2.2 Normas actuales  emergentes aplicadas a la auditoria informática

2.2 Normas actuales emergentes aplicadas a la auditoria informática informática CISA

Cert Certifi ified ed Inform Informat atio ionn Syste Systems ms Audit uditor or (CISA (CISA)) es un unaa cert certif ific icac ació iónn para para audi audito tore ress respaldada por la Asociación de Control y Auditoría de Sistemas de Información (ISACA) (Information Systems Audit and Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA. La certificación CISA fue establecida en 197! debido a las siguientes ra"ones#

Desarro Desa rroll llar ar y mant manten ener er una una herra herrami mien enta ta que que pu pueda eda ser ser util utili iad adaa para para e!alu e!aluar ar las las competencias de los indi!iduos al realiar auditorías de sistemas. "ro!eer una herramienta moti!acional para los auditores de sistemas de información para mantener sus habilidades# y monitoriar la efecti!idad de los pro$ramas de mantenimiento. "ro!eer criterios de ayudar y $estión en la selección de personal y desarrolladores. %l primer e&amen se lle!ó a cabo en ''# y los re$istros han crecido cada a*o. %n la actualidad# el e&amen es ofrecido en '' idiomas y m+s de ,-- lu$ares de todo el mundo. %n ,--# la ISACA anunció anunció que el e&amen se ofrecer+ en /unio y diciembre# y que empearía empearía en ,--. Anteriormente# el e&amen sólo había sido administrado anualmente# en /unio. 0+s de - mil candidatos han conse$uido el certificado CISA. La certificación CISA es aprobada formalmente por el Departamento de Defensa de los %stados 1nidos en la cate$oría de Ase$uramiento Ase$uramiento de Información Información 23cnica (DoD 4-.-'5 0). Certified Information Systems Auditor (CISA). %s una certificación para auditores respaldada por la Asociación de Control y Auditoría de Sistemas Sistemas de Información Información (ISACA) (ISACA) (Information (Information Systems Audit and Control Associati Association). on). Los candidatos deben cumplir con los requisitos establecidos por la ISACA. $e%uisitos • •

%&amen de acuerdo con el Códi$o "rofesional de 6tica de ISACA. Cinco a*os de e&periencia en auditoría de sistemas# control interno y se$uridad inform+tica y tener un pro$rama de educación continua.

&eneficios

%l e&amen consiste de ,-- pre$untas de opción m7ltiple que deben ser contestadas en 8 horas. 9arantiar que las pr+cticas de administración para el desarrollo:adquisición# pruebas# implementación# mantenimiento y eliminación de acti!os inform+ticos cubren los ob/eti!os de la or$aniación.

Ase$urar la entre$a de los ni!eles de ser!icio requeridos para cumplir los ob/eti!os de la or$aniación. C'&I( (;b/eti!os de Control para

2ecnolo$ía de Información y 2ecnolo$ías relacionadas)

C;inculando tecnolo$ía inform+tica y pr+cticas de control. &eneficios de Cobit • •

•

•

0antener la información de alta calidad para apoyar las decisiones de ne$ocio. Lo$rar los ob/eti!os estrat3$icos y obtener los beneficios de ne$ocio a tra!3s del uso efecti!o e inno!ador de 2I. Lo$rar la e&celencia operati!a a tra!3s de la aplicación efica y fiable de la tecnolo$ía. 0antener ries$os relacionados con 2I a un ni!el aceptable.

C'&I( se di)ide en tres ni)eles# *ominios# A$rupación natural de procesos# normalmente corresponden a un dominio o una

responsabilidad or$aniacional. +rocesos# Con/untos o series de acti!idades unidas con delimitación o cortes de control. Acti)idades# Acciones requeridas para lo$rar un resultado medible. Se definen ?8 ob/eti!os de control $enerales# uno para cada uno de los procesos de las 2I. C'S'

AIC"A C;S; (Comit3 de ;r$aniaciones "atrocinadoras de la Comisión de normas). %s un esfuero por redefinir el concepto de control interno utiliado por auditores internos y e&ternos# e inter!inieron di!ersas or$aniaciones# entre las que se destacan el AIC"A# (Asociación interamericana de C"A# el AAA Asociación Americana de Auditores y el IIA# Instituto de Auditores Internos. Se desarrolla en cinco e/es principales@ '. ,. ?. 8. .

Ambiente de control %!aluación de ries$os Acti!idades de control Información y comunicación Super!isión y se$uimiento

,enta-as de C'S'

"ermite a la dirección de la empresa poseer una !isión $lobal del ries$o y accionar los  planes para su correcta $estión. Alinea los ob/eti!os del $rupo con los ob/eti!os de las diferentes unidades de ne$ocio# así como los ries$os asumidos y los controles puestos en acción. IAC#

La misión de la ederación Internacional de Contadores (International ederation of  Accountants :IAC) es ser!ir al inter3s p7blico# fortalecer la profesión contable en todo el mundo y contribuir al desarrollo de economías internacionales# estableciendo normas  profesionales de alta calidad# fomentando su cumplimiento# fa!oreciendo su con!er$encia internacional# y manifest+ndose sobre aquellos temas de inter3s p7blico para los que la e&periencia de la profesión sea m+s rele!ante. %l Conse/o de Bormas Internacionales de ormación en Contaduría (International Accountin$ %ducation Standards
%stablecido en '8'# el Instituto de internos Cuentas (IIA) es un ór$ano de orientación de fi/ación. Sir!iendo a '-.--- miembros en casi '- países# el IIA es el interno de auditoría !o de profesión $lobal# abo$ado /efe# autoridad reconocida# y principal educador# con sede mundial en Altamonte Sprin$s# la.# %stados 1nidos. La misión declarada de %l Instituto de Auditores Internos es proporcionar lidera$o din+mico para la profesión $lobal de auditoría interna. %sto incluye@ Apoyar y promo!er el !alor de que los profesionales de auditoría interna se suman a sus or$aniaciones "roporcionar oportunidades inte$rales de educación y desarrollo  profesional otras normas y pautas pr+cticas profesionales y pro$ramas de certificación Al in!esti$ar# difundir y promo!er a los profesionales e interesados los conocimientos relati!os a la auditoría interna y su papel apropiado en el control # la $estión de ries$os # y la $obernabilidad %ducar a los profesionales y otras audiencias pertinentes sobre las me/ores pr+cticas en la auditoría interna Eeunir a los auditores internos de todos los países  para compartir información y e&periencias.

ISACA#

ISACA

es el acrónimo de Information Systems Audit and Control   Association (Asociación de Auditoría y Control de Sistemas de Información)# una asociación internacional que apoya y patrocina el desarrollo de metodolo$ías y certificaciones para la realiación de acti!idades auditoría y control en sistemas de información. ISACA actualmente atiende a unos .--- electores (miembros y profesionales con certificaciones ISACA) en unos '=- países. Los car$os de los miembros son tales como auditor# consultor# educador# profesional de se$uridad# re$ulador# director e/ecuti!o de información y auditor interno. 2raba/an en casi todas las cate$orías de la industria. Fay una red de capítulos de ISACA con '4- capítulos establecidos en '=- países. Los capítulos proporcionan educación y formación constante# recursos compartidos#  promoción# creación de redes y otros beneficios. AIC+A#

undado en '4# el Instituto Americano de Contadores +/blicos Certificados 0AIC+A es la or$aniación profesional nacional de Contadores "7blicos Autoriados (C"A) en el %stados 1nidos # con m+s de ?8.--- miembros en ', países en los ne$ocios y la industria# la pr+ctica p7blica# $obierno# educación # estudiantes afiliados y asociados internacionales. G'H %n 3l se establecen las normas 3ticas de los est+ndares de la  profesión y los %stados 1nidos de auditoría para las auditorías de las empresas pri!adas# or$aniaciones no lucrati!as# federal# estatal y los $obiernos locales. 2ambi3n desarrolla y las calificaciones del e&amen uniforme de C"A . %l AIC"A tiene oficinas en la ciudad de  Bue!a orJ  Kashin$ton# DC  Durham# Carolina del Borte  y %in$# Bue!a Mersey .G,H %l AIC"A celebra el ', ani!ersario de su fundación en ,-',. undación del AIC"A estableció la contabilidad como profesión distin$uida por requisitos educati!os ri$urosos# un alto ni!el profesional# un estricto códi$o de 3tica profesional# y un compromiso para ser!ir al inter3s p7blico. isión.5

La misión del AIC"A es proporcionar a los miembros con los recursos# la información y el lidera$o que les permitan prestar ser!icios !aliosos en la m+s alta de manera profesional en beneficio de los p7blicos# los empleadores y clientes. %n el cumplimiento de su misión# el AIC"A traba/a con or$aniaciones estatales C"A y da  prioridad a aquellas +reas en las que la confiana p7blica en las habilidades de C"A es m+s si$nificati!o.

IAI#

%l Instituto 0e&icano de Auditores Internos# A.C. (I0AI) le$almente constituido en '8# es un foro abierto a la capacitación y a la in!esti$ación en las +reas de Auditoría Interna y Control. La necesidad de contar con recursos humanos calificados en Auditoría interna y en Control# constituye el mayor reto para nuestro Instituto# que se ha propuesto difundir las t3cnicas m+s a!anadas en esas +reas. Al transcurso de estos a*os# el I0AI ha sido el medio a tra!3s del cual los profesionales de la auditoría interna han permanecido actualiados en sus conocimientos para cumplir de me/or manera con las responsabilidades que tienen encomendadas en los diferentes sectores de la industria# el comercio y los ser!icios# tanto en el sector p7blico como pri!ado y social. 'b-eti)os.3 %l

propósito primordial del Instituto es la superación profesional de sus miembros# mediante lo si$uiente@ • •

•

•

•

•

%l me/oramiento de la pr+ctica "rofesional de la Auditoría Interna. Desarrollar y mantener la unión y cooperación efecti!a entre los profesionales de la Auditoría Interna. "romo!er la difusión de las normas de actuación profesional a tra!3s de las cuales los auditores internos puedan medir y re$ular su propio desempe*o y las or$aniaciones puedan esperar ser!icios de calidad. "ropu$nar la unificación de criterios y entendimiento por parte de sus asociados de las normas y principios b+sicos de actuación y 3tica profesional. %stablecer y mantener el presti$io de la Auditoría Interna a tra!3s de la in!esti$ación y la di!ul$ación de conocimientos t3cnicos de enfoques conceptuales relati!os al e/ercicio profesional de esta disciplina y materias afines. %stablecer y mantener !ínculos con otros or$anismos profesionales o docentes y entidades p7blicas o pri!adas# para identificación y desarrollo de aspectos que  permitan ele!ar la calidad de la pr+ctica de la Auditoría Interna y el Control en $eneral# dentro de las or$aniaciones.

IAAS&

%l Conse/o de Bormas Internacionales de Auditoría y Ase$uramiento (IAAS<) es un or$anismo emisor de normas independiente que sir!e al inter3s p7blico mediante el establecimiento de normas internacionales de alta calidad para la auditoría# el control de calidad# la re!isión# el ase$uramiento y otros ser!icios relacionados# así como el apoyo a la con!er$encia de las normas nacionales e internacionales. De esta forma# el IAAS< me/ora la calidad y la uniformidad de las acti!idades en todo el mundo# y fortalece la confiana  p7blica en la profesión de auditoría y ase$uramiento mundial. La Estrategia y Programa de Trabajo 2009-2011 establece la dirección y las prioridades de sus acti!idades. Los esfueros del IAAS< actualmente est+n centrados en los si$uientes  puntos@

•

•

•

•

•

Desarrollar normas para auditoría# control de calidad# re!isión# ase$uramiento y otros encar$os de ser!icios relacionados Super!isar y facilitar la adopción y puesta en pr+ctica de estas normas esto incluye una serie de 0ódulos ISA# cada uno de los cuales consiste en un bre!e !ídeo y unas diapositi!as que e&plican los principios b+sicos y los cambios fundamentales de al$unas ISA nue!as y re!isadas y Actuar ante las dudas relati!as a la puesta en pr+ctica de las normas realiando acti!idades dise*adas para me/orar la uniformidad con la que se aplican en la  pr+ctica. %l IAAS< si$ue un ri$uroso procedimiento para el desarrollo de sus declaraciones. Se reciben opiniones de un amplio abanico de partes interesadas# incluido el 9rupo Consulti!o del IAAS<# los or$anismos emisores de normas de auditoría nacionales# los or$anismos miembros de IAC y sus miembros# or$anismos re$uladores y de super!isión# compa*ías# a$encias $ubernamentales# in!ersores# preparadores y el  p7blico $eneral.
I(IL#

La &iblioteca de Infraestructura de (ecnolog4as de Información# frecuentemente abre!iada I(IL (del in$l3s Information Technology Infrastructure Library)# es un con/unto de conceptos y pr+cticas para la $estión de ser!icios de tecnolo$ías de la información# el desarrollo de tecnolo$ías de la información y las operaciones relacionadas con la misma en $eneral. I2IL da descripciones detalladas de un e&tenso con/unto de procedimientos de $estión ideados para ayudar a las or$aniaciones a lo$rar calidad y eficiencia en las operaciones de 2I. %stos procedimientos son independientes del pro!eedor y han sido desarrollados para ser!ir como $uía que abarque toda infraestructura# desarrollo y operaciones de 2I. La biblioteca de infraestructura de 2I (I2IL) toma este nombre por tener su ori$en en un con/unto de libros# cada uno dedicado a una práctica específica dentro de la $estión de 2I.

2ras la publicación inicial de estos libros# su n7mero creció r+pidamente (dentro la !ersión ') hasta unos ?- libros. "ara hacer a I2IL m+s accesible (y menos costosa) a aquellos que deseen e&plorarla# uno de los ob/eti!os del proyecto de actualiación I2IL !ersión , fue a$rupar los libros se$7n unos con/untos ló$icos destinados a tratar los procesos de administración que cada uno cubre. De esta forma# di!ersos aspectos de los sistemas de 2IC# de las aplicaciones y del ser!icio se presentan en con/untos tem+ticos. Actualmente e&iste la nue!a !ersión I2IL !? que fue publicada en mayo de ,--4. CAA(#

%n esta parte del capitulo se habla específicamente de las CAA2 que serían m+s 7tiles dentro de la Subcontraloría de Auditoría para el desarrollo de sus acti!idades# para lo cual se comparar+n las si$uientes herramientas@ Auto Audit (9rupo Nopan2ech)# KorJin$ "apers (9rupo Cynthus) y Delos (9rupo Cynthus). %n base a la e&periencia en la implantación de herramientas (softare y hardare) que ayuden a la automatiación de procesos y:o información se determina que pueden e&istir  al$unos ries$os y m+s si la herramienta es implementada en un +rea nue!a como es el caso de la F. C+mara de Diputados# en la implementación de un +rea de auditoría inform+tica# a continuación se mencionan los ries$os que pueden e&istir en la implementación de una herramienta que ayude a la automatiación de las tareas del +rea de auditoría inform+tica. $iesgos de implantación de la 5erramienta al análisis para la implantación de la 5erramienta. Costo mu6 ele)ado.

Consecuencias

0al funcionamiento de la herramienta

Implantar una herramienta m+s barata que no cumpla con los requisitos necesarios para ayudar a automatiar  los procesos del +rea de auditoría inform+tica. ala selección de la Implantar una herramienta que no ayude a automatiar  los procesos del +rea de auditoría Inform+tica. 5erramienta. ala capacitación en el uso 0ala e&plotación de la herramienta. de la 5erramienta. Los procesos 6 el flu-o de traba-o no están bien definidos. Ar%uitectura tecnológica no soportada por la 5erramienta. Sobre automati"ación de los procesos.

0ala implantación de la herramienta# así como un mal funcionamiento de la misma. 0al funcionamiento de la herramienta# caídas de sistema# perdido de información# poca disponibilidad de la herramienta. Oue no se conoca cómo realiar los procesos en caso de que falle el sistema# detección retardada de fallas.