Beruflich Dokumente
Kultur Dokumente
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1.847.590.7491 Fax: +1.847.253.1443 E-mail: research@isaca.org Web site: www.isaca.org
Information System Audit and Control Association Con ms de 35000 miembros en ms de 100 pases, la Information System Audit and Control Association (ISACA) (www.isaca.org) es un reconocido lder mundial en gobernabilidad de TI, control, seguridad y aseguramiento. Fundado en 1969, la ISACA patrocina conferencias internacionales, publica el Information Systems Control Journal (el Diario de Control de Sistemas de Informacin), desarrolla estndares internacionales de auditora y control de sistemas de informacin y administra el globalmente reconocido Certified Information Systems Auditor (CISA) designacin obtenida por ms de 35000 profesionales desde el inicio y la designacin del Certified Information Security Manager (CISM), una innovadora credencial ganada por 5000 profesionales en sus primeros dos aos. Negacin La Information System Audit and Control Association y los autores han diseado y creado esta publicacin, titulada ISACA Model Curriculum for IS Audit and Control (Modelo acadmico para la Auditora y Control de Sistemas de Informacin) principalmente como un recurso educativo para los profesionales acadmicos, profesionales de aseguramiento y profesionales de control. La ISACA no garantiza que el uso de este producto asegure un resultado exitoso. Esta publicacin no debe ser considerada como parte de ninguna informacin, procedimientos y evaluaciones formal o excluida de otra informacin, procedimientos y evaluaciones que son razonablemente dirigidas para obtener los mismos resultados. Para determinar la propiedad de cualquier procedimiento o evaluacin, los profesionales de seguridad y control debern usar su juicio profesional para cada circunstancia especfica de control presentada en un sistema particular o en el ambiente de tecnologa de informacin. Copias del plan de estudio modelo estn disponibles sin costo para todos los miembros de la ISACA, colegios y universidades y pueden ser obtenidas en www.isaca.org. Copias impresas estn disponibles por una pequea cantidad a travs de la librera de la ISACA. Enve un e-mail a bookstore@isaca.org para ms detalles. Acceso Derechos de autor 2004 por la Information System Audit and Control Association. Todos los derechos son reservados. Permiso expreso para reimpresin o reproduccin es concedida solamente a las instituciones acadmicas con fines educativos, y debe incluir un reconocimiento completo de la fuente del material . Ningn otro derecho o permiso es concedido con respecto a este trabajo. Information System Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008, USA Phone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: info@isaca.org Web sites: www.isaca.org ISBN 1-893209-85-7 ISACA Model Curriculum for IS Audit and Control Impreso en los Estados Unidos de Amrica
Reconocimiento
ISACA desea reconocer a:
El Consejo de Fideicomisarios por su apoyo
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, LLP, USA, International President Abdul Hamid Bin Abdullah, CISA, CPA, Auditor Generals Office, Singapore, Vice President Ricardo J. Bria, CISA, SAFE Consulting, Argentina, Vice President Everett C. Johnson, CPA, Deloitte & Touche LLP, USA, Vice President Dean R.E. Kingsley, CISA, CISM, CA, Deloitte Touche Tohmatsu, Australia, Vice President Eddy Schuermans, CISA, PricewaterhouseCoopers LLP, Belgium, Vice President Robert S. Roussey, CPA, University of Southern California, USA, Past International President Paul A. Williams, FCA, MBCS, Paul Williams Consulting, United Kingdom, Past International President Emil G. DAngelo, CISA, Bank of Tokyo-Mitsubishi, USA, Trustee Ronald Saull, CSP, The Great-West Life Assurance Company, Canada, Trustee Erik Guldentops, CISA, CISM, Advisor IT Governance Institute
Traductores
Estudiantes del Programa de Maestra en Contabilidad 2004-2005, Bowling Green State University, USA Michelle Carolina Hemlepp Ivn Negrn Jafet Pabn
Tabla de Contenidos
1. ANTECEDENTES 2. DESARROLLO DEL PLAN DE ESTUDIO DE LA ISACA 3. USO DEL PLAN DE ESTUDIO DE LA ISACA 4. PLAN DE ESTUDIO MODELO PARA LA AUDITORA Y CONTROL DE SI ANEXO 1. IMPORTANCIA DEL PLAN DE ESTUDIO DE LA ISACA PARA EL MARCO CONCEPTUAL DEL COBIT ANEXO 2. DESTREZAS SUPLEMENTARIAS SUGERIDAS DE LOS AUDITORES DE SI ANEXO 3. TABLA DE CONFORMIDAD CON EL PLAN DE ESTUDIO DE LA ISACA PARA LA AUDITORA Y CONTROL DE SI ANEXO 4. EJEMPLOS DE COMO DISEAR PROGRAMAS PARA EL PLAN DE ESTUDIO MODELO DE LA ISACA EN LA TABLA DE CUMPLIMIENTO ANEXO 5. ACRNIMOS ANEXO 6. REFERENCIAS Pginas 5 8 11 13 19 20 21 30 61 62
1. Antecedentes
Historia de la ISACA
La evolucin de la de tecnologa de informacin (TI) afecta el ambiente de negocios de manera significativa. Esta evolucin cambia las prcticas de negocios, reduce costos y altera la manera en que los sistemas deben ser controlados. Adicionalmente, incrementa el nivel de conocimiento y destrezas requeridos para controlar y auditar sistemas de informacin e incrementa la necesidad de profesionales bien educados en los campos de gobernabilidad, aseguramiento, seguridad y control de los sistemas de informacin (SI). Esta necesidad fue reconocida por la asociacin fundada en 1969 que ahora se conoce como la Information Systems Audit and Control Association (ISACA). ISACA fue inicialmente formada, y continua existiendo, para satisfacer las nicas y diversas necesidades de alta tecnologa en el continuamente desarrollado campo de la tecnologa de informacin. En una industria donde el cambio es constante, ISACA se ha movido con agilidad y rapidez para conectar las necesidades de la comunidad de negocios internacionales con la comunidad de control de tecnologa de informacin. ISACA ha llegado a ser la organizacin lder en gobernabilidad de tecnologa de informacin, aseguramiento, seguridad y control. Los aproximadamente 35000 consultores, profesionales de seguridad, auditores de SI y altos ejecutivos que hacen ISACA han establecido 160 captulos dispersos en ms de 65 de 100 pases representados por la membresa. En las tres y media dcadas desde su comienzo, ISACA ha llegado a ser la organizacin que fija el ritmo de profesionales de gobernabilidad de informacin, aseguramiento, seguridad y control. Su auditora de SI y estndares de control de SI son seguidos por practicantes alrededor del mundo y su certificacin, Certified Information System Auditor (CISA), es reconocida globalmente y obtenida por ms de 30000 profesionales. La recientemente desarrollada certificacin de Certified Information Security Manager (CISM) orientada nicamente a la audiencia de seguridad de informacin. Adicionalmente, ISACA publica el Information Systems Control Journal, una revista lder en el campo de control de informacin y patrocina una serie de conferencias internacionales enfocadas en temas tcnicos y gerenciales. Juntos, ISACA y su IT Governance Institute afiliado dirigen a la comunidad de control de tecnologa de informacin y sirve a sus practicantes proveyendo los elementos necesarios a travs de profesionales de TI en el siempre cambiante ambiente del mundo.
Participacin en una mezcla de entrenamiento laboral y programas internos. Este mtodo de educacin requiere que un profesional sea un empleado de una organizacin y es ms apropiado donde la tecnologa presentada ha sido adoptada e implementada por una organizacin particular. El entrenamiento laboral y los programas internos se ajustan para proporcionar a los empleados la educacin en un rea bien definida y con enfoque limitado, pero no se ajustan para ofrecer una educacin con bases amplias para los participantes. Participacin en talleres/seminarios presentados por organizaciones profesionales o comerciales. Este mtodo est disponible para profesionales de diferentes organizaciones y es valioso en presentar informacin que es nueva o en explorar varios acercamientos a los problemas de la auditora de SI. En el ambiente de talleres/seminarios, el grupo puede compartir perspectivas no disponibles por un solo instructor. Sin embargo, los talleres/seminarios son usualmente ms costosos, quitan tiempo de oficina y no proveen profunda capacidad tcnica y prctica requerida en auditora de SI. ISACA es bien reconocida por el desarrollo y ofrecimiento de talleres y seminarios de alta calidad. Participacin en programas de ttulo universitario o certificados que estn dictados en un ambiente estudiantil ya sea a tiempo completo o tiempo parcial. Estos programas pueden conducir a ttulos de bachillerato, pos grados, certificados o diplomas especializados. Este es el mtodo que puede proveer a los profesionales (o futuros profesionales) la ms profunda y amplia experiencia educativa. Por eso, ste es el mtodo que la ISACA ha seguido con el currculo.
