UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

Introduccin
Dentro de este presente trabajo vamos a considerar dos temas importantes para la vida de un profesional en Auditoria: las normas ISACA y una de sus certificaciones que es la CISA, tratando de hacerlo de una manera simple de comprensin y considerando lo ms importante de estos temas. La Asociacin de Auditora y Control de Sistemas de Informacin ha determinado que la naturaleza especializada de la auditora de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales para la Auditora de los Sistemas de Informacin. La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Las normas promulgadas por la Asociacin de Auditora y Control de Sistemas de Informacin son aplicables al trabajo de auditora realizado por miembros de la Asociacin de Auditora y Control de Sistemas de Informacin y por las personas que han recibido la designacin de Auditor Certificado de Sistemas de Informacin. Siendo estas las bases para poder topar las normatividad de la ISACA y sus certificaciones.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

OBJETIVOS GENERAL
Los objetivos de estas normas es de: Informar a los auditores del nivel mnimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Cdigo de tica Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesin con respecto al trabajo de aquellos que la ejercen. OBJETIVOS ESPECIFICOS 1. Conocer al regulador de estas normas, consiguiendo entender los diferentes requerimientos del mismo.} 2. Identificar la finalidad de esta dentro de nuestra profesin de auditoria. 3. Conocer los diferentes requisitos para llegar obtener las diferentes certificaciones.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

Normativa ISACA
Orgenes de la normativa ISACA
La Information Systems Audit and Control Association (ISACA) tuvo sus orgenes en 1967, cuando un pequeo grupo de personas que realizaban trabajos afines relacionados con auditora y control consideraron que era necesario contar con una misma fuente de informacin, directrices y metodologas para su rea En efecto, los profesionales de la auditora de controles en sistemas computacionales comenzaron a volverse ms crticos ante los avances de las nuevas tecnologas que, segn su parecer, dejaban reas expuestas a riesgos. Poco tiempo despus, en 1969, el grupo se formaliz bajo el nombre de EDP Auditors Association (Asociacin de Auditores de Procesamiento Electrnico de Datos) y en 1976 la asociacin cre una fundacin con fines educativos y de capacitacin, con el propsito de desarrollar proyectos de investigacin de gran escala y expandir los conocimientos de gobierno y control de Tecnologas de Informacin (TI).

Definicin
La ISACA Information Systems Audit and Control Association - es una organizacin mundial sin fines de lucro cuya casa matriz est en Chicago, USA. Cuyo fin es la formacin y perfeccionamiento continuo en temas de Auditoria, Control y Seguridad en TI. Asimismo da soporte profesional a una variedad de puestos relacionados con TI como por ejemplo entre otros, Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Informacin y Auditores Internos. En la actualidad, ISACA cuenta con ms de 95 mil miembros en todo el mundo, localizados en ms de 160 pases, pertenecientes a una variedad de cargos profesionales relacionados con TI, como auditores de Sistemas de Informacin (SI), consultores, acadmicos, profesores, personal de seguridad de SI, reguladores, directores ejecutivos de informacin y auditores internos. Los profesionales asociados a ISACA ocupan puestos, tanto de principiantes como de alta Direccin y se desarrollan en mltiples categoras de industrias, incluyendo finanzas y banca, despachos de auditora y consultora, gobierno y sector pblico, servicios pblicos y manufactura. Esta diversidad permite un intercambio dinmico de conocimientos y puntos de vista sobre los puntos profesionales de su inters, pluralidad que ISACA destaca y cuida como una de sus mayores fortalezas.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

Otra de las fortalezas de la asociacin es su red de Captulos. ISACA cuenta con ms de 185 Captulos en ms de 75 pases, los cuales ofrecen capacitacin, recursos compartidos, asesora, red de contactos profesionales y una amplia gama de beneficios adicionales a nivel local. Desde su creacin, ISACA se ha convertido en una organizacin global que establece las pautas para los profesionales del gobierno, control, seguridad y auditora de informacin. Sus normas de auditora y control de SI son seguidas por profesionales de todo el mundo y sus investigaciones abordan temas profesionales que son desafos para sus constituyentes.

Certificaciones que da el ISACA

Adems, ofrece cuatro certificaciones profesionales:

CISA (Certified Information Systems Auditor). CISM (Certified Information Security Manager). CGEIT (Certified in the Governance of Enterprise IT). CRISC (Certified in Risk and Information Systems Control).

