Estándares de Auditoria de Sistemas

ESTNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE
INFORMACIN
Producido por el concejo de estndares de la EDP Auditors Foundatin, Inc.
CONTENIDO
1.
Introduccin
2.
3.
Objetivo
4.
Declaracin No. 2 Independencia
Declaraciones No. 1 Independencia

( Actitud y Apariencia)
(Participacin en el proc. De Desarrollo
de Sistemas).
5.
6.
7.
Declaracin No. 3 Ejecucin del

Trabajo (Requerimiento de Evidencia)
Trabajo(EL debido cuidado profesional)
trabajo (El uso de valorizacin de riesgos
en la planeacin de la Auditora)
8.
9.
10.
11.

trabajo ( Documentacin de la Auditora)
Declaracin No. 7 Reportes de
Auditora
Declaracin No. 8 Ejecucin de
Trabajo ( consideraciones de Auditora
para irregularidades).

Trabajo (Uso de Herramientas de Software
de auditora).
INTRODUCCIN
La E.D.P. Auditors Fundatin, Inc. Determin que la naturaleza de la Auditora de
Sistemas de Informacin, y las habilidades necesarias para ejecutar tales
auditorias requiere el desarrollo y promulgacin de Estndares de Auditoria de
Sistemas de Informacin.
La Auditoria de Sistemas de Informacin est definida como cualquier auditora
que abarca la revisin de y evaluacin de todos los aspectos ( alguna porcin)
de los sistemas automatizados de procesamiento de informacin, incluyendo

procedimientos relacionados no automticos, y las interfaces entre ellos.
Los Estndares promulgados por la E.D.P. Auditors Fundatin Inc, son aplicables
al trabajo de la Auditoria de Sistemas de Informacin ejecutado por miembros de
la Asociacin de Auditores de la E.D.P. y por los titulares de la designacin
CISA. ( Certified, Informatin Systems Auditor).
Ms antecedentes concernientes a la Asociacin de Auditores E.D.P. Inc, la
Fundacin de Auditores E.D.P., y su programa de Estndares de Auditoria de
Sistemas de Informacin, estn contenidos en el ^Prefacio de Estndares
Generales para la Auditoria de Sistemas de Informacin y las declaraciones
sobre Estndares de Auditoria de Sistemas de Informacin.
OBJETIVOS
Estos Estndares tienen como objetivo informar a los auditores el nivel del
mnimo
de desempeo
aceptable, necesario
para satisfacer las
responsabilidades profesionales definidas en el Cdigo de tica Profesional e
informar a la administracin y a otras partes interesadas sobre las expectativas
de la profesin concernientes al trabajo de sus practicantes.
(*) Electronic Data Processing.
ESTNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIN
Los diez (10) Estndares siguientes son aplicables para la auditoria de Sistemas de
Informacin , como se defini anteriormente.
INDEPENDENCIA:
Estndar General No. 1 Actitud y Apariencia.
En todos los asuntos relacionados con auditora, El Auditor de Sistemas de Informacin.
Deber ser independiente del auditado en actitud y apariencia.
Estndar General No. 2. Relacin Organizacional.
La funcin de auditora de sistemas de informacin deber ser lo suficientemente
independiente del rea que est auditando, para permitir la obtencin del objetivo de la
Auditora.
Estndar General No. 3. Cdigo de tica Profesional
El auditor de Sistemas deber adherirse al Cdigo de tica Profesional de la Fundacin
de Auditores de E.D.P.
COMPETENCIA TCNICA
Estndar General No. 4 Habilidades y Conocimiento.

El auditor de Sistemas de Informacin deber ser tcnicamente competente, y poseer
las capacidades y conocimientos necesarios para desempear su trabajo de Auditor.
Estndar General No. 5. Educacin Profesional Continua.
El auditor de Sistemas de Informacin deber mantener competencia tcnica mediante
una apropiada educacin continua.
EJECUCIN DE TRABAJO.
Estndar General No. 6. Planeacin y Supervisin.
Las Auditorias de Sistemas de Informacin deben ser planeadas y supervisadas para
asegurar que los objetivos de la auditora se alcanzan y se satisface el cumplimiento
de estos estndares.
Estndar General No. 7. Requerimiento de Evidencia

