Estndares de Auditora / SAS / Conceptos importantes

Normas de Auditora Norteamericanas (SASs)

Introduccin El Statement on Auditing Procedure tuvo su comienzo en 1939 cuando el comit ejecutivo del American Institute of Certified Public Account autoriz la reunin de un comit a fin de analizar procedimientos de auditora y otras cuestiones relativas, en vista de las recientes discusiones pblicas. En 1941 el comit ejecutivo autoriza la emisin, para los miembros del instituto del folleto Statements on Auditing Procedure, preparado por el Commitee on Auditing Procedure, previamente publicado en el Jornal of Accountancy. Los Statement on Auditing Procedure fueron designados para guiar al Auditor en el ejercicio de su juicio en la aplicacin de los procedimentos de auditora. El instituto comienza publicar una serie de guas Statement on Auditing Procedure. Despus de la emisin de los Statement on Auditing Procedure No. 33, 21 guas adicionales fueron emitidas desde la No 34 a la 54. En noviembre de 1972, estas declaraciones se codificaron en los Statement on Auditing Standards (en adelante SAS). El nombre del comit fue cambiado al de Auditing Standards Executive Commitee a fin de reconocerle este rol dentro del AICPA. Estndares sobre Planificacin y Consideraciones Estratgicas A continuacin daremos un pantallazo respecto a los SAS que a nuestro juicio son relevantes, dejando a los colegas la tarea de profundizar en aquellos que consideren ms importantes o bien por su coyuntura profesional sean de su inters. SAS 47 El riesgo de auditora y la importancia de la realizacin de la misma

Provee una gua para el auditor en la consideracin del riesgo de auditora y materialidad cuando se planea y ejecuta una auditora sobre los estados contables, en cumplimiento de los principios generales de auditora. El riesgo de auditora y materialidad afectan principalmente los principios generales de auditora, especialmente en el trabajo de campo y reporting.
El riesgo de auditora, es el riesgo que el auditor, por ignorancia, no pueda modificar apropiadamente su opinin sobre si los estados contables poseen errores materiales.

El concepto de materialidad reconoce que algunas temas, ya sea individualmente o en su conjunto, son importantes para la correcta presentacin de los estados contables. En conformidad con los principios generalmente aceptados el auditor indica su creencia que los estados contables tomados en consideracin en su conjunto no poseen errores materiales. SAS 48 Los efectos del procesamiento computarizado en el examen de los estados contables

Toma como base que la planificacin de auditora involucra el desarrollo de una estrategia global: conducir de forma esperada /alcance de la auditora. El auditor debe considerar entre otros temas: - La naturaleza de los reportes e informacin esperada (p.e. un informe que consolida los estados contables, reportes sobre estados contables enviados a la SEC, etc.) El auditor debe considerar los mtodos que las entidades utilizan para procesar su informacin, debido a que estos mtodos influyen en la designacin de los controles internos existentes. Evaluando el efecto de los sistemas de informacin sobre la auditora de los estados contables, el auditor debe considerar entre otros puntos: - Hasta qu punto los sistemas se utilizan en cada actividad contable relevante - La complejidad de los sistemas, inclusive el uso de un centro de servicio externo - La estructura organizativa del departamento de sistemas - La disponibilidad de los datos. Documentacin que es utilizada para ingresar datos en los equipos computarizados. - Definir la conservacin de los datos para la auditora, para aquellos datos en que los datos existen directamente en la PC, y no existe documentacin de ingreso. - El uso de Tcnicas asistidas por computadora para ayudar a la eficacia de la auditora. Adems en ciertos sistemas, es imposible para el auditor realizar ciertas pruebas sin la asistencia de estas herramientas. - El auditor debe considerar si se necesitan conocimientos especializados a fin de considerar el efecto del procesamiento computarizado en la auditora, y entender los controles, bien disear y realizar el proceso de auditora. Estos profesionales pueden ser del staff o bien externos. Las responsabilidades del auditor en la utilizacin de dicho recursos son equivalentes a aquellas existentes para otros ayudantes. SAS 53 Responsabilidad del auditor para detectar e informar errores e irregularidades El auditor es responsable de planificar y realizar a fin de obtener una razonab le confianza que los estados contables estn libres de errores materiales, que puedan causar un error o fraude Fraude: El fraude es un concepto muy amplio, y el auditor no hace una determinacin legal de si el fraude ha ocurrido, El inters del auditor se centra especficamente en actos que produzcan un error material en los estados contables. El primer factor que distingue el fraude del error es si la accin subyacente que produce la asercin falsa en la declaracin de los estados financieros es intencional o involuntaria. Por lo tanto para esta seccin, el fraude es un acto intencional que resulta en una asercin falsa material, en los estados contables que son sujetos a la auditoria. Se establecen dos tipos de fraude relevantes para la auditoria, relacionados con la informacin de estados financieros fraudulentos y malversacin de recursos. 1- Informacin fraudulenta de los estados financieros: Los mismos pueden estar acompaados

