INSTITUTO TECNOLOGICO DE CHIHUAHUA II

Ingeniería informática
Auditoria Informática
Ensayo “normas y estándares”
Arnoldo Realivazquez Guaderrama

16/Marzo/2020
En este documente hablaremos acerca de las normas antes mencionadas y expuestas en clase las
cuales son COBIT, ISO 27000, CISA, COSO, ITIL, IMAI Y ISACA, todas estas hablan acerca del control
interno, seguridad, medidas de prevención y auditorias dentro de la empresa en las áreas de
sistemas/informática, hablando primero de COBIT, fue creado para ayudar a las organizaciones a
obtener el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la
utilización de recursos y los niveles de riesgo asumidos, enmarca todo el proceso de información
de la empresa. Compila y organiza desde la creación de la información hasta su disposición final
para garantizar un control de calidad preciso. Este se divide en tres niveles, dominios, procesos y
actividades, COBIT contiene cinco principios los cuales son satisfacer las necesidades de las partes
interesadas, cubrir la organización de forma integral, aplicar un solo marco integrado, habilitar un
enfoque holístico, separar el gobierno de la administración. La primera edición de las Normas
COBIT, fue publicada en 1996 y fue vendida en 98 países de todo el mundo, Esta incluía la
colección y análisis de fuentes internacionales reconocidas y fue realizada por equipos en Europa,
Estados Unidos y Australia. La segunda edición, publicada en abril de 1998, desarrolla y mejora lo
que poseía la anterior mediante la incorporación de un mayor número de documentos de
referencia fundamentales, nuevos y revisados objetivos de control de alto nivel, intensificando las
líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así
como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de
esta segunda edición. Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y
mejorado para soportar el incremento del control gerencial, introducir el manejo del desempeño y
mayor desarrollo del Gobierno de TI, apareció la tercera edición. En diciembre de 2005, la cuarta
edición fue publicada y en mayo de 2007, se liberó la versión 4.1. La versión número 5 de COBIT
fue liberada en el año 2012. En esta edición se consolida e integran los marcos de referencia de
COBIT 4.1, Val IT 2.0 y Risk IT. Este nuevo marco de referencia viene integrado principalmente del
modelo de negocios para la seguridad de la información y el marco de referencia para el
aseguramiento de la tecnología de la información.

la siguiente norma que veremos yo creo que es una de las más conocidas por todas las empresas,
es también la más utilizada; es la ISO 27000 es un conjunto de estándares desarrollados, que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo
de organización, pública o privada, grande o pequeña. Las entidades de normalización tienen por
objeto desarrollar actividades para establecer, ante problemas reales o potenciales, disposiciones
destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en
un contexto dado, que puede ser tecnológico, político, o económico. Esta norma proporciona una
visión general de las normas que componen la serie 27000, indicando para cada una de ellas su
alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie
de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una
introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de
los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI, sus fechas
de lanzamiento y publicación son el 1 de mayo de 2009, revisada con una segunda edición de 01
de diciembre de 2012, una tercera edición de 14 de enero de 2014 y una cuarta en febrero de
2016. Un SGSI es una herramienta de la que dispone la gerencia para dirigir y controlar un
determinado ámbito, en este caso, la seguridad de la información. además, el ISO 27000, cuenta
con otros puntos como el ISO 27001 que habla de la gestión de las actividades de las
organizaciones que realizan, cada vez con más frecuencia, según sistemas de gestión basados en
estándares internacionales. este estándar está dirigido para cualquier organización, grande o
pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la
protección de la información es crítica, como en finanzas, sanidad, sector público y tecnología de
la información. también es muy eficaz para organizaciones que gestionan la información por
encargo de otros.

La siguiente norma seria CISA la cual más bien es un certificado para auditores, que tiene
reconocimiento a nivel mundial. La CISA cuenta con el respaldo de la Asociación de Control y
Auditoría de Sistemas de Información y, para poder obtener dicha certificación, hay que cumplir
una serie de requisitos impuestos por este organismo. A través de la certificación CISA se
reconocen los conocimientos y aptitudes de un profesional en diferentes áreas establecidas. se
creó en el año 1978 y fueron muchos los motivos que se establecieron para que finalmente la CISA
comenzara a funcionar. Hay que destacar que esta certificación era necesaria para poder contar
con una herramienta que motivara a los auditores de este tipo de sistemas. es reconocida a nivel
mundial y ha sido obtenida por más de 88.000 profesionales desde su creación.

COSO es una Comisión voluntaria constituida por representantes de cinco organizaciones del
sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres temas
interrelacionados: la gestión del riesgo empresarial, el control interno, y la disuasión del fraude.
Está compuesto por La Asociación Americana de Contabilidad (AAA), El Instituto Americano de
Contadores Públicos Certificados (AICPA), Ejecutivos de Finanzas Internacional (FEI), el Instituto de
Auditores Internos (IIA), La Asociación Nacional de Contadores (ahora el Instituto de Contadores
Administrativos AMI). Desde su fundación en 1985 en EEUU, promovida por las malas prácticas
empresariales y los años de crisis anteriores, COSO estudia los factores que pueden dar lugar a
información financiera fraudulenta y elabora textos y recomendaciones para todo tipo de
organizaciones y entidades reguladoras como el SEC y otros. El Informe COSO es un documento
que contiene las principales directivas para la implantación, gestión y control de un sistema de
control. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe
COSO se ha convertido en el estándar de referencia. Existen en la actualidad 2 versiones del
Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las exigencias de ley
Sarbanes Oxley a su modelo. Está diseñado para identificar los eventos que potencialmente
puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la
administración y para la junta directiva de la organización orientada al logro de los objetivos del
negocio.

ITIL es un acrónimo de Biblioteca de Infraestructura de Tecnologías de la Información, es un

conjunto mundialmente reconocido de mejores prácticas para la Gestión de servicios de
tecnología de la información, está organizada en las siguientes cinco etapas: Estrategia del
servicio: alinear la estrategia de TI con los objetivos y expectativas generales del negocio y
asegurar que las decisiones resulten en valores mensurables para la organización, Diseño del
servicio: garantizar que los servicios de TI equilibren los costos, funcionalidades y desempeño y
que estén diseñados para cumplir los objetivos de negocio (asegurando que logre tanto el objetivo
como el uso), Transición del servicio: asegurar que los servicios de TI nuevos, modificados y
retirados cumplan las necesidades del negocio. Y que los cambios sean gestionados y controlados
eficientemente, logrando el cambio en forma rápida, a bajo costo y, al mismo tiempo, otorgando
mayor valor, Operación del servicio: asegurar que los servicios de TI sean operados en forma
segura y confiable para dar apoyo a las necesidades de su negocio, Mejora continua del servicio:
se centra en mejorar la calidad, eficiencia y efectividad de sus servicios de TI y en reducir costos. es
importante comprender que una empresa no puede certificarse en ITIL. Lo más que puede
obtenerse es una especie de diagnóstico en el que alguna empresa de consultoría puede opinar
que, desde su punto de vista, cierta organización “está alineada” con ITIL.

El IMAI es un Instituto Mexicano de Auditores Internos, A.C. (IMAI) legalmente constituido en

1984, es un foro abierto a la capacitación y a la investigación en las áreas de Auditoría Interna,
Control, Riesgos, TI y temas afines. En ese entonces la Auditoría Interna en México, era una
profesión nueva pero que comenzaba a tener una fuerte tendencia a crecer, por lo que el C.P. Juan
Manuel Portal Martínez, empezó a concebir la idea de agrupar a los profesionales de la auditoría
interna, interesados en apoyarlo a promover su difusión y aplicación con mayor orden y hacer
técnicas reconocidas a nivel internacional para lo cual se decidió afiliarse a The Institute of Internal
Auditors, Inc. para obtener mayor respaldo. Sus fundadores fueron los Contadores Públicos Juan
Manuel Portal Martínez, Fernando Vera Smith, Jesús Alvarado Roberti, Armando Diaz Flores y
Benjamín Antonio Vázquez Olvera, quienes iniciaron con este proyecto, el cual integra
actualmente a más de 2,500 socios en alrededor de 100 empresas en México, tanto del Sector
Público como del Privado.

