Es el profesional que ha de cuidar y velar
por la correcta utilización de los diversos recursos de la organización, y debe
comprobar que se esté llevando a cabo un eficiente y eficaz Sistema de
Información y la Tecnología de la información.
Perfil
del auditor de sistemas
Cada empresa tiene establecido
los criterios, condiciones y
obligaciones que deben ser respetados por
el personal que labora en ella, esto obedece a que son aspectos vigentes
que regulan la actuación de quienes administran la
empresa, por tanto, es compromiso
del auditor apegarse
a las normas
o políticas establecidas, sean
estas internas o externas en el ejercicio del servicio profesional,
auditoria de sistemas debe de exigir el cumplimiento de normas básicas o principios generales aceptados. Sin embargo,
este debe poseer otras
características personales que
son representativas del auditor:
® Formación
universitaria, preferencia en ciencias económicas o administración, en la
actualidad se piden profesionales de informática.
® Actuación
anterior en importantes Estudios de Auditoria o en auditorías internas de
empresas envergadura.
® Conocimientos
profundos de computación. Sólida experiencia en análisis, diseño y programación
de sistemas.
® Análisis
y codificación de programas de auditoría.
® Dominio
de las técnicas de auditoría por computadoras.
® Excepcionales
condiciones personales y profesionales para poder tratar con los sectores
auditados que en el área de procesamiento de datos poseen una alta información
técnica.
® Alta
adaptación a los cambios tecnológicos y metodológicos.
Educación
continuada
Desde la aparición de las denominadas
Tecnologías de la Información y Comunicaciones (TIC), quizás la única
característica que ha permanecido constante haya sido su continua evolución y
la creciente complejidad de las soluciones ofrecidas al mercado. Ahora puede
que la novedad se llame Wi-Fi, pero hace algunos años fueron las estructuras de
Clave Pública, antes fue el protocolo TCP/IP y la profusión de internet y antes
todavía, fueron los equipos personales y así sucesivamente.
Por tanto, aunque las tecnologías siempre
son nuevas, el problema es el de siempre y, por eso, la preocupación por el
desafío que supone la continua evolución de las TIC podemos encontrarla ya en
el código ético de la asociación de auditores que más profesionales agrupa en
todo el mundo: la Information Systems Audit and Control Association (ISACA). De
los 7 puntos que componen dicho código ético, el punto quinto establece que los
miembros de ISACA y los auditores certificados deben “Mantener su
competencia en sus
respectivos campos y
acometer solo aquellas
actividades que esperan poder
realizar una razonable competencia profesional”.
La solución que la ISACA propone para el
reto es la formación continua de los profesionales de la auditoría de sistemas
de información, por eso, uno de los requisitos para aquellos que se certifican
como auditores de sistemas de información (CISA – Certified Information System
Auditor), además de superar un examen que demuestre sus conocimientos como
auditor, es cumplir con la política de educación continua del certificado.
Dicha política consiste, de forma resumida, en:
Acreditar 120 horas de formación
profesional continua en el plazo de 3 años y al menos, 20 horas cada año.
No
obstante, aunque parece
que el medio
para poder dar
solución a esta
situación pasa por la
formación continua de los profesionales, sigue pudiéndose dar el caso de que el
auditor tenga que afrontar un encargo
para el cual sea necesario contar con una serie de conocimientos sobre una
tecnología para la que el auditor no esté aún capacitado, ya sea porque “no le
ha dado tiempo” para adquirir los conocimientos necesarios (la tecnología es
demasiado nueva), o porque “no le compensa” formarse en una tecnología
demasiado específica (al fin y al cabo, el auditor debe elegir los nuevos
conocimientos que desea adquirir y, normalmente, las tecnologías sobre las que
se formará serán aquellas más comunes y que le permitan llevar a cabo mayor
número de auditorías, es decir, como dicen los economistas “se deja la decisión
al mercado”). Pues bien, para estos casos, la ISACA también ha pensado en una
solución: G1 (Guía para la utilización
del trabajo de otros Auditores y Expertos).
