Tareas
Páginas: 34 (8449 palabras)
Publicado: 8 de octubre de 2010
procedentes del “tsunami” Treadway Commission, afortunadamente no cesan. Recuerdo que su denominación oficial en USA es National Commission on Fraudulent Financial Reporting, que inició su marcha en 1985 y emitió su informe en 1987, entregando el testigo a su Committee of Sponsoring Organizations, que publicó en 1992 el famoso Informe COSO sobre Control Interno-Marco Integrado, que desarrollónuevos conceptos de control interno, traducido en 1997 para España.
Con algún retraso respecto a la saga Enron, reanudó su funcionamiento el precitado Comité y en 2004 apareció otro informe, el llamado COSO II sobre Gestión de Riesgos Corporativos-Marco Integrado –que de hecho comprende el COSO I– cuya versión española, utilizada como fuente en esta entrega, ha sido editada este año porPricewaterhouseCoopers, constituye una gran aportación a la cultura de la seguridad TIC desde mi personal punto de vista, dicho sea sin olvidar a otros grupos de interés, tanto públicos como privados, que se citan reiteradamente en el texto.
Por comparar, se observa que la versión española del COSO II se ha acelerado a la del COSO I –de USA 2004 a 2005 respecto a USA 1992 a 1997–, lo que motiva felicitación.La versión escrita en español del COSO II tiene 151 páginas y 420 la del COSO I, detalle que dice mucho y bueno, puesto que denota una sensibilidad hacia las limitaciones de tiempo, casi “ostentóreas”, de los lectores de estatus elevado de determinados sectores.
En mi opinión es importante reseñar que la idea fuerza que alienta el COSO II es una especie de tratado de ciencia actuarial +Seguridad TIC + Código de Buenas Prácticas de Gobierno Corporativo, dicho sea en el mejor sentido.
Esto queda reflejado en algunos párrafos: “... La gestión de los riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés” pero “La búsqueda de equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante”. Grupo de interésse define como un “Conjunto de personas físicas o jurídicas que colaboran con una entidad o están afectadas por ella, tales como accionistas, comunidad en que opera,...”. Casi, casi, llegamos a la denominada responsabilidad social corporativa (RSC para los amigos).
El texto es comprensivo de los habituales Índice, Prólogo e Introducción, y por supuesto, la parte expositiva, que contiene el ResumenEjecutivo, el Marco con doce capítulos –cada uno con un Resumen inicial– y los siete Anexos, que incluyen un Glosario; indudablemente permite, tanto la lectura íntegra y sistemática como la selectiva.
Por concretar: el COSO II se presenta gráficamente en formato de matriz tridimensional, que relaciona:
• Las categorías de objetivos: Estrategia – Operaciones – Información – Cumplimiento.
• Laentidad y sus unidades.
• Los componentes: Ambiente interno – Establecimiento de objetivos – Identificación de eventos – Evaluación de riesgos – Respuesta a los riesgos – Actividades de control – Información y comunicación – Supervisión.
Pero antes de seguir, y por su interés para la seguridad TIC, volvamos a echar mano de definiciones, en este caso algunas reseñadas en el Glosario del Informe;las siguientes:
• Riesgo inherente: el riesgo a que se somete una entidad en ausencia de acciones de la dirección para alterar o reducir su probabilidad de ocurrencia e impacto.
• Riesgo aceptado: la cuantía en sentido amplio del riesgo, que una entidad está dispuesta a asumir para realizar su misión (o visión).
• Riesgo residual: el riesgo remanente después de que la dirección haya llevado acabo una acción para modificar la probabilidad o impacto a un riesgo.
• Tolerancia al riesgo: la variación aceptable en la consecución de un objetivo.
Efectivamente, el COSO II demuestra una sutil sensibilidad hacia la seguridad en forma de preocupación por los sistemas de información, otras veces como sistemas informáticos o tecnología de la información o, escuetamente, tecnología, considerando...
Con algún retraso respecto a la saga Enron, reanudó su funcionamiento el precitado Comité y en 2004 apareció otro informe, el llamado COSO II sobre Gestión de Riesgos Corporativos-Marco Integrado –que de hecho comprende el COSO I– cuya versión española, utilizada como fuente en esta entrega, ha sido editada este año porPricewaterhouseCoopers, constituye una gran aportación a la cultura de la seguridad TIC desde mi personal punto de vista, dicho sea sin olvidar a otros grupos de interés, tanto públicos como privados, que se citan reiteradamente en el texto.
Por comparar, se observa que la versión española del COSO II se ha acelerado a la del COSO I –de USA 2004 a 2005 respecto a USA 1992 a 1997–, lo que motiva felicitación.La versión escrita en español del COSO II tiene 151 páginas y 420 la del COSO I, detalle que dice mucho y bueno, puesto que denota una sensibilidad hacia las limitaciones de tiempo, casi “ostentóreas”, de los lectores de estatus elevado de determinados sectores.
En mi opinión es importante reseñar que la idea fuerza que alienta el COSO II es una especie de tratado de ciencia actuarial +Seguridad TIC + Código de Buenas Prácticas de Gobierno Corporativo, dicho sea en el mejor sentido.
Esto queda reflejado en algunos párrafos: “... La gestión de los riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés” pero “La búsqueda de equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante”. Grupo de interésse define como un “Conjunto de personas físicas o jurídicas que colaboran con una entidad o están afectadas por ella, tales como accionistas, comunidad en que opera,...”. Casi, casi, llegamos a la denominada responsabilidad social corporativa (RSC para los amigos).
El texto es comprensivo de los habituales Índice, Prólogo e Introducción, y por supuesto, la parte expositiva, que contiene el ResumenEjecutivo, el Marco con doce capítulos –cada uno con un Resumen inicial– y los siete Anexos, que incluyen un Glosario; indudablemente permite, tanto la lectura íntegra y sistemática como la selectiva.
Por concretar: el COSO II se presenta gráficamente en formato de matriz tridimensional, que relaciona:
• Las categorías de objetivos: Estrategia – Operaciones – Información – Cumplimiento.
• Laentidad y sus unidades.
• Los componentes: Ambiente interno – Establecimiento de objetivos – Identificación de eventos – Evaluación de riesgos – Respuesta a los riesgos – Actividades de control – Información y comunicación – Supervisión.
Pero antes de seguir, y por su interés para la seguridad TIC, volvamos a echar mano de definiciones, en este caso algunas reseñadas en el Glosario del Informe;las siguientes:
• Riesgo inherente: el riesgo a que se somete una entidad en ausencia de acciones de la dirección para alterar o reducir su probabilidad de ocurrencia e impacto.
• Riesgo aceptado: la cuantía en sentido amplio del riesgo, que una entidad está dispuesta a asumir para realizar su misión (o visión).
• Riesgo residual: el riesgo remanente después de que la dirección haya llevado acabo una acción para modificar la probabilidad o impacto a un riesgo.
• Tolerancia al riesgo: la variación aceptable en la consecución de un objetivo.
Efectivamente, el COSO II demuestra una sutil sensibilidad hacia la seguridad en forma de preocupación por los sistemas de información, otras veces como sistemas informáticos o tecnología de la información o, escuetamente, tecnología, considerando...
Leer documento completo
Regístrate para leer el documento completo.