatorios de la brecha digital.

Ventajas y Desventajas de la Brecha Digital
La brecha digital tiene ventajas y desventajas que permiten tener así un mejor funcionamiento de la misma: como sus ventajas tenemos : permite eí acceso a dispositivos tecnológicos, permite expandir la tecnología a los lugares mas remotos de nuestro país .permite el desarrollo de los ciudadanos o de las regiones que no se producen por las desigualdades de acceso a las tecnologías de información y comunicación .
la tecnología aumenta a! igual que el valor de una red crece a! aumentar e! número de personas beneficiadas por esta plataforma ya que aumenta las posibilidades de conexión.
sirven de canal informativo , ayuda a contribuir y aumentar la calidad de vida , mejorando la educación en una única red.

¿Qué es ISO?

La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 153 países, uno por cada país.
La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de to intelectual, científico, tecnológico y económico. Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.

¿De donde proviene el nombre ISO?
Muchas personas  habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra "ISO". Así sería, pero ISO no es el acrónimo.
En efecto, "ISO" es una palabra, que deriva del Griego "¡sos", que significa "igual", el cual es    la    raíz    del prefijo "iso" el cual aparece en infinidad de términos.
Desde "igual" a "estándar" es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir "ISO" como nombre de la Organización

¿A que se basa la ISO en 17.799?
ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles
Conocer los fundamentos de la Norma internacional ISO 17799 para la gestión de la seguridad de la información. Analizar los objetivos de la Norma internacional ISO 17799. Enumerar las áreas de control de seguridad que abarca la Norma internacional ISO 17799. Identificar la estructura de la Norma internacional ISO 17799. Enumerar las ventajas que presenta la aplicación de la Norma internacional ISO 17799. Plantear el tipo de metodología utilizada para el desarrollo del tema.

4. Artículo II. Introducción La Norma ISO 17799 es la norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándarinternacional, es el más extendido y aceptado.La Norma ISO 17799 es el Sistema de Gestión de Seguridad de la Información (Informational Security Management Systems, ISMS) reconocido internacionalmente. El ISO 17799 proporciona un amplio concepto de lo que un ISMS puede hacer para proteger la información de una organización. La norma define a la información como un activo que tiene valor en una organización; y como todos los activos, es imperativo mantener su valor para el éxito de una organización.El ISO 17799 es una norma del Sistema de Gestión de Seguridad de la Información .reconocida internacionalmente. Proporciona las pautas para la implementación basada en las sugerencias que deben ser consideradas por una organización para poder construir un programa comprensivo de gestión de seguridad de la información.

¿Qué es COSO I y COSO II?
COSO I
En 1992 la comisión publicó el primer informe "Internal Control - Integrated Framework" denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control interno y generando una definición común de "control interno".
Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías.
  • Eficacia y eficiencia de las operaciones
  • Confiabilidad de la información financiera
  • Cumplimiento de las leyes, reglamentos y normas que sean aplicables
La estructura del estándar se dividía en cinco componentes:
  1. Ambiente de Control
  2. Evaluación de Riesgos
  3. Actividades de Control
  4. Información y Comunicación
  5. Supervisión.
COSO II
En 2004, se publicó el estándar "Enterprise Risk Management - Integrated Framework" (COSO H) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y administradores.
COSO II (ERM) amplía la estructura de COSO I a ocho componentes:
  1. Ambiente de control: son los valores y filosofía de la organización, influye en la visión de los trabajadores ante los riesgos y las actividades de control de los mismos.
  2. Establecimiento de objetivos: estratégicos, operativos, de información y de cumplimientos.
  3. Identificación de eventos, que pueden tener impacto en el cumplimiento de objetivos.
  4. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la consecución de los objetivos.
  5. Respuesta a ios riesgos: determinación de acciones frente a ios riesgos.
  6. Actividades de control: Políticas y procedimientos que aseguran que se llevan a cabo acciones contra los riesgos.
  7. Información y comunicación: eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con sus responsabilidades.
  8. Supervisión: para realizar el seguimiento de las actividades.

miércoles, 27 de noviembre de 2013

MODELO COBIT


HISTORIA DE COBIT

Cobit ha tenido varias ediciones, siendo publicada la primera en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en Diciembre de 2005, y la versión 4.1 está disponible desde Mayo de 2007.

CobiT, lanzado en 1996, es una herramienta de gobierno de TI que vincula la tecnología informática y las prácticas de control.
Consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gestión, los profesionales de control y los auditores.
Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos.