de: A) Manipulacin, falsificacin alteracin de registros contables o informacin de soporte a travs de los cuales se preparan los estados financieros B) Falsedad u omisin intencionado en los estados financieros de eventos, transacciones o informacin relevante C) Malversacin intencionada de principios contables relacionados con importes, clasificacin, presentacin declaracin 2- Malversacin de recursos (llamado a veces robo o desfalco): Involucra el robo de los recursos de una compaa, donde el efecto del robo causa que los estados financieros no sean presentados, en todos los aspectos materiales, en conformidad con GAAP. La malversacin se puede producir por varios aspectos: A) Robo de recursos B) Pago de productos o servicios que no se han recibido SAS 22 Planificacin y Supervisin

El primer estndar de trabajo de campo requiere que El trabajo debe ser adecuadamente planeado y asistido, as como apropiadamente supervisado. Planeamiento: La planificacin de la auditora involucra el desarrollo de una estrategia global para una conduccin y alcance de la auditora esperados. La naturaleza, magnitud y tiempo de planificacin varan dependiendo del tamao y complejidad de la entidad, experiencia anterior que se tenga y conocimiento del negocio de la entidad. En el planeamiento de la auditora, el auditor debe considerar entre otros aspectos: - Puntos relacionados con el negocio y la industria en la cual opera la entidad - Las polticas contables y procedimientos - Los mtodos usados para procesar la informacin relevante de contabilidad, incluido el uso de organizaciones de servicios, como los centros de servicios externos outside service centers - Planificar el nivel evaluado de riesgos de control - Items del estado financiero que requieren ajustes - Condiciones que puedan requerir una extensin o modificacin de las pruebas de auditora, como ser el riesgo de errores materiales o fraude, o bien la existencia de transacciones con partes relacionadas Los procedimientos que un auditor puede considerar usualmente al planear la auditora, involucra la revisin de los archivos relacionados con la entidad y discusin con otro personal de la firma y de la entidad. Ejemplos de estos procedimientos son: - Revisin de los archivos, papeles de trabajo del ao anterior, archivos permanentes, estados financieros, reportes de auditoria - Averiguar sobre el desarrollo de negocios actuales que afectan a la entidad - Discutir el tipo, alcance y duracin de la auditora con la gerencia, la junta de auditora y

el comit de auditoria - Considerar los efectos de pronunciamientos contables y de auditoria, particularmente los resientes - Coordinar con el personal de la entidad la preparacin de los datos sujetos a anlisis - Determinar la magnitud de la tarea, como ser, consultores, especialistas, auditores internos, etc.
SAS 58 Informes sobre los Estados Contables auditados

Establece que esta seccin es aplicable a los informes de auditores emitidos en relacin a la auditora de los estados contables histricos de las mismas, que presenten la posicin financiera, resultado de operaciones, cash flow en conformidad con los principios contables generalmente aceptados. No es aplicable para los reportes con informacin financiera incompleta, u otro tipo de presentaciones especiales. El reporte contendr una expresin de opinin con respecto a los estados financieros, tomados en su conjunto, o una asercin al efecto de que la opinin no puede expresarse. Cuando no se puede expresar una opinin global, deben aclararse las razones. En todos los casos donde el nombre del auditor se encuentra asociado a los estados financieros, el reporte debe incluir una indicacin bien definida del carcter del trabajo, y el grado de responsabilidad que el auditor ha tomado SAS 59 Consideraciones sobre la continuidad del negocio Esta seccin establece una gua al auditor en la conduccin de la auditoria de estados contables y de acuerdo a los estndares contables generalmente aceptados, con respecto a la evaluacin de la existencia de una duda sustancial sobre la habilidad de la compaa para continuar en el futuro. El auditor tiene responsabilidad si existe una duda substancial sobre la continuidad del negocio por un razonable perodo de tiempo. La evaluacin del auditor esta basado en su conocimiento de condiciones relevantes, o eventos que existan o han ocurrido antes del trabajo de campo. SAS 61 Comunicacin con Comits de Auditora