1. La certificacin CISA, Auditor Certificado de Sistemas de Informacin, es reconocida de forma global y ha sido obtenida por ms de 75 mil profesionales desde su creacin. Esta designacin responde a las necesidades que el avance de la tecnologa ha tenido en el actual mundo empresarial y de negocios, lo que obliga a las compaas y organizaciones de todo tipo a proteger y controlar las TI y los sistemas con que operan. 2. La designacin como CISA Esta acredita conocimientos especializados en las reas de:

Proceso de Auditora de Sistemas de Informacin. Gobierno de TI. Ciclo de vida til de la infraestructura y los sistemas. Soporte y cumplimiento de servicios de TI.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

Proteccin de los activos de informacin. Continuidad empresarial y recuperacin ante desastres.

3. La certificacin CISM Gerente Certificado de Seguridad de Informacin, se concentra en el sector de gerencia de seguridad de la informacin y ha sido obtenida por ms de 13 mil profesionales. 4. La certificacin CGEIT. Certificado en Gobierno de TI de la Empresa, promueve el avance de profesionales que desean ser reconocidos por su experiencia y conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por ms de 4 mil profesionales. 5. La nueva certificacin CRISC. Certificado en Riesgos y Controles de los Sistemas de Informacin, es para profesionales de TI que identifican y gestionan los riesgos mediante el desarrollo, implementacin y mantenimiento de controles de SI. De igual modo, ISACA publica la revista ISACA Journal, orientada a la tcnica de control de la informacin, y organiza continuas conferencias internacionales y seminarios locales que se concentran en tpicos tcnicos y gerenciales pertinentes a las profesiones de aseguramiento, control, seguridad y gobierno de las TI y de SI.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

Certificacin CISA
Certified Information Systems Auditor (CISA) es una certificacin para auditores respaldada por la Asociacin de Control y Auditora de Sistemas de Informacin (ISACA) (Information Systems Audit and Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA. CISA demuestra la experiencia probada: Con una creciente demanda de profesionales de auditora, control y capacidades de seguridad, CISA se ha convertido en el programa de certificacin preferido por individuos y organizaciones alrededor del mundo. Muchas empresas y agencias gubernamentales reconocen cada vez ms, exigen y esperan de sus IS y profesionales de IT mantener esta certificacin. CISA mejora la credibilidad y el reconocimiento: CISA es reconocida mundialmente como la marca de excelencia para el profesional de la auditora. CISA combina el logro de pasar un examen completo con el reconocimiento del trabajo y la experiencia educativa, que le proporciona credibilidad en el mercado. CISA significa un mayor potencial de ingresos y la promocin profesional: Recientes estudios independientes alinean constantemente CISA como uno de los que ms le paga y buscado despus de las certificaciones.

Historia
La certificacin CISA fue establecida en 1978,1 debido a las siguientes razones:

Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de los individuos al realizar auditoras de sistemas. Proveer una herramienta motivacional para los auditores de sistemas de informacin para mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento. Proveer criterios de ayudar y gestin en la seleccin de personal y desarrolladores.

El primer examen se llev a cabo en 1981, y los registros han crecido cada ao. En la actualidad, el examen es ofrecido en 11 idiomas y ms de 200 lugares de todo el mundo. En 2005, la ISACA anunci que el examen se ofrecer en junio y diciembre, y que empezara en 2005. Anteriormente, el examen slo haba sido administrado anualmente, en junio. Ms de 50 mil candidatos han conseguido el certificado CISA.
CHANGO ERIKA CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

La certificacin CISA es aprobada formalmente por el Departamento de Defensa de los Estados Unidos en la categora de Aseguramiento de Informacin Tcnica.

Requisitos
Los candidatos a la certificacin CISA deben pasar un examen de acuerdo con el Cdigo Profesional de tica de ISACA, adems de comprobar cinco aos de experiencia en auditora de sistemas, control interno y seguridad informtica y tener un programa de educacin continua. En caso de no cumplir con estos requisitos, existen algunas equivalencias definidas en la pgina de ISACA:

Un mnimo de un ao de experiencia en sistemas de informacin o un ao de experiencia en auditoras operacionales, pueden ser sustituidos por un ao de experiencia auditora de sistemas, control interno y seguridad informtica. 60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos aos de experiencia respectivamente de auditora de sistemas, control interno y seguridad informtica. 2 aos de instructor de tiempo completo en Universidad en campos relacionados (ejemplo: ciencias computacionales, contabilidad, auditora de sistemas de informacin, pueden ser sustituidos por un ao de experiencia de auditora de sistemas de informacin, control interno y seguridad de informtica.