CobiT está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

¿Qué es COBIT?
  • Es un acrónimo que tiene como objetivos de Control para tecnología de la información.
  • —Es un estándar cada vez más aceptado al ser de acceso libre en muchos de sus componentes 
  • —Esta en evolución permanente 
  • —Es 100 % compatible con ISO 17799, COSO I y COSO II y otros estándares relacionados.

Misión del COBIT
“Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores”.


¿A quiénes está dirigido?
  • —La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. 
  • —Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. 
  • —Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. 
  • —Los Responsables de TI: para identificar los controles que requieren en sus áreas. 
Alcances y Objetivos
  • Estándares generalmente aplicados y aceptados para las buenas prácticas de control en TI (Tecnologías de la Información) 
  • Para Sistemas de Información de la Organización 
  • Fundamentado en una estructura de control de las TI
Beneficios
  • Optimizar los servicios el costo de las TI y la tecnología 
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas 
  • Gestión de nuevas tecnologías de información

Ventaja

  • —Se aprecian resultados en indicadores de la eficiencia y efectividad 
Desventaja
  • Resulta un modelo ambicioso que requiere de profundidad en el estudio
Características
  • —Orientado al negocio 
  • —Alineado con estándares y regulaciones “de facto” 
  • —Basado en una revisión crítica y analítica de las tareas y actividades en TI 
  • —Alineado con estándares de control y auditoria (COSO, IFAC, ISACA

Ciclo de Vida

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

La estructura de CobiT 

Se define a partir de una premisa simple y pragmática: “Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

COBIT se divide en 3 niveles:
  • Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. 
  • —Actividades: Acciones requeridas para lograr un resultado medible. 
  • —Dominios: 
           - —Planificación y organización
           - —Adquisición e implementación
           - —Prestación y Soporte
           - —Monitoreo

sábado, 23 de noviembre de 2013

Caso PARMALAT


En el año 1961, Calisto Tanzi, de 22 años, abrió una pequeña planta de pasteurización en Parma, Italia. Cuatro décadas después la compañía ha crecido hasta convertirse en una compañía Multinacional, produciendo leche, bebidas varias, panadería, y otros productos diarios. En el año 2011 el 83% de sus acciones fue adquirido mediante una oferta pública de acciones por la empresa francesa Lactalis, convirtiéndose entonces en el grupo lácteo más grande del mundo, y primer comprador de leche global con un volumen aproximado de cuarenta millones de litros diarios. En los años 1980 trajo además productos de desayuno y en los años 1990 fue listado en la bolsa de valores de Milán.

Fue en 1997 cuando Parmalat saltó al mundo financiero, obteniendo varias adquisiciones internacionales, especialmente en el hemisferio Este, pero con deudas. Pero en el 2001, muchas de las nuevas divisiones corporativas y gubernamentales de la empresa empezaron a perder dinero.

En febrero del año 2003 el Contador Oficial Ejecutivo, Fausto Tonna de improvisto anunció una nueva edición de bonos de 500 millones de euros. Esto fue una sorpresa tanto para el gerente, Tanzi, y para toda la compañía. Tanzi despidió a Tonna y lo reemplazó con Alberto Ferraris.

El 11 de noviembre del 2003, Parmalat se desplomó en bolsa más de un ocho por ciento, hasta 2,37 euros, después de que su auditor, Deloitte & Touche, se negara a aprobar las cuentas del primer semestre. Deloitte expresó serias dudas sobre la transparencia y la corrección de las cuentas de su cliente.

Parmalat ha utilizado durante años la colocación de acciones y bonos convertibles en paraísos fiscales para financiar docenas de adquisiciones en todo el mundo. Entre 1993 y 2002 sus ventas se incrementaron un 410% y sus beneficios alcanzaron una cifra récord. El escándalo estalló cuando a finales de noviembre, la empresa reconoció que no podía garantizar la liquidez de una inversión de 496,5 millones de euros en un fondo de inversión de las Islas Caimán. Este hecho provocó la dimisión del director financiero de la compañía, Fausto Tonna.

El fraude se cometió con medios muy sencillos: control de la correspondencia de los auditores, recibos bancarios falsificados con un scanner y una fotocopiadora y cambios de domicilio social, para no tener que cambiar de auditor, como exige la ley italiana, con lo cual era más sencillo engañar al auditor tradicional, que continuaba haciendo su trabajo con la despreocupación nacida de la confianza ganada con una documentación uniforme e históricamente falsa. Las cifras de la falsificación del balance fueron de 14.000 millones de euros de activos inexistentes, compensados con la misma cantidad de créditos bancarios, obligación y fondos propios perdidos por todos los que han confiado en la empresa. La empresa falsificaba sus balances desde hacía 15 años al parecer con la complicidad de un grupo de bancos nacionales e internacionales (según los fiscales que investigan el caso), que contribuían a disimular las pérdidas y disfrazar las inversiones con complejos esquemas y de una estructura estable de ejecutivos leales a Tanzi, quien reinaba con estilo patriarcal.

