Normas de Auditora de Sistemas de Informacin de ISACA

ISACA-Information Systems Audit and Control Association (Asociacin de Auditora y Control

de Sistemas de Informacin) es una asociacin reconocida mundialmente, dedicada al
desarrollo de los conocimientos relacionados con la seguridad y auditora de los sistemas de
informacin, el gobierno TI de la empresa, los riesgos relacionados con las TI y el
cumplimiento. Fundada en 1969, ISACA desarrolla estndares internacionales de auditora y
normas de control.

ISACA aprob las Normas de Auditora de Sistemas de Informacin, de aplicacin obligatoria

para los auditores de sistemas de informacin con la certificacin CISA (Certified Information
Sistems Auditor) que gestiona y concede la propia asociacin ISACA.

La auditora de los sistemas de informacin se define como cualquier auditora que abarca la
revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas
automticos de procesamiento de la informacin, incluidos los procedimientos no automticos
relacionados con ellos y las interfaces correspondientes.

Los objetivos de estas normas son los de informar a los auditores del nivel mnimo de
rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el
Cdigo de tica Profesional y de informar a la gerencia y a otras partes interesadas de las
expectativas de la profesin con respecto al trabajo de aquellos que la ejercen.

Uno de los objetivos de la Asociacin de Auditora y Control de los Sistemas de Informacin

(ISACA) es promover estndares aplicables internacionalmente para cumplir con su visin. El
desarrollo y difusin de los Estndares de Auditora de SI son una piedra angular de la
contribucin profesional de ISACA a la comunidad de auditora. La estructura para los
Estndares de Auditora de SI brinda mltiples niveles de asesoramiento:

Estas normas son:

S1 Estatuto de auditora

S2 Independencia

S3 Etica y normas profesionales

S4 Competencia profesional

S5 Planeacin

S6 Realizacin labores de auditora

S7 Reporte

S8 Actividades de seguimiento

S9 Irregularidades y acciones ilegales

S10 Gobernabilidad de TI

S11 Evaluacin de riesgos en la planeacin

S12 Materialidad
 S13 Uso de otros expertos

S14 Evidencia de auditora

COBIT

Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las
mejores prcticas. El Marco Referencial de COBIT establece que: "Es responsabilidad de la
gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, as
como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control
interno. "- COBIT proporciona un conjunto detallado de controles y de tcnicas de control para
el entorno de administracin/gestin de sistemas de informacin.

CobiT es una referencia de control interno sobre procesos informticos internacionalmente

aceptada. Se utiliza como metodologa para definir y monitorizar el control interno relacionado
con los sistemas de informacin de las entidades y tambin como metodologa de auditora.

Define procesos relacionados con la funcin informtica as como los elementos de control,
buenas prcticas, gestin y auditores.

Desde un punto de vista prctico, tiene que ser adaptado en funcin del tamao y la misin
de la organizacin.

COBIT INCLUYE

Objetivos de controlDeclaraciones genricas tanto de alto nivel como detalladas de un

nivel mnimo de buen control.

Prcticas de controlMotivaciones prcticas y asesoramiento sobre cmo implementar los

objetivos de control.

Directrices de auditoraAsesoramiento para cada rea de control sobre cmo obtener un

entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los
controles no se cumplan.

Directrices gerencialesAsesoramiento sobre cmo evaluar y mejorar el desempeo del

proceso de TI, utilizando modelos de madurez, mtricas y factores crticos de xito.
Proporcionan un marco de referencia administrativo orientado hacia una continua y proactiva
autoevaluacin del control, enfocada especficamente en:

Medicin del desempeoQu tan adecuadamente est apoyando la funcin de TI

los requisitos del negocio?

Perfil del control de TICules procesos de TI son importantes? Cules son los
factores crticos de xito para el control?

ConcientizacinCules son los riesgos de no lograr los objetivos?

BenchmarkingQu hacen los dems? Cmo pueden medirse y compararse los

resultados?

El marco de trabajo general CobiT se muestra grficamente en la figura siguiente, con el

modelo de procesos de CobiT compuesto de cuatro dominios que contienen 34 procesos
genricos, administrando los recursos de TI para proporcionar informacin al negocio de
acuerdo con los requerimientos del negocio y de gobierno.
Figura 2.4. Marco de trabajo de CobiT

VENTAJAS DEL USO DE LAS NORMAS DE AUDITORIA

1. La informacin es un recurso clave en la empresa para:

Planear el futuro, controlar el presente y evaluar el pasado.
2. Las operaciones de la empresa dependen cada vez ms de la sistematizacin.
3. Los riesgos tienden a aumentar, debido a:
Prdida de informacin
Prdida de activos.
Prdida de servicios/ventas.
4. La sistematizacin representa un costo significativo para
 la empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican slo al final.
6. El permanente avance tecnolgico.