Estandares y Metodologias Internacionales

                                ESTANDARES Y METODOLOGIAS INTERNACIONALES

Al realizar una auditoría de sistemas informáticos es fundamental conocer las normas y estándares internacionales los cuales han sido diseñados por profesionales en la materia como una guía que permita identificar, enumerar y describir las diversas vulnerabilidades que pueden presentarse dentro del proceso de la auditoria, y permiten realizar una mejor protección, control, y medidas de seguridad.

A continuación se detallan algunas normas que el auditor de sistemas debe conocer:

•  Normas Internacionales de Auditoría – NIAS;
•  Norma ISA 401 – Sistemas de Información por Computadora
•  Norma SAP 1009 – CAATs (en español Técnicas de Auditoría Asistidas por Aomputadora – TAACs)

También existen varias metodologías desde un enfoque  de control Internacional; Dentro de las más importantes para los profesionales son:

  ü  ISACA (COBIT)

  ü  COSO

  ü  AICPA (SAS)

  ü  IFAC (NIA)

  ü  SAC

  ü  MARGERIT

  ü  EDP

ISACA – COBIT: The Information Systems Audit and Control Foundation

Propone la metodología de COBIT (Control Objetives for Information and related Technology). Es un documento realizado en 1996, y revisado posteriormente, dirigido a auditores, administradores, y usuarios de sistemas de información, que tienen como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones. COBIT se desarrolla a travez de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.

COSO: The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).

Publicado en 1992, hace recomendaciones a los contadores de como evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las  operaciones, la información financiera y e l cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.

AICPA – SAS: The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55)

Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.

IFAC-NIA: La Federación Internacional de Contables IFAC

Emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991. IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo. SAC

SAC: The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.

MARGERIT: Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

EDP: La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.