Parmalat, estaba inmerso en un escándalo tras reconocer un "agujero" contable en su filial Bonlat, con sede en Islas Caimán, de 4.000 millones de euros pero que, según otras fuentes, alcanza en realidad entre 7.000 y 9.000 millones. La mecha la encendió la entidad financiera estadounidense Bank of America, al negar la autenticidad de un documento que garantizaba la existencia de 3.950 millones de euros en una cuenta de una compañía “off-shore”, Bonlat. 

Durante sus años como director financiero de Parmalat, Fausto Tonna fue el principal creador de la trama ilegal por orden de Calisto Tanzi, que ahora intenta dejarle con un muerto en las manos negando haber dado orden de destruir la contabilidad B y los computadores utilizados para falsificar las cartas de Bank of América que certificaban depósitos de 3.950 millones de euros a favor de Bonlat en las Islas Caimán. Al parecer, un contador del grupo interrogado por los fiscales milaneses, confesó que habían utilizado un escáner para copiar el logotipo de Bank of América y falsificar el documento en el que se acreditaban los 3.950 millones de euros. El Bank of América presentó en los tribunales de Milán una demanda contra la firma italiana por falsificación en escrito privado.

Mientras, los títulos de la compañía suspendieron su cotización en la Bolsa de Milán a la vez que se hizo efectiva su exclusión del MIB 30, principal índice de la bolsa italiana, las acciones de Parmalat perdieron en la Bolsa de Milán un 63,33%, situándose en los 0,11 euros. El 11 de noviembre del 2003, fecha del desencadenamiento de la crisis, el valor de las acciones de Parmalat al cierre era de 2,37 euros. 

Principales responsables del fraude de Parmalat

El principal participe de estas acciones fraudulentas fue el dueño y fundador de la misma Calisto Tanzi, gracias al afán de expansión, siendo este la persona que daba las órdenes, pero al igual que este, otras personas involucradas en el caso, quienes hacían cumplir esas órdenes y ayudar a esconder los grandes agujeros que existían en los libros contables de las numerosas compañías de Parmalat. Entre ellos están los siguientes:

Fauto Tonna, el ex financiero quien está considerado como el cerebro de las operaciones, y jugo un papel importante en el encubrimiento de las perdidas. - Giovanni Bonici, antiguo presidente de la filial en Venezuela, quien contribuyo a la falsificación de las cuentas. - Luciano del Soldado, antiguo jefe de auditoria y ex director financiero, quien ayudo a montar el sistema para desviar fondos a paraísos fiscales. - Gianfrancco Bocchi y Claudio Pessina, quienes eran los dos auditores internos, falsificando cuentas y supuestos documentos enviados por el Bank Of America. - Lorenzo Penca, presidente de Gran Thornton, auditaba la unidades que son el centro de investigación por fraude, con grandes influencias en la creación de la red de fraude. - Mauricio Bianchi, asesor para ocultar sus pérdidas, y por último, Gianpaolo Zini, el abogado y confidente de Tanzi

¿Que es COBIT?

COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información. 

COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.

¿Para qué sirve COBIT?

Enfocarse en objetivos y necesidades del negocio mejorando la cooperación y comunicación entre los administradores del negocio y los auditores 

Ayuda a los administradores a entender como los asuntos de seguridad y control benefician sus áreas de operación.

Ayuda a las organizaciones a compararse con la competencia e implementar mejores prácticas de objetivos de control y la tecnología relacionada .

Se desarrollan fuertes relaciones de negocio a varios niveles y las sorpresas se vuelven raras.

Las organizaciones generan confianza y credibilidad hacía sus clientes 

Permite a las organizaciones cumplir con requerimientos regulatorios.

jueves, 14 de noviembre de 2013

Caso AMERICAN AIRLINES


American Airlines (AA), del grupo AMR Corp, es una aerolínea de los Estados Unidos con sede en Fort Worth, Texas. Su sistema SABRE comenzó a principios de los años sesenta como un sistema interno de reservas de AA.

Poco después estaba disponible en más de 1.000 pantallas de las ciudades donde volaba AA. En 1976 se instala por primera vez en una agencia de viajes.
Hoy SABRE está instalado en más de 300.000 terminales.
Este sistema se desarrolló para ayudar a AA con los problemas que tenía desde los años cincuenta con su sistema de reserva de vuelos. Su primer sistema de reserva, diseñado en los años veinte, era completamente manual.
Usaba un archivo rotatorio con tarjetas. Cuando se reservaba un asiento ha cían una marca en la tarjeta del vuelo seleccionado y en lugar correspondiente al asiento. La tarea de buscar un vuelo, reservar un asiento y expedir el billete duraba 90 minutos de media, y hasta 3 horas en algunos casos.