Durante el curso de la auditora, el auditor de Sistemas de Informacin deber
obtener
evidencia esencial y suficiente para soportar
los hallazgos y
conclusiones reportados.
Estndar General No. 8. Debido cuidado Profesional.
El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del
trabajo del Auditor de Sistemas de Informacin, incluyendo la observancia de
auditoria aplicables.
REPORTE
Estndar General No. 9. Reporte del Alcance de la Auditora.
En la preparacin de reportes, el auditor de sistemas de informacin, deber
plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y
extensin del trabajo de auditora ejecutado.
Estndar General No. 10. Reporte de hallazgos y conclusiones.
En la preparacin de reportes, el auditor de sistemas de informacin deber
plantear los hallazgos y conclusiones relacionados con el trabajo de auditora
ejecutado, al igual que cualquier excepcin calificacin que el auditor tenga
con respecto a la auditora.
FECHA EFECTIVA
Estos estndares son efectivos para todas las Auditoras de Sistemas de
Informacin a partir de Enero 1 de 1.988.
DECLARACION DEL1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE
SISTEMAS DE INFORMACIN Producidos por el Concejo de Estndares
de las E D P Auditors Foundatin, Inc.
DECLARACIN No. 1: INDEPENDENCIA, Actitud y apariencia en la Relacin
Organizacional.
INTRODUCCIN
01) El propsito de esta declaracin sobre los Estndares para la Auditora de
Sistemas de Informacin es expandir el significado de independencia con
relacin a los Est Estndares de la Auditora de Sistemas de Informacin.
02) Esta declaracin es un suplemento de los Estndares Generales para la
Auditora de Sistemas de Informacin promulgados por la EDP Auditors
Foundation, y por consiguiente no reemplazara ninguna parte de ellos.
DECLARACIN
03) El Auditor de Sistemas de Informacin ( auditor) tiene la obligacin de
asumir una actitud de independencia hacia la auditora. Una actitud de
independencia est definida como un punto de vista imparcial que permite al
auditor actuar objetivamente y con imparcialidad justicia.
04) El auditor no debera participar en una auditora si la independencia del
auditor es perjudicada. Por ejemplo, la independencia del auditor puede ser
perjudicada si el auditor, tiene alguna expectativa de ganancia financiera u otra
ventaja personal debido a su influencia sobre los resultados de la auditora. Sin
embargo, la
independencia del auditor no
necesariamente podra ser
perjudicada como resultado de la ejecucin de una auditora de sistemas de
informacin donde las transacciones personales ocurren en el curso normal de
negocios.
05)
El auditor debera estar enterado que la apariencia de independencia
puede ser influenciada por las acciones asociaciones del auditor. Las
percepciones de la independencia del auditor, pueden afectar la aceptacin de
su trabajo. Si el auditor llega a enterarse que una situacin o relacin es
percibida como perjudicial para la independencia del auditor, el auditor podr
informar a la administracin de la auditora sobre esta percepcin lo ms pronto

posible.
06) El auditor debera tener una independencia organizacional del rea que
est siendo auditada. Esto asegura que la auditoria sea objetiva e imparcial. La
independencia se debilita si el auditor tiene control directo sobre el rea que
esta siendo auditada. La independencia del auditor tambin puede ser
perjudicada si el auditor tiene la responsabilidad directa de reportar
directamente a los individuos que tienen control directo del rea que esta
siendo auditada.
07) En circunstancias donde la independencia es perjudicada y el auditor
continua siendo asociado con la auditoria, los factores que rodean el problema
de la independencia del auditor deberan ser divulgados. Esta divulgacin
debera hacerse de manera consistente con la comunicacin del auditor y la
distribucin de los resultados de la auditora.
08) La independencia debera ser continuamente valorada por el auditor y la
adminstracin. Esta valoracin debera considerar factores tales como cambios
en relaciones personales, intereses financieros y asignaciones y
responsabilidades del trabajo anterior.
09)
El trabajo y reporte del auditor debera representar una descarga de
responsabilidades profesionales que ejemplifiquen la integridad y objetividad. Un
auditor debe evitar situaciones que podran perjudicar su independencia.
FECHA EFECTIVA
10)
Este informe es efectivo para todos los auditores de Sistemas de
Informacin a partir del 1 de Julio de 1.989.
DECLARACIONES 1 A 9 SOBRE LOS ESTNDARES DE AUDITORIA DE
SISTEMAS DE INFORMACIN. Producidos por el Concejo de Estndares de
la EDP Auditors Foundation
DECLARACIN No. 2: INDEPENDENCIA. Participacin en el proceso de
Desarrollo de Sistemas
INTRODUCCIN
01 El propsito de esta declaracin sobre Estndares de Auditoria de sistemas
de informacin es profundizar sobre el significado de la independencia del
auditor tal como se relaciona con la revisin de sistemas en desarrollo. Esta
declaracin esta relacionado con los Estndares Generales No. 1 y 2 de los
Estndares Generales para la Auditoria de Sistemas de Informacin.
02 Esta declaracin es un suplemento de los Estndares Generales para la

