ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA




ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Normas de control interno COSO       
Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes  realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,  que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados.

Descripción de la metodología

La presente metodología está estructurada en tres secciones principales:
a)    La organización del proyecto
b)    Las fases para el desarrollo de sistemas de información
c)    La evolución de los sistemas de información

En la primera de estas secciones se hace referencia a las funciones y responsabilidades de cada uno de los involucrados en el desarrollo del proyecto. Además se presentan las cualidades que deben presentar quienes asuman las funciones de Patrocinadores de Proyecto, Líderes de Proyecto y Líderes Técnicos de Proyecto.
En la segunda sección de la presente metodología se presenta la guía a seguir por los Líderes Técnicos de Proyectos, Analistas y Usuarios en la realización de las distintas fases que conlleva el desarrollo de un sistema de información automatizado.


En la tercera sección se especifican los aspectos principales para la evolución de las aplicaciones en producción considerando para esto el manejo de los nuevos requerimientos de la misma manera en que fue construido el sistema; es decir, fases semejantes.
Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

Objetivo: Definir la guía metodológica para desarrollo de sistemas de información, que será aplicada en todos los proyectos a elaborar en esta Unidad de Sistemas y Tecnología de Información.

Objetivos específicos: Los objetivos específicos de la presente Guía Metodológica son los siguientes:

  1. Establecer claramente las fases y actividades a realizar en los proyectos de desarrollo de sistemas de información en la Contraloría General de la República.

  1. Señalar las funciones de los roles involucrados en el proceso de construcción e implementación de sistemas de información en la Contraloría General de la República.

  1. Definir un marco de referencia común entre todos los proyectos de desarrollo de sistemas para uniformar técnicas y métodos de trabajo.

Alcances: El desarrollo del presente documento está orientado a citar y describir brevemente las actividades a realizar para el desarrollo de sistemas de información sin entrar en detalles específicos de forma en cuanto a la confección de documentos y entregables de cada una de las etapas ya que estos aspectos deben formar parte del “Manual de Estándares para el Desarrollo de Sistemas de Información”

Esta guía metodológica es para uso obligatorio de todos los funcionarios que participen en el desarrollo de sistemas de información de esta Contraloría General de la república; por esto, no se profundiza en aspectos técnicos específicos de la construcción de “software” como reglas para el diseño de bases de datos, técnicas de afinamiento de sistemas y mecanismos para el desarrollo y reutilización de componentes, entre otros, para permitir que lo establecido en esta Guía Metodológica pueda ser consultado por cualquier funcionario de esta Contraloría General.



Se omite hacer referencia a herramientas para el desarrollo de “software”, modelado de bases de datos, confección y actualización de cronogramas así como motores de bases de datos, plataformas operativas, protocolos de comunicación, arquitectura de sistemas y especificaciones de equipos, entre otros, para que lo establecido en esta Guía Metodológica no pierda vigencia como consecuencia del constante avance que presenta el mercado en estos aspectos. El documento está orientado, básicamente, a describir lo que se debe hacer sin establecer cómo ni con cuál o cuáles herramientas.

Adicionalmente, no se establecen los procedimientos internos de la USTI para aspectos como administración de ambientes, procedimiento para el manejo de versiones y programas fuente, y procedimientos operativos de los sistemas ya que estos aspectos corresponden a otras áreas de la organización de esta Unidad y a su distribución de funciones.

Definición de roles: En el desarrollo del presente documento se hace referencia a varias funciones y responsabilidades que se describen a continuación:

  • Comité Gerencial de Informática: por delegación del Sr. Contralor es el máximo ente en lo referente a las directrices y lineamientos a seguir en la planificación y dirección de los procesos de desarrollo tecnológico. Está conformado por un representante del Despacho del Contralor, los Gerentes de División, Gerente del Área Administrativa, Jefe de Auditoria Interna como asesor del Comité y el Jefe la USTI. Este Comité reporta al Sr. Contralor.
  • Patrocinador del proyecto: es el máximo jerarca o en quien éste delegue, de la Unidad Organizacional para la cual se va a desarrollar el sistema de información.
  • Líder del proyecto: es un funcionario con gran conocimiento de su área funcional, aspecto por el cual se le ha conferido la capacidad de tomar decisiones y la responsabilidad de participar activamente; vela tanto por los mejores intereses de su área como por los de la Contraloría General de la República en un proyecto de desarrollo de sistemas. En casos justificados la dirección puede ser asumida por un representante de la USTI.
  • Líder Técnico del proyecto: éste es un funcionario al cual, por su formación en el área de informática, experiencia y capacidad, se la ha conferido la responsabilidad de administrar los aspectos tecnológicos de un proyecto de desarrollo de sistemas. Puede asumir la dirección del proyecto en casos justificados.
  • Coordinador de proyectos: es el funcionario designado por la USTI para velar por la  adecuada ejecución de todos los proyectos de desarrollo de sistemas observando aspectos como integración, calidad, logro de objetivos y eficiencia en los diseños y desarrollo de las soluciones.
  • Analista de sistemas: es el recurso profesional en informática (funcionario o no de la Contraloría General de la República) que trabaja bajo la coordinación y dirección del Líder Técnico del proyecto para la realización del sistema cuyas actividades principales son la construcción de los programas, capacitación de usuarios, documentación y apoyo de los usuarios en la puesta en operación del sistema.



  • Programador de sistemas: es el recurso profesional en informática (funcionario o no de la Contraloría General de la República) que trabaja bajo la coordinación y dirección del Líder Técnico del proyecto para la realización del sistema cuyas actividades principales son la construcción de los programas, pruebas y documentación de los programas.

  • Usuario de sistemas: se considera a todo aquel individuo (funcionario o no de la Contraloría General de la República) que tenga acceso autorizado al Sistema de Información, o que se beneficie del mismo. Existen dos tipos de usuarios: usuario generador de información y usuario de consulta.

En la aplicación de la presente metodología es posible que el mismo funcionario desempeñe más de un rol en el desarrollo del proyecto, especialmente si el funcionario pertenece a la Unidad de Sistemas y Tecnología de Información pero siempre se debe contar con el apoyo de la contraparte correspondiente a los usuarios del sistema.
La aplicación de las actividades señaladas en la presente Guía Metodológica es de cumplimiento obligatorio para todos los funcionarios de esta Contraloría General que participen en el desarrollo de sistemas de información de acuerdo a los roles que estén desempeñando.

Actualización de la Guía Metodológica: Dado el ritmo acelerado que impone el entorno tecnológico se establece la necesidad de realizar periódicamente las revisiones y los ajustes que corresponda a esta Guía Metodológica. El responsable de esta actualización será la Unidad de Sistemas y Tecnologías de Información, quien podrá pedir el apoyo y la asesoría de otros funcionarios de La Contraloría General de la República.

Esta Unidad adicionalmente deberá considerar las solicitudes de modificación expresas hechas por Líderes de Proyectos, cuyas experiencias previas de aplicación de la guía metodológica y sus respectivas “lecciones aprendidas” realizan aportes importantes para el fortalecimiento de este instrumento de trabajo.
Una vez hechos los ajustes correspondientes, los puntos modificados o agregados deberán ser sometidos a consideración del Comité Gerencial de Informática para, luego de su recomendación, proceder a la publicación y divulgación respectiva.
Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática.
Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización.


El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Para fines de orden mostramos los Organismos de Normalización de auditoria de sistemas de información: Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR.
A continuación una serie de estándares generales que guían el desarrollo de proyectos de SI:
 A. Directrices Gerenciales de COBIT, desarrollado por la Información Sistemas Auditoria y Control Asociación (ISACA): Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.
B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA): Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar.
C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO): La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.
D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA: Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos.
Información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).

E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI): Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT.
 F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB): Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.
G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellón: Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones.

ESTÁNDARES ESPECIFICOS
 1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas
2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc.  Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez)  Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software.
3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores,

gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software.
4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran. TENDENCIAS DE LOS ESTÁNDARES Y DE LAS MEJORES PRÁCTICAS. Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones. Se ha visto que existen procesos de evolución como a continuación se menciona: Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de software comercial. Evolución de estándares de software militar. 
ESTÁNDARES DE AUDITORÍA DE SISTEMAS
Definen los requerimientos obligatorios para la auditoría de sistemas y la generación de informes. Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el “Garantizar la Seguridad de los Sistemas”. Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001
El objetivo de los Estándares de Auditoría es informar:
Informar a los auditores de sistemas el mínimo nivel aceptado para resolver las responsabilidades profesionales precisadas en el código de ética profesional de ISACA para auditores de sistemas de información.
 A las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes a quienes la practican. Proveer información sobre el cómo cumplir con los estándares de la Auditoría de Sistemas.


NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza  especializada de la auditoría de los sistemas de in formación y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los

sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

OBJETIVOS
Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento  aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética  y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen.
Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas  La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de auditoría  de los sistemas de información se documentarán de la manera apropiada en un título de auditoría  o carta de contratación.
Independencia: Independencia profesional  En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas de información deberá  ser independiente de la organización auditada tanto en actitud como en apariencia.



La función de auditoría de los sistemas de información deberá ser lo suficientemente independiente del área que se está auditando para permitir completar de manera objetiva la auditoría.
Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información.
Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor.
Planificación: Planificación de la auditoría  El auditor de sistemas de información deberá planificar el trabajo de auditoría de los sistemas de  información para satisfacer los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional.
Ejecución del trabajo de auditoría: Supervisión  El personal de auditoría de los sistemas de información debe recibir la supervisión apropiada para  proporcionar la garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las  normas aplicables de auditoría profesional.
Informes: Contenido y formato de los informes En el momento de completar el trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance, los objetivos, el período de cobertura y la naturaleza y  amplitud del trabajo de auditoría realizado.
Actividades de seguimiento: Seguimiento El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones es relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna
ORGANISMOS Y ESTÁNDARES INTERNACIONALES DE LA AUDITORÍA DE SISTEMAS
             Los organismos internacionales que se ocupan del control y de la auditoria de SI son fuente de fuente de estándares:  La regulación de las mejores prácticas de Auditoria en informática como administrar los riesgos en tecnología Informática, la auditoria en base a los organismos nacionales e internacionales.



  •      Institute of System and Association, ISACA.
             La Information System Audit and Control Association -Asociación de Auditoria y Control de Sistemas de Información- ISACA, comenzó en 1967. En 1969, el grupo se formalizo, incorporándose bajo el nombre de EDP Auditors Association -Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.
  •      Certified Information Security Auditor, CISA.
            La Asociación de Auditores y Control de Sistemas de Información (ISACA), provee una Certificación de Auditores en Sistemas de Información (CISA); por medio de un examen anual que realiza el Instituto a los candidatos, el Cual cubre el conocimiento de actividades requeridas para la función de Auditoria en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los Candidatos.
  •      CertifiedInformation Security Manager, CISM
            También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.
  •      Institute of InternalAuditors, IIA
            El Intitute of InternalAuditors (IIA), -organización Profesional con sede en los Estados Unidos, con mas de 70.000 miembros en todo el mundo y años de existencia- anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes. El IIA es reconocido mundialmente como una autoridad, pues es el principal educador y líder en la certificación, la investigación y la guía tecnológica en la profesión de la auditoria interna.


  •     CertifiedInternal Auditor, CIA
             El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios.  Contar con profesionales certificados en auditoria interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos.

     ESTÁNDARES O NORMAS INTERNACIONALES
A continuación se enuncian algunas de las Normas que el Auditor de Sistemas de información debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de información debe estar preparado para justificar cualquier incumplimiento a estas. Normas Internacionales de Auditoría
 Emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoria o International StandardsonAuditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras técnicas además de las manuales.
   Norma ISA 401, sobre Sistemas de Información por Computadora. SAS No. 94 (TheEffect of InformationTechnology on the Auditor’s Consideration of Internal Control in a Financial Statementaudit) dice que en una organización que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitorio además de la forma en que se inicializan, registran, procesan y reporta las transacciones. 
  La norma SAP 1009 (Statement of AuditingPractice) denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoria Asistidas por Computador, plantea la importancia del uso de CAAT en auditorias en un entorno de sistemas de información por computadora.
     
     ISO 9000 es un conjunto de normas sobre calidad y gestión de calidad, establecidas por la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo de organización o actividad orientada a la producción de bienes o servicios. Las normas recogen

tanto el contenido mínimo como las guías y herramientas específicas de implantación como los métodos de auditoría. El ISO 9000 especifica la manera en que una organización opera sus estándares de calidad, tiempos de entrega y niveles de servicio. Existen más de 20 elementos en los estándares de esta ISO que se relacionan con la manera en que los sistemas operan.
Esta actualización incluye 17 estándares que se estructuraron para incluir la correcta definición de términos clave, ofrecer mayor claridad y alinearse con otros organismos globales de auditoría. Están divididos en tres categorías:
  • Estándares generales (serie 1000) – Estos estándares se enfocan en los principios rectores bajo los cuales opera la profesión de aseguramiento de SI. Estos principios se aplican al rumbo de todas las designaciones e incluyen temas como ética, independencia, objetividad, diligencia, conocimiento, competencia y habilidades.
  • Estándares de desempeño (serie 1200) — Se ocupan de la dirección del proyecto, etapas como la planeación y supervisión. Aspectos como el riesgo y materialidad, movilización de recursos, supervisión y administración de las asignaciones, evidencia de la auditoría y el aseguramiento así como el ejercicio de una apropiada y efectiva evaluación profesional.
  • Estándares de reporteo (serie 1400) —Estos estándares abordan los tipos de reportes, medios de comunicación y la información difundida.
Los Estándares de Auditoria y Aseguramiento de SI se incluyen en el texto ITAFTM: Un Marco de Prácticas Profesionales para la Auditoria/Aseguramiento de SI, 2ª Edición, que ofrece una
sola fuente en la cual los profesionales de la auditoria y el aseguramiento de SI pueden encontrar el Código de Ética Profesional de ISACA, estándares y lineamientos, así como referencias a herramientas y técnicas, como los programas de auditoría y aseguramiento, libros y reportes para apoyar su trabajo. ITAF está disponible para descargarse sin costo en www.isaca.org/itaf.
“La economía global crea una interconexión cada vez mayor entre las organizaciones y sus sistemas de información. La sensibilidad y valor de los datos reunidos y procesados por estos sistemas – y las amenazas constantes que enfrentan – hacen al rol de los profesionales de la auditoría y aseguramiento de SI más importantes que nunca”, señaló Ron Franke, CISA, CRISC, CIA, CFE, CICA, director, servicios de aseguramiento de TI, de Myers y Stauffer LC, y miembro del Comité de Estándares Profesionales y Gestión de Carrera de ISACA. “Los estándares mundialmente reconocidos de ISACA ofrecen una base para ayudar a asegurarse de que se puede confiar en la información y en los sistemas. Los estándares siguen soportando la prueba del tiempo y son cruciales para ayudarnos a satisfacer las necesidades de aseguramiento de los sistemas de información de la administración y del público. Era el momento indicado para actualizar los estándares y asegurar su valor continuo para las empresas y hacerlos aún más accesibles para la comunidad global del aseguramiento” finalizó.

Comentarios

Publicar un comentario

Entradas populares de este blog

SOFTWARE DE AUDITORIA

Imagen
SOFTWARE DE AUDITORIA El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo. Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería. El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtene
Leer más

INFORME COSO

Imagen
INFORME COSO Es un sistema que permite implementar el control interno en cualquier tipo de entidad u organización. Sus siglas se refieren al Comité De Organizaciones Patrocinadoras De La Comisión De Normas. (Committee of Sponsoring Organizations of The Treadway Commission), quienes evaluaron y llegaron a la conclusión que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar los posibles fraudes o errores que pudieren surgir. La evolución a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del año 1992, en cuyo año se denominó Marco del Control Interno (COSO I), para el año 2004 se da a conocer la mejora en el Sistema de COSO I con el Marco Integral de Riesgos (COSO II ERM), y para el año 2006 se da a conocer el Sistema de COSO III para pequeñas y medianas empresas. Para facilitar a las empresas a evaluar y mejorar
Leer más