Auditoria de Sistemas Ing. Jorge Luis Cardoza Sevilla Inspector de Riesgo Tecnológico Superintendencia de Bancos y otras I...
Agenda <ul><li>Introducción </li></ul><ul><li>Auditoria </li></ul><ul><li>Auditoria de Sistemas </li></ul><ul><li>Objetivo...
Introducción <ul><li>El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan los procesos d...
Auditoria <ul><li>Inicialmente, la auditoria se limitó a las verificaciones de los registros contables, dedicándose a obse...
Auditoria  de Sistemas <ul><li>Revisión y evaluación de los Recursos Informáticos y de su ambiente. </li></ul><ul><li>La a...
Objetivos Generales <ul><li>Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñad...
Normas de Auditoria <ul><li>Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimie...
Proceso de auditoria de Sistemas <ul><li>Un proceso de auditoria basado en riesgo normalmente incluiría las siguientes tar...
Proceso de auditoria de Sistemas <ul><li>Efectuar pruebas sustantivas. </li></ul><ul><ul><li>Procedimientos analíticos. </...
Alcance <ul><li>El auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se des...
<ul><li>Control sobre las tareas de mantenimiento y los cambios a programas.  </li></ul><ul><li>Muchas veces las organizac...
<ul><li>Seguridad lógica.  </li></ul><ul><li>La revisión de la seguridad lógica permitirá emitir una conclusión sobre:  </...
<ul><li>Estructura de aplicaciones.  </li></ul><ul><li>La identificación de sistemas críticos de la organización, el grado...
<ul><li>Control de proyectos </li></ul><ul><li>El auditor debe verificar que para los proyectos de TI se lleve a cabo una ...
Alcance
Pruebas de Auditoria Asistidas por Computadora <ul><li>Existen empresas que son altamente automatizadas en sus procesos pr...
CAATs <ul><li>Algunas Ventajas: </li></ul><ul><li>Amplio acceso a la información. </li></ul><ul><li>Independencia de Infor...
La Base del Iceberg
¿Preocuparse por auditar TI? Firewalls Firma digital Gobierno Corporativo Gobierno de TI Administración de riesgos Riesgos...
¿Qué ha cambiado? <ul><li>Antes Ahora </li></ul>No solo la tecnología, también los procesos de revisión a la misma.
<ul><li>Hoy en día ISACA cambia el uso del termino “Auditoria” por el de “Aseguramiento”. </li></ul><ul><li>Antes  Ahora <...
De la Auditoría al Aseguramiento   Fernando Ferrer Olivares, CISA, CISM (CACS 2007) PHVA QA SQA Auditor Revisor CSA Acredi...
!Lo Nuevo¡ <ul><li>Nuevo Marco de Aseguramiento </li></ul><ul><ul><li>El que dirige la orquesta ! </li></ul></ul><ul><ul><...
Hay mas….
ISACA <ul><li>ISACA® comenzó  en 1967, cuando un pequeño grupo de personas con trabajos similares, controles de auditoría ...
Beneficios de ISACA <ul><li>ISACA ofrece una amplia gama de beneficios para aumentar sus conocimientos y contactos, incluy...
Beneficios de ISACA <ul><li>Copia gratis de COBIT® 4.1, descuento en la compra de COBIT y acceso básico a COBIT Online®. <...
Certificación CISA <ul><li>Auditor de Sistemas de Información Certificado (CISA por sus siglas en Ingles), es la principal...
Requisitos para ser CISA <ul><li>Obtener una calificación de aprobación en el examen CISA. La calificación de aprobación e...
El examen CISA <ul><li>Se ofrece el examen CISA en junio y diciembre de cada año, y consiste de 200 preguntas de selección...
Mantenimiento de la certificación <ul><li>Para mantener la certificación CISA, los individuos deben cumplir con una políti...
Conclusiones <ul><li>Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, debe some...
<ul><li>La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuen...
MUCHAS
Próxima SlideShare
Cargando en…5
×

Auditoria de sistemas

720 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
720
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
24
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Auditoria de sistemas

  1. 1. Auditoria de Sistemas Ing. Jorge Luis Cardoza Sevilla Inspector de Riesgo Tecnológico Superintendencia de Bancos y otras Instituciones Financieras.