En 1952 sustituyen el sistema manual por Magnetronic Reservisor, un equipo para el tratamiento de la información mediante un tambor magnético. Cada posición de memoria de esta máquina albergaba el número de asientos libres de un vuelo en concreto. Con este sistema pudieron aumentar el número de operadores que podían consultar la información al mismo tiempo. Estos operadores atendían a los agentes de viaje por teléfono y les in formaban de los asientos disponibles. Por tanto, cada vez que un agente de viajes deseaba hacer una consulta, tenía que llamar por teléfono a un operador de AA. Además, expedir el billete seguía siendo lento.

Casualmente, durante la fase de chequeo del sistema Magnetronic Reservisor, Blair Smith, de IBM, y el presidente de AA, C. R. Smith, se sentaron juntos en un vuelo y comenzaron a hablar. Antes de finalizar el vuelo Blair Smith comentó a C. R. Smith que IBM podría solucionar los problemas de AA.

En 1957 IBM y AA firman un acuerdo y desarrollan conjuntamente el prototipo SABER (Semi Automatic Business Evironment Research). El sistema definitivo se instala en 1962, con el nombre de SABRE (Semi-Automated Business Research Environment). SABRE fue el primer sistema de reservas informatizado de billetes (Computerized Reservation Systems, o CRS). Hoy en día no se concibe una aerolínea sin un CRS. Posteriormente a AA, la compañía United Airlines desarrolló su sistema Apollo; bastante más tarde el consorcio europeo entre British Airways, Alitalia, KLM y Swissair creó su sistema Galileo, y el consorcio entre Lufthansa, Air France e Iberia, el Amadeus.

Antes de SABRE, los agentes de viajes tenían que consultar los listados de vuelos de todas las rutas y sus precios hasta encontrar la opción más ajustada a lo solicitado por el cliente. Una vez seleccionada, el agente tenía que contactar telefónicamente con un operador de la aerolínea elegida para reservar una plaza. Esto no permitía elegir la mejor opción para el pasajero por la imposibilidad de comparar todos los vuelos, consumía mucho tiempo en el proceso de búsqueda y reserva tanto para los agentes como para los operadores de las aerolíneas, y suponía grandes costes de personal por el elevado número de operadores necesario para atender las llamadas procedentes de las agencias. De hecho, el sistema SABRE le ahorró a AA un 30 por 100 de sus gastos en personal.

Con SABRE los agentes tenían un terminal conectado a AA y podían hacer la reserva ellos mismos. Al principio se usó sólo para la venta de billetes y reservas. Posteriormente, incorporó una base de datos de pasajeros y su historial, información meteorológica, inventarios y un sistema de entrenamiento asistido por computadora llamado SAI.

Aunque inicialmente SABRE era para uso exclusivo de AA, posterior mente se vendieron sus servicios a otras aerolíneas de la competencia. De hecho, los rivales no tuvieron más remedio que incorporar su oferta a SABRE, ya que la gran implantación que consiguió en las agencias de viajes les disuadía de desarrollar un sistema propio por la resistencia de los agentes a aprender a usar un sistema distinto y por lo elevado de las inversiones requeridas en tecnologías. Únicamente la rápida reacción de United Airlines permitió la introducción de su sistema Apollo, posicionándose como un competidor importante en los CRS.

Poseer el control del sistema SABRE permitió a AA reaccionar en cada momento modificando sus rutas y precios según la oferta de la competencia, de la que tenía información privilegiada. También permitía mostrar en primer lugar los vuelos de AA (habían comprobado que en más de la mitad de las ocasiones los agentes seleccionaban el vuelo que les salía en la primera línea, y en un 92 por 100 elegían un vuelo de la primera pantalla), y hacer que las reservas fueran más sencillas y con menos pasos que las de otras compañías. Además, AA podía eliminar el alquiler del sistema para las agencias que les compraran un número dado de vuelos. Incluso, en ocasiones, dificultaron de forma deliberada la visualización y selección de vuelos de otras compañías que le hicieron competencia directa.

La posición hegemónica que logró AA provocó que sus competidores denunciaran estas dudosas prácticas ante las autoridades, que intervinieron para que AA las suspendiera.

Posteriormente, SABRE incluyó las reservas de otros servicios relacionados con los viajes, tales como ofertas procedentes de las agencias de viajes, alquileres de coches y hoteles.

