Definicin ISACA

ISACA es el acrnimo de Information Systems Audit and Control Association (Asociacin de Auditora y Control de Sistemas de Informacin), una asociacin internacional que apoya y patrocina el desarrollo de metodologas y certificaciones para la realizacin de actividades auditora y control en sistemas de informacin. (Wikipedia, 2013) ISACA: Con ms de 95,000 miembros en 160 pases, ISACA (www.isaca.org) es un lder mundialmente reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educacin en seguridad y aseguramiento de sistemas de informacin, gobierno empresarial, administracin de TI as como riesgos y cumplimiento relacionados con TI. (guba93, 2012) Sistemas de Informacin Asociacin de Auditoria y Control Es Una Asociacin dedicada a la informacin de auditoria de Sistemas y Seguridad. Fundada como la Asociacin de Auditorias de EDP en 1969, proporciona la Certificacin en seguridad y Auditoria. En las ltimas tres dcadas desde su creacin, Se ha convertido en una organizacin Global que establece las pautas para los profesionales de Gobernacin, Control, Seguridad y Auditorias de Informacin. (Ramirez, 2013)

La Asociacin Costarricense de Auditores en Informtica fue reconocida en Junio de 1978 como captulo # 31 de la ISACA (Information Systems Audit & Control Association) siendo Costa Rica en aquellos momentos, el segundo pas latinoamericano donde funcionaba un captulo de dicha asociacin, dndole un reconocimiento internacional a nuestra Asociacin y permitindole a nuestros asociados recibir, en forma permanente y actualizada, informacin sobre los ltimos conocimientos tericos y prcticos en Auditora, Control y Seguridad de la Tecnologa de Informacin. (ISACA, 2009) La ISACA (Information Systems Audit and Control Association) es una organizacin que emite estndares de auditora y control de SI (cdigo tico, normas, objetivos y procedimientos de control, guas de auditoria, etc.) que son generalmente aceptados por la comunidad internacional de auditoria de SI. (escet)

Normas Generales para Auditoria de Sistemas de Informacin de ISACA

Procesos de Auditora en Sistemas de Informacin

Estndar de Auditora en SI. Los estndares, guas, y cdigos de tica, son la base de la actividad de auditora de sistemas. Los estndares son bastante claros, y describen los requerimientos bsicos de la auditora de sistemas: La responsabilidad y autoridad de las funciones de auditora deben ser apropiadamente documentadas en una carta de auditora o carta de compromiso. En todas las materias relacionadas con la auditora, el auditor debe ser independiente del auditado, en actitud y apariencia. La funcin de auditora debe ser completamente independiente del rea a ser auditada, con el objeto de efectuar una auditora en profundidad. El auditor debe adherir al cdigo profesional de ISACA El auditor debe ser capaz de aplicar con atencin los estndares de auditora. El auditor es tcnicamente competente, teniendo habilidades y conocimientos necesarios para ejecutar las tareas de auditora. El auditor debe mantener las competencias tcnicas, a travs de una continua preparacin educacional. El auditor necesita un plan del trabajo de auditora que lo dirija hacia el objetivo de esta, cumpliendo los estndares establecidos. Durante el curso de la auditora, el auditor rene suficiente evidencia para cumplir efectivamente los objetivos de la auditora. Los hallazgos y conclusiones son soportadas por esta evidencia. El auditor debe generar un reporte completo con los hallazgos, conclusiones y recomendaciones con acciones que deben ser implementadas tempranamente.

Anlisis de Riesgos
Enfoque Basado en Riesgos
El propsito de un auditor es identificar riesgos y asegurar que los riesgos residuales (que quedan despus de aplicar controles) son aceptables de administrar.

Todas las actividades presentan riesgos, en algunas ms que en otras. Es el costo de todo negocio. Las consecuencias de un riesgo son evaluadas, los riesgos medidos, y se seleccionan alternativas. Un auditor debe considerar tres tipos de riesgos cuando planifica una auditora: Riesgos Inherentes: La susceptibilidad de un error en un negocio o proceso, no presente en un control interno. P.e.: Instalar UNIX sin sus parches de seguridad y conectar servidor en red. Riesgo de Control: Un control puesto en algn lugar no prevendr, corregir o detectar un error en sus fases tempranas. Revisin de Log. Riesgo de Deteccin: El riesgo de que los procedimientos del auditor no detecten un error. En este caso el auditor podra necesitar informacin adicional.

Componentes del riesgo de Auditora

Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc. Est fuera de poder ser controlado por el auditor como para poder eliminarlo. Riesgo de Control: son los que resultan de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna. Est fuera de poder ser controlado por el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo. Riesgo de Deteccin: son los que resultan de un deficiente planeamiento y/o ejecucin de la auditora, sea tanto en la evaluacin y categorizacin de los riesgos, como en la seleccin y/o aplicacin de los procedimientos de auditora. Es del mbito y tarea exclusiva del auditor.

Conclusin