Objetivos:

El propósito primordial del Instituto es la superación profesional de sus miembros, mediante:

El mejoramiento de la Práctica Profesional de la Auditoría Interna.

Desarrollar y mantener la unión y cooperación efectiva entre los profesionales de la

Auditoría Interna.

Promover la difusión de las normas de actuación profesional, a través de las cuales los auditores
internos puedan medir y regular su propio desempeño y las organizaciones puedan esperar
servicios de calidad.

Propugnar la unificación de criterios y entendimiento, por parte de sus asociados, de las normas y
principios básicos de actuación y ética profesional.

Establecer y mantener el prestigio de la Auditoría Interna, a través de la investigación y la

divulgación de conocimientos técnicos de enfoques conceptuales, relativos al ejercicio profesional
de esta disciplina y materias afines.

Establecer y mantener vínculos con otros organismos profesionales o docentes y entidades

públicas o privadas, para identificación y desarrollo de aspectos que permitan elevar la calidad de
la práctica de la Auditoría Interna y el Control en general, dentro de las organizaciones.

ISACA comenzó en 1967 por un pequeño grupo de personas con trabajos similares auditando
controles en sistemas informáticos que se estaban volviendo más críticos para las operaciones de
sus organizaciones. Este grupo vio la necesidad de una fuente centralizada de información y
orientación sobre el terreno y se formalizó en 1969, incorporándose como Asociación de Auditores
del EDP. En 1976 la asociación formó una fundación educativa para llevar a cabo esfuerzos de
investigación a gran escala para ampliar el conocimiento y el valor del campo de la gobernanza y el
control de las TI. Anteriormente conocida como la Asociación de Auditoría y Control de Sistemas
de Información, ISACA ahora sólo pasa por sus siglas para reflejar la amplia gama de profesionales
de gobierno de TI a los que servimos. Hoy en día, la circunscripción de ISACA de más de 165.000
personas en todo el mundo se caracteriza por su diversidad. Los constituyentes viven y trabajan en
más de 180 países y cubren una variedad de puestos profesionales relacionados con TI en las
disciplinas de auditoría de IS/IT, riesgo, seguridad y gobernanza, así como educadores, consultores
y reguladores. La red de capítulos de ISACA refuerza nuestro alcance global y ofrece oportunidades
localizadas para nuestros electores. ISACA cuenta con más de 200 capítulos establecidos en más
de 80 países de todo el mundo. Como asociación global, ISACA atiende a más de 145.000
miembros, pero el alcance de ISACA se extiende mucho más allá de su membresía principal en más
de 188 países en todo el mundo. Sirviendo a profesionales de alto rendimiento y ayudando a la
transformación empresarial, ISACA inspira confianza y permite la innovación en un mundo
tecnológico en rápido cambio. Conozca los 50 años de historia de ISACA, los desarrollos más
recientes y las oportunidades para hacer un trabajo que realmente importa.

En conclusión obtenemos que cualquiera de las anteriores normas estándares o instituciones, nos
dan reglas normas o formas de trabajo para un mejor control en el gobierno de las TICS, cada una
nos da un mayor apoyo u otras ventajas todas sirven para algo en específico, de igual manera
algunas son solo para ciertas personas o empresas no todos se pueden certificar en todas, algunas
de igual manera son más caras que otras, yo creo que aquí ya depende de cada quien en cómo
quiere orientarse, hacía que campo quiere irse y como es su mejor preparación.