El sistema SABRE llegó a ser la primera gran red no militar, y la red WAN más grande del mundo hasta mediados de los ochenta, cuando se extendió Internet.

Preguntas:
1. ¿Qué servicios de valor añadido (SVA) estima que requiere el uso de un CRS cualquiera?
2. El sistema SABRE descrito en el caso ¿es un software de base o de aplicación? Y dentro de estos, ¿qué tipo de software sería? Justifique su respuesta.

Preguntas de capítulos anteriores:
3. Indique si, en su opinión, las transacciones de un CRS se deben realizar online o por lotes.
4. Atendiendo al nivel de la pirámide jerárquica en el que funciona un CRS, ¿qué nivel de decisión apoya?

Preguntas de casos previos:
5. Diga si el sistema de gestión de nóminas del caso Motorola (capítulo 1) es un software estándar o a medida. ¿Y el software de gestión de personal?

Caso MOTOROLA


Motorola desarrolla su actividad prácticamente en todas las áreas de la electrónica y de las telecomunicaciones. Esta empresa destaca por su continua innovación tecnológica, como se pone de manifiesto, por ejemplo, en la fabricación pionera de telefonía celular, de semiconductores en la industria de
la microelectrónica, y de los equipos y sistemas de radio en los grandes sistemas de comunicación

Actualmente posee una plantilla formada por miles de trabajadores repartidos por muchos países del mundo. Gestionar un número tan elevado de trabajadores es una tarea compleja. En 1997 la empresa invirtió en la mejora y desarrollo del sistema de información de su Departamento de Recursos Humanos. Concretamente compró en el mercado una aplicación para la elaboración de nóminas y desarrolló un software para optimizar la gestión de personal.

El software de gestión de personal fue desarrollado conjuntamente con la consultora Andersen Consulting. Este sistema fue diseñado para sustituir los procedimientos manuales de actualización y consulta de los datos de personal.
Anteriormente, los trabajadores que tenían que actualizar sus datos y los directivos que requerían información de sus trabajadores para tomar decisiones de gestión de personal (cambios en sus nóminas, ascensos, traslados, cambios de turnos, gestión de vacaciones o permisos, etc.) tenían que cumplimentar
formularios en papel que enviaban a un centro de servicios compartidos para su procesamiento informático. De esta manera, se consumía mucho tiempo y se producía una doble captura de la información, la primera en papel y la segunda al procesar dicha información en las bases de datos de personal.

El programa de gestión de personal que se desarrolló era accesible a través de la Intranet ya existente en la empresa. El personal y los directivos podían entrar en el sistema introduciendo una clave que les identificaba y definía los privilegios de acceso y uso que tenían. Los trabajadores podían conectarse ahora online desde cualquier terminal de la red y actualizar sus datos personales y profesionales, o gestionar los beneficios sociales que Motorota ofrece a sus empleados. Igualmente, con el nuevo sistema, los directivos podían gestionar más rápidamente el personal a su cargo. Esto supuso a los directivos menores esperas en la toma de decisiones relativas a personal, y ahorros en las tareas administrativas básicas que se realizaban antes en el centro de servicios compartidos y en el Departamento de Recursos Humanos.

Preguntas:
  1. Se ha comentado que la aplicación de gestión de personal funciona online. ¿Es necesario este tipo de procesamiento? Justifique su respuesta.
  2. Atendiendo a los niveles de decisión de la pirámide jerárquica de la empresa en el que funciona la aplicación de gestión de personal, ¿qué tipo de decisiones apoya?
  3. Señale en qué parte, o partes, de la estructura conceptual del sistema de información se representarían los sistemas para la gestión de personal antes y después de la implantación de la nueva aplicación desarrollada.
  4. Este sistema, en el que los trabajadores introducen sus datos, algunos de ellos de carácter personal, previa identificación con una clave, ¿se trata de un sistema público o privado?, ¿formal o informal? Justifique su respuesta.

jueves, 7 de noviembre de 2013

CONSULTA

¿Qué es Gobierno TI?
Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regúlatenos, operativos o del negocio.
Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definidos.
Garantiza que:

  • TI está alineada con la estrategia del negocio.
  • Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma más eficiente.
  • Todos los riesgos relacionados con TI son conocidos y administrados y los recursos de TI están seguros.

