Universidad Nacional Experimental de las Fuerzas Armadas

Decanato de Investigacin y Postgrado - Ncleo Caracas

Maestra de Gobierno Electrnico
Ctedra: Auditora de Proyecto.
Prof. Edgard Herrera

Certified Information Systems Auditor

Caracas, 10 de Noviembre de 2014

Ing. Eysbel Espinoza

Ing. Alberto Urbaneja

AGENDA
Introduccin.
Conceptos.
ISACA.
Certificacin CISA.
Requisitos para ser CISA
El examen CISA.
Mantenimiento de la certificacin.

Conclusiones.

INTRODUCCIN
Debido al continuo crecimiento de dependencia a los sistemas tecnolgicos que

soportan hoy da los procesos de negocio de las organizaciones, han hecho que estas
comprendan y administren los riesgos asociados con la implantacin y mantenimiento
de las nuevas tecnologas, cada vez ms complejas y cambiantes.
La tecnologa sigue cambiando; el aumento del uso del Internet entrando cada da

ms a nuestras vidas ha provocado los cambios de forma de hacer negocios.

Las nuevas tecnologas y dinmica de cambio continuo que de ellas se deriva,

requieren una funcin de auditora informtica, competente y objetiva, que pueda

entender y evaluar el riesgo en los sistemas de informacin y conlleve en el
mejoramiento del control interno, la eficacia de los procesos y la aplicacin de mejores
prcticas orientadas a una adecuada administracin del riesgo tecnolgico.

CONCEPTOS
Auditora:

Inicialmente, la auditora se limit a las verificaciones de los registros

contables, dedicndose a observar si los mismos eran exactos.

Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas
de lo acontecido y las respectivas referencias de los registros.

Con el tiempo, el campo de accin de la auditora ha continuado

extendindose; aun hay quienes creen y practican auditoras con el nico
objetivo de observar la veracidad y exactitud de los registros.

La auditora es la actividad por la cual se verifica la correccin contable de las

cifras de los estados financieros; Es la revisin misma de los registros y
fuentes de contabilidad para determinar la racionabilidad de las cifras que
muestran los estados financieros emanados de ellos.

Auditora de Sistemas:
La auditora de los sistemas de informacin se define como cualquier
auditora que abarca la revisin y evaluacin de todos los aspectos (o de
cualquier porcin de ellos) de los sistemas automticos de procesamiento de la
informacin, incluidos los procedimientos no automticos relacionados con

ellos y las interfaces correspondientes.

Recursos:

Software

Hardware

Comunicaciones

Personal (Organizacin)

Polticas y Procedimientos

Controles y Seguridad

Preocuparse por auditar TI?

Auditor
Estados Financieros

Balanced Scorecard
Control Interno

Regulaciones

Auditor de SI
Firewalls

Hackers
VPNs

Seguridad
Virus

Controles de TI
Firma digital

Administracin
de riesgos

Riesgos de TI

Gobierno Corporativo

Gobierno de TI

Qu ha cambiado?
No solo la tecnologa, tambin los procesos de revisin a la misma

Antes

Ahora

Hoy en da ISACA cambia el uso del termino Auditora por el de Aseguramiento.

ISACA ( Information Systems Audit and Control Association):

Asociacin de Auditora y Control de Sistemas de Informacin, organizacin que
apoya y patrocina el desarrollo de metodologas y certificaciones para la

realizacin de actividades de auditora y control en sistemas de informacin.

Fundada en 1967, cuando un grupo de auditores en sistemas informticos percibieron
la necesidad de centralizar la fuente de informacin y metodologa para el rea de
operacin. Es 1969 cuando se formaliza en asociacin, conocida como EDP Auditors
Association (Asociacin de Auditores de Procesamiento Electrnico de Datos).
En 1976 el nombre pas a ser ISACA, por el que es actualmente conocida, y se
estableci la primera certificacin profesional de auditora de sistemas de informacin,
es decir, CISA.
Hoy, los miembros (ms de 115.000 en todo el mundo), se caracterizan por su
diversidad, tienen mas de 200 captulos en ms de 80 pases en todo el mundo, y
brindan a los miembros educacin, recursos compartidos, promocin, contactos

profesionales y una amplia gama de beneficios adicionales a nivel local.

Hechos sobre ISACA

Son los custodios del framework Cobit.
Son los creadores del ITGI (ITGovernance Institute).

Desarrollaron cuatro certificaciones profesionales:

CISA (Certified Information Systems Auditor): certificacin de auditores de sistemas

de informacin. Existen cerca de 109.000 personas certificadas.

CISM (Certified Information Security Manager): certificacin de gestores de

seguridad. Existen cerca de 25.000 personas certificadas.

CGEIT (Certified in the Governance of Enterprise IT): certificacin de gestores de la

gobernanza empresarial TI. Existen cerca de 6.000 personas certificadas.

CRISC (Certified in Risk and Information Systems Control): certificacin de gestores

de control de riesgos en sistemas de informacin. Existen cerca de 17.000 personas

certificadas.

