Mario Hernán Cornejo Pérez

Licenciatura en Contaduría Pública

Maestría en Consultoría Empresarial
Auditor de Sistemas y Docente Universitario

Enero de 2021
Contenidos a desarrollar
1. Asociación de Auditoría y Control de Sistemas de Información (ISACA)
1. Definición
2. Propósito
3. Certificaciones
4. Marcos de Referencia

2. Marco de Auditoría de Tecnologías de Información (ITAF)

1. Definición
2. Organización (Niveles de Orientación/Estructura)
3. Navegación en Estándares y Directrices
4. Aplicación de ITAF en Auditoría de Sistemas
5. Caso práctico de aplicación de ITAF
 Information Systems Audit and Control Association

■ Inició en 1967 por un pequeño grupo de personas con trabajos similares

auditando controles en sistemas informáticos que se estaban volviendo más
críticos para las operaciones de sus organizaciones.
■ En 1969 este grupo vio la necesidad de una fuente centralizada de
información y orientación en el campo y se formalizó, incorporándose como
Asociación de Auditores de PED.
■ En 1976, la asociación formó una fundación educativa para emprender
esfuerzos de investigación a gran escala para expandir el conocimiento y el
valor del campo de control y gobernanza de TI.
■ A la fecha tiene más de 165.000 miembros en todo el mundo y se
caracterizan por su diversidad, viven y trabajan en más de 188 países y
cubren una variedad de puestos profesionales relacionados con TI en las
disciplinas de auditoría, riesgo, seguridad y gobernanza de SI/TI,
educadores, consultores y reguladores, posicionados en industrias
financieras y bancarias, contabilidad y sector público.
 Information Systems Audit and Control Association

■ Durante más de 50 años ha desarrollado el mejor talento, experiencia y

aprendizaje en tecnología, equipa a las personas con conocimientos,
credenciales, educación y comunidad para progresar en sus carreras y
transformar sus organizaciones, y permite a las empresas capacitar y
construir equipos de calidad. Es un asociación profesional global y
organización de aprendizaje que aprovecha la experiencia de sus 145.000
miembros que trabajan en seguridad de la información, gobernanza,
garantía, riesgo y privacidad para impulsar la innovación a través de la
tecnología. Tiene presencia en 188 países, incluidos más de 220 capítulos
en todo el mundo.
■ Marca el ritmo para los profesionales de la gobernanza, el control, la
seguridad y la auditoría de la información.
■ Emite estándares de auditoría y control de SI que son seguidos por
profesionales de todo el mundo.
■ Ofrece recursos de conocimiento, materiales de estudio y exámenes de
certificación en una variedad de 21 idiomas.
 Information Systems Audit and Control Association

Certificaciones
La certificación de Auditor de Sistemas de Información
(CISA), es mundialmente reconocida como el estándar de
logro para quienes auditan, controlan, monitorean y evalúan
la tecnología de la información y los sistemas comerciales
de una organización.
Una certificación CISA demuestra su experiencia en estos
dominios relacionados con el trabajo:

Proceso de Gobierno y Adq., Des. Operaciones de SI Protección de activos

Auditoría de Gestión de TI e imp. de SI y resiliencia de información
Sistemas empresarial
 Information Systems Audit and Control Association

Certificaciones
La Certificación en Riesgo e Información de Sistemas de Control
(CRISC) indica la experiencia en la identificación y la gestión de
riesgos de TI para implementar y mantener el control de los
sistemas de información.
Una certificación CRISC demuestra su experiencia en estos
dominios relacionados con el trabajo:

Identificación de riesgos Evaluación de riesgos de Respuesta y Seguimiento e

de TI TI mitigación de riesgos informes de riesgos
y controles
 Information Systems Audit and Control Association

Certificaciones
La certificación de Gestor de seguridad de la información
(CISM) de indica experiencia en el gobierno de la seguridad
de la información, desarrollo y gestión de programas, gestión
de incidentes y gestión de riesgos.
Una certificación CISM demuestra su experiencia en estos
dominios relacionados con el trabajo:

Gobierno de la seguridad Gestión de riesgos de Desarrollo y gestión Gestión de

de la información información de programas de incidentes de
seguridad de la seguridad de la
información información
 Information Systems Audit and Control Association

Certificaciones
La certificación en Gobierno de la Tecnología de la Información
Empresarial (CGEIT) es independiente del Marco y puede poner a
quien la posea en el papel de asesor de confianza para su
empresa.
Una certificación CGEIT demuestra su experiencia en estos
dominios relacionados con el trabajo:

Gobierno de la TI Recursos de TI Realización de Optimización de

empresarial beneficios riesgos
 Information Systems Audit and Control Association

Certificaciones
La Certificación de Practicante de Ciberseguridad prueba la
capacidad de una persona para realizar habilidades de
ciberseguridad validadas a nivel mundial que abarcan cinco
funciones de seguridad: identificar, proteger, detectar, responder
y recuperar.
Una certificación CSX-P demuestra su experiencia en estos
dominios relacionados con el trabajo:
Identificar Proteger Detectar Responder Recuperar

Entorno empresarial y Disponibilidad de Detección y evaluación Respuesta y

de seguridad seguridad operativa de amenazas recuperación ante
incidentes
 Information Systems Audit and Control Association

Certificaciones
La Certificación de Ingeniero de soluciones de privacidad de
datos (CDPSE) evalúa la capacidad de un profesional de la
tecnología para implementar la privacidad por diseño, lo que
da como resultado plataformas y productos de tecnología de
privacidad que generan confianza y promueven la privacidad
de los datos. La certificación valida experiencia y
conocimientos en los 3 dominios relacionados con el trabajo
que se enumeran a continuación:

Gobernanza de privacidad Arquitectura de privacidad Ciclo de vida de los datos

 Information Systems Audit and Control Association

Certificaciones
Proporciona el conocimiento para diseñar e implementar
un sistema de gobernanza de TI eficaz y ejecutar
programas de mejora de la gobernanza con el programa
de diseño e implementación de COBIT 2019. El programa
de certificado apoya el logro de objetivos empresariales.
El Certificado de Diseño e Implementación de COBIT
2019 afirma la capacidad de los titulares de comprender,
diseñar e implementar programas para el gobierno
empresarial de TI (EGIT).

Conceptos Factores de Impacto de El flujo de trabajo de Implementación Ciclo de vida de la Matriz de

básicos de diseño para un los diseño del Sistema de y optimización implementación de la decisiones
COBIT 2019 Sistema de Factores Gobierno de la Gobernanza
Gobierno de diseño Gobernanza de
TI
 Information Systems Audit and Control Association

Certificaciones
La Certificación de Auditoría de Ciberseguridad proporciona
a los profesionales de auditoría / aseguramiento el
conocimiento necesario para sobresalir en las auditorías de
ciberseguridad, y a los profesionales de riesgos de TI una
comprensión de los controles de mitigación y los riesgos
relacionados con la cibernética.
Los conocimientos a adquirir, incluyen:
 Comprender los marcos de seguridad para identificar las mejores prácticas
 Definir la gestión de amenazas y vulnerabilidades
 Evaluar amenazas con la ayuda de herramientas de gestión de vulnerabilidades
 Explicar todos los aspectos de la gobernanza de la ciberseguridad.
 Distinguir entre tecnologías de seguridad de red y firewall
 Mejorar las prácticas de gestión de activos, configuración, cambios y parches
 Gestionar la identidad empresarial y el acceso a la información
 Identificar el control de seguridad de la aplicación
 Identificar debilidades en las estrategias y controles de la nube
 Realizar evaluaciones de riesgos de ciberseguridad y de terceros
 Information Systems Audit and Control Association

Certificaciones
Las Certificaciones de ciberseguridad de CSX Nexus
se fundamentan en que a medida que el panorama
cibernético continúa evolucionando rápidamente, no
es suficiente confiar únicamente en el conocimiento y
la teoría.

Las Certificaciones Cybersecurity Nexus (CSX) son testimonios basados ​en el

rendimiento de sus habilidades y experiencia en la vida real y proclaman que
su compromiso, tenacidad y habilidades superan las expectativas. Hay
certificados disponibles en una variedad de niveles de habilidad.
 Information Systems Audit and Control Association

Certificaciones
 Information Systems Audit and Control Association

Certificaciones
La Certificación de Conocimientos de Auditoría en la
Nube (CCAK) proporciona educación técnica para los
profesionales de auditoría, seguridad y riesgo de TI
para comprender la terminología, los desafíos y las
soluciones únicos de la nube.
Es presentada por Cloud Security Alliance (CSA), líder mundial en investigación,
capacitación y acreditación de seguridad en la nube, e ISACA, líder mundial en
capacitación, educación y certificación para Profesionales de SI / TI.
La auditoría en la nube es esencial para una migración exitosa a la nube y
puede brindarle una comprensión general del tipo de servicios en la nube y la
estrategia de implementación que beneficiarían mejor a la empresa, prepara a
los profesionales de TI para abordar los desafíos únicos de auditar la nube,
asegurando los controles correctos de confidencialidad, integridad y
accesibilidad y mitigando los riesgos y costos de la gestión de auditoría y el
incumplimiento.
 Information Systems Audit and Control Association

Certificaciones
La Certificación de Fundamentos de Riesgos de TI
(IT RISK) proporciona conocimiento sobre:
Terminología de riesgo y tipos de riesgo, Funciones
comerciales relacionadas con el riesgo, Proceso de
gestión de riesgos ,Gobernanza y gestión de riesgos,
Identificando riesgo, Evaluar y analizar el riesgo,
Respondiendo al riesgo, Monitoreo, reporte y
comunicación de riesgos.

Introducción Gobernanza y Identificación de riesgo Evaluación y análisis de Respuestas a Seguimientos,

y gestión de riesgos los riesgos informes y
descripción
riesgos comunicación de
general del
riesgo riesgos
 Marcos de Referencia de la Contaduría Pública
NIIF Completas Federación Internacional de Contadores

NIIF para PYME Federación Internacional de Contadores

NCB Banco Central de Reserva

Contabilidad
NCF 21 Convención de Contadores de El Salvador

NIFACES Instituto Salvadoreño de Fomento Cooperativo

Marcos de PCG Ministerio de Hacienda

Referencia
de CP en ES NIA’S Federación Internacional de Contadores

NACOT Consejo de Vigilancia de la Profesión de Contaduría Pública y Auditoría

NAG Corte de Cuentas de la República

Auditoría NAIG Corte de Cuentas de la República

NIEPAI Instituto de Auditoría Interna

NRP 15 Banco Central de Reserva

NRP 16 Banco Central de Reserva

ITAF Asociación de Auditoría y Control de Sistemas de Información

 Information Systems Audit and Control Association

Marcos de Referencia
 Information Systems Audit and Control Association

Marcos de Referencia
IT Audit Framework ITAFTM
A Professional Practices Framework IT Audit

4th Edition
■ Introducción y Metodología ■ Marco de Auditoría de TI
■ Objetivos de Gobierno y Gestión ■ Directrices de Muestreo de
■ Diseño de COBIT Auditoría de TI
■ Implementación de COBIT
■ Implementación del Marco de
Ciberseguridad
 Definición
COBIT es un marco de referencia para el gobierno y la gestión de la
información y la tecnología, dirigido a toda la empresa. La I&T
empresarial significa toda la tecnología y procesamiento de la
información que la empresa utiliza para lograr sus objetivos,
independientemente de dónde ocurra dentro de la empresa. En
otras palabras, la información y la tecnología (I&T) empresarial no
se limita al departamento de TI de una organización, aunque este
está indudablemente incluido.
ITAF es un marco de auditoría
de TI integral que:
■ Establece estándares que
abordan los roles y
responsabilidades de los
profesionales de
aseguramiento y auditoría de
TI, la ética, comportamiento
profesional esperado y
conocimientos y habilidades
requeridos.
■ Define términos y conceptos
específicos de auditoría y
aseguramiento de TI.
■ Proporciona orientación y
técnicas para planificar,
realizar e informar sobre
compromisos de auditoría y
aseguramiento de TI.
IT Audit Framework ITAFTM
A Professional Practices Framework IT Audit

4th Edition

Organización
Los estándares de la ITAF se dividen en tres categorías:
Estándares generales (serie 1000): detalla los principios rectores de la profesión
de aseguramiento de TI. Estos principios se aplican a todos los compromisos,
incluidos, entre otros, la ética del profesional de aseguramiento y auditoría de
TI, independencia, objetividad y debida diligencia, así como conocimientos,
competencia y habilidad.
Estándares de desempeño (serie 1200): se ocupa de la realización del trabajo,
como la planificación y supervisión, determinación del alcance, evaluación de
riesgos, movilización de recursos, gestión del compromiso, pruebas de auditoría
y aseguramiento, y el ejercicio del juicio profesional y el debido cuidado.
Estándares de informes (serie 1400): aborda los tipos de informes, los medios
de comunicación e información comunicada.
IT Audit Framework ITAFTM
A Professional Practices Framework IT Audit

4th Edition
Organización

• Generales: establecen
los principios rectores Directrices • Libros blancos
de la profesión de • Programas de
aseguramiento de TI. auditoría
• Desempeño: orientan • Disponibles en:
la planificación y • Metodologías para: https://www.isaca.org/r
ejecución del trabajo. planificación, esources/insights-and-
• Informes: instruyen ejecución, evaluación, expertise/audit-
sobre los tipos de prueba e informes programs-and-
informes y sus sobre procesos de TI, tools#sort=relevancy&l
comunicaciones. • Aclaraciones de las ayout=card
relaciones entre las
actividades e
Estándares iniciativas Herramientas y
emprendidas por la Técnicas
empresa y las
realizadas por TI
 Organización de IT Audit Framework ITAFTM (4th Edition)

Estándares Generales Directrices Generales

1001 Estatuto de Auditoría 2001 Estatuto de Auditoría
1002 Independencia Organizacional 2002 Independencia Organizacional
1003 Objetividad del Auditor 2003 Objetividad del Auditor
1004 Expectativa Razonable 2004 Expectativa Razonable
1005 Debido Cuidado Profesional 2005 Debido Cuidado Profesional
1006 Competencia 2006 Competencia
1007 Afirmaciones 2007 Afirmaciones
1008 Criterios 2008 Criterios

Estándares de Desempeño Directrices de Desempeño

1201 Evaluación de Riesgos en la Planificación 2201 Evaluación de Riesgos en la Planificación
1202 Planificación de Auditoría 2202 Planificación de Auditoría
1203 Planificación del Compromiso 2203 Planificación del Compromiso
1204 Desempeño y Supervisión 2204 Desempeño y Supervisión
1205 Evidencia 2205 Evidencia
1206 Uso del Trabajo de otros Expertos 2206 Uso del Trabajo de otros Expertos
1207 Irregularidades y Actos Ilegales 2207 Irregularidades y Actos Ilegales

Estándares de Informes Directrices de Informes

1401 Reportes 2401 Reportes
1402 Actividades de Seguimiento 2402 Actividades de Seguimiento
IT Audit Framework ITAFTM
A Professional Practices Framework IT Audit

4th Edition
Términos y Definiciones
ITAF utiliza palabras comunes con significados específicos que se aplican a los
tipos más comunes de encargos realizados por profesionales de auditoría y
aseguramiento de TI, que están contenidos en el Apéndice C. Esto asegura que
las palabras y sus significados dentro de su contexto sean entendidos y
aplicados de forma coherente.