Juicio Profesional
El juicio profesional se refiere al empleo de los conocimientos técnicos y experiencia necesarios para seleccionar posibles cursos de acción , dentro del contexto de la sustancia económica de la operación a ser reconocida. El juicio profesional debe ejercerse con un criterio o enfoque prudencial, el cual consiste, en seleccionar la opción más conservadora, procurando en todo momento que la decisión se tome sobre bases equitativas para los usuarios de la información financiera. Con objeto de preservar la utilidad de la información financiera, ésta debe contener explicaciones sobre la forma en que se ha aplicado el criterio prudencial, con el propósito de permitir al usuario general formarse un juicio adecuado sobre los hechos y circunstancias que envuelven a la operación sujeta de reconocimiento.

El juicio profesional se emplea comúnmente para:
a) La elaboración de estimaciones y provisiones contables que sean confiables.
b) La determinación de grados de incertidumbre respecto a la eventual ocurrencia de sucesos futuros.
c) La selección de tratamientos contables.
d) La elección de normas contables supletorias a las NIF, cuando sea procedente.
e) El establecimiento de tratamientos contables particulares. Elaboración de estimaciones y provisiones contables que sean confiables
f) Lograr el equilibrio entre las características cuantitativas de la información financiera.


martes, 5 de noviembre de 2013

CONSULTA

¿Qué es un Sistema?
Un sistema es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia.
Un sistema puede ser físico o concreto (una computadora, un televisor, un humano) o puede ser abstracto o conceptual (un software).
Cada sistema existe dentro de otro más grande, por lo tanto un sistema puede estar formado por subsistemas y partes, y a la vez puede ser parte de un súper sistema.
Los sistemas tienen límites o fronteras, que los diferencian del ambiente. Ese límite puede ser físico (el gabinete de una computadora) o conceptual. Si hay algún intercambio entre el sistema y el ambiente a través de ese límite, el sistema es abierto, de lo contrario, el sistema es cerrado.
El ambiente es el medio en externo que envuelve física o conceptualmente a un sistema. El sistema tiene interacción con el ambiente, del cual recibe entradas y al cual se le devuelven salidos. El ambiente también puede ser una amenaza para el sistema.
Un grupo de elementos no constituye un sistema si no hay una relación e interacción, que de la idea de un "todo" con un propósito.

¿Qué es Recursos?
Un recurso es una fuente o suministro del cual se produce un beneficio. Normalmente, los recursos son material u otros activos que son transformados para producir beneficio y en el proceso pueden ser consumidos o no estar más disponibles. Desde una perspectiva humana, un recurso natural es cualquier elemento obtenido del medio ambiente para satisfacer las necesidades y los deseos humanos. Desde un punto de vista ecológico o biológico más amplio, un recurso satisface las necesidades de un organismo vivo.
El concepto de recurso ha sido aplicado en diversos ámbitos, en particular, con respecto a la economía, biología, ciencias de la computación, manejo del recurso tierra y recursos humanos. Además, está relacionado con los conceptos de competencia, sostenibilidad y conservación ambiental.
En aplicación al interior de la sociedad humana, factores comerciales y no comerciales requieren asignación de recursos por medio de la administración de recursos.

¿Gerencia es Igual que Administración?
No por que La administración se encarga de realizar el trabajo de Planeación, organización, ejecución y control, desempeñadas para determinar y alcanzar los objetivos mientras que la gerencia se encarga llevar a cabo las metas o procedimientos trazados por la administración.
Un gerente es una persona encargada de dirigir las actividades de otros al logro de un objetivo, mediante la asignación óptima de recursos. Un administrador en cambio, posee la autoridad formal, la tiene por decisión de un gobernante, un Consejo o el dueño de un negocio, sin embargo, ello por sí solo no quiere decir que sea el líder de un grupo, podrá tener la autoridad y el poder, pero no necesariamente la capacidad de liderar, por tanto, es deseable que el administrador sepa convertirse en líder, o que la organización para la que trabaja, lo desarrolle como tal.

¿Qué es la Tecnología?
Es el conjunto de conocimientos técnicos, ordenados científicamente, que permiten diseñar y crear bienes y servicios que facilitan la adaptación al medio ambiente y satisfacer tanto las necesidades esenciales como los deseos de las personas. Es una palabra de origen griego, formada por (arte, técnica u oficio, que puede ser traducido como destreza) y logia (el estudio de algo).

Aunque hay muchas tecnologías muy diferentes entre sí, es frecuente usar el término en singular para referirse a una de ellas o al conjunto de todas. Cuando se lo escribe con mayúscula. Tecnología, puede referirse tanto a la disciplina teórica que estudia los saberes comunes a todas las tecnologías como a educación tecnológica, la disciplina escolar abocada a la familiarización con las tecnologías más importantes.

