miércoles, 24 de octubre de 2012

La Administración del Riesgo Empresarial (Enterprise Risk Management-ERM)


La Administración del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso por el cual la dirección de una empresa u organización administra el amplio espectro de los riesgos a los cuales está expuesto (tanto sean de mercado como operacionales) de acuerdo al nivel de riesgo al cual están dispuestos a exponerse según sus objetivos estratégicos. Así, ya en el terreno del impacto de la TI sobre este tema, la evaluación de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo énfasis en los activos de IT físicos y lógicos, pudiendo incluir una revisión de las instalaciones y la seguridad de los elementos lógicos y físicos. Uno de los desafíos claves es recolectar y analizar numerosos datos (de acuerdo al rango de riesgos definido), así Riesgos, Conformidad a Normas y Funciones de TI enfrentan la paradoja de tener que disponer de mayor volumen de datos de los sistemas corporativos para contar con más información dinámica y compleja, pero al mismo tiempo seguir manteniendo los costos de implementación y los riesgos bajo control. De esta manera, se obtiene una mayor comprensión de las exposiciones que suponen los mayores riesgos en la interrupción de su empresa, de modo que se puedan implementar las técnicas de mitigación apropiadas.
 
Desafíos A medida que dependen cada vez más del continuo funcionamiento de los sistemas de información, las empresas actuales enfrentan una creciente exposición a los riesgos informáticos. En el mundo actual, hasta la máxima dirección está preocupada por los riesgos informáticos, ya que la tecnología informática claramente sostiene cada proceso comercial de la empresa. Los riesgos informáticos típicos incluyen pérdida de productividad o negocios debido al tiempo de inactividad, responsabilidad por brechas de seguridad que exponen la información de los clientes, multas por violaciones de normas y la imposibilidad de defenderse de demandas debido a la conservación inadecuada de registros. No todos los riesgos provienen de sucesos inevitables, como una inundación o un terremoto. Muchos de los riesgos informáticos son provocados por contratiempos operacionales, procesos inadecuados, mayores requisitos normativos u otros factores más controlables.

Soluciones
Para evitar ello, es preciso combinar un conjunto de las mejores prácticas que se desprenden de numerosas organizaciones, grandes y complejas, para hacer frente a los riesgos informáticos de sus entornos a los efectos de poner en marcha una administración de riesgos informáticos efectiva mediante priorizar y planificar opciones de mitigación, calcular los impactos comerciales de los riesgos informáticos, diseñar soluciones, alinear los riesgos informáticos y los costos con la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informáticos de manera continua.
Beneficios

Permite identificar los activos empresariales que están en máximo riesgo, valuar las vulnerabilidades y los impactos potenciales, y proponer resguardos y tácticas de mitigación, lo que permitirá:
• Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales críticos.
• Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas.
• Tomar decisiones más informadas sobre cómo proteger su empresa.
• Evaluar las tácticas y los costos de la administración de riesgos relacionados con los diferentes niveles de protección.
• Prepararse adecuadamente para las auditorías de las agencias de control
Problemas que se atacan 

• Identificar eventos o amenazas que podrían tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputación de la marca, y la probabilidad de que ocurran.
• Realizar un análisis detallado de amenazas o establecer planes de avance para mitigar riesgos.
• Determinar cómo las nuevas iniciativas empresariales o la nueva tecnología tendrán impacto en la empresa.
• Establecer planes de avance para mitigar riesgos.
• Identificar las exposiciones con respecto al cumplimiento reglamentario.

Un importante Estudio identifica los mitos comunes que contribuyen a las fallas de TI
Symantec dio a conocer en enero su Informe de Administración de Riesgos de TI, Volumen II, el cual revela que la administración de riesgos de TI está cobrando más importancia, pero también menciona que siguen existiendo algunos mitos sobre el tema.