  2. 2. Agenda <ul><li>Introducción </li></ul><ul><li>Auditoria </li></ul><ul><li>Auditoria de Sistemas </li></ul><ul><li>Objetivos Generales </li></ul><ul><li>Normas de Auditoria </li></ul><ul><li>Proceso </li></ul><ul><li>Alcance </li></ul><ul><li>Pruebas Asistidas por Computador </li></ul><ul><li>El Iceberg </li></ul><ul><li>Los cambios </li></ul><ul><li>ISACA </li></ul><ul><li>Certificación CISA </li></ul><ul><li>Conclusiones </li></ul>
  3. 3. Introducción <ul><li>El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan y administren los riesgos asociados con la implantación y mantenimiento de las nuevas tecnologías, cada vez más complejas y cambiantes. </li></ul><ul><li>La tecnología seguirá cambiando la forma de hacer negocios, la conectividad de Internet entrando cada día más a nuestras vidas y cambiando la forma de hacer negocios </li></ul><ul><li>Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva, requieren una función de auditoría informática o de sistemas calificada, competente y objetiva, que pueda entender y evaluar el riesgo en los sistemas de información y conlleve en el mejoramiento del control interno, la eficacia de los procesos y la aplicación de MEJORES PRACTICAS orientadas a una adecuada administración del riesgo tecnológico . </li></ul>
  4. 4. Auditoria <ul><li>Inicialmente, la auditoria se limitó a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos. </li></ul><ul><li>Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros. </li></ul><ul><li>Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; aun hay quienes creen y practican auditorias con el único objetivo de observar la veracidad y exactitud de los registros. </li></ul><ul><li>Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos. </li></ul>
  5. 5. Auditoria de Sistemas <ul><li>Revisión y evaluación de los Recursos Informáticos y de su ambiente. </li></ul><ul><li>La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. </li></ul><ul><li>Recursos: </li></ul><ul><ul><li>Software </li></ul></ul><ul><ul><li>Hardware </li></ul></ul><ul><ul><li>Comunicaciones </li></ul></ul><ul><ul><li>Personal (Organización) </li></ul></ul><ul><ul><li>Políticas y Procedimientos </li></ul></ul><ul><ul><li>Controles y Seguridad </li></ul></ul>
  6. 6. Objetivos Generales <ul><li>Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados. </li></ul><ul><li>Incrementar la satisfacción de los usuarios de los sistemas computarizados. </li></ul><ul><li>Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. </li></ul><ul><li>Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. </li></ul><ul><li>Seguridad de personal, datos, hardware, software e instalaciones. </li></ul><ul><li>Apoyo de función informática a las metas y objetivos de la organización. </li></ul><ul><li>Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. </li></ul><ul><li>Minimizar existencias de riesgos en el uso de Tecnología de información. </li></ul><ul><li>Decisiones de inversión y gastos innecesarios. </li></ul><ul><li>Capacitación y educación sobre controles en los Sistemas de Información. </li></ul>
  7. 7. Normas de Auditoria <ul><li>Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen. </li></ul><ul><ul><ul><li>S1 Estatuto </li></ul></ul></ul><ul><ul><ul><li>S2 Independencia </li></ul></ul></ul><ul><ul><ul><li>S3 Ética y normas profesionales </li></ul></ul></ul><ul><ul><ul><li>S4 Competencia profesional </li></ul></ul></ul><ul><ul><ul><li>S5 Planeación </li></ul></ul></ul><ul><ul><ul><li>S6 Realización de labores de auditoría </li></ul></ul></ul><ul><ul><ul><li>S7 Reporte </li></ul></ul></ul><ul><ul><ul><li>S8 Actividades de seguimiento </li></ul></ul></ul><ul><ul><ul><li>S9 Irregularidades y acciones ilegales </li></ul></ul></ul><ul><ul><ul><li>S10 Gobernabilidad de TI </li></ul></ul></ul><ul><ul><ul><li>S11 Uso de la evaluación de riesgos en la planeación de auditoría </li></ul></ul></ul><ul><ul><ul><li>S12 Materialidad de la auditoría </li></ul></ul></ul><ul><ul><ul><li>S13 Uso del trabajo de otros expertos </li></ul></ul></ul><ul><ul><ul><li>S14 Evidencia de auditoría </li></ul></ul></ul>www.isaca.org
