2.

2 Normatividad aplicada a la auditoría informática

Las normas de auditoría son los requisitos mínimos de calidad relativos a la

personalidad del auditor, al trabajo que desempeña y a la información que rinde

como resultado del trabajo de auditoría. Su finalidad es marcar una directriz sobre

su comportamiento y sobre la preparación, ejecución e informe de los trabajos de

fiscalización.

ISACA: Es el acrónimo de Information Systems Auditand Control Association

(Asociación de Auditoría y Control de Sistemas de Información) ayuda a los

profesionales globales a liderar, adaptar y asegurar la confianza en un mundo

digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación

y desarrollo de carrera innovadores y de primera clase.

Año de fundación: Establecida en 1969.

Características

 Promueve el avance y certificación de habilidades y conocimientos críticos

para el negocio.

 También ofrece Cyber security Nexus TM (CSX), un recurso integral y

global en ciber seguridad, y COBIT.

 Un marco de negocio para gobernar la tecnología de la empresa.

 Son una comunidad global de 140.000 profesionales que están en más 180

países y con más de 200 capítulos.

 Son líderes mundiales en Educación y Certificación en las materias que

comparten.
 ISACA ( Asociación de Auditoría y Control de Sistemas)

Es una organización independiente, sin fines de lucro, ISACA participa en el desarrollo, la adopción
y el uso globalmente aceptada, líder en la industria del conocimiento y las prácticas de los sistemas
de información.

ISACA proporciona orientación práctica, puntos de referencia y otras herramientas eficaces para
todas las empresas que utilizan sistemas de información. A través de sus servicios y orientación
*integral, ISACA define las funciones de los sistemas de gobernabilidad, seguridad, auditoría y
aseguramiento de profesionales de la información en todo el mundo. Los marcos de la gobernanza
COBIT, Val IT y riesgo y las certificaciones CISA, CISM, CGEIT y forma son marcas ISACA se refiere
a estos profesionales en beneficio de sus empresas.

 Membrecía y Comunidad

 Reconocimiento Profesional

 Orientación y Prácticas

 Desarrollo Profesional

ISACA, de auditoría y normas de control son seguidos por los profesionales de todo el mundo y
nuestra investigación señala los temas que desafían a las empresas de hoy.

ISACA promueve activamente la investigación que resulte en el desarrollo de productos relevantes

y útiles para el gobierno de TI, control, aseguramiento y profesionales de la seguridad. Apoyando en
el conocimiento y la experiencia de nuestros miembros, hemos desarrollado el Modelo de Negocios
parala seguridad Delaware la información(IMC), con una visión holística y orientada a los negocios
enfoque de la seguridad de la información de gestión. La protección de ISACA ha desarrollado el
Marco de Aseguramiento de TI (ITAF). ISACA ha desarrollado y mantiene el reconocimiento
internacional COBIT ®, Val IT ™ y los riesgos de TI marcos, ayudando a los profesionales de TI y
los líderes de la empresa cumplir con las responsabilidades del gobierno, mientras que la entrega
de valor al negocio. Además de los marcos, ISACA ofrece publicaciones que se refieren a una amplia
gama de temas, que incluye la forma de aplicar los marcos.
ISACA Objetivo: Beneficios: Requisitos

 Es el acrónimo Ayuda a los Ofrece:  Pertenecer a la comunidad global

de Information profesionales  Estándares de profesionales de ISACA.
Systems globales a liderar,  Relaciones
Auditand adaptar y asegurar  Acreditación y desarrollo de
Control la confianza en un carrera innovadores y de
Association mundo digital en primera clase.
(Asociación de evolución.  Promueve el avance y
Auditoría y certificación de habilidades
Control de y conocimientos críticos
Sistemas de para el negocio.
Información).  También ofrece Cyber
 Es un marco de security Nexus TM (CSX),
negocio para un recurso integral y global
gobernar la en ciber seguridad, y
tecnología de la COBIT.
empresa.  Certifica las materias que
 Establecida en comparten.
1969.  Comparten recursos e
 Es líder mundial investigaciones de alto nivel
en Educación y y apoyan al desarrollo de
Certificación en los países.
las materias que  Certificaciones de:
comparten. CISA, CISM, CGEIT y
CRISC
 Aprobar el examen.
 Experiencia relevante.
 Apegarte al código de ética
ISACA.
 Apegarte al programa de
educación profesional
continua.
 Cumplimiento con los
estándares de ISACA.
¿Por qué certificarse?

 Las organizaciones necesitan y demandan profesionales preparados para

evaluar la gestión de sus negocios y de sus TIs.

 Los profesionales de la auditoria, riesgos, seguridad y gestión de las TI

necesitan demostrar su competencia y actualización continua.

