Trabajo Manuscrito Unidad I y Unidad II

 Trabajo escrito descargar 

Trabajo Manuscrito Raquel Gonzalez

  Descargar trabajo Manuscrito Raquel

                                    

TRABAJO MANUSCRITO Juan Quiroz

DESCARGAR ARCHIVO 

                                                                    

                                  

         

ISO 9001:2015

 

                                                                            Doris Carvajal

                  

ISO 9001:2015

Dentro de sus diferentes partes, las ISO, permiten tener un sistema de gestión de calidad normado dentro de cualquier organización permitiendo así que de manera estratégica se cumpla con una serie de pasos que permitan el desempeño funcional en una empresa, de igual manera estas normativas permiten mantenerse en el tiempo si son adoptadas e implementadas de forma consecuente.

Cabe destacar que, el beneficio de la aplicación de las normas ISO, proporcionaran beneficios significativos a la organización, tales como: capacidad para controlar los productos y­ servicios que permitan al consumidor final tener un excelente bien, además de aumentar y beneficiar al cliente y su entorno ya sea a nivel laboral o al cliente en el recibimiento y obtención del bien o del servicio.

Finalmente, en cuanto al preámbulo de las normas ISO, como un todo integrado en la implementación de estas en la organización, permiten obtener y detectar a tiempo los posibles riesgos que cualquier evento o situación pueda entorpecer los procesos administrativos y operativos en la organización.

Ahora bien, en cuanto es importante tener en cuenta que, la visión de los procesos de la norma ISO, permite planificar una actividad, prever la situación y seguidamente actuar en consecuencia, detectando primeramente los posibles riesgos, como se enfatizó en el párrafo anterior.

Dentro de los principales enfoques de la norma ISO 9000, se menciona muy enfáticamente los principios de la gestión de calidad direccionados al cliente, el liderazgo, el compromiso hacia las personas, la mejora en los procesos, la toma de decisiones, y lo conducente a las relaciones.

Es importante destacar el enfoque hacia los procesos en la organización ya que, el fin es la atención al cliente, permitiendo el desarrollo y mejora del proceso y la obtención de un sistema de gestión de calidad óptimo.

En los procesos internos y externos de la organización, el enfoque del proceso como tal beneficia significativamente la eficacia que se brinde al cliente y la eficiencia como se lleve a cabo el proceso, pues en este caso es un ganar ganar.

De igual manera la norma ISO, permite de igual modo esquematizar los procesos tanto, de entrada, y salida de un proceso, así mismo muestra a través de gráficos como se logra obtener un beneficio, como va encaminado el proceso, y los posibles pro y contra de cada proceso.

ISO 9000 / 27001 / 27002 (International Organization for Standardization)

 

                                                                                    Raquel A González

             

ISO

    El Organismo Internacional de Normalización, ISO, (International Organization for Standardization), fue creado en 1.947 y cuenta con 91 estados miembros, que son representados por sus organismos nacionales de normalización

La ISO trabaja para lograr uno forma común de conseguir el establecimiento del sistema de calidad, que garantice la satisfacción de las necesidades y expectativas de los consumidores.

    A comienzos del año 1980 la ISO designó una serie de comités técnicos para que trabajaran en el desarrollo de normas comunes que fuesen aceptadas universalmente. El resultado de este trabajo fue publicado siete años más tarde a través del compendio de normas ISO 9000, posterior a la publicación de la norma de aseguramiento de la calidad-vocabulario (ISO 8402), que fue dada a conocer en 1986.

    El diario oficial de las comunidades europeas, el 28 de Enero de 1991, publicó una comunicación que fue también nombrada el Libro Verde de la normalización. Este importante documento no sólo fue un marco de referencia para Europa, sino también para las comunidades que negocian con ellos, como el caso de Mercosur, con esto se exige o sus proveedores que sean auditados y certificados bajo los lineamientos de la ISO 9000.

    La frecuencia que ISO estableció para la revisión y actualización de lo serie ISO 9000 fue de cinco años.

