|
Manejamos a diario normas y prácticas como: Sarbanes-Oxley (SOX), HIPAA, COSO, COBIT, NASD/NYSE, Basel II, OECD Principles, ASX 10, etc. El universo de normativas a las que el gerente debe prestar atención parece ser cada vez más complejo. También las consecuencias negativas de los incumplimientos pasan a ser más intolerables. ¿Usted como gerente conoce el riesgo legal al que se encuentra expuesto ante incumplimientos de la normativa vigente?
¿Qué es cumplimiento?
Podemos definir cumplimiento o conformidad como las acciones de la organización para lograr la adhesión a las normas, regulaciones y políticas que le son aplicables. Asimismo implica poder demostrar dicha adhesión.
Ante la pérdida de confianza de las partes interesadas, surgen cada vez más regulaciones que interactúan y a veces se solapan. La regulación busca dar protección a las partes interesadas de que las organizaciones se están moviendo dentro de reglas de juego conocidas.
Software de Cumplimiento
Es claro que el cumplimiento de políticas y normativas no resulta sostenible sin una solución automatizada para gestionar la documentación y los procesos necesarios para conseguir este objetivo, incluyendo tareas relacionadas con la evaluación y la puesta en marcha de los controles y los registros de eventos de las TAACs. Actualmente muchas auditorías usan MS Office (por ej., cuestionarios en Word) pero saben que no es suficiente, por motivos de reusabilidad y seguridad.
Algunas soluciones de software para cumplimiento se clasifican en :
Software orientado a automatizar el proceso de auditoría y estar basados en el Marco COSO:
- Incluyen definición de procesos, los riesgos asociados a cada proceso, los controles requeridos para mitigar los riesgos, la prueba para validar que los controles son efectivos y las nuevas medidas de control requeridas.
Solución DATASEC: Meycor COSO AG
Otra clase de software de cumplimiento automatiza acciones manuales y deja pistas de auditoría, incluyendo:
- Gestión de documentos
- Gestión de Eventos
- Control de Contratos (vencimientos, responsables, flows)
- Portal de colaboración con clientes y proveedores
Solución DATASEC: Meycor KP
Veamos un ejemplo de normativa a la que deben ajustarse algunas organizaciones:
PCI Cardholder Information Security Program
La protección de la información de las tarjetas de crédito es cada vez más una necesidad. Companies that do not have a plan to achieve compliance or that create misleading compliance reports are not seen in a favorable light and may be subject to more severe penalties.
Este programa incluye:
- A detailed assessment program (202 detailed standards)
- A self-assessment program (approximately 78 standards)
Contempla por ejemplo puntos como los siguientes:
- Establecer Políticas dirigidas a la seguridad de la información
- Implementar un programa formal de concienciación en seguridad de la información
Solución DATASEC: Puede usarse Meycor CSA para incluir los cuestionarios correspondientes, obteniendo evidencia de la fiabilidad de las respuestas y determinando las áreas a fortalecer.
Nuestra filosofía
Las herramientas de software constituyen como se dijo una parte imprescindible de la Gestión de cumplimiento. Sin embargo, nuestra propuesta apunta a un enfoque integral que incluya el desarrollo y ajuste de procesos y contenidos, capacitación, y si se requiere formación de personal para la Gestión de cumplimiento.
|
english version
Meycor® COSO® AG
Meycor CobiT® CSA
Meycor CobiT® KP 