Normalmente, los estudiantes que desean ingresar a la profesin de auditora de sistemas de informacin, y carecen de experiencia en negocios, buscan obtener conocimiento, destrezas y habilidades requeridas por medio de trabajo en cursos de negocios complementado con prcticas laborales. Alrededor del mundo, las universidades estn intentando suplir la creciente demanda de los empleadores al preparar a los estudiantes para la profesin de auditora de sistemas. Al nivel universitario bsico, algunas universidades han empezado a integrar cursos de sistemas de informacin (SI) en los programas de contabilidad y negocios, y cursos de contabilidad y negocios en los programas de SI. Al nivel de postgrado, algunas universidades han desarrollado programas de aseguramiento ms enfocados en SI. Sin embargo, con frecuencia, las universidades se basan en los programas de contabilidad o sistemas de informacin existentes para preparar a los estudiantes para la profesin de auditora de sistemas de informacin. Desafortunadamente, los programas de contabilidad y de sistemas de informacin tradicionales, por si solos pueden ser inadecuados para satisfacer las necesidades de los empleadores. La tctica histrica y ms comn para este tipo de educacin es hacer que los estudiantes tomen un grupo de cursos esenciales de negocios y otros cursos seleccionados en una especialidad. (exp., contabilidad, sistemas de informacin o ciencias de la computacin) y luego los estudiantes pueden tomar uno o dos cursos en una segunda rea, como SI o contabilidad, usualmente sin coordinacin de los contenidos de los cursos entre las diferentes disciplinas. Los auditores de sistemas de informacin necesitan ser capaces de hacer frente al ritmo de cambios rpidos de tecnologa y ponerse al da regularmente con conocimiento tcnico competente. Eventos recientes, regulaciones gubernamentales y cambios el los procesos de negocios han afectado el rol de la auditora de SI y la metodologa que los auditores usan. Por eso, la profesin de auditora de SI debe entender las nuevas tecnologas, ser capaz de determinar su impacto en el proceso de control y los procedimientos de auditora y comunicar claramente
que las herramientas y tcnicas de recoleccin de evidencia han sido desarrolladas. El modelo acadmico no slo toma en consideracin los desafos tecnolgicos, sino tambin los asuntos relacionados con el mejoramiento de las habilidades orales y escritas. As, uno de los propsitos del modelo acadmico para la educacin en auditora de SI es enfocar el nivel de educacin formal ofrecida en las universidades. Este modelo est basado en las necesidades y expectativas de la profesin de control y auditora de SI y se basa en previas investigaciones de acadmicos, practicantes, organizaciones de auditora y organizaciones profesionales. Uno de los objetivos es identificar los componentes fundamentales del curso de auditora y control de SI para que las universidades puedan educar estudiantes en carreras en la profesin de auditora y control de SI y asistir estudiantes para que lleguen a ser competitivos en la profesin. Aunque los estudiantes no posean experiencia laboral real, los temas identificados en el modelo han sido seleccionados para que proporcionen a los estudiantes de pos grado destrezas y habilidades para la profesin. El modelo asocia las ofertas acadmicas con las necesidades de la profesin y provee un marco a las universidades y organizaciones profesionales que estn desarrollando cursos o rediseando cursos ofrecidos actualmente. ISACA reconoce que las organizaciones educativas, ya sean universidades u otras organizaciones profesionales, van a tener fortalezas, debilidades y obstculos que debern ser considerados para desarrollar un plan de estudio. Como resultado, cada organizacin educativa va a capitalizar en sus fortalezas (como el talento o intereses de un educador) y querr minimizar los efectos de sus debilidades (e.g., recursos limitados de los educadores para ensear temas en particular) u obstculos (e.g., la cantidad de cursos dentro de un programa que pueden ser dedicados a los temas de auditora y control de SI). Entonces, no es realista esperar que una institucin sea capaz de cubrir todos los temas y sub-temas al nivel presentado en este modelo. La ISACA considerar la transferencia de horas dedicadas en otras reas, que sean en exceso a las recomendadas, en la evaluacin de cumplimiento con el modelo. El formato, arreglo y contenido del plan de estudio propuesto va a variar dependiendo de la acreditacin de la universidad y los requerimientos del gobierno.
Conclusin
La profesin de auditora y control de SI contina evolucionando. La publicacin del ITGI Control for Information and related Technology (COBIT) es un ejemplo de los objetivos de control de informacin tecnolgica que confrontan la gerencia, auditores, profesionales de SI y usuarios. Las universidades e instituciones educativas deben entender las necesidades de la comunidad profesional para proporcionar al mercado graduados que posean las destrezas requeridas y el conocimiento que los profesionales necesitan. El modelo acadmico de la ISACA proporciona a las universidades un marco conceptual bsico sobre de la educacin requerida para desarrollar las destrezas necesarias en la profesin. En el ambiente de negocios basado en informacin, profesionales de negocios que son tcnicamente competentes in SI, o especialistas en SI que entienden contabilidad, comercio u operaciones financieras, estn en gran demanda para carreras en auditora de SI. El especialista en SI y el auditor de SI deben recibir capacitacin contnua para actualizar sus conocimientos, destrezas y habilidades. Las universidades con el plan de estudios apropiado pueden educar candidatos que pueden ser empleados en auditora y control de SI. Una universidad proactiva que
patrocina un plan de estudios en auditora y control de SI es muy apreciada por los profesionales que desean cambiar sus carreras o actualizar sus destrezas para mejoramiento en el trabajo. El ISACA 2004 Model Curriculum for Information Systems Auditing and Control se puede ver como un razonable y comprensivo conjunto de temas relacionados con un programa ideal de auditora y control de SI. El modelo acadmico provee a las universidades alrededor del mundo la meta de trabajar para suplir la demanda de educacin de futuros profesionales en SI. Adicionalmente, el modelo puede servir para aquellos que estn interesados en la educacin de auditora de SI as como las instituciones educativas alrededor del mundo que estn desarrollando un plan de estudios en auditora y control de SI .
Determinar si el modelo acadmico acadmico continua satisfaciendo las necesidades actuales de la profesin de auditora de SI Identificar los cursos componentes adicionales para satisfacer esas necesidades, o los cursos por ser eliminados Actualizar las descripciones de cursos especficos en el Anexo del modelo actual Hacer cualquier revisin necesaria para reconciliar el modelo acadmico con la ms reciente edicin de COBIT, as como las reas de contenido actuales de CISA Formular un plan para estimular el inters actual y futuro de universidades en el modelo acadmico de la ISACA Crear un procedimiento para que las universidades presenten sus programas a la ISACA para revisin y confirmacin del cumplimiento con el modelo acadmico, y cuando el cumplimiento sea garantizado, mostrar esa informacin en la pagina Web de la ISACA Establecer un proceso de renovacin para reevaluacin de programas universitarios que asegure el cumplimiento con el modelo acadmico de la ISACA.
Una vez que la comisin de trabajo fue iniciada, sta concluy rpidamente que una mejor alternativa al "enfoque del curso" que el modelo original utiliz, sera desarrollar un modelo que presentara los temas que se cubriran en el programa y dejar que cada organizacin o ambiente educativo decidiera la manera en la cual su contenido educativo sera impartido. Este cambio signific que la comisin de trabajo no estara simplemente actualizando el modelo de 1998, sino que estara creando un modelo nuevo y revisado que las instituciones tradicionales de educacin y las organizaciones profesionales podra adoptar ms fcilmente sobre trminos mundiales.