¿Qué es la TIC?
Las tecnologías de la información y la comunicación (TIC para nuevas tecnologías de la información y de la comunicación) agrupan los elementos y las técnicas usadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, internet y telecomunicaciones.
Por extensión, designan el sector de actividad económica.
"Las tecnologías de la información y la comunicación no son ninguna panacea ni fórmula mágica, pero pueden mejorar la vida de todos los habitantes del planeta. Se disponen de herramientas para llegar a los Objetivos de Desarrollo del Milenio, de instrumentos que harón avanzar la causa de la libertad y la democracia, y de los medios necesarios para propagar los conocimientos y facilitar la comprensión mutua" (Kofi Annan, Secretario general de la Organización de las Naciones Unidas, discurso inaugural de la primera fase de la WSIS, Ginebra 2003)
El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir en un momento determinado la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de usuarios que utilizan las TIC como medio tecnológico para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que no las utilizan.

¿Qué es la Tecnología de Información?
Se conoce como tecnología de información (TI) a la utilización de tecnología - específicamente computadoras y ordenadores electrónicos - para el manejo y procesamiento de información -específicamente la captura, transformación, almacenamiento, protección, y recuperación de datos e información.
Los orígenes de la TI son recientes. Aunque el nombre de tecnología de información se remonta a los años 70, su utilización en los negocios se remonta a mediados del siglo XX, durante la segunda guerra mundial. Sin embargo, ha sido en los últimos 20 años donde ha alcanzado niveles de uso y aplicaciones tan variadas y ubicuas, que se ha convertido^en un área de gran amplitud e impacto en todos los aspectos de la vida cotidiana - incluyendo la gerencia de cualquier empresa, en la cual hoy en día es casi indispensable.

Caso ENRON

Antecedentes



  • 1985 
  • Actividades iniciales exitosas en conducción de gas natural y electricidad 
  • Comercializadora de energía más poderosa del mundo 
  • Se lanza a los mercados de carbón, papel, acero, agua 
  • Gozaba de gran prestigio y gran crédito gracias al enorme poderío que le daba su capitalización en el mercado
  • 1999 funda Enron online
  • Lo más valioso, sus acciones
  • En Agosto de 2000 alcanza el mayor valor de venta de sus acciones ($90.56)
  • Ocupaba el lugar No. 7 en la lista de las 500 empresas más importantes de EE.UU (Fortune)
En Picada
  • Compensaciones excesivas a altos ejecutivos y socios 
  • Despilfarro de fondos por las grandes contribuciones a la financiación de campañas políticas 
  • Posibles sobornos 
  • Recursos mal empleados por la dirección 
  • Inversiones torpes y poco planificadas
  • En Marzo de 2001 la cotización por acción baja a $60.00 
  • Incursiona con un rotundo fracaso en el terreno de las telecomunicaciones 
  • En el tercer trimestre de 2001 reporta una pérdida de más de $1000 millones 
  • El 2 de Diciembre de 2001 la empresa se declara en suspensión de pagos
  • Despide a más de 4.500 empleados 
  • El valor por acción cae a menos de 26 centavos 
  • Deja de cotizar por rebasar el límite inferior de $1 
  • La compañía acumula deudas de más de $30.000 millones 
  • Pierde a su Vicepresidente ejecutivo por suicidio
¿Dónde estaban los auditores?

