ISO 27001 – Sistemas de Gestión de Seguridad de la Información
Es una norma de carácter internacional, que tiene como objetivo garantizar que los controles que existen para salvaguardar la información de las partes interesadas, sean adecuados para proteger la confidencialidad, integridad y disponibilidad de la información. Estos controles deben tener en cuenta la información de clientes, empleados, socios y las necesidades de la sociedad en general.
ISO 27002 – La norma ISO 27002 complemento para la ISO 27001
Cuando se habla sobre la seguridad de la información nos viene a la cabeza la norma ISO 27001. Esta norma es muy relevante dentro del sector, ya que toma como base todos los riesgos a los que se enfrenta la organización en su día a día. Tiene como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización. Sin embargo, no debemos olvidar el papel que ocupan otras normas.
ISO 22301 – Sistema de Gestión de Continuidad de Negocio
Es una norma internacional de gestión de continuidad de negocio. Esta ha sido creada en respuesta a la fuerte demanda internacional que obtuvo la norma británica original, BS 25999-2 y otras normas. Además, identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio, estableciendo el proceso, los principios y la terminología de gestión de continuidad de negocio.
SCIIF – Control interno sobre la información financiera en las entidades
El nuevo marco regulador Español en materia de Control Interno, define que el Comité de Auditoría deberá supervisar la eficacia de los sistemas de gestión de riesgos y el proceso de elaboración y presentación de la información financiera auditada. Además, que el Informe Anual de Gobierno Corporativo (IAGC), deberá describir las principales características de los sistemas internos de control y gestión de riesgos en relación con el SCIIF.
Responsabilidad penal corporativa
El vigente Código Penal posibilita la imputación de las personas jurídica, tanto por las acciones cometidas por sus administradores como por sus empleados, si la empresa no ha implantado las medidas adecuadas para prevenirlos. Los Programas de Cumplimiento Normativo (Corporate Compliance Programs), son una herramienta eficaz para eximir a la empresa de esta responsabilidad.
SOX – Ley Sarbanes Oxley
Nace con el fin de monitorear a las empresas que cotizan en la bolsa de valores de Nueva york y sus filiales, para evitar fraudes y riesgo de bancarrota, protegiendo al inversor. Asimismo, regula las funciones financieras contables y de auditoría y, penaliza el crimen corporativo. Este monitoreo y control, se realiza a través del incremento de los controles internos de las empresas y la implementación de medidas preventivas, que garanticen la integridad y precisión de sus informes financieros.
Una correcta aplicación y entendimiento de la Ley, le permite a las empresas identificar los riesgos claves de la información financiera y valorar su impacto sobre las diferentes áreas de la organización. Además, establece una nueva ética de responsabilidades corporativas y normas estrictas, para prevenir y sancionar el fraude corporativo y actos de corrupción.
GRC – Gobernanza, Gestión de riesgos y Cumplimiento
El GRC es una respuesta conjunta a las diversas necesidades que tienen las organizaciones para que sus planes (estrategia) se ejecuten (procesos), dentro del marco definido por los aspectos legales, normativos y política interna, gestionando las circunstancias de riesgo y oportunidades proactivamente.
SAP (Sistemas, Aplicaciones y Productos) GRC (Gobierno, Riesgos y Cumplimiento)
La herramienta SAP GRC permite automatizar evaluaciones, autorizaciones e informes de cumplimiento, así como realizar auditorías desde una suite unificada y escalable que abarca la gestión de riesgos, la prevención del fraude y la monitorización del cumplimiento normativo. A su vez, suministra información en tiempo real sobre la situación de riesgo en la que se encuentra la organización, automatiza los procesos e integra el cumplimiento normativo en la estrategia, planificación y ejecución global de la compañía.
ACL – Lista de Control de Acceso
Es un informe sobre los permisos o derechos de acceso, que tiene cada usuario sobre un objeto determinado (como un directorio o un archivo). ACL define qué usuarios o grupos pueden acceder un objeto y qué operaciones puede realizar.
SAS – 99
Es el término utilizado para referirse a la consideración de fraude en una auditoria de estados financieros. La definición de fraude según la ACFE (Association of Certified Fraud Examiners), es cualquier actividad o acción con el propósito de enriquecimiento personal a través el uso inapropiado de recursos o activos de una organización.
ACFE – La Asociación de Examinadores de Fraude Certificados (ACFE)
Es la principal y mayor organización anti-fraude en el mundo, con cerca de 75,000 miembros en más de 150 países. Es una organización sin fines de lucro, cuyo objetivo es servir a la comunidad a través de la expansión del conocimiento y la educación continua, en temas vinculados a la prevención, detección, investigación y disuasión de fraudes y el combate a la corrupción.
KRIs – Indicador de riesgos clave
Un indicador de riesgos clave (KRI), es una métrica para determinar qué tan posible es que la probabilidad de un evento, combinada con sus consecuencias, supere el apetito de riesgo de la organización (es decir, el nivel de riesgo que la compañía está preparada para aceptar), y tenga un impacto profundamente negativo en la capacidad de tener éxito de una organización.
AECOC – Asociación Española de Codificación Comercial
Es una asociación multisectorial de profesionales de la industria y la distribución, que engloba a empresas de diverso tamaño en sectores varios. La misión de AECOC es contribuir a hacer más eficientes las relaciones entre las empresas de producción y distribución, aportando mayor valor al consumidor, a través de la identificación de oportunidades de mejora a lo largo de toda la cadena. Asimismo, AECOC es el representante en España de GS1; la organización que lidera mundialmente tanto la investigación como el desarrollo y promoción de los principales estándares tecnológicos.
Data Warehouse – Almacén de datos usable y con objetivos de negocio
Es una colección de datos orientada a un determinado ámbito (empresa, organización, etc.), integrado, no volátil y variable en el tiempo, que ayuda a la toma de decisiones en la entidad en la que se utiliza. Se trata, sobre todo, de un expediente completo de una organización, más allá de la información transaccional y operacional, almacenado en una base de datos diseñada para favorecer el análisis y la divulgación eficiente de datos
DRP -Plan de Recuperación de Desastres
Describe cómo enfrenta una organización posibles desastres. Así como un desastre es un evento que imposibilita la continuación de las funciones normales, un plan de recuperación de desastres se compone de las precauciones tomadas para que los efectos de un desastre se reduzcan al mínimo y la organización sea capaz de mantener o reanudar rápidamente funciones de misión crítica. Por lo general, la planificación de recuperación de desastres implica un análisis de los procesos de negocio y las necesidades de continuidad, también puede incluir un enfoque significativo en la prevención de desastres.
BCP Plan de continuidad del negocio o plan de contingencia de procesos de negocio (BPCP)– describe cómo enfrenta una organización posibles desastres.
La recuperación de desastres, se está convirtiendo en un aspecto cada vez más importante de la informática empresarial. La planificación de la recuperación de desastres puede ser desarrollada dentro de una organización o se puede comprar una aplicación de software o un servicio. La interrupción del servicio o la pérdida de datos pueden tener consecuencias financieras graves, ya sea directamente o a través de la pérdida de confianza del cliente.
BCMS – Sistema de Gestión de la Continuidad de Negocio
Podríamos decir que el BCMS es para la continuidad del negocio, lo que el SGSI de la ISO 17799 y la ISO 27001 es la para la seguridad de la información. De hecho, el BCMS y el SGSI comparten el típico proceso continuado de mejora Plan-Do-Check-Act (PDCA), entre otros muchos puntos en común.
IT Governance – Gobierno del Area Tecnológica
Es el término que se refiere a la gestión adecuada de recursos tecnológicos para alcanzar los objetivos corporativos al mínimo costo y con máxima rentabilidad. Se trata de visualizar al área de TI como parte integral del negocio y no solamente como un área de soporte, con la correspondiente responsabilidad de administrar y minimizar costos, generar beneficios y proporcionar los mecanismos para medirlos eficientemente.
RGPD – Reglamento General de Protección de Datos
Este último es una ley que afecta a toda la Unión Europea aprobada en 2016 y en vigor desde el pasado 25 de mayo de 2018. El nombre de LOPD 2018 es una fórmula utilizada en España, para referirse al RGPD utilizando la denominación de la normativa a la que sustituye, es decir, la antigua LOPD. Esta nueva norma (de obligado cumplimiento en España y todos los demás países de la Unión Europea), incide mucho más en aspectos de protección e implica también un nuevo régimen sancionador con la intención de hacer ver la importancia de invertir en sistemas de seguridad, pero sobre todo, en tener una planificación y evaluación de riesgos apropiada.
IAGC – Informe Anual de Gobierno Corporativo
Es un documento cuya finalidad es recoger una información completa y razonada sobre las estructuras y prácticas de gobierno en cada sociedad, que permita conocer los datos relativos a los procesos de toma de decisiones y todos los demás que revelen aspectos importantes del gobierno societario, con objeto de que el mercado, los inversores y los accionistas puedan hacerse una imagen fiel y un juicio fundado de la sociedad.
CNMV – La Comisión Nacional del Mercado de Valores (CNMV)
Organismo encargado de la supervisión e inspección de los mercados de valores españoles y de la actividad de cuantos intervienen en los mismos. Su objetivo es velar por la transparencia de los mercados de valores españoles y la correcta formación de precios, así como la protección de los inversores.
SAS70 – Statement on Auditing Standards (Declaración sobre estándares de auditoría)
Es un estándar de auditoría reconocido internacionalmente enfocado a los controles internos y externos que posee una empresa que presta servicios. El reporte consiste en una revisión por parte de una firma auditora independiente certificada. Fue diseñado para proveer información a las organizaciones usuarias (y a sus auditores), acerca del control interno de la organización de servicios y verifica la existencia del control, su documentación, difusión y uso efectivo.
SAS70 – ISAE 3402
La norma ISAE 3402 (antes conocida como SAS-70), es un conjunto de buenas prácticas para la evaluación de proveedores externos, formulado de manera independiente y aceptado dentro del sector, cuyo objetivo es garantizar la calidad de las soluciones externalizadas de hosting gestionado. Se trata de un nuevo estándar mundial orientado a la elaboración de informes de control de calidad en organizaciones prestadoras de servicios.
SSAE 16
El Consejo de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados AICPA (American Institute of Certificated Public Acountans), ha reemplazado la norma de auditoría SAS 70 por el Statement on Standards for Attestation Engagements SSAE N º 16 . Informes cuyas actualizaciones dan a conocer los controles en una organización de servicio. La publicación de la SSAE, se hizo formalmente en abril de 2010 con una fecha de vigencia del 15 de junio de 2011. SSAE 16 fue redactado con el objetivo principal, de actualizar los informes estándar de los servicios para organizaciones de Estados Unidos, además para llevar a cabo el desarrollo y cumplimiento de un nuevo servicio internacional del informe estándar ISAE 3402. Para las organizaciones de servicios que actualmente tienen un examen de auditoría SAS 70 de servicios (“auditoría SAS 70”), es necesario realizar algunos cambios para llevarse a cabo de manera efectiva la presentación de informes en virtud del nuevo SSAE 16 estándar.