  8. 8. Proceso de auditoria de Sistemas <ul><li>Un proceso de auditoria basado en riesgo normalmente incluiría las siguientes tareas: </li></ul><ul><li>Recopilar información y planificar. </li></ul><ul><ul><li>Realizando un conocimiento del negocio. </li></ul></ul><ul><ul><li>Revisando de auditorias anteriores. </li></ul></ul><ul><ul><li>Información financiera reciente. </li></ul></ul><ul><ul><li>Leyes y Normativa aplicable. </li></ul></ul><ul><ul><li>Análisis de los riesgos Inherentes. </li></ul></ul><ul><li>Entender el Ambiente de Control Interno </li></ul><ul><ul><li>Ambiente de control. </li></ul></ul><ul><ul><li>Procedimientos de control. </li></ul></ul><ul><ul><li>Análisis de riesgo de detección. </li></ul></ul><ul><ul><li>Determinación del control de riesgo. </li></ul></ul><ul><li>Efectuar pruebas de cumplimiento. </li></ul><ul><ul><li>Comprobar las políticas y procedimientos. </li></ul></ul><ul><ul><li>Comprobar la segregación de tareas. </li></ul></ul>
  9. 9. Proceso de auditoria de Sistemas <ul><li>Efectuar pruebas sustantivas. </li></ul><ul><ul><li>Procedimientos analíticos. </li></ul></ul><ul><ul><li>Pruebas detalladas de balances de cuenta. </li></ul></ul><ul><ul><li>Otros procedimientos sustantivos </li></ul></ul><ul><li>Concluir la Auditoría </li></ul><ul><ul><li>Crear recomendaciones </li></ul></ul><ul><ul><li>Redactar el informe de auditoría </li></ul></ul>
  10. 10. Alcance <ul><li>El auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se describen a continuación </li></ul><ul><li>Administración del departamento de sistemas. </li></ul><ul><li>Se debe comprobar la suficiencia de recursos humanos y la segregación de funciones. </li></ul><ul><li>Control de actividades del área de sistemas. </li></ul><ul><li>Verificar la existencia y seguimiento de un plan estratégico de sistemas que este alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser reflejado en planes anuales del área de sistemas que incluirían detalle de las tareas a realizar por el área en función a determinados plazos y recursos. </li></ul><ul><li>Control de tareas de desarrollo. </li></ul><ul><li>Revisión de la existencia, calidad y cumplimiento de normas, políticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogéneas entre diferentes proyectos. </li></ul>
  11. 11. <ul><li>Control sobre las tareas de mantenimiento y los cambios a programas. </li></ul><ul><li>Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalización, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades. </li></ul><ul><li>Esto implica la realización de cambios en los programas, los mismos que deben ser controlados, para lo cual se efectúa el diseño, la programación, las pruebas y la puesta en producción, estos aspectos deben ser controlados de manera adecuada. </li></ul>Alcance
  12. 12. <ul><li>Seguridad lógica. </li></ul><ul><li>La revisión de la seguridad lógica permitirá emitir una conclusión sobre: </li></ul><ul><ul><ul><li>La administración de perfiles de usuario. </li></ul></ul></ul><ul><ul><ul><li>La administración de passwords. </li></ul></ul></ul><ul><ul><ul><li>Control de privilegios especiales </li></ul></ul></ul><ul><ul><ul><li>La generación de BackUps (Respaldos de datos). </li></ul></ul></ul><ul><ul><ul><li>La generación de Logs. (registro de actividades en el sistema) </li></ul></ul></ul><ul><ul><ul><li>Los virus y otros malwares. </li></ul></ul></ul><ul><ul><ul><li>La existencia y características de un plan de contingencia de la organización. </li></ul></ul></ul><ul><li>Seguridad física. </li></ul><ul><li>Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mínimas para un buen funcionamiento de los equipos principales de la organización, inclusive en caso de emergencias, esto puede incluir UPS, generados de energía, aire acondicionado, piso falso, detector de humo y extintores. </li></ul><ul><li>El acceso restringido a hardware y equipo de apoyo crítico. </li></ul>Alcance
  13. 13. <ul><li>Estructura de aplicaciones. </li></ul><ul><li>La identificación de sistemas críticos de la organización, el grado de integración entre los diferentes sistemas, procesos en lote, oportunidades de automatización para mejorar eficiencia, etc. </li></ul><ul><li>Estructura de hardware. </li></ul><ul><li>El auditor puede considerar el tipo y cantidad de servidores y equipos personales existentes en la organización, el sistema operativo utilizado y las características de los mantenimientos realizados a los equipos. </li></ul><ul><li>Estructura de comunicaciones. </li></ul><ul><li>En caso de que la organización cuente con sucursales o que realice operaciones a través de Internet, entre los aspectos a ser considerados se destacan, el tipo de comunicación, la velocidad de transferencia, la topología de la red, la cantidad de usuarios y los servicios prestados / recibidos a través de la red. </li></ul><ul><li>Administración de problemas. </li></ul><ul><li>En este caso se evaluaría la existencia de procedimientos o normas aplicables para la realización de cambios de emergencia, la existencia y evaluación del historial de problemas presentados, el uso de una base de conocimiento, etc. </li></ul>Alcance
  14. 14. <ul><li>Control de proyectos </li></ul><ul><li>El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada técnica o metodología de administración de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto. </li></ul><ul><li>Continuidad de operaciones </li></ul><ul><li>El auditor debe verificar el grado de preparación del área de tecnología ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados. </li></ul>Alcance
  15. 15. Alcance
  16. 16. Pruebas de Auditoria Asistidas por Computadora <ul><li>Existen empresas que son altamente automatizadas en sus procesos principales y tienen un volumen alto de transacciones. Cuando se requiere efectuar pruebas de detalle en este tipo de organizaciones, el auditor debe recurrir a pruebas de auditoria asistidas por computadoras. ( CAATs por sus siglas en Ingles ) </li></ul><ul><li>Para efectuar este tipo de pruebas el auditor requerirá de un software especialmente diseñado para tal efecto, el cual le permita recuperar la(s) base(s) de datos de la organización y efectuar el procesamiento requerido en función de la prueba definida. </li></ul>www.acl.com www.caseware.com <ul><li>Ejemplos: </li></ul><ul><li>Verificación de totalidad por lotes. </li></ul><ul><li>Verificación de secuencia y cortes. </li></ul><ul><li>Match o comparaciones. </li></ul><ul><li>Estratificaciones. </li></ul><ul><li>Ley de Benford </li></ul>
  17. 17. CAATs <ul><li>Algunas Ventajas: </li></ul><ul><li>Amplio acceso a la información. </li></ul><ul><li>Independencia de Información, permitiendo al auditor tener mayor confianza sobre la información auditada. </li></ul><ul><li>Llevar a cabo análisis específicos de los datos como el cálculo de estadísticas diversas, detección de omisiones, detección de duplicados, sumas totales, etc. </li></ul><ul><li>Importar datos desde un amplio rango de tipos de archivo </li></ul><ul><li>Capacidad de análisis a grandes volúmenes de transacciones </li></ul><ul><li>Desarrollo de análisis y reportes personalizados. </li></ul><ul><li>En General, mejoras en la eficiencia, calidad, sostenibilidad y escalabilidad de los procesos de revisión. </li></ul>
  18. 18. La Base del Iceberg
  19. 19. ¿Preocuparse por auditar TI? Firewalls Firma digital Gobierno Corporativo Gobierno de TI Administración de riesgos Riesgos de TI Control Interno Controles de TI Seguridad Virus Balanced Scorecard Hackers VPNs Estados Financieros Regulaciones Auditor Auditor de SI
  20. 20. ¿Qué ha cambiado? <ul><li>Antes Ahora </li></ul>No solo la tecnología, también los procesos de revisión a la misma.
  21. 21. <ul><li>Hoy en día ISACA cambia el uso del termino “Auditoria” por el de “Aseguramiento”. </li></ul><ul><li>Antes Ahora </li></ul>¿Qué ha cambiado?
  22. 22. De la Auditoría al Aseguramiento Fernando Ferrer Olivares, CISA, CISM (CACS 2007) PHVA QA SQA Auditor Revisor CSA Acreditador Certificador Consultor
  23. 23. !Lo Nuevo¡ <ul><li>Nuevo Marco de Aseguramiento </li></ul><ul><ul><li>El que dirige la orquesta ! </li></ul></ul><ul><ul><li>Reemplaza procesos anteriores de Monitoreo </li></ul></ul><ul><ul><li>Planeación, Ejecución y Reporte </li></ul></ul><ul><ul><li>Nueva forma de combinar Objetivos de Control </li></ul></ul>¿Estamos siguiendo los pasos? Si no es así, ¿Cómo vamos a lograrlo?
  24. 24. Hay mas….
  25. 25. ISACA <ul><li>ISACA® comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares, controles de auditoría en los sistemas computarizados que se estaban haciendo cada vez más críticos para las operaciones de sus organizaciones respectivas, se sentaron a discutir la necesidad de tener una fuente centralizada de información y guía en dicho campo. </li></ul><ul><li>Hoy, los miembros de ISACA – más de 65.000 en todo el mundo – se caracterizan por su diversidad, tiene capítulos en más de 60 países en todo el mundo, y dichos capítulos brindan a los miembros educación, recursos compartidos, promoción, contactos profesionales y una amplia gama de beneficios adicionales a nivel local. </li></ul><ul><li>Se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Sus normas de auditoría y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafían a sus constituyentes. </li></ul>
  26. 26. Beneficios de ISACA <ul><li>ISACA ofrece una amplia gama de beneficios para aumentar sus conocimientos y contactos, incluyendo: </li></ul><ul><li>Precios reducidos para inscripción y materiales de estudio para los exámenes CISA y CISM </li></ul><ul><li>Suscripción al Information Systems Control Journal ®, una revista bimensual que contiene artículos sobre prácticas y tecnologías actuales y futuras </li></ul><ul><li>Descuentos en conferencias técnicas y gerenciales de avanzada y talleres para desarrollo profesional y para obtener créditos de EPC para CISA y CISM </li></ul><ul><li>Descuentos en las publicaciones de investigación de ISACA y del IT Governance Institute® y cómodo acceso a publicaciones de la Librería de ISACA comentadas por colegas </li></ul><ul><li>Acceso pleno al Career Centre de ISACA, con oportunidades laborales en todo el mundo y publicación confidencial del currículum vitae </li></ul>
  27. 27. Beneficios de ISACA <ul><li>Copia gratis de COBIT® 4.1, descuento en la compra de COBIT y acceso básico a COBIT Online®. </li></ul><ul><li>Acceso irrestricto a K-NET®, una base de datos global de conocimientos de materiales de referencia con base en el Internet. </li></ul><ul><li>Suscripción a Global Communique ®, una publicación mensual de ISACA para sus miembros. </li></ul><ul><li>Oportunidades de liderazgo y establecimiento de contactos por medio de los capítulos locales. </li></ul><ul><li>Acceso a una variedad de publicaciones y documentos para bajar que abarcan una variedad de tópicos de interés para los profesionales de auditoría, control, seguridad y gobierno de TI. </li></ul><ul><li>Se ofrecen simposios electrónicos gratuitos mes a mes a los miembros de ISACA en los cuales se tratan tópicos excelentes e Interesantes. Los asistentes pueden obtener hasta tres créditos de EPC por asistir a cada simposio electrónico. </li></ul>
  28. 28. Certificación CISA <ul><li>Auditor de Sistemas de Información Certificado (CISA por sus siglas en Ingles), es la principal acreditación que brinda la ISACA, que busca es contar con profesionales que adquieran reconocimiento mundial como evaluadores de: </li></ul><ul><ul><li>Estrategias, políticas, estándares y procedimientos de administración de SI. </li></ul></ul><ul><ul><li>La efectividad y eficiencia sobre la implementación y seguimiento de la infraestructura técnica y operacional en una organización. </li></ul></ul><ul><ul><li>Seguridad lógica, ambiental y en la infraestructura de TI. </li></ul></ul><ul><ul><li>Continuidad de las operaciones del negocio y el procesamiento de SI. </li></ul></ul><ul><ul><li>Desarrollo, adquisición, implementación y mantenimiento de las aplicaciones del negocio. </li></ul></ul><ul><ul><li>Sistemas y procesos el negocio. </li></ul></ul><ul><li>Desde 1978, el examen CISA ha medido la excelencia en el área de la Auditoría de sistemas de información, control y seguridad. CISA ha crecido para ser globalmente reconocido y adoptado a nivel mundial como un símbolo de logro. </li></ul>
