ESTÁNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACIÓN

Producido por el concejo de estándares de la EDP Auditors Foundatión, Inc.

CONTENIDO

1. Introducción

2. Objetivo

3. Declaraciones No. 1 Independencia

( Actitud y Apariencia)

4. Declaración No. 2 Independencia

(Participación en el proc. De Desarrollo

de Sistemas).

5. Declaración No. 3 Ejecución del

Trabajo (Requerimiento de Evidencia)

6. Declaración No. 4 Ejecución del

Trabajo(EL debido cuidado profesional)

7. Declaración No. 5 Ejecución del

trabajo (El uso de valorización de riesgos

en la planeación de la Auditoría)

8. Declaración No. 6 Ejecución del

trabajo ( Documentación de la Auditoría)

9. Declaración No. 7 Reportes de

Auditoría

10. Declaración No. 8 Ejecución de

Trabajo ( consideraciones de Auditoría

 para irregularidades).

11. Declaración No. 9 Ejecución del

Trabajo (Uso de Herramientas de Software

de auditoría).

INTRODUCCIÓN

La E.D.P. Auditors Fundatión, Inc. Determinó que la naturaleza de la Auditoría de Sistemas de

Información, y las habilidades necesarias para ejecutar tales auditorias requiere el desarrollo y
promulgación de Estándares de Auditoria de Sistemas de Información.

La Auditoria de Sistemas de Información está definida como cualquier auditoría que abarca la
revisión de y evaluación de todos los aspectos ( ó alguna porción) de los sistemas
automatizados de procesamiento de información, incluyendo procedimientos relacionados
no automáticos, y las interfaces entre ellos.

Los Estándares promulgados por la E.D.P. Auditors Fundatión Inc, son aplicables al trabajo de
la Auditoria de Sistemas de Información ejecutado por miembros de la Asociación de
Auditores de la E.D.P. y por los titulares de la designación CISA. ( Certified, Informatión
Systems Auditor).

Más antecedentes concernientes a la Asociación de Auditores E.D.P. Inc, la Fundación de

Auditores E.D.P., y su programa de Estándares de Auditoria de Sistemas de Información, están
contenidos en el ^Prefacio de Estándares Generales para la Auditoria de Sistemas de
Información y las declaraciones sobre Estándares de Auditoria de Sistemas de Información.

OBJETIVOS

Estos Estándares tienen como objetivo informar a los auditores el nivel del mínimo de
desempeño aceptable, necesario para satisfacer las responsabilidades profesionales
definidas en el Código de Ética Profesional e informar a la administración y a otras partes
interesadas sobre las expectativas de la profesión concernientes al trabajo de sus practicantes.
(*) Electronic Data Processing.

ESTÁNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

Los diez (10) Estándares siguientes son aplicables para la auditoria de Sistemas de
Información , como se definió anteriormente.

INDEPENDENCIA:

Estándar General No. 1 Actitud y Apariencia.

En todos los asuntos relacionados con auditoría, El Auditor de Sistemas de Información.

Deberá ser independiente del auditado en actitud y apariencia.

Estándar General No. 2. Relación Organizacional.

La función de auditoría de sistemas de información deberá ser lo suficientemente

independiente del área que está auditando, para permitir la obtención del objetivo de la
Auditoría.

Estándar General No. 3. Código de Ética Profesional

El auditor de Sistemas deberá adherirse al Código de Ética Profesional de la Fundación de

Auditores de E.D.P.

COMPETENCIA TÉCNICA

Estándar General No. 4 Habilidades y Conocimiento.

El auditor de Sistemas de Información deberá ser técnicamente competente, y poseerá las
capacidades y conocimientos necesarios para desempeñar su trabajo de Auditor.

Estándar General No. 5. Educación Profesional Continua.

El auditor de Sistemas de Información deberá mantener competencia técnica mediante una

apropiada educación continua.

EJECUCIÓN DE TRABAJO.

Estándar General No. 6. Planeación y Supervisión.

Las Auditorias de Sistemas de Información deben ser planeadas y supervisadas para asegurar
que los objetivos de la auditoría se alcanzan y se satisface el cumplimiento de estos
estándares.

Estándar General No. 7. Requerimiento de Evidencia

Durante el curso de la auditoría, el auditor de Sistemas de Información deberá obtener

evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados.

Estándar General No. 8. Debido cuidado Profesional.

El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del
Auditor de Sistemas de Información, incluyendo la observancia de auditoria aplicables.

REPORTE

Estándar General No. 9. Reporte del Alcance de la Auditoría.

En la preparación de reportes, el auditor de sistemas de información, deberá plantear los
objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensión del trabajo de
auditoría ejecutado.

Estándar General No. 10. Reporte de hallazgos y conclusiones.

En la preparación de reportes, el auditor de sistemas de información deberá plantear los

hallazgos y conclusiones relacionados con el trabajo de auditoría ejecutado, al igual que
cualquier excepción ó calificación que el auditor tenga con respecto a la auditoría.

FECHA EFECTIVA

Estos estándares son efectivos para todas las Auditorías de Sistemas de Información a partir
de Enero 1 de 1.988.

DECLARACION DEL1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN Producidos por el Concejo de Estándares

de las E D P Auditors Foundatión, Inc.

DECLARACIÓN No. 1: INDEPENDENCIA, Actitud y apariencia en la Relación Organizacional.

INTRODUCCIÓN

01) El propósito de esta declaración sobre los Estándares para la Auditoría de Sistemas de
Información es expandir el significado de “ independencia” con relación a los Est Estándares
de la Auditoría de Sistemas de Información.

