Filtrar contenidos por

IDW PS 340 n.F. - La revolución del riesgo de Alyne

Implementación de los nuevos requisitos para la gestión de riesgos impulsada por la IDW PS 340 n.F. con la ayuda de Alyne. Con Alyne preparará su gestión de riesgos para cumplir los requisitos de la norma revisada IDW PS 340. Podrá aumentar la madurez de sus procesos de forma rápida y sencilla: su 1ª línea quedará impresionada por la solución intuitiva.

Con la nueva versión de IDW PS 340, se formuló una ampliación significativa de los requisitos para la gestión de riesgos en toda la empresa. Esto fue precedido de acaloradas discusiones sobre aspectos como la capacidad de asumir riesgos y la agregación de riesgos. Básicamente, se trata de discusiones sobre la metodología del sistema de gestión de riesgos y también sobre hasta qué punto y en qué fases del proceso son útiles y/o necesarios los enfoques cuantitativos.

Para muchos gestores de riesgos, estos requisitos suponen un importante ajuste de la gestión de riesgos anterior en la empresa, al que tienen que hacer frente además de las tareas cotidianas. En nuestro Libro Blanco IDW PS 340 n.F. aprenderá cómo puede implementar los requisitos de la norma de auditoría con la ayuda de Alyne Software as a Service y cómo puede poner al día su gestión de riesgos.

Descargar el Libro Blanco

Cumplimiento inteligente: El éxito de su empresa

Los procesos de cumplimiento suelen ser caros, largos y reactivos en lugar de proactivos; todo ello aparte de los elevados costes asociados al incumplimiento. Un proceso de cumplimiento inteligente es aquel que abarca un enfoque holístico integrado, aprovechando la tecnología para facilitar un proceso más ágil, haciendo que los equipos de cumplimiento sean más eficientes y eficaces con el objetivo final de generar un mayor valor para la organización.

El cumplimiento de la normativa cambia constantemente. Es un ámbito extremadamente amplio con muchos significados diferentes y requisitos en evolución. Antes, el cumplimiento normativo se limitaba principalmente al sector de los servicios financieros, pero ahora se ha convertido en una piedra angular fundamental de todas las organizaciones, independientemente del sector. Las empresas se enfrentan a una serie de reglamentos, directivas y leyes que definen su funcionamiento diario y abarcan una amplia gama de ámbitos, desde la protección de datos en el departamento de RRHH hasta los impuestos y la corrupción en el departamento financiero.

Para todas las organizaciones que aspiran a tener éxito en sus procesos de cumplimiento hay mucho en juego. Su gestión suele plantear a los equipos de cumplimiento preguntas sobre cómo integrar todas las normativas exigidas, mantener sus costes bajos y mantener programas que permitan a la organización adaptarse fácilmente a los cambios. Muchas empresas se sienten perdidas en un mar de hojas de cálculo y papeleo sin una visión de transparencia real.

A medida que el mundo se transforma y los entornos empresariales cambian, resulta cada vez más difícil ignorar la necesidad de una gestión digital del cumplimiento que pueda proporcionar eficiencia, claridad y colaboración entre las distintas funciones empresariales.

Si su organización sigue dependiendo de la gestión manual del cumplimiento normativo, lo más probable es que la información esté segmentada y que su trabajo de cumplimiento normativo no esté tan integrado como debería. Estos enfoques suelen dar lugar a puntos ciegos que impiden a los responsables de cumplimiento, en diversas funciones, trabajar juntos sin problemas. Como resultado, las empresas a menudo pasan por alto información o conocimientos clave que pueden ayudarles a trabajar para lograr el cumplimiento con menos recursos y esfuerzo.

El trabajo de cumplimiento es más eficaz cuando se abordan las normas y reglamentos por sus elementos comunes, en lugar de individualmente. Un proceso de cumplimiento inteligente es aquel que abarca un enfoque holístico integrado para gestionar el cumplimiento, vertical y horizontalmente.

En Alyne, entendemos la necesidad de simplificar, digitalizar y automatizar los procesos para minimizar las conjeturas, así como fomentar la colaboración en toda su organización; todo ello manteniendo la transparencia y la coherencia en todo su Marco de Control.

Hable con un experto para obtener más información sobre la tecnología de cumplimiento normativo de Mitratech.

Marcos de control interno y cumplimiento de los requisitos del ICFR

Para cumplir la SOX y los requisitos del ICFR, las organizaciones deben crear controles que abarquen una amplia gama de aspectos informáticos y financieros, todos ellos adaptados a su estructura organizativa única. Las organizaciones líderes señalan marcos como COBIT y COSO, e incluso una combinación de ambos, para adoptar en su búsqueda del cumplimiento de SOX e ICFR. La biblioteca de contenidos de Alyne va más allá de los controles relacionados con la TI y la seguridad de la información, y ahora incluye una amplia cobertura de los controles financieros centrados exclusivamente en la integridad financiera de una empresa.

La primera codificación de los controles contables internos se produjo hace casi cuatro décadas, espoleada por los crecientes casos de soborno y corrupción de empresas estadounidenses en 1977. Desde entonces, y de forma más notoria debido al escándalo contable de Enron y otros, los requisitos de los controles e informes financieros se han ido definiendo y aplicando poco a poco con mayor claridad. La Ley Sarbanes-Oxely (SOX) está en vigor desde 2002 para todas las empresas estadounidenses que cotizan en bolsa y las que operan en Estados Unidos, como medio de prevenir y proteger contra errores contables y prácticas fraudulentas. La Sección 404 exige la implantación de un Control Interno adecuado sobre la Información Financiera (ICFR) dentro de las empresas cotizadas para garantizar prácticas de información financiera justas de acuerdo con los Principios de Contabilidad Generalmente Aceptados (GAAP). Los auditores externos deben dar fe del diseño y la eficacia del control interno de la información financiera y de la exactitud de los estados financieros de una organización.

Aunque se menciona más arriba que los requisitos están "más claramente definidos", los requisitos reales sobre cómo lograr el cumplimiento no son tan sencillos y la SOX no es alabada por ofrecer orientaciones directas sobre la mejor manera de lograr el cumplimiento. La Ley Sarbanes-Oxley, a pesar de exigir a las organizaciones que establezcan controles internos eficaces tanto en el ámbito informático como en el financiero, no proporciona una lista de comprobación a seguir, ni hitos para medir los logros. La ambigüedad de los requisitos de la SOX ha sido ampliamente condenada debido a su naturaleza vaga, por no hablar de la falta de diferenciación entre las partes clave del proceso.

A pesar de la falta de un marco de control claramente definido por la SOX, dos de las principales organizaciones responsables de la aplicación de la SOX, la SECC y el PCAOB, sí señalan marcos comunes ampliamente aceptados, como COSO y COBIT, e incluso una combinación de ambos, para adoptar en su búsqueda del cumplimiento de la SOX y garantizar el ICFR. La combinación de marcos también puede ayudar a garantizar que todos los aspectos estén cubiertos en su lista de comprobación de cumplimiento SOX y ayudar a sus organizaciones a cumplir los requisitos ICFR, tal y como se enumeran en la Sección 404.

COSO, COBIT, SOX & ICFR

Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) - 1985

El marco COSO ofrece un enfoque de gestión del riesgo aplicado a los controles internos y articula conceptos clave que las organizaciones pueden utilizar para impedir el fraude. El marco también hace hincapié en los controles relacionados con las finanzas, diseñados para cumplir los requisitos SOX 404 de ICFR. Sin embargo, el marco no tiene plenamente en cuenta el entorno informático de la organización. Según COSO, existen tres tipos de controles internos:

  • Las que afectan al funcionamiento de una empresa
  • Las que afectan al cumplimiento de las leyes y reglamentos por parte de una empresa .
  • Los que afectan a la información financiera. (ICFR)

Objetivos de control para la tecnología de la información y afines (COBIT) - 1992

COBIT es un marco de gestión de TI desarrollado por ISACA, que proporciona un camino claro para desarrollar políticas y buenas prácticas de control de TI, ayudando a las organizaciones a alcanzar sus objetivos en el ámbito de las tecnologías de la información. El modelo COBIT permite a los gestores salvar la distancia entre los requisitos de control, las cuestiones técnicas y los riesgos empresariales.

Ley Sarbanes-Oxley (SOX) - 2002

  • Sección 404 - Control interno de la información financiera

La SOX se aplica a todas las empresas que cotizan en bolsa en Estados Unidos, así como a las filiales de su propiedad y a las empresas extranjeras que cotizan en bolsa y hacen negocios en Estados Unidos. El Informe de Controles Internos, exigido por la Sección 4 de la Ley, comúnmente conocido como SOX 404, requiere que todas las empresas aplicables dispongan de controles internos adecuados para comunicar datos financieros exactos en sus informes anuales. Más concretamente, la SOX 404 exige a las empresas que apliquen un Control Interno adecuado sobre la Información Financiera (ICFR) para garantizar que se han establecido prácticas de información financiera justas de conformidad con los Principios de Contabilidad Generalmente Aceptados (GAAP).

Cumplimiento de SOX y de los requisitos de ICFR en Alyne

En un mundo interconectado, la integridad financiera depende en gran medida de una infraestructura informática segura y que funcione correctamente. La capacidad de seguir sus finanzas requiere total transparencia y garantía de dónde y cómo fluyen sus datos. Cumplir los requisitos ICFR establecidos en SOX 404, requiere que una organización no sólo tenga controles financieros sólidos, centrados en la integridad financiera de una empresa, sino que también cubra los controles de negocio pertinentes, con temas relacionados con TI y seguridad de la información.

Cubierto dentro de Alyne:

  • Mapeo completo basado en COBIT-COSO.

  • Amplios controles relacionados con las TI y la seguridad de la información.

  • Biblioteca de controles financieros centrados exclusivamente en la integridad financiera de una empresa.

Conjunto de controles ICFR y plantilla de evaluación:

El contenido disponible en la plataforma Alyne nos ha permitido lanzar un conjunto de controles listo para usar para ICFR: Control interno sobre la información financiera (ICFR) para el cumplimiento de SOX y SOC 1.

Además del conjunto de controles, Alyne ofrece una plantilla de evaluación lista para usar con niveles de madurez preconfigurados que ayudan a las empresas a evaluar la madurez de su integridad financiera. Las autoevaluaciones periódicas ayudan a las organizaciones a revisar el cumplimiento de sus requisitos de información financiera y les ayudan a reforzar su Control Interno sobre la Información Financiera. La última capacidad de Alyne de Control Interno sobre los Informes Financieros permite una comprobación completa de la salud de su empresa, así como de su base de proveedores, tanto para el cumplimiento de SOX como de SOC 1.

Descargue nuestro último libro blanco y obtenga más información sobre SOX/SOC-in-a-Box y sobre cómo Alyne puede ayudar a su organización con los requisitos de Control Interno sobre la Información Financiera (ICFR) de la Ley Sarbanes- Oxley (SOX) de EE.UU. "Evaluación de los Controles Internos por parte de la Dirección", y el marco Sistema y Organización de Controles 1 (SOC 1), definido como "Informe sobre un Examen de Controles en una Organización de Servicios Relevantes para el Control Interno sobre la Información Financiera de las Entidades Usuarias."

 

Cumplimiento exhaustivo de HIPAA Parte 164

Aunque la HIPAA lleva en vigor más de dos décadas, el cumplimiento de la ley sigue sin ser una tarea sencilla. Muchos aún carecen de las medidas adecuadas aplicables a su organización o no están seguros de cómo cumplir todas las normas de la HIPAA establecidas en la Parte 164. La tecnología de Alyne puede facilitar este proceso, y ofrece un mapeo completo de la Parte 164 de la normativa HIPAA, que abarca las disposiciones de las Normas de Privacidad de Datos, Controles de Seguridad y Notificación de Infracciones de la HIPAA.

Cumplimiento de la HIPAA

Aunque la Health Insurance and AccountabiIity Management Act (HIPAA) se promulgó por primera vez en 1996, su cumplimiento sigue siendo a menudo una tarea ardua, que deja a muchas entidades cubiertas y asociados comerciales sin las medidas adecuadas y todavía inseguros sobre cómo cumplir todas las normas de la HIPAA establecidas en la Parte 164. La ley se diseñó para proporcionar a los consumidores un mayor acceso a los seguros sanitarios, reducir el fraude, proteger la privacidad y la seguridad de la información sanitaria y promover la eficiencia y la normalización en el sector. La normativa HIPAA se aplica a cualquier entidad cubierta que maneje datos sanitarios o relacionados con la asistencia sanitaria, incluidas las cámaras de compensación financiera, y a cualquier proveedor que utilice o transmita información sanitaria personal (PHI).

Según un informe de Research and Markets, se espera que el mercado mundial de aplicaciones móviles de salud alcance los 134.700 millones de dólares en 2027. De hecho, dos tercios de los mayores hospitales del mundo ofrecen aplicaciones móviles a sus pacientes. Con el auge de la telesalud, la necesidad de seguridad de los datos en el ámbito sanitario ha incrementado el uso y el intercambio de la historia clínica electrónica (HCE) de los pacientes.

La proliferación de las tecnologías digitales ha cambiado la forma de trabajar de muchos profesionales sanitarios. A medida que aumentaban la eficiencia y la conectividad, también lo hacían el almacenamiento y la transmisión de piezas clave de información sanitaria confidencial, lo que exigía una necesidad aún mayor de seguridad y privacidad de la información de los pacientes. La HIPAA regula la seguridad, privacidad y protección de la información sanitaria personal (PHI) en poder de las entidades cubiertas y terceros, y otorga a las personas derechos para comprender y controlar cómo se utiliza o divulga su información sanitaria.

Cobertura exhaustiva de Alyne sobre HIPAA Parte 164

Cuando trabajan para lograr el cumplimiento de la HIPAA, las empresas suelen centrarse exclusivamente en la § 164 Subparte C (Normas de seguridad). Técnicamente, para garantizar el pleno cumplimiento de la HIPAA, las Entidades Cubiertas deberán aplicar también las normas establecidas en la § 164 Subparte D (Notificación de Infracciones) y en la § 164 Subparte E (Aspectos de Privacidad).

La cobertura de Alyne de la HIPAA se centra principalmente en la Parte 164 de la normativa, que abarca las normas de seguridad y privacidad de la HIPAA. La Regla de Privacidad de la HIPAA (Subparte E) se centra en los usos y divulgaciones permitidos y prohibidos de la Información Médica Personal (PHI) y la Información de Identificación Personal (PII), junto con los derechos de los interesados. Además, la Regla de Seguridad (Subparte C) es la norma de seguridad para la protección de la PHI, y define los requisitos técnicos y no técnicos para salvaguardar la información sanitaria.

 

Normas de confidencialidad de la HIPAA

La Regla de Privacidad de la HIPAA (Parte 164 Subparte E) se centra en los numerosos usos y divulgaciones de la Información Médica Personal (PHI) y la Información Personalmente Identificable (PII) con derechos de los interesados. Esto incluye los historiales médicos y otra información sanitaria personal, y se aplica a los planes de salud, los centros de intercambio de información sanitaria y los proveedores de asistencia sanitaria que realizan determinadas transacciones sanitarias por vía electrónica.

Normas de seguridad de la HIPAA

La Regla de Seguridad de la HIPAA (Parte 164 Subparte C) es la norma de seguridad para la protección de la PHI electrónica (e-PHI). Este conjunto de normas garantiza la existencia de salvaguardias técnicas y no técnicas (que incluyen las administrativas y físicas) para asegurar que la e-PHI se transmite y maneja de forma segura y responsable.

Norma de notificación de infracciones de la HIPAA

La Norma de Notificación de Infracciones de la HIPAA (Parte 164 Subparte D) exige que las Entidades Cubiertas y sus Asociados Comerciales notifiquen a las personas afectadas y a los medios de comunicación una infracción de la PHI no segura. Dependiendo de su gravedad, si la violación de datos afecta a 500 o más personas, el Secretario de Salud y Servicios Humanos tiene que ser informado a más tardar 60 días después de la violación.

La tecnología puede ser un gran facilitador para ayudar a simplificar los requisitos, proporcionar una mayor transparencia de los riesgos, educar y formar a los empleados, e incluso actuar como una fuente centralizada de datos, aliviando la presión del proceso de auditoría. ¿Está interesado en saber más sobre las capacidades de Alyne y su exhaustivo mapeo de la Parte 164 de la normativa HIPAA?

Descargue aquí el informe sobre la HIPAA o hable con un experto para obtener más información. https://mitratech.com/schedule-demo/.

Estamos aquí para ayudar

Póngase en contacto con nosotros y responderemos a cualquier pregunta sobre cómo Mitratech apoya su éxito.

Póngase en contacto con nosotros