ISACAINFORMATION SYSTEMS AUDIT AND

CONTROL ASSOCIATION

Índice

ISACA (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION)

QUE ES ISACA.........................................................................................................................1

HISTORIA.................................................................................................................................2

LAS CERTIFICACIONES.........................................................................................................2

•CISA.........................................................................................................................................3

•CISM.........................................................................................................................................3

•CGEIT.......................................................................................................................................3

•CRISC......................................................................................................................................3

CÓDIGO DE ÉTICA PROFESIONAL DE ISACA...................................................................4

A QUIENES SIRVE?................................................................................................................5

QUIENES SON SUS MIEMBROS?.........................................................................................5

ACTIVIDADES..........................................................................................................................6

LOS ESTÁNDARES ISACA....................................................................................................8

1. ESTÁNDARES:....................................................................................................................8

2. GUÍAS:..................................................................................................................................8

3. PROCEDIMIENTOS:............................................................................................................8

MAPA CONCEPTUAL...........................................................................................................10

CUESTIONARIO.....................................................................................................................11

BIBLIOGRAFÍA......................................................................................................................13

Contendido

ISACAINFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION

Que es ISACA

Es el proveedor líder mundial de conocimiento, certificaciones, comunidad, apoyo

y educación en seguridad y aseguramiento de sistemas de información, gobierno

empresarial de TI y riesgos y cumplimiento relacionados con la TI.

Además, es una organización que nació en 1967. A la fecha lo integran más de

65.000 personas en todo el mundo estas se caracterizan por su diversidad. Los

miembros viven y trabajan en más de 140 países y cubren una variedad de

puestos profesionales relacionados con TI – sólo para nombrar algunos ejemplos,

auditor de SI, consultor, educador, profesional de seguridad de SI, regulador,

director ejecutivo de información y auditor interno.

En las tres décadas transcurridas desde su creación, ISACA se ha convertido en

una organización global que establece las pautas para los profesionales de

gobernación, control, seguridad y auditoría de información. Sus normas de

auditoría y control de SI son respetados por profesionales de todo el mundo. Su

certificación Certified Information Systems Auditor (Auditor Certificado de Sistemas

de Información, o CISA) es reconocida en forma global y ha sido obtenida por más

de 50.000 profesionales. Su nueva certificación Certified Information Security

Manager (Gerente Certificado de Seguridad de Información, o CISM) se concentra

exclusivamente en el sector de gerencia de seguridad de la información.

La ISACA – Information Systems Audit and Control Association - es una

organización mundial sin fines de lucro cuya casa matriz está en Chicago, USA. La

misma está presente en más de 160 países con un número de asociados que

supera los 86.000 en todo el mundo, y su objetivo es la formación y

perfeccionamiento continuo en temas de Auditoria, Control y Seguridad en TI.

Asimismo da soporte profesional a una variedad de puestos relacionados con TI –

como por ejemplo entre otros, Auditores de SI, Consultores, Educadores,

Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de

Información y Auditores Internos.

1

Contendido

ISACA ha expandido su cobertura y se ha constituido en la entidad rectora y

unificadora de las normas y prácticas de seguridad y control informático en todo el

mundo. Los programas y servicios de ISACA han ganado su distinción al

establecer los mayores niveles de excelencia en las áreas de certificación

educación profesional, publicaciones, técnicas e investigación.

Historia

La Information Systems Audit and Control Association (ISACA) tuvo sus orígenes

en 1967, cuando un pequeño grupo de personas que realizaban trabajos afines

relacionados con auditoría y control consideraron que era necesario contar con

una misma fuente de información, directrices y metodologías para su área”

En efecto, los profesionales de la auditoría de controles en sistemas

computacionales comenzaron a volverse más críticos ante los avances de las

nuevas tecnologías que, según su parecer, dejaban áreas expuestas a riesgos.

Poco tiempo después, en 1969, el grupo se formalizó bajo el nombre de EDP

Auditors Association (Asociación de Auditores de Procesamiento Electrónico de

Datos) y en 1976 la asociación creó una fundación con fines educativos y de

capacitación, con el propósito de desarrollar proyectos de investigación de gran

escala y expandir los conocimientos de gobierno y control de Tecnologías de

Información (TI).

En la actualidad, ISACA cuenta con más de 95 mil miembros en todo el mundo,

localizados en más de 160 países, pertenecientes a una variedad de cargos

profesionales relacionados con TI, como auditores de Sistemas de Información

(SI), consultores, académicos, profesores, personal de seguridad de SI,

reguladores, directores ejecutivos de información y auditores internos.

Las Certificaciones

Otro de los pilares fundamentales de ISACA es el correspondiente a las

certificaciones internacionales en aquellos temas que pertenecen a su área de

especialización. Las mismas acreditan a los profesionales que las poseen, pues

2

Contendido

además de pasar un examen, que se toma el mismo día en todo el mundo, los

interesados deben demostrar su conocimiento y práctica en los diferentes

dominios cubiertos por cada certificación.

Todas las certificaciones de ISACA tienen un Código de Ética Profesional a la que

deben adherir todo individuo interesado en obtener cualquiera de las mismas, al

igual que deberán aprobar el examen correspondiente.

Posteriormente el interesado deberá presentar documentación que acredite

experiencia en varias de las áreas de práctica de la certificación solicitada.

Además, ofrece cuatro certificaciones profesionales:

•CISA (Certified Information Systems Auditor).

•CISM (Certified Information Security Manager).

•CGEIT (Certified in the Governance of Enterprise IT).

•CRISC (Certified in Risk and Information Systems Control).

La certificación CISA, “Auditor Certificado de Sistemas de Información”, es

reconocida de forma global y ha sido obtenida por más de 75 mil profesionales

desde su creación.

Esta designación responde a las necesidades que el avance de la tecnología ha

tenido en el actual mundo empresarial y de negocios, lo que obliga a las

compañías y organizaciones de todo tipo a proteger y controlar las TI y los

sistemas con que operan.

La designación como CISA acredita conocimientos especializados en las áreas de:

•Proceso de Auditoría de Sistemas de Información.

•Gobierno de TI.

•Ciclo de vida útil de la infraestructura y los sistemas.

•Soporte y cumplimiento de servicios de TI.

•Protección de los activos de información.

•Continuidad empresarial y recuperación ante desastres.

La certificación CISM, Gerente Certificado de Seguridad de Información, se

concentra en el sector de gerencia de seguridad de la información y ha sido

obtenida por más de 13 mil profesionales.

3

Contendido

La certificación CGEIT, Certificado en Gobierno de TI de la Empresa, promueve el

avance de profesionales que desean ser reconocidos por su experiencia y

conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por más

de 4 mil profesionales.

La nueva certificación CRISC, Certificado en Riesgos y Controles de los Sistemas

de Información, es para profesionales de TI que identifican y gestionan los riesgos

mediante el desarrollo, implementación y mantenimiento de controles de SI.

De igual modo, ISACA publica la revista ISACA Journal, orientada a la técnica de

control de la información, y organiza continuas conferencias internacionales y

seminarios locales que se concentran en tópicos técnicos y gerenciales

pertinentes a las profesiones de aseguramiento, control, seguridad y gobierno de

las TI y de SI.

En Latinoamérica, la ISACA organiza cada año la “Conferencia Latin CACS”

(Conferencia Latinoamericana de Auditoría, Control y Seguridad). De manera

conjunta, la ISACA y el Instituto de Gobierno de TI (IT Governance Institute, ITGI)

lideran la comunidad de control de tecnología de la información y sirven a sus

asociados brindando los elementos que necesitan los profesionales de TI en un

entorno mundial en cambio permanente.

Código de Ética Profesional de ISACA

La Asociación de Auditoría y Control de Sistemas de Información (ISACA)

establece este Código de Ética Profesional para guiar la conducta profesional y

personal de los miembros de la asociación y/o a los tenedores de su certificación.

Los Miembros y los tenedores de certificación de ISACA deberán:

•Soportar la implementación de, y fomentar el cumplimiento de, las normas, los

procedimientos y los controles apropiados para los sistemas de información.

•Ejecutar sus deberes con objetividad, debida diligencia y atención profesional, en

conformidad con las normas y mejores prácticas profesionales.

•Servir en el interés de los accionistas en una forma legal y honesta, y al mismo

tiempo mantener altos estándares de conducta y de carácter, y no dedicarse a

actos que puedan deshonrar la profesión.

4

Contendido

•Mantener la privacidad y la confidencialidad de la información obtenida en el

curso de sus funciones a menos que la autoridad legal requiera su revelación.

Dicha información no será usada para beneficio personal ni revelada a terceros

inapropiados.

•Mantener competencia en sus campos respectivos y acordar emprender

únicamente las actividades que ellos puedan razonablemente esperar realizar con

competencia profesional.

•Informar a las personas apropiadas sobre los resultados del trabajo realizado,

revelando todos los hechos significativos de los que ellos tengan conocimiento.

•Soportar la educación profesional de los accionistas para aumentar su

comprensión de la seguridad y el control de los sistemas de información.

A quienes sirve?

ISACA proporciona orientaciones prácticas, puntos de referencia y otros

instrumentos eficaces para todas las empresas que utilizan sistemas de

información. A través de su orientación y servicios integrales, ISACA se definen

las funciones de gobierno de la información de sistemas, seguridad, auditoría y

aseguramiento de los profesionales de todo el mundo. La COBIT y Val IT y riesgo

que los marcos de gobernanza y el CAAS, CISM y certificaciones CGEIT son

marcas ISACA respetados y utilizados por estos profesionales en beneficio de sus

empresas.

Quienes son sus miembros?

Con más de 86.000 miembros en 160 países, ISACA es reconocido

internacionalmente como una organización de alto rendimiento que aborda

problemas globales, los sistemas de informaciones nacionales y locales y de

negocio.

Los miembros viven y trabajan en más de 160 países y cubren una variedad de

posiciones profesionales relacionadas con la TI. Algunos están en las filas de más

alto rango, los demás se encuentran en niveles directivos medios y otros son

5

Contendido

nuevos en el campo. Trabajan en casi todas las categorías de la industria,

incluidos los financieros y la banca, contabilidad pública, el gobierno y el sector

público, servicios públicos y manufactura.

El ser miembro de ISACA vincula a las personas a una organización con una

fuerte reputación y prolongada historia de éxito y liderazgo y se tiene acceso a un

conjunto de conocimientos y beneficios, como también a la oportunidad de

contribuir directamente al avance de la profesión y el desarrollo de su cuerpo de

conocimientos.

El centro de ISACA esta ubicado en EE.UU., sin embargo, a lo largo del tiempo se

ha ido creando “capítulos” en diversos países, los que en la actualidad alcanzan

más de 185. La misión de los capítulos de ISACA es de promover la educación y

la mejora del conocimiento y las habilidades de sus miembros, ayudándolos a

lograr y mantener sus certificaciones que los acreditan como profesionales de

primer nivel y calidad, a través de diversas actividades que enriquecen

profesionalmente y brindan la oportunidad de ganar horas CPE (educación

profesional continua).

Actividades

Estas actividades son:

• Foros

Evento alrededor de una materia pre-determinada de actualidad y abierto a todos

los miembros, que puede ser presencial o virtual (vía Internet). Brinda la

oportunidad de conocer y reforzar marcos metodológicos, conceptos, tendencias y

temáticas que contribuyan con el capital de conocimientos de los asociados.

• Conferencias

Evento presencial alrededor de uno o más temas de actualidad, a cargo de

reconocidos expositores nacionales y extranjeros. Gratuitas para los asociados,

realizadas mensualmente, ofreciendo contenidos que permitan mantener

actualizados a los participantes.

• Cursos

6

Contendido

Programas de capacitación, entrenamiento o preparación en uno o en un conjunto

de dominios, bajo la orientación de uno o más instructores y que requiere la

asistencia de los participantes. Por ejemplo, los cursos de preparación para los

exámenes de certificación CISA, CISM y CGEIT.

Para la realización de estas actividades el capítulo convoca a la comunidad de

asociados a formar parte de los equipos que colaboran en el soporte a estas

actividades, son llamados voluntariado y garantizan el soporte y la realización de

dichas actividades del Capítulo, orientadas a asegurar que los programas de

certificación y de educación se difundan y entreguen satisfactoriamente a la base

de asociados.

ISACA establece este Código de Ética Profesional para guiar la conducta

profesional y personal de los miembros y/o poseedores de certificaciones de la

asociación. Los miembros y los poseedores de certificaciones de ISACA deberán:

1. Respaldar la implementación y promover el cumplimiento con estándares y

procedimientos apropiados del gobierno y gestión efectiva de los sistemas de

información y la tecnología de la empresa, incluyendo la gestión de auditoría,

control, seguridad y riesgos.