En este caso, lo que ISACA nos propone es
utilizar expertos para realizar aquellos aspectos del encargo de auditoría para
los que no se disponga de los conocimientos necesarios. El trabajo de dichos
expertos debe quedar integrado en todos los aspectos para garantizar que se
cumplen los objetivos del encargo con el alcance definido y según la planificación
establecida y, evidentemente, que las conclusiones han sido consensuadas con la
dirección.
En resumen, la solución propuesta es doble.
Por una parte, la formación continua de los auditores de sistemas de
información certificados; y por otra, la colaboración con expertos con
conocimientos en las TIC objeto de los encargos.
Como vemos, todo este entorno propone
nuevos retos a los auditores de sistemas de información con independencia de
cuál sea su
rol, auditor interno
o externo, y que le
obliga a adquirir
nuevos conocimientos no solo
sobre nuevas tecnologías,
sino sobre nuevas
regulaciones y requisitos 11 específicos sobre TIC ya
existentes. Por eso, aunque estemos hablando sobre nuevas tecnologías hay que
entender también dentro de este concepto el entorno cambiante en general de las
TIC que incluye novedades en el ámbito de su regulación.
Certificaciones
mundiales
CISA
Certified Information Systems Auditor (CISA) es una certificación para
auditores respaldada por la Asociación ISACA (Information Systems Audit and
Control Association). Los candidatos deben cumplir con los requisitos
establecidos por la ISACA.
ISACA adicionalmente promueve el avance y
certificación de habilidades y conocimientos críticos para el negocio, a través
de las certificaciones globalmente respetadas: Certified Information Systems
Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in
the Governance of Enterprise IT® (CGEIT®) y Certified in Risk and Information
Systems Control™ (CRISC™). La asociación tiene más de 200 capítulos en todo el
mundo.
CISA
ha sido la norma de competencia de aceptación mundial entre los profesionales
de auditoría, control, aseguramiento y seguridad de sistemas de información.
Fue establecida en 1978 debido a las
siguientes razones:
1.
Desarrollar y mantener una herramienta que
pueda ser utilizada para evaluar las competencias de los individuos al realizar
auditorías de sistemas.
2.
Proveer
una herramienta motivacional
para los auditores
de sistemas de información
para mantener sus habilidades, y monitorizar la efectividad de los
programas de mantenimiento.
3.
Proveer criterios de ayudar y gestión en la
selección de personal y desarrolladores.
EL primer examen se llevó a cabo en 1981, y
los registros han crecido cada año. En la actualidad, el examen es ofrecido en
11 idiomas y más de 200 lugares de todo el mundo. En 2005, la Asociación de
Control y Auditoría de Sistemas de Información (Information Systems Audit and
Control Association, ISACA), anunció que el examen será ofrecido en junio y
diciembre, empezando en 2005. Anteriormente, el examen sólo había sido
administrado anualmente, en junio. Más
de 50000 candidatos han conseguido el certificado CISA.
La certificación CISA está formalmente
aprobada por el Departamento de Defensa de los Estados Unidos en la categoría
de Aseguramiento de Información Técnica (DoD 8570.01-M).
Poseer la designación CISA demuestra el
nivel de competencia y constituye la pauta para medir la profesionalidad. Con
una creciente demanda de profesionales que posean conocimientos y experiencia
en auditoría, control y seguridad de SI, la certificación CISA se ha convertido
en el programa de certificación preferido por individuos y organizaciones en
todo el mundo.
1. Requerimientos
Los candidatos a la certificación CISA
deben pasar un examen de acuerdo al Código Profesional de Ética de ISACA,
además de comprobar 5 años de experiencia en auditoría de sistemas, control
interno y seguridad informática y tener un programa de educación continua.
