NORMATIVIDAD APLICADA A LA

AUDITORA INFORMTICA

NORMATIVIDAD CISA Y COBIT

JORGE MNDEZ DELGADO

AUDITORA INFORMTICA
Alberto Valverde Lopez

Normatividad CISA Y COBIT

Principios y Reglas de Auditoria
Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de
stas los medios y las acciones de investigacin que se consideren necesarios y
suficientes. La auditora informtica slo tiene sentido si se define su finalidad:
examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin,
verificacin de la aplicacin, etc. La finalidad est en emitir un juicio sobre el
mangement
del
sistema
de
informaciones.
Regla: La auditora informtica consiste en comparar uno o varios actos de
management, desde uno o varios puntos de vista, con los que deberan ser.
La auditora informtica siempre llegar a una conclusin cuando los medios
asignados sean suficientes y las acciones sean posibles. La auditora informtica
jams debe empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,
son pena de que el juicio que emita carezca de valor al caer fuera de la cuestin
verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que
deje de estar garantizada la solidez de todo el control. Los medios y las acciones
elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditora,
siendo coherentes entre s y, desde luego, fiables y seguros.
En determinados casos la tarea del auditor puede ser muy compleja, para ello
deber dividirla en funciones obteniendo conclusiones parciales de stas y
establecer un plan de aquellas que resulten ser ms significativas.
Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el
buen uso del ordenador proporciona una mayor garanta y fiabilidad que cuando ste
no
es
utilizado.

CISA
Es una certificacin para auditores respaldada por la Asociacin de Control y
Auditora de Sistemas de Informacin (ISACA) (Information Systems Audit and
Control Association). Los candidatos deben cumplir con los requisitos establecidos
por
la
ISACA.
Historia
La certificacin CISA fue establecida en 1978, debido a las siguientes razones:
Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditoras de sistemas.
Proveer una herramienta motivacional para los auditores de sistemas de informacin
para mantener sus habilidades, y monitorizar la efectividad de los programas de
mantenimiento. Proveer criterios de ayudar y gestin en la seleccin de personal y
desarrolladores.
El primer examen se llev a cabo en 1981, y los registros han crecido cada ao. En
la actualidad, el examen es ofrecido en 11 idiomas y ms de 200 lugares de todo el
mundo. En 2005, la ISACA anunci que el examen se ofrecer en junio y diciembre,
y que empezara en 2005. Anteriormente, el examen slo haba sido administrado
anualmente, en junio. Ms de 50 mil candidatos han conseguido el certificado CISA.
La certificacin CISA es aprobada formalmente por el Departamento de Defensa de
los Estados Unidos en la categora de Aseguramiento de Informacin Tcnica.
Requisitos
1. Examen de acuerdo con el Cdigo Profesional de tica de ISACA.
Los candidatos a la certificacin CISA deben pasar un examen de
acuerdo con el Cdigo Profesional de tica de ISACA, adems de
comprobar cinco aos de experiencia en auditora de sistemas, control
interno y seguridad informtica y tener un programa de educacin
continua. En caso de no cumplir con estos requisitos, existen algunas
equivalencias definidas en la pgina de ISACA.
2. Cinco aos de experiencia en auditora de sistemas, control interno y
seguridad informtica y tener un programa de educacin continua.
Un mnimo de un ao de experiencia en sistemas de informacin o un
ao de experiencia en auditoras operacionales, pueden ser sustituidos
por un ao de experiencia auditora de sistemas, control interno y
seguridad
informtica.
60 a 120 horas de estudios profesionales pueden ser sustituidos por

uno o dos aos de experiencia respectivamente de auditora de

sistemas,
control
interno
y
seguridad
informtica.
2 aos de instructor de tiempo completo en Universidad en campos
relacionados (ejemplo: ciencias computacionales, contabilidad,
auditora de sistemas de informacin, pueden ser sustituidos por un
ao de experiencia de auditora de sistemas de informacin, control
interno y seguridad de informtica.
Examen
El examen consiste de 200 preguntas de opcin mltiple que deben ser contestadas
en 4 horas. El examen est dividido en 5 reas hasta el manual de 2012:

El proceso de auditora de SI (14%)

Gobierno de TI (14%)
Administracin del ciclo de vida de infraestructura y sistemas (19%)
Soporte y entrega de servicios de TI (23%)
Proteccin de los activos de informacin (30%)

El examen CISA puede presentarse anualmente en junio, septiembre (desde 2013) y

diciembre.

COBIT
(Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas),
lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de TI. Vinculando tecnologa informtica y
prcticas de control, COBIT consolida y armoniza estndares de fuentes globales
prominentes en un recurso crtico para la gerencia, los profesionales de control y los
auditores. COBIT se aplica a los sistemas de informacin de toda la empresa,
incluyendo las computadoras personales, mini computadoras y ambientes
distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para proveer la
informacin pertinente y confiable que requiere una organizacin para lograr sus
objetivos.
I.

II.

III.
IV.

V.

Misin: Investigar, desarrollar, publicar y promover un conjunto internacional

y actualizado de objetivos de control para tecnologa de informacin que sea
de uso cotidiano para gerentes y auditores.
Usuarios: La Gerencia: para apoyar sus decisiones de inversin en TI y
control sobre el rendimiento de las mismas, analizar el costo beneficio del
control.
Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad y el
control de los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organizacin y determinar el control mnimo
requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus
reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un

proceso de negocio en su responsabilidad de controlar los aspectos de informacin
del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las
empresas.

Caractersticas

Orientado al negocio.
Alineado con estndares y regulaciones "de facto".
Basado en una revisin crtica y analtica de las tareas y actividades en TI.
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA)

Principios
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria
para dar soporte a los procesos de negocio y considerando a la informacin como el
resultado de la aplicacin combinada de recursos relacionados con las TI que
deben ser administrados por procesos de TI.
Requerimientos de la informacin del negocio
Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer
ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad
de los reportes financieros y Cumplimiento le leyes y regulaciones.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos
(la forma ms productiva y econmica).
Confiabilidad: Proveer la informacin apropiada para que la administracin tome las
decisiones adecuadas para manejar la empresa y cumplir con sus
responsabilidades.
Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los
cuales est comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no
autorizada
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez
de acuerdo con las expectativas de la empresa.

Disponibilidad: accesibilidad a la informacin cuando sea requerida por los

procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la
misma.

Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los
objetivos de negocio:
I.
II.
III.

IV.
V.

Datos: Todos los objetos de informacin. Considera informacin interna y

externa, estructurada o no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos,
sistemas de administracin de bases de datos, de redes, telecomunicaciones,
multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal
para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas
de Informacin.

Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los
recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un
conjunto de procesos agrupados de forma natural para que proporcionen la
informacin que la empresa necesita para alcanzar sus objetivos".
COBIT se divide en tres niveles:
1) Dominios: Agrupacin natural de procesos, normalmente corresponden a un
dominio o una responsabilidad organizacional.
2) Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes
de control.
3) Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los
procesos de las TI.
Estos procesos estn agrupados en cuatro grandes dominios que se detallan a
continuacin junto con sus procesos y una descripcin general de las actividades de
cada uno.