  29. 29. Requisitos para ser CISA <ul><li>Obtener una calificación de aprobación en el examen CISA. La calificación de aprobación en el examen CISA, sin completar la experiencia laboral detallada a continuación, es válida sólo durante cinco años. Si el candidato no satisface los requisitos para la certificación CISA dentro del período de cinco años, la calificación de aprobación es anulada. </li></ul><ul><li>Presenten evidencia verificada de cinco años de experiencia laboral en los campos de auditoría, control o seguridad de sistemas de información. La experiencia laboral debe haber sido obtenida dentro del período de diez años que precede a la fecha de solicitud de certificación o dentro de los cinco años posteriores a la fecha de haber aprobado el examen inicialmente. </li></ul><ul><li>Prometer respetar el Código de Ética Profesional de ISACA ( www.isaca.org/ethics ), el cual se incluye en la Guía del Candidato para el Examen CISA que se suministra a cada candidato inscrito para el examen. </li></ul><ul><li>Prometer respetar los Estándares de Auditoría de SI adoptados por ISACA, los cuales pueden verse en www.isaca.org/standards. </li></ul><ul><li>Prometer respetar la política de educación profesional continua del CISA, la cual puede verse en www.isaca.org/cisacpepolicy . </li></ul>
  30. 30. El examen CISA <ul><li>Se ofrece el examen CISA en junio y diciembre de cada año, y consiste de 200 preguntas de selección múltiple que cubren las áreas de práctica laboral del CISA. </li></ul><ul><li>El examen abarca seis áreas de auditoría, control, aseguramiento o seguridad de sistemas de información creadas a partir del análisis de prácticas laborales del CISA. </li></ul><ul><li>Las preguntas del examen CISA se desarrollan y se mantienen cuidadosamente para asegurar que comprueban fielmente la competencia de un individuo en las prácticas de auditoría, control, aseguramiento o seguridad de SI. </li></ul>
  31. 31. Mantenimiento de la certificación <ul><li>Para mantener la certificación CISA, los individuos deben cumplir con una política de Educación Profesional Continua (EPC) y observar el Código de Ética Profesional de ISACA. Ambos programas ayudan a asegurar que los auditores CISA se mantengan al día con los avances técnicos e industriales y demostrar altos principios profesionales. </li></ul><ul><li>La política de EPC exige que el individuo obtenga y presente un mínimo de 20 horas de EPC y pague una cuota de mantenimiento cada año. </li></ul><ul><li>Además, se deberá obtener y presentar un mínimo de 120 horas de EPC durante un período fijo de certificación de tres años. Para satisfacer más fácilmente el requisito de 120 horas del ciclo de tres años se sugiere que las personas obtengan un promedio de 40 horas de EPC cada año. </li></ul><ul><li>“ El no cumplir con esta política traerá como consecuencia la revocación de la certificación del individuo.” </li></ul>
  32. 32. Conclusiones <ul><li>Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, debe someterse a un control estricto de evaluación. </li></ul><ul><li>El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante. </li></ul><ul><li>La auditoria de sistemas es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, es importante y relevante. </li></ul><ul><li>El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar. </li></ul>
  33. 33. <ul><li>La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas. </li></ul><ul><li>El auditor de sistemas también tiene que correr para estar bien capacitado, necesita recursos de conocimiento al alcance de su mano, el éxito logrado es mejor aun si es acreditado por un tercero reconocido. </li></ul>Conclusiones
  34. 34. MUCHAS

×