En caso de no cumplir con estos requisitos
existen algunas equivalencias definidas en la página de ISACA, las cuales son
las siguientes:
- Un
mínimo de un año de experiencia en sistemas de información o un año de
experiencia en auditorías
operacionales, pueden ser
sustituidos por un
año de experiencia auditoría de sistemas, control interno y seguridad
informática.
- 60 a
120 horas de
estudios profesionales pueden
ser sustituidos por
uno o dos
años de experiencia
respectivamente de auditoría de sistemas, control interno y seguridad
informática.
- 2
años de instructor de tiempo completo en Universidad en campos
relacionados (ejemplo: ciencias computacionales, contabilidad, auditoría
de sistemas de información, pueden ser sustituidos por un año de
experiencia de auditoría de sistemas de información, control interno y
seguridad de informática.
2. Beneficios
La certificación CISA es sinónimo de
dedicación al servicio con distinción tanto de la organización como de la
industria de auditoría, control y seguridad de SI. Además, ofrece un número de
beneficios tanto a nivel profesional como personal, constituyendo una ventaja
competitiva para:
a.
Las Empresas y Organizaciones
·
Desarrollar una cultura de control en
Tecnología de Información, apoyando el logro de los objetivos organizaciones.
·
Asegura r que personal calificado proteja
los activos de información de la organización.
·
Actualizar
las competencias del
personal de auditoría,
control y seguridad
de sistemas de información.
b.
Los Profesionales
·
Demostrar su experiencia y competencia
profesional.
·
Vincularse con un programa profesional que
tiene aceptación mundial.
·
Mejorar sus oportunidades laborales y
estabilidad económica.
·
Distinguirse como
profesional calificado en
auditoría, control y
seguridad de Sistemas
de Información.
3. Examen CISA
El examen CISA se presenta en junio y en
diciembre de cada año y consiste en 200 preguntas de selección múltiple,
administradas durante una sesión de cuatro horas. El objetivo del examen es
comprobar en el candidato el conocimiento, evaluación y aplicación de los
principios y prácticas de auditoría de sistemas y en áreas de contenido
técnico.
Las preguntas del examen CISA están
desarrolladas y mantenidas cuidadosamente para asegurar que se compruebe en
forma exacta el dominio del individuo en prácticas de seguridad, control y
auditoría de SI.
El examen está dividido en 6 áreas hasta el
manual de 2009:
I.
El proceso de auditoría de Sistemas de
Información (10%)
II.
Gobierno de TI (15%)
III.
Administración del ciclo de vida de
infraestructura y sistemas (16%)
IV.
Soporte y entrega de servicios de TI (14%)
V.
Protección de los activos de información
(31%)
VI.
Continuidad del negocio y recuperación ante
desastres (14%)
4. Responsabilidades del Auditor Certificado
Dentro de las responsabilidades imputadas
al auditor de sistemas certificados se encuentran:
a.
Apoyar la Implementación y Fomentar el
Cumplimiento de Normas, procedimientos y controles para la información
sistemas.
b.
Realizar
sus funciones con
objetividad, y debida
diligencia, de atención
profesional, de conformidad con
las Normas profesionales y de las mejores prácticas.
c.
Servir en el interés de las partes
INTERESADAS, de manera honesta y legal; manteniendo altos estándares de
conducta y de carácter, y no participar en actos que desacrediten a la
profesión.
d.
Mantener la privacidad y la
confidencialidad de la información obtenida en el ejercicio de sus funciones a
menos que sea requerido por autoridades legales. Dicha información no será
utilizada para beneficio personal o será divulgada a terceros.
e.
Mantener la Capacidad en sus campos
respectivos.
f.
Informar a las partes apropiadas de los
resultados del trabajo realizado; revelar todos los hechos SIGNIFICATIVOS para
ellos.
g.
Apoyar la formación profesional de los
INTERESADOS en la mejora de su comprensión de la seguridad de los Sistemas de
Información y control.
No hay comentarios:
Publicar un comentario