Examen para la certificacin CISA

El examen consiste de 200 preguntas de opcin mltiple que deben ser contestadas en 4 horas. El examen est dividido en 5 reas hasta el manual de 2012:

El proceso de auditora de SI (14%) Gobierno de TI (14%) Administracin del ciclo de vida de infraestructura y sistemas (19%) Soporte y entrega de servicios de TI (23%) Proteccin de los activos de informacin (30%)

El examen CISA puede presentarse anualmente en junio, septiembre (desde 2013) y diciembre.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

Haber aprobado el examen CISA no equivale a ser Auditor Certificado CISA Este es el primer escollo que tenemos que dejar claro. Una cosa es haber aprobado el examen CISA y otra muy distinta es estar acreditado como Auditor Certificado CISA. Son conceptos DISTINTOS. En el primer caso, las personas que han aprobado el examen CISA, simple y llanamente, son alumnos que han aprobado el examen CISA. Es ms, segn el cdigo de conducta que asumimos al examinarnos, segn ISACA, hacerse llamar CISA cuando slo se es un alumno con el CISA aprobado es motivo de revocacin del estatus de alumno aprobado. La diferencia entre una persona que ha aprobado el examen CISA y un Auditor Certificado CISA estriba en varios puntos. Teniendo en cuenta los requisitos para la certificacin, una vez aprobado el examen se dispone de 5 aos naturales para poder "transformar" nuestro aprobado en el examen CISA en una certificacin como Auditor CISA. Pero aqu no acaba la cosa. El proceso de certificacin, es decir, el proceso que hace que dejemos de ser alumnos que han aprobado el examen CISA para convertirnos en Auditores Certificados CISA, consta de los siguientes elementos: 1) Como ya hemos comentado, haber aprobado el examen CISA. 2) Acreditacin de experiencia en auditora de sistemas, control o seguridad de la informacin. 3) Adhesin al Cdigo de Conducta de los Auditores CISA. 4) Adhesin al proceso de educacin continua (CPE). 5) Cumplir con los estndares de Auditora de Sistemas. Desglosemos cada paso: 1) Sobre el examen, es fcil. El primer requisito es haber aprobado el examen CISA. Esto es una condicin necesaria, pero no es suficiente. 2) Acreditacin de experiencia. Este es el punto ms enrevesado. En trminos generales, sin entrar en ms detalle, debemos demostrar al menos 5 aos de experiencia en auditora de sistemas, control o seguridad de la informacin. Slo es posible acreditar estos 5 aos de experiencia en el perodo que comprende los 10 aos anteriores a la fecha del aprobado. De modo que, si apruebas con 22 aos, tericamente puedes demostrar experiencia desde los 12 aos para que sea computable, pero obviamente, nadie se va a creer que tu experiencia auditando se extiende desde los 12 a los 17 aos :) 3) El cdigo de conducta resume una serie de pautas a cumplir por los aspirantes a Auditores Certificados. Para que nos entendamos, es una declaracin de intenciones, en lo referente a la honestidad y buen hacer de los trabajos, as como el respecto a la funcin de auditora, los intereses de los accionistas de las empresas cuyos sistemas audites, etc. Consta de un total de 7 puntos.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

4) El proceso de educacin continua obliga a la realizacin de un mnimo de actividades para mantener el estado activo de la certificacin. La certificacin que no se mantiene con la formacin continua, ao a ao, es revocada. 5) El cumplimiento de los estndares es un compromiso de mantener, en aras de la mejora de la funcin de auditora, un respeto a los estndares de la misma, y los mtodos de actuacin comnmente aceptados y que hayan sido promulgados por ISACA. Segn la poltica de estndares de ISACA, todo gira en torno a las buenas prcticas de ISACA, realizadas en su da con la colaboracin de la International Federation of Accountants (IFAC), la Federacin Internacional de Contables. As pues, cosas tan habituales como la realizacin de un test de penetracin, tiene un cdigo de buenas prcticas asociado que debe ser respetado, si es que queremos considerarnos Auditores CISA. Este punto es, en resumen, una llamada de atencin a los llaneros solitarios que ejecutan sus trabajos alegando que son Auditores CISA, pero que luego se pasan por el forro lo que aconseja CISA. Para ir a nuestro aire, debemos hacerlo a ttulo personal. Ir por ah diciendo que auditamos conforme a CISA, para luego hacer las cosas a nuestro antojo, no slo es motivo de revocacin, sino que adems, es una situacin que no se corresponde a la realidad. Si alguno de los mtodos, consejos o buenas prcticas promovidas por ISACA te parece una chorrada, lo tienes fcil: o ayudas a corregirlos (son documentos colaborativos, y que agradecen revisiones), o bien te certificas con otras institucin cuyos mtodos te gusten ms. En resumen: un alumno que slo ha aprobado el examen CISA slo cumple con el punto 1. Un Auditor Certificado CISA debe cumplir con los puntos 1, 2, 3, 4 y 5. Si prefers un ejemplo ms espartano, imaginad la diferencia entre un Licenciado en Derecho, y un Abogado. El Licenciado slo ha aprobado sus exmenes en la carrera, mientras que el Abogado no slo ha aprobado la Licenciatura, sino que ha hecho una pasanta (acredita experiencia), se cie a los dictmenes de su Colegio Profesional (no va por ah impartiendo justicia a su aire), respeta la profesin y cumple con sus cdigos de conducta, se forma de una manera continua para no quedarse desfasado, y cumple con los estndares de actuacin en la abogaca. Una vez entendido este ejemplo, es fcil razonar que un aprobado en examen CISA no equivale a ser Auditor Certificado CISA.