Se establece el requisito para el auditor de determinar las cuestiones relacionadas a la conduccin de la auditora que deben ser comunicadas a aquellos que tienen la responsabilidad de vigilar el proceso de reportacin financiera Comit de Auditora. Las comunicaciones aplicables a esta seccin son aplicables para a) aquellas entidades que tiene comit de auditora u otro organismo de revisin o b) todas aquellas que tiene un compromiso con la SEC. Se exige al auditor que se asegure que el Comit de Auditora (o quien corresponda) reciba al informacin adicional respecto al alcance y resultados de la auditora que permite asistir al comit en la revisin de los reportes financieros y descubrimiento de procedimientos por los cuales la gerencia es responsable. Esta seccin no requiere la comunicacin con la gerencia. Las comunicaciones pueden realizar oralmente, en cuyo caso el auditor debe documentar la comunicacin a travs de un momorndum u otro documento similar en los papeles de trabajo o bien escrito, en cuyo caso se debe indicar si la informacin es slo de uso del Comit de Auditora o de la Junta Directiva y que no debe usarse por ninguna otra persona que no sean las mencionadas.

SAS 82: Aspectos del fraude en una auditora de estados financieros Los Nuevos Procedimientos para Atacar los Fraudes Constituyen una llamada de Atencin para los Administradores Por: Jim Jurinski y Ellen Lippman, Colaboradores de la Publicacin Strategic Finance

La reciente Declaracin sobre Normas de Auditora (SAS) No. 82, "Consideraciones sobre el
Fraude en una Auditora de Estados Financieros" y la Ley de 1995 sobre Reformas en los litigios sobre valores burstiles privados, modifican la forma en que se realizan las auditoras externas. En consecuencia, los contadores administrativos debern considerar ahora el modo en que ellos se preparan y ayudan a los auditores externos durante la auditora. Los auditores independientes siempre han tenido que proporcionar seguridad razonable de que los estados financieros estn libres de aserciones errneas importantes, errores, reportes fraudulentos, malos usos de activos y actos ilegales. La SAS No. 82, vigentes para las auditoras que terminaron despus de diciembre 15, 1997 proporciona la orientacin ms reciente con respecto a las responsabilidades del auditor independiente con respecto al fraude material. Requiere que los auditores independientes realicen una evaluacin especfica sobre el riesgo de mal uso material de los estados financieros, por causa de irregularidades en el reporte financiero o por mal uso de los activos. Esta evaluacin ocurre al comienzo de la auditora y debera revisarse a travs de la misma. Al auditor se le requiere que evale el riesgo de mal uso material con respecto a casi 40 factores de riesgo especfico de fraudes. Estos incluyen a la administracin, la industria y caractersticas operacionales. Otros factores tales como registros perdidos tambin necesitan ser considerados en la evaluacin del riesgo de fraudes. Especficamente, al auditor se le requiere que realice averiguaciones sobre la administracin con relacin al riesgo posible de fraudes y que documente en los papeles de trabajo cualquier clase de factores de riesgo identificados y la reaccin del auditor ante esos factores de riesgo. Cambios en la Auditora Aunque se pretenda que la SAS No. 82 aclarase las responsabilidades del auditor, probablemente modificar las tcnicas de auditora. En vista de los nuevos requerimientos los auditores invertirn ms tiempo en cuestiones de fraudes. Algunos de los nuevos y ampliados pasos incluirn la determinacin sobre cmo el cliente previene, impide y detecta el fraude, aumentando la verificacin independiente, las observaciones fsicas y el tamao de las muestras; efectuando visitas no anunciadas y pruebas por sorpresa; realizando una revisin detallada de los asientos contables de cierre y aumentando las revisiones de los asientos de ajuste de fin del periodo. Los auditores externos tambin entrevistarn a la administracin superior y al personal de contabilidad, haciendo preguntas sobre segmentos del negocio, tipos de transacciones, saldos de cuentas, ciertas categoras de los estados financieros y sobre cmo la compaa considere sus reas de preocupacin. Preparacin para la Auditora La administracin es finalmente responsable por la prevencin y deteccin del fraude, y los auditores externos revisarn la forma como la compaa cumple con sus responsabilidades. Por consiguiente, antes de reunirse con el auditor externo, los administradores necesitan estar bien informados sobre el fraude, y sobre cmo su compaa esta respondiendo al riesgo de fallas financieras. Los administradores financieros pueden ayudar al Director de Finanzas y a otros funcionarios principales con este asunto. Antes de que llegue el auditor, pueden preparar una evaluacin del fraude material y del mal uso de los activos, una evaluacin similar a la que va a ser realizada por los auditores externos. Esta evaluacin incluir la identificacin de los incentivos para el fraude, el anlisis de las reas de riesgo, y el diseo de controles para disminuir la exposicin al riesgo en el futuro. Debido a que los auditores estarn preguntando a los administradores principales sobre hechos ilegales, los administradores financieros y los contadores administrativos debern realizar procedimientos para detectar tales actos antes de la auditora. Posibles actividades