COBIT fue considerado en la creacin del modelo y aunque es un marco robusto, se encontr que el contenido del examen de CISA es mejor para este ejercicio acadmico. Se debe notar que
los procesos de COBIT estn integrados en las reas de contenido del CISA (Ver el anexo 1, Importancia del Plan de Estudio de la ISACA para el Marco Conceptual de CobiT.) La direccin con respecto a la cantidad de cobertura educativa que se deba dedicar a cada tema incluido en el modelo acadmico necesitaba ser suficientemente clara para que los usuarios del modelo vean el beneficio de la comisin de trabajo, pero no tan restrictiva que reprimiera a los educadores del desarrollo o la enseanza de sus cursos o del desarrollo del plan de estudios total de un programa. La gua modelo proporciona horas recomendadas de tiempo de contacto con los estudiantes por cada tema, lo que se puede adaptar a los diversos ambientes educativos usados mindialmente. Para desarrollar estas estimaciones, la comisin de trabajo decidi que proporcionara la direccin solamente en los temas dentro del nivel de la categora y no procurara sugerir los tiempos del contacto para cada subtema en detalle. Con esta estructura, los instructores podran decidir si dedicaban ms tiempo a unos o ms subtemas dentro de un rea y quizs dedicar poco o nada de tiempo a otros subtemas. Conversaciones con acadmicos y profesionales alrededor del mundo indicaron que un plan de estudios comprensivo para capacitar a nuevos auditores de SI y profesionales del control frecuentemente incluira alrededor de 300 horas del contacto. Esta estimacin de 300 horas representa el tiempo de siete cursos en el sistema de tres hora-crditos , o cerca de seis cursos en el sistema de cinco hora-crditos basados en trimestres. Por supuesto, las 300 horas se podan dictar en una variedad de formatos incluyendo una serie de seminarios educativos de ocho horas. La comisin de trabajo entendi que las instituciones probablemente tendran reas que fueron incluidas en su plan de estudios que eran distintas a las reas incluidas en otras instituciones. Estas diferencias son normales y el modelo acadmico de ISACA da un plazo para la enseanza de estos temas que difieren y establece la cobertura de temas que se requiere en solamente 244 horas de tiempo de contacto (cerca de 80 por ciento de las 300 horas en muchos programas). Las horas adicionales en el programa de una institucin se pueden centrar en los temas identificados no especficamente en el modelo (e.g., temas en el apndice 2, Destrezas Suplementarias Sugeridas de los Auditores de SI) o enfocado en la cobertura adicional de los temas modelo. Una institucin educativa o una organizacin profesional tambin puede estructurar sus componentes del sistema de enseanza (e.g., cursos, mdulos) para incluir cualquier tema dentro del modelo y no limitarse a una estructura predeterminada de componentes. Para determinar la conformidad con el modelo, una institucin o la organizacin debe crear un "mapa" de donde los temas del plan de estudio modelo se entregarn dentro de sus componentes educativos del sistema de enseanza. Este mapa podra ser tan simple como proporcionar una descripcin detallada de los cursos enseados en una universidad y observar dnde los artculos del modelo acadmico se cubren. (Una tabla de Conformidad con el Plan de estudio de la ISACA se encuentra en el anexo 3, Tabla de conformidad con el Plan de Estudio de la ISACA para la Auditora y Control de SI) Aunque es importante que los asuntos identificados en el modelo acadmico sean cubiertos, la ISACA reconoce que las organizaciones educativas, si son universidades u organizaciones profesionales, tendrn cada una las fuerzas, las debilidades y apremios institucionales que sern tratados al desarrollar un plan de estudios en su organizacin. El formato, el arreglo y el contenido del plan de estudios propuesto variarn dependiendo de requisitos de la acreditacin 10
de la universidad y a los requisitos del gobierno de su pas. Para las universidades con un programa en educacin en negocios en los E.E.U.U., el uso de los estndares de la Association to Advance Collegiate Schools of Business (AACSB) es un modelo aceptable para el diseo del plan de estudios puesto que el proceso de acreditacin es riguroso y mantiene alto respeto por muchas universidades alrededor del mundo. Se considerar la transferencia de horas en la cobertura de un rea en exceso al nmero de horas recomendadas en el modelo a otras reas. El modelo acadmico se disea con el propsito de preparar a un individuo para sacar un ttulo con un enfoque en auditora de SI dentro del alcance de un programa tpico. Un ttulo tpico de bachillerato o pos grado incluye programas en SI, contabilidad, comercio y finanzas. Los temas en el modelo acadmico se disean para proporcionar habilidades y capacidades a nuevos profesionales. (Ver anexo 2)
11
pudiera lograr por alguno de los otros mtodos educativos de enseanza incluyendo programas de aprendizaje a distancia. As, si un curso se rene por perodos concentrados en algunos fines de semana o se rene en un cuatrimestre de 10 semanas o en un semestre de 14 a 16 semanas, debe ser relativamente fcil determinar el tiempo de contacto en el que se discuti un tema. La direccin sobre horas de contacto se proporciona solamente en los niveles de tema dentro de las categoras, no para cada subtema detallado. Con esta estructura, los docentes de cualquier universidad o institucin educativa alrededor del mundo pueden decidir dedicar ms tiempo a unos o ms subtemas dentro de un rea y quizs dedicar poco o nada de tiempo a otros subtemas. La institucin educativa podra tambin estructurar sus componentes del sistema de enseanza (e.g., cursos, mdulos) para incluir cualquier tema dentro del modelo y no limitarse a una estructura predeterminada de componentes. Como se discuti previamente en este documento, los temas y subtemas estn organizados bajo las ms importantes categoras en el examen de CISA. La descripcin detallada de los temas y subtemas est incluida en las figuras indicadas en el Captulo 4 de ISACA Model Curriculum for IS Audit and Control. La categora de; proceso de auditora est dividida en ocho temas, cada uno con diferentes subtemas que van de dos a nueve. Los temas cubren el proceso completo de auditora desde los conceptos bsicos de auditora hasta las etapas de reporte y seguimiento de la auditora. Una detallada descripcin de los temas y subtemas se enumera en la Figura 1. La categora de planificacin y organizacin gerenciales de SI se divide en cinco reas que tienen de tres a nueve subtemas cada una. Esta categora se centra en reas de la gerencia del proceso de SI tales como proyectos, infraestructura, recursos humanos, asuntos legales y estndares. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 2. La categora de la infraestructura tcnica y de prcticas operacionales tambin incluye subtemas categorizados bajo un rea llamada gerencia del centro de servicio. sta incluye discusiones sobre decisiones de funcionamiento y del sistema de software, opciones de comunicacin de la red, opciones de la arquitectura de TI y gerencia de los centros de servicio. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 3. La categora de la proteccin de los activos de informacin incluye los principios lgicos de seguridad as como muchos asuntos de seguridad de la red, tales como firewalls, sistemas de deteccin de intrusos y consideraciones de codificacin. Las descripciones detalladas de estos temas y subtemas se enumeran en la Figura 4. La Figura 5 de la siguiente seccin proporciona los temas y subtemas para la categora de la recuperacin de desastres y la continuidad del negocio. sta incluye no solamente las responsabilidades de la gerencia, sino tambin el papel del profesional de aseguramiento en estos asuntos y la importancia de la cobertura de seguro como parte del plan. La categora de desarrollo de sistemas de aplicaciones de negocios, adquisicin, implementacin y mantenimiento incluye asuntos relacionados con el software de planificacin de recursos
12
empresariales, asuntos relacionados con la gerencia y la administracin de bases de datos, el ciclo de vida del desarrollo de sistemas, y consideraciones del desarrollo de software. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 6. La ltima categora, la evaluacin de procesos de negocios y gerencia de riesgo tiene solamente un tema y es la auditora y desarrollo de controles de aplicacin. Hay cuatro subtemas referentes a entrada, salida, y proceso de controles y documentacin de los sistemas de aplicacin. stos se enumeran en la Figura 7. Para determinar la conformidad con el modelo, la institucin educativa crea un "mapa" de dnde los temas del modelo acadmico se imparten dentro de sus componentes educativos del sistema de enseanza. Los pasos del proceso de hacer el mapa se detallan en la figura siguiente.
13
13
Temas
Horas
Administraci n de laAuditora
12
3 58
Figura 1 Proceso de Auditora Subtemas Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, ej., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, pistas de auditora intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: pruebas de controles vs. pruebas sustantivas, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/categorizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluacin de la calidad de la auditora y la revisin entre colegas Identificacin de la mejor prctica CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Capacitacin (interna/externa) Desarrollo profesional (certificaciones, participacin profesional, etc.) Evidencia: suficiente, confiable, pertinente, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar y probar Pruebas de control vs. pruebas sustantivas: naturaleza de las pruebas de control y las pruebas sustantivas y sus diferencias, tipos de pruebas de control , tipos de pruebas sustantivas Muestreo: conceptos de muestreo, enfoques estadsticos y no estadsticos, diseo y seleccin de muestras, evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (Computer-assisted audit techniques CAATs): necesidad, tipos, planificacin y uso de CAATs, enfoque de la auditora continuamente en lnea Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones reportables y alcanzar las conclusiones Revisin: proveer la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin
Figura 2 Gerencia, planificacin y organizacin de los sistemas de SI Horas Subtemas Gerencia de proyecto TI 10 Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico
14
Temas
Figura 2 Gerencia, planificacin y organizacin de los sistemas de SI Horas Subtemas Software de gerencia de control de calidad Administracon de la infraestructura de TI y arquitectura de TI, administracon de la configuracin Administracin de la entrega de TI (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: cuadro de mando integral Contratacin externa Aseguramiento de la calidad Acercamiento tcnico-social y cultural a la gerencia SI/IT planificacin estratgica estrategias competitivas e inteligencia de negocios: enlace con la estrategia corporativa Marco y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de apoyo para las decisiones ; clasificacin de los sistemas de 8 informacin Gerencia de recursos humanos de TI, polticas de los empleados, acuerdos y contratos Segregacin de tareas SI/TI entrenamiento y educacin Asuntos legales relacionados a la introduccin de TI a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes 9 Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI COBIT Pautas gerenciales para gerentes de SI/TI 6
Herramientas de Apoyo
4 37
Figura 3 Infraestructura Tcnica (TI) y Prcticas Operacionales Horas Subtemas 25 Arquitectura y estndares de TI Hardware: todo el equipo de TI incluyendo la unidad central, las mini computadoras, clientes/servidores, los enrutadores, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los proveedores que proporcionan servicios de comunicacin, etc. Controles fundamentales Seguridad / pruebas y validacin Herramientas de evaluacin y supervisin de desempeo Gobierno de TI Mantenimiento y Funcionamiento Supervisin de controles de TI y herramientas de evaluacin, como vigilancia de sistemas de control de acceso o vigilancia de incursin con sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799
15
Temas
Gerencia de Centros de Servicio: Mantenimiento de SI e TI por medio de Organizaciones dedicadas a estas actividades
Figura 3 Infraestructura Tcnica (TI) y Prcticas Operacionales Horas Subtemas Asuntos y consideraciones de centro de servicio vs. infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad Gerencia de Recurso/configuracin: cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (uso correcto del lenguaje de computadoras) Gerencia de problemas e incidentes Planificacin y estimacin de capacidad Gerencia de la distribucin de sistemas automatizados 12 Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Administracin del nivel de servicios Contingencia/ Respaldos y administracin de la recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Administracin de redes Gerencia de riesgo Principios claves de gerencia
Horas Totales
37
Horas 8 Figura 4Proteccin de Activos de Informacin Subtemas Tecnologa informatica y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemas en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad Comunicaciones y seguridad de la red: principios de la seguridad de la red, cliente y servidor, del Internet y de servicios tele-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de deteccin de intrusosintrusin, Cobita, revisiones de sistema Instalaciones de seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso
Temas Gerencia de la Seguridad de los Activos de Informacin Seguridad Lgica de Tecnologa Informatica
Seguridad Aplicada de IT: Recursos de Alta Tecnologa Seguridad Fsica y Ambiental Horas Totales
3 29
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Temas Horas Subtemas
16
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Temas Proteccin de la Arquitectura y Activos de la Tecnologa de Informacin: Planificacin de la Recuperacin del Desastre Seguros Horas Totales Horas Subtemas Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Descripcin de los seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
10
2 12
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocio Temas Horas Subtemas Componentes para manejar SI(datos-procesos-tecnologas-organizacin); entendiendo a los tenedores y sus requerimientos Mtodos de planificacin de SI: investigacin del sistema, oportunidades de proceso de Planificacin 9 integracin/reingeniera, evaluacin del riesgo, anlisis de costo/beneficio, gravamen de de SI riesgo; anlisis y diseo de los sistemas orientados a objetos Integracin de los usos de la empresa del software de ERP Supervisin del funcionamiento del porcentaje de disponibilidad contra acuerdos del porcentaje de disponibilidad, calidad del servicio, de la disponibilidad, del tiempo de reaccin, de la seguridad y de los controles, proceso la integridad, aislamiento, remedios, cumpliendo con los niveles de servicio acordados (SLAs por sus siglas en ingls) Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol de las bases de datos y Gerencia de sistemas de bases de datos incluyendo sistemas de Uso y gerencia del conocimiento, almacenes de datos) Gerencia de 16 Informacin Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); anlisis, evaluacin y diseo de los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor Estructura de datos y lenguaje bsico SQL Gerencia de proyecto de los sistemas de informacin: planificacin, organizacin, despliegue del recurso humano, control del proyecto, supervisin y ejecucin Mtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, evaluar y Desarrollo, disear las fases del desarrollo del ciclo de vida de un sistema (SDLC) Adquisicin y 12 Mantenimiento Acercamientos para el desarrollo del sistema: paquetes de software, prototipo, de Sistemas de reingeniera de proceso del negocio, herramientas CASE. Informacin Mantenimiento de sistemas y procedimientos para el control de cambios para modificaciones de sistemas Problemas de riesgo y control, analizar y evaluar caractersticas y riesgos del proyecto Impacto de TI 4 Contratacin externa de Procesos de Negocios (Business Process Outsourcing BPO)
17
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocio Temas Horas Subtemas en los Aplicacin de los problemas y de las tendencias del comercio electrnico Procesos y Soluciones de los Negocios Separacin de la especificacin e implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificacin y bsqueda de algoritmos Desarrollo del Manejo de archivos 11 Software Listas encadenadas y rboles binarios Creacin y manipulacin de la base de datos Principios del buen diseo de la pantalla y del informe Alineamiento del lenguaje de programacin Horas Totales 52 Temas Auditora y Desarrollo de Controles de Aplicacin Horas Totales Figura 7Evaluacin de los Procesos de Negocios y Gerencia de Riesgo Horas Subtemas Controles de entrada/ origen Procedimientos del control de proceso 19 Controles de salida Documentacin del sistema de aplicacin Pistas de Auditora 19
18
Anexo 1. Importancia del Plan de Estudio de la ISACA para el Marco Conceptual del CobiT
Figura 8. Importancia del Plan de Estudio de la ISACA para el Marco Conceptual del CobiT
Los recursos de IT consideran la gente, las aplicaciones de sistemas, la tecnologa, las instalaciones y los datos.
Los temas en el modelo acadmico de la ISACA fueron diseados para proveer destrezas profesionales y capacidad de nivel bsico en reas de negocio y comercio. Las siete reas de contenido de CISA (categoras) y sus subtemas son usados con el propsito de suministrar una estructura para organizar los asuntos en el modelo de la ISACA. Los procesos de TI son enfocados por COBIT, y es integrado en las reas de contenido del CISA. (Figura 8).
19
20
Anexo 3. Tabla de conformidad con el Modelo Acadmico de la ISACA para la Auditora y Control de SI
Para disear un programa para el Modelo Acadmico de la ISACA para la Auditora y Control se debe ingresar el nombre de el o los cursos o secciones en el programa que cubre cada descripcin del rea de temas o subtemas junto con la cantidad de tiempo (en horas) dedicado para cubrir el tema en cada tabla. Si un tema descrito no es cubierto, indique 0 (cero) en la columna de horas de contacto. Para cumplir el modelo, la cantidad total de horas debe ser por lo menos 244 y todas las reas en el modelo deben ser razonablemente cubiertas. Nota: Cuando se disee el programa de pos grado, se debe incluir los prerrequisitos del programa de pre-grado. Antes de empezar este proceso:
Obtenga los temarios actuales de los cursos. Las descripciones actuales y ampliadas de los
cursos proveen mayor detalle y constituyen un mejor recurso. Asegure que los libros de texto actuales sean un apoyo para las clases y que los materiales audio-visuales que pueden ser usados sean accesibles. Para una pregunta de contenido, refirase al libro de texto o a diapositivas de PowerPoint. Si alguno de los temas son enseados en otros departamentos o colegios, un representante que conozca lo que se ensea en esas clases puede colaborar. Por esta razn, un programa de pregrado puede tomar ms tiempo para ser diseado que un programa de pos grado. Un monitor doble que supervise la matriz modelo y el temario o descripcin del curso facilita el proceso. Los pasos del proceso de diseo se enlistan en la Figura 9.
Temas
Hrs
22
Temas
Hrs
13
Gerencia de la Auditora
Tabla 1Dominio del Proceso de la Auditora Nombre del CursoSubtemas Subtema Cubierto Practicas y tcnicas en la auditora de SI Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, Ej., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: Ej., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.)
Horas
23
Temas
Hrs
12
Tabla 1Dominio del Proceso de la Auditora Nombre del CursoSubtemas Subtema Cubierto Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, Ej., observar, preguntar, entrevistar y probar Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra
Horas
Horas Totales
58
Figura 2 Gerencia, Planificacin y Organizacin de Materias de Sistemas de Informacin Temas Hrs Subtemas Nombre del Curso Horas Gerencia de proyecto IT. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de IT, gerencia de la Gerencia de configuracin 10 Sistemas de Gerencia de entrega de IT (operaciones) y de Informacin apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia
24
Figura 2 Gerencia, Planificacin y Organizacin de Materias de Sistemas de Informacin Temas Hrs Subtemas Nombre del Curso Horas SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marco y aplicaciones de los sistemas de Planificacin informacin: tipos de SI - gerencia del Estratgica conocimiento, sistemas de ayuda de decisin; de Sistemas 8 clasificacin de los sistemas de informacin de Gerencia de recursos humanos de IT, Informacin polticas de los empleados, acuerdos y contratos Segregacin de deberes SI/TI adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Controversias Asuntos de propiedad intelectual en el en la espacio ciberntico: marcas registradas, 9 Gerencia de copyright y patentes Sistemas de Problemas ticos Informacin Privacidad Gobierno de TI Mantenimiento de SI/TI COBIT Guas de gerencia de marcos para gerentes de SI/IT Herramientas de Apoyo 6
4 37
Hrs 25
Figura 3 Infraestructura Tcnica (TI) y Practicas Operacionales Subtemas Nombre del Curso Arquitectura y estndares de TI Hardware: todo el equipo de TI incluyendo la unidad central, las mini computadoras, cliente/servidor, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los proveedores que proporcionan servicios de comunicacin, etc.
Horas
25
Temas
Hrs
Gerencia de Centros de Servicio: Mantenimie nto de SI y TI a travs de Organizacio nes dedicadas a estas actividades
Figura 3 Infraestructura Tcnica (TI) y Practicas Operacionales Subtemas Nombre del Curso Controles fundamentales Seguridad / pruebas y validacin Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Supervisin de controles de TI y herramientas de evaluacin, como vigilancia de los sistemas de control de acceso o vigilancia de los sistemas de deteccin de intrusos Gerencia de recursos de informacin e infraestructura: software de gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemas y consideraciones de centros de servicio vrs. infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y estimaciones de capacidad 12 Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia
Horas
26
Hrs 37
Figura 3 Infraestructura Tcnica (TI) y Practicas Operacionales Subtemas Nombre del Curso
Horas
Subtemas
Hrs
Figura 4Proteccin de Activos de Informacin Descripcin Nombre del Curso Tecnologa informatica y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad Comunicaciones y seguridad de la red: principios de la seguridad de la red, de cliente-servidor, del Internet y de servicios tele-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de deteccin de intrusos, Cobita, revisiones de sistema Instalaciones de seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso
Tiempo en horas
3 29
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Hrs Descripcin 10 Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan
Tiempo en horas
27
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Hrs Descripcin Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Descripcin de los seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
Tiempo en horas
Seguros
Horas Totales
12
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocios Temas Hrs Subtemas Nombre del Curso Horas Componentes para manejar SI(datosprocesos-tecnologas-organizacin); entendiendo los tenedores y sus requerimientos Mtodos de planificacin de SI: investigacin del sistema, oportunidades de Planificacin 9 proceso de integracin/reingeniera, de SI evaluacin del riesgo, anlisis de costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados a los objetos Integracin de los usos de la empresa del software de ERP Supervisando el funcionamiento del porcentaje de disponibilidad contra acuerdos del porcentaje de disponibilidad, Uso y calidad del servicio, de la disponibilidad, Gerencia de 16 del tiempo de reaccin, de la seguridad y Informacin de los controles, procesando la integridad, aislamiento, remedios, cumpliendo con los niveles de servicio acordados (SLAs por sus siglas en ingls) Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol de las bases de datos y administracin de sistemas de bases de datos incluyendo sistemas de gerencia del conocimiento , almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio
28
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocios Temas Hrs Subtemas Nombre del Curso Horas Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor Gerencia de proyecto de los sistemas de informacin: planificacin, organizacin, despliegue del recurso humano, control del proyecto, supervisin y ejecucin Mtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, evaluar y disear las fases del desarrollo Desarrollo, del ciclo de vida de un sistema (SDLC) Adquisicin y Acercamientos para el desarrollo del Mantenimiento 12 sistema: paquetes de software, prototipo, de Sistemas de reingeniera de proceso del negocio, Informacin herramientas CASE. Mantenimiento de sistemas y procedimientos para el control de cambios para modificaciones de sistemas Problemas de riesgo y control, analizar y evaluar caractersticas y riesgos del proyecto Impacto de TI BPO en los Aplicacin de las problemticas y de las 4 Procesos y tendencias del comercio electrnico Soluciones de los Negocios Separacin de la especificacin e implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificando y buscando algoritmos Desarrollo del 11 Manejo de archivos Software Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineamiento del lenguaje de programas Horas Totales 52 Temas Auditora y Desarrollo de Controles de Aplicacin Horas Totales Gran Total Figura 7Evaluacin de los Procesos de Negocios y Gerencia de Riesgo Hrs Subtemas Nombre del curso Controles de entrada/ origen Procedimientos del control de proceso 19 Controles de salida Documentacin del sistema de aplicacin 19 244 Horas Totales Figuras 1 a la 7 Horas
29
Anexo 4. Ejemplos de como disear Programas para el Modelo Acadmico de la ISACA en la Tabla de Cumplimiento
Bowling Green State University (BGSU), USA, Programa de Pre-Grado en Auditora de SI en la Tabla de Cumplimiento con el Plan de Estudio Modelo
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: Demanda por auditoras (e.g., teora de la agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de la auditora de sistemas de informacin: la necesidad del control y de la auditora de los sistemas de informacin computarizados Tipos de auditoras y de auditores: SI, externa, interna, gobierno, sector pblico Responsabilidad y la autoridad del auditor de SI: estatutos de la auditora; la contratacin externa de los servicios de auditora de SI Regulacin y control de la auditora de SI: Estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: materialidad usada en la auditora de SI en comparacin con la utilizada en la auditora de los estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y relevante. Independencia: necesidad de la independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de la auditora: riesgo inherente, riesgo del control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Practicas y tcnicas en la auditora de SI Nombre de los Cursos Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin Tiempo en horas 1 5 1
9 1
Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin
1 1 2
30
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, e.g., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.) Nombre de los Cursos Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I GSI 471 Anlisis y Diseo de los Sistemas Tiempo en horas 6 2 6
13
Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin
7 1
Gerencia de la Auditora
31
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar and probar Cumplimiento vs. prueba sustantiva: naturaleza de y diferencia entre cumplimiento y prueba sustantiva; tipos de pruebas de cumplimiento; tipos de pruebas sustantivas Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Nombre de los Cursos Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I Tiempo en horas 3 10
12
58
Total Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de proyecto IT. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de IT, gerencia de la configuracin Gerencia de entrega de IT (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia GSI 421 Comunicacin de datos de negocio y proceso distribuido GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
62 Tiempo en Horas 1 9 1
Hrs
Gerencia SI/IT
10
32
Sub-temas
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marcos y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de ayuda de decisin; clasificacin de los sistemas de informacin Gerencia de recursos humanos de IT, polticas de los empleados, acuerdos y contratos Segregacin de deberes IS/IT adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI GSI 200 Introduccin a Gerencia de Sistemas Cont 460 Contabilidad de los Sistemas de Informacin GSI 421 Comunicacin de datos de negocio y proceso distribuido Cont 456 Auditora y Control de los Sistemas de Informacin
Tiempo en Horas 2 1 2 2
GSI 200 Introduccin a Gerencia de Sistemas de Informacin Cont 460 Contabilidad de los Sistemas de Informacin GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
1 1 6 1
COBIT Guas de gerencia del marco para gerentes de SI/TI Marcos y Herramientas de Apoyo 6
Cont 460 Contabilidad de los Sistemas de Informacin Cont 456 Auditora y Control de los Sistemas de Informacin
1 1
4 37
32
Hrs 25
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Arquitectura y estndares de IT GSI 200 Introduccin a
Tiempo en horas 3
33
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Hardware: todo el equipo de IT incluyendo la unidad central, las mini computadoras, clientes/servidores, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los abastecedores de servicio que proporcionan servicios de comunicacin, etc. Controles de la lnea de fondo Seguridad / pruebas y validacin Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Monitoreo de controles de la TI y herramientas de evaluacin, como monitoreo de sistemas de control de acceso o monitoreo de incursin de sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de Gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemticas y consideraciones de centros de servicio vs. Infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de Sistemas de Informacin Cont 460 Contabilidad de los Sistemas de Informacin GSI 421 Comunicacin de datos de negocio y proceso distribuido
Tiempo en horas 3 27
12
Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad
Cont 460 Contabilidad de los Sistemas de Informacin GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
1 3 4
34
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y pronsticos de capacidad Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia
Tiempo en horas
37
Total Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Tecnologa informativa y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad GSI 200 Introduccin a Gerencia de Sistemas de Informacin MIS GSI 421Comunicacin de datos de negocio y proceso distribuido Cont 460 Contabilidad de los Sistemas de Informacin Cont 460 Contabilidad de los Sistemas de Informacin GSI 421Comunicacin de datos de negocio y proceso distribuido GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
41
Hrs
Tiempo en Horas 2 1 1 2 3 1 1 6 2
Seguridad Lgica de TI
35
Sub-temas
Hrs
Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Comunicaciones y seguridad de la red: principios de la seguridad de la red, del servidor de cliente, del Internet y de servicios tela-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de las detecciones de la intrusin, CobiT, revisiones de sistema Instalaciones de la seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso Cont 460 Contabilidad de los Sistemas de Informacin GSI 421Comunicacin de datos de negocio y proceso distribuido Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin
Tiempo en Horas 1 1 1 5
Cont 460 Contabilidad de los Sistemas de Informacin Cont 456 Auditora y Control de los Sistemas de Informacin Total
1 1
29
29
Hrs
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Descripcin Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Descripcin de los Seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa Cont 460 Contabilidad de los Sistemas de Informacin
Tiempo en Horas 1 1 1 4 1 1 1 10
Proteccin de la arquitectura y de los activos de la tecnologa de informacin: Planificacin de la Recuperacin Del Desastre
10
12
36
Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Componentes para manejar SI(datosCont 460 Contabilidad de 1 procesos-tecnologas-organizacin); los Sistemas de Informacin entendiendo los tenedores y sus GSI 421Comunicacin de 1 requerimientos datos de negocio y proceso distribuido Mtodos de planificacin de SI: 4 investigacin del sistema, oportunidades de GSI 471 Anlisis y Diseo Planificacin de los Sistemas 9 proceso de integracin/reingeniera, de SI evaluacin del riesgo, anlisis de costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados a los objetos Integracin de los usos de la empresa del software de ERP 2 Supervisando el funcionamiento del GSI 200 Introduccin a porcentaje de disponibilidad contra Gerencia de Sistemas de acuerdos del porcentaje de disponibilidad, Informacin MIS 6 calidad del servicio, de la disponibilidad, Cont 460 Contabilidad de del tiempo de reaccin, de la seguridad y los Sistemas de Informacin 1 de los controles, procesando la integridad, GSI 421Comunicacin de aislamiento, remedios, cumpliendo con los datos de negocio y proceso niveles de servicio acordados (SLAs por distribuido 3 sus siglas en ingls) GIS 470 Gerencia de la Datos e informacin: analizar, evaluar y 3 disear la arquitectura de informacin (i.e., Base de Datos Cont 456 Auditora y rol de las bases de datos y Gerencia de Uso y Control de los Sistemas de sistemas de bases de datos incluyendo Gerencia de 16 Informacin sistemas de gerencia del conocimiento , Informacin almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor 2 GSI 200 Introduccin a Gerencia de proyecto de los sistemas de Gerencia de Sistemas de informacin: planificacin, organizacin, despliegue del recurso humano, control del Informacin MIS 3 Cont 460 Contabilidad de proyecto, supervisin y ejecucin los Sistemas de Informacin Mtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, GSI 421Comunicacin de 2 evaluar y disear las fases del desarrollo datos de negocio y proceso Desarrollo, del ciclo de vida de un sistema (SDLC) distribuido Adquisicin y Acercamientos para el desarrollo del Mantenimiento 12 GSI 471 Anlisis y Diseo sistema: paquetes de software, prototipo, de Sistemas de de los Sistemas 3 reingeniera de proceso del negocio, Informacin Cont 456 Auditora y herramientas del CASE. Control de los Sistemas de Mantenimiento de sistemas y Informacin 2 procedimientos para cambios de controles para cambio de sistemas Problemticas de riesgo y control, analizar 37 y evaluar caractersticas y riesgos del proyecto
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistemas de Aplicacin de Negocios Subtemas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Impacto de TI BPO GSI 200 Introduccin a 1 en los Gerencia de Sistemas de Usos de las problemticas y de las Procesos y Informacin MIS Cont 456 tendencias del E-negocio 4 Soluciones de Auditora y Control de los 3 los Negocios Sistemas de Informacin Separacin de la especificacin y la implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificacin de los algoritmos Manejo de archivos Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineacin del lenguaje del programa Cont 460 Contabilidad de los Sistemas de Informacin GIS 470 Gerencia de la Base de Datos 2 12
Desarrollo de Programas
11
52
Total
51
Figura 7Evaluacin de Procesos de Negocios y Gerencia de Riesgo Nombre de los Cursos Hrs Descripcin Controles Entrada/originacin Procedimientos del control de proceso Controles de salida Documentacin de los sistemas de aplicacin Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin Total Total Bowling Green State University
Tiempo en Horas 1 1 12 5 19
19
244
Bowling Green State University (BGSU) tiene una especializacin dentro del Bachillerato o Pregrado en Ciencias de Administracin de Empresas (BCAE) llamado Auditora y Control de Sistemas de Informacin (ACSI). El ejemplo presentado anteriormente se refiere a los cursos ofrecidos dentro del programa de BCAE. Adems, BGSU ofrece un programa de Maestra en Contabilidad (Master of Accountancy MAcc) el cual requiere a cada uno de los candidatos el equivalente a un bachillerato en contabilidad antes de entrar al programa. EL MAcc ofrece una concentracin en ACSI el cual provee los cursos necesarios para complementar un bachillerato en contabilidad y adems cumplir con los requisitos del modelo de ISACA. Los nombres de los cursos y el nmero de stos difieren en el programa MAcc de los que se ofrecen bajo el programa de BSBA, pero el tema de stos es similar. Ambos programas, el MAcc y el BCAE se enfocan en cursos requeridos por el ACSI los cuales no son requeridos en el currculo de la 38
ISACA. La mayora de estos temas son similares a los presentados anteriormente en el Anexo 2 del modelo de la ISACA. Resumen comentario: Una hora para completar la tabla por instructor multiplicado por seis instructores mas seis horas para coordinar y resumir = total 12 horas de tiempo en disear el programa. Las horas son para los temas principales con descripciones adicionales para los subtemas. Los estimados de las horas son solamente requeridos al nivel de concentracin. El formato permite una amplia diferenciacin en programas que siguen el modelo acadmico. Temas tales como la tica pueden ser enfatizados a lo largo del programa pero puede ser que no se traten como una leccin de tica. Ya que muchos de los cursos no estn diseados exclusivamente por el programa de la ISACA, pueden haber amplias fluctuaciones en los contenidos de los cursos de un instructor a otro y de un semestre a otro.
39
California State Polytechnic University, USA, MSBA-IS Audit Graduate Program Tabla de Cumplimiento con el Modelo Acadmico
Figura 1 - Proceso de Auditora Sub-tema Hrs Descripcin Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: Demanda por auditoras (e.g., teora de la agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de la auditora de sistemas de informacin: la necesidad del control y de la auditora de los sistemas de informacin computarizados Tipos de auditoras y de auditores: SI, externa, interna, gobierno, sector pblico Responsabilidad y la autoridad del auditor de SI: estatutos de la auditora; la contratacin externa de los servicios de auditora de SI Regulacin y control de la auditora de SI: Estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: materialidad usada en la auditora de SI en comparacin con la utilizada en la auditora de los estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y relevante. Independencia: necesidad de la independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de la auditora: riesgo inherente, riesgo del control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Practicas y tcnicas en la auditora de SI Nombre de los Cursos CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de TI Tiempo en horas 2 4 2
CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial CIS 433 Auditora de SIC GBA554 Client Server Computing
3 3
2 2 5
2 1 2 1 4 3 1
13
Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI
40
Figura 1 - Proceso de Auditora Sub-tema Hrs Descripcin Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, e.g., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.) Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar and probar Nombre de los Cursos GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial Tiempo en horas 2 3
CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial
3 3 3
CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin
2 3 2
Gerencia de la Auditora
12
2 8
41
Figura 1 - Proceso de Auditora Sub-tema Hrs Descripcin Cumplimiento vs. prueba sustantiva: naturaleza de y diferencia entre cumplimiento y prueba sustantiva; tipos de pruebas de cumplimiento; tipos de pruebas sustantivas Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Nombre de los Cursos GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin Tiempo en horas 2 1
CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin Total
2 1 1 90
58
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de proyecto TI. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de TI, gerencia de la configuracin Gerencia de entrega de IT (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia GBA 673/674 Seminario en Gerencia de SI CIS 433 Auditora de SI
Tiempo en Horas 6
1 GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client Server Computing 1 2 3
Gerencia SI/TI
10
42
Sub-temas
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marcos y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de ayuda de decisin; clasificacin de los sistemas de informacin Gerencia de recursos humanos de IT, polticas de los empleados, acuerdos y contratos Segregacin de deberes IS/IT adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI GBA 673/674 Seminario en Gerencia de SI GBA 557 Comunicacin de Datos Computarizado CIS 433 Auditora de SI GBA 577 Auditora Avanzada de TI
Tiempo en Horas 6 4 1 1
COBIT Guas de gerencia del marco para gerentes de SI/TI COBIT uso de auditoras como apoyo para el ciclo del negocio Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL
Hrs Totales
37
GBA 673/674 Seminario en Gerencia de SI GBA 560 Ambiente Legal de Sistemas de Informacin CIS 433 Auditora de SI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 554 Client Server Computing GBA 557 Comunicacin de Datos Electrnicos CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 673/674 Seminario en Gerencia de SI GBA 673/674 Seminario en Gerencia de SI GBA 577 Auditora Avanzada de Sistemas de Informacin CIS 433 Auditora de SI GBA 554 Client Server Computing GBA 557 Comunicacin de Datos Electrnicos Total
3 8 1 3 1 1 1 2 2 2 2 2 2 2 1 1 1 1 60
43
Sub-temas
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Arquitectura y estndares de IT Hardware: todo el equipo de IT incluyendo la unidad central, las mini computadoras, clientes/servidores, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los abastecedores de servicio que proporcionan servicios de comunicacin, etc. Controles de la lnea de fondo Seguridad / pruebas y validacin Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Monitoreo de controles de la TI y herramientas de evaluacin, como monitoreo de sistemas de control de acceso o monitoreo de incursin de sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de Gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemticas y consideraciones de centros de servicio vs. Infraestructuras tcnicas propietarias Sistemas abiertos GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client-Server Computing GBA 673/674 Seminario en Gerencia de SI CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 578 Seguridad y Privacidad de Sistemas de Informacin
Tiempo en horas 7 8 6 2 2
25
12
Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad
GBA 673/674 Seminario en Gerencia de SI GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos
4 5 6
44
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y pronsticos de capacidad Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia GBA 577 Auditora Avanzada de SI CIS 433 Auditora de SIC GBA 578 Seguridad y Privacidad de los SI
Tiempo en horas 2 2 2
37
Total Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Tecnologa informativa y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad CIS 433 Auditora de SIC GBA 560 Ambiente Legal de los Sistemas de Informacin GBA 577 Auditora Avanzada de SI GBA 578 I S Privacidad y Seguridad GBA 673/674 Seminario de GSI CIS 433 Auditora de SIC GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de SI GBA 578 I S Seguridad y Privacidad de los SI
48
Hrs
Tiempo en Horas 1 1 2 5 2 2 2 2 2 4
Seguridad Lgica de TI
45
Sub-temas
Hrs
Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Comunicaciones y seguridad de la red: principios de la seguridad de la red, del servidor de cliente, del Internet y de servicios tela-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de las detecciones de la intrusin, CobiT, revisiones de sistema Instalaciones de la seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso CIS 433 Auditora de SIC GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los SI
Tiempo en Horas 1 2 4 3 2
Horas Totales
29
CIS 433 Auditora de SIC GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los SI GBA 673/674 Seminario de GSI Total
2 1 1 1 2 1 43
46
Subtemas
Hrs
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Descripcin Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los SI GBA 673/674 Seminario de Gerencia de SI GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client-Server Computing GBA 608/609 Problemticas y Practica de la Contabilidad Gerencial CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los Sistemas de Informacin GBA 608/609 Problemticas y Practica de la Contabilidad Gerencial Total
Proteccin de la arquitectura y de los activos de la tecnologa de informacin: Planificacin de la Recuperacin Del Desastre
Tiempo en Horas 2 2 3 4 3 2 2
10
Seguro
Descripcin de los Seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
1 3 1 2 2
Horas Totales
12
27
47
Figura 6 -- Desarrollo, adquisicin, implementacin y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Componentes para manejar SI(datosCIS 433 Auditora de SIC 1 procesos-tecnologas-organizacin); GBA 673/674 Seminario entendiendo los tenedores y sus en Gerencia de SI 4 requerimientos GBA 522 Anlisis y Diseo del Sistema 12 Mtodos de planificacin de SI: investigacin del sistema, oportunidades de GBA 554 Client-Server Planificacin Computing 3 9 proceso de integracin/reingeniera, de SI evaluacin del riesgo, anlisis de costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados a los objetos Integracin de los usos de la empresa del software de ERP Supervisando el funcionamiento del CIS 433 Auditora de SIC 1 porcentaje de disponibilidad contra GBA 560 Ambiente Legal acuerdos del porcentaje de disponibilidad, 2 de SI calidad del servicio, de la disponibilidad, GBA 554 Client-Server del tiempo de reaccin, de la seguridad y 3 Computing de los controles, procesando la integridad, GBA 522 Anlisis y Diseo aislamiento, remedios, cumpliendo con los del Sistema 8 niveles de servicio acordados (SLAs por GBA 524 Programacin e sus siglas en ingls) Implementacin del Sistema 8 Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol de las bases de datos y Gerencia de Uso y sistemas de bases de datos incluyendo Gerencia de 16 sistemas de gerencia del conocimiento , Informacin almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor 1 CIS 433 Auditora de SIC Gerencia de proyecto de los sistemas de 2 GBA 560 Ambiente Legal informacin: planificacin, organizacin, despliegue del recurso humano, control del de SI 3 GBA 557 Comunicacin de proyecto, supervisin y ejecucin Datos Electrnicos Mtodos tradicionales para el desarrollo 2 GBA 554 Client-Server del ciclo de vida del sistema; analizar, Computing evaluar y disear las fases del desarrollo Desarrollo, 8 GBA 522 Anlisis y Diseo del ciclo de vida de un sistema (SDLC) Adquisicin y del Sistema Acercamientos para el desarrollo del Mantenimiento 12 8 GBA 524 Programacin e sistema: paquetes de software, prototipo, de Sistemas de Implementacin del Sistema reingeniera de proceso del negocio, Informacin herramientas del CASE. Mantenimiento de sistemas y procedimientos para cambios de controles para cambio de sistemas Problemticas de riesgo y control, analizar 48 y evaluar caractersticas y riesgos del proyecto
Figura 6 -- Desarrollo, adquisicin, implementacin y mantenimiento del sistema del uso de negocio Subtemas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Impacto de TI BPO CIS 433 Auditora de SIC 1 en los GBA 560 Ambiente Legal 2 Usos de las problemticas y de las Procesos y de SI tendencias del E-negocio Soluciones de GBA 615/616 Seminario en 3 4 los Negocios Comportamiento Organizacional GBA 673/674 Seminario en 2 Gerencia de SI CIS 433 Auditora de SIC 1 Separacin de la especificacin y la GBA 554 Client-Server 1 implementacin en la programacin Computing Metodologa de la especificacin de GBA 522 Desarrollo de 8 requisitos Sistemas Diseo del algoritmo; clasificacin de los 8 GBA 524 Programacin e algoritmos Desarrollo de 11 Implementacin del Sistema Programas Manejo de archivos Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineacin del lenguaje del programa Horas Total 92 52 Totales Sub-temas Figura 7Evaluacin de Procesos de Negocios y Gerencia de Riesgo Nombre de los Cursos Hrs Descripcin Controles Entrada/originacin Procedimientos del control de proceso Controles de salida Documentacin de los sistemas de aplicacin CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client-Server Computing GBA 522 Anlisis y Desarrollo de Sistemas GBA 524 Programacin e Implementacin del Sistema Total Gran Total California StatePolytechnic University Tiempo en Horas 1 3 1 1 10 8 24
19
Horas Totales
19
Gran Total
244
384
Diseo de Cursos: CIS 433 CIS Auditing required Directed elective for MSBA GBA 522 Desarrollo de Sistemas GBA 524 Programacin e Implementacin GBA 554 Client-Server Computing (Electiva) GBA 557 Comunicacin de Datos Electrnicos 49
GBA 560 Ambiente Legal de Sistemas de Informacin 4 unidades GBA 577 Auditora Avanzada de TI 4 unidades GBA 608/609 Problemticas de la Contabilidad Gerencial 3/1 unidades* GBA 615/616 Seminario en Comportamiento Organizacional 3/1 unidades* GBA 673/674 Seminario de Gerencia de Sistemas de Informacin 3/1 unidades* No cuentan: GBA 565/566 Presentaciones Efectivas usando Tecnologa GBA 691 Estudio Dirigido GBA 692 Estudio Independiente GBA 695 Proyecto de Investigacin de Negocios 3/1 unidades* 4 unidades 1 unidades 4 unidades
Horas para GBA 691, 692 y 695 pueden ser aplicadas a todas las reas o algunas reas dependiendo del tema y material que el estudiante graduado desea seguir. *Nota curso es 3 unidades de leccin por 1 unidad de proyecto aplicado o trabajo de investigacin. La Universidad/Colegio hizo esto por propsito de acreditacin para dar a sus cursos esenciales de postgrado ms distincin a la investigacin de negocios. El mismo numero de horas como las 4 unidades pero estas marcadas como 3/1.
50
VRIJE University, Netherlands, Graduate IT/IS Audit Program Tabla de Cumplimiento con el Modelo Acadmico
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: Demanda por auditoras (e.g., teora de la agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de la auditora de sistemas de informacin: la necesidad del control y de la auditora de los sistemas de informacin computarizados Tipos de auditoras y de auditores: SI, externa, interna, gobierno, sector pblico Responsabilidad y la autoridad del auditor de SI: estatutos de la auditora; la contratacin externa de los servicios de auditora de SI Regulacin y control de la auditora de SI: Estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: materialidad usada en la auditora de SI en comparacin con la utilizada en la auditora de los estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y relevante. Independencia: necesidad de la independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de la auditora: riesgo inherente, riesgo del control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Practicas y tcnicas en la auditora de SI Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Nombre de los Cursos Fundamentos de Auditora son 24 en total de los cuales 8 son en estas materias Tiempo en horas 8
Fundamentos de Auditora son 24 en total de los cuales 8 son en estas materias Pero tambin tratado en el modulo de segundo y tercer ano y no se cuenta aqu
13
Fundamentos para Manejar Informacin de la Gerencia Horas dadas son estimadas a 24 del total de 84horas de este modulo. SOX es un Taller de 3
24
51
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, e.g., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.) Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar and probar Cumplimiento vs. prueba sustantiva: naturaleza de y diferencia entre cumplimiento y prueba sustantiva; tipos de pruebas de cumplimiento; tipos de pruebas sustantivas Nombre de los Cursos horas que no se cuenta aqu Parte de las 24 horas ya estn registradas para este subtema Tiempo en horas
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 36 del total de 84 de este modulo. Este modulo trata 8 casos para diferentes tipos de negocios y gobierno.
36
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 8 del total de 84 de este modulo.
Gerencia de la Auditora
12
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 8 del total de 84 de este modulo.
52
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Nombre de los Cursos Tiempo en horas
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 8 del total de 84 de este modulo. Total
58
108
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de proyecto TI. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de TI, gerencia de la configuracin Gerencia de entrega de IT (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marcos y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de ayuda de decisin; clasificacin de los sistemas de informacin Gerencia de Organizaciones de TI del total de 39 horas come 12 horas Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 8 son de este tema
Tiempo en Horas 12
Gerencia SI/TI
10
53
Sub-temas
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de recursos humanos de IT, polticas de los empleados, acuerdos y contratos Segregacin de deberes IS/IT adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI COBIT Guas de gerencia del marco para gerentes de SI/TI COBIT uso de auditoras como apoyo para el ciclo del negocio Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL Revisiones de cambio de control Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 8 son de este tema Asuntos Legal de TI un modulo de 18 horas Este tema es parte de la mayora de los mdulos de auditora.
Tiempo en Horas
18
Tcnicas Horas Totales Sub-temas Infraestructu ra Tcnica (Planificaci n, Implementac in y Practica Operacional)
4 37
54
Hrs 25
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Arquitectura y estndares de IT Hardware: todo el equipo de IT incluyendo la unidad central, las mini computadoras, clientes/servidores, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los abastecedores de servicio que proporcionan servicios de comunicacin, etc. Controles de la lnea de fondo Seguridad / pruebas y validacin Los dos mdulos: Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 52 horas son de este tema
Tiempo en horas 52
54
Sub-temas
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Monitoreo de controles de la TI y herramientas de evaluacin, como monitoreo de sistemas de control de acceso o monitoreo de incursin de sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de Gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemticas y consideraciones de centros de servicio vs. Infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y pronsticos de capacidad Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia Gerencia de Organizaciones de TI del total es 39 horas come 10 horas Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 8 son de este tema
Tiempo en horas
10
Gerencia de Centros de Servicio: Mantenimie nto de SI y IT a travs de Organizacio nes dedicadas a estas actividades
12
Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 52 horas son de este tema
52
55
Hrs 37
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Total
Sub-temas
Hrs
Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Tecnologa informativa y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad Comunicaciones y seguridad de la red: principios de la seguridad de la red, del servidor de cliente, del Internet y de servicios tela-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de las detecciones de la intrusin, CobiT, revisiones de sistema Instalaciones de la seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 8 horas son de este tema
Tiempo en Horas 8
Seguridad Lgica de TI
Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 40 horas son de este tema
40
Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 24 horas son de este tema
24
Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 2 horas son de este tema Total
29
74
56
Subtemas
Hrs
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Descripcin Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 8 horas son de este tema Gerencia de Organizaciones de TI del total de 39 horas como 4 horas Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 4 son de este tema Contado bajo la parte Asuntos Legales de TI de 18 horas arriba
Tiempo en Horas 8
Proteccin de la arquitectura y de los activos de la tecnologa de informacin: Planificacin de la Recuperacin Del Desastre
10
Seguro
Descripcin de los Seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
Horas Totales
12
Total
16
57
Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas 12 Componentes para manejar SI(datosAplicaciones en un Ambiente Distribuido es procesos-tecnologas-organizacin); 78 horas totales de las entendiendo los tenedores y sus cuales 12 horas para los requerimientos temas tres al cinco Mtodos de planificacin de SI: investigacin del sistema, oportunidades de mencionados aqu. Planificacin ERP es un caso de Taller 9 proceso de integracin/reingeniera, de SI para dos grupos (del evaluacin del riesgo, anlisis de mximo de 8 grupos) y no costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados se cuenta aqu a los objetos Integracin de los usos de la empresa del software de ERP 5 Supervisando el funcionamiento del Gerencia de porcentaje de disponibilidad contra Organizaciones de TI del acuerdos del porcentaje de disponibilidad, total de 39 horas como 5 calidad del servicio, de la disponibilidad, horas del tiempo de reaccin, de la seguridad y 20 de los controles, procesando la integridad, aislamiento, remedios, cumpliendo con los Aplicaciones en un niveles de servicio acordados (SLAs por Ambiente Distribuido es sus siglas en ingls) 78 horas totales de las cuales 20 horas para los Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., temas tres al cinco mencionados aqu. rol de las bases de datos y Gerencia de Uso y sistemas de bases de datos incluyendo Gerencia de 16 sistemas de gerencia del conocimiento , Informacin almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor 20 Gerencia de proyecto de los sistemas de Aplicaciones en un Ambiente Distribuido es informacin: planificacin, organizacin, despliegue del recurso humano, control del 78 horas totales de las cuales 20 horas para los proyecto, supervisin y ejecucin temas tres al cinco Mtodos tradicionales para el desarrollo mencionados aqu del ciclo de vida del sistema; analizar, evaluar y disear las fases del desarrollo Desarrollo, del ciclo de vida de un sistema (SDLC) Adquisicin y Acercamientos para el desarrollo del Mantenimiento 12 sistema: paquetes de software, prototipo, de Sistemas de reingeniera de proceso del negocio, Informacin herramientas del CASE. Mantenimiento de sistemas y procedimientos para cambios de controles para cambio de sistemas Problemticas de riesgo y control, analizar 58 y evaluar caractersticas y riesgos del proyecto
Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas 8 Impacto de TI BPO Aplicaciones en un Ambiente Distribuido es 78 en los Usos de las problemticas y de las horas totales de las cuales 8 Procesos y tendencias del E-negocio 4 horas para los temas tres al Soluciones de cinco mencionados aqu los Negocios Separacin de la especificacin y la implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificacin de los algoritmos Manejo de archivos Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineacin del lenguaje del programa Aplicaciones en un Ambiente Distribuido es 78 horas totales de las cuales 8 horas para los temas tres al cinco mencionados aqu 8
Desarrollo de Programas
11
52
Total
73
Figura 7Evaluacin de Procesos de Negocios y Gerencia de Riesgo Nombre de los Cursos Hrs Descripcin Controles Entrada/originacin Procedimientos del control de proceso Controles de salida Documentacin de los sistemas de aplicacin 19 Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 5 son de este tema Aplicaciones en un Ambiente Distribuido es 78 horas totales de las cuales 10 horas para los temas tres al cinco mencionados aqu Total VRIJE University Gran Total Taller durante un perodo de 18 semanas (max. 6 hrs por semana =108 hrs) donde cada grupo lleva acabo dos casos Gran Total Cursos de Postgraduado
Tiempo en Horas 5
10
Horas Totales
19
15
462 108
Gran Total
244
570
59
Informacin complementaria: Nuestro objetivo en los cursos es ensear al estudiante lo suficiente para darle la base para que pueda realizar (y luego manejar) auditoras de Tecnologa Informativa y auditoras de Sistemas de Informacin. Como un curso de pos grado tratamos de incluir toda la educacin necesaria de SI/TI. No podemos depender de cursos de pre grado para subir a los futuros auditores a un nivel graduado. En otras palabras los cursos de pos grado de la Universidad de Vrije incluyen la informacin requerida al nivel de pre grado. El curso dura 2.5 aos y se rene un da a la semana por 6 horas (1:00 p.m. a 7:30 p.m. con media hora para emparedados). El Taller no se cuenta dentro del perfil porque es un curso aprendiendo a aprender con mentores especficos para cada caso. La primera serie de casos contiene los siguientes: Auditora de Proyectos de Calidad Gerencial, Auditora de procedimientos claves de la Gerencia, Write Audit Approach for a Conversion Process, Auditora de Debida Diligencia. La segunda serie de casos trata sobre: Audit de SAP Operacional, Auditora de Terceras Partes Confiables, Audit of Unicenter (now TNG) pilot project, Benchmarking para una compaa. Los estudiantes usan alrededor de 45 horas de clase por persona (excluyendo horas contacto con el mentor) para las dos auditoras juntas. Los grupos son de un mnimo de 6 estudiantes lo cual significa que cada auditora promedia al menos una tarea que requiere 135 horas. El Taller es de 108 horas de las cuales 54 horas son horas contacto (incluyendo las presentaciones en grupo). Horas presentadas son horas contacto. Llenado a nivel de subtemas, lo cual no fue tan difcil de hacer. A este nivel de generalidad el encaje entre los mdulos de la Universidad de Vrije y el perfil no es perfecto.
60
Anexo 5. Acrnimos
ACMAssociation for Computing Machinery AGAAssociation of Government Accountants AICPAAmerican Institute of Certified Public Accountants AITPAssociation of Information Technology Professionals COCOCriteria of Control COSOCommittee of Sponsoring Organizations of the Treadway Commission IFACInternational Federation of Accountants IIAInstitute of Internal Auditors ISOInternational Organization for Standardization ITILInformation Technology Infrastructure Library NIANational Institute of Accountants
61
Anexo 6. Referencias
CISA Examination Areas, ISACA Certification Board, Rolling Meadows, IL, USA, 2003, www.isaca.org/cisa COBIT (Control Objectives for Information and related Technology) 3rd Edition, IT Governance Institute, Rolling Meadows, IL, USA, 2000, www.isaca.org/cobit Gallegos, Fred; Alan Lord; ISACA Model Curriculum 2004: Continuing to Invest in our Future, Information Systems Control Journal, Volume 6, 2004 Lord, A. T.; ISACA Model Curriculum 2004, International Journal of Accounting Information Systems, Volume 5, p. 251-265, 2 July 2004 Model Curricula for Information Systems Auditing at the Undergraduate and Graduate Levels, 1st Edition, Information Systems Audit and Control Association, Rolling Meadows, IL, USA, March 1998
62