02) Esta declaración es un suplemento de los Estándares Generales para la Auditoría de

Sistemas de Información promulgados por la EDP Auditors Foundation, y por consiguiente
no reemplazara ninguna parte de ellos.
DECLARACIÓN

03) El Auditor de Sistemas de Información ( auditor) tiene la obligación de asumir una

actitud de independencia hacia la auditoría. Una actitud de independencia está definida como
un punto de vista imparcial que permite al auditor actuar objetivamente y con imparcialidad
ó justicia.

04) El auditor no debería participar en una auditoría si la independencia del auditor es

perjudicada. Por ejemplo, la independencia del auditor puede ser perjudicada si el auditor,
tiene alguna expectativa de ganancia financiera u otra ventaja personal debido a su influencia
sobre los resultados de la auditoría. Sin embargo, la independencia del auditor no
necesariamente podría ser perjudicada como resultado de la ejecución de una auditoría de
sistemas de información donde las transacciones personales ocurren en el curso normal de
negocios.

05) El auditor debería estar enterado que la apariencia de independencia puede ser
influenciada por las acciones ó asociaciones del auditor. Las percepciones de la
independencia del auditor, pueden afectar la aceptación de su trabajo. Si el auditor llega a
enterarse que una situación o relación es percibida como perjudicial para la independencia
del auditor, el auditor podrá informar a la administración de la auditoría sobre esta
percepción lo más pronto posible.

06) El auditor debería tener una independencia organizacional del área que está siendo
auditada. Esto asegura que la auditoria sea objetiva e imparcial. La independencia se debilita
si el auditor tiene control directo sobre el área que esta siendo auditada. La independencia
del auditor también puede ser perjudicada si el auditor tiene la responsabilidad directa de
reportar directamente a los individuos que tienen control directo del área que esta siendo
auditada.

07) En circunstancias donde la independencia es perjudicada y el auditor continua siendo

asociado con la auditoria, los factores que rodean el problema de la independencia del
auditor deberían ser divulgados. Esta divulgación debería hacerse de manera consistente
con la comunicación del auditor y la distribución de los resultados de la auditoría.

08) La independencia debería ser continuamente valorada por el auditor y la adminstración.

Esta valoración debería considerar factores tales como cambios en relaciones personales,
intereses financieros y asignaciones y responsabilidades del trabajo anterior.
09) El trabajo y reporte del auditor debería representar una descarga de responsabilidades
profesionales que ejemplifiquen la integridad y objetividad. Un auditor debe evitar situaciones
que podrían perjudicar su independencia.

FECHA EFECTIVA

10) Este informe es efectivo para todos los auditores de Sistemas de Información a partir del
1 de Julio de 1.989.

DECLARACIONES 1 A 9 SOBRE LOS ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN. Producidos por el Concejo de Estándares de la EDP Auditors Foundation

DECLARACIÓN No. 2: INDEPENDENCIA. Participación en el proceso de Desarrollo de Sistemas

INTRODUCCIÓN

01 El propósito de esta declaración sobre Estándares de Auditoria de sistemas de

información es profundizar sobre el significado de la independencia del auditor tal como se
relaciona con la revisión de sistemas en desarrollo. Esta declaración esta relacionado con los
Estándares Generales No. 1 y 2 de los Estándares Generales para la Auditoria de Sistemas de
Información.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de

Sistemas de Información como los promulgó la EDP. Auditors Foundation, y por consiguiente
no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Las siguientes definiciones son proporcionadas para clarificar la utilización de la

terminología dentro de esta declaración.
04 Sistema de Aplicación- Un grupo integrado de programas de computador diseñados para
realizar una función particular que tiene actividades especificas de entrada (imput)
procesamiento y salida (output) (ejemplos: contabilidad general, planeación de recursos de
manufactura y administración).

05 Procesos de Desarrollo - Un enfoque usado para planear, diseñar, desarrollar, probar,

documentar e implementar un sistema de aplicación. El proceso puede utilizar metodologias
tales como un ciclo de vida estructurado del desarrollo de sistemas ó al menos un prototipo
interactivo estructurado.

06 Revisión del Desarrollo de una Aplicación - Una evaluación de un sistema de aplicación

bajo desarrollo, en el cual se consideran materias tales como : controles apropiados son
diseñados dentro del sistema; la aplicación procesará información de una manera completa,
exacta y confiable la aplicación funcionará de conformidad con las provisiones estatutarias
aplicables, y el sistema se desarrolla en concordancia con el proceso de sistemas de
desarrollo establecido.

DECLARACIÓN

07 Al conducir una revisión del desarrollo de una aplicación, el auditor de Sistemas de

Información (auditor) deberá mantener una actitud y apariencia de independencia.

08 En el desarrollo de un sistema de Aplicación, el equipo de proyecto es responsable de

aplicar el proceso de desarrollo de sistemas, que incluye el diseño e implementación de
controles. El auditor deberá ser independiente del equipo de proyecto. El auditor debería
independientemente determinar los procedimientos a ser aplicados en la ejecución de la
revisión del desarrollo de una aplicación. El auditor puede recomendar el control y otros
mejoramientos del sistema, sin perjudicar su independencia.

09 La ejecución de la revisión del desarrollo de una aplicación no puede perjudicar la

capacidad del auditor para ejecutar un evaluación independiente de la aplicación después de
su implementación.

10 La independencia puede ser debilitada si el auditor llega a involucrarse activamente en el

diseño e implementación del sistema de aplicación. Por Ejemplo, si el auditor llega a tomar
decisiones como miembro del equipo de proyecto ( es decir, a tomar decisiones respecto a
controