Tabla de contenidos
En este punto se describen la regulación de las mejores prácticas de Auditoría en Informática como administrar los riesgos en tecnología Informática, la auditoría en el sector público en base a los organismos nacionales e internacionales.
La Information Systems Audit and Control Association –Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association –Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.
«Actualmente, los miembros de ISACA –más de 28.000 en todo el mundo– se caracterizan por su diversidad ya que están presentes en más de 100 países y cubren una variedad de puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Información y Auditores Internos, por mencionar sólo algunos.
»En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información.
»Su certificación Certified Information Systems Auditor –Auditor Certificado de Sistemas de Información– CISA, es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales. Su nueva certificación Certified Information Security Manager –Gerente Certificado de Seguridad de Información– CISM, se concentra exclusivamente en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo de control de la información, el Information Systems Control Journal –Periódico de Control de Sistemas de Información.» [11]
Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su IT Governance Institute –Instituto de Gobernación de TI– asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente
Las empresas públicas y privadas están valorando cada día más la creciente importancia que representa mantener sistemas informáticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.
La Asociación de Auditoría y Control de Sistemas de Información (ISACA) provee una Certificación en Auditor en Sistemas de Información (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los candidatos.
La certificación de CISA (Certified Information Systems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos teóricos y prácticos necesarios para desempeñarse como Auditor de Sistemas siguiendo los estándares y directrices definidos para una mejor preparación.
La designación de CISA, se considera hoy en día, una ventaja competitiva y resulta de beneficio no solo para las organizaciones que deben cumplir con requerimientos de certificación profesional de sus colaboradores, sino para las personas que buscan un desarrollo profesional y la obtención de certificaciones que ofrecen oportunidades a nivel internacional.
También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.
La certificación CISM está diseñada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administración y consultoría de seguridad.
Esta orientada a profesionales que administran la seguridad de la información en una organización y tienen el conocimiento y la experiencia para montar, implementar y dirigir una estructura de seguridad para administrar el riesgo con eficacia y tienen la responsabilidad de entender la relación entre las necesidades comerciales y la seguridad de TI.
Para obtener esta certificación, los profesionales deben aprobar el examen, adherirse a un código ético y presentar pruebas verificadas de que tienen una experiencia laboral de cinco años en seguridad de la información.
Según la ISACA, menciona los principales objetivos de esta certificación como a continuación se mencionan:
Desarrollar modelos de riesgos que midan mejor los riesgos de seguridad y los potenciales impactos sobre el negocio.
Aumentar la calidad de la gestión ejecutiva de las nuevas amenazas y las ya existentes, a través de la convergencia entre la organización y las medidas de seguridad
Impulsar la unificación del enlace entre la seguridad de las organizaciones y los organismos gubernamentales y legislativos, informándoles de las mejores prácticas en seguridad.
Continuar definiendo la cualificación, certificación y formación de los Directores de Seguridad -Chief Security Officer (CSO)/Chief Information Security Officer (CISO)- y otros puestos.
El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, está dedicado a la capacitación e investigación en de Auditoría Interna y Control.
A través del IMAI los profesionales de la auditoría interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector público como privado y social.
De acuerdo al IMAI su misión es “promover el mejoramiento constante de la Práctica Profesional de la Auditoría Interna, para fortalecer el prestigio de esta profesión y de quienes la practican”.
El objetivo principal del Instituto es “la superación profesional de sus miembros”, mediante lo siguiente:
El mejoramiento de la práctica Profesional de la Auditoría Interna.
Desarrollar y mantener la unión y cooperación efectiva entre los profesionales de la Auditoría Interna.
Promover la difusión de las normas de actuación profesional a través de las cuales los auditores internos puedan medir y regular su propio desempeño y las organizaciones puedan esperar servicios de calidad.
Establecer y mantener el prestigio de la Auditoría Interna a través de la investigación y la divulgación de conocimientos técnicos de enfoques conceptuales relativos al ejercicio profesional de esta disciplina y materias afines.
Establecer y mantener vínculos con otros organismos profesionales o docentes y entidades públicas o privadas, para identificación y desarrollo de aspectos que permitan elevar la calidad de la práctica de la Auditoría Interna y el Control en general, dentro de las organizaciones.
El Institute of Internal Auditors (IIA) –organización profesional con sede en Estados Unidos, con más de 70.000 miembros en todo el mundo y 60 años de existencia– anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes.
EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el líder en la certificación, la investigación y la guía tecnológica en la profesión de la audítoría interna.
El desarrollo de los Estándares de la Práctica Profesional de Auditoría Interna, así como las Certificaciones de Auditor Interno (CIA), de Auto evaluación de Control (CCSA) y de Auditor Interno Gubernamental (CGAP), y su participación en el diseño del Enfoque COSO son sólo algunos de los hitos que han transformado al IIA en la entidad internacional señera en la profesión.
Establecen el IIA como el recurso de conocimiento primario sobre las mejores prácticas y publicaciones(cuestiones) que afectan la profesión interna de auditoría. Encuentran las necesidades de desarrollo de profesional que se desarrollan de médicos internos de auditoría.[12]
El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios.
Contar con profesionales certificados en auditoría interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos. La certificación como auditor interno la otorga el Institute of Internal Auditors que es una asociación internacional de profesionales especialistas en auditoría interna, administración de riesgos, gobierno corporativo. control interno, auditoría a tecnología de información, educación y seguridad[13].
La Certificación CIA (Certified Internal Auditor) cumplió 30 años como un reconocimiento mundial que demuestra la capacidad profesional, el dominio de los estándares y de las normas internacionales de la práctica de auditoría interna, el manejo de los principios y controles de la tecnología de información, y las estrategias emergentes para mejorar a la organización y a su gobierno corporativo.
Para obtener la certificación CIA además de los requisitos educacionales y de experiencia sino el apego al Código de Ética, y el desarrollo profesional continuo.
Los rigurosos requerimientos de este programa, aseguran que los auditores internos que logran la certificación, están armados con herramientas invaluables que pueden ser aplicadas globalmente en cualquier organización o industria.[14]
Para mantener la certificación CIA se requiere que los CIA mantengan y actualicen sus habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos años, 80 horas de educación profesional continua.