Boletn INCP / No. 89 / Junio de 201352

Anlisis

Derivado de la relevancia que ha adquirido la informacin, en materia de privacidad y de integridad, los procesos de negocio se encuentran sensibles y dependientes de la tecnologa para su manejo y preservacin; es suMciente con mencionar los sistemas de informacin donde esta se procesa, las redes por las cuales viaja y el hardware (servidores, equipos de cmputo, etctera), en los cuales se almacena

Hoy en da contamos con un conjunto

de estndares (ISO, International

Organization for Standardization),

regulaciones (LFPDPPP, Ley Federal

de Proteccin de Datos Personales en

Posesin de los Particulares) y marcos

de referencia (COBIT, Control Objectives

for Information and Related Technology)

para su salvaguarda, siendo el campo

de la seguridad de la informacin lo que

hoy ocupa un lugar importante en las

organizaciones, las cuales continan

enfrentando el reto de adaptarse

y defenderse ante los cambios

sustanciales en la tecnologa.

La informacin es y ser susceptible

de riesgo, es decir, siempre existirn

mayores factores de amenaza y

vulnerabilidades que atenten contra

su integridad, confidencialidad y/o

disponibilidad, ya que representan el

activo ms importante de cualquier

organizacin. Sin embargo, para tomar

medidas al respecto es necesario no

considerarla como un activo aislado,

sino inherente, que est relacionada

con un componente de tecnologas de

informacin, ya que son aquellas las que

nos procuran y facilitan su uso, manejo y

administracin.

Por ello, es necesario visualizar la

seguridad de la informacin como un

campo que se encuentra en continua

evolucin, tanto en tecnologa como

en pensamiento, ya que hoy en da

contamos con herramientas ms

sofisticadas para robustecerla y

vulnerarla. En consecuencia, dentro

de las organizaciones debera existir la

conciencia desde la alta direccin hasta

los usuarios finales, de que la seguridad

no es un tema que compete solo a las

reas de sistemas, sino que forma parte

de la cultura organizacional en donde

todos desempean roles activos y

pasivos en el manejo de esta.

Con base en lo anterior, hoy en da esto

se ha convertido en un reto para las

organizaciones debido a la complejidad

en el manejo de la informacin y a la

creciente exigencia del mercado por

introducir e implementar estndares

de seguridad internacionales que

coadyuven a la implementacin de

controles y, por lo tanto, a la proteccin

de los activos.

Esto no solo involucra a la informacin

como componente central, sino que

considera tambin los servidores,

sistemas de informacin, las bases de

datos, el equipo de cmputo personal,

los documentos y procesos de negocio,

donde intervienen las personas clave

que los administran o los propietarios

de la informacin. Cabe aclarar que,

esto no es una clasificacin, solo se

Auditoria

Seguridad de la Informacin. ISO 27001

Boletn INCP / No. 89 / Junio de 2013 53

Anlisis

menciona con fines ilustrativos, pero

puede ser mayor o menor, de acuerdo

con las necesidades de la organizacin.

Para enfrentar este reto, tenemos varios

marcos de referencia internacionales,

los cuales van desde los temas

generales hasta los particulares; por

ejemplo, la privacidad de datos en

transacciones con tarjetas de crdito

(PCI, Payment Card Industry y DSS,

Data Security Standards); sin embargo

y como punto de partida, podemos

considerar a la Norma ISO como un

conjunto de estndares diseados para

cubrir todo tipo de organizaciones con el

objeto de especificar los requerimientos

de control en la implementacin

de seguridad a las necesidades

individuales.

En el caso particular de seguridad

de la informacin, se encuentra el

ISO 27001:2005 que es el Estndar

Internacional de Sistemas de Gestin de

Seguridad de la Informacin, publicado

desde hace ms de siete aos, cuyo

fundamento es la Norma Britnica

BS7799 que data de 1995. Ah se

establece un marco de control y gestin

de la seguridad de la informacin

adaptable al nivel de madurez en el

control interno de la organizacin y que

puede ser utilizado por cualquier tipo de

empresa, gracias a que se fundamenta

en el modelo propuesto por W. Edwards

Deming con el ciclo que lleva el mismo

nombre, tambin conocido como PDCA

(Plan-Do-Check-Act), y el cual nos

provee de una serie de fases por medio

de los cuales se logra la integracin

de las actividades y los objetivos que

se deben considerar para lograr una

correcta y exitosa implementacin y

mejora continua de los procesos.