Aún cuando los resultados muestran que los profesionales están adoptando un enfoque más equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeño, los malos entendidos de la administración de riesgos de TI pueden producir fallas potenciales y, como consecuencia, impactar la continuidad del negocio.
El informe también indica que los problemas en los procesos generan más de la mitad de los incidentes de TI, mientras que el departamento de TI generalmente da poca importancia a la frecuencia con que se presentan los incidentes de pérdida de datos. El informe está basado en el análisis de más de 400 encuestas realizadas a profesionales de todo el mundo, en el que se identifican importantes aspectos, tendencias y análisis al tiempo que disipa los cuatro mitos asociados a los riesgos de TI, entre los cuales están:

1.- La administración de riesgos de TI está enfocada sólo en la seguridad Contrario a las percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de seguridad, los resultados de la encuesta muestran el surgimiento de una visión más amplia entre los profesionales de TI. Un 78% de los participantes calificaron los riesgos de disponibilidad como “críticos” o “graves”, mientras que los riesgos de seguridad, de desempeńo y de cumplimientos obtuvieron una calificación de 70, 68 y 63% respectivamente.

2.- La administración de riesgos de TI es un proyecto El mito de que el control de riesgos de TI se puede realizar en un sólo proyecto o incluso como una serie de ejercicios puntuales por periodos o ańos de presupuestos, desconoce la naturaleza dinámica del entorno de riesgos internos y externos de TI. La administración de riesgos debe verse como un proceso continuo para mantener la estabilidad ante el cambiante panorama que los negocios enfrentan actualmente.

3.- La tecnología por sí sola puede manejar los riesgos de TI  Los incidentes de seguridad, cumplimiento, disponibilidad y desempeño de TI atacan a la organización moderna a una velocidad alarmante. El reporte muestra que las organizaciones más efectivas tienen un enfoque más integral. Sin embargo, muchas organizaciones parecen estar fallando en la implementación de controles fundamentales de riesgos.

4.- La administración de riesgos de TI se ha convertido en una disciplina formal El reporte deja claro que la administración de riesgos de TI es una disciplina en evolución, pues se basa en la experiencia acumulada de los individuos y las organizaciones que se van adaptando a los cambios en el ambiente de negocios y tecnología. El informe reveló una mayor comprensión entre los profesionales sobre cómo la administración de riesgos de TI incorpora elementos de manejo de riesgos en la operación, control de calidad y gobernabilidad de las mismas.

Fuente: http://www.kit.com.ar/boletines-a.php?id=0000037

domingo, 21 de octubre de 2012

Tips para elegir un sistema de información contable



A muchas empresas les resulta difícil la tarea de elegir un sistema de información contable, de hecho, se torna en un proceso complejo y complicado llegar a una decisión final, por lo que quisimos analizar algunos factores claves a la hora de evaluar los mismos.

§  FUNCIONALIDAD: La capacidad que tenga el sistema de satisfacer todas las necesidades operativas de la empresa, ya que si el sistema no proporciona una adaptación perfecta a todos los requisitos funcionales, los usuarios no estarán satisfechos con él. 

§  FLEXIBILIDAD: La capacidad que tenga el sistema para adaptarse a nuevos cambios del método operacional y las diferentes áreas de la empresa.

§  SOPORTE: El nivel de soporte que da el proveedor de la aplicación, el tiempo que tarda en atender los problemas y consultas, las medidas que se toman para el soporte fuera del horario estrictamente laboral.

§  APERTURA: El grado de apertura que posee el sistema para integrarse con otros sistemas informáticos de otras áreas, ya que se hace necesario que los sistemas se integren fácilmente con otros que satisfagan necesidades específicas de un área.

§  CALIDAD: Las certificaciones de calidad que tenga el software o el fabricante que lo implante. Aunque la acreditación no garantice necesariamente una buena calidad de software, ni de implantación, probablemente indique un interés por la calidad del servicio. 

§  HARDWARE: Los requerimientos de hardware que necesita el sistema, indagar si esto implica una gran inversión.

§  FACILIDAD DE USO: Aún cuando es necesario un tiempo para familiarizarse con todos los sistemas, no hay duda que algunos son de más fácil aprendizaje y rápido uso que otros.

§  OTROS FACTORES: Las referencias de clientes en el mismo sector, la ubicación de la empresa que te hará la implantación, la estabilidad financiera del fabricante, etc.

viernes, 19 de octubre de 2012

Seguridad Informática

Importancia en la Auditoría de los Estados Financieros PDF Imprimir E-mail

Recientemente, en la “Tercera Reunión Anual de Crecimiento y Rentabilidad” de Accounting Today (http://www.accountingtoday.com) se prepararon varios tópicos para Contadores que se abordan dentro del track de tecnología, como el reciente enfoque en los servicios en la nube y el uso de dispositivos móviles. Cabe destacar que el objetivo de este artículo no es plantear en qué consisten estas modalidades de cómputo, sino saber cuál es su impacto en materia de seguridad hacia un Contador, independientemente del origen o destino de la información que está a su alcance para realizar sus actividades cotidianas. 

Los sistemas de información, incluidos los contables, contienen datos privados y confidenciales que pueden quedar comprometidos si no se protegen. El uso no autorizado de la información de un sistema puede llegar a ser catastrófico, resultando en un riesgo de pérdida de esta, errores en la introducción de datos o mal uso de la información confidencial. La seguridad de los sistemas de información es una prioridad en la mayoría de las organizaciones.

La Ley Sarbanes-Oxley de 2001 se volvió un parteaguas para el reporte de estados financieros de las organizaciones. El escándalo de Enron y la manipulación de la información reportada por parte de los altos ejecutivos financieros provocó que el Congreso Norteamericano endureciera su postura hacia las organizaciones que cotizan en Bolsa, buscando que todo aquel que tiene interés en la organización (empleados, ejecutivos, proveedores o accionistas llamados de manera genérica stakeholder) tenga un aseguramiento de que la gestión es honesta, transparente y que siempre hay un responsable por lo que se hace en todos los niveles.
Así pues, la Sección 404 de la Ley Sarbanes-Oxley hizo obligatorio para la Dirección incorporar controles internos sobre el reporteo financiero, que incluye los sistemas contables que generan los números que darán a esos reportes.

El tema de cumplimiento de Sarbanes-Oxley o de legislaciones específicas de las diferentes industrias (como PCI, SAS70, Basilea II, COSO, entre otras) hace cada vez más importante que todos los miembros de la organización, tecnócratas o no, se involucren en manejar funcionalidades enfocadas en seguridad para recursos tecnológicos de uso generalizado como el correo electrónico, los aplicativos, o la creación y presentación de documentos para demostrar que somos quienes decimos que somos (conocido esto en seguridad informática como: autenticación).

Muchos de nosotros presentamos declaraciones propias o de otras personas físicas o morales, cada mes o cada año, según lo que dicta la Secretaría de Hacienda y Crédito Público (SHCP), por medio del Servicio de Administración Tributaria (SAT), y esta dependencia requiere de un mecanismo de aseguramiento de “no repudio”; en otras palabras, para casos como este, que el causante no pueda decir que no emitió una declaración o un documento determinado. Para ello, se desarrolló el mecanismo de la Firma Digital que se aplica a todos los documentos que, como persona moral o persona física, se someten a la instancia recaudadora.

Al ingresar al portal de un banco o al comprar algo mediante Internet utilizamos un mecanismo de transmisión segura que crea un túnel entre nuestra PC y el sistema al que accedemos (el servidor en el banco o el de la entidad con la que se realizan las transacciones de compra-venta).

RIESGOS
Los riesgos que puede enfrentar un sistema contable varían desde transacciones fantasmas hasta que alguien robe, de manera física, una cinta magnética con información financiera. Adicionalmente, algunos otros riesgos a los que está expuesto son:
  • Robo de identidad y datos de sus empleados o proveedores, que es una particularidad criminal que constituye una de las mayores actividades fraudulentas en las organizaciones.
  • Pagos a proveedores inexistentes, que es uno de los recursos más recurridos en la actividad ilícita.
  • Robo o eliminación intencional de información, donde participan empleados resentidos con la compañía, espías industriales o criminales informáticos.
  • Daños a medios de respaldo, que son el seguro de vida de las organizaciones en caso de cualquier situación de contingencia.
  • Robo de servidores, computadoras personales o equipos portátiles como: tabletas, teléfonos inteligentes, etcétera.
  •  
MEDIDAS DE SEGURIDAD
Los controles de seguridad pueden prevenir la materialización de uno de estos riesgos o detectar un problema cuando este ya se dio. Una vez que se identifican los riesgos para proteger los sistemas, se pueden aplicar medidas como las siguientes:
  • Cambiar con frecuencia las contraseñas de acceso a los sistemas, con el fin de que tengan un aceptable nivel de complejidad (combinando mayúsculas, minúsculas, números y caracteres especiales).
  • “Encriptar” o cifrar la información, con el fin de que si esta es interceptada por alguien más en su transmisión entre emisor y receptor, tenga un alto nivel de complejidad para descifrarla.
  • Revisar y auditar con periodicidad los reportes contables u otro relativo al negocio, lo cual permite detectar con oportunidad si existe alguna desviación de los parámetros esperados en la operación.
  • Tomar previsiones para que la información de respaldo se resguarde en sitios alternos, con el fin de maximizar las posibilidades de recuperación. Esto involucra la información en medios magnéticos y la que existe en medios físicos; asimismo, la digitalización de facturas facilita que los requerimientos de espacio sean cada vez menores.
  • Mantener buenos hábitos como usuario en los sistemas. Por lo general, tenemos la idea de que corresponde al Departamento de Sistemas velar por el buen funcionamiento de los recursos de información, pero las buenas prácticas comienzan con el mismo usuario: cuidando sus contraseñas, instalando solo las aplicaciones autorizadas, no abriendo archivos de dudosa procedencia y resguardando el acceso físico a los sistemas.
CONCLUSIÓN
Dentro del gobierno corporativo de las organizaciones, el cual busca que las decisiones dentro de la organización estén alineadas con los objetivos del negocio, existe, a su vez, el subconjunto del gobierno de tecnología de la información, de manera que las decisiones de TI (entre ellas las de seguridad informática) también lo estén.
La información es propiedad de la organización que la genera y utiliza para fines del negocio. De acuerdo con esto, todos los miembros de la organización tienen responsabilidad sobre el manejo consciente de los recursos de información, desde lo que se abre en el correo hasta lo que se navega en Internet, pasando por lo que instalamos o conectamos en nuestras máquinas. El Contador Público es uno de los principales artífices de la dinámica del negocio por la criticidad de la información que maneja, y adoptar una postura de compromiso con la seguridad de la organización puede elevar el nivel de blindaje de los recursos de información.



Ing. Esteban San Román
CISSP, CISA, CEH, CRISC, ITIL,
Arquitecto en Soluciones
Scitum



Fuente: Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx


viernes, 12 de octubre de 2012

15 situaciones que dan indicios que una compañia puede tener problemas de negocio en marcha

Imprimir E-mail

El principio de negocio en marcha se refiere a la permanencia en el futuro que un tercero espera de una organización, sin interrumpir sus actividades.Para la administración de la organización y sus auditores, es de vital importancia identificar y revelar situaciones en los estados financieros que amenacen la continuidad del negocio. La importancia de este tipo de revelaciones obedece a que los  terceros que interactúan con la compañía (clientes, proveedores, inversionistas, accionistas, administración de impuestos, empleados, etc.), toman decisiones  esperando que el negocio continúe por un tiempo indefinido.  Ejemplo: Un banco aprueba un crédito, esperando que la compañía lo cancele en un determinado tiempo.

Norma Internacional de Contabilidad (NIC) 1: Responsabilidad de la Administración
De acuerdo con la NIC 1, Presentación de Estados Financieros, los estados financieros se elaboran bajo la hipótesis de negocio en marcha, a menos que la gerencia pretenda liquidar la entidad o hacer cesar su actividad, o no tenga otra alternativa más realista que proceder de una de estas formas. 

Cuando la gerencia, al realizar esta evaluación, sea consciente de la existencia de incertidumbres importantes, relativas a eventos o condiciones que puedan aportar dudas significativas sobre la posibilidad de que la entidad siga funcionando normalmente, procederá a revelarlas en los estados financieros. Cuando una entidad no prepare los estados financieros bajo la hipótesis de negocio en marcha, revelará ese hecho, junto con las hipótesis sobre las que han sido elaborados y las razones por las que la entidad no se considera como un negocio en marcha. 

Al evaluar si la hipótesis de negocio en marcha resulta apropiada, la gerencia tendrá en cuenta toda la información disponible sobre el futuro, que deberá cubrir al menos los doce meses siguientes a partir del final del periodo sobre el que se informa, sin limitarse a dicho período.

Norma Internacional de Auditoría (NIA) 570: Responsabilidad de los Auditores
La NIA 570 vigente a partir del 1 de enero de 2010, ha definido los siguientes objetivos en los que debe enfocar su trabajo un Auditor:
  1. Obtener evidencia apropiada de auditoría respecto a lo adecuado del uso por la administración del supuesto de negocio en marcha en la elaboración de los estados financieros
  2. Concluir, con base en la evidencia de auditoría obtenida, si existe  un incertidumbre de importancia relativa relacionada con sucesos o condiciones que puedan proyectar una duda importante sobre la capacidad de la entidad para continuar como negocio en marcha; y
  3. Determinar las implicaciones para el dictamen del auditor 
15 situaciones que me dan indicios que una compañía puede tener problemas de negocio en marcha
A continuación presento 15 puntos que pueden dar inicios que un negocio puede tener problemas para su continuidad en el futuro:
  1. La compañía ha generado pérdidas significativas en los últimos años
  2. Se presentan flujos de caja negativos
  3. Se observan indicadores financieros negativos
  4. Existe dependencia de los ingresos de la compañía en pocos clientes
  5. Existen demandas en contra de la organización que amenazan su continuidad
  6. Ingreso al mercado de competidores fuertes
  7. Ingreso al mercado de productos sustitutos
  8. Factores económicos adversos  que afectan los resultados de forma importante Ej. Devaluación
  9. Se han presentado catástrofes naturales o actos terroristas que han impactado la compañía de forma importante por no contar con seguros o con seguros insuficientes al momento que sucedieron.
  10. Se han presentado huelgas laborales que han impactado de forma importante los resultados de la organización.
  11. Se han presentado cambios en leyes y regulaciones que afectan la continuidad de la compañía.
  12. Se presenta una disminución del capital por debajo de niveles legalmente aceptados (normalmente por debajo del 50% del capital)
  13. Se presenta mora en el pago de pasivos  y/o dividendos
  14. Pérdida de clientes clave
  15. Escasez de insumos clave
  16. Entre otros.


Vladimir Martínez R. 
Director de www.auditool.org 
Red de Conocimientos en Auditoría y Control Interno
Bogotá D.C. / Colombia
vladimir.martinez@auditool.org

Fuente: http://auditool.org/index.php?option=com_content&view=article&id=563:15-situaciones-que-me-dan-indicios-que-una-compania-puede-tener-problemas-de-negocio-en-marcha&catid=40:blog&Itemid=55

viernes, 5 de octubre de 2012

Continuar el negocio aun en tiempos de desastres

Ingrid Franco
ingrid.franco@listindiario.com
Santo Domingo
Todas las empresas tienen riesgos, ya sea por fenómenos naturales o cualquier incidente repentino.
Ahora bien, lo que diferencia a una entidad de la otra es saber con qué estrategia cuenta para proteger a sus empleados, su producción y su imagen.

Yves Dávila, director ejecutivo de Protiviti Risk y Business Consulting, (Riesgos y consultorías de negocios, auditoría interna), refirió que tener un plan para que las organizaciones sigan funcionando ante cualquier eventualidad es casi obligatorio, para que tanto los empleados como los clientes sientan confianza y seguridad.
El experto explicó que el Plan de Continuidad de Negocios (BCP) es la aplicación de metodologías para crear y validar planes para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado después de un desastre.

“La primera pregunta sería tratar de identificar ¿qué cosa es continuidad de negocios? y ¿qué es un evento mayor?, y no necesariamente estamos hablando de un mega terremoto o un tsunami, para una empresa que por una u otra razón no pueda mantener en operación sus procesos que están definidos como vitales para atender a los clientes que ya tiene la organización”, explicó.

El experto precisó que para determinar los riesgos de las empresas es necesario identificar qué procedi- mientos, productos o servicios son estrategias claves para la continuidad de la entidad y su crecimiento.
“Últimamente se acuña el término de resiliencia, el cual tiene que ver con la capacidad que tiene la empresa para responder a incidentes no avisados. Ocurre un incendio, terremoto o cualquier fenómeno, y el empresario debe tener la capacidad de que su empresa sepa cómo responder ante el incidente”, dijo.

Dávila indicó, que en caso de cualquier evento que afecte la empresa, se debe procurar la protección del personal, del negocio, cuánto tiempo tardará la recuperación de los daños y del sistema, la protección de la imagen de la empresa, la gestión de crisis y sobre todo saber quienes se harán cargo de dirigir las reparaciones después del incidente.

“Al momento que el incidente ocurre ¿quién toma control? Se debe tomar un comité de crisis que se encargue de todo lo relacionado con la empresa y que gobierne y maneje la situación.
Para esto es que aplican los planes operativos, para continuar las operaciones de la entidad y preparar a los empleados, de manera que sepan cómo actuar ante cualquier situación”, puntualizó.

El ejecutivo hizo hincapié en que una de las razones por la que las empresas se ven perjudicadas ante cualquier eventualidad inesperada, es porque normalmente tienen todas las partes claves de la entidad en el mismo edificio.
“Entonces, continuidad significa separar las cosas, para que el día que pase un evento no se tengan muchas pérdidas”, refirió Dávila. Aclaró que los daños se verán reflejados a diferentes escalas, pues esto variará con las empresas.

Dijo que hay distintos efectos dependiendo de las entidades, pues no es el mismo impacto que un suplemento no salga por un mes, a que un periódico deje de circular por un día. “Las pérdidas son incomparables”, manifestó.
“Se hace continuidad porque se piensa en lo que podría pasar, aunque se espera que nunca pase, es prepararse para cuando pase un evento que afecte la empresa.

Se percibe el valor de la continuidad de negocio cuando ocurre algo grave y no se cuenta con ella, porque los empresarios piensan: ¿y si hubiese hecho esto?”, expresó.

Explicó que en el caso de las empresas que no cuentan con un plan de continuidad se deben tomar en cuenta ciertas pautas, las cuales son: crear comité de manejo de incidente o crisis que ayude a la empresa a improvisar ante cualquier eventualidad, definir qué es urgente y qué no y en cuánto tiempo es urgente, e implementar la documentación de planes (consejos de cómo actuar ante un incendio, terremoto, inundación, entre otras).

PROCESO PARA ELABORAR CONTINUIDAD DE NEGOCIOS

Lo primero que se debe realizar es un Análisis de Impacto al Negocio (BIA); este es un informe que muestra el coste ocasionado por la interrupción de los procesos del negocio.
Una vez obtenido el informe, la compañía tiene la capacidad de clasificar los procesos de negocio en función de su criticidad y lo que es más importante: establecer la prioridad de recuperación.
En el BIA se identifican los componentes claves requeridos para continuar con las operaciones de negocio luego de un incidente; dentro de estos componentes se encuentran: personal requerido, áreas de trabajo, registros vitales-backups de información, aplicativos críticos, dependencias de otras áreas, dependencias con terceras partes.

Reproduccido del Listin Diario, sección Economía & Negocios de fecha 5/10/2012
http://www.listindiario.com.do/economia-y-negocios/2012/10/4/249765/Continuar-el-negocio-aun-en-tiempos-de-desastres