Tag: ACL

Los siete peligros de las auditorías basadas en documentos

Cómo comprender los efectos destructivos de los datos oscuros en las organizaciones.

El uso de documentos generados por procesadores de texto y hojas de cálculo como forma primaria de capturar y documentar procedimientos, resultados y evidencias de auditorías se está convirtiendo rápidamente en un anacronismo oxidado —y peligroso—. En el escenario digital actual, este enfoque obstaculiza de varias maneras a las organizaciones.

El problema es que la información queda atrapada dentro de los documentos electrónicos y las hojas de cálculo, donde efectivamente se transforma en “datos oscuros”: imposibles de buscar, referenciar, analizar, exportar, reportar o acceder en dispositivos móviles.

¿Qué son los datos oscuros?

Gartner define los datos oscuros como “los activos de información que las organizaciones recopilan, procesan y almacenan durante sus actividades empresariales normales, pero que generalmente no logran aprovechar para otros fines (por ejemplo, estudios analíticos, relaciones comerciales y monetización directa). Como la materia oscura en física, los datos oscuros suelen abarcar la mayor parte del universo de activos de información de la organización. Por eso, las organizaciones suelen conservar los datos oscuros únicamente a los fines del cumplimiento.

Siete peligros de las auditorías basadas en documentos

Los problemas claves creados por el enfoque basado en documentos para la gestión de las auditorías incluyen:

01 ) Los datos oscuros quedan atrapados dentro de los documentos o las hojas de cálculo.

02 ) Los documentos no protegen la integridad de los datos.

03 ) Por su naturaleza, la información dentro de documentos y hojas de cálculo no puede mantener sus relaciones con otra información.

04 ) Propagar las auditorías es difícil y exige mucho trabajo manual.

05 ) Exportar y archivar fuera del software es imposible.

06 ) Las dependencias causan conflictos entre las versiones del software y dificultan las actualizaciones.

07 ) Cargas de TI.

No es usted, es la tecnología de auditoría.

Comprender la evidencia digital de auditoría = comprender la necesidad de cambio.

Desde un punto de vista de la metodología fundamental de auditoría, la documentación crítica de auditoría cae dentro de dos grandes categorías:

01 Análisis y conceptos primarios de la auditoría: Incluye la información que representa el pensamiento original del auditor y que formará parte del reporte de auditoría; por ejemplo, sus análisis y comentarios sobre los procedimientos llevados a cabo, por qué se hicieron, los resultados, conclusiones, etc.

02 Evidencia de respaldo de la auditoría: Los elementos adquiridos durante la auditoría que evidencian directamente qué llevó al auditor a sus conclusiones.

¿Por qué cambiar? Beneficios claves de la auditoría interna.

Invertir en la gestión de los cambios de corto plazo necesarios para que la organización pase de las auditorías basadas principalmente en documentos al software de gestión de auditoría aporta beneficios claves:

  • Mejora de la productividad del trabajo de campo de auditoría.
  • Mayor uniformidad de enfoques y calidad entre auditorías.
  • Mayor calidad de la información de auditoría.
  • Fácil ampliación del alcance de la información de auditoría.
  • Mayor rapidez de entrega de la información.
  • Mayor capacidad de presentación de reportes de alto impacto.
  • Mayor facilidad de propagación de las auditorías de forma menos “invasiva”.
  • Mejora general de la automatización de la auditoría.

Esta misma transición también libera la carga administrativa y de TI de la organización.

 

Nuevo e-book

Cómo aumenta la tecnología el valor de la auditoría.

Descargar
  • pmn
  • 16 agosto, 2022
  • More

Incrementar el valor de la auditoría interna

La auditoría interna debe aprovechar la tecnología.

La auditoría interna ha evolucionado —y la tecnología de auditoría, también—. Ahora, los líderes empresariales tienen expectativas mucho más altas sobre el valor que los auditores internos deben aportar a sus organizaciones. Sabemos que la tecnología es muy importante para ayudar a los auditores a hacer su trabajo y aportar más valor a la alta gerencia. Pero existe una gran brecha de desempeño entre las tecnologías. Muchos equipos de auditoría siguen dependiendo de tecnologías y procesos obsoletos, y eso limita su capacidad de proporcionar información significativa que realmente aporte valor.

Para transformar su eficacia mediante la tecnología, la auditoría interna debe:

  • Convertir la tecnología en un imperativo estratégico
  • Alinear el uso de tecnología de auditoría con riesgos y cumplimiento
  • Gestionar con eficacia la implementación de la tecnología
  • Diseñar procesos de auditoría que maximicen las tecnologías actuales
  • Integrar automatización y análisis de datos
  • Superar las barreras dentro de la organización

Usar software creado especialmente para aumentar el valor de la auditoría interna

¿Está listo para presentar software especializado a su equipo de auditoría?

Estos son algunos pasos que le ayudarán a empezar. No son particularmente complejos ni difíciles de implementar, pero exigen un cambio de mentalidad. Y presentan una oportunidad real para que los líderes de auditoría mejoren su imagen dentro de la organización.

1)  Lograr la aceptación de la directiva y alinear estrategias

2) Establecer metas y medir el progreso

3) Alinear la tecnología con los objetivos estratégicos

4) Mapear los procesos de AI para ver dónde se adapta la tecnología

5) Acabar con las barreras dentro de la organización

6) Aprovechar los estudios analíticos de datos

7) Impulsar la nueva visión centrada en la tecnología

Contamos con tecnología especialmente diseñada para ayudar a los auditores internos a proporcionar la información estratégica que piden las juntas directivas y los ejecutivos, y convertirse en valiosos socios de negocios.

Vea estos y otros temas en detalle ¡Descargue el e-book gratis!

Nuevo e-book

Cómo aumenta la tecnología el valor de la auditoría.

Descargar
  • pmn
  • 7 junio, 2022
  • More

Cómo crear un sistema sólido de control interno

Con el fin evitar gravísimas fallas de los controles, estos son los cuatro pasos que debe seguir al crear su sistema de control interno.

1) Evalúe dónde se encuentra (planificar)

Para comprender y definir el estado actual del control interno, observe cómo se están logrando los objetivos de la empresa en Operaciones, Reportes y Cumplimiento. Las evaluaciones deben incluir el estado del entorno de control, la cultura corporativa en relación con los riesgos y controles (comenzando por arriba), las actividades de gestión y control de riesgos y las actividades de monitoreo. Los hallazgos le ayudarán a definir el grado de madurez de su compañía.

2) Asegúrese de tener lo necesario y comience (asignar recursos e implementar)

En esta etapa, es fundamental asegurarse de tener los recursos necesarios para desarrollar e implementar el plan. ¿Tiene el presupuesto? ¿La gente? ¿El tiempo? ¿La tecnología? Identificar y asegurar estos recursos puede ser muy trabajoso.

3) Acuerde a dónde desea llegar (comunicar y alinear)

Decida dónde debe utilizar el modelo de madurez como guía (informal/ad hoc, estándar, gestionado y monitoreado, optimizado). Esta decisión debe tomarla la alta gerencia; preferentemente, en consulta con los auditores. Los auditores siempre reportan el estado de los controles internos, por eso, son un excelente recurso y una guía para comenzar a crear un plan de acción.

4) Implementar y refinar el plan (revisar y probar)

Según lo que involucre su plan, la implementación puede llevar un tiempo. La revisión y pruebas deben realizarse de manera continua; este no es un tipo de programa que se pueda “instalar y olvidar”.

El futuro del control interno

¿Cómo es el futuro del control interno? Está siendo modelado por las amenazas y vulnerabilidades — y en última instancia, por los riesgos — que enfrentan las organizaciones. Por eso, es tan importante intentar predecir los riesgos e iniciar medidas de protección mediante controles.

La exposición a los riesgos está aumentando gracias a la nueva tecnología, Internet y la conectividad, la digitalización y las nuevas formas de trabajo. Con el aumento de la conectividad y la dependencia de Internet, la debilidad de los controles de la infraestructura puede paralizar organizaciones enteras.

Las tecnologías como el aprendizaje automático, la inteligencia artificial, la cadena de bloques, la conectividad global y las plataformas móviles han generado nuevas dependencias.

Trabajamos en un mundo nuevo y desafiante que incluye un uso casi total de dispositivos móviles, transacciones y operaciones bancarias en línea, teletrabajo, personal temporal contratado para cada proyecto, horarios flexibles y tercerización. Todos estos aspectos hacen que sea difícil exigir responsabilidad y todos requieren controles rigurosos y adecuados para mitigar el riesgo inherente.

Súmele la tendencia de facilitarnos las cosas cuando usamos la tecnología (único inicio de sesión, identificación del usuario en el sistema y sesiones siempre abiertas en las aplicaciones) y una pequeña brecha o falla en un sistema puede dar acceso al sistema completo. Un software maligno y autodidacta inyectado en un sistema causaría estragos. Ya hemos visto virus o bots que aprenden y cambian junto con los entornos en los que se introdujeron. Los controles también deben ser automatizados y autodidactas para observar, aprender y predecir los comportamientos de las potenciales amenazas.

Así, utilizando tecnologías de vanguardia, junto a las mejores prácticas y un enfoque estratégico, podrá iniciar el recorrido hacia su propia utopía de control interno.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 9 julio, 2021
  • More

5 consejos para la gestión del riesgo cibernético

La ciberseguridad es una de las principales preocupaciones de todas las áreas de una organización, desde la legal hasta la de recursos humanos, TI y las operaciones.

Una filtración de datos puede ser devastadora, no solo para su equipo técnico, sino para toda la empresa, y puede tener repercusiones  duraderas. Dependiendo de la gravedad de la infracción, es posible que deba cerrar las operaciones por completo durante un período de tiempo, lo que también puede provocar pérdidas de clientes e ingresos.

El daño a la reputación también es una preocupación clave: el 65% de las víctimas de una violación de datos han perdido la confianza en la organización que fue violada. Y las empresas que exponen inadvertidamente información personal pueden estar sujetas a demandas colectivas por valor de millones de dólares.

El cumplimiento de las regulaciones de la industria es un buen punto de partida para defender su organización. Pero ahora, depender solo del cumplimiento ya no es suficiente. No se trata de marcar una casilla, se trata de ser consciente de los riesgos nuevos y emergentes y de vigilarlos constantemente, administrar los riesgos existentes y hacer que ese proceso sea eficiente. Eso significa que es esencial adoptar un enfoque activo para monitorear y administrar su riesgo cibernético.

La pandemia de COVID-19 provocó una migración repentina y generalizada a un entorno de oficina distribuido con un tiempo mínimo para preparar o configurar nuevos protocolos de seguridad de red.

Este es un excelente ejemplo de un riesgo que podría identificarse desde el principio. Es posible que el riesgo no haya sido una pandemia, sino quizás uno de continuidad empresarial: si el lugar de trabajo se vuelve inaccesible por cualquier motivo, ¿existen los sistemas, las herramientas y los procesos adecuados para continuar? Si no es así, ¿cómo afectará eso a la organización? Este es un ejemplo de cómo adoptar un enfoque de ciberseguridad basado en el riesgo.

Para estar un paso por delante de los riesgos de ciberseguridad futuros, es importante adoptar un enfoque estratégico para evaluar los riesgos potenciales para su organización (incluidos escenarios internos, de terceros, basados ​​en infraestructura, etc.). Al identificar cada riesgo individual y crear planes para mitigarlos y remediarlos, estará bien preparado para recuperarse rápidamente en casi cualquier escenario.

Un enfoque de la ciberseguridad basado en el riesgo

Aquí hay cinco pasos para incorporar la gestión de riesgos en sus iniciativas de ciberseguridad:

  1. Utilice análisis y puntuación de riesgo

Haga un inventario de todos sus riesgos potenciales y asígneles una puntuación de riesgo alta, media o baja. Luego, defina qué nivel de riesgo está dispuesto a asumir y cuánto está dispuesto a invertir para mitigar los riesgos fuera de ese nivel. Utilice una plataforma de software con análisis de datos para aplicar y monitorear su puntuación de riesgo, y automatice las notificaciones cuando el riesgo tenga tendencias en una dirección no deseada.

  1. Crea un comité de riesgo cibernético

Identifique a los propietarios de riesgos en toda la organización. Por lo general, el Director de seguridad de la información desempeñará una función de liderazgo para gestionar el riesgo cibernético en su conjunto, con diferentes equipos y funciones laborales que desempeñan un papel en el seguimiento y la gestión de riesgos específicos. Por ejemplo, TI puede asumir la responsabilidad principal de administrar y monitorear la infraestructura y las redes, mientras que su equipo de seguridad puede tomar la iniciativa en la configuración de controles para acceder a los datos y monitorear las amenazas contra ellos. Agrupe a los líderes clave de cada departamento relevante para que formen parte de un comité de riesgo cibernético que informa a su junta directiva.

  1. Adopte un enfoque por fases

En lugar de intentar implementar varios cambios estratégicos importantes a la vez, adopte un enfoque por fases para la gestión de riesgos, en función de su presupuesto y recursos disponibles. Trabaje con el comité de gestión de riesgos para comprender el panorama de riesgos y siga su lista de prioridades para ayudarlo a crear una hoja de ruta estratégica.

  1. Ponga el foco en sus iniciativas de ciberseguridad

Una vez que haya desarrollado un plan integral de gestión de riesgos de ciberseguridad, eduque a toda su empresa sobre sus iniciativas. Empiece por hacer actualizaciones a sus políticas que reflejen cambios en los protocolos estándar y ejecute programas de capacitación departamentales para que cada equipo esté al tanto de lo que se les pedirá que hagan. Una vez que su empresa esté a bordo, puede correr la voz mostrando sus iniciativas de ciberseguridad a sus clientes y socios, proporcionando una ventaja competitiva.

  1. Identifique las herramientas de automatización adecuadas para ayudarlo a administrar el riesgo

La gestión del riesgo cibernético se beneficiará de la experiencia humana, pero para crear un programa sólido que siga de cerca su nivel de riesgo en tiempo real, será necesario confiar en las herramientas de análisis de datos y automatización. Al elegir una solución, concéntrese en encontrar una herramienta que sea intuitiva para los usuarios sin capacitación especializada, de modo que pueda utilizarse en todas las líneas de negocio. La herramienta debe utilizar fuentes de datos en tiempo real para analizar nuevas amenazas y compartir información de forma anónima a medida que ocurren incidentes. Debe proporcionar cifras de inversión versus impacto para ayudarlo a comprender su ROI en cada estrategia de mitigación.

Al alejarse de un enfoque de cumplimiento y crear un plan de ciberseguridad que se centre en el perfil de riesgo único de su empresa, estará en una posición sólida para detectar y responder de manera efectiva y eficiente a cualquier amenaza tan pronto como ocurra, en lugar de meses después.

Esto ayudará a su empresa a evitar los problemas operativos y el daño a la reputación causados ​​por infracciones importantes, y seguirá siendo competitivo en su industria a largo plazo. Al utilizar tecnología que lo ayuda no solo a evaluar los riesgos, sino también a analizar los costos asociados con su mitigación, puede ejecutar un programa de administración de riesgos rentable que obtenga resultados.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 25 junio, 2021
  • More

El punto de inflexión tecnológico para los profesionales de GRC

Las personas que trabajan en gobernanza, riesgo y cumplimiento (GRC) han pasado por momentos difíciles últimamente. Esto se reveló tras encuestar, en Abril de 2021, a profesionales de GRC quienes destacaron que ahora sus organizaciones los perciben como más valiosos:

  • 58% ha visto aumentar su carga de trabajo
  • El 62% ha experimentado un crecimiento en el alcance de sus funciones.
  • El 62% encuentra que las brechas en el tiempo, la tecnología o los recursos humanos impiden que sus organizaciones ejecuten sus planes.

Dada la pandemia, el cambio radical al trabajo a distancia y otros eventos mundiales, estas estadísticas no son una sorpresa. Gestionar el riesgo y demostrar el cumplimiento se ha vuelto más complejo, lento y crítico que nunca.

Afortunadamente, existe una solución y la ha existido durante mucho tiempo: soluciones tecnológicas basadas en la nube.

Los profesionales de GRC tradicionalmente han tardado en adoptar nuevas tecnologías. Por ejemplo, casi la mitad (45%) de los encuestados siguen utilizando herramientas antiguas de Microsoft Office (Excel, Word, Outlook) para administrar programas y documentos críticos.

Los eventos de 2020 demostraron la necesidad de una tecnología confiable para respaldar la continuidad del negocio. Tomemos las auditorías, por ejemplo. Normalmente, las auditorías se realizan en persona, verificando los activos fijos físicos y trabajando codo con codo en las salas de conferencias. Pero durante la pandemia, este enfoque estaba fuera de discusión. En cambio, los auditores recurrieron a la automatización habilitada por tecnología y al aprendizaje automático para agilizar el proceso y la documentación.

A las organizaciones que ya habían adoptado soluciones basadas en la nube les resultó más fácil realizar la transición al trabajo remoto. Además, no utilizar soluciones basadas en la nube podría plantear riesgos para las organizaciones en caso de que ocurra otra interrupción importante. Entre los encuestados, el 38% dijo que sus funciones se han centrado más en el riesgo desde la pandemia.

Sin embargo, solo la mitad (54%) dijo tener una visibilidad completa de los riesgos que enfrenta su organización. Las tácticas y herramientas de status quo pueden resultar en la pérdida de datos, aumento de errores y dificultad para realizar un seguimiento de los procesos y el progreso.

Aquí hay tres formas en que las soluciones basadas en la nube pueden facilitar la vida de un profesional de GRC, incluso cuando los roles se elevan, evolucionan y se expanden.

Consolida los datos en una vista unificada.

Las soluciones GRC basadas en la nube hacen posible la consolidación de datos. Con este tipo de plataforma unificada, los profesionales de GRC pueden recopilar y aprovechar información de toda la organización, optimizar la colaboración y crear fácilmente visualizaciones, informes y guiones gráficos. Los cuadros de mando unificados también ofrecen imágenes de riesgo actualizadas y cuantificadas, lo que permite la toma de decisiones inmediata e informada.

Permite la automatización y el ahorro de costes.

La automatización de los flujos de trabajo y las tareas permite a los equipos de GRC hacer más con menos. La inteligencia artificial, el aprendizaje automático y la automatización de procesos robóticos no son tecnologías nuevas, pero son nuevas en la industria de GRC, y se entregan y funcionan con tecnología de nube.

Al habilitar flujos de trabajo dinámicos y automatizados, las soluciones de GRC basadas en la nube agilizan las operaciones y automatizan las tediosas y laboriosas tareas manuales que los equipos de GRC están abordando actualmente con hojas de cálculo, correos electrónicos y documentos de Word dispares.

La nube y la seguridad pueden ir de la mano.

Las principales preocupaciones entre los encuestados incluyen el cumplimiento de TI, la seguridad y la privacidad (47%), la ciberseguridad (43%) y el fraude y la corrupción (29%). Las soluciones de GRC basadas en la nube se enfocan en estas preocupaciones, ayudando a los equipos de GRC a fortalecer el cumplimiento y monitorear y mitigar las amenazas al permitir una mayor visibilidad, controles más fuertes.

Considere, por ejemplo, marcos de controles automatizados. Estos facilitan el monitoreo continuo del estado de cumplimiento y los niveles de riesgo en toda la organización. Cuando no se alcanzan los niveles de control, se desencadena una acción inmediata. La automatización, al reducir los errores, también reduce el riesgo de multas y aumenta la seguridad.

Y considere la capacidad de la nube para adaptarse a grandes volúmenes de datos y capacidades analíticas avanzadas. Para los equipos de GRC, esto significa un monitoreo de riesgos en tiempo real: buscar a través y dentro de múltiples procesos comerciales en busca de tendencias críticas, indicadores y problemas emergentes que podrían convertirse en problemas importantes si no se administran de manera proactiva.

En conclusión: la nube es una solución poderosa para las actividades de gobernanza, riesgo y cumplimiento, y las soluciones basadas en la nube están listas para los equipos de GRC que están preparados para comenzar a cosechar los beneficios.

Para aumentar las probabilidades de un viaje exitoso, busque una plataforma intuitiva y accesible, una comunidad de clientes activa y la capacidad de escalar, crecer y evolucionar con los roles y responsabilidades de GRC, tanto durante la recuperación de la pandemia como más allá.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 11 junio, 2021
  • More

Gestión de Riesgos para entregar valor organizacional

Un paisaje emergente de riesgo

El Riesgo tiene la atención de los altos ejecutivos. El Riesgo se desplaza rápidamente en una economía donde ” la velocidad de cambio” es la verdadera moneda corriente de los negocios, y que emerge en formas completamente nuevas en un mundo donde la globalización y la automatización están obligando cambios en los valores fundamentales y las iniciativas de empresas en todo el mundo.

Empowerment a través de la tecnología

Gartner, la firma analista líder en el sector de empresas de TI, ha dejado muy clara la convergencia de las cuatro fuerzas, Nube, Movilidad, Datos y Social – esta convergencia está impulsando el empowerment de las personas a medida que se comunican entre sí compartiendo su información a través de soluciones tecnológicas bien diseñadas.

En la mayoría de las organizaciones no hay un esfuerzo coordinado para aprovechar los cambios organizativos que surgen de estos factores con el fin de desarrollar un enfoque integrado para el dominio de la gestión de riesgos.

La nueva posibilidad es aprovechar el cambio que se está produciendo para desarrollar nuevos programas, no sólo por la tecnología por supuesto, sino también por las personas, la metodología y los problemas del proceso.

El objetivo es proporcionar a la Alta Dirección una visión global y dinámica de la eficacia de cómo la organización gestiona los riesgos y se encuentra abierta al cambio, establecida en el contexto de los objetivos estratégicos y operativos generales.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 22 mayo, 2020
  • More

¿Son efectivas sus medidas de control y gestión de riesgo?

Una vez que haya establecido los controles para administrar los riesgos, ¿cómo sabe que están funcionando?

El análisis de datos permite examinar sus riesgos y procesos de control más de cerca, y reducir las instancias de fallas de control. Algo que su sistema ERP no puede entregar. Un paso a menudo que falta en el monitoreo de riesgos y controles es detenerse para evaluar qué funciona bien y qué no.

“Los líderes en nuestra industria aplican docenas de pruebas automatizadas a través de transacciones en cada área de proceso de negocio de manera regular para obtener información sobre el estado de su proceso”.

El análisis de datos ha transformado totalmente la evaluación de riesgos

Utilice el análisis de datos para examinar cada transacción en una población completa de datos (por ejemplo, cada actividad registrada que tuvo lugar dentro de un proceso financiero o comercial) para determinar si:

  1. La transacción cumple con los procedimientos de control establecidos.
  2. Puede haber riesgos y problemas sin un control efectivo.

Puede hacerlo probando cada transacción de varias maneras. Por ejemplo, se puede examinar un monto de pago a un proveedor para determinar que:

  • El proveedor es válido, está debidamente aprobado y no está duplicado en el archivo maestro de proveedores; no incluido en una lista de personas / entidades excluidas, o en una lista de no pago; o en una base de datos de personas expuestas políticamente.
  • El pago coincide con una factura, los registros de bienes recibidos y una orden de compra debidamente aprobada, y no ha habido intentos de eludir los controles de aprobación (por ejemplo, dividiendo los pagos en cantidades más pequeñas justo por debajo de un umbral de aprobación).
  • Los pagos no se han duplicado debido a cambios erróneos o deliberados en los detalles del número de factura.

Estos son solo algunos ejemplos, pero el análisis de datos se puede utilizar de innumerables maneras para probar una variedad de controles internos y crear una cobertura de datos del 100%. Todos estos análisis, y muchos más, se pueden configurar y ejecutar en minutos. También se pueden automatizar y repetir, diseñados para ejecutarse regularmente.

Los líderes en nuestra industria aplican docenas de pruebas automatizadas similares a través de transacciones en cada área de proceso de negocio de manera regular para obtener información sobre el estado de su proceso.

Mire grandes volúmenes de datos para encontrar tendencias extrañas o predecir el rendimiento.

Otro uso importante del análisis y monitoreo de datos es examinar todas las transacciones que tuvieron lugar dentro de un proceso comercial determinado para encontrar problemas y áreas de mejora. Sus datos pueden revelar respuestas a preguntas como:

  1. ¿Por qué los pagos de horas extras o gastos de viaje son inusualmente altos en una oficina específica?
  2. ¿Por qué a un proveedor se le paga el doble que a otros proveedores por el mismo tipo de artículo?
  3. ¿Por qué una cuenta previamente inactiva se utiliza de repente para una serie de entradas de diario?
  4. ¿Qué tendencias indican un problema que empeora constantemente?
  5. ¿Qué resulta ser un problema mucho menor de lo que se pensó originalmente?

¿Por qué no confiar solo en los controles del sistema ERP?

En un mundo ideal, todas las aplicaciones de procesos de negocios tendrían controles integrados que evitarían que se realicen transacciones incorrectas, inválidas o sospechosas. Pero esto no siempre sucede.

También es posible que no pueda configurar su ERP para que coincida con su proceso, especialmente cuando se trata de un servicio comercial compartido y puede tener varios impactos posteriores.

Cuando se realiza el análisis de datos y el monitoreo de transacciones después del hecho, es relativamente sencillo detectar dónde están ocurriendo las debilidades de control primario. Las transacciones problemáticas se pueden identificar y abordar rápidamente. Las debilidades de control que permitieron que ocurriera el problema pueden fortalecerse para evitar una recurrencia. Una gran ventaja: el análisis y la supervisión de las transacciones pueden convertirse en un nivel de control adicional, reforzando los controles que ya están implementados y compensando los controles basados ​​en ERP que no funcionan.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 12 mayo, 2020
  • More

Ley de Tercerización 18.251: Controles Automatizados

Control de empresas tercerizadas

Como consecuencia de la Ley 18.251 que actualiza la responsabilidad de las organizaciones ante el personal tercerizado, las áreas financieras, administrativas y de control ven incrementados de manera radical los riesgos y por lo tanto los controles a realizar, insumiendo una gran cantidad de recursos, tiempo y pérdidas financieras.

ACL ofrece una solución automatizada que permite a su organización la realización del control de manera rápida y eficaz gracias a su robusto sistema de procesamiento y cruzamiento de datos.

En que consiste el control?

Para realizar el control, su organización debe destinar una gran cantidad de horas de personal administrativo que básicamente realiza las siguientes tareas:

  • Determinar a partir de las marcas de horas un detalle de las horas de cada funcionario, discriminando horas extra comunes, nocturnas o especiales.
  • Comparar dichas horas con las que figuran en los recibos de sueldo
  • Verificar que todo el personal figure en la nómina de BPS, planilla de MTSS y BSE
  • Verificar que los datos en cada uno de los organismos coincidan: monto nominal, horas, fecha de ingreso, monto según laudo entre otros.
  • Reportar las excepciones encontradas y sobre ellas gestionar con cada uno de los proveedores

¡Ahora imagine que todo esto pueda hacerse en forma rápida desde un software… ACL es la solución!

Que ofrece ACL?

El software ACL a través de sus módulos permite integrar en un solo lugar la información proveniente de los distintos orígenes de datos y cruzar la misma de manera tal de generar una serie de informes que le permita mediante una sencilla interfaz web hacer seguimiento de la gestión de cada uno de los casos encontrados.

Como funciona?

Se importa a ACL los archivos proveniente de los recibos de sueldo, planilla de MTSS, marca de horas y nomina de BPS en el formato que se encuentren: PDF, EXCEL, base de datos ACCESS, SQL, SAP, ORACLE, INFORMIX, étc.

Una vez importados los registros el software cruza toda la información, detectando los casos a gestionar.

Esos casos son levantados por un módulo de gestión de resultados que permite generar alertas vía mail, informes y gráficos de manera de poder llevar los indicadores del proceso

La información quedará disponible para su gestión y seguimiento en el software ACL permitiendo luego incorporar la respuesta del proveedor a la solución e integrando todo el proceso en un solo lugar!

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 24 abril, 2020
  • More

7 Peligros de la auditoría basada en documentos

Descubra por qué la tecnología de auditoría moderna es el camino a seguir.

  1. La información en documentos u hojas de cálculo se oscurece

Cuando los datos quedan atrapados en los documentos, se convierte efectivamente en lo que se conoce como datos oscuros: imposible de buscar, referenciar, analizar, exportar, informar o acceder en dispositivos móviles. El acceso a los datos es necesario para que los equipos de auditoría brinden información valiosa y apoyen la toma de decisiones.

  1. Los documentos no protegen la integridad de los datos.

Cuando los metadatos del proceso de auditoría (es decir, marcas de verificación, notas de revisión, comentarios del auditor y, especialmente, enlaces y referencias entre documentos) se incrustan en los archivos de documentos, enfrenta un riesgo significativo de integridad de datos. Los documentos no pueden hacer cumplir la integridad referencial. Dado que varios usuarios pueden acceder a los datos, la precisión y la coherencia de esos datos pueden cambiar durante su ciclo de vida.

  1. Mantener relaciones con otra información es imposible

Los documentos no son bases de datos, no hay forma de crear y mantener relaciones entre datos en diferentes archivos. Los sistemas que dependen de una profunda integración de documentos son propensos a la pérdida de datos cuando los archivos son corrompidos, editados por usuarios dispares o movidos entre ubicaciones que rompen referencias y relaciones. Esto también causa un rendimiento lento, ya que los documentos no pueden funcionar al nivel de los sistemas basados ​​en bases de datos.

  1. Exportar y archivar fuera de los documentos es imposible

Hacer hipervínculos de información dentro y entre documentos, requiere metadatos integrados, con referencias almacenadas en el sistema de software. Dado que un enlace desde el interior de un documento a otro depende de esta referencia almacenada externamente, no solo se rompen las relaciones entre los documentos, sino que también es imposible archivar o exportar un proyecto de auditoría fuera del software sin romper esos enlaces.

  1. Auditorías continuas manualmente

Cuando la documentación de auditoría primaria se captura en documentos, es imposible (o muy peligroso) actualizar mediante programación. Cuando utiliza documentos para adelantar una auditoría, debe actualizarlos manualmente para evitar comportamientos erráticos. Esto toma tiempo valioso de su equipo.

  1. Conflictos de versiones de software y actualizaciones difíciles

A medida que se actualizan Microsoft Office u otras aplicaciones de edición de documentos y cambian los formatos de archivo, las dependencias de integración a menudo rompen la compatibilidad del software de auditoría. Esto conduce a situaciones en las que, por ejemplo, una nueva versión de Office obliga a una actualización del software de auditoría o cambia los metadatos incrustados (lo que nuevamente causa riesgos de integridad de datos). Incluso en el mejor de los casos, las actualizaciones requieren pruebas rigurosas, lo que provoca demoras prolongadas en las implementaciones de actualización.

  1. Exigencias administrativas

La creación y administración de metadatos incrustados en documentos requiere sistemas de auditoría heredados que incluyen una aplicación instalada localmente o un complemento de navegador web complejo. Debido a que están alojados individualmente en máquinas locales, estas aplicaciones crean importantes cargas administrativas para TI, incluidas implementaciones y actualizaciones de instalación de alto mantenimiento y problemas de compatibilidad.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 14 febrero, 2020
  • More

Un enfoque basado en el riesgo para la gestión de amenazas y vulnerabilidades

Las amenazas a la seguridad aumentan cada año, pero es útil adoptar un enfoque basado en el riesgo para la gestión de amenazas y vulnerabilidades. Aquí hay cinco pasos para comenzar.

Como antecedente, 2018 fue un año récord para la ciberseguridad, y no en el buen sentido. Más de 16,500 vulnerabilidades de seguridad fueron descubiertas y catalogadas en la Base de Datos de Vulnerabilidad y Exposición Común de Mitre . Este es un aumento del 12% desde 2017.

Con un crecimiento como ese, puede pensar que es imposible mantenerse por delante de ellos. Pero la automatización y un enfoque basado en el riesgo para la gestión de vulnerabilidades pueden ayudarlo a abordar este problema creciente.

Para comenzar, debe analizar su estrategia de ciberseguridad de manera integral. Pero esto es a menudo más fácil decirlo que hacerlo.

Entonces, ¿qué primeros pasos debe seguir para encaminarse hacia un enfoque de gestión de vulnerabilidades basado en el riesgo?

Comprenda la importancia de sus activos (haga un inventario)

La criticidad de los activos es el valor que asigna a los activos más vitales de la organización, incluido el hardware, el software y la información confidencial. Definir esto dirige su enfoque a monitorear y mantener los activos más importantes. Estos son los que costarán más si fallan, son robados o quedan obsoletos. Los costos se obtienen al considerar el reemplazo de activos, la pérdida de servicio / tiempo de inactividad y la responsabilidad legal. Para comprender la importancia de sus activos, el primer paso es crear un inventario de los mismos.

“Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará su puntuación y clasificaciones para delegar y asignar automáticamente tareas de corrección”.

Asigne una calificación de riesgo (cuantifique su enfoque)

Ahora que sus activos están catalogados, el siguiente paso es identificar los riesgos, o combinaciones de amenazas y vulnerabilidades, que pueden afectar sus activos. Esta no es una tarea rápida, pero vale la pena el esfuerzo. Piense en los escenarios que podrían afectar las computadoras de la organización, los dispositivos móviles, el almacenamiento y los empleados. ¿Qué tipo de incidentes no deseados pueden tener lugar? ¿Qué debilidades podrían ser explotadas?

Así es como calculará una calificación de riesgo, una puntuación que determina el impacto y la probabilidad de que cada riesgo ocurra realmente. Estos puntajes le brindan un punto de referencia, para que sepa exactamente cuándo los riesgos están más allá de los niveles aceptables, y puede tomar medidas.

 

Normalice las definiciones de seguridad y riesgo (hable el mismo idioma)

A medida que realiza un inventario de los activos y asigna sus puntajes de riesgo, es importante crear definiciones de riesgo y seguridad interna estándar. Esto se debe a que los escáneres de vulnerabilidades y otras fuentes de información sobre amenazas no registran la gravedad de manera uniforme. Algunos asignan calificaciones numéricamente (por ejemplo, 1-10), mientras que otros califican las cosas cualitativamente (“urgente” o “crítico”). Debe elegir lo que funcione para usted, en lugar de encerrarse en las definiciones de gravedad y riesgo de otra persona.

Si está utilizando un software de gestión de vulnerabilidades específico, aquí es donde ingresaría sus propias clasificaciones de riesgo y mapearía cómo interpreta un puntaje de Qualys versus un puntaje de Nexpose. Hacer esto crea un sistema de puntuación unificado que normaliza los hallazgos del escáner y estandariza los planes de corrección. También extrae los hallazgos de todas las herramientas de seguridad para crear informes y paneles precisos y oportunos.

Delegar la gestión de amenazas y vulnerabilidades (tomar medidas)

Una buena plataforma de gestión de amenazas y vulnerabilidades utilizará la puntuación y las clasificaciones para delegar automáticamente y asignar tareas de remediación a la persona o equipo correcto para manejar la amenaza.

Muchas organizaciones tienen políticas sobre la cantidad máxima de tiempo que debería tomar resolver una vulnerabilidad basada en el nivel de amenaza, por ejemplo:

  • 1-10 días para vulnerabilidades críticas
  • 30 días para vulnerabilidades de alta gravedad
  • 60 días para vulnerabilidades medias.

Pero estos plazos para la reparación son a menudo difíciles de cumplir. Una encuesta del Instituto SANS señaló que solo el 68% de los encuestados pudieron reparar, parchar o mitigar vulnerabilidades críticas en menos de un mes. Obviamente, eso no es lo ideal, porque cuanto más tiempo se demore en resolver, mayor será el riesgo. Pero al automatizar el cálculo de estas amenazas y asignar las clasificaciones de riesgo apropiadas, puede comenzar a rastrear los plazos y priorizar los flujos de trabajo.

Esta configuración y automatización optimizarán su trabajo y lo ayudarán a lidiar con las enormes cantidades de datos de vulnerabilidad que recibe diariamente. Muchas organizaciones que automatizan estos procesos ven reducciones sólidas en el tiempo que lleva realizar la gestión diaria del riesgo cibernético. Y al crear esta jerarquía, responderá a los elementos de alta prioridad más rápido.

Aprovecha al máximo tus datos

Una de las partes más importantes de todo este proceso es tener una comprensión clara de cómo analizar sus datos. Muchos profesionales de seguridad de TI se encuentran con muchos datos, pero sin poder darles utilidad. Pero como ya tiene los datos, ahora es solo cuestión de llevarlos a una plataforma de administración de amenazas y vulnerabilidades. Luego, puede completar esas primeras asignaciones para comprender la crítica.

Vale la pena trabajar la vulnerabilidad de su organización, especialmente cuando comienza a ver el ahorro de tiempo, la corrección más rápida y la reducción de riesgos y amenazas.

Brindamos soluciones de Software líderes a nivel mundial para la automatización de sus procesos de trabajo.

Más información
  • pmn
  • 24 enero, 2020
  • More