fraudulentas se sugieren por la evidencia de transacciones no autorizadas, investigaciones delgobierno en la compaa, pagos de multas o penalidades, grandes pagos no especificados por servicios, excesivas comisiones por ventas, la falla en la presentacin de declaraciones de impuestos, un aumento en la utilidad neta de la industria cuando los promedios de la misma estn disminuyendo, aumentos inusuales en ventas, y un flujo de caja operativo significativamente por debajo de la utilidad neta. Otras seales de alarma incluyen falta de atencin a los controles internos, polticas contables agresivas, poltica de gastos contra capitalizacin y valuaciones cuestionables de activos. Al ayudar a los auditores externos en su evaluacin de fraudes, los contadores administrativos auxiliarn tambin a que la auditora se realice con ms facilidad y a que puedan mantenerse bajo los honorarios de auditora. Actualmente, pocos fraudes se descubren por el auditor externo. La mayor parte se detectan a travs de controles internos y porque otros empleados se percatan de los mismos, o por los auditores internos. Por consiguiente, una revisin interna de prevencin y deteccin de fraudes resulta crtica no slo para ayudar a los auditores externos en su revisin sino tambin para descubrirlos. Las auditoras externas no son suficientes. La administracin necesita asegurarse de que los controles contables y administrativos estn diseados para limitar las oportunidades de fraude. Aunque tales controles no son infalibles, su ausencia har que resulte mucho ms probable el fraude y la indebida apropiacin de activos. Los controles que limitan las oportunidades para el fraude incluyen polticas publicadas sobre control interno, fraude y tica, distribuidas a los empleados y proveedores; lneas telefnicas especiales para que los empleados reporten eventos sospechosos a los auditores internos o compaas independientes, comits de vigilancia del consejo, ambiente favorable de trabajo, reconciliaciones de los estados bancarios, y establecimiento de un ambiente fuerte de control interno por la administracin principal. Obligacin de Reportar Anomalas La Ley de Reformas de Litigacin de valores burstiles privados (PSLRA) se aplica a las compaas cubiertas por la Ley de Valores Burstiles de 1934. Esta ley cre la obligacin de reportar anomalas por los auditores de las compaas cotizadas en bolsa. Ordena que los auditores realicen procedimientos diseados para proporcionar una seguridad razonable de deteccin de actos ilegales que tendran un efecto directo y material sobre la determinacin de los importes de los estados financieros. La SEC (Comisin de Valores y Cambios) ha tomado la posicin informal de que los actos ilegales se relacionan con el fraude financiero y no con la comisin de actos ilegales cometidos por los administradores y empleados del cliente. Si un auditor determina que un cliente ha cometido fraude financiero, bien sea que se perciba o no como que tenga un efecto material directo sobre los estados financieros, el auditor debe considerar el efecto posible del fraude, y, tan pronto como resulte prctico, informar del mismo al nivel apropiado de la administracin del cliente y al comit de auditora o al consejo de directores. Si el auditor sabe que el acto ilegal tiene un efecto material sobre los estados financieros pero la administracin principal no ha tomado la accin remedial apropiada -el auditor debe emitir un reporte formal al consejo-. El consejo slo tiene un da hbil de negocios para notificar a la SEC, as como tambin el auditor, de la realizacin de su cumplimiento a la SEC. Segn la ley, los auditores tienen ahora la obligacin de reportar a la SEC cuando detecten fraudes financieros materiales y la administracin no desee remediar la situacin, re-exprese los estados financieros o reporte el fraude a la citada SEC. La notificacin del auditor se requiere an si el mismo decide renunciar al trabajo. La ley establece penalidades civiles contra cualquier auditor que falle en el cumplimiento de los avisos requeridos. Los procedimientos sugeridos antes, con relacin a la evaluacin de un fraude administrativo, debern ayudar a la compaa a evitar un acto de fraude financiero por parte de sus empleados. Si el auditor externo descubre un fraude, la administracin deber responder a las preocupaciones del auditor. Los crecientes requerimientos de reportes de la PSLRA causarn varios cambios. El ms importante es que los auditores estarn solicitndole a la

administracin informacin sobre posibles aseveraciones errneas debido a fraudes o actos ilegales. Si los administradores financieros realizan con anticipacin sus propios procedimientos, estarn listos para estas cuestiones durante la auditora.

Resumen de la norma ISO 27001:2005

Publicado por Javier Cao Avellaneda En varios foros entre los que estn Kriptpolis y Shell Security aparece hoy la referencia a un documento elaborado por Alejandro Corletti titulado "Anlisis de ISO-27001". Un interesante y necesario trabajo que puede ser considerado muy seriamente por el mbito empresarial, pues es un estndar que se va a comenzar a imponer en un corto plazo de tiempo, siendo la continuidad natural del ISO-17799. [...] "la sensacin que deja el anlisis de esta norma, es que se est gestando con toda rigurosidad este hecho, y que como cualquier otra certificacin ISO, este estndar internacional ha sido desarrollado (por primera vez con relacin a la seguridad, a juicio de este autor) con toda la fuerza y detalle que haca falta para empezar a presionar al mbito empresarial sobre su aplicacin. Es decir, se puede prever, que la certificacin ISO-27001, ser casi una obligacin de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lgico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturacin, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informtica, sino se abren brechas de seguridad entre s............este estndar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la ndole que fueren) en este mercado ciberntico actual, tienen cada vez ms necesidad de interrelacionar sus infraestructuras de informacin.....ISO-27001 en este sentido es una muy buena y slida opcin" [...] Es un estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information security management systems -

Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).

ndice

1 Evolucin 2 Implantacin 3 Certificacin 4 La Serie 27000 5 Referencias 6 Vase tambin 7 Enlaces externos

[editar] Evolucin
Espaa En el ao 2004 se public la UNE 71502 titulada Especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) y que fue elaborada por el comit tcnico AEN/CTN 71. Es una adaptacin nacional de la norma britnica British Standard BS 7799-2:2002. Con la publicacin de UNE-ISO/IEC 27001 (traduccin al espaol del original ingls) dej de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta ltima estn pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001. BENEFICIOS: El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organizacin: -Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial. -Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial.

-Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin. -Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin. -El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del cdigo profesional, ISO/IEC 17799 no logran estas ventajas.

[editar] Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de informacin y sus procesos de trabajo a las exigencias de las normativas legales de proteccin de datos (p.ej., en Espaa la conocida LOPD y sus normas de desarrollo, siendo el ms importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica de Proteccin de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002, partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad informtica generalmente Ingenieros o Ingenieros Tcnicos en Informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).

[editar] Certificacin
La certificacin de un SGSI es un proceso mediante el cual una entidad de certificacin externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicacin del estndar ISO 27001, las organizaciones interesadas eran certificadas segn el estndar britnico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificacin ISO/IEC 27001 en su primera certificacin con xito o mediante su recertificacin trienal, puesto que la certificacin BS 7799-2 ha quedado reemplazada. El Anexo C de la norma muestra las correspondencias del Sistema de Gestin de la Seguridad de la Informacin (SGSI) con el Sistema de Gestin de la Calidad segn ISO 9001:2000 y con el Sistema de Gestin Medio Ambiental segn ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organizacin en varias normas y con base en un sistema de gestin comn.

[editar] La Serie 27000

La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares ISO/IEC:

ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms claro de la serie y la relacin entre los diferentes documentos que la conforman. UNE-ISO/IEC 27001:2007 Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin. Los SGSIs debern ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799). ISO 27002: (anteriormente denominada ISO17799).Gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles. ISO 27003: En fase de desarrollo; probable publicacin en 2009. Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGSI y de los controles relacionados. ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335.

ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.

[editar] Referencias

ISO/IEC 27001:2005 Information technology Security techniques Information security management systems - Requirements ISO/IEC 27005:2008 Information technology Security techniques Information security risk management ISO/IEC 27006:2007 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27002:2005 Information technology Security techniques Code of practice for information security management (anterior ISO/IEC 17799:2005) ISO 9001:2000, Quality management systems Requirements ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT security ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security Part 4: Selection of safeguards ISO 14001:2004, Environmental management systems Requirements with guidance for use ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing