Curricula CISA

ISACA Model Curriculum for IS Audit and Control
ISACA Model Curriculum

for
Information Systems Auditing and Control

Modelo acadmico de la ISACA para la Auditora y Control de Sistemas de Informacin
3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Phone: +1.847.590.7491 Fax: +1.847.253.1443 E-mail: research@isaca.org Web site: www.isaca.org
Information System Audit and Control Association Con ms de 35000 miembros en ms de 100 pases, la Information System Audit and Control Association (ISACA) (www.isaca.org) es un reconocido lder mundial en gobernabilidad de TI, control, seguridad y aseguramiento. Fundado en 1969, la ISACA patrocina conferencias internacionales, publica el Information Systems Control Journal (el Diario de Control de Sistemas de Informacin), desarrolla estndares internacionales de auditora y control de sistemas de informacin y administra el globalmente reconocido Certified Information Systems Auditor (CISA) designacin obtenida por ms de 35000 profesionales desde el inicio y la designacin del Certified Information Security Manager (CISM), una innovadora credencial ganada por 5000 profesionales en sus primeros dos aos. Negacin La Information System Audit and Control Association y los autores han diseado y creado esta publicacin, titulada ISACA Model Curriculum for IS Audit and Control (Modelo acadmico para la Auditora y Control de Sistemas de Informacin) principalmente como un recurso educativo para los profesionales acadmicos, profesionales de aseguramiento y profesionales de control. La ISACA no garantiza que el uso de este producto asegure un resultado exitoso. Esta publicacin no debe ser considerada como parte de ninguna informacin, procedimientos y evaluaciones formal o excluida de otra informacin, procedimientos y evaluaciones que son razonablemente dirigidas para obtener los mismos resultados. Para determinar la propiedad de cualquier procedimiento o evaluacin, los profesionales de seguridad y control debern usar su juicio profesional para cada circunstancia especfica de control presentada en un sistema particular o en el ambiente de tecnologa de informacin. Copias del plan de estudio modelo estn disponibles sin costo para todos los miembros de la ISACA, colegios y universidades y pueden ser obtenidas en www.isaca.org. Copias impresas estn disponibles por una pequea cantidad a travs de la librera de la ISACA. Enve un e-mail a bookstore@isaca.org para ms detalles. Acceso Derechos de autor 2004 por la Information System Audit and Control Association. Todos los derechos son reservados. Permiso expreso para reimpresin o reproduccin es concedida solamente a las instituciones acadmicas con fines educativos, y debe incluir un reconocimiento completo de la fuente del material . Ningn otro derecho o permiso es concedido con respecto a este trabajo. Information System Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008, USA Phone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: info@isaca.org Web sites: www.isaca.org ISBN 1-893209-85-7 ISACA Model Curriculum for IS Audit and Control Impreso en los Estados Unidos de Amrica
Reconocimiento
ISACA desea reconocer a:
El Consejo de Fideicomisarios por su apoyo
Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young, LLP, USA, International President Abdul Hamid Bin Abdullah, CISA, CPA, Auditor Generals Office, Singapore, Vice President Ricardo J. Bria, CISA, SAFE Consulting, Argentina, Vice President Everett C. Johnson, CPA, Deloitte & Touche LLP, USA, Vice President Dean R.E. Kingsley, CISA, CISM, CA, Deloitte Touche Tohmatsu, Australia, Vice President Eddy Schuermans, CISA, PricewaterhouseCoopers LLP, Belgium, Vice President Robert S. Roussey, CPA, University of Southern California, USA, Past International President Paul A. Williams, FCA, MBCS, Paul Williams Consulting, United Kingdom, Past International President Emil G. DAngelo, CISA, Bank of Tokyo-Mitsubishi, USA, Trustee Ronald Saull, CSP, The Great-West Life Assurance Company, Canada, Trustee Erik Guldentops, CISA, CISM, Advisor IT Governance Institute
Miembros de la Comisin de Trabajo del Modelo Acadmico

Chair, Alan T. Lord, Ph.D., CISA, CPA, Bowling Green State University, USA Jos Roberto Alpzar Fallas, CPA, Universidad de Costa Rica, Costa Rica Peter Best, Ph.D., CPA, CA, FCP, Q.U.T. Accountancy, Australia J. Efrim Boritz, Ph.D., CISA, FCA, University of Waterloo, Canada Allen Bragan, CISA, CPA, CGFM, DABFA, University of Alabama, USA Richard Fisher, CISA, CA, CMA, Lincoln University, New Zealand Frederick Gallegos, CISA, CGFM, California State Polytechnic University, USA S. Michael Groomer, Ph.D., CISA, CPA, CITP, Indiana University, USA Rodger Jamieson, Ph.D., CPA, CA, University of New South Wales, Australia Dong Soo Lee, CISA, Jeongwoo Infotech Co., Ltd., Korea Edmundo Marroquin Tovar, CISA, Universidad Panamericana, Mxico K. Subramanian, Ph.D., CAG/NIC, India Wim Van Grembergen, Ph.D., University of Antwerp, Belgium Margaret E. van Biene-Hershey, Vrije University, Netherlands G. (John) van der Pijl, Ph.D., Erasmus University, Netherlands Hiroshi Yoshida, Ph.D., Nagoya Bunri University, Japan
Comit de Relaciones Acadmicas

Chair, Alan T. Lord, Ph.D., CISA, CPA, Bowling Green State University, USA Anjay Agarwal, CISA, ACS, CA, CFE, CIA, Anjay Agarwal & Co., India Rosemary Amato, CISA, CMA, CPA, Deloitte & Touche LLP, Netherlands Ashutosh Deshmukh, Ph.D., CISA, CA, CFE, Pennsylvania State University, USA Peter Edwards, Ph.D., University of Sydney, Australia Regina Garza Roche, Gobierno del Estado de Yucatn Secretara De la Contralora General, Mxico Wanbil William Lee, Caritas Francis Hsu College, Hong Kong Balint Molnar, Ph.D., CISA, MTA IT Foundation, Hungary Randall Craig Reid, Ph.D., CISA, CISSP, University of West Florida, USA Kaustav Sen, Ph.D., CISA, Pace University, USA Smita Dilip Totade, Ph.D., CISA, CISM, National Insurance Academy, India Woon (Dan) Kwan Tse CISA, CISM, CISSP, City University, Hong Kong Markus Warncke, CISA, CIA, CFE, CCSA, Villeroy & Boch AG, Germany
Traductores
Estudiantes del Programa de Maestra en Contabilidad 2004-2005, Bowling Green State University, USA Michelle Carolina Hemlepp Ivn Negrn Jafet Pabn
Tabla de Contenidos
1. ANTECEDENTES 2. DESARROLLO DEL PLAN DE ESTUDIO DE LA ISACA 3. USO DEL PLAN DE ESTUDIO DE LA ISACA 4. PLAN DE ESTUDIO MODELO PARA LA AUDITORA Y CONTROL DE SI ANEXO 1. IMPORTANCIA DEL PLAN DE ESTUDIO DE LA ISACA PARA EL MARCO CONCEPTUAL DEL COBIT ANEXO 2. DESTREZAS SUPLEMENTARIAS SUGERIDAS DE LOS AUDITORES DE SI ANEXO 3. TABLA DE CONFORMIDAD CON EL PLAN DE ESTUDIO DE LA ISACA PARA LA AUDITORA Y CONTROL DE SI ANEXO 4. EJEMPLOS DE COMO DISEAR PROGRAMAS PARA EL PLAN DE ESTUDIO MODELO DE LA ISACA EN LA TABLA DE CUMPLIMIENTO ANEXO 5. ACRNIMOS ANEXO 6. REFERENCIAS Pginas 5 8 11 13 19 20 21 30 61 62
1. Antecedentes
Historia de la ISACA
La evolucin de la de tecnologa de informacin (TI) afecta el ambiente de negocios de manera significativa. Esta evolucin cambia las prcticas de negocios, reduce costos y altera la manera en que los sistemas deben ser controlados. Adicionalmente, incrementa el nivel de conocimiento y destrezas requeridos para controlar y auditar sistemas de informacin e incrementa la necesidad de profesionales bien educados en los campos de gobernabilidad, aseguramiento, seguridad y control de los sistemas de informacin (SI). Esta necesidad fue reconocida por la asociacin fundada en 1969 que ahora se conoce como la Information Systems Audit and Control Association (ISACA). ISACA fue inicialmente formada, y continua existiendo, para satisfacer las nicas y diversas necesidades de alta tecnologa en el continuamente desarrollado campo de la tecnologa de informacin. En una industria donde el cambio es constante, ISACA se ha movido con agilidad y rapidez para conectar las necesidades de la comunidad de negocios internacionales con la comunidad de control de tecnologa de informacin. ISACA ha llegado a ser la organizacin lder en gobernabilidad de tecnologa de informacin, aseguramiento, seguridad y control. Los aproximadamente 35000 consultores, profesionales de seguridad, auditores de SI y altos ejecutivos que hacen ISACA han establecido 160 captulos dispersos en ms de 65 de 100 pases representados por la membresa. En las tres y media dcadas desde su comienzo, ISACA ha llegado a ser la organizacin que fija el ritmo de profesionales de gobernabilidad de informacin, aseguramiento, seguridad y control. Su auditora de SI y estndares de control de SI son seguidos por practicantes alrededor del mundo y su certificacin, Certified Information System Auditor (CISA), es reconocida globalmente y obtenida por ms de 30000 profesionales. La recientemente desarrollada certificacin de Certified Information Security Manager (CISM) orientada nicamente a la audiencia de seguridad de informacin. Adicionalmente, ISACA publica el Information Systems Control Journal, una revista lder en el campo de control de informacin y patrocina una serie de conferencias internacionales enfocadas en temas tcnicos y gerenciales. Juntos, ISACA y su IT Governance Institute afiliado dirigen a la comunidad de control de tecnologa de informacin y sirve a sus practicantes proveyendo los elementos necesarios a travs de profesionales de TI en el siempre cambiante ambiente del mundo.
Necesidad de un Plan de Estudio

Por varios aos empleadores han estado buscando cubrir posiciones con profesionales en contabilidad y aseguramiento que posean una educacin en auditora, control e informacin tecnolgica y se espera que la demanda crezca en el futuro. Con frecuencia los empleadores han tenido dificultad en localizar suficiente nmero de candidatos adecuadamente preparados para los puestos vacantes. Los profesionales que s poseen la educacin requerida, usualmente obtienen su educacin formal en auditora de sistemas de informacin en una de estas tres maneras:
Participacin en una mezcla de entrenamiento laboral y programas internos. Este mtodo de educacin requiere que un profesional sea un empleado de una organizacin y es ms apropiado donde la tecnologa presentada ha sido adoptada e implementada por una organizacin particular. El entrenamiento laboral y los programas internos se ajustan para proporcionar a los empleados la educacin en un rea bien definida y con enfoque limitado, pero no se ajustan para ofrecer una educacin con bases amplias para los participantes. Participacin en talleres/seminarios presentados por organizaciones profesionales o comerciales. Este mtodo est disponible para profesionales de diferentes organizaciones y es valioso en presentar informacin que es nueva o en explorar varios acercamientos a los problemas de la auditora de SI. En el ambiente de talleres/seminarios, el grupo puede compartir perspectivas no disponibles por un solo instructor. Sin embargo, los talleres/seminarios son usualmente ms costosos, quitan tiempo de oficina y no proveen profunda capacidad tcnica y prctica requerida en auditora de SI. ISACA es bien reconocida por el desarrollo y ofrecimiento de talleres y seminarios de alta calidad. Participacin en programas de ttulo universitario o certificados que estn dictados en un ambiente estudiantil ya sea a tiempo completo o tiempo parcial. Estos programas pueden conducir a ttulos de bachillerato, pos grados, certificados o diplomas especializados. Este es el mtodo que puede proveer a los profesionales (o futuros profesionales) la ms profunda y amplia experiencia educativa. Por eso, ste es el mtodo que la ISACA ha seguido con el currculo.
Normalmente, los estudiantes que desean ingresar a la profesin de auditora de sistemas de informacin, y carecen de experiencia en negocios, buscan obtener conocimiento, destrezas y habilidades requeridas por medio de trabajo en cursos de negocios complementado con prcticas laborales. Alrededor del mundo, las universidades estn intentando suplir la creciente demanda de los empleadores al preparar a los estudiantes para la profesin de auditora de sistemas. Al nivel universitario bsico, algunas universidades han empezado a integrar cursos de sistemas de informacin (SI) en los programas de contabilidad y negocios, y cursos de contabilidad y negocios en los programas de SI. Al nivel de postgrado, algunas universidades han desarrollado programas de aseguramiento ms enfocados en SI. Sin embargo, con frecuencia, las universidades se basan en los programas de contabilidad o sistemas de informacin existentes para preparar a los estudiantes para la profesin de auditora de sistemas de informacin. Desafortunadamente, los programas de contabilidad y de sistemas de informacin tradicionales, por si solos pueden ser inadecuados para satisfacer las necesidades de los empleadores. La tctica histrica y ms comn para este tipo de educacin es hacer que los estudiantes tomen un grupo de cursos esenciales de negocios y otros cursos seleccionados en una especialidad. (exp., contabilidad, sistemas de informacin o ciencias de la computacin) y luego los estudiantes pueden tomar uno o dos cursos en una segunda rea, como SI o contabilidad, usualmente sin coordinacin de los contenidos de los cursos entre las diferentes disciplinas. Los auditores de sistemas de informacin necesitan ser capaces de hacer frente al ritmo de cambios rpidos de tecnologa y ponerse al da regularmente con conocimiento tcnico competente. Eventos recientes, regulaciones gubernamentales y cambios el los procesos de negocios han afectado el rol de la auditora de SI y la metodologa que los auditores usan. Por eso, la profesin de auditora de SI debe entender las nuevas tecnologas, ser capaz de determinar su impacto en el proceso de control y los procedimientos de auditora y comunicar claramente
que las herramientas y tcnicas de recoleccin de evidencia han sido desarrolladas. El modelo acadmico no slo toma en consideracin los desafos tecnolgicos, sino tambin los asuntos relacionados con el mejoramiento de las habilidades orales y escritas. As, uno de los propsitos del modelo acadmico para la educacin en auditora de SI es enfocar el nivel de educacin formal ofrecida en las universidades. Este modelo est basado en las necesidades y expectativas de la profesin de control y auditora de SI y se basa en previas investigaciones de acadmicos, practicantes, organizaciones de auditora y organizaciones profesionales. Uno de los objetivos es identificar los componentes fundamentales del curso de auditora y control de SI para que las universidades puedan educar estudiantes en carreras en la profesin de auditora y control de SI y asistir estudiantes para que lleguen a ser competitivos en la profesin. Aunque los estudiantes no posean experiencia laboral real, los temas identificados en el modelo han sido seleccionados para que proporcionen a los estudiantes de pos grado destrezas y habilidades para la profesin. El modelo asocia las ofertas acadmicas con las necesidades de la profesin y provee un marco a las universidades y organizaciones profesionales que estn desarrollando cursos o rediseando cursos ofrecidos actualmente. ISACA reconoce que las organizaciones educativas, ya sean universidades u otras organizaciones profesionales, van a tener fortalezas, debilidades y obstculos que debern ser considerados para desarrollar un plan de estudio. Como resultado, cada organizacin educativa va a capitalizar en sus fortalezas (como el talento o intereses de un educador) y querr minimizar los efectos de sus debilidades (e.g., recursos limitados de los educadores para ensear temas en particular) u obstculos (e.g., la cantidad de cursos dentro de un programa que pueden ser dedicados a los temas de auditora y control de SI). Entonces, no es realista esperar que una institucin sea capaz de cubrir todos los temas y sub-temas al nivel presentado en este modelo. La ISACA considerar la transferencia de horas dedicadas en otras reas, que sean en exceso a las recomendadas, en la evaluacin de cumplimiento con el modelo. El formato, arreglo y contenido del plan de estudio propuesto va a variar dependiendo de la acreditacin de la universidad y los requerimientos del gobierno.
Conclusin
La profesin de auditora y control de SI contina evolucionando. La publicacin del ITGI Control for Information and related Technology (COBIT) es un ejemplo de los objetivos de control de informacin tecnolgica que confrontan la gerencia, auditores, profesionales de SI y usuarios. Las universidades e instituciones educativas deben entender las necesidades de la comunidad profesional para proporcionar al mercado graduados que posean las destrezas requeridas y el conocimiento que los profesionales necesitan. El modelo acadmico de la ISACA proporciona a las universidades un marco conceptual bsico sobre de la educacin requerida para desarrollar las destrezas necesarias en la profesin. En el ambiente de negocios basado en informacin, profesionales de negocios que son tcnicamente competentes in SI, o especialistas en SI que entienden contabilidad, comercio u operaciones financieras, estn en gran demanda para carreras en auditora de SI. El especialista en SI y el auditor de SI deben recibir capacitacin contnua para actualizar sus conocimientos, destrezas y habilidades. Las universidades con el plan de estudios apropiado pueden educar candidatos que pueden ser empleados en auditora y control de SI. Una universidad proactiva que
patrocina un plan de estudios en auditora y control de SI es muy apreciada por los profesionales que desean cambiar sus carreras o actualizar sus destrezas para mejoramiento en el trabajo. El ISACA 2004 Model Curriculum for Information Systems Auditing and Control se puede ver como un razonable y comprensivo conjunto de temas relacionados con un programa ideal de auditora y control de SI. El modelo acadmico provee a las universidades alrededor del mundo la meta de trabajar para suplir la demanda de educacin de futuros profesionales en SI. Adicionalmente, el modelo puede servir para aquellos que estn interesados en la educacin de auditora de SI as como las instituciones educativas alrededor del mundo que estn desarrollando un plan de estudios en auditora y control de SI .
2. Desarrollo del Plan de Estudio de la ISACA

ISACA ha reconocido por mucho tiempo la importancia de tener un modelo acadmico para asistir en el desarrollo de programas para profesionales aspirantes al aseguramiento de SI, y puso a disposicin el primer modelo en Marzo de 1998. Un comit mundial que representa docentes de 15 escuelas de pregrados y pos grados y practicantes de 20 compaas estuvo involucrado en el desarrollo del modelo, y otros especialistas de la ISACA que representan los intereses de investigacin, estndares, educacin y certificacin lo revisaron. El modelo fue basado en las necesidades y expectativas de la profesin de auditora de SI y la previa investigacin de acadmicos, practicantes, organizaciones de auditora y sociedades profesionales. El modelo acadmico fue considerado un documento viviente que debe ser continuamente actualizado. En los ltimos aos, asuntos que fueron identificados llevaron a la conclusin de que el plan de estudio modelo necesitaba actualizacin. El mejoramiento tecnolgico y la alta instruccin en computadoras de los estudiantes hicieron que los cursos recomendados y los cursos impuestos sean obsoletos. Nuevas tecnologas, que segn los profesionales de aseguramiento de TI eran importantes en su educacin, no existan cuando el modelo fue creado. Hubo temas enfatizados en el modelo que ahora son aceptados como parte de la instruccin en computadoras que poseen muchos de los estudiantes. El modelo fue presentado de acuerdo a cursos que seran ofrecidos en instituciones, pero actualmente, las universidades y organizaciones profesionales imparten programas educativos que usan una amplia variedad de formatos y estructuras. En marzo del 2000, el Comit de Relaciones Acadmicas de ISACA estableci una comisin de trabajo responsable de la actualizacin del modelo acadmico original. Un esfuerzo de reclutamiento mundial fue lanzado para identificar a miembros de la ISACA que estaban calificados e interesados en formar esta comisin de trabajo. En ltima instancia 15 individuos aceptaron la invitacin de colaborar. La comisin de trabajo predominantemente se compuso de acadmicos a tiempo completo, sin embargo, varios auditores profesionales de SI que estaban interesados en el desarrollo del modelo tambin fueron miembros. Durante el proceso de seleccin de la comisin de trabajo, se hizo el esfuerzo para asegurar una representacin mundial de la membresa de ISACA y el resultado fue que los miembros de la comisin de trabajo representaron a 11 pases en cinco continentes. La declaracin de la misin para la comisin de trabajo del nuevo modelo acadmico fue:
Determinar si el modelo acadmico acadmico continua satisfaciendo las necesidades actuales de la profesin de auditora de SI Identificar los cursos componentes adicionales para satisfacer esas necesidades, o los cursos por ser eliminados Actualizar las descripciones de cursos especficos en el Anexo del modelo actual Hacer cualquier revisin necesaria para reconciliar el modelo acadmico con la ms reciente edicin de COBIT, as como las reas de contenido actuales de CISA Formular un plan para estimular el inters actual y futuro de universidades en el modelo acadmico de la ISACA Crear un procedimiento para que las universidades presenten sus programas a la ISACA para revisin y confirmacin del cumplimiento con el modelo acadmico, y cuando el cumplimiento sea garantizado, mostrar esa informacin en la pagina Web de la ISACA Establecer un proceso de renovacin para reevaluacin de programas universitarios que asegure el cumplimiento con el modelo acadmico de la ISACA.
Una vez que la comisin de trabajo fue iniciada, sta concluy rpidamente que una mejor alternativa al "enfoque del curso" que el modelo original utiliz, sera desarrollar un modelo que presentara los temas que se cubriran en el programa y dejar que cada organizacin o ambiente educativo decidiera la manera en la cual su contenido educativo sera impartido. Este cambio signific que la comisin de trabajo no estara simplemente actualizando el modelo de 1998, sino que estara creando un modelo nuevo y revisado que las instituciones tradicionales de educacin y las organizaciones profesionales podra adoptar ms fcilmente sobre trminos mundiales.
Como se cre el modelo revisado

Se desarroll una lista inicial de los temas que cubriran ms de 350 asuntos.. Los temas entonces fueron agrupados de acuerdo con su urgencia e importancia. La comisin de trabajo consider que un marco era necesario para organizar todos los temas. La comisin de trabajo consider que las reas del contenido del examen de CISA podran proporcionar un marco para organizar los temas sin crear un plan de estudios de la preparacin de CISA. As, las siete reas para el examen de CISA y sus subtemas fueron utilizados para proporcionar una estructura y organizar los asuntos en el modelo acadmico. Las siete principales reas contenidas (categoras) en el examen de CISA son: Proceso de Auditora Planificacin Gerencial y Organizacin de SI Infraestructura Tcnica y Prcticas Operacionales Proteccin de Activos de Informacin Recuperacin de Desastres y Continuidad de Negocio Desarrollo de Sistemas de Aplicaciones de Negocios, Adquisicin, Implementacin y Mantenimiento Evaluacin de Procesos de Negocios y Gerencia de Riesgo
COBIT fue considerado en la creacin del modelo y aunque es un marco robusto, se encontr que el contenido del examen de CISA es mejor para este ejercicio acadmico. Se debe notar que
los procesos de COBIT estn integrados en las reas de contenido del CISA (Ver el anexo 1, Importancia del Plan de Estudio de la ISACA para el Marco Conceptual de CobiT.) La direccin con respecto a la cantidad de cobertura educativa que se deba dedicar a cada tema incluido en el modelo acadmico necesitaba ser suficientemente clara para que los usuarios del modelo vean el beneficio de la comisin de trabajo, pero no tan restrictiva que reprimiera a los educadores del desarrollo o la enseanza de sus cursos o del desarrollo del plan de estudios total de un programa. La gua modelo proporciona horas recomendadas de tiempo de contacto con los estudiantes por cada tema, lo que se puede adaptar a los diversos ambientes educativos usados mindialmente. Para desarrollar estas estimaciones, la comisin de trabajo decidi que proporcionara la direccin solamente en los temas dentro del nivel de la categora y no procurara sugerir los tiempos del contacto para cada subtema en detalle. Con esta estructura, los instructores podran decidir si dedicaban ms tiempo a unos o ms subtemas dentro de un rea y quizs dedicar poco o nada de tiempo a otros subtemas. Conversaciones con acadmicos y profesionales alrededor del mundo indicaron que un plan de estudios comprensivo para capacitar a nuevos auditores de SI y profesionales del control frecuentemente incluira alrededor de 300 horas del contacto. Esta estimacin de 300 horas representa el tiempo de siete cursos en el sistema de tres hora-crditos , o cerca de seis cursos en el sistema de cinco hora-crditos basados en trimestres. Por supuesto, las 300 horas se podan dictar en una variedad de formatos incluyendo una serie de seminarios educativos de ocho horas. La comisin de trabajo entendi que las instituciones probablemente tendran reas que fueron incluidas en su plan de estudios que eran distintas a las reas incluidas en otras instituciones. Estas diferencias son normales y el modelo acadmico de ISACA da un plazo para la enseanza de estos temas que difieren y establece la cobertura de temas que se requiere en solamente 244 horas de tiempo de contacto (cerca de 80 por ciento de las 300 horas en muchos programas). Las horas adicionales en el programa de una institucin se pueden centrar en los temas identificados no especficamente en el modelo (e.g., temas en el apndice 2, Destrezas Suplementarias Sugeridas de los Auditores de SI) o enfocado en la cobertura adicional de los temas modelo. Una institucin educativa o una organizacin profesional tambin puede estructurar sus componentes del sistema de enseanza (e.g., cursos, mdulos) para incluir cualquier tema dentro del modelo y no limitarse a una estructura predeterminada de componentes. Para determinar la conformidad con el modelo, una institucin o la organizacin debe crear un "mapa" de donde los temas del plan de estudio modelo se entregarn dentro de sus componentes educativos del sistema de enseanza. Este mapa podra ser tan simple como proporcionar una descripcin detallada de los cursos enseados en una universidad y observar dnde los artculos del modelo acadmico se cubren. (Una tabla de Conformidad con el Plan de estudio de la ISACA se encuentra en el anexo 3, Tabla de conformidad con el Plan de Estudio de la ISACA para la Auditora y Control de SI) Aunque es importante que los asuntos identificados en el modelo acadmico sean cubiertos, la ISACA reconoce que las organizaciones educativas, si son universidades u organizaciones profesionales, tendrn cada una las fuerzas, las debilidades y apremios institucionales que sern tratados al desarrollar un plan de estudios en su organizacin. El formato, el arreglo y el contenido del plan de estudios propuesto variarn dependiendo de requisitos de la acreditacin 10
de la universidad y a los requisitos del gobierno de su pas. Para las universidades con un programa en educacin en negocios en los E.E.U.U., el uso de los estndares de la Association to Advance Collegiate Schools of Business (AACSB) es un modelo aceptable para el diseo del plan de estudios puesto que el proceso de acreditacin es riguroso y mantiene alto respeto por muchas universidades alrededor del mundo. Se considerar la transferencia de horas en la cobertura de un rea en exceso al nmero de horas recomendadas en el modelo a otras reas. El modelo acadmico se disea con el propsito de preparar a un individuo para sacar un ttulo con un enfoque en auditora de SI dentro del alcance de un programa tpico. Un ttulo tpico de bachillerato o pos grado incluye programas en SI, contabilidad, comercio y finanzas. Los temas en el modelo acadmico se disean para proporcionar habilidades y capacidades a nuevos profesionales. (Ver anexo 2)
3. Uso del Plan de Estudio de la ISACA

La conformidad con el modelo acadmico de ISACA da derecho al programa para ser mostrado en el sitio de Internet de la ISACA y los graduados de un programa avalado califican para un ao de experiencia profesional hacia la certificacin para Auditor de Sistemas de Informacin Certificado (CISA). Los mtodos acostumbrados para impartir educacin a travs del mundo son muy diferentes. El modelo original, que fue introducido en mMarzo de 1998, ha funcionado razonablemente bien en los sistemas educativos que fueron estructurados con un "enfoque del curso". Sin embargo, las universidades en algunos pases no ofrecen programas de pos grado con los establecidos sistemas de cursos como medios primarios de educacin avanzada. En algunas reas, las universidades ofrecen programas de fin de semana que otorgan "certificados que son reconocidos y valorados en el ambiente de trabajo profesional de esos pases. En otros pases la educacin que sera similar a la promovida por el modelo 1998 no es ofrecida por las universidades, sino por captulos de sociedades profesionales tales como colegios de contadores y captulos de la ISACA. El Modelo Acadmico 2004 para la Auditora y Control de Sistemas de Informacin de la ISACA cubre temas propuestos por una amplia gama de miembros de la ISACA que tienen campos de especializacin en gobierno de SI, aseguramiento, seguridad y control. Los temas y subtemas seleccionados para la inclusin en el modelo se han considerado como importantes para resolver las expectativas de conocimiento del recin graduado de universidad que busca una posicin del nivel de entrada en auditora de SI y en el campo del control. Los varios temas y subtemas incluidos en el modelo acadmico estn acompaados por las estimaciones de horas de contacto que proporcionan direccin con respecto a la cantidad de cobertura educativa que se debe dedicar a cada rea. Estas estimaciones fueron determinadas con base en la experiencia y el conocimiento del Comit de Relaciones Acadmicas de la ISACA, la Comisin de Trabajo para el Modelo acadmico y de los participantes de un taller de COBIT en la Educacin. Los participantes del taller eran acadmicos de alrededor del mundo con experiencia en enseanza de COBIT en sus clases. Se prev que las horas de contacto seran tpicamente en un cierto tipo de sala de clase, pero est diseado de modo que el contacto se
11
pudiera lograr por alguno de los otros mtodos educativos de enseanza incluyendo programas de aprendizaje a distancia. As, si un curso se rene por perodos concentrados en algunos fines de semana o se rene en un cuatrimestre de 10 semanas o en un semestre de 14 a 16 semanas, debe ser relativamente fcil determinar el tiempo de contacto en el que se discuti un tema. La direccin sobre horas de contacto se proporciona solamente en los niveles de tema dentro de las categoras, no para cada subtema detallado. Con esta estructura, los docentes de cualquier universidad o institucin educativa alrededor del mundo pueden decidir dedicar ms tiempo a unos o ms subtemas dentro de un rea y quizs dedicar poco o nada de tiempo a otros subtemas. La institucin educativa podra tambin estructurar sus componentes del sistema de enseanza (e.g., cursos, mdulos) para incluir cualquier tema dentro del modelo y no limitarse a una estructura predeterminada de componentes. Como se discuti previamente en este documento, los temas y subtemas estn organizados bajo las ms importantes categoras en el examen de CISA. La descripcin detallada de los temas y subtemas est incluida en las figuras indicadas en el Captulo 4 de ISACA Model Curriculum for IS Audit and Control. La categora de; proceso de auditora est dividida en ocho temas, cada uno con diferentes subtemas que van de dos a nueve. Los temas cubren el proceso completo de auditora desde los conceptos bsicos de auditora hasta las etapas de reporte y seguimiento de la auditora. Una detallada descripcin de los temas y subtemas se enumera en la Figura 1. La categora de planificacin y organizacin gerenciales de SI se divide en cinco reas que tienen de tres a nueve subtemas cada una. Esta categora se centra en reas de la gerencia del proceso de SI tales como proyectos, infraestructura, recursos humanos, asuntos legales y estndares. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 2. La categora de la infraestructura tcnica y de prcticas operacionales tambin incluye subtemas categorizados bajo un rea llamada gerencia del centro de servicio. sta incluye discusiones sobre decisiones de funcionamiento y del sistema de software, opciones de comunicacin de la red, opciones de la arquitectura de TI y gerencia de los centros de servicio. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 3. La categora de la proteccin de los activos de informacin incluye los principios lgicos de seguridad as como muchos asuntos de seguridad de la red, tales como firewalls, sistemas de deteccin de intrusos y consideraciones de codificacin. Las descripciones detalladas de estos temas y subtemas se enumeran en la Figura 4. La Figura 5 de la siguiente seccin proporciona los temas y subtemas para la categora de la recuperacin de desastres y la continuidad del negocio. sta incluye no solamente las responsabilidades de la gerencia, sino tambin el papel del profesional de aseguramiento en estos asuntos y la importancia de la cobertura de seguro como parte del plan. La categora de desarrollo de sistemas de aplicaciones de negocios, adquisicin, implementacin y mantenimiento incluye asuntos relacionados con el software de planificacin de recursos
12
empresariales, asuntos relacionados con la gerencia y la administracin de bases de datos, el ciclo de vida del desarrollo de sistemas, y consideraciones del desarrollo de software. Las descripciones detalladas de los temas y subtemas se enumeran en la Figura 6. La ltima categora, la evaluacin de procesos de negocios y gerencia de riesgo tiene solamente un tema y es la auditora y desarrollo de controles de aplicacin. Hay cuatro subtemas referentes a entrada, salida, y proceso de controles y documentacin de los sistemas de aplicacin. stos se enumeran en la Figura 7. Para determinar la conformidad con el modelo, la institucin educativa crea un "mapa" de dnde los temas del modelo acadmico se imparten dentro de sus componentes educativos del sistema de enseanza. Los pasos del proceso de hacer el mapa se detallan en la figura siguiente.
4. ISACA Model Curriculum for IS Audit and Control

Los temas cubiertos por el modelo son agrupados en siete categoras. Estas categoras luego son divididas por temas principales, subtemas para cada tema principal y las horas de clase necesarias para cubrir cada tema. Cada categora, sus temas, subtemas y las horas requeridas para cada tema estn enlistados en las Figuras de la 1 a la 7.
Temas Conocimiento de la Funcin de la Auditora en los Sistemas de Informacin Horas Figura 1 Proceso de Auditora Subtemas Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: demanda por auditoras (Ej., teora de agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de auditoras de SI: la necesidad del control y la auditora en los SI computarizados Tipos de auditora y de auditores: SI, externa, interna, gobierno/sector pblico Responsabilidad y autoridad del auditor de SI: estatutos de la auditora; subcontratacin de los servicios de auditora de SI Regulacin y control de la auditora de SI: estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: aplicacin de materialidad a las auditoras de SI en comparacin a la materialidad en auditoras de estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y pertinente Independencia: necesidad de independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de auditora: riesgo inherente, riesgo de control y riesgo de deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas vigentes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Prcticas y tcnicas en la auditora de SI Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Ley Sarbanes-Oxley del 2002, SAS94
Conceptos Fundamentales de Auditora
Estndares y Directrices de Auditora de SI Conceptos de Controles Internos
13
13
Temas
Horas
Proceso de Planificacin de Auditora
Administraci n de laAuditora
Proceso de Obtencin de Evidencia en la Auditora
12
Seguimiento del Informe de Auditora Horas Totales Temas Gerencia de SI/TI
3 58
Figura 1 Proceso de Auditora Subtemas Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, ej., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, pistas de auditora intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: pruebas de controles vs. pruebas sustantivas, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/categorizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluacin de la calidad de la auditora y la revisin entre colegas Identificacin de la mejor prctica CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Capacitacin (interna/externa) Desarrollo profesional (certificaciones, participacin profesional, etc.) Evidencia: suficiente, confiable, pertinente, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar y probar Pruebas de control vs. pruebas sustantivas: naturaleza de las pruebas de control y las pruebas sustantivas y sus diferencias, tipos de pruebas de control , tipos de pruebas sustantivas Muestreo: conceptos de muestreo, enfoques estadsticos y no estadsticos, diseo y seleccin de muestras, evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (Computer-assisted audit techniques CAATs): necesidad, tipos, planificacin y uso de CAATs, enfoque de la auditora continuamente en lnea Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones reportables y alcanzar las conclusiones Revisin: proveer la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin
Figura 2 Gerencia, planificacin y organizacin de los sistemas de SI Horas Subtemas Gerencia de proyecto TI 10 Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico
14
Temas
Planificacin Estratgica de SI/TI
Asuntos Gerenciales de SI/TI
Figura 2 Gerencia, planificacin y organizacin de los sistemas de SI Horas Subtemas Software de gerencia de control de calidad Administracon de la infraestructura de TI y arquitectura de TI, administracon de la configuracin Administracin de la entrega de TI (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: cuadro de mando integral Contratacin externa Aseguramiento de la calidad Acercamiento tcnico-social y cultural a la gerencia SI/IT planificacin estratgica estrategias competitivas e inteligencia de negocios: enlace con la estrategia corporativa Marco y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de apoyo para las decisiones ; clasificacin de los sistemas de 8 informacin Gerencia de recursos humanos de TI, polticas de los empleados, acuerdos y contratos Segregacin de tareas SI/TI entrenamiento y educacin Asuntos legales relacionados a la introduccin de TI a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes 9 Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI COBIT Pautas gerenciales para gerentes de SI/TI 6
Herramientas de Apoyo
COBIT uso de auditoras como apoyo para el ciclo del negocio

Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL Revisiones de control de cambios Revisiones operacionales Revisiones de ISO 9000
Tcnicas Horas Totales
4 37
Temas Infraestructura Tcnica (Planificacin, Implementacin y Prctica Operacionales)
Figura 3 Infraestructura Tcnica (TI) y Prcticas Operacionales Horas Subtemas 25 Arquitectura y estndares de TI Hardware: todo el equipo de TI incluyendo la unidad central, las mini computadoras, clientes/servidores, los enrutadores, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los proveedores que proporcionan servicios de comunicacin, etc. Controles fundamentales Seguridad / pruebas y validacin Herramientas de evaluacin y supervisin de desempeo Gobierno de TI Mantenimiento y Funcionamiento Supervisin de controles de TI y herramientas de evaluacin, como vigilancia de sistemas de control de acceso o vigilancia de incursin con sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799
15
Temas
Gerencia de Centros de Servicio: Mantenimiento de SI e TI por medio de Organizaciones dedicadas a estas actividades
Figura 3 Infraestructura Tcnica (TI) y Prcticas Operacionales Horas Subtemas Asuntos y consideraciones de centro de servicio vs. infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad Gerencia de Recurso/configuracin: cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (uso correcto del lenguaje de computadoras) Gerencia de problemas e incidentes Planificacin y estimacin de capacidad Gerencia de la distribucin de sistemas automatizados 12 Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Administracin del nivel de servicios Contingencia/ Respaldos y administracin de la recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Administracin de redes Gerencia de riesgo Principios claves de gerencia
Horas Totales
37
Horas 8 Figura 4Proteccin de Activos de Informacin Subtemas Tecnologa informatica y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemas en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad Comunicaciones y seguridad de la red: principios de la seguridad de la red, cliente y servidor, del Internet y de servicios tele-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de deteccin de intrusosintrusin, Cobita, revisiones de sistema Instalaciones de seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso
Temas Gerencia de la Seguridad de los Activos de Informacin Seguridad Lgica de Tecnologa Informatica
Seguridad Aplicada de IT: Recursos de Alta Tecnologa Seguridad Fsica y Ambiental Horas Totales
3 29
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Temas Horas Subtemas
16
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Temas Proteccin de la Arquitectura y Activos de la Tecnologa de Informacin: Planificacin de la Recuperacin del Desastre Seguros Horas Totales Horas Subtemas Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Descripcin de los seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
10
2 12
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocio Temas Horas Subtemas Componentes para manejar SI(datos-procesos-tecnologas-organizacin); entendiendo a los tenedores y sus requerimientos Mtodos de planificacin de SI: investigacin del sistema, oportunidades de proceso de Planificacin 9 integracin/reingeniera, evaluacin del riesgo, anlisis de costo/beneficio, gravamen de de SI riesgo; anlisis y diseo de los sistemas orientados a objetos Integracin de los usos de la empresa del software de ERP Supervisin del funcionamiento del porcentaje de disponibilidad contra acuerdos del porcentaje de disponibilidad, calidad del servicio, de la disponibilidad, del tiempo de reaccin, de la seguridad y de los controles, proceso la integridad, aislamiento, remedios, cumpliendo con los niveles de servicio acordados (SLAs por sus siglas en ingls) Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol de las bases de datos y Gerencia de sistemas de bases de datos incluyendo sistemas de Uso y gerencia del conocimiento, almacenes de datos) Gerencia de 16 Informacin Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); anlisis, evaluacin y diseo de los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor Estructura de datos y lenguaje bsico SQL Gerencia de proyecto de los sistemas de informacin: planificacin, organizacin, despliegue del recurso humano, control del proyecto, supervisin y ejecucin Mtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, evaluar y Desarrollo, disear las fases del desarrollo del ciclo de vida de un sistema (SDLC) Adquisicin y 12 Mantenimiento Acercamientos para el desarrollo del sistema: paquetes de software, prototipo, de Sistemas de reingeniera de proceso del negocio, herramientas CASE. Informacin Mantenimiento de sistemas y procedimientos para el control de cambios para modificaciones de sistemas Problemas de riesgo y control, analizar y evaluar caractersticas y riesgos del proyecto Impacto de TI 4 Contratacin externa de Procesos de Negocios (Business Process Outsourcing BPO)
17
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocio Temas Horas Subtemas en los Aplicacin de los problemas y de las tendencias del comercio electrnico Procesos y Soluciones de los Negocios Separacin de la especificacin e implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificacin y bsqueda de algoritmos Desarrollo del Manejo de archivos 11 Software Listas encadenadas y rboles binarios Creacin y manipulacin de la base de datos Principios del buen diseo de la pantalla y del informe Alineamiento del lenguaje de programacin Horas Totales 52 Temas Auditora y Desarrollo de Controles de Aplicacin Horas Totales Figura 7Evaluacin de los Procesos de Negocios y Gerencia de Riesgo Horas Subtemas Controles de entrada/ origen Procedimientos del control de proceso 19 Controles de salida Documentacin del sistema de aplicacin Pistas de Auditora 19
18
Anexo 1. Importancia del Plan de Estudio de la ISACA para el Marco Conceptual del CobiT
Figura 8. Importancia del Plan de Estudio de la ISACA para el Marco Conceptual del CobiT
Los recursos de IT consideran la gente, las aplicaciones de sistemas, la tecnologa, las instalaciones y los datos.
Los temas en el modelo acadmico de la ISACA fueron diseados para proveer destrezas profesionales y capacidad de nivel bsico en reas de negocio y comercio. Las siete reas de contenido de CISA (categoras) y sus subtemas son usados con el propsito de suministrar una estructura para organizar los asuntos en el modelo de la ISACA. Los procesos de TI son enfocados por COBIT, y es integrado en las reas de contenido del CISA. (Figura 8).
19
Anexo 2. Destrezas Complementarias Sugeridas para los Auditores de SI

Las siguientes habilidades no estn consideradas directamente en el perfil de la auditora de SI porque no son parte de la auditora de SI, pero son requeridas en la mayora de las profesiones. Comunicacin gerencial y/u Oratoria en Pblico Las destrezas en comunicacin son empleadas al discutir la amplitud de la auditora, hallazgos y recomendaciones. Destrezas para Entrevistas Estas incluyen la efectiva recoleccin de informacin cuando se entrevista a la gerencia y para completar los cuestionarios de control. Destrezas de Negociacin y/o Venta Personal Necesarias para convencer a la gerencia con el fin de que implemente las recomendaciones para un cambio positivo. Redaccin comercial til para producir informes comprensibles y tiles, as como otras comunicaciones escritas. Psicologa Industrial y/o Ciencias del Comportamiento Incluye la habilidad de entender y manejar efectivamente el comportamiento humano por medio del proceso de auditora. Gerencia de Proyectos/Presupuesto de Tiempo Incluye la habilidad esencial de manejar eficiente y efectivamente el tiempo y las tareas durante la auditora. Los auditores son evaluados frecuentemente de acuerdo al cumplimiento de presupuestos. Creacin y Direccin de Grupos Incluye el manejo efectivo de actividades de grupos con adecuada coordinacin y utilizacin del conocimiento y destrezas de los miembros del grupo en la conduccin de la auditora de SI.
20
Anexo 3. Tabla de conformidad con el Modelo Acadmico de la ISACA para la Auditora y Control de SI
Para disear un programa para el Modelo Acadmico de la ISACA para la Auditora y Control se debe ingresar el nombre de el o los cursos o secciones en el programa que cubre cada descripcin del rea de temas o subtemas junto con la cantidad de tiempo (en horas) dedicado para cubrir el tema en cada tabla. Si un tema descrito no es cubierto, indique 0 (cero) en la columna de horas de contacto. Para cumplir el modelo, la cantidad total de horas debe ser por lo menos 244 y todas las reas en el modelo deben ser razonablemente cubiertas. Nota: Cuando se disee el programa de pos grado, se debe incluir los prerrequisitos del programa de pre-grado. Antes de empezar este proceso:
Obtenga los temarios actuales de los cursos. Las descripciones actuales y ampliadas de los
cursos proveen mayor detalle y constituyen un mejor recurso. Asegure que los libros de texto actuales sean un apoyo para las clases y que los materiales audio-visuales que pueden ser usados sean accesibles. Para una pregunta de contenido, refirase al libro de texto o a diapositivas de PowerPoint. Si alguno de los temas son enseados en otros departamentos o colegios, un representante que conozca lo que se ensea en esas clases puede colaborar. Por esta razn, un programa de pregrado puede tomar ms tiempo para ser diseado que un programa de pos grado. Un monitor doble que supervise la matriz modelo y el temario o descripcin del curso facilita el proceso. Los pasos del proceso de diseo se enlistan en la Figura 9.
Pasos para el proceso de mapeo

1 2 3 4 5 6 7 8 Identificar todos los cursos directos y de apoyo que se relacionan con el programa Cerciorarse de que el temario actual o la descripcin ampliada del curso y los materiales de ayuda para los cursos estn accesibles. Toma aproximadamente 16 horas para terminar el mapa si los contornos ampliados de curso estn disponibles para extraer informacin. Proseguir uno por uno. Seleccionar el primer curso en el programa, examinar los elementos y tema del curso y orientarlo hacia el modelo. Literalmente proseguir semana por semana. Use palabras claves de la plantilla de subtemas de la ISACA para buscar el plan que coincida. Una vez que se haga coincidir, estimar la cantidad de tiempo que la materia ser cubierta con base en el plan. Si no se est seguro del contenido del material cubierto, ir al libro y a las diapositivas de PowerPoint que se usan como material. Notar que los ttulos genricos que se usan a menudo cubren ms de lo que se sobreentiende. Acordarse de asignar el tiempo por curso e identificar el curso que cubra cada tema. Por ejemplo, un sistema de trimestres puede tener 10 semanas y 4 horas de contacto por semana (40 horas) pero algunos cursos pueden tener laboratorios o proyectos requeridos que puede ser ms de 40 horas. Hacer mapas curso por curso y llevar un registro de la asignacin es un proceso muy sencillo para las personas que estn familiarizadas con el programa y para quienes tienen informacin disponible. Despus de completar todos los cursos, regresar y revisar que las selecciones- colocaciones sean las mejores posibles y parezcan razonables. 21
Pasos para el proceso de mapeo

9 Tener un colega que revise los mapas. Entregar las tablas completas a la ISACA para revisin por correo electrnico, research@isaca.org, fax +1.847.253.1443, o enviar por correo a la atencin del Director de Investigaciones, Estndares y Relaciones Acadmicas a ISACA, 3701 Algonquin Road, Suite 1010, Rolling Meadows, IL 60008, USA. Si el programa cumple lo establecido en ISACA Model Curriculum for IS Audit and Control, el programa puede ser mostrado en el sitio de Internet de la ISACA y los estudiantes graduados del programa califican para un ao de experiencia laboral para la Certificacin de Auditor de Sistemas de Informacin (Certified Information System Auditor CISA).
Tabla 1Dominio del Proceso de la Auditora Nombre del CursoSubtemas Subtema Cubierto Leyes y Regulaciones: estatutos de la auditora Naturaleza de la Auditora: demanda por auditoras (Ej., teora de agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de auditoras de SI: la necesidad del control y la auditora en los SI computarizados Tipos de auditora y de auditores: SI, externa, interna, gobierno/sector pblico Responsabilidad y autoridad del auditor de SI: estatutos de la auditora; subcontratacin de los servicios de auditora de SI Regulacin y control de la auditora de SI: estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: aplicacin de materialidad a las auditoras de SI en comparacin a la materialidad en auditoras de estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y pertinentes Independencia: necesidad de independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de auditora: riesgo inherente, riesgo de control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Horas
Temas
Hrs
Conocimiento de la Funcin de la Auditora en los Sistemas de Informacin
Conceptos Fundamentale s de Auditora
Estndares y Directrices de Auditora de SI
22
Temas
Hrs
Conceptos de Controles Internos
13
Proceso de Planificacin de la Auditora
Gerencia de la Auditora
Tabla 1Dominio del Proceso de la Auditora Nombre del CursoSubtemas Subtema Cubierto Practicas y tcnicas en la auditora de SI Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, Ej., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: Ej., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.)
Horas
23
Temas
Hrs
Proceso de Evidencia de la Auditora
12
Seguimiento al Reporte de Auditora
Tabla 1Dominio del Proceso de la Auditora Nombre del CursoSubtemas Subtema Cubierto Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, Ej., observar, preguntar, entrevistar y probar Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra
Horas
Horas Totales
58
Figura 2 Gerencia, Planificacin y Organizacin de Materias de Sistemas de Informacin Temas Hrs Subtemas Nombre del Curso Horas Gerencia de proyecto IT. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de IT, gerencia de la Gerencia de configuracin 10 Sistemas de Gerencia de entrega de IT (operaciones) y de Informacin apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia
24
Figura 2 Gerencia, Planificacin y Organizacin de Materias de Sistemas de Informacin Temas Hrs Subtemas Nombre del Curso Horas SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marco y aplicaciones de los sistemas de Planificacin informacin: tipos de SI - gerencia del Estratgica conocimiento, sistemas de ayuda de decisin; de Sistemas 8 clasificacin de los sistemas de informacin de Gerencia de recursos humanos de IT, Informacin polticas de los empleados, acuerdos y contratos Segregacin de deberes SI/TI adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Controversias Asuntos de propiedad intelectual en el en la espacio ciberntico: marcas registradas, 9 Gerencia de copyright y patentes Sistemas de Problemas ticos Informacin Privacidad Gobierno de TI Mantenimiento de SI/TI COBIT Guas de gerencia de marcos para gerentes de SI/IT Herramientas de Apoyo 6

Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL Revisiones de cambio de control
Tcnicas Horas Totales
4 37
Revisiones operacionales Revisiones de ISO 9000
Temas Infraestructu ra Tcnica (Planificaci n, Implementac in y Practica Operacional)
Hrs 25
Figura 3 Infraestructura Tcnica (TI) y Practicas Operacionales Subtemas Nombre del Curso Arquitectura y estndares de TI Hardware: todo el equipo de TI incluyendo la unidad central, las mini computadoras, cliente/servidor, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los proveedores que proporcionan servicios de comunicacin, etc.
Horas
25
Temas
Hrs
Gerencia de Centros de Servicio: Mantenimie nto de SI y TI a travs de Organizacio nes dedicadas a estas actividades
Figura 3 Infraestructura Tcnica (TI) y Practicas Operacionales Subtemas Nombre del Curso Controles fundamentales Seguridad / pruebas y validacin Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Supervisin de controles de TI y herramientas de evaluacin, como vigilancia de los sistemas de control de acceso o vigilancia de los sistemas de deteccin de intrusos Gerencia de recursos de informacin e infraestructura: software de gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemas y consideraciones de centros de servicio vrs. infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y estimaciones de capacidad 12 Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia
Horas
26
Temas Horas Totales
Hrs 37
Figura 3 Infraestructura Tcnica (TI) y Practicas Operacionales Subtemas Nombre del Curso
Horas
Subtemas
Hrs
Figura 4Proteccin de Activos de Informacin Descripcin Nombre del Curso Tecnologa informatica y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad Comunicaciones y seguridad de la red: principios de la seguridad de la red, de cliente-servidor, del Internet y de servicios tele-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de deteccin de intrusos, Cobita, revisiones de sistema Instalaciones de seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso
Tiempo en horas
Gerencia de la Seguridad de Activos de Informacin
Seguridad Lgica de Tecnologa Informatica
Seguridad Aplicada de TI: Recursos de Alta Tecnologa
Seguridad Fsica y Ambiental Horas Totales
3 29
Subtemas Proteccin de la arquitectura y de los activos de la tecnologa de
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Hrs Descripcin 10 Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan
Tiempo en horas
27
Subtemas informacin: Planificacin de la Recuperacin del Desastre
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Hrs Descripcin Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Descripcin de los seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
Tiempo en horas
Seguros
Horas Totales
12
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocios Temas Hrs Subtemas Nombre del Curso Horas Componentes para manejar SI(datosprocesos-tecnologas-organizacin); entendiendo los tenedores y sus requerimientos Mtodos de planificacin de SI: investigacin del sistema, oportunidades de Planificacin 9 proceso de integracin/reingeniera, de SI evaluacin del riesgo, anlisis de costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados a los objetos Integracin de los usos de la empresa del software de ERP Supervisando el funcionamiento del porcentaje de disponibilidad contra acuerdos del porcentaje de disponibilidad, Uso y calidad del servicio, de la disponibilidad, Gerencia de 16 del tiempo de reaccin, de la seguridad y Informacin de los controles, procesando la integridad, aislamiento, remedios, cumpliendo con los niveles de servicio acordados (SLAs por sus siglas en ingls) Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol de las bases de datos y administracin de sistemas de bases de datos incluyendo sistemas de gerencia del conocimiento , almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio
28
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistema de Aplicacin de Negocios Temas Hrs Subtemas Nombre del Curso Horas Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor Gerencia de proyecto de los sistemas de informacin: planificacin, organizacin, despliegue del recurso humano, control del proyecto, supervisin y ejecucin Mtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, evaluar y disear las fases del desarrollo Desarrollo, del ciclo de vida de un sistema (SDLC) Adquisicin y Acercamientos para el desarrollo del Mantenimiento 12 sistema: paquetes de software, prototipo, de Sistemas de reingeniera de proceso del negocio, Informacin herramientas CASE. Mantenimiento de sistemas y procedimientos para el control de cambios para modificaciones de sistemas Problemas de riesgo y control, analizar y evaluar caractersticas y riesgos del proyecto Impacto de TI BPO en los Aplicacin de las problemticas y de las 4 Procesos y tendencias del comercio electrnico Soluciones de los Negocios Separacin de la especificacin e implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificando y buscando algoritmos Desarrollo del 11 Manejo de archivos Software Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineamiento del lenguaje de programas Horas Totales 52 Temas Auditora y Desarrollo de Controles de Aplicacin Horas Totales Gran Total Figura 7Evaluacin de los Procesos de Negocios y Gerencia de Riesgo Hrs Subtemas Nombre del curso Controles de entrada/ origen Procedimientos del control de proceso 19 Controles de salida Documentacin del sistema de aplicacin 19 244 Horas Totales Figuras 1 a la 7 Horas
29
Anexo 4. Ejemplos de como disear Programas para el Modelo Acadmico de la ISACA en la Tabla de Cumplimiento
Bowling Green State University (BGSU), USA, Programa de Pre-Grado en Auditora de SI en la Tabla de Cumplimiento con el Plan de Estudio Modelo
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: Demanda por auditoras (e.g., teora de la agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de la auditora de sistemas de informacin: la necesidad del control y de la auditora de los sistemas de informacin computarizados Tipos de auditoras y de auditores: SI, externa, interna, gobierno, sector pblico Responsabilidad y la autoridad del auditor de SI: estatutos de la auditora; la contratacin externa de los servicios de auditora de SI Regulacin y control de la auditora de SI: Estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: materialidad usada en la auditora de SI en comparacin con la utilizada en la auditora de los estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y relevante. Independencia: necesidad de la independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de la auditora: riesgo inherente, riesgo del control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Practicas y tcnicas en la auditora de SI Nombre de los Cursos Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin Tiempo en horas 1 5 1
Conocimiento de la funcin de la auditora en los Sistemas de Informacin
Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I
9 1
Conceptos Fundamentales de Auditora
Estndares y Pautas de la Auditora de SI
Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin
1 1 2
30
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, e.g., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.) Nombre de los Cursos Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I GSI 471 Anlisis y Diseo de los Sistemas Tiempo en horas 6 2 6
13
Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin
7 1
Cont 451 Auditora I
31
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar and probar Cumplimiento vs. prueba sustantiva: naturaleza de y diferencia entre cumplimiento y prueba sustantiva; tipos de pruebas de cumplimiento; tipos de pruebas sustantivas Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Nombre de los Cursos Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I Tiempo en horas 3 10
12
Cont 451 Auditora I
Horas Totales Sub-temas
58
Total Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de proyecto IT. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de IT, gerencia de la configuracin Gerencia de entrega de IT (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia GSI 421 Comunicacin de datos de negocio y proceso distribuido GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
62 Tiempo en Horas 1 9 1
Hrs
Gerencia SI/IT
10
32
Sub-temas
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marcos y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de ayuda de decisin; clasificacin de los sistemas de informacin Gerencia de recursos humanos de IT, polticas de los empleados, acuerdos y contratos Segregacin de deberes IS/IT adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI GSI 200 Introduccin a Gerencia de Sistemas Cont 460 Contabilidad de los Sistemas de Informacin GSI 421 Comunicacin de datos de negocio y proceso distribuido Cont 456 Auditora y Control de los Sistemas de Informacin
Tiempo en Horas 2 1 2 2
SI/IT Planificacin Estratgica
Asuntos Gerenciales de SI/IT
GSI 200 Introduccin a Gerencia de Sistemas de Informacin Cont 460 Contabilidad de los Sistemas de Informacin GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
1 1 6 1
COBIT Guas de gerencia del marco para gerentes de SI/TI Marcos y Herramientas de Apoyo 6

Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL Revisiones de cambio de control
Cont 460 Contabilidad de los Sistemas de Informacin Cont 456 Auditora y Control de los Sistemas de Informacin
1 1
Tcnicas Horas Totales Sub-temas Infraestructu
4 37
Cont 456 Auditora y Control de los Sistemas de Informacin Total
32
Hrs 25
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Arquitectura y estndares de IT GSI 200 Introduccin a
Tiempo en horas 3
33
Sub-temas ra Tcnica (Planificacin, Implementacin y Practica Operacionales)
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Hardware: todo el equipo de IT incluyendo la unidad central, las mini computadoras, clientes/servidores, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los abastecedores de servicio que proporcionan servicios de comunicacin, etc. Controles de la lnea de fondo Seguridad / pruebas y validacin Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Monitoreo de controles de la TI y herramientas de evaluacin, como monitoreo de sistemas de control de acceso o monitoreo de incursin de sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de Gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemticas y consideraciones de centros de servicio vs. Infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de Sistemas de Informacin Cont 460 Contabilidad de los Sistemas de Informacin GSI 421 Comunicacin de datos de negocio y proceso distribuido
Tiempo en horas 3 27
Gerencia de Centros de Servicio: Mantenimie nto de SI y IT por medio de Organizaciones
12
Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad
Cont 460 Contabilidad de los Sistemas de Informacin GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
1 3 4
34
Sub-temas dedicadas a estas actividades
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y pronsticos de capacidad Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia
Tiempo en horas
37
Total Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Tecnologa informativa y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad GSI 200 Introduccin a Gerencia de Sistemas de Informacin MIS GSI 421Comunicacin de datos de negocio y proceso distribuido Cont 460 Contabilidad de los Sistemas de Informacin Cont 460 Contabilidad de los Sistemas de Informacin GSI 421Comunicacin de datos de negocio y proceso distribuido GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin
41
Hrs
Tiempo en Horas 2 1 1 2 3 1 1 6 2
Gerencia De la Seguridad De los Activos De la Informacin
Seguridad Lgica de TI
35
Sub-temas
Hrs
Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Comunicaciones y seguridad de la red: principios de la seguridad de la red, del servidor de cliente, del Internet y de servicios tela-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de las detecciones de la intrusin, CobiT, revisiones de sistema Instalaciones de la seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso Cont 460 Contabilidad de los Sistemas de Informacin GSI 421Comunicacin de datos de negocio y proceso distribuido Cont 451 Auditora I Cont 456 Auditora y Control de los Sistemas de Informacin
Seguridad Fsica y Ambiental Horas Totales Subtemas
Cont 460 Contabilidad de los Sistemas de Informacin Cont 456 Auditora y Control de los Sistemas de Informacin Total
1 1
29
29
Hrs
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Descripcin Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Descripcin de los Seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa Cont 460 Contabilidad de los Sistemas de Informacin
Tiempo en Horas 1 1 1 4 1 1 1 10
Proteccin de la arquitectura y de los activos de la tecnologa de informacin: Planificacin de la Recuperacin Del Desastre
GSI 421Comunicacin de datos de negocio y proceso distribuido

GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin GIS 470 Gerencia de la Base de Datos Cont 456 Auditora y Control de los Sistemas de Informacin Cont 451 Auditora I Total
10
Seguro Horas Totales
12
36
Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Componentes para manejar SI(datosCont 460 Contabilidad de 1 procesos-tecnologas-organizacin); los Sistemas de Informacin entendiendo los tenedores y sus GSI 421Comunicacin de 1 requerimientos datos de negocio y proceso distribuido Mtodos de planificacin de SI: 4 investigacin del sistema, oportunidades de GSI 471 Anlisis y Diseo Planificacin de los Sistemas 9 proceso de integracin/reingeniera, de SI evaluacin del riesgo, anlisis de costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados a los objetos Integracin de los usos de la empresa del software de ERP 2 Supervisando el funcionamiento del GSI 200 Introduccin a porcentaje de disponibilidad contra Gerencia de Sistemas de acuerdos del porcentaje de disponibilidad, Informacin MIS 6 calidad del servicio, de la disponibilidad, Cont 460 Contabilidad de del tiempo de reaccin, de la seguridad y los Sistemas de Informacin 1 de los controles, procesando la integridad, GSI 421Comunicacin de aislamiento, remedios, cumpliendo con los datos de negocio y proceso niveles de servicio acordados (SLAs por distribuido 3 sus siglas en ingls) GIS 470 Gerencia de la Datos e informacin: analizar, evaluar y 3 disear la arquitectura de informacin (i.e., Base de Datos Cont 456 Auditora y rol de las bases de datos y Gerencia de Uso y Control de los Sistemas de sistemas de bases de datos incluyendo Gerencia de 16 Informacin sistemas de gerencia del conocimiento , Informacin almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor 2 GSI 200 Introduccin a Gerencia de proyecto de los sistemas de Gerencia de Sistemas de informacin: planificacin, organizacin, despliegue del recurso humano, control del Informacin MIS 3 Cont 460 Contabilidad de proyecto, supervisin y ejecucin los Sistemas de Informacin Mtodos tradicionales para el desarrollo del ciclo de vida del sistema; analizar, GSI 421Comunicacin de 2 evaluar y disear las fases del desarrollo datos de negocio y proceso Desarrollo, del ciclo de vida de un sistema (SDLC) distribuido Adquisicin y Acercamientos para el desarrollo del Mantenimiento 12 GSI 471 Anlisis y Diseo sistema: paquetes de software, prototipo, de Sistemas de de los Sistemas 3 reingeniera de proceso del negocio, Informacin Cont 456 Auditora y herramientas del CASE. Control de los Sistemas de Mantenimiento de sistemas y Informacin 2 procedimientos para cambios de controles para cambio de sistemas Problemticas de riesgo y control, analizar 37 y evaluar caractersticas y riesgos del proyecto
Figura 6Desarrollo, Adquisicin, Implementacin y Mantenimiento de Sistemas de Aplicacin de Negocios Subtemas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Impacto de TI BPO GSI 200 Introduccin a 1 en los Gerencia de Sistemas de Usos de las problemticas y de las Procesos y Informacin MIS Cont 456 tendencias del E-negocio 4 Soluciones de Auditora y Control de los 3 los Negocios Sistemas de Informacin Separacin de la especificacin y la implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificacin de los algoritmos Manejo de archivos Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineacin del lenguaje del programa Cont 460 Contabilidad de los Sistemas de Informacin GIS 470 Gerencia de la Base de Datos 2 12
Desarrollo de Programas
11
52
Total
51
Figura 7Evaluacin de Procesos de Negocios y Gerencia de Riesgo Nombre de los Cursos Hrs Descripcin Controles Entrada/originacin Procedimientos del control de proceso Controles de salida Documentacin de los sistemas de aplicacin Cont 460 Contabilidad de los Sistemas de Informacin Cont 451 Auditora I GSI 471 Anlisis y Diseo de los Sistemas Cont 456 Auditora y Control de los Sistemas de Informacin Total Total Bowling Green State University
Tiempo en Horas 1 1 12 5 19
Auditora y desarrollo de los controles del uso Horas Totales Total
19
19 244 Horas Totales Figuras de la 1 hasta la 7
244
Bowling Green State University (BGSU) tiene una especializacin dentro del Bachillerato o Pregrado en Ciencias de Administracin de Empresas (BCAE) llamado Auditora y Control de Sistemas de Informacin (ACSI). El ejemplo presentado anteriormente se refiere a los cursos ofrecidos dentro del programa de BCAE. Adems, BGSU ofrece un programa de Maestra en Contabilidad (Master of Accountancy MAcc) el cual requiere a cada uno de los candidatos el equivalente a un bachillerato en contabilidad antes de entrar al programa. EL MAcc ofrece una concentracin en ACSI el cual provee los cursos necesarios para complementar un bachillerato en contabilidad y adems cumplir con los requisitos del modelo de ISACA. Los nombres de los cursos y el nmero de stos difieren en el programa MAcc de los que se ofrecen bajo el programa de BSBA, pero el tema de stos es similar. Ambos programas, el MAcc y el BCAE se enfocan en cursos requeridos por el ACSI los cuales no son requeridos en el currculo de la 38
ISACA. La mayora de estos temas son similares a los presentados anteriormente en el Anexo 2 del modelo de la ISACA. Resumen comentario: Una hora para completar la tabla por instructor multiplicado por seis instructores mas seis horas para coordinar y resumir = total 12 horas de tiempo en disear el programa. Las horas son para los temas principales con descripciones adicionales para los subtemas. Los estimados de las horas son solamente requeridos al nivel de concentracin. El formato permite una amplia diferenciacin en programas que siguen el modelo acadmico. Temas tales como la tica pueden ser enfatizados a lo largo del programa pero puede ser que no se traten como una leccin de tica. Ya que muchos de los cursos no estn diseados exclusivamente por el programa de la ISACA, pueden haber amplias fluctuaciones en los contenidos de los cursos de un instructor a otro y de un semestre a otro.
39
California State Polytechnic University, USA, MSBA-IS Audit Graduate Program Tabla de Cumplimiento con el Modelo Acadmico
Figura 1 - Proceso de Auditora Sub-tema Hrs Descripcin Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: Demanda por auditoras (e.g., teora de la agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de la auditora de sistemas de informacin: la necesidad del control y de la auditora de los sistemas de informacin computarizados Tipos de auditoras y de auditores: SI, externa, interna, gobierno, sector pblico Responsabilidad y la autoridad del auditor de SI: estatutos de la auditora; la contratacin externa de los servicios de auditora de SI Regulacin y control de la auditora de SI: Estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: materialidad usada en la auditora de SI en comparacin con la utilizada en la auditora de los estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y relevante. Independencia: necesidad de la independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de la auditora: riesgo inherente, riesgo del control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Practicas y tcnicas en la auditora de SI Nombre de los Cursos CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de TI Tiempo en horas 2 4 2
CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial CIS 433 Auditora de SIC GBA554 Client Server Computing
3 3
2 2 5
2 1 2 1 4 3 1
13
Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI
40
Figura 1 - Proceso de Auditora Sub-tema Hrs Descripcin Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, e.g., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.) Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar and probar Nombre de los Cursos GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial Tiempo en horas 2 3
CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial
3 3 3
CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 608/609 Problemticas y Practica de Contabilidad Gerencial CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin
2 3 2
12
2 8
41
Figura 1 - Proceso de Auditora Sub-tema Hrs Descripcin Cumplimiento vs. prueba sustantiva: naturaleza de y diferencia entre cumplimiento y prueba sustantiva; tipos de pruebas de cumplimiento; tipos de pruebas sustantivas Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Nombre de los Cursos GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin Tiempo en horas 2 1
Seguimiento al Reporte de Auditora 3
CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 578 Seguridad y Privacidad de Sistemas de Informacin Total
2 1 1 90
58
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de proyecto TI. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de TI, gerencia de la configuracin Gerencia de entrega de IT (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia GBA 673/674 Seminario en Gerencia de SI CIS 433 Auditora de SI
Tiempo en Horas 6
1 GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client Server Computing 1 2 3
Gerencia SI/TI
10
42
Sub-temas
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marcos y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de ayuda de decisin; clasificacin de los sistemas de informacin Gerencia de recursos humanos de IT, polticas de los empleados, acuerdos y contratos Segregacin de deberes IS/IT adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI GBA 673/674 Seminario en Gerencia de SI GBA 557 Comunicacin de Datos Computarizado CIS 433 Auditora de SI GBA 577 Auditora Avanzada de TI
SI/TI Planificacin Estratgica
Marcos y Herramientas de Apoyo
COBIT Guas de gerencia del marco para gerentes de SI/TI COBIT uso de auditoras como apoyo para el ciclo del negocio Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL
Revisiones de cambio de control Revisiones operacionales Revisiones de ISO 9000 Tcnicas 4
Hrs Totales
37
GBA 673/674 Seminario en Gerencia de SI GBA 560 Ambiente Legal de Sistemas de Informacin CIS 433 Auditora de SI GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 554 Client Server Computing GBA 557 Comunicacin de Datos Electrnicos CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 578 Seguridad y Privacidad de Sistemas de Informacin GBA 673/674 Seminario en Gerencia de SI GBA 673/674 Seminario en Gerencia de SI GBA 577 Auditora Avanzada de Sistemas de Informacin CIS 433 Auditora de SI GBA 554 Client Server Computing GBA 557 Comunicacin de Datos Electrnicos Total
3 8 1 3 1 1 1 2 2 2 2 2 2 2 1 1 1 1 60
43
Sub-temas
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Arquitectura y estndares de IT Hardware: todo el equipo de IT incluyendo la unidad central, las mini computadoras, clientes/servidores, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los abastecedores de servicio que proporcionan servicios de comunicacin, etc. Controles de la lnea de fondo Seguridad / pruebas y validacin Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Monitoreo de controles de la TI y herramientas de evaluacin, como monitoreo de sistemas de control de acceso o monitoreo de incursin de sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de Gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemticas y consideraciones de centros de servicio vs. Infraestructuras tcnicas propietarias Sistemas abiertos GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client-Server Computing GBA 673/674 Seminario en Gerencia de SI CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de Sistemas de Informacin GBA 578 Seguridad y Privacidad de Sistemas de Informacin
Tiempo en horas 7 8 6 2 2
Infraestructu ra Tcnica (Planificaci n, Implementac in y Practica Operacional)
25
Gerencia de Centros de Servicio: Mantenimie nto de SI y IT a travs de Organizacio nes
12
Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad
GBA 673/674 Seminario en Gerencia de SI GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos
4 5 6
44
Sub-temas dedicadas a estas actividades
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y pronsticos de capacidad Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia GBA 577 Auditora Avanzada de SI CIS 433 Auditora de SIC GBA 578 Seguridad y Privacidad de los SI
Tiempo en horas 2 2 2
37
Total Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Tecnologa informativa y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad CIS 433 Auditora de SIC GBA 560 Ambiente Legal de los Sistemas de Informacin GBA 577 Auditora Avanzada de SI GBA 578 I S Privacidad y Seguridad GBA 673/674 Seminario de GSI CIS 433 Auditora de SIC GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de SI GBA 578 I S Seguridad y Privacidad de los SI
48
Hrs
Tiempo en Horas 1 1 2 5 2 2 2 2 2 4
45
Sub-temas
Hrs
Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Comunicaciones y seguridad de la red: principios de la seguridad de la red, del servidor de cliente, del Internet y de servicios tela-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de las detecciones de la intrusin, CobiT, revisiones de sistema Instalaciones de la seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso CIS 433 Auditora de SIC GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los SI
Tiempo en Horas 1 2 4 3 2
Seguridad Fsica y Ambiental
Horas Totales
29
CIS 433 Auditora de SIC GBA 554 Client-Server Computing GBA 557 Comunicacin de Datos Electrnicos GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los SI GBA 673/674 Seminario de GSI Total
2 1 1 1 2 1 43
46
Subtemas
Hrs
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Descripcin Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los SI GBA 673/674 Seminario de Gerencia de SI GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client-Server Computing GBA 608/609 Problemticas y Practica de la Contabilidad Gerencial CIS 433 Auditora de SIC GBA 560 Ambiente Legal de Sistemas de Informacin GBA 577 Auditora Avanzada de SI GBA 578 Seguridad y Privacidad de los Sistemas de Informacin GBA 608/609 Problemticas y Practica de la Contabilidad Gerencial Total
Tiempo en Horas 2 2 3 4 3 2 2
10
Seguro
Descripcin de los Seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
1 3 1 2 2
Horas Totales
12
27
47
Figura 6 -- Desarrollo, adquisicin, implementacin y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Componentes para manejar SI(datosCIS 433 Auditora de SIC 1 procesos-tecnologas-organizacin); GBA 673/674 Seminario entendiendo los tenedores y sus en Gerencia de SI 4 requerimientos GBA 522 Anlisis y Diseo del Sistema 12 Mtodos de planificacin de SI: investigacin del sistema, oportunidades de GBA 554 Client-Server Planificacin Computing 3 9 proceso de integracin/reingeniera, de SI evaluacin del riesgo, anlisis de costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados a los objetos Integracin de los usos de la empresa del software de ERP Supervisando el funcionamiento del CIS 433 Auditora de SIC 1 porcentaje de disponibilidad contra GBA 560 Ambiente Legal acuerdos del porcentaje de disponibilidad, 2 de SI calidad del servicio, de la disponibilidad, GBA 554 Client-Server del tiempo de reaccin, de la seguridad y 3 Computing de los controles, procesando la integridad, GBA 522 Anlisis y Diseo aislamiento, remedios, cumpliendo con los del Sistema 8 niveles de servicio acordados (SLAs por GBA 524 Programacin e sus siglas en ingls) Implementacin del Sistema 8 Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., rol de las bases de datos y Gerencia de Uso y sistemas de bases de datos incluyendo Gerencia de 16 sistemas de gerencia del conocimiento , Informacin almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor 1 CIS 433 Auditora de SIC Gerencia de proyecto de los sistemas de 2 GBA 560 Ambiente Legal informacin: planificacin, organizacin, despliegue del recurso humano, control del de SI 3 GBA 557 Comunicacin de proyecto, supervisin y ejecucin Datos Electrnicos Mtodos tradicionales para el desarrollo 2 GBA 554 Client-Server del ciclo de vida del sistema; analizar, Computing evaluar y disear las fases del desarrollo Desarrollo, 8 GBA 522 Anlisis y Diseo del ciclo de vida de un sistema (SDLC) Adquisicin y del Sistema Acercamientos para el desarrollo del Mantenimiento 12 8 GBA 524 Programacin e sistema: paquetes de software, prototipo, de Sistemas de Implementacin del Sistema reingeniera de proceso del negocio, Informacin herramientas del CASE. Mantenimiento de sistemas y procedimientos para cambios de controles para cambio de sistemas Problemticas de riesgo y control, analizar 48 y evaluar caractersticas y riesgos del proyecto
Figura 6 -- Desarrollo, adquisicin, implementacin y mantenimiento del sistema del uso de negocio Subtemas Nombre de los Cursos Tiempo en Hrs Descripcin Horas Impacto de TI BPO CIS 433 Auditora de SIC 1 en los GBA 560 Ambiente Legal 2 Usos de las problemticas y de las Procesos y de SI tendencias del E-negocio Soluciones de GBA 615/616 Seminario en 3 4 los Negocios Comportamiento Organizacional GBA 673/674 Seminario en 2 Gerencia de SI CIS 433 Auditora de SIC 1 Separacin de la especificacin y la GBA 554 Client-Server 1 implementacin en la programacin Computing Metodologa de la especificacin de GBA 522 Desarrollo de 8 requisitos Sistemas Diseo del algoritmo; clasificacin de los 8 GBA 524 Programacin e algoritmos Desarrollo de 11 Implementacin del Sistema Programas Manejo de archivos Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineacin del lenguaje del programa Horas Total 92 52 Totales Sub-temas Figura 7Evaluacin de Procesos de Negocios y Gerencia de Riesgo Nombre de los Cursos Hrs Descripcin Controles Entrada/originacin Procedimientos del control de proceso Controles de salida Documentacin de los sistemas de aplicacin CIS 433 Auditora de SIC GBA 577 Auditora Avanzada de TI GBA 557 Comunicacin de Datos Electrnicos GBA 554 Client-Server Computing GBA 522 Anlisis y Desarrollo de Sistemas GBA 524 Programacin e Implementacin del Sistema Total Gran Total California StatePolytechnic University Tiempo en Horas 1 3 1 1 10 8 24
Auditora y desarrollo de los controles del uso
19
Horas Totales
19
Gran Total
244
Horas Totales Figuras 1 a la 7
384
Diseo de Cursos: CIS 433 CIS Auditing required Directed elective for MSBA GBA 522 Desarrollo de Sistemas GBA 524 Programacin e Implementacin GBA 554 Client-Server Computing (Electiva) GBA 557 Comunicacin de Datos Electrnicos 49
4 unidades 4 unidades 4 unidades 4 unidades 4 unidades
40 horas 40 horas 40 horas 40 horas 40 horas
GBA 560 Ambiente Legal de Sistemas de Informacin 4 unidades GBA 577 Auditora Avanzada de TI 4 unidades GBA 608/609 Problemticas de la Contabilidad Gerencial 3/1 unidades* GBA 615/616 Seminario en Comportamiento Organizacional 3/1 unidades* GBA 673/674 Seminario de Gerencia de Sistemas de Informacin 3/1 unidades* No cuentan: GBA 565/566 Presentaciones Efectivas usando Tecnologa GBA 691 Estudio Dirigido GBA 692 Estudio Independiente GBA 695 Proyecto de Investigacin de Negocios 3/1 unidades* 4 unidades 1 unidades 4 unidades
40 horas 40 horas 40 horas 40 horas 40 horas 40 horas 40 horas 10 horas 40 horas
Horas para GBA 691, 692 y 695 pueden ser aplicadas a todas las reas o algunas reas dependiendo del tema y material que el estudiante graduado desea seguir. *Nota curso es 3 unidades de leccin por 1 unidad de proyecto aplicado o trabajo de investigacin. La Universidad/Colegio hizo esto por propsito de acreditacin para dar a sus cursos esenciales de postgrado ms distincin a la investigacin de negocios. El mismo numero de horas como las 4 unidades pero estas marcadas como 3/1.
50
VRIJE University, Netherlands, Graduate IT/IS Audit Program Tabla de Cumplimiento con el Modelo Acadmico