Los CISA y el mercado laboral

Una de las preguntas frecuentes que nos hacemos es sirve ser Auditor Certificado CISA para mejorar nuestro currculum? es algo en lo que merezca invertir para mejorar nuestra situacin profesional? Este es un terreno abonado para el debate, especialmente para que los que confunden haber aprobado el CISA con ser Auditores Certificados CISA arremetan contra lo que supone aprobar el examen: en este mismo blog son muchas las opiniones vertidas en las que se comenta, y nos les falta razn, que
CHANGO ERIKA CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

haber aprobado el examen CISA no implica saber hacer auditoras. Claro, menudo descubrimiento. Y es que, como ya hemos repetido hasta la saciedad, el examen slo es la llave hacia la certificacin. Slo es cumplir el paso 1. Para saber hacer auditoras y poder demostrarlo, hay que tener experiencia en el campo de batalla. As pues, un entrevistador documentado razonar que un CV en el que aparece "CISA" implica obligatoriamente preguntar al candidato si es un alumno que ha aprobado el CISA, o si por el contrario, es un Auditor Certificado. Eso, para empezar. Que existe la posibilidad de tener aprobado el examen por haberse ledo la noche antes el temario y haber tenido suerte? Claro que existe. Es un tipo test, y el azar siempre puede salirnos rentable. Que existe la posibilidad que la experiencia de 5 aos te la firme y acredite un amiguete, y no hayas tocado en tu vida un sistema? Claro que es posible. La picaresca no tiene lmites. Que hay gente que pretende canjear 5 aos de experiencia en Auditora de Sistemas, Control y Seguridad por haber estado 5 aos instalando el Windows o el Linux al vecino? Tambin los hay. Que en ISACA no se chupan el dedo, y miran con lupa las propuestas de certificacin? Por supuesto. Sobre el tapete, y excluyendo las casusticas picarescas, un Auditor Certificado CISA es algo ms que un alumno que ha aprobado el examen CISA: es un profesional que sigue un cdigo de conducta, es una persona que acata los estndares y no va por ah pegando tiros al aire, es un profesional que puede demostrar al menos 5 aos de experiencia en el campo de batalla, y es un profesional que se molesta en formarse da a da, y ao a ao. Se capta la diferencia? Un gestor de Recursos Humanos desarrollado su labor en una empresa de seleccin de personal no tiene por qu ser un desinformado. Captar esta diferencia, una vez entendido que no es lo mismo haber aprobado el examen con el hecho de estar certificado, tampoco es tan complicado. Adems, siempre queda el Currculum Vitae, en el que se puede deducir rpidamente si la persona que afirma ser Auditor Certificado CISA lo es o no. Que hay selecciones de personal en las que ni se sabe qu es el CISA, o en las que se piensa que aprobar el examen es ser CISA certificado? Tambin las hay.

CHANGO ERIKA

CA9-2

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA

As pues, una persona en cuyo CV aparezcan como experiencias laborales tareas en las que no se realiza una funcin de auditora, a duras penas podr alegar que tiene experiencia de campo. Haber sido barman, conductor de autobs, administrativo o repartidor de peridicos son profesiones respetabilsimas, honorabilsimas y muy loables, pero no implican experiencia en la funcin de auditora. Un chico de 20 aos a duras penas podr argumentar experiencia laboral, ni en auditora, ni en nada. Tampoco resulta creble que un seor de 35 aos que se ha dedicado a otras cosas que no son la funcin de auditora pueda acreditar experiencia en la funcin de auditora. Bajo mi punto de vista, ser Auditor Certificado CISA implica que se tiene experiencia. Por tanto, es un factor muy valorable en las organizaciones, y as se puede ver en las ofertas de empleo. Ya no es porque se supone que eres apto para el trabajo en equipo, ya no es porque se supone que sabes adherirte a un cdigo de conducta. Tampoco es por el hecho de defender los intereses de terceros en tu organizacin. Es por el hecho de que eres una persona con experiencia, y la experiencia lo es, la gran mayora de las veces, prcticamente todo.

CHANGO ERIKA

CA9-2