  • Arthur Andersen fue una de las firmas auditoras más importantes del mundo
  • Enron era el segundo cliente más importante de AA
  • El trabajo de AA para Enron superaba los $50 millones anuales
  • Si AA hubiese hecho sonar el silbato en su momento ante las dudosas transacciones financieras, Enron se habría visto obligada a poner freno al crecimiento descontrolado de su deuda
Responsabilidades
  • Comportamientos despiadados y completamente inmorales imperaban en los niveles superiores de la dirección (desenfreno y avaricia) 
  • Prácticas habituales de ocultar enormes deudas, engaño a los accionistas sobre la posición de liquidez 
  • Gran cantidad de “auto-operaciones”
  • La firma AA destruyo papeles y archivos electrónicos correspondientes a las auditorias (1997-2000) 
  • La actuación de AA dio origen a una demandada de las autoridades por obstrucción a la justicia, destrucción y alteración de documentos
El fin
  • La gran estafa de Enron a sus empleados y accionistas concluyó en penas de cárcel para sus directivos 
  • Su ex-presidente falleció antes de cumplir los 45 años de sentencia
  • La firma AA admitió que se destruyeron algunos documentos, pero dijo que era un procedimiento normal 
  • Los miembros del jurado tras diez días de deliberaciones no lograban llegar a una decisión unánime sobre la inocencia o culpabilidad 
  • Finalmente el tribunal falló en contra de la firma auditora 
  • La firma auditora AA es sentenciada a entregar su licencia de operaciones
Política y Legislación
  • La actitud política general estaba menos preocupada por proteger los intereses de los accionistas que los de los directivos 
  • El sistema político y legislativo permitió que se extendiera esta cultura 
  • Florecimiento de la filosofía de la avaricia
  • La Ley Sarbanes-Oxley, pretende: 
          - Aumentar las penas por delitos societarios
          - Aumentar la autoridad y responsabilidad de los comités de auditoria 
          - Definir estándares de responsabilidad profesional para los abogados
          - Limitar el alcance de los servicios que los auditores pueden prestar a sus clientes 
          - Eliminar los préstamos a directivos y administradores
Estándares y Directrices para la Auditoria de Sistemas de Información
* Código de Ética Profesional
  • Apoyar la implementación y fomentar el cumplimiento de las normas, los procedimientos y los controles apropiados en los SI. 
  • Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores prácticas profesionales.
  • Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no involucrarse en actos que puedan desacreditar la profesión. 
  • Mantener la privacidad y la confidencialidad de la información obtenida en el curso de su función a menos que la autoridad legal requiera su revelación. Dicha información no será usada para beneficio personal ni será revelada a terceros.
  • Mantener competencia en sus respectivos campos y se comprometerá a emprender únicamente las actividades que puedan realizar con competencia profesional. 
  • Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento. Apoyar la educación profesional de los accionistas para mejorar su comprensión sobre seguridad y control de los sistemas de información.
* Estándares para la Auditoria de Sistemas de Información
  • Estándares. 
  • Directrices. 
  • Procedimientos.
  • S1 Estatuto de Auditoria
  • S2 Independencia
  • S3 Ética y Estándares Profesionales
  • S4 Competencia profesional
  • S5 Planeación
  • S6 Ejecución del Trabajo de Auditoria
  • S7 Informe
  • S8 Actividades de Seguimiento
  • S9 Irregularidades y Actos Ilícitos
  • S10 Gobierno de TI
  • S11 Uso de la Evaluación de riesgos en la planeación de Auditoria
* Directrices para la Auditoria de Sistemas de Información
  • Considerarlas para determinar cómo implementar los estándares. 
  • Usar el juicio profesional para aplicarlas. 
  • Poder justificar cualquier diferencia. 
          - G1 Uso del trabajo de otros auditores, 01/06/1998
          - G7 Debido cuidado profesional, 01/09/1999
          - G19 Irregularidades y actos ilegales, 01/07/2002

* Procedimientos para la Auditoria de Sistemas de Información
  • No es obligatorio que el auditor de SI siga estos procedimientos, sin embargo al seguirlos tendrá la certeza de que está siguiendo los estándares 
          - P1 Evaluación de riesgos de SI, 01/07/2002
          - P2 Firmas digitales, 01/07/2002
          - P3 Detección de intrusos, 01/08/2003
          - P4 Virus y otros códigos maliciosos, 01/08/2003
          - P5 Autoevaluación de Control de Riesgos, 01/08/2003

* Relación entre Estándares, Directrices y Procedimientos


Uso del juicio profesional

Análisis de Riesgos

“El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos, ocasionando pérdida o daño a los activos”

Directrices para la Administración
de Seguridad de TI (ISO)
  • Categorías de Activos: 
          - Información:
               Tipo de soporte: papel, electrónico
               B/D, ficheros, manuales, contratos, etc
          - Software:
               Aplicaciones, S.O., utilidades, etc
          - Físicos:
               Ordenadores (PC, servidores, portátiles…)
               Comunicaciones (router, switch, hub…)
               Soportes (discos, cintas…)
          - Servicios
               Energía, telefonía, etc
          - Personas
               Conocimiento
          - Imagen
  • Amenaza: 
          - Declaración intencionada de infligir un daño (robo, acceso no autorizado …)
          - Potencial de que un incidente no querido pueda producir daños a la información (humano, técnico)
          - Desastre natural, intencional o accidental (inundación, terremoto, incendio …)
  • Vulnerabilidad 
          - Debilidad o agujero en la seguridad de la organización (falta de control de acceso, equipos en lugares inadecuados, cables desprotegidos, falta de personal clave, mantenimiento inexistente, puertas abiertas)
           
           “Una vulnerabilidad, por si misma, no produce daños. Es una condición para que la                          amenaza afecte al activo”
  • Riesgo y Planeación de la Auditoria 
           “El análisis de riesgos es parte de la planeación de la auditoria y ayuda a identificar riesgos y vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigar esos riesgos”
  • Visión del Riesgo
  • Evaluación del Riesgo