Please enable JavaScript.
Coggle requires JavaScript to display documents.
Estándares y Directrices de Aseguramiento y Auditoría de TI de ISACA -…
Estándares y Directrices de Aseguramiento y Auditoría de TI de ISACA
CODIGO DE ETICA PROFESIONAL DE ISACA
Objetivos
Informar:
A la gerencia y otras partes interesadas sobre las expectativas de la profesión en relacion con el trabajo de los auditores
Los titulares de la designación de CISA que no cumplan con los requisitos de estos estándares podrían a estar sujetos a una investigación por tal conducta.
A los auditores de SI sobre el nivel mínimo requerido de desempeño aceptable para cumplir con las responsabilidades profesionales
Los miembros deberan:
Respaldar la implementación y promover el cumplimiento de los estandares
Realizar sus funciones con objetividad, debida diligencia y celo profesional.
Mantener la privacidad y confidencialidad de la información obtenida en el transcurso de sus funciones
Informar a las partes adecuadas los resultados del trabajo realizado
El Marco general de ISACA presenta multiples niveles
Las directrices proporcionan asesoria para aplicar los estandares de aseguramiento y auditoria de TI
Los procedimientos ofrecen ejemplos de los procesos que podría seguir un auditor de SI en una asignación de auditoria
Los estándares definen requerimientos obligatorios para el aseguramiento y la auditoria de TI y para los informes
DIRECTRICES DE ASEGURAMIENTO Y AUDITORIA DE TI DE ISACA
EL auditor de SI deberia
Usar el juicio profesional para aplicarlo en auditorias especificas
Poder justificar cualquier diferencia
Sección 3400-Procesos de gestión de TI
Estrategia para la información de TI
Gestión de la información de TI
Gestión de proyectos de TI
Planes y estrategias de TI (presupuestos ,fondos ,métricas)
Uso del trabajo de otros expertos para realizar actividades de aseguramiento de TI
Procesos de TI (operaciones, recursos humanos, desarrollo, etc.)
Determinación del impacto de las iniciativas empresariales en las actividades de aseguramiento de TI
Gestión de riesgos de TI
Apoyo de TI al cumplimiento de las regulaciones
Gobierno de TI (misión, metas, estrategia, alineación corporativa, reportes)
Sección 2600- Estándares sobre Informes
Los estándares de elaboración de informes tratan:
○ Los medios de comunicación
○ La información que se comunicara
○ Los tipos de informe
Sección 3600- Procesos de aseguramiento y auditoria de TI
Auditoria de los controles generales de TI (ITGC)
Auditoria de los controles de aplicación
Uso de COBIT en el proceso de aseguramiento de TI
Auditoria de los controles tradicionales de aplicación
Integración del trabajo de aseguramiento y auditoria de TI con otras actividades de auditoria
Auditoria de los sistemas de planificación de los recursos humanos (ERP)
Uso del trabajo de especialistas y otros individuos/ entidades como apoyo
Auditoria de las estrategias de desarrollo de software alternativo
Auditoria de requerimientos específicos
Auditoria de los criterios especificados por el gobierno
Índice de directrices de aseguramiento y auditoria de TI
G3 Uso de tecnicas de auditoria asistidas por computadora
○ Las caats incluyen muchos tipos de herramientas y tecnicas, tales como software generalizado de auditoria, consultas personalizadas o conjunto de instrucciones, software utilitario, trazado y mapero de software, y sistemas expertos en auditorias
G4 Contratación de servicios externos de actividades de SI para otras organizaciones
○ Una organización (el usuario del servicio) puede delegar en forma parcial o total algunas o todas las actividades de SI a un proveedor externo de tales servicios (proveedor de servicio)
G2 Requerimiento de Evidencia de Auditoria
○ Directrices para el auditor de SI acerca de como obtener una evidencia de auditoria suficiente y apropiada y redactar conclusiones razonables sobre las cuales se basan los resultados de auditoria
G5 Estatuto de Auditoria
○ El propósito de esta directriz es asistir al auditor de SI para preparar un estatuto de auditoria para definir la responsabilidad, la autoridad y la rendición de cuentas de la función de auditoria de SI
G1 Uso del trabajo de otros auditores
○ Establece como el auditor de SI debería considerar el uso del trabajo de otros especialistas en la auditoria cuando existan restricciones que puedan afectar su trabajo o posibles ganancias en términos de calidad de la auditoría
G7 Debido cuidado profesional
○ El propósito de esta directriz es clarificar el termino debido cuidado profesional como se aplica para la ejecución de una auditoria en cumplimiento con el estándar S3 de los estándares de aseguramiento y auditoria de TI
MARCO GENERAL DE ESTANDARES DE ASEGURAMIENTO Y AUDITORIA DE TI DE ISACA
ESTANDARES DE AUDITORIA
S1 Estatuto de Auditoria
El propósito, la responsabilidad, autoridad y obligación de rendir cuentas de la función de auditoría de SI o asignaciones de auditoria de SI deberían de estar documentados en un estatuto de auditoria o una carta de compromiso.