    La norma ISO 9000 

    Es un conjunto de normas industriales mundiales para la gestión de la calidad. Establece un punto de referencia amplio pero riguroso para mejorar la calidad de los productos y servicios en todos los sectores del mundo. Describen los fundamentos de los sistemas de gestión de calidad con el objetivo de mejorar los resultados de la organización.

La serie ISO 9000 es un conjunto de normas orientadas a ordenar la gestión de la empresa que han ganado reconocimiento y aceptación internacional debido al mayor poder que tienen los consumidores y a la alta competencia internacional acentuada por los procesos integracionistas. Algunas de estas normas especifican requisitos para sistemas de calidad (ISO 9001, 9002, 9003) y otras dan una guía para ayudar en la interpretación e implementación del sistema de calidad (ISO 9000-2, ISO 9004-1).

Antecedentes de las normas ISO 9000

La normalización internacional se realiza con base en un amplio criterio, no sólo se refiere a lo legislación comunitaria en moleña de productos o servicios, sino pretendiendo ser un método para asegurar la economía, ahorrar gastos, evitar el desempleo y garantizar el funcionamiento rentable de las empresas. Las organizaciones deben tener un sistema de calidad más eficiente cada día, que integre todas las actividades que pudieran afectar la satisfacción de las necesidades explícitas y tácitas de sus clientes.

Es por esta razón que surgió la necesidad de normalizar la forma de asegurar la calidad.

Objetivos de las ISO 9000

·           Proporcionar elementos para que una organización pueda lograr la calidad del producto o servicio, a la vez que mantenerla en el tiempo, de manera que las necesidades del cliente sean satisfechas permanentemente, permitiéndole a la empresa reducir costos de calidad, aumentar la productividad, y destacarse o sobresalir frente a la competencia.

·       Proporcionar a los clientes o usuarios la seguridad de que el producto o los servicios tienen la calidad deseada, concertada, pactada o contratada.

·           Proporcionar a la dirección de la empresa la seguridad de que se obtiene la calidad deseada.

·          Establecer las directrices, mediante las cuales la organización, puede seleccionar y utilizar las normas.

La norma ISO 9000 contiene las directrices para seleccionar y utilizar las normas para el aseguramiento de la calidad, es decir, es la que permite seleccionar un modelo de aseguramiento de calidad, entre las que se describen las ISO 9001/9002/9003.

La norma ISO 9004. establece directrices relativas a los factores técnicos, administrativos y humanos que afectan a la calidad del producto, es decir, establece directrices para la gestión de la calidad.

La norma ISO 9004-2 establece directrices relativas a los factores técnicos, administrativos y humanos que afectan a la calidad de los servicios, es decir, se refiere especialmente a los servicio.

Las normas ISO 9001/9002/9003 establecen requisitos de determinan que elementos tienen que comprender los sistemas de calidad, pero no es el propósito imponer uniformidad en los sistemas de calidad. 5on genéricas e independientes de cualquier industria o sector económico concreto.

Las tres normas tienen igual introducción y antecedentes, pero en lo referido a los requisitos del sistema encontramos diferencias. La primera diferencia es relativa al número de temas (ver tabla 1), y la segunda es ‘relativa a la exigencia. La más completa es la 9001. Mientras que la 9003 es la más escueta y sencilla.

Otra diferencia la encontramos en el objeto y campo de aplicación que detallamos a continuación:

·       ISO-9001: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en el diseño, desarrollo, producción, instalación y servicio posventa del producto suministrado, con la finalidad de satisfacer al cliente.

·       ISO-9OO2: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrata entre dos partes exige que se demuestre la capacidad de un proveedor en la producción, Instalación y servicie’ posventa del producto suministrado, con la finalidad de satisfacer al cliente.

·       ISO-9003: especifica los requisitos que debe cumplir un sistema de calidad, aplicables cuando un contrato entre dos partes exige que se demuestre la capacidad de un proveedor en la inspección, y ensayos finales del producto suministrado, con la finalidad de satisfacer al cliente.

 

ISO 27001

    La ISO 27001 es una norma internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). Su objetivo es proporcionar un marco para la gestión de la seguridad de la información de una organización y proteger los activos de información contra amenazas como el robo, la destrucción o la manipulación de datos. 

     La norma ISO 27001 también es útil para garantizar la privacidad de la información y cumplir con las leyes y regulaciones aplicables.