 Pueden mejorar nuestras expectativas profesionales

Requisitos (Características generales de las certificaciones de ISACA):

•Formas de preparación de un examen –Auto preparación

–Cursos FastTrack(36 horas)

–Programas tipo Diploma (100 horas)

•Cuándo (a nivel mundial):

–Segundo sábado del mes de junio

–Segundo sábado del mes de diciembre

–8:30 horas.

•Cursos, ayudas y materiales de ISACA

–Manuales, preguntas de ejercicio, y libros del Bookstore

–Webseminars

–Conferencias locales e internacionales

–Cursos y programas del capítulo local

•Horas CPE (ContinuingProfessional Education)

–120 horas cada tres años con un mínimo de 20 hrs anuales

–Se acreditan horas por asistir o dar conferencias, webinars, capacitación

en línea, cursos de entrenamiento, servir como Voluntario de ISACA a nivel

de Capítulo o Internacional, hacer de Mentor o Advocator.

•Cambios anuales:

–Todos los años se actualiza el material y se cambian las preguntas de

cada certificación.

•Información:

–A nivel de capítulo existe un encargado por cada certificación

–A nivel de sitio ISACA: www.isaca.org/certification

Certificación CISA (Auditor Certificado en Sistemas de Información)

•Desde 1978, más de 118,000 profesionales en más de 180 países han logrado

la certificación CISA® (CertifiedInformationSystemsAuditor™).

 •Rápidamente ha llegado a ser ampliamente reconocida como un estándar

profesional de excelencia.

Estos Programas están dirigidos a:

Auditores de Seguridad de la Información, Profesionales relacionados con la

auditorias de sistemas de Información, Gestores de Tecnologías de la Información,

Encargados de Seguridad de la Información, Responsables de áreas de sistemas

en general.

Contenido del Examen CISA

•Dominio 1: El proceso de auditoria de sistemas de información (21%)Para

brindar servicios de auditoría de sistemas acorde a las normas, guías, estándares y

mejores prácticas para apoyar a la organización a asegurar que sus sistemas y la

tecnología de información están protegidos y controlados.

•Dominio 2: Gobierno y gestión deTI (16%) Para proporcionar aseguramiento de

que la organización tiene la estructura, las políticas, los mecanismos de reporte y

las prácticas de monitoreo necesarias para cumplir los requisitos del gobierno

corporativo y la gestión de las TI.

•Dominio 3: Adquisición, desarrollo e implementación de los sistemas de

información (18%) Para proporcionar aseguramiento de que las prácticas de gestión

para el desarrollo, adquisición, testinge implementación de los sistemas de

información satisfacen los objetivos y la estrategia de la organización.

•Dominio 4: Operación, mantenimiento y soporte de los sistemas de información

(20%) Para proporcionar aseguramiento de que las prácticas de gestión para la

operación, mantenimiento y soporte de los sistemas de información satisfacen los

objetivos y la estrategia de la organización.

•Dominio 5: Protección de activos de información (25%). Para proporcionar

aseguramiento de que la arquitectura de seguridad (políticas, estándares,

procedimientos y controles) aseguran la confidencialidad, integridad y disponibilidad

de los activos de información.

El primer examen se llevó a cabo en 1981, y los registros han crecido cada año.

En la actualidad, el examen es ofrecido en 11 idiomas y más de 200 lugares de todo

el mundo. En 2005, la ISACA anunció que el examen se ofrecerá en junio y

diciembre, y que empezaría en 2005. Anteriormente, el examen sólo había sido

administrado anualmente, en junio. Más de 50 mil candidatos han conseguido el

certificado CISA.

La certificación CISA es aprobada formalmente por el Departamento de Defensa

de los Estados Unidos en la categoría de Aseguramiento de Información Técnica

(DoD 8570.01-M). Certified Information Systems Auditor (CISA).

Es una certificación para auditores respaldada por la Asociación de Control y

Auditoría de Sistemas de Información (ISACA) (Information Systems Audit and

Control Association). Los candidatos deben cumplir con los requisitos establecidos

por la ISACA.

CISA

El Auditor Certificado de Sistemas de Información (CISA) es una certificación para auditores respaldada
por la Asociación de Control y Auditoría de Sistemas de Información (ISACA) (Asociación de Auditoría y
Control de Sistemas de Información). Los candidatos deben cumplir con los requisitos establecidos por
la ISACA.
 La certificación CISA fue establecida en 1978, debido a las siguientes razones:

 Desarrollar y mantener una herramienta que pueda servir para evaluar las competencias de los
individuos al realizar auditorías de sistemas.

 Probar una herramienta motivacional para los auditores de sistemas de información para mantener sus
habilidades, y monitorizar la eficacia de los programas de mantenimiento.

 Proveer criterios de ayuda y gestión en la selección de personal y desarrolladores.

El primer examen se llevó a cabo en 1981, y los registros han crecido cada año. En la actualidad, el
examen se ofrece en 11 idiomas y más de 200 lugares del mundo. En 2005, ISACA anunció que el examen
se ofrecerá en junio y diciembre, y que empezaría en el 2005. Anteriormente, el examen sólo había sido
administrado anualmente, en junio. Más de 50 mil candidatos han conseguido el certificado CISA.

La certificación CISA es aprobada formalmente por el Departamento de Defensa de los Estados Unidos
en la categoría de Aseguramiento de Información Técnica (DoD 8570.01-M). Auditor Certificado de
Sistemas de Información (CISA)

Es una certificación para auditores respaldada por la Asociación de Control y Auditoría de Sistemas de
Información (ISACA) (Asociación de Auditoría y Control de Sistemas de Información). Los candidatos
deben cumplir con los requisitos establecidos por la ISACA.

Requisitos

 Examen de acuerdo con el Código Profesional de Ética de ISACA.

 Cinco años de experiencia en la auditoría de sistemas, control interno y seguridad informática y tener
un programa de educación continua.

Beneficios
 El examen consiste en 200 preguntas de opción múltiple que deben ser contestadas en 4 horas.

 Garantizar las prácticas de administración para el desarrollo / adquisición, pruebas, implementación,

mantenimiento y eliminación de activos informáticos que cubren los objetivos de la organización.

 Asegurar la entrega de los niveles de servicio requeridos para cumplir los objetivos de la organización

Examen de certificación CISA (Auditor de Sistemas de Información Certificado)

Desde 1978, el programa CISA ha sido el modelo mundial más aceptado como rendimiento en los
sistemas de información (IS) de auditoría, control y seguridad. CISA es reconocido mundialmente
como el modelo de rendimiento en la auditoría, control, seguimiento y evaluación de la tecnología de
una organización de la información y los sistemas de negocio.

La designación CISA fue establecida por profesionales con experiencia de trabajo en los sistemas
de información de auditoría, control y seguridad que incluye:

· El Proceso de Auditoría de Sistemas de Información.

· Gobierno y gestión de TI

· Adquisición de Sistemas de Información, Desarrollo e Implementación.

· Operaciones de Sistemas de Información, Mantenimiento y Soporte.

· Protección de los activos de información.

La denominación CISA es otorgado a los individuos con un interés en la información de la

auditoría de sistemas, control y seguridad que cumplan con los siguientes requisitos:

1. Completar con éxito el examen CISA

2. Presentar una Solicitud de Certificación CISA

3. La adhesión al Código de Ética Profesional.

4. La adhesión al Programa de Educación Profesional Continua.

5. Cumplimiento de las Normas de Auditoría de Sistemas de Información.

El examen CISA se celebra dos veces al año, en junio y diciembre

 La certificación CISA fue
establecida en 1978,
CISA Requisitos Beneficios
debido a las siguientes
razones:
ISACA es una asociación a  Desarrollar y mantener  Examen de acuerdo  El examen consiste de 200
nivel mundial de profesionales una herramienta que con el Código preguntas de opción
en Gobierno de TI, pueda ser utilizada para Profesional de Ética múltiple que deben ser
enfocándose actualmente en evaluar las competen- de ISACA. contestadas en 4 horas.
Auditoría, Seguridad y cias de los individuos al  Completar con éxito  Garantiza que las
Gobernanza. realizar auditorías de el examen CISA. prácticas de administra-
sistemas. ción para el desarrollo
Fundada en 1967, hoy ISACA  Proveer criterios de  Presentar una /adquisición, pruebas,
Solicitud de
Internacional cuenta con más ayudar y gestión en la implementación,
Certificación CISA.
de 110.000 socios en más de selección de personal y mantenimiento y
180 países de todo el mundo. desarrolladores.  La adhesión al eliminación de activos
Los socios de ISACA cubren  Proveer una herramienta Código de Ética informáticos cubren los
una variedad de profesiones, motivacional para los Profesional. objetivos de la
como ser auditor, consultor, auditores de sistemas de organización.
educador, profesional de información para  La adhesión al  Asegura la entrega de los
seguridad, gerente de TI, Programa de
mantener sus niveles de servicio
Educación
trabajando en casi todas las habilidades, y requeridos para cumplir
Profesional
categorías de la industria. Esta monitorizar la efectividad Continua. los objetivos de la
diversidad permite a los de los programas de organización.
miembros a aprender unos de mantenimiento.  Cinco años de
otros e intercambiar puntos de experiencia en
vista ampliamente divergentes auditoría de
sobre una variedad de temas sistemas, control
profesionales. interno y seguridad
informática y tener un
programa de
educación continua.

 Cumplimiento de las
Normas de Auditoría
de Sistemas de
Información.
Certificación COBIT

COBIT es un marco de gobierno de las TI que proporciona una serie de

herramientas para que la gerencia pueda conectar los requerimientos de control con

los aspectos técnicos y los riesgos del negocio; COBIT permite el desarrollo de las

políticas y buenas prácticas para el control de las tecnologías en toda la

organización; COBIT enfatiza el cumplimiento regulatorio, ayuda a las

organizaciones a incrementar su valor a través de las tecnologías, y permite su

alineamiento con los objetivos del negocio.

Surge de la necesidad de generar más valor a las inversiones en la Tecnología y

de administrar una gama creciente de riesgos relacionados con la Tecnología. La

implementación del ciclo de vida proporciona a las empresas una manera de usar

COBIT para solucionar la complejidad y los desafíos que normalmente aparecen

durante las implementaciones.

Los componentes interrelacionados del ciclo de vida son:

1. Ciclo de vida de Mejora continua

2. Habilitación del cambio – Abordar los aspectos culturales y de

comportamiento

3. Gestión del programa

Uso de COBIT 5 y sus componentes.

•Para facilitar el entrenamiento global en COBIT 5, ISACA se ha asociado con

dos institutos líderes de examinación que acreditan entrenamiento y consultoría

organizacional, y gestionan esquemas de certificación para profesionales:

⁻APMG International ⁻PEOPLECER

 Fase 1: Identifica los puntos débiles actuales y desencadena y crea el ánimo de

cambio a un nivel de dirección ejecutiva.

Fase 2: Define el alcance de la iniciativa de implementación o mejora

empleando el mapeo de COBIT de metas empresariales con metas de TI a los

procesos de TI asociados, y considerando cómo los escenarios de riesgos podrían

destacar los procesos clave en los que focalizarse. Se lleva a cabo una evaluación

del estado actual y se identifican los problemas y deficiencias mediante la

ejecución de un proceso de revisión de capacidad.

Fase 3: Establece un objetivo de mejora, seguido de un análisis más detallado

aprovechando las directrices de COBIT para identificar diferencias y posibles

soluciones. Algunas soluciones pueden ser beneficios inmediatos y otras

actividades de largo plazo.

Fase 4: Planifica soluciones prácticas y desarrolla un plan de cambios para la

implementación.

Fase 5: Las soluciones propuestas son implementadas. Se pueden definir las

mediciones y establecer la supervisión empleando las metas y métricas de COBIT.

Fase 6: Se focaliza en la operación sostenible de los nuevos o mejorados

catalizadores y de la supervisión de la consecución de los beneficios esperados.

Fase 7: Se revisa el éxito global de la iniciativa, se identifican requisitos

adicionales para el gobierno o la gestión de la TI empresarial.

En resumen la implementación de Cobit 5 cubre:

 Posicionamiento de GEIT (Gobierno Corporativo de TI) en la organización

 Adopción de los primeros pasos para mejorar GEIT

  Factores de éxito y retos para la implementación

 Habilitación del cambio de comportamiento y organizacional relacionado

con el GEIT

 Implementación de una mejora continua que incluye la habilitación del

cambio y la gestión del programa.

COBIT

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan
los profesionales de TI.Vinculando tecnología informática y prácticas de control

COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

Beneficios de cobito

 Mantener la información de alta calidad para apoyar las decisiones de negocio.

 Lograr los objetivos estratégicos y obtener los beneficios del negocio a través del uso efectivo e
innovador de TI.

 Lograr la excelencia operativa a través de la aplicación eficaz y fiable de la tecnología.

 Mantener los riesgos relacionados con TI a un nivel aceptable.

COBIT Objetivo Beneficios de COBIT Requisitos

COBIT (Objetivos de Control  Es ayudar a las  Mantener la información Conocer y aplicar COBIT en
para Tecnología de de alta calidad para sus tres niveles:
Información y Tecnologías organizaciones a apoyar las decisiones de  Dominios: Agrupación
relacionadas). negocio. natural de procesos,
incrementar su valor
Lanzado en 1996, es una  Lograr los objetivos normalmente corresponden
herramienta de gobierno de a través de las estratégicos y obtener los a un dominio o una
TI que ha cambiado la forma beneficios de negocio a responsabilidad
en que trabajan los tecnologías, y través del uso efectivo e organizacional.
profesionales de TI. innovador de TI.  Procesos: Conjuntos o
permite su
Vinculando tecnología  Lograr la excelencia series de actividades
informática y prácticas de operativa a través de la unidas con delimitación o
alineamiento con los
control. aplicación eficaz y fiable cortes de control.
Se definen 34 objetivos de objetivos del de la tecnología.  Actividades: Acciones
control generales, uno para  Mantener riesgos requeridas para lograr un
cada uno de los procesos de negocio. relacionados con TI a un resultado medible.
las TI. nivel aceptable.
 Coso

AICPA COSO (Comité de Organizaciones Patrocinadoras de la Comisión de Normas)

Es un esfuerzo por redefinir el concepto de control interno, auditorías internas y externas, diversas
organizaciones interpersonales, entre ellos, la Asociación Interamericana de Contadores Públicos, la
Asociación Americana de Auditores y el IIA, Instituto de Auditores Internos. .

Se desarrolla en cinco ejes principales:

1. Ambiente de control

2. Evaluación de riesgos

3. Actividades de control.

4. Información y comunicación.

5. Supervisión y seguimiento.

Ventajas de coso

Permite una dirección global de la empresa.

Alinear los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los
riesgos asumidos y los controles puestos en acción.
Certificación COSO Objetivo Requisitos Beneficios:

COSO (Comité de Proporciona un marco de Tener experiencia  Permite una dirección global del riesgo de
Organizaciones la empresa y accionar los planes para su
referencia aplicable a en las siguientes
Patrocinadoras de la áreas: correcta gestión.
Comisión de
cualquier organización que  Alinea los objetivos del grupo con los
normas) de tal manera ayude a 1. Ambiente de objetivos de las diferentes unidades de
Es un esfuerzo por control negocio, así como los riesgos asumidos y
conseguir los resultados
redefinir el concepto los controles puestos en acción.
esperados en materia de
de control interno 2. Evaluación de  Posibilita la priorización de los objetivos,
utilizado por rentabilidad y rendimiento riesgos riesgos clave del negocio, y de los controles
auditores internos y trasmitiendo el concepto implantados, lo que permite su adecuada
externos, e 3. Actividades de
de que el esfuerzo gestión. Toma de decisiones más segura,
intervinieron control
diversas involucra a toda la facilitando la asignación del capital.
organizaciones, organización: Desdela 4. Información y  Permite dar soporte a las actividades de
entre las que se Alta Dirección hasta el comunicación
destacan el AICPA, planificación estratégica y control interno.
(Asociación último empleado. 5. Supervisión y  Permite cumplir con los nuevos marcos
interamericana de seguimiento regulatorios y demanda de nuevas prácticas
CPA, el AAA
de gobierno corporativo.
Asociación
Americana de  Fomenta que la gestión de riesgos pase a
Auditores y el IIA, formar parte de la cultura del grupo.
Instituto de Auditores
Internos.
CERTIFICACIÓN CISM (Gestión Certificada de Seguridad de la Información)

El programa de certificación CISM ha sido desarrollado para administradores

experimentados de seguridad de la información y los que tienen responsabilidades
de gestión de seguridad.

El Certificado de Gerente de Seguridad de la información (CISM), esta certificación

es una certificación única de gestión focalizada, que ha sido mejorada por más de
16.000 profesionales desde su introducción en 2003. A Diferencia de otras
certificaciones de seguridad, CISM es para la persona que gestiona, diseña,
supervisa y evalúa la seguridad de la información de una empresa.

Certificación CISM es para las personas que diseñan, construyen y administran la

seguridad de la información empresarial y tienen experiencia en las siguientes
áreas:

Gobierno de Seguridad dela información

Gestión de Riesgos de Información

Programa de Desarrollo de Seguridad dela información

Programa de Gestión de Seguridad dela información

Manejo de incidentes y respuestas

CISM Objetivo Beneficios Requisitos
El Certificado de Gerente de CISM es para gestionar, El programa de certificación Tener experiencia en las
Seguridad de la diseñar, supervisar y evaluar CISM se ha desarrollado siguientes áreas:
información (CISM), es una la seguridad de la para administradores
certificación de gestión información de una experimentados de  Gobierno de Seguridad
focalizada, que ha sido empresa. seguridad de la información dela información
mejorada por más de 16.000 y los que tienen
profesionales desde su responsabilidades de  Gestión de Riesgos de
introducción en 2003. gestión de seguridad, es Información
decir, las personas que
diseñan, construyen y  Programa de Desarrollo
administran la seguridad de de Seguridad dela
la información empresarial. información

 Programa de Gestión de
Seguridad dela
información

 Manejo de incidentes y
respuestas
CERTIFICACIÓN CGEIT (Certificado en el Gobierno de TI Empresarial)

El programa de certificación CGEIT fue diseñado para los profesionales encargados

de satisfacer las necesidades de gobierno de TI de una empresa.

Introducción en 2007, la designación CGEIT está diseñada para profesionales que

manejan, prestan servicios de asesoramiento y / o garantía, y / o que de alguna
manera se apoye la gobernabilidad de TI, de una empresa y de que sean
reconocidos por su gobierno. experiencia y el conocimiento, CGEIT se basa en
ISACA y el Instituto de Gobernabilidad de TI (ITGI) propiedad intelectual y el aporte
de expertos en la materia en todo el mundo. CGEIT ha desarrollado servicios para
profesionales de TI y de negocios que tienen una importante gestión,
asesoramiento, o el papel de garantía en relación con la administración de
empresas y para aquellos que tienen experiencia en las siguientes áreas:

Marco de Gobierno IT

Alineamiento Estratégico.

Valor de la entrega

Gestión de Riesgos

Gestión de Recursos

Medición del desempeño

CGEIT Objetivo Beneficios Requisitos
CGEIT es la Certificación en Es para satisfacer las CGEIT ha desarrollado Tener experiencia en las
el Gobierno de TI necesidades y apoye la servicios para profesionales siguientes áreas:
Empresarial. gobernabilidad de TI de una de TI y de negocios que
Se basa en ISACA y el empresa. tienen:  Marco de Gobierno IT
Instituto de Gobernabilidad  Una importante gestión,
de TI (ITGI) propiedad o el papel de garantía en  Alineamiento
intelectual y el aporte de relación con la Estratégico.
expertos en la materia en administración de
todo el mundo. empresas.  Valor de la entrega
Su introducción fue en 2007  Diseñado para
profesionales que  Gestión de Riesgos
manejan, prestan
servicios de  Gestión de Recursos
asesoramiento y/o
garantía, de una  Medición del
empresa y de que sean desempeño
reconocidos por su
gobierno.
CERTIFICACIÓN CRISC (Certificada en Control de Riesgos y Sistemas de
Información)

La designación CRISC certifica que tienen conocimientos y experiencia en la

identificación y evaluación de riesgos y en el diseño.

Introducción en 2010, el certificado en sistemas de información de riesgos y control

de la certificación (CRISC), está destinado a reconocer una amplia gama de
profesionales de TI y empresas de su conocimiento de los riesgos de la empresa y
su capacidad para diseñar, implementar y mantener el sistema de información (SI)

El CRISC se basa en la investigación del mercado independiente en las

aportaciones de millas de expertos en la materia de todo el mundo, así como la
propiedad intelectual de ISACA, incluyendo el riesgo de TI y COBIT.

AQUELLOS QUE ADQUIEREN LA Designación CRISC beneficia a sus empresas

y cumple con los requisitos de negocios, riesgos, los profesionales de TI y el
conocimiento técnico para implementar un control adecuado.

Esta certificación es para profesionales de TI y que se trabaja a nivel operativo para

mitigar los riesgos y que tienen experiencia de trabajo en las siguientes áreas

 Identificación, valoración y evaluación de riesgos.

 Responsable de riesgos

 Monitoreo de riesgos

 Diseño e implementación del control IS

 Monitoreo y mantenimiento del control

CRISC Objetivo Beneficios Requisitos
certificado en sistemas de Desarrollar un programa de  Denota prestigio a Certifica a quienes tienen
información de riesgos y gestión de riesgos, nivel profesional conocimientos y experiencia
control de la certificación apoyando el logro de los demostrando su de trabajo en las siguientes
(CRISC), introducción en objetivos de negocio. conocimiento de áreas:
2010. Es una certificación Asegurar que personal riesgos a nivel  Identificación, valoración
que prepara y habilita a los calificado proteja sus activos empresarial y evaluación de riesgos.
profesionales en tecnologías de información.  Incrementa el valor
de información para el Tener personal con para la organización
desafio de la gestión del experiencia y conocimiento mediante su
riesgo empresarial desde el para controlar, monitorear y conocimiento en la
área de TI, y posiciona al diagnosticar los sistemas de optimización del
profesional para convertirse negocio y de TI. riesgo
en un miembro estratégico Lograr mayor eficiencia y  Brinda una ventaja
de la empresa. efectividad en la operación, competitiva para la
La certificación ha sido lo que genera confianza y busqueda de
diseñada para profesionales valor en los sistemas de crecimiento
de TI y de negocios que información. profesional
identifiquen y gestionen los LOS PROFESIONALES  Permite el acceso a la
riesgos mediante la comunidad de
elaboración, Prestigio global, símbolo de conocimiento y
implementación y conocimiento y experiencia. networking de
mantenimiento de controles Beneficios de ser parte de profesionales
para los sistemas de una élite, al vincularse con actualizados en la
información que tienen a su un programa profesional que gestión de riesgos
cargo. tiene aceptación mundial.
 Demostrar su experiencia y
competencia profesional.
Mejorar sus oportunidades
laborales y estabilidad
económica: mayores
ingresos y potencial de
carrera.
Apalancamiento de
herramientas y recursos de
una comunidad de expertos.

-
 REFERENCIAS:

http://ifh-1007-auditoriainformatica.blogspot.com/

IFAC:

La misión de la Federación Internacional de Contadores (IFAC) es servir al interés público, fortalecer la

profesión contable en todo el mundo y contribuir con el desarrollo de los derechos internacionales,
estableciendo normas profesionales de alta calidad, fomentando su cumplimiento, favoreciendo su
convergencia internacional, y la manifestación sobre los temas de interés público para la experiencia de
la profesión de mar más relevante.

El Consejo de Normas Internacionales de Formación en Contaduría (Consejo Internacional de Normas de

Educación en Contabilidad / IAESB), un Consejo de Normas Independientes, en el marco de la Federación
Internacional de Contadores, las normas sobre la precalificación de la formación, la capacitación, y el
desarrollo profesional continuo. para todos los miembros de la profesión contable. El Consejo de
Supervisión del Interés Público (Junta de Supervisión del Interés Público / PIOB) para la profesión
contable supervisa las actividades del iaesb.

IIA:

Establecido en 1941, el Instituto de cuentas internas (IIA) es un órgano de orientación de

fijación. Sirviendo a 180.000 miembros en casi 190 países, el IIA es el interno de servicio de voz global,
abogado jefe, autoridad reconocida, y educador principal, con sede mundial en Altamonte Springs,
Florida, Estados Unidos.

La misión declarada del Instituto de Auditores Internos es proporcionar un "liderazgo dinámico" para la
profesión global de auditoría interna. Esto incluye:

 Apoyar y promover el valor que los profesionales de la auditoría interna se suman a sus organizaciones;

 Proporcionar oportunidades integrales de educación y desarrollo profesional; otras normas y pautas

prácticas profesionales; y programas de certificación;

 Al investigar, difundir y promover a los profesionales y los conocimientos a los conocimientos a los
empleados en el control, la gestión de riesgos, y la gobernabilidad; Educar a los profesionales y otras
audiencias pertinentes sobre las mejores prácticas en la auditoría interna; Reunir a los auditores internos
de todos los países para compartir información y experiencias.
 AICPA:

Fundado en 1887, el Instituto Americano de Contadores Públicos Certificados (AICPA) es la organización

profesional nacional de Contadores Públicos Autorizados (CPA) en los Estados Unidos, con más de
394.000 miembros en 128 países en los negocios y la industria, la práctica pública, Gobierno, educación,
estudiantes afiliados y asociados internacionales. [1] En él se cumplen las normas de los estándares de
la profesión y los Estados Unidos de la auditoría para las auditorías de las empresas privadas,
organizaciones no lucrativas, federales, estatales y los gobiernos locales. También cumplió con las
calificaciones del examen uniforme de CPA. El AICPA tiene oficinas en la ciudad de Nueva
York; Washington DC; Durham, Carolina del Norte; y Ewing, Nueva Jersey. [2] El AICPA celebra el 125
aniversario de su fundación en 2012.

La Fundación del AICPA, un estricto código profesional, un estricto código de ética profesional, y un
compromiso para servir al interés público.

Misión La misión del AICPA es proporcionar a los miembros con los recursos, a la información y al
liderazgo que a los servicios de atención a los valiosos servicios en los servicios públicos. En el
cumplimiento de su misión, el AICPA trabaja con organizaciones estatales CPA y da prioridad a áreas de
atención en las áreas de la confianza pública en las habilidades de CPA es más significativo.

IMAI:

El Instituto Mexicano de Auditores Internos, AC (IMAI) legalmente constituido en 1984, es un foro abierto
a la capacitación y la investigación en las áreas de Auditoría Interna y Control. La necesidad de contar
con recursos humanos en la Auditoría interna y en el control, en la parte superior de nuestro Instituto,
que se ha difundido las técnicas más avanzadas en esas áreas. Al final de estos años, el IMAI ha sido el
medio a través del cual los profesionales de la auditoría se han mantenido en el futuro. Los servicios,
tanto en el sector público como privado y social.

Objetivos. El propósito primordial del Instituto es la superación profesional de sus miembros, mediante
lo siguiente:

· El mejoramiento de la práctica Profesional de la Auditoría Interna.

· Desarrollar y mantener la unión y la cooperación efectiva entre los profesionales de la Auditoría Interna.

· Promover la difusión de las normas de actuación profesional a través de los auditores.

· Propugnar la unificación de los criterios y los principios de los principios básicos de la actuación y la ética
profesional.

· Establecer y mantener el prestigio de la Auditoría Interna a través de la investigación y la divulgación de

los conocimientos técnicos de los conceptos conceptuales relativos al ejercicio profesional de esta
disciplina y materias afines.

· Establecer y mantener vínculos con otros organismos profesionales, docentes y entidades públicas o
privadas, para la identificación y el desarrollo de aspectos que permitan mejorar la calidad de la práctica
de la Auditoría Interna y el Control en general, dentro de las organizaciones.

IAASB

El Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB, por sus siglas en inglés) es
un organismo emisor de normas independientes que sirve para el interés público, mediante el
establecimiento de normas internacionales de alta calidad para la auditoría, el control de calidad, la
revisión, el aseguramiento y otros servicios. Relacionados, así como el apoyo a la convergencia de las
normas nacionales e internacionales. De esta forma, el IAASB mejora la calidad y la uniformidad de las
actividades en todo el mundo, y fortalece la confianza pública en la profesión de auditoría y
aseguramiento mundial.

La Estrategia y el Programa de Trabajo 2009-2011. Los esfuerzos del IAASB están actualmente centrados
en los siguientes puntos:

· Desarrollar normas para auditoría, control de calidad, revisión, aseguramiento y otros encargos de
servicios relacionados;

· Supervisar y facilitar la adopción y puesta en práctica de estas normas; Esto incluye una serie de Módulos
ISA, cada uno de los cuales consiste en un breve vídeo y unas diapositivas que explican los principios
básicos y los cambios fundamentales de algunas. y

· Actuar ante las dudas relativas a la puesta en práctica.

El IAASB sigue un riguroso procedimiento para el desarrollo de sus declaraciones. Se incluyen opiniones
de un amplio abanico de partes interesadas, incluido el Grupo Consultivo del IAASB, los organismos
emisores de normas de auditoría nacionales, los organismos miembros de IFAC y sus miembros,
organismos reguladores y de supervisión, compañías, agencias gubernamentales, inversores,
preparadores. y el público general. Borradores en la fase de consulta de las propuestas de declaraciones
en el sitio web y se insta a enviar comentarios; las declaraciones finales están acompañadas de una base
de conclusiones en relación con los comentarios recibidos. El Consejo de Supervisión del Interés Público
(PIOB) supervisa el trabajo del IAASB y su CAG para garantizar que las actividades del IAASB siguen el
procedimiento y responden al interés público.

El IAASB se esfuerza por llevar a cabo una actividad más transparente posible. Las bases de las
conclusiones están abiertas al público, y los documentos de las reuniones, el orden del día y los
resúmenes de las reuniones se publican en el sitio web. Además, el sitio web incluye historiales de
proyectos, grabaciones de audio de las reuniones del IAASB, prestadores en fase de consulta del IAASB
y todos los comentarios hechos sobre los prestatarios por parte de las partes interesadas.

ITIL:

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés

Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión
de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las
operaciones relacionadas con la misma en general. ITIL da descripciones de un extenso conjunto de
procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor y han sido delimitados para
servir como guía para abarcar toda la infraestructura, el desarrollo y las operaciones de TI.

La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de
libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación inicial
de estos libros, su número creció rápidamente (dentro de la versión 1) hasta unos 30 libros. Para hacer
una ITIL más accesible (y menos costosa) una que deseen explorarla, uno de los objetivos del proyecto
de actualización ITIL versión 2 fue agrupar los libros según unos conjuntos lógicos para tratar los procesos
de administración que cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, las
aplicaciones y el servicio se presentan en conjuntos temáticos. Actualmente existe la nueva versión ITIL
v3 que fue publicada en mayo de 2007.

CAAT:

En esta parte se habla específicamente de la CAAT que se convierte en la Subcontraloría de la Auditoría

para el desarrollo de sus actividades, para el cual se compararán las herramientas: Auditoría automática
(Grupo XopanTech), Documentos de trabajo (Grupo Cynthus) y Delos (Grupo Cynthus).

En la base de la experiencia en la implementación de herramientas (software y hardware) que ayuden a

la automatización de los procesos y / o la información se determina que puede existir algunos riesgos y
más la herramienta se implementa en un área nueva como es el caso de la H. Cámara de Diputados, en
la implementación de un área de auditoría informática, a continuación se mencionan los riesgos que
pueden existir en la implementación de una herramienta que ayude a la automatización de las tareas del
área de auditoría informática.

Riesgos de implantación de la herramienta Consecuencias

Mal análisis para la implantación de la

Mal funcionamiento de la herramienta
herramienta.

Implantar una herramienta más barata que no cumpla con

Costo muy elevado. los requisitos para ayudar a automatizar los procesos del
área de auditoría informática.

Implantar una herramienta que no ayude a automatizar los

Mala selección de la herramienta.
procesos del área de auditoría Informática.

Mala capacitación en el uso de la herramienta. Mala explotación de la herramienta.

Los procesos y el flujo de trabajo no están bien Mala implantación de la herramienta, así como un mal
definidos. funcionamiento de la misma.

Mal funcionamiento de la herramienta, caídas del sistema,

Arquitectura tecnológica no soportada por la
pérdida de información, poca disponibilidad de la
herramienta.
herramienta.

Que no se conozca cómo realizar los procesos en el caso

Sobre la automatización de los procesos.
de que el sistema, la detección retardada de fallas.

Archivo de bibliografías : /// C:

/Usuarios/Lucero/Desktop/auditoria%20informatica/Organizaci%F3n%20Internacional%20de%20Norm
alizaci%F3n%20-%20Wikipedia,%20la%20enciclopedia%20libre.html

http://www.gestiopolis.com/recursos/experto/catsexp/pagans/fin/43/norminiaudit.htm

http://es.wikipedia.org/wiki/CISA

https://prezi.com/xzblevmvpiuo/tipo-de-normas/

http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_de_Normalizaci%C3%B3n
https://impulseits.com/index.php?seccion=cursos&id_curso=54