Es importante sealar que para la

implementacin de un estndar,

cualquiera que este sea y hacia las

reas de negocio que se enfoque, puede

ser algn rea o toda la organizacin,

es necesario definir una estrategia de

negocio que refleje, de preferencia,

aquellos procesos con mayor impacto

en la organizacin desde la perspectiva

de la sensibilidad de la informacin que

se procesa, la cantidad de recursos

involucrados, el personal que en l

interviene y las vulnerabilidades que

puedan existir durante el manejo de la

informacin; por ejemplo, administracin

de relacin con proveedores, cadena

de suministro, crdito y cobranza,

ingresos, seguros, etc., considerando

en todo momento los requerimientos de

seguridad de la informacin en conjunto

con las expectativas de las reas en la

organizacin.

Ahora bien, para entender cmo se

conforma la Norma ISO 27001 y cmo

puede una estrategia de seguridad de

la informacin apoyar los objetivos de

negocio y alinearse a ellos, podemos

mencionar que se integra por un

modelo robusto con un enfoque de

gobierno (tanto corporativo como de TI)

que considera el rol de la legislacin

aplicable (marco regulatorio) y de

la administracin de riesgos, dando

como resultado un Sistema de gestin

de seguridad de la informacin, cuyo

enfoque principal es establecer,

implementar, operar, monitorear, revisar,

mantener y mejorar los procesos que

se hayan considerado, asegurando que

hayan sido seleccionados los controles

de seguridad adecuados para proteger

los activos de informacin involucrados

en esos procesos.

Boletn INCP / No. 89 / Junio de 201354

Anlisis

Asimismo, y conforme los controles

maduran en la organizacin es necesario

establecer requerimientos mnimos para

su monitoreo y mantenimiento mediante

las mtricas de desempeo adecuadas,

que nos permitan identificar el avance y

madurez adquiridos, desde el momento

inicial de implementacin donde solo se

definan requerimientos de seguridad,

hasta los requerimientos futuros para

una administracin eficiente de la misma,

fomentando y motivando la continuacin

de la estrategia de seguridad en toda la

organizacin. (Ver figura)

Por ltimo, es de suma relevancia

considerar los recursos humanos,

econmicos y operativos con los que

se cuenta; no es lo mismo implementar

un estndar con el cual todos estn

de acuerdo y han sido concientizados

al respecto, que manifestar el inters

de una certificacin que la mayora no

conoce y solo traduce en ms trabajo

por el tiempo que habr que invertir

en l; por lo tanto, asignar dueos y

responsables que compartan la visin y

asuman la importancia de cumplir con el

objetivo en tiempo y forma es de suma

relevancia para lograr que este esfuerzo

organizacional no solo culmine con un

proceso de certificacin exitoso, sino

con un cambio en cultura informtica

de la organizacin y, por lo tanto, en

una evolucin y robustecimiento en los

procesos de gestin de la informacin.

ConclusinLa ISO27001 ayuda a la organizacin no

solo a obtener una certificacin en materia

de seguridad de la informacin para los

procesos de negocio que conforman

la organizacin, sino que debido a su

fundamento en el ciclo Deming, propicia

que sea un proceso iterativo, de fcil

y eficiente monitoreo con respecto de

donde estamos y a dnde queremos llegar

en un tiempo especfico, as es posible

adoptar un enfoque proactivo y flexible

del cumplimiento regulatorio de corto al

largo plazo.