    La norma ISO 27001 es un estándar internacional que establece los requisitos para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información (SGSI).

     Este sistema se utiliza para proteger la confidencialidad, integridad y disponibilidad de la información. La norma proporciona un marco para la seguridad de la información que ayuda a las organizaciones a identificar y gestionar sus riesgos de seguridad de la información de manera efectiva.

 

Aplicabilidad de la norma ISO 27001

    La norma ISO 27001 se aplica a cualquier tipo de organización, incluyendo pequeñas y medianas empresas, grandes corporaciones, instituciones gubernamentales y sin fines de lucro. También se puede aplicar en cualquier sector, incluyendo tecnología de la información, finanzas, salud y servicios públicos.

 

Proceso de implementación de la norma ISO 27001

    El proceso de implementación de la norma ISO 27001 se divide en cuatro fases: planificación, implementación, evaluación y mejora continua.

Fase de planificación

    Durante la fase de planificación, la organización identifica sus requisitos de seguridad de la información y establece un plan para implementar el SGSI.

Fase de implementación

    La fase de implementación incluye la creación de políticas, procedimientos y controles para proteger la información.

Fase de evaluación

    Durante la fase de evaluación, la organización evalúa la eficacia de su SGSI e identifica áreas de mejora.

Fase de mejora continúa

    La fase de mejora continua implica la identificación y aplicación de mejoras a los procesos y controles del SGSI.

Una vez implementado y certificado, el SGSI debe ser revisado y actualizado regularmente para garantizar su continuo cumplimiento con los requisitos de seguridad de la información. La certificación ISO 27001, aunque no es obligatoria, también puede mejorar la imagen de la marca y la confianza de los clientes, ya que demuestra que la organización está comprometida con la protección de la información y esto lo acredita una entidad certificadora independiente.

Además, la norma ISO 27001 se puede integrar con otros estándares y marcos de referencia para lograr una gestión más completa y efectiva de la seguridad de la información en una organización. No obstante, es importante destacar que, aunque la norma ISO 27001 se puede integrar con estos estándares y marcos de referencia, cada uno tiene su propio enfoque y objetivos específicos.

Estructura de la norma ISO 27001

1. Introducción: Proporciona una descripción general de la norma, su propósito y su relación con otras normas y marcos de seguridad de la información.
2. Alcance: Describe el alcance de la norma y establece los límites de la aplicación del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. Esto incluye la identificación de los activos de información que están cubiertos por la norma y las actividades, procesos y ubicaciones geográficas incluidas en el alcance.
3. Referencias normativas: Hace referencia a otras normas, leyes y regulaciones relevantes que deben ser consideradas en el diseño, implementación y mantenimiento del SGSI. Esto incluye normas internacionales de seguridad de la información como la ISO 27000, leyes de privacidad y protección de datos, regulaciones específicas de la industria y otros marcos de seguridad de la información.
4. Términos y definiciones: Proporciona definiciones claras de los términos y conceptos clave utilizados en la norma para garantizar una comprensión común de los requisitos.
5. Contexto de la organización: Describe los requisitos para comprender el contexto de la organización, incluyendo su estructura, objetivos, necesidades y expectativas de las partes interesadas. Esto ayuda a la organización a identificar y evaluar los riesgos y oportunidades relevantes para su SGSI.
6. Liderazgo: Establece los requisitos de liderazgo y compromiso de la alta dirección para el SGSI. Esto incluye la asignación de roles y responsabilidades, la comunicación de la política de seguridad de la información y el establecimiento de objetivos y planes de mejora continua.
7. Planificación: Describe los requisitos para planificar el SGSI, incluyendo la identificación y evaluación de riesgos y oportunidades, la definición de objetivos y requisitos de seguridad, la selección de controles de seguridad y la elaboración de planes de implementación.
8. Soporte: Establece los requisitos para los recursos necesarios para implementar y mantener el SGSI, incluyendo el personal, la infraestructura y los recursos financieros. También incluye requisitos para la competencia, la toma de conciencia y la comunicación en la organización.
9. Operación: Describe los requisitos para la implementación y operación del SGSI, incluyendo la gestión de riesgos, la seguridad de la información, el control de acceso, la continuidad del negocio y otros controles de seguridad. También se incluyen requisitos para la documentación y el control de los registros.
10. Evaluación del desempeño: Establece los requisitos para monitorizar, medir, analizar y evaluar el desempeño del SGSI. Esto incluye la realización de auditorías internas, revisiones de gestión y evaluaciones de la conformidad con la norma. También se incluyen requisitos para la mejora continua del SGSI.

ISO 27002

Por otro lado, la ISO 27002 proporciona directrices para la implementación de controles requeridos en un SGSI en una organización. La norma ISO 27002 se enfoca en las medidas de seguridad necesarias para proteger la información y cubre una amplia gama de áreas, como la gestión de riesgos, la seguridad física, la seguridad de la red y la seguridad de la información.

Diferencias entre la ISO 27001 y la ISO 27002

La principal diferencia entre la ISO 27001 y la ISO 27002 es que la primera es una norma de requisitos, mientras que la segunda es una norma de guía. La ISO 27001 establece los requisitos que debe cumplir un SGSI para que sea efectivo, mientras que la ISO 27002 proporciona directrices sobre cómo implementar los controles necesarios para cumplir con esos requisitos, específicamente aquellos enlistado en el Anexo A de ISO/IEC 27001.

Fuente

Carlos López

Administrador de Empresas, Universidad Nacional de Colombia. Fundador de www.gestiopolis.com

 Wikipedia

https://www.gestiopolis.com/las-normas-iso-9000/

 https://www.globalsuitesolutions.com/es/riesgos-empresariales-iso-31000/.

Objetivos de control para tecnología de información

   

                                                       Carleixis Calzadilla

                               

Las siglas COBIT 

    Significan objetivos de control para tecnología de información y tecnologías relacionadas. El modelo COBIT es el resultado de una investigación con expertos de varios países y desarrollados por ISACA – Information Systems Audit and control Association. (Reyes, 2015 a).

 

     Según Reyes (2015 b) “ El sistema COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnologías, unificando a todos los sectores de una organización, es decir, administradores, usuarios, y por supuesto, los auditores involucrados en el proceso ”. El  COBIT es un sistema o modelo de evaluación, y monitoreo que enfatiza el control de negocios y la seguridad aparte, abarca controles específicos desde una visión de negocios.

 

Cuál es el propósito COBIT 5 

     Uno de los propósitos por los que se desarrolló COBIT 5, fue para facilitar y ayudar a las organizaciones a obtener un valor óptimo de la tecnología de la información, conservando el balance entre la relación de los beneficios, la utilización de recursos y las fases de riesgo asumidos.

 

     COBIT 5, posibilita que la tecnología de información sea manejada y gestionada de forma conceptual para toda la organización, teniendo en cuenta el negocio o empresas, y sus principales funciones en su totalidad.

 

Quién utiliza COBIT

 

     El sistema COBIT es empleado en todo el mundo por personas quienes tienen por responsabilidad principal los procesos de negocios y tecnologías de la información, manejan una información confiable, fiable y los que proveen la calidad, confiabilidad y control de tecnología de información.

    Este sistema se basa en 5 principios, 7 habilitadores, COBIT 5 utiliza prácticas de gobierno y gestión para describir las acciones que son ejemplo de mejores prácticas de su aplicación.

 

Principios de COBIT

   

      ISACA resumió cinco acciones que las organizaciones pueden realizar para gobernar y gestionar efectivamente su información y su tecnología. Los principios, que forman la base del marco de referencia COBIT 5, pueden beneficiar a cualquier empresa, sin importar su tamaño, ubicación o industria.

 

      Entender estos principios ayudará a la compañía a utilizar COBIT de forma efectiva para hacer mejores inversiones y tomar mejores decisiones relacionadas con TI, así como para generar más valor a partir de su información y sus activos tecnológicos

Los principios compilados en la nueva guía son:

 

1.- Satisfacer las necesidades de los colaboradores. Es crítico definir y vincular los objetivos empresariales y los objetivos relacionados con TI.

 

2.-Cubrir la empresa de extremo a extremo. Las compañías deben cambiar de visión, con el objetivo de considerar el área de TI como un activo y no un costo.

 

3.-Aplicar un solo marco integrado. Usar un solo marco de gobierno integrado puede ayudar a las organizaciones a brindar valor óptimo de sus activos y recursos de TI.

 

4.-Habilitar un enfoque holístico. El gobierno de TI empresarial (GEIT) requiere de un enfoque holístico que tome en cuenta muchos componentes, también conocidos como habilitadores.

 

5.- Separar al gobierno de la administración. Los procesos de gobierno aseguran que los objetivos se alcancen mediante la evaluación de las necesidades de los interesados.

 

Ediciones de COBIT

 

     La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición en línea estuvo disponible en 2003); la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007.

 

Fuente:

Revistas de investigación UNMSM

https://revistasinvestigacion.unmsm.edu.pe › …PDF

COBIT, Herramienta de Control en la Gestión Empresarial

 

PROCESO DE LA AUDITORÍA Y TECNOLOGÍAS DE LA INFORMACIÓN

                                                                                                    Yirso Ynfante 

La auditoría de los estados financieros.

La tecnología y la automatización de las entidades que son auditadas las hacen complejas y a la vez vulnerables antes acciones fraudulentas. El procesamiento electrónico de los datos ha permitidos que transacciones rutinarias contables y administrativas se realicen en formas más rápida y eficiente, además la tecnología impacta en la ejecución de muchos procedimientos de auditoría y ha llevado que el auditor use las computadoras para llevar a cabo su examen, trayendo como consecuencia debido a los adelantos tecnológicos que la evidencia de auditoría comprobatoria se obtenga principalmente en forma electrónica.

  

La naturaleza, oportunidad y alcance de los procedimientos de auditoría que se aplicaran están directamente influenciado por la complejidad de los sistemas de información, esto se debe a que los diferentes sistemas de información se encuentran en muchas entidades automatizados, por lo que auditor debe evaluar la seguridad que resguarda la integridad de la información.

 

Inicialmente los sistemas de información de las entidades estaban dirigidos al almacenamiento y centralización de los datos y a la capacidad del cálculo de ciertas operaciones, pero posteriormente en los sistemas se implementaron controles internos automatizados, lo que los ha hecho más complejo y en algunos casos hasta el intercambio de la información incluyendo la de tipo comercial, dejando muy atrás el uso del papel como prueba documentaria de una transacción. Todo lo descrito anteriormente hace pensar la importancia que el experto contable que realiza la auditoría tenga conocimientos solidos sobre la evaluación de los sistemas de procesamiento electrónico de datos.

Identificación y evaluación de riesgo de auditoría en un ambiente de tecnología de la información.

    Las NIA, son las normas que incluyen los procedimientos que debe aplicar el auditor en la ejecución de su trabajo, permitiendo que el mismo se realice bajo estándares internacionales de calidad y con el claro objetivo de obtener la evidencia que permita opinar sobre la razonabilidad de los estados financieros. La existencia de las NIA unifica a nivel mundial el trabajo que realizan los auditores lo cual genera confiabilidad sobre la información auditada.

    El enfoque de trabajo que se establecen las NIA hacen referencia a la evaluación los riesgos materiales que pueden afectarlas aseveraciones que hace la gerencia en la preparación de los estados financieros, identificar y evaluar los riesgos requieren que el auditor obtenga un conocimiento de la entidad y su entorno, así como de los sistemas contables y del control interno, el cual debe ser la respuesta a los riesgos de negocio que se hayan identificado.

 

    Tal y como lo indica la NIA 315 (2019) “la sola evaluación de los riesgos, los procedimientos de valoración del riesgo por sí solos no proporcionan evidencia de auditoría suficiente y adecuada sobre la que basar la opinión de auditoría”. Esto significa que además de evaluarse los riegos el auditor debe identificar los controles establecidos por la gerencia para mitigar el riesgo lo cual ayudará a determinar el alcance y procedimientos de auditoría con el que finalmente se obtendrá la evidencia necesaria para justificar la opinión del auditor.

 

    Se puede pensar que las entidades que tienen un sistema de información integrado son más confiables en cuanto a la emisión de información financiera, pero en la realidad esto no es cierto, ya que la tecnología elimina el error humano al procesar información uniformemente y con mayor rapidez las operaciones, sin embargo, errores de programación pueden hacer que las transacciones se registren en forma errada, además existe el riesgo que al ser los procesos automatizados donde no se involucra el personal del cliente puede ser susceptibles a transacciones fraudulentas, lo que hace inferir que los sistemas pueden garantizar precisión de cálculo, rapidez en la información, pero no en todos los casos la información que emiten y que se convertiría en los estados financieros pueda considerarse confiable.

Los sistemas de información que se encuentra altamente automatizados incluyen procedimientos para el registro, autorización, procesamiento, comunicación y documentación de las transacciones, los cual se traducen en diferentes riesgos para el auditor, como lo son: accesos no autorizados, fallas en los equipos, resguardo de información, documentación acorde con los requerimientos legales de país, entre otros aspectos. Para mitigar estos riesgos el auditor espera que existan controles automatizados y manuales, que permitan, detectar, corregir y monitorear en forma oportuna las transacciones. 

Otro aspecto interesante en los sistemas de información es que sean tan complejos y no dejen la pista de auditoría, lo cual no sería conveniente ni para la entidad ni para los auditores, ya que las pistas de auditoria permiten el control de operaciones, reconstrucción de archivos, que pueden ocurrir por fallas de equipos, o fallas eléctricas, así como las necesidades de información que pueda tener cualquier tipo de revisor interno o externo a la entidad.

 Algunos de los riesgos más frecuentes relacionados con los sistemas de información son los siguientes:

 Protección insuficiente del software y hardware, este aspecto se relaciona con fallas eléctricas, fallas en los equipos, sabotaje como lo es el secuestro de datas relacionada con información operativa y financiera.

 Errores sistemáticos que se originan por errores en la programación, en especial cuando los sistemas no han sido parametrizados para reconocer operaciones inusuales.

 

• Accesos no autorizados, esto ocurre cuando no se han establecido en forma apropiada restricciones de acceso a la información a través de contraseña e identificación de usuarios, trayendo como consecuencias acceso a información confidencial, e inclusive cambios en parametrización de sistemas, así como las autorizaciones a transacciones por niveles no apropiados.

 

• Segregación de funciones o tareas, es el riesgo de que funciones que antes eran realizadas en forma segregadas cuando los procesos eran manuales, de que al ser automatizados se centralicen, es decir,

que el mismo usuario realice actividades de autorización y registro contable, lo que trae como consecuencia posibles errores intencionales o no sobre las transacciones que son registradas.

 • Intervención manual inadecuada en los sistemas de información.

 • Calificación del personal en el manejo de los sistemas, aunque la entidad mantenga sistema de información automatizados con poca complejidad, es vital que se cuente con personal interno o externo con conocimiento suficiente en la instalación, manejo y mantenimiento de los sistemas, dependiendo de la complejidad de los sistema las entidades pueden requieren de un departamento de sistema con todas las funciones propias de la tecnología de la información (TI), que incluiría a programadores, administradores de redes, responsables de archivos, administradores de base de datos, entre otros.

 

En una entidad se pueden presentar hechos o condiciones que indiquen la existencia de errores significativos relacionados con la tecnología de la información, como, por ejemplo: diferencias entre las estrategias de las TI y las estrategias del negocio, instalación de nuevos sistemas relacionados con la información financiera.

  

La NIA 315 “identificación y valoración de los riesgos de incorreción material”, en su última revisión hace referencia a las TI y su influencia en la auditoría donde establece como prioritario la comprensión de parte del auditor de los sistemas de información incluyendo, las actividades de control y la comunicación. Para una mejor comprensión de los riesgos derivados de la TI es recomendable revisar los Anexos 5 y 6 de esta NIA.

 

 La NIA 315 revisada en su anexo 5 denominado “Consideraciones para el conocimiento de la tecnología de la información”, hace referencia que el sistema de control interno de las entidades tiene controles manuales y automatizados lo cual va a variar según la complejidad de la TI que sea evaluada por el auditor. Claro está, que los controles automatizados son más.