¿Cuál es la diferencia entre las normas COSO, ISO 27001 y COBIT? - Aquí la respuesta

Investigando sobre este tema, es asombroso descubrir que en el mundo de las empresas y organizaciones, se aplican controles y normas para lograr sus objetivos con eficiencia. Y tanta información tiende a confundir estos términos. En este artículo, te ayudaremos a que conozcas las diferencias entre las normas COSO, ISO 27001 y COBIT. Para que logres entender las diferencias, veremos primero sus conceptos.

COSO

Es un comité de organizaciones patrocinadoras de la comisión de normas, y sigue un modelo de control interno orientado a la organización, que abarca el ambiente y la relación de los recursos humanos en la empresa. De hecho, obedece a 5 principios:

1. Ambiente o Entorno de control. Está enfocado a las normas de conducta que deben aplicarse al personal que labora en la empresa. Sin crear distinción de jerarquías y niveles. Es decir, debes asegurarte que se incorporen los valores éticos. La responsabilidad en la revisión del sistema. Definir líneas de autoridad que garanticen la ejecución de los objetivos; punto importante para una compañía es atraer y retener el personal calificado y competente para una determinada función.
2. Evaluación de riesgos. Comprende al impacto o a la probabilidad de que una amenaza pueda afectar la ejecución de un objetivo; puede influir el entorno de la organización y la parte interna. En esta fase se evalúa el enfoque y su alcance. Un ejemplo puede ser, si las lesiones o accidentes laborales son frecuentes en el área de trabajo.
3. Actividades de control. Se refiere a procedimientos, normas, políticas que ayudan a que el personal ejecute las directrices de la gerencia. Dichas actividades asignadas deben realizarse constantemente. Pueden expresarse de forma computarizada o manual, preventivas o de detección. Su meta debe apuntar hacia los posibles riesgos, sean reales o potenciales.
4. Información y Comunicación. Genera controles generales, estos controles te aseguran que las operaciones trabajen continuamente. Esto abarca el diagnóstico y mantenimiento del hardware y software, soporte técnico. Y también te genera controles de aplicación, esta dirigido a la autorización y validación de los sistemas de manera interna.
5. Monitoreo. Evalúa los componentes del sistema para evitar que pierdan su eficiencia. Identifica si hay elementos insuficientes, débiles o innecesarios y buscar la manera de robustecerlo.

COBIT

También es un modelo de control interno, enfocado a la tecnología de la información (IT). Este control te ayudará a promover y dotar la tecnología de la información necesaria para que puedas lograr tus objetivo, esto abarca capacitación, orientar de que los recursos se manejen con responsabilidad.

ISO27001

Es una norma estándar, internacional de seguridad de la información. Para asegurar la confidencialidad y disponibilidad de la información dentro del sistema. Como también la gestión de calidad. Más información, puedes acceder a la organización de herramientas ISO.

Al estar concentrado en la tecnología de información (IT), dicha norma contempla proteger la información contra virus y códigos maliciosos; por lo que exige contar con un antivirus. En caso de que llegues a comprometer la información, la norma crea una implementación de copia de seguridad. Preferiblemente una ubicación distinta a la original.

Diferencias

Si tomas en cuenta los aspectos principales, notarás que tanto COSO como COBIT son modelos de controles internos que se aplican en la organización. COSO, según sus 5 principios está orientado a toda la estructura organizacional. Mientras que COBIT se centra en el manejo de la tecnología de la información al igual que ISO27001.

Sin embargo, lo que diferencia de estos 2 últimos es que, ISO27001 es un certificado de norma estándar, que garantiza que los procesos se lleven a cabo en su óptimo cumplimiento, para alcanzar ese nivel necesitamos COBIT, que nos va ayudar a emplear un marco de control, si se logra su cumplimiento constante, tendremos más probabilidades de optar a la certificación.

Las organizaciones que se interesan en aplicar estos modelos de controles en sus procesos internos, reportan grandes beneficios como instituciones que gozan de buena reputación, por la calidad de sus productos o servicios. Esperamos que puedas comentarnos.