Fuente: Prez Rosas Martha Matilde. Publicado el 03 junio 2013. Seguridad de la informacin ISO 27001. Revista Contadura Pblica, instituto mexicano de contadores pblicos. Recuperado el 24/06/13, de http://contaduriapublica.org.mx/?p=3655

Boletn INCP / No. 89 / Junio de 2013 55

Anlisis

En el proceso de convergencia que

actualmente se adelanta en Colombia,

las entidades de vigilancia y control

estn desempeando un papel muy

importante, en lo relacionado con la

organizacin y los lineamientos bajo los

cuales se deben regir las compaas

que se encuentran bajo su vigilancia

y determinando cules normas debe

aplicar la compaa de acuerdo a ciertas

caractersticas.

Sin embargo, es importante resaltar

que en el momento en el cual las IFRS

entren a aplicar como los principios

contables en Colombia, estas entidades

van a reducir la facultad de emitir

disposiciones que puedan influenciar

en los econocimientos que se realizan

a nivel contable. Esto es algo que todos

los organismos de control realizan

nactualmente.

Cabe recalcar el trabajo que han

realizado estas entidades con el fin de

mejorar la calidad en la informacin

financiera, aunque en algunos casos,

el resultado de este trabajo ha sido

alejarse de las IFRS y disminuir la

brecha existente entre la contabilidad

financiera y la contabilidad tributaria,

realizando remisiones tacitas a stas.

Ahora bien, esto no quiere decir que

pierdan las facultades de vigilancia y

control que tienen actualmente, es decir,

que estas entidades podrn continuar

realizando solicitudes de informacin

en los diferentes formatos que tienen

dispuestos y que se encuentran acordes

con los sistemas que actualmente

manejan; esto puede afectar la eficiencia

de las compaas, en el momento de

realizar sus reportes financieros, ya que

tendrn que presentar en diferentes

formatos la misma informacin, de

acuerdo a as entidades a las cuales se

vaya a presentar.

Sera importante que todas las

entidades que ejercen actividades

de vigilancia y control (y por qu

no, tambin, la DIAN), unificaran los

sistemas en los cuales se realizan

los reportes; esto podra hacer

ms eficiente la preparacin de

la informacin financiera para las

compaas colombianas.

Teniendo en cuenta que de ahora

en adelante los principios bajo los

cuales se aplicar la contabilidad se

encuentran condensados en las IFRS.

Con lo anterior, adicionalmente podran

realizar unas guas de aplicacin que

de cierta manera podran reemplazar

los diferentes pronunciamientos en

materia contable que han emitido hasta

el momento, siempre que se ajusten a

los nuevos principios contables, lo cual

le permitira a muchas compaas que

an no tienen claridad de la forma en

la cual se deben aplicar algunos de los

estndares internacionales y la manera

ms adecuada de hacerlo.

Fuente: Ricardo Pava Martnez. Tomado de CON-TRAPARTIDA. Nmero 711, junio 11 de 2013Publicado en el departamento de Ciencias Contables de la Pontificia Universidad

Normas Internacionales de Informacin Financiera

Contrapartida

Boletn INCP / No. 89 / Junio de 201356

Anlisis

Estamos ad portas de cumplir 4 aos

desde el inicio de la convergencia

contable en Colombia, originada por

la tan polmica Ley 1314 del 2009,

a la cual no se le ha podido medir

razonablemente los efectos que esta

puede tener a la fecha de hoy, en

los sectores econmico, poltico e

industrial; generando as un clima de

preocupacin, debido principalmente

a que los resultados no han sido los

esperados por la rama legislativa ni

por los profesionales contables en

general. A raz de esto, es importante

cuestionarnos nosotros como auditores

si el proceso de convergencia de las

normas internacionales de auditoria

en Colombia tardar el mismo tiempo

o, por la experiencia vivida con la

Ley 1314, tomar mucho ms. Por el

momento es indispensable tener en

cuenta cules son los aspectos que

afectarn la prestacin del servicio de

aseguramiento a la hora de llevar a cabo

la convergencia en Colombia

La incorporacin de los ISA implicar

cambiar el sistema actual de carcter

general (legalmente aplica las mismas

condiciones a todos los contadores

pblicos independientemente de la

actividad que realicen) por un sistema

de carcter especfico (las condiciones

son especficas segn la actividad

profesional, ya sea de carcter privado/

de negocios o de carcter pblico).