Auditora de Sistemas de Informacin como los promulg la EDP. Auditors
Foundation, y por consiguiente no reemplaza ninguna parte de ellos.
DEFINICIONES
03 Las siguientes definiciones son proporcionadas para clarificar la utilizacin de
la terminologa dentro de esta declaracin.
04 Sistema de Aplicacin- Un grupo integrado de programas de computador
diseados para realizar una funcin particular que tiene actividades especificas
de entrada (imput) procesamiento y salida (output) (ejemplos: contabilidad
general, planeacin de recursos de manufactura y administracin).
05 Procesos de Desarrollo - Un enfoque usado para planear, disear, desarrollar,
probar, documentar e implementar un sistema de aplicacin. El proceso puede
utilizar metodologias tales como un ciclo de vida estructurado del desarrollo de
sistemas al menos un prototipo interactivo estructurado.
06 Revisin del Desarrollo de una Aplicacin - Una evaluacin de un sistema
de aplicacin bajo desarrollo, en el cual se consideran materias tales como :
controles apropiados son diseados dentro del sistema; la aplicacin procesar
informacin de una manera completa, exacta y confiable la aplicacin
funcionar de conformidad con las provisiones estatutarias aplicables, y el
sistema se desarrolla en concordancia con el proceso de sistemas de desarrollo
establecido.
DECLARACIN
07 Al conducir una revisin del desarrollo de una aplicacin, el auditor de
Sistemas de Informacin (auditor) deber mantener una actitud y apariencia de
independencia.
08 En el desarrollo de un sistema de Aplicacin, el equipo de proyecto es
responsable de aplicar el proceso de desarrollo de sistemas, que incluye el
diseo e implementacin de controles. El auditor deber ser independiente del
equipo de proyecto. El auditor debera independientemente determinar los
procedimientos a ser aplicados en la ejecucin de la revisin del desarrollo de
una aplicacin. El auditor puede recomendar el control y otros mejoramientos del
sistema, sin perjudicar su independencia.
09 La ejecucin de la revisin del desarrollo de una aplicacin no puede
perjudicar la capacidad del auditor para ejecutar un evaluacin independiente de
la aplicacin despus de su implementacin.
10 La independencia puede ser debilitada si el auditor llega a involucrarse
activamente en el diseo e implementacin del sistema de aplicacin. Por
Ejemplo, si el auditor llega a tomar decisiones como miembro del equipo de
proyecto ( es decir, a tomar decisiones respecto a controles especificos), se

debilita la capacidad del auditor para ejecutar la revisin de una apliacin. Esto
tambin puede perjudicar la capacidad del auditor para ejecutar una evaluacin
independiente del sistema de aplicacin despus de su implementacin.
11 La participacin del auditor como miembro del equipo de proyecto en el
diseo e implementacin de herramientas y tcnicas de auditora (ejemplo,
mdulos de auditora encajados), no perjudica la independencia del auditor.
FECHA EFECTIVA
12
Esta declaracin es efectiva para todas las auditorias de Sistemas de
Informacin a partir del 1 de Julio de 1.989.
DECLARACIONES DEL 1 A 9 SOBRE LOS ESTNDARES AUDITORIA DE
SISTEMAS DE INFORMACIN. Producidos por el concejo de Estndares de
la EDP. Auditors Foundations, Inc.
DECLARACIN No. 3: EJECUCIN DE TRABAJO. Requerimiento de Evidencias
INTRODUCCIN
01 El propsito sobre esta declaracin sobre los Estndares para la Auditoria de
Sistemas de Informacin, es definir la palabra EVIDENCIA, como se utiliz en
el Estndar No. 7 de los Estndares Generales para la auditoria de sistemas
de informacin y direccionar la naturaleza y suficiencia de la evidencia usada en
la auditoria de sistemas de informacin.
Auditora de Sistemas de Informacin como los promulg la E.D.P. Auditor
Foundation y por consiguiente, no reemplaza ninguna parte de ellos.
DECLARACIN
03 El Auditor de Sistemas de Informacin ( auditor) colecciona informacin en
el curso de la ejecucin de una Auditora. La informacin utilizada por el auditor
para satisfacer los objetivos de la auditora es conocido como evidencia de
auditora ( evidencia). La naturaleza de informacin es usada como evidencia
debera ser revelante y confiable, y la informacin debe ser suficiente para
formar una opinin soportar los hallazagos y conclusiones.
04 La evidencia es revelante si est relacionada con los objetivos de la auditora
y tiene una relacin lgica con los hallazgos y conclusiones que se soportan en
ella.
05 La evidencia es confiable si en la opinin del auditor, esta es valida, objetiva

y soportable. Dependiendo del tipo de evidencia reunida, el auditor variar el
grado de confianza de la evidencia. Por ejemplo, la evidencia corroborativa de
una tercera parte independiente es generalmente ms confiable que la
evidencia de la organizacin que se esta auditando. La evidencia fsica
generalmente es ms confiable que las representaciones de un individuo.
06 La naturaleza de evidencia est relacionada con el tipo y lo apropiado que
sea la evidencia material obtenida durante la ejecucin de los procedimientos
de auditora. Son varios los tipos de evidencia que el auditor puede utilizar,
incluyendo la evidencia fsica, evidencia documentara, representaciones y
anlisis. La evidencia fsica puede incluir observaciones de actividades, bienes
y funciones de los sistemas de informacin, tales como un inventario de medios
magnticos en una locacin de almacenamiento OFFSITE, la operacin de un
sistema de seguridad en una instalacin de computadores. La evidencia
documentaria puede incluir resultados de extracciones de datos, registros de
transacciones, listados de programas, facturas y logos de control. La evidencia
tambin puede consistir de representaciones de aquello que se est auditando
tales como a las polticas y procedimientos, flujogramas de Sistemas y
declaraciones escritas u orales. Los resultados de analizar informacin por
medio de comparaciones, valoraciones, y razonamiento pueden ser tambin
utilizadas como evidencia.
07
La evidencia deber ser suficiente para soportar los hallazgos y
conclusiones de la auditora. Si, a juicio del Auditor, la evidencia obtenida no es
suficiente para soportar los hallazgos y conclusiones, el auditor deber obtener
evidencia adicional. Por ejemplo, un listado de programas puede no ser
suficiente evidencia hasta que la evidencia adicional haya sido reunida para
verificar que el listado representa el programa actual en proceso de produccin.
La evidencia suficiente de naturaleza relevante deber ser obtenida para proveer
al auditor con bases razonables para las conclusiones obtenidas. En aquellas
situaciones en donde el auditor cree que la evidencia suficiente no puede ser
obtenida, entonces el auditor debe divulgar este hecho de una manera
consistente con la comunicacin de los resultados de la auditora.
08
Los procedimientos usados para recolectar evidencia pueden variar,
dependiendo de los sistemas de informacin que sean auditadas. Estos
procedimientos pueden incluir averiguaciones, observaciones, inspeccin,
confirmacin, reejecucin pueden ser aplicados por medio de procedimientos de
auditora, manuales tcnicas de auditora con una combinacin de ambos. Por
ejemplo, un sistema que usa totales de control, manuales para balancear
operaciones de entrada de datos, podra suministrar evidencia de los
procedimientos de control utilizados mediante un reporte apropiadamente
reconciliado y comentado. El auditor podra obtener evidencia al revisar y probar
este reporte. Otros sistemas pueden exigir al auditor el uso de diferentes mtodos
para reunir evidencia. Por ejemplo, un registro detallado de transacciones, puede
solamente estar disponible solamente en un formato legible por el computador
que requiere el uso de tcnicas de auditora asistidas con el computador para

obtener evidencia.
09 La evidencia reunida por el auditor deber ser apropiadamente documentada
y organizada para soportar los hallazgos y conclusiones del auditor.
FECHA EFECTIVA
10 Este informe es efectivo para todas las Auditorias de Sistemas de Informacin
desde el 1 de Julio de 1.991.
DECLARACIN DEL 1 A 9 SOBRE ESTNDARES DE AUDITORIA DE
SISTEMAS DE INFORMACIN Producidos por en concejo de Estndares de
las EDP. Auditors Foundation
DECLARACIN No. 4 EJECUCIN DE TRABAJO. El dbito cuidado profesional
INTRODUCCIN
01 El propsito de esta declaracin sobre los Estndares de Auditora de
Sistemas de Informacin es clarificar la expresin DEBIDO CUIDADO
PROFESIONAL como se aplica a la ejecucin de una Auditora que cumple
con el Estndar General No. 8 para la auditora de sistemas de informacin.
Auditora de Sistemas de Informacin promulgados por la E.D.P. Auditors
Foundation y por consiguiente, no reemplaza ninguna parte de ellos.
DECLARACIN
03 El Estndar de debido cuidado es ese nivel de diligencia que una
persona prudente podra ejercitar bajo un grupo de circunstancias dadas El
debido cuidado profesiona aplica al individuo que profesa habilidad para
ejecutar actividad tal como en sistemas de informacin. El debido Cuidado
Profesional le exige al individuo ejercitar esa destreza a un nivel que
comnmente posee los practicantes de esa especialidad.
04
El debido cuidado profesional se aplica para el ejercicio del juicio
profesional en la conduccin del trabajo realizado. El debido cuidado
profesional no implica que el profesional sea infalible, solo que el profesional
enfoque con diligencia los asuntos que requieren un juicio profesional. A pesar
del ejercicio del debido cuidado y juicio profesional, puede ocurrir que una
conclusin incorrecta resulte de una reversin diligente de los hechos y
circunstancias disponibles; por consiguiente el subsecuente descubrimiento de
conclusiones incorrectas no indica por si mismo un inadecuado juicio profesional
falta de diligencia por parte del auditor de Sistemas de Informacin ( auditor).
05 El debido cuidado profesional deber extenderse a cada aspecto de la

auditora, incluyendo la evaluacin del un riesgo de auditora, la formulacin de
los objetivos.
De auditora, el establecimiento del alcance de la auditoria, la seleccin de
pruebas de auditoria y la evaluacin de los resultados de las pruebas. Al hacer
esto, el auditor debera determinar o evaluar.
a. El tipo y nivel de los recursos de auditora necesarios para satisfacer los
objetivos de auditora.
b. La significanca de los riesgos identificados y el impacto potencial de tales
riesgos en la auditoria.
c. La evidencia recolectada durante la auditora.
d. La competencia integridad y conclusiones de otras personas en cuyo trabajo
confa el auditor.
06 Los destinatarios de los reportes de auditora tienen la expectativa de que el
auditor ha ejercido el debido cuidado profesional en todo el curso de la auditora.
El auditor no debera aceptar un empleo a menos que la adecuada capacidad,
conocimientos y otros recursos estn disponibles para completar el trabajo de la
manera esperada de un profesional.
07 Se espera que el auditor conduzca la auditora con diligencia adhiriendose a
los estndares profesionales. El auditor debera divulgar las circunstancias sobre
cualquier incumplimiento con los estndares
profesionales de manera
consistente con la comunicacin de los resultados de Auditora.
FECHA EFECTIVA
08 Esta declaracin se hace efectiva para todas las auditorias de Sistemas de
Informacin desde el 1 de Julio de 1.991.
DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE
SISTEMAS DE INFORMACIN: Producidos por el concejo de Estndares de
la EDP. Auditors Foundation.
DECLARACIN No. 5 EJECUCIN DE TRABAJO. El uso de valoracin de
riesgos en la Planeacin de la Auditora.
INTRODUCCIN
01 El propsito de estas declaraciones sobre los Estndares para la Auditora de
Sistemas de Informacin es describir la evaluacin de los riesgos de acuerdo con
los Estndares Generales Nos. 6 y 8 de los Estndares Generales para auditora

de sistemas de informacin.
auditora de sistemas de informacin promulgados por la E.D.P. Auditors
Foundations, Inc. Y por consiguiente no reemplaza ninguna parte de ellos.
DEFINICIONES
03
Esta definiciones sirven para clasificar los trminos usados en esta
declaracin.
04 Riesgos - La posibilidad de ocurrencia de un acto evento que podra tener
un efecto adverso sobre la organizacin y sus sistemas de informacin.
05 Exposicin - El potencial de prdida para un rea a causa de la ocurrencia de
un evento adverso. La inhabilidad para procesar las aplicaciones computarizadas
durante un periodo de tiempo es una exposicin que podra resultar del incendio
del centro de datos. La exposicin puede reducirse mediante la implementacin
de controles apropiadamente diseados. Por ejemplo, una alarma de incendio no
puede provenir el fuego, pero se establece para reducir los daos del incendio.
06 Valoraciones del Riesgo - Un proceso utilizado para identificar y evaluar los
riesgos y su impacto potencial.
DECLARACIN
07 El auditor de Sistemas de Informacin ( auditor), deber utilizar tcnicas de
valoracin del Riesgo, en el desarrollo general de auditora y en la planeacin
de auditorias especificas. La valoracin del riesgo, en combinacin con otras
tcnicas de auditora, facilitan las decisiones de planeacin tales como:
a) La naturaleza extensin y oportunidad de los procedimientos de auditora
b) Las reas o funciones de negocios que sern auditadas.
c) La cantidad de tiempo y recursos que sern asignados para una auditora
08 El auditor deber documentar la tcnica metodologa de valoracin del
riesgo utilizado para una auditora especifica. La documentacin debera incluir.
a) Una descripcin de la metodologa utilizada por la valoracin del riesgo.
b) La identificacin de expresiones significativas y los riesgos correspondientes
c) Los riesgos y exposiciones sobre los que enfatizar la auditora.
d) La evidencia utilizada para soportar la valoracin del riesgo del Auditor.
09 No puede esperarse que una nica metodoliga de valoracin del riesgo sea
apropiada para todas las situaciones. Las condiciones que afectan las auditorias,
pueden cambiar a medida que pase el tiempo. Peridicamente el auditor deber
reevaluar lo apropiado de las metodologas escogidas en la valoracin del riesgo.
FECHA EFECTIVA
10
Esta declaracin es efectiva para todas las Auditorias de Sistemas de
Informacin a partir del 1 de Noviembre de 1.992.
DECLARACIN No. 6 Ejecucin de Trabajo. Documentacin de la Auditora
INTRODUCCIN
01 El propsito de esta declaracin sobre los Estndares de Auditoria de
Sistemas de Informacin (auditor), deber preparar y retener para soportar los
resultados de la Auditora.
02 Esta declaracin es un suplemento, de los Estndares Generales para la
auditora de sistemas de informacin promulgados por la EDPAF, y por
consiguiente no reemplaza ninguna parte de ellos.
DECLARACIN
03
La documentacin de la Auditora de Sistemas
de Informacin
(documentacin) es el registro del trabajo de Auditora y la evidencia que soporta
los hallazgos y conclusiones del Auditor. La documentacin demuestra la
extensin a la cual el auditor cumpli con los Estndares de Sistemas de
Informacin.
04 La documentacin debera incluir, como mnimo, un registro de:
a) La planeacin y preparacin del alcance y objetivos de la Auditora.
b) El programa de auditora
c) Los pasos de auditora ejecutados y reunidos.
d) Los hallazgos, conclusiones y recomendaciones de Auditora
e) Cualquier reporte producido como resultado del trabajo de Auditores.
f) Las respuestas del auditado a las recomendaciones del Auditor.

05 La extensin de la documentacin del auditor depender de las necesidades
para una auditora particular y deber incluir:
a) El entendimiento del auditor sobre el rea que fue auditada y su ambiente.
b) El entendimiento del Auditor sobre los procesamiento de sistemas de Informacin y

el ambiente de control interno.
c) El preparador y la fuente de la documentacin de Auditora y la fecha de su

elaboracin.
d) La evidencia de revisin y supervisin del trabajo de Auditora.
06 La documentacin debera incluir informacin de auditora que es exigida
por ley, por las regulaciones del gobierno o cualquier estndar aplicable.
07 Las polticas y procedimientos que en efecto pueden estar para asegurar
custoda apropiada y retencin de la documentacin que soportan hallazgos y
conclusiones de auditora, por un tiempo prudente para satisfacer los
requerimientos legales, profesionales y organizacionales.
08 La documentacin debera ser organizada almacenada, asegurada de una
manera apropiada para el medio en el cual se retiene.
FECHA EFECTIVA
09 Esta declaracin es efectiva para todas las Auditorias de Sistemas de
Informacin a a partir del 1 de Noviembre de 1.992
DECLARACIN No. 7: REPORTES DE AUDITORIA
INTRODUCCIN
01 El propsito de esta declaracin sobre los Estndares de Auditoria de
Sistemas de Informacin es describir los requerimientos para preparar y producir
un reporte y Sistemas de Informacin (reporte), de acuerdo con los Estndares
Generales No. 9 y 10 para la Auditora de Sistemas de Informacin.
02 Esta declaracin es un suplemento, de los Estndares Generales para la

auditora de sistemas de informacin promulgados por la E.D.P. Auditors
Foundation y por consiguiente no reemplaza ninguna parte de ellos.
DECLARACIN
03 El reporte es el medio formal de comunicacin de los objetivos de la
auditora del cuerpo de estndares de auditora utilizados para el alcance de la
auditora y los hallazgos y conclusiones. Al preparar el reporte, el auditor deber
considerar las necesidades de los destinatarios previsto, los cuales pueden
incluir al auditado, La administracin ejecutiva, el concejo de directores su
comits de auditora y el gobierno.
04 El reporte deber incluir una declaracin de los objetivos de la auditora para
identificar que se propuso realizar la auditora. Si, en la opinin del auditor, algn
objetivo de la auditora establecido en el reporte, no fue satisfecho, este hecho
deber ser reevaluado en el reporte.
05 El reporte deber identificar los estndares de la organizacin profesionales
y del gobierno utilizados ( es decir en los Estndares Generales para la
Auditora de Sistemas de la EDPAF), en ejecucin de la Auditora. El reporte
deber tambin identificar las excepciones significativas para el uso de esos
estndares, las razones para no usarlos y cuando sea apropiado, el impacto
potencial sobre los resultados de la Auditora.
06 El reporte deber inclur una declaracin de alcance de la auditora que
describe la naturaleza y extensin del trabajo ejecutado. La declaracin del
alcance, debera identificar el rea funcional de auditora, el periodo de auditora
y los sistemas de informacin aplicaciones los ambientes de procesamiento
auditados. El reporte debera identificar circunstancias de limitacin de alcance,
en la opinin del auditor no se completaron los procedimientos pruebas para
satisfacer los estndares o cuando se impusieron restricciones sobre el trabajo de
la auditora por parte de lo auditado.
07 El reporte debera incluir todos los hallazgos importantes de la auditora.
Cuando un hallazgo requiere explicacin el auditor puede describir la condicin
y el criterio usado para identificar el hallazgo. El auditor puede tambin identificar
los criterios organizacionales y profesionales y del gobierno aplicados (e.g. los
Objetivos de control de la EDPAF, al escribir la causa de la condicin y su
efecto, y proporcionar recomendaciones para su mejoramiento.
08 El reporte debera expresar una conclusin que es la evaluacin del auditor
sobre el rea auditada. La conclusin que es la evaluacin total mltiples
evaluaciones relaciondas con los objetivos especficos de la auditora. El reporte
deber tambin describir cualquier excepcin calificacin importante de las
conclusiones.
09
El formato del reporte deber reflejar en una presentacin lgica y
organizada . El reporte deber contener suficiente informacin para que sea
comprendida por los destinatarios y acciones correctivas.
10 El reporte deber producirse oportunamente para asegurar una pronta accin
correctiva. Cuando sea apropiado, el auditor puede comunicar los hallazgos
importantes a las personas apropiadas , antes de la produccin del reporte. La
comunicacin anticipada de los hallazgos significativos no debera alterar la
intensin y contenido del reporte.
11 El reporte debera identificar al auditado e indicar la fecha de su emisin.
Cuando sea apropiado, el reporte deber especificar que este es nicamente
para informacin y uso de las partes intersadas, tales como el auditado, el
concejo de directores, administracin y otras partes interesadas fuera de la
organizacin ( e.g. una agencia del gobierno). El reporte deber tambin
establecer cualquier restriccin sobre su distribucin.
FECHA EFECTIVA
12
Esta declaracin es efectiva para todas alas auditorias de Sistemas de
Informacin a partir de Septiembre 1 de 1.993.
DECLARACIN No. 8: EJECUCION DE TRABAJO. Consideracin de
Auditora para irregularidades
INTRODUCCIN
01
El propsito de esta declaracin sobre los Estndares de Auditora de
Informacin es describir los requerimientos de los Estndares Generales para la
Auditora de Sistemas de Informacin Nos. 6, 7, y 8.
Auditora de Sistemas de Informacin promulgados por la EDPAF y por
DEFINICIN
03 Las irregularidades, para el propsito de esta declaracin, son violaciones
intencionales de las polticas administrativas establecidas u omisiones de
informacin del rea bajo
una auditora o de organizacin. Algunas
irregularidades pueden
ser
consideradas como actividades fraudulentas
dependen de la definicin legal de fraude en la jurisdiccin perteneciente a la
auditora. Las irregularidades incluye, pero no estn limitadas a engaos
deliberados de controles con la intencin de encubrir la perpetuacin de

irregularidades, fraude, uso no autorizado de activos y ayudas para encubrir
esos tipos de actividades.
DECLARACIN
04 La Administracin tiene la responsabilidad de establecer un efectivo sistema
de controles internos diseados e implementados para proporcionar seguridad
razonables de la prevencin y deteccin de irregularidades.
05 El auditor de Sistemas de Informacin ( auditor) deber evaluar el riesgo de
ocurrencia de irregularidades conectadas con el rea bajo auditora. Al preparar
esta evaluacin , el auditor deber considerar factores tales como:
a) Caractersticas organizacionales. ( e.g. tica corporativa, estructura
organizacional). Lo adecuada que es la supervisin compensacin y estructura
de recompensa).
b) Los tipos de activos que posee o servicios ofrecidos y su suceptibilidad a

irregularidades.
c) El sistema de controles internos
d) Regulaciones y requerimientos legales aplicables.
06 Basados en la valoracin del riesgo, el auditor tiene la responsabilidad de
disear y ejecutar pruebas de auditora que puedan ser razonablemente
apropiadas
para detectar irregularidades que pudieran
tener impacto
significativo en el rea de auditora o en la organizacin.
07 Si la evidencia indica que una irregularidad podra involucrar un acto ilegal,
el auditor debera recomendar que la administracin busque asesora jurdica o
debera buscar directamente la asesora jurdica.
08 Una auditora no puedo garantizar que las irregularidades sern detectadas
aun cuando una auditora sea apropiadamente planeada y ejecutada, las
irregularidades podran no ser detectadas ( e.g. cuando hay confabulacin
entre empleados, entre empleado y otros externos, la administracin se
involucra en las irregularidades).
09 Si las irregularidades han sido detectadas, el auditor deber evaluar el
impacto de estas actividades sobre los objetivos de auditora y sobre la
confiabilidad de la evidencia recolectada. Adems, el auditor debe considerar si
contina la auditora cuando.
a)Elimcto de las irregularidades es tan significativa que no puede obtenerse
evidencia de auditora suficiente y confiable.
b) La evidencia de auditora sugiere que la administracin particip en

irregularidades. En estas situaciones, el auditor debe tambin considerar los
requerimientos apropiados para el reporte.
10 La deteccin de irregularidades deber comunicarse a las personas apropiadas en
la organizacin de una manera oportuna. La notificacin debe dirigirse a nivel
administrativo superior al que se sospecha que ocurrieron adems las irregularidades
debern reportarse al consejo de directores, al comit de auditora del consejo o al un
cuerpo equivalente, excepto por cosas que son claramente insignificantes. Adems de
esto la auditora puede ser requerida para soportar actividades fraudalentas a las
organizaciones externas tales como una agencia gubernamental de vigilancia.
FECHA EFECTIVA
11 Esta declaracin es efectiva para todas las Auditorias de Sistemas de Informacin a partir del 1
de Septiembre de 1.993

DECLARACIN No. 9: EJECUCION DE TRABAJO. Uso
Sofware de Auditora.
Herramientas de
INTRODUCCIN
01
El propsito de esta declaracin sobre los Estndares de Auditora de
Informacin es definir las responsabilidades del Auditor
de Sistemas de
Informacin ( auditor) en el control del desarrollo integridad y uso de las
herramientas Software de Auditora. La declaracin describe los requerimientos
de los Estndares Generales para la Auditora de Sistemas de Informacin Nos.
6, 7, y 8.
Auditora de Sistemas de Informacin como los promulgo la ( EDPAF) y por
DEFINICIN
03 Las herramientas de Software de auditora son programas de computador
que pueden ser utilizados para proporcionar informacin para el uso de
auditora. Ejemplos de herramientas para el Software de auditora usados para
propsitos de la auditora incluyen:
a) Software encajado en los sistemas que estn en produccin.
b) Software escrito adquirido para propsitos de auditora.
c) Softftware de utilidad (utilities).

DECLARACIN
04 El auditor deber obtener razonable seguridad de la integridad y utilidad de
la herramienta en Software a travs de la apropiada planeacin . diseo prueba
y reversin de la documentacin . Estos deber realizarse antes que la
confianza sea dada a la herramienta de software de auditora.
05 Cuando se usa una herramienta software de auditora para tener acceso a
los datos de produccin , el auditor deber seguir pasos apropiados para
proteger la integridad del Sistema de Informacin y de los datos.
06 Las herramientas de software de auditora pueden utilizarse para extraer
datos sensitivos que debern ser de uso confidencial. El auditor deber
salvaguardar los datos extrados con un nivel apropiado de confidencialidad y
seguridad.
07
El auditor deber usar y documentar los resultados de procedimientos
apropiados para garantizar la integridad, confiabilidad y seguridad de la
herramienta de software de auditora. Por ejemplo esto podra incluir una
revisin del programa de mantenimiento y controles de cambios de programas
sobre software de auditora encajado para determinar que solamente algunos
cambios autorizados se hicieron a la herramienta de software de auditora.
08 El auditor deber evaluar el impacto que los cambios a los sistemas en
produccin que pudo tener en el uso de el software de auditora. Al hacer esto,
el auditor debe considerar el impacto de esos cambios en la integridad y la
utilidad de la herramienta de auditora, as como sobre integridad de los datos
usados por el auditor.
09 Cuando la herramienta del software de auditora reside en que no esta bajo
en control del auditor, un apropiado nivel de control debe efectuarse para
identificar cambios en la herramienta de software de auditora. Cundo una
herramienta de software de auditora. Cuando una herramienta de software de
auditora es cambiada , el auditor debe obtener seguridad de su integridad y
utilidad a travs de una apropiada planeacin, diseo, prueba y revisin de la
documentacin antes de dar confianza a la herramienta de software de auditora
FECHA EFECTIVA
10 Esta declaracin es efectiva para todas las Auditorias
informacin a partir del 1 de Julio de 1.994
de Sistemas de

Estándares de Auditoria de Sistemas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Estándares de Auditoria de Sistemas

Cargado por

Copyright:

Formatos disponibles

ESTNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE

Declaracin No. 2 Independencia

Declaraciones No. 1 Independencia

Declaracin No. 3 Ejecucin del

Declaracin No. 6 Ejecucin del

Declaracin No. 9 Ejecucin del

de los sistemas automatizados de procesamiento de informacin, incluyendo

Estndar General No. 4 Habilidades y Conocimiento.

Estndar General No. 7. Requerimiento de Evidencia

informar a la administracin de la auditora sobre esta percepcin lo ms pronto

02 Esta declaracin es un suplemento de los Estndares Generales para la

proyecto ( es decir, a tomar decisiones respecto a controles especificos), se

05 La evidencia es confiable si en la opinin del auditor, esta es valida, objetiva

que requiere el uso de tcnicas de auditora asistidas con el computador para

05 El debido cuidado profesional deber extenderse a cada aspecto de la

los Estndares Generales Nos. 6 y 8 de los Estndares Generales para auditora

d) La evidencia utilizada para soportar la valoracin del riesgo del Auditor.

f) Las respuestas del auditado a las recomendaciones del Auditor.

b) El entendimiento del Auditor sobre los procesamiento de sistemas de Informacin y

c) El preparador y la fuente de la documentacin de Auditora y la fecha de su

02 Esta declaracin es un suplemento, de los Estndares Generales para la

deliberados de controles con la intencin de encubrir la perpetuacin de

b) Los tipos de activos que posee o servicios ofrecidos y su suceptibilidad a

b) La evidencia de auditora sugiere que la administracin particip en

DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE

c) Softftware de utilidad (utilities).

También podría gustarte