Certificacin CISA
Auditor de Sistemas de Informacin Certificado (CISA por sus siglas en Ingles), es la
principal acreditacin que brinda la ISACA, que busca contar con profesionales que

adquieran reconocimiento mundial como evaluadores de:

Estrategias, polticas, estndares y procedimientos de administracin de SI.

La efectividad y eficiencia sobre la implementacin y seguimiento de la

infraestructura tcnica y operacional en una organizacin.

Seguridad lgica, ambiental y en la infraestructura de TI.

Continuidad de las operaciones del negocio y el procesamiento de SI.

Desarrollo, adquisicin, implementacin y mantenimiento de las aplicaciones del

negocio.

Sistemas y procesos el negocio.

Desde 1978, el examen CISA ha medido la excelencia en el rea de la Auditora de

sistemas de informacin, control y seguridad. CISA ha crecido para ser globalmente
reconocido y adoptado a nivel mundial como un smbolo de logro.

Requisitos para ser CISA

1.

Obtener una calificacin de aprobacin en el examen. La calificacin de aprobacin en el examen

CISA, sin completar la experiencia laboral detallada a continuacin, es vlida slo durante cinco
aos. Si el candidato no satisface los requisitos para la certificacin CISA dentro del perodo de
cinco aos, la calificacin de aprobacin es anulada.

2.

Presenten evidencia verificada de cinco aos de experiencia laboral en los campos de auditora,
control o seguridad de sistemas de informacin. La experiencia laboral debe haber sido obtenida
dentro del perodo de diez aos que precede a la fecha de solicitud de certificacin o dentro de los
cinco aos posteriores a la fecha de haber aprobado el examen inicialmente.

3.

Prometer respetar el Cdigo de tica Profesional de ISACA (www.isaca.org/ethics), el cual se

incluye en la Gua del Candidato para el Examen CISA que se suministra a cada candidato inscrito
para el examen.

4.

Prometer respetar los Estndares de Auditora de SI adoptados por ISACA, los cuales pueden
verse en www.isaca.org/standards.

5.

Prometer respetar la poltica de educacin profesional continua (CPE) del CISA, la cual puede
verse en www.isaca.org/cisacpepolicy.

El examen CISA

Se ofrece los meses de junio, septiembre y diciembre de cada ao, y consiste de

200 preguntas de seleccin mltiple que deben ser contestadas en 4 horas.

El examen est dividido en 5 reas o dominio:

1.

Proceso de auditora de SI (14%).

2.

Gobierno y gestin de TI (14%).

3.

Adquisicin, desarrollo e implementacin de SI (19%).

4.

Operacin, mantenimiento y soporte de SI (23%).

5.

Proteccin de los activos de informacin (30%).

Las preguntas se desarrollan y se mantienen cuidadosamente para asegurar que

cubran las respectivas reas creadas desde los anlisis ms recientes de las
prcticas profesionales en auditora, control, aseguramiento o seguridad de SI .

Mantenimiento de la certificacin
Los CISA deben cumplir con los requerimientos descritos a continuacin para mantener su certificacin:

Obtener y reportar un mnimo anual de veinte (20) horas de CPE. Estas horas deben ser acordes
con la vigencia o el adelanto del conocimiento o habilidad del CISA para realizar tareas relacionadas
con su condicin. Se permite el uso de estas horas para cumplir con los requerimientos de CPE para
mltiples certificaciones ISACA cuando la actividad profesional sea aplicable para satisfacer el
conocimiento relacionado con el trabajo de cada certificacin.

Enviar el pago completo de los cargos anuales de mantenimiento por CPE a las oficinas centrales
internacionales de ISACA.

Obtener y reportar un mnimo de ciento veinte (120) horas de CPE para un perodo de reporte
trienal.

Responder y enviar la documentacin requerida de actividades de CPE si se es seleccionado para la

auditora anual.

Cumplir con el Cdigo de tica Profesional de ISACA.

El incumplimiento de estos requerimientos resultar en la revocacin de la designacin CISA de la

persona. Adems, todos los certificados son propiedad de ISACA.

Conclusiones

Hoy en da el xito de una empresa depende de la eficiencia de sus

sistemas de informacin. Esta puede contar con personal altamente
capacitado, pero si tiene un sistema informtico propenso a errores, lento,
frgil e inestable; la misma nunca saldr a adelante.

La auditora de sistemas es la indicada para evaluar una determinada

organizacin a travs de su sistema de informacin automatizado.

El auditor debe estar capacitado para comprender los mecanismos que se

desarrollan en un procesamiento electrnico. Tambin debe estar preparado para

enfrentar sistemas computarizados en los cuales se encuentra la informacin
necesaria para auditar.

La auditora de Sistemas debe hacerse por profesionales expertos, con

conocimiento al alcance de su mano; el xito alcanzado le ser mejor si es

acreditado por un tercero reconocido, es decir, estar certificado.

MUCHAS