S4 Competencia Profesional
El auditor de SI debería de ser profesionalmente competente y contar con las habilidades y los conocimientos para realizar el trabajo de auditoria asignado
S3 Ética profesional y Estándares
El auditor de SI debe regirse por el Código de Ética Profesional de ISAC
S5 Planificacion
S2 Independencia
Independencia profesional: El auditor de SI debería ser independiente del auditado tanto en actitud como en apariencia. Independencia organizacional: la función de auditoria de SI debería ser independiente del área o actividad que se este revisando para permitir la ejecución objetiva de la asignación de auditoria.
Sección 2200-Estandares Generales
Los Estándares Generales incluyen:
Debido cuidado profesional
Criterios adecuados
Conocimiento del tema
Objetividad
Capacitación y competencia
Mensurabilidad
Reconocimiento de la gerencia
Comprensibilidad
Expectativa Razonable
Completitud
Independencia y objetividad
Relevancia
Análisis de Riesgos
Es parte de la planificación de auditoria y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor de SI pueda determinar los controles necesarios para mitigar los riesgos
HERRAMIENTAS Y TECNICAS DE ASEGURAMIENTO Y AUDITORIA DE TI DE ISACA
Indice
Autoevaluación de control de riesgos
Firewalls
Virus y otros codigos maliciosos
Irregualridades y Actoss ilegales
Detección de intrusos
Evaluacion de la Seguridad
Firmas digitales
Evaluacion de los controles de Gestion sobre las metodologias de Encriptacion
Evaluación de riesgos de SI
Control de cambios de Aplicacion del Negocio
Transferencia electrónica de Datos
Sección 3000--Directrices de aseguramiento
Procesos de gestión de TI
Procesos de aseguramiento y auditoria de TI
Temas relacionados con la empresa
Gestión de aseguramiento y auditoria de TI
Sección 2400-Estandares de Desempeño
Los Estándares de desempeño son:
Obtencion de evidencia suficiente
Ejecución de la Asignación
Planificación y Supervisión
Declaraciones
Sección 3200-Temas relacionados con la empresa
Implicacion de las iniciativas empresariales de aseguramiento en la funcion de TI
Implicación de las iniciativas empresariales de aseguramiento en los planes y actividades de aseguramiento de TI
Implicacion de las politicas, practicas, y estandares empresariales en la funcion de TI
Temas adicionales relacionados con toda la empresa y su impacto en la función de TI
RELACIONES ENTRE ESTANDARES,DIRECTRICES , HERRAMIENTAS Y TECNICAS
Los estándares definidos por ISACA deben ser cumplidos por el auditor de SI. Las directrices proveen una guía sobre como puede el auditor implementar los estándares en diversas asignaciones de auditoria.
Sección 3800-Procesos de aseguramiento de auditoría de TI
Gestión y ejecución de proceso de aseguramiento y auditoria de TI
Integración de proceso de aseguramiento y auditoria
Planificación y alcance de valoraciones de riesgos
Recopilación de evidencia
Planificación y alcance de trabajo de aseguramiento y auditoria de TI
Documentación de trabajo de aseguramiento y auditoria de TI
Planificación y alcance de los objetivos de aseguramiento y auditoria de TI
Documentación y confirmación de hallazgos de aseguramiento y auditoria de TI
Funcion de aseguramiento y auditoria de TI
Evaluación de resultados y desarrollo de recomendaciones
INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK
Es un modelo integral para el establecimiento de buenas practicas que:
Proporciona orientación acerca del diseño, la realización y los reportes de las asignaciones
Define términos y conceptos específicos para el aseguramiento de TI
Establece los estándares que definen los requerimientos relacionados con los roles y responsabilidades, conocimientos y habilidades de los profesionales de auditoria y aseguramiento de TI
El ITAF incluye tres categorías de estándares, así cómo también directrices, herramientas y técnicas
Estándares de desempeño
Se refieren ala realización de la asignación
Estándares de reporte
Se refieren a los tipos de reportes, medios de comunicación y a la información comunicada
Estándares Generales
Se refieren a la realización de todas las asignaciones y se ocupan de la ética, independencia, objetividad, debido cuidado, conocimiento, competencia, y habilidad de los profesionales de auditoria y aseguramiento de TI
Directrices
Proporcionan al profesional de auditoria y aseguramiento de TI la información y dirección sobre un área de auditoria o aseguramiento
Herramientas y Tecnicas
Proporcionan información especifica sobre diversas metodologías, herramientas y plantillas, y proporcionan instrucciones sobre su aplicación y uso para operacionalizar la información proporcionada por la guía