Ciertamente el ejercicio de la auditora

de estados financieros tendr

requerimientos ms rigurosos pues ser

necesario garantizar estados financieros

que realmente reflejen la situacin

financiera, el desempeo financiero y los

flujos de efectivo.

La incorporacin de los ISA conllevar

cambios de fondo en la organizacin

de la profesin de los contadores

pblicos pero tambin, lo cual es

muy importante, en la estructura de

vigilancia de la profesin y en las

actividades de supervisin relacionadas

con la informacin financiera.

La incorporacin de los ISA tendr un

efecto importante en la revisora fiscal.

Si se incorpora el conjunto completo

de los ISA, el gobierno nacional tendr

que decidir si la revisora fiscal realiza

o no la auditora de estados financieros

(segn estndares internacionales).

Con esto he querido mencionar los

cambios o incidencias ms importantes

que se sealaron en el informe final del

comit de normas de aseguramiento,

tomando como base nuestra profesin y

su entorno laboral, a la hora de realizar

la convergencia en Colombia.

Solo me queda invitarlos a reflexionar

sobre la gestin que se est realizando

hoy en da, con el fin de definir los

parmetros que se debern tener en

cuenta en el proceso de convergencia

en Colombia; y preguntarnos si de

esta manera nuestra profesin tendr

un mayor reconocimiento gerencial,

llevndonos a obtener un codiciado

prestigio, o si ser la puerta para

mostrarnos las tan ocultas fallas de

nuestro sistema contable y financiero a

nivel profesional.

Fuente: Carlos Ivn Ortega Jimnez. Tomado de CONTRAPARTIDA.Nmero 712, junio 11 de 2013Publicado en el departamento de Ciencias Contables de la Pontificia Universidad Javeriana.

Normas Internacionales de Informacin Financiera

Contrapartida

Boletn INCP / No. 89 / Junio de 2013 57

CIFRAS E INDICADORES MUNDIALES

Pases Tasa de Paro Mes

Espaa 26,80% abr-13

Colombia 10,20% mar-13

Alemania 5,40% abr-13

Reino Unido 7,70% mar-13

Francia 11,00% abr-13

Italia 12,00% abr-13

Portugal 17,80% abr-13

Zona Euro 12,20% abr-13

Estados Unidos 7,50% abr-13

Japn 4,10% mar-13

Austria 4,90% abr-13

Blgica 8,40% abr-13

Ecuador 4,64% mar-13

Bulgaria 12,30% abr-13

Canad 7,20% may-13

Dinamarca 7,00% abr-13

Estonia 8,70% mar-13

Finlandia 8,40% may-13

Grecia 26,80% mar-13

Tasa de Paro Internacional

Desempleo

Boletn INCP / No. 89 / Junio de 201358

Anlisis

Pases Tasa de Paro Mes

Croacia 18,10% abr-13

Hungra 10,60% mar-13

Irlanda 13,50% abr-13

Mxico 5,04% abr-13

Holanda 6,60% may-13

Venezuela 7,90% abr-13

Noruega 3,70% mar-13

Polonia 10,80% abr-13

Suecia 7,90% may-13

Desempleo es sinnimo de paro. Desempleado o parado es aquel

trabajador que no tiene empleo. Por

lo tanto, los desempleados o parados

de un pas son aquellos que tienen

edad, capacidad y deseo de trabajar

(poblacin activa) pero carecen de un

puesto de trabajo.

El nmero de parados de un territorio

suele expresarse en funcin de la

poblacin activa del mismo y se denomina

tasa de desempleo.

La tasa de paro es el cociente entre el

total de parados y el total de activos y se

expresa en porcentaje:

Tasa de desempleo = Total de Parados/

Total de Activos

Fuente: datosmacro.com. Recuperado el 28/06/13, de http://www.datosmacro.com/paro

Ya somos ms de 8.000 socios incp