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Leyes y regulaciones: estatutos de la auditora Naturaleza de la auditora: Demanda por auditoras (e.g., teora de la agencia, hiptesis del seguro, hiptesis de la informacin) Naturaleza de la auditora de sistemas de informacin: la necesidad del control y de la auditora de los sistemas de informacin computarizados Tipos de auditoras y de auditores: SI, externa, interna, gobierno, sector pblico Responsabilidad y la autoridad del auditor de SI: estatutos de la auditora; la contratacin externa de los servicios de auditora de SI Regulacin y control de la auditora de SI: Estndares de ISACA, pautas, cdigo de tica profesional; leyes; regulaciones Materialidad: materialidad usada en la auditora de SI en comparacin con la utilizada en la auditora de los estados financieros Evidencia: tipos de evidencia; significado de la evidencia suficiente, confiable y relevante. Independencia: necesidad de la independencia en actitud y apariencia; situaciones que pueden deteriorar la independencia Riesgo de la auditora: riesgo inherente, riesgo del control y riesgo de la deteccin SI: responsabilidades generales en la auditora ante el fraude Certeza Conocimiento del Cdigo de tica Profesional de ISACA Revisin de los estndares y pautas corrientes de ISACA para auditoras de SI Estndares y pautas especficos para cada regin/pas: AITP, ACM, AICPA, IIA, ISO, COCO, AGA NIA (IFAC) Practicas y tcnicas en la auditora de SI Relevancia, estructura e indicadores de un gobierno efectivo de TI para organizaciones y auditores de SI; estructura de gobierno de TI Objetivos de control interno; control interno y la documentacin de SI, i.e., COSO, COCO, KING, Acta Sarbanes-Oxley del 2002 Nombre de los Cursos Fundamentos de Auditora son 24 en total de los cuales 8 son en estas materias Tiempo en horas 8
Fundamentos de Auditora son 24 en total de los cuales 8 son en estas materias
Fundamentos de Auditora son 24 en total de los cuales 8 son en estas materias Pero tambin tratado en el modulo de segundo y tercer ano y no se cuenta aqu
13
Fundamentos para Manejar Informacin de la Gerencia Horas dadas son estimadas a 24 del total de 84horas de este modulo. SOX es un Taller de 3
24
51
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Clasificacin de Controles: preventivo, deteccin y compensatorio/correctivo Controles generales: de organizacin, de seguridad, de funcionamiento general y de recuperacin del desastre, desarrollo, documentacin Controles de aplicacin: objetivos de control; clasificaciones de las aplicaciones control, e.g., computarizado/manual; entrada/procesamiento/salida; preventivo/de deteccin/correctivo, rastros de intervencin COBIT: La estructura y la importancia de COBIT para las organizaciones y los auditores de SI Planificacin estratgica de la auditora Carta de entendimiento: propsito y contenido de las cartas de entendimiento Valoracin de riesgo: auditora basada en riesgo; mtodos de valoracin de riesgo. Estndares: AS-NZ 4360, CRAMM Evaluacin preliminar de controles internos: recopilacin de la informacin y evaluacin de las tcnicas de control Plan de auditora, programa y alcance: cumplimiento vs. prueba sustantiva, aplicacin de la valoracin de riesgo a la auditora Clasificacin, alcance de las auditoras: e.g., financiera, operacional, general, aplicacin, OS, fsica, lgica Distribucin/prioritizacin/planificacin/ ejecucin/reasignacin de los recursos Evaluando la calidad de la auditora y la revisin entre colegas Mejor prctica de identificacin CIS Desarrollo de la carrera de auditora Planificacin de la trayectoria de la carrera Valoracin del desempeo Consejera y retroalimentacin del desempeo Adiestramiento (interno/externo) Desarrollo profesional (certificaciones, participacin profesional, etc.) Evidencia: suficiente, confiable, relevante, y til Tcnicas de recopilacin de evidencia, e.g., observar, preguntar, entrevistar and probar Cumplimiento vs. prueba sustantiva: naturaleza de y diferencia entre cumplimiento y prueba sustantiva; tipos de pruebas de cumplimiento; tipos de pruebas sustantivas Nombre de los Cursos horas que no se cuenta aqu Parte de las 24 horas ya estn registradas para este subtema Tiempo en horas
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 36 del total de 84 de este modulo. Este modulo trata 8 casos para diferentes tipos de negocios y gobierno.
36
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 8 del total de 84 de este modulo.
Proceso de Evidencia de Auditora
12
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 8 del total de 84 de este modulo.
52
Figura 1 - Proceso auditora Sub-tema Hrs Descripcin Muestreo: conceptos de muestreo; acercamientos estadsticos y no estadsticos; diseo y seleccin de muestras; evaluacin de los resultados de la muestra Tcnicas de auditora computarizadas (CAATs): necesidad de estas ; tipos; planificacin y uso de CAATs; acercamiento en lnea de la auditora Documentacin: relacin con evidencia de la auditora; usos de la documentacin; contenido mnimo; custodia, retencin y recuperacin Anlisis: evaluar la materialidad de los resultados e identificar las condiciones a reportarse y alcanzar las conclusiones Revisin: provee la garanta razonable de que se han alcanzado los objetivos Forma y contenido del informe de auditora: propsito; estructura y contenido; estilo; usuario; tipo de opinin; consideracin de acontecimientos subsecuentes Acciones de la gerencia para poner recomendaciones en ejecucin Nombre de los Cursos Tiempo en horas
Bsicos para Manejar Informacin Gerencial Horas dadas son un estimado de 8 del total de 84 de este modulo. Total
58
108
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de proyecto TI. Gerencia de riesgo econmico, social, cultural, gerencia de riesgo tecnolgico Software de gerencia de control de calidad Gerencia de infraestructura de IT y arquitectura de TI, gerencia de la configuracin Gerencia de entrega de IT (operaciones) y de apoyo (mantenimiento) Medida y divulgacin de funcionamiento: tarjeta de anotacin Contratacin externa Valoracin de la calidad Acercamiento tcnico-social y cultural a la gerencia SI/IT planificacin estratgica estrategias competitivas y inteligencia de negocio: enlace a estrategia corporativa Marcos y aplicaciones de los sistemas de informacin: tipos de SI - gerencia del conocimiento, sistemas de ayuda de decisin; clasificacin de los sistemas de informacin Gerencia de Organizaciones de TI del total de 39 horas come 12 horas Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 8 son de este tema
Tiempo en Horas 12
Gerencia SI/TI
10
SI/TI Planificacin Estratgica
Gerencia de Organizaciones de TI del total de 39 horas utiliza 8 horas Auditora de Procedimientos de
53
Sub-temas
Hrs
Figura 2 - Gerencia, planificacin y organizacin de los temas de SI Descripcin Nombre de los Cursos Gerencia de recursos humanos de IT, polticas de los empleados, acuerdos y contratos Segregacin de deberes IS/IT adiestramiento y educacin Asuntos legales relacionados a la introduccin de IT a la empresa (internacional y local) Asuntos de propiedad intelectual en el espacio ciberntico: marcas registradas, copyright y patentes Problemas ticos Privacidad Gobierno de TI Mantenimiento de SI/TI COBIT Guas de gerencia del marco para gerentes de SI/TI COBIT uso de auditoras como apoyo para el ciclo del negocio Estndares Internacionales - ISO-I7799, Estndares de Privacidad, COCO, COSO, Cadbury, King, ITIL Revisiones de cambio de control Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 8 son de este tema Asuntos Legal de TI un modulo de 18 horas Este tema es parte de la mayora de los mdulos de auditora.
Tiempo en Horas
18
Ya se incluyo en una tabla previa
Marcos y Herramientas de Apoyo
Tcnicas Horas Totales Sub-temas Infraestructu ra Tcnica (Planificaci n, Implementac in y Practica Operacional)
4 37
Parte del Taller no se cuanta aqu Total
54
Hrs 25
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Arquitectura y estndares de IT Hardware: todo el equipo de IT incluyendo la unidad central, las mini computadoras, clientes/servidores, las rebajadoras, los interruptores, las comunicaciones, las PC, etc. Software: sistemas operacionales, programas de utilidades, bases de datos, etc. Red: el equipo y los servicios de comunicaciones dedicados para proporcionar las redes, red relacionada al hardware, red relacionada al software, el uso de los abastecedores de servicio que proporcionan servicios de comunicacin, etc. Controles de la lnea de fondo Seguridad / pruebas y validacin Los dos mdulos: Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 52 horas son de este tema
Tiempo en horas 52
54
Sub-temas
Hrs
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Herramientas de evaluacin y monitoreo de desempeo Gobierno de TIMantenimiento y Funcionamiento Monitoreo de controles de la TI y herramientas de evaluacin, como monitoreo de sistemas de control de acceso o monitoreo de incursin de sistemas de deteccin Gerencia de recursos de informacin e infraestructura: software de Gerencia de empresas Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Problemticas y consideraciones de centros de servicio vs. Infraestructuras tcnicas propietarias Sistemas abiertos Gerencia de centros de servicio y estndares/guas de las operaciones: COBIT, ITIL, ISO 17799 Gerencia de cambio/Implementacin de nuevos sistemas: organizacin de las herramientas usadas para controlar la introduccin de productos nuevos al ambiente del centro de servicio, etc. Gerencia de Seguridad Gerencia de Recurso/configuracin : cumplimiento con organizacin/TI estndares operacionales, polticas y procedimientos (i.e., uso correcto del lenguaje de las computadoras) Gerencia de problemas e incidentes Planificacin y pronsticos de capacidad Gerencia de la distribucin de sistemas automatizados Administracin del lanzamiento y versiones de sistemas automatizados Gerencia de proveedores Enlaces con clientes Gerencia a nivel de servicios Contingencia/ respaldos y Gerencia de recuperacin Gerencia del centro de llamadas Gerencia de las operaciones de la infraestructura (central y distribuida) Gerencia de redes Gerencia de riesgo Principios claves de gerencia Gerencia de Organizaciones de TI del total es 39 horas come 10 horas Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 8 son de este tema
Tiempo en horas
10
Gerencia de Centros de Servicio: Mantenimie nto de SI y IT a travs de Organizacio nes dedicadas a estas actividades
12
Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 52 horas son de este tema
52
55
Sub-temas Horas Totales
Hrs 37
Figura 3 Infraestructura Tcnica (IT) Y Prcticas operacionales Descripcin Nombre de los Cursos Total
Tiempo en horas 122
Sub-temas
Hrs
Figura 4Proteccin de los Activos de la Informacin Nombre de los Cursos Descripcin Tecnologa informativa y conceptos bsicos de seguridad, conceptos de seguridad de TI; necesidad de asegurar recursos de TI, poltica para seguridad de activos de TI; gerencia en la seguridad de activos de TI; entrenamiento Estndares, cumplimiento y aseguramiento en seguridad de TI Componentes de la seguridad lgica de TI; problemtica en la lgica del control de acceso; software de control de acceso Riesgos lgicos de seguridad, consideraciones de control y auditora (auditora de acceso lgico, prueba de seguridad) Caractersticas, herramientas y procedimientos lgicos de la seguridad Comunicaciones y seguridad de la red: principios de la seguridad de la red, del servidor de cliente, del Internet y de servicios tela-basados, de sistemas de la seguridad del cortafuego y de otros recursos de la proteccin de la conectividad (criptografa, firmas digitales, polticas de gerencia dominantes), sistemas de las detecciones de la intrusin, CobiT, revisiones de sistema Instalaciones de la seguridad de la unidad central Uso de la base de datos y seguridad bsicos del sistema Seguridad en el proceso del desarrollo y del mantenimiento del sistema Problemticas y exposiciones ambientales: conceptos en la seguridad fsica de TI Exposiciones y controles fsicos del acceso Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 8 horas son de este tema
Tiempo en Horas 8
40
24
Seguridad Fsica y Ambiental Horas Totales
Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 2 horas son de este tema Total
29
74
56
Subtemas
Hrs
Figura 5 Recuperacin del Desastre y Continuidad del Negocio Nombre de los Cursos Descripcin Apoyo y compromiso de la gerencia con el proceso Preparacin y documentacin del plan Aprobacin de la gerencia y distribucin del plan Prueba, mantenimiento y revisin del plan; entrenamiento Rol del auditor Provisiones de los respaldos Planificacin de la continuidad del negocio Anlisis del impacto del negocio Tcnica y Auditora de TI Empresarial y la Auditora de Midrange Computing total es 186 de los cuales 8 horas son de este tema Gerencia de Organizaciones de TI del total de 39 horas como 4 horas Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 4 son de este tema Contado bajo la parte Asuntos Legales de TI de 18 horas arriba
Tiempo en Horas 8
10
Seguro
Descripcin de los Seguros Artculos que pueden ser asegurados Tipos de cobertura de seguro Valoracin de activos: equipo, gente, proceso de la informacin y tecnologa
Horas Totales
12
Total
16
57
Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas 12 Componentes para manejar SI(datosAplicaciones en un Ambiente Distribuido es procesos-tecnologas-organizacin); 78 horas totales de las entendiendo los tenedores y sus cuales 12 horas para los requerimientos temas tres al cinco Mtodos de planificacin de SI: investigacin del sistema, oportunidades de mencionados aqu. Planificacin ERP es un caso de Taller 9 proceso de integracin/reingeniera, de SI para dos grupos (del evaluacin del riesgo, anlisis de mximo de 8 grupos) y no costo/beneficio, gravamen de riesgo; anlisis y diseo de los sistemas orientados se cuenta aqu a los objetos Integracin de los usos de la empresa del software de ERP 5 Supervisando el funcionamiento del Gerencia de porcentaje de disponibilidad contra Organizaciones de TI del acuerdos del porcentaje de disponibilidad, total de 39 horas como 5 calidad del servicio, de la disponibilidad, horas del tiempo de reaccin, de la seguridad y 20 de los controles, procesando la integridad, aislamiento, remedios, cumpliendo con los Aplicaciones en un niveles de servicio acordados (SLAs por Ambiente Distribuido es sus siglas en ingls) 78 horas totales de las cuales 20 horas para los Datos e informacin: analizar, evaluar y disear la arquitectura de informacin (i.e., temas tres al cinco mencionados aqu. rol de las bases de datos y Gerencia de Uso y sistemas de bases de datos incluyendo Gerencia de 16 sistemas de gerencia del conocimiento , Informacin almacenes de datos) Datos y arquitectura del uso (Modelo de SI, los modelos del negocio, los procesos y las soluciones); analiza, evala y disea los procesos del negocio de la entidad y los modelos del negocio Gerencia de Informacin (administracin de datos, funciones y administracin de bases de datos, roles y responsabilidades de DBA) Tecnologa de base de datos como herramienta para el auditor 20 Gerencia de proyecto de los sistemas de Aplicaciones en un Ambiente Distribuido es informacin: planificacin, organizacin, despliegue del recurso humano, control del 78 horas totales de las cuales 20 horas para los proyecto, supervisin y ejecucin temas tres al cinco Mtodos tradicionales para el desarrollo mencionados aqu del ciclo de vida del sistema; analizar, evaluar y disear las fases del desarrollo Desarrollo, del ciclo de vida de un sistema (SDLC) Adquisicin y Acercamientos para el desarrollo del Mantenimiento 12 sistema: paquetes de software, prototipo, de Sistemas de reingeniera de proceso del negocio, Informacin herramientas del CASE. Mantenimiento de sistemas y procedimientos para cambios de controles para cambio de sistemas Problemticas de riesgo y control, analizar 58 y evaluar caractersticas y riesgos del proyecto
Figura 6 -- Desarrollo, adquisicin, puesta en prctica y mantenimiento del sistema del uso de negocio Sub-temas Nombre de los Cursos Tiempo en Hrs Descripcin Horas 8 Impacto de TI BPO Aplicaciones en un Ambiente Distribuido es 78 en los Usos de las problemticas y de las horas totales de las cuales 8 Procesos y tendencias del E-negocio 4 horas para los temas tres al Soluciones de cinco mencionados aqu los Negocios Separacin de la especificacin y la implementacin en la programacin Metodologa de la especificacin de requisitos Diseo del algoritmo; clasificacin de los algoritmos Manejo de archivos Listas encadenadas y rboles binarios Creacin y manipulacin de base de datos Principios del buen diseo de la pantalla y del informe Alineacin del lenguaje del programa Aplicaciones en un Ambiente Distribuido es 78 horas totales de las cuales 8 horas para los temas tres al cinco mencionados aqu 8
Desarrollo de Programas
11
52
Total
73
Figura 7Evaluacin de Procesos de Negocios y Gerencia de Riesgo Nombre de los Cursos Hrs Descripcin Controles Entrada/originacin Procedimientos del control de proceso Controles de salida Documentacin de los sistemas de aplicacin 19 Auditora de Procedimientos de Negocios en Organizaciones Bien Dependientes en TI: total de 33 horas de las cuales 5 son de este tema Aplicaciones en un Ambiente Distribuido es 78 horas totales de las cuales 10 horas para los temas tres al cinco mencionados aqu Total VRIJE University Gran Total Taller durante un perodo de 18 semanas (max. 6 hrs por semana =108 hrs) donde cada grupo lleva acabo dos casos Gran Total Cursos de Postgraduado
Tiempo en Horas 5
Auditora y desarrollo de los controles del uso
10
Horas Totales
19
15
462 108
Gran Total
244
Horas Totales Figuras 1 a la 7
570
59
Informacin complementaria: Nuestro objetivo en los cursos es ensear al estudiante lo suficiente para darle la base para que pueda realizar (y luego manejar) auditoras de Tecnologa Informativa y auditoras de Sistemas de Informacin. Como un curso de pos grado tratamos de incluir toda la educacin necesaria de SI/TI. No podemos depender de cursos de pre grado para subir a los futuros auditores a un nivel graduado. En otras palabras los cursos de pos grado de la Universidad de Vrije incluyen la informacin requerida al nivel de pre grado. El curso dura 2.5 aos y se rene un da a la semana por 6 horas (1:00 p.m. a 7:30 p.m. con media hora para emparedados). El Taller no se cuenta dentro del perfil porque es un curso aprendiendo a aprender con mentores especficos para cada caso. La primera serie de casos contiene los siguientes: Auditora de Proyectos de Calidad Gerencial, Auditora de procedimientos claves de la Gerencia, Write Audit Approach for a Conversion Process, Auditora de Debida Diligencia. La segunda serie de casos trata sobre: Audit de SAP Operacional, Auditora de Terceras Partes Confiables, Audit of Unicenter (now TNG) pilot project, Benchmarking para una compaa. Los estudiantes usan alrededor de 45 horas de clase por persona (excluyendo horas contacto con el mentor) para las dos auditoras juntas. Los grupos son de un mnimo de 6 estudiantes lo cual significa que cada auditora promedia al menos una tarea que requiere 135 horas. El Taller es de 108 horas de las cuales 54 horas son horas contacto (incluyendo las presentaciones en grupo). Horas presentadas son horas contacto. Llenado a nivel de subtemas, lo cual no fue tan difcil de hacer. A este nivel de generalidad el encaje entre los mdulos de la Universidad de Vrije y el perfil no es perfecto.
60
Anexo 5. Acrnimos
ACMAssociation for Computing Machinery AGAAssociation of Government Accountants AICPAAmerican Institute of Certified Public Accountants AITPAssociation of Information Technology Professionals COCOCriteria of Control COSOCommittee of Sponsoring Organizations of the Treadway Commission IFACInternational Federation of Accountants IIAInstitute of Internal Auditors ISOInternational Organization for Standardization ITILInformation Technology Infrastructure Library NIANational Institute of Accountants
61
Anexo 6. Referencias
CISA Examination Areas, ISACA Certification Board, Rolling Meadows, IL, USA, 2003, www.isaca.org/cisa COBIT (Control Objectives for Information and related Technology) 3rd Edition, IT Governance Institute, Rolling Meadows, IL, USA, 2000, www.isaca.org/cobit Gallegos, Fred; Alan Lord; ISACA Model Curriculum 2004: Continuing to Invest in our Future, Information Systems Control Journal, Volume 6, 2004 Lord, A. T.; ISACA Model Curriculum 2004, International Journal of Accounting Information Systems, Volume 5, p. 251-265, 2 July 2004 Model Curricula for Information Systems Auditing at the Undergraduate and Graduate Levels, 1st Edition, Information Systems Audit and Control Association, Rolling Meadows, IL, USA, March 1998
62

Curricula CISA

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Curricula CISA

Hochgeladen von

Copyright:

Verfügbare Formate

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum

Information Systems Auditing and Control

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

Miembros de la Comisin de Trabajo del Modelo Acadmico

Comit de Relaciones Acadmicas

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

Necesidad de un Plan de Estudio

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

2. Desarrollo del Plan de Estudio de la ISACA

ISACA Model Curriculum for IS Audit and Control

Como se cre el modelo revisado

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

3. Uso del Plan de Estudio de la ISACA

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

4. ISACA Model Curriculum for IS Audit and Control

Conceptos Fundamentales de Auditora

Estndares y Directrices de Auditora de SI Conceptos de Controles Internos

ISACA Model Curriculum for IS Audit and Control

Proceso de Planificacin de Auditora

Proceso de Obtencin de Evidencia en la Auditora

Seguimiento del Informe de Auditora Horas Totales Temas Gerencia de SI/TI

ISACA Model Curriculum for IS Audit and Control

Planificacin Estratgica de SI/TI

Asuntos Gerenciales de SI/TI

COBIT uso de auditoras como apoyo para el ciclo del negocio

Tcnicas Horas Totales

Temas Infraestructura Tcnica (Planificacin, Implementacin y Prctica Operacionales)

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

Anexo 2. Destrezas Complementarias Sugeridas para los Auditores de SI

ISACA Model Curriculum for IS Audit and Control

Pasos para el proceso de mapeo

ISACA Model Curriculum for IS Audit and Control

Pasos para el proceso de mapeo

Conocimiento de la Funcin de la Auditora en los Sistemas de Informacin

Conceptos Fundamentale s de Auditora

Estndares y Directrices de Auditora de SI

ISACA Model Curriculum for IS Audit and Control

Conceptos de Controles Internos

Proceso de Planificacin de la Auditora

ISACA Model Curriculum for IS Audit and Control

Proceso de Evidencia de la Auditora

Seguimiento al Reporte de Auditora

ISACA Model Curriculum for IS Audit and Control

COBIT uso de auditoras como apoyo para el ciclo del negocio

Tcnicas Horas Totales

Revisiones operacionales Revisiones de ISO 9000

Temas Infraestructu ra Tcnica (Planificaci n, Implementac in y Practica Operacional)

ISACA Model Curriculum for IS Audit and Control

ISACA Model Curriculum for IS Audit and Control

Temas Horas Totales

Gerencia de la Seguridad de Activos de Informacin

Seguridad Lgica de Tecnologa Informatica

Seguridad Aplicada de TI: Recursos de Alta Tecnologa