Los términos y definiciones de ITAF son consistentes con la terminología

comúnmente utilizada en la práctica de auditoría profesional y en tecnología de
la información y seguridad; sin embargo, los profesionales deben consultar los
estándares de fuentes originales más actuales relevantes para el tipo específico
de trabajo que se realizarán para garantizar que se utilizan los términos y
definiciones más actuales y apropiados.
IT Audit Framework ITAFTM
A Professional Practices Framework IT Audit

4th Edition

Aplicando
ITAF
 Estándares de Auditoría y Aseguramiento de TI
1001 ESTATUTO DE AUDITORÍA

1001.1 La función de aseguramiento y auditoría de TI debe documentar la

función de auditoría de manera apropiada en un estatuto de auditoría,
indicando propósito, responsabilidad, autoridad y rendición de cuentas.
1001.2 La función de aseguramiento y auditoría de TI debe tener el estatuto de
auditoría acordado y aprobado formalmente por los encargados del
gobierno y la supervisión de la función de auditoría, por ejemplo, la
junta directiva y / o el comité de auditoría.
1001.3 La función de aseguramiento y auditoría de TI deberá comunicar el
estatuto de auditoría a la dirección ejecutiva / superior. Además, los
elementos relevantes del estatuto de auditoría se deben compartir con
los grupos auditados en las reuniones de entrada y / o mediante cartas
de compromiso.
1001.4 Mediante la revisión periódica del estatuto de auditoría, las
responsabilidades de la función de auditoría y aseguramiento, como se
refleja en el estatuto de auditoría, permanecerán alineadas con la
misión y las estrategias de la empresa. Se justifica la revisión inmediata
del estatuto de auditoría si cambian la misión o las estrategias de la
empresa, o si cambian las responsabilidades de la función de auditoría.
 Estándares de Auditoría y Aseguramiento de TI
SI
ESTATUTO DE AUDITORÍA
1001 ESTATUTO DE TI
DE AUDITORÍA

Estructura y contenido Objetivos de Auditoría

Metas de Auditoría
Propósito
Misión de Auditoría
1001.1 – 1001.4 Alcance de Auditoría
2001.2.3 Trabajo realizado por Auditoría
Independencia
Relaciones con Auditoría externa
Expectativas del auditado
Responsabilidad
Requerimientos del auditado

1001.1 – 1001.4 Cumplimiento de estándares

2001.2.4 Conformidad
Estatuto
de Auditoría Derecho de acceso

Autoridad Limitaciones de autoridad

Estándares:
1001, 1002 y 1003 Procesos a ser auditados
Directrices: 1001.1 – 1001.4
2001, 2002 y 2003 2001.2.5 Comunicaciones escritas
Monitoreo e Informes de progreso
Rendición de Informes de Métricas de Desempeño
cuentas Informes al Gobierno Corporativo
1001.1 – 1001.4 Proceso de aseguramiento de calidad
2001.2.6 Normas de dotación de personal
Estatuto de Auditoría de TI
Estructura y contenido
Elementos Contenidos Estándar 1001 Directriz 2001
1. Propósito 1.1 Objetivos de Auditoría 1001.1 – 1001.4 2001.2.3
1.2 Metas de Auditoría
1.3 Misión de Auditoría
1.4 Alcance de Auditoría
1.5 Trabajo realizado por Auditoría

2. Responsabilidad 2.1 Independencia 1001.1 – 1001.4 2001.2.4

2.2 Relaciones con Auditoría externa
2.3 Expectativas del auditado
2.4 Requerimientos del auditado
2.5 Cumplimiento de estándares
2.6 Conformidad

3. Autoridad 3.1 Derecho de acceso 1001.1 – 1001.4 2001.2.5

3.2 Limitaciones de autoridad
3.3 Procesos a ser auditados

4. Rendición de cuentas 4.1 Comunicaciones escritas 1001.1 – 1001.4 2001.2.6

4.2 Monitoreo e Informes de progreso
4.3 Informes de Métricas de Desempeño
4.4 Informes al Gobierno Corporativo
4.5 Proceso de aseguramiento de calidad
4.6 Normas de dotación de personal
 Estándares de Auditoría y Aseguramiento de TI
Planeación de Auditoría de Sistemas
Estándares Directrices Objetivos COBIT Otros Marcos Referencia detallada

Informe de Auditoría de Sistemas

Estándares Directrices Objetivos COBIT Otros Marcos Referencia detallada