2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado

profesional, de acuerdo con estándares de la profesión. 3. Servir en beneficio de

las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener

altos niveles de conducta y carácter, y no involucrarse en actos que desacrediten

a la profesión o a la Asociación 4. Mantener la privacidad y confidencialidad de la

información obtenida en el curso de sus deberes a menos que la divulgación sea

requerida por una autoridad legal. Dicha información no debe ser utilizada para

beneficio personal ni revelada a partes inapropiadas. 5. Mantener la aptitud en sus

respectivos campos y asumir sólo aquellas actividades que razonablemente

esperen completar con las habilidades, conocimiento y competencias necesarias

6. Informar los resultados del trabajo realizado a las partes apropiadas, revelando

todos los hechos significativos sobre los cuales tengan conocimiento 7. Respaldar

la educación profesional de las partes interesadas para que tengan una mejor

comprensión del gobierno y la gestión de los sistemas de información y la

7

Contendido

tecnología de la empresa, incluyendo la gestión de la auditoría, control, seguridad

y riesgos. El incumplimiento de este Código de Ética Profesional puede acarrear

una investigación de la conducta de un miembro y/o titular de la certificación y, en

última instancia la expulsión.

Asociación de Auditoría y Control de Sistemas de Información (ISACA) ha

determinado que la naturaleza especializada de la auditoria de los sistemas de la

información y las habilidades necesarias para llevar a cabo este tipo de

auditorias, requieren de un desarrollo y la promulgación de normas generales para

la auditoria de los sistemas de información.

Los objetivos de estas normas son los de informar a los auditores del nivel mínimo

de rendimiento aceptable para satisfacer las responsabilidades profesionales

establecidas en el Código de Ética Profesional y de informar a la gerencia y a

otras partes interesadas de las expectativas de la profesión con respecto al trabajo

que ejercen.

El complejo mundo tecnológico y empresarial de la actualidad, continúa retando a

las empresas que buscan proteger y controlar la TI y los sistemas de las

empresas. Es por estos que existe una alta supervisión y un número cada vez

mayor de regulaciones gubernamentales que exigen procedimientos de control.

Los estándares ISACA

Los estándares de ISACA están divididos en múltiples guías y procedimientos:

1. Estándares: Definen los requerimientos obligatorios para la auditoria de

sistemas y la generación de informes.

2. Guías: Proveen una guía para la aplicación de los estándares de Auditoria de

Sistemas.

3. Procedimientos: Provee ejemplos de procedimientos que el Auditor de

Sistemas puede utilizar en una revisión. Los procedimientos ofrecen información

de cómo cumplir con los estándares al realizar una auditoria de sistemas pero no

especifican requerimientos.

Los estándares son:

010 Audit Charter

8

Contendido

020 Independence

030 Professional Ethics and Standard

040 Competences

050 Planning

060 Performance of Audit Work

070 Reporting

080 Follow-up Activities.

Los primeros capítulos de los estándares de ISACA (010 al 040) tienen una gran

similitud con las Normas sobre Atributos, definen la responsabilidad, la autoridad y

el rendimiento de cuentas abarcados por la función de auditoria, que deben estar

documentadas formalmente, la independencia, cumplimiento del código de ética

profesional para guiar la conducta profesional y personal de los miembros y la

idoneidad técnica por medio de la educación profesional continua correspondiente.

Los capítulos de los estándares de ISACA (050 al 080) son semejantes a las

Normas de Desempeño, donde el auditor deberá planificar el trabajo de auditoria

para satisfacer los objetivos, alcance, tiempo, estableciendo políticas,

procedimientos, evaluación de riesgos y recursos adecuados para guiar la

actividad de la auditoria, el cual están supervisadas para su cumplimiento y

calidad del trabajo. Además obtendrá evidencia suficiente, confiable, relevante

para emitir un informe con los hallazgos, las conclusiones y las recomendaciones,

estos se deberán apoyar por medio de un análisis e interpretación apropiada. Por

ultimo se realiza un seguimiento para determinar si se han implementado las

acciones apropiadas de manera oportuna.

Las normas de implantación y las guías, como su nombre lo indican, brindan una

guía para que el auditor deba tenerlos en consideración al implementar los

estándares, usar su criterio profesional para aplicarlos y estar preparado para

justificar cualquier diferencia.

9

Contendido

MAPA CONCEPTUAL

10

ISACAINFORMATION SYSTEMS AUDIT AND

CONTROL ASSOCIATION

HISTORIAQUE ES ISACA? LA CERTIFICACION

Tuvo sus orígenes en 1967, cuando un pequeño grupo de personas que realizaban trabajos afines relacionados con auditoría y control consideraron que era necesario contar con una misma fuente de información, directrices y metodologías para su área”

Las mismas acreditan a los profesionales que las poseen, pues además de pasar un examen, que se toma el mismo día en todo el mundo, los interesados deben demostrar su conocimiento y práctica en los diferentes dominios cubiertos por cada certificación.

Es el proveedor líder mundial de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con la TI.

•CISA (Certified Information Systems Auditor).•CISM (Certified Information Security Manager).•CGEIT (Certified in the Governance of Enterprise IT).•CRISC (Certified in Risk and Information Systems Control).

La ISACA – Information Systems Audit and Control Association - es una organización mundial sin fines de lucro cuya casa matriz está en Chicago, USA. La misma está presente en más de 160 países con un número de asociados que supera los 86.000 en todo el mundo,

Contendido

CUESTIONARIO

1.- ¿Qué es ISACA?

R.- Es el proveedor líder mundial de conocimiento, certificaciones, comunidad,

apoyo y educación en seguridad y aseguramiento de sistemas de información,

gobierno empresarial de TI y riesgos y cumplimiento relacionados con la TI.

2.- ¿Cómo se ha expandido ISACA?

R.- ISACA ha expandido su cobertura y se ha constituido en la entidad rectora y

unificadora de las normas y prácticas de seguridad y control informático en todo el

mundo.

3.- ¿Con cuantos miembros cuenta?

R.- En la actualidad, ISACA cuenta con más de 95 mil miembros en todo el

mundo, localizados en más de 160 países, pertenecientes a una variedad de

cargos profesionales

4.- ¿Qué tienen las certificaciones ISACA?

R.- Todas las certificaciones de ISACA tienen un Código de Ética Profesional a la

que deben adherir todo individuo interesado en obtener cualquiera de las mismas,

al igual que deberán aprobar el examen correspondiente.

5.- ¿Que revista pública ISACA?

R.- ISACA publica la revista ISACA Journal, orientada a la técnica de control de la

información

6.- ¿Los miembros que deben soportar y ejecutar?

R.- Los Miembros y los tenedores de certificación de ISACA deberán:

•Soportar la implementación de, y fomentar el cumplimiento de, las normas, los

procedimientos y los controles apropiados para los sistemas de información.

•Ejecutar sus deberes con objetividad, debida diligencia y atención profesional, en

conformidad con las normas y mejores prácticas profesionales

7.- ¿Qué proporciona ISACA?

R.- ISACA proporciona orientaciones prácticas, puntos de referencia y otros

instrumentos eficaces para todas las empresas que utilizan sistemas de

información.

11

Contendido

8.- ¿Dónde se ubica las instalaciones de ISACA?

R.- El centro de ISACA esta ubicado en EE.UU., sin embargo, a lo largo del tiempo

se han ido creando “capítulos” en diversos países, los que en la actualidad

alcanzan más de 185.

9.- ¿Qué actividades realiza?

R.- • Foros

• Conferencias

• Cursos

10.- ¿Qué objetivos tienen las normas de ISACA?

R.- Los objetivos de estas normas son los de informar a los auditores del nivel

mínimo de rendimiento aceptable para satisfacer las responsabilidades

profesionales establecidas en el Código de Ética Profesional y de informar a la

gerencia y a otras partes interesadas de las expectativas de la profesión con

respecto al trabajo que ejercen.

.

12

Contendido

Bibliografía

http://pumarino.blogspot.com/2008/09/qu-es-isaca.html

http://www.1024.com.uy/revista/index.php/nikola-tesla/124-isaca

http://www.auditool.org/index.php?

option=com_content&view=article&id=998:isaca&catid=57:auditoria-de-

ti&Itemid=112

http://www.isaca.org.ec/index.php?option=com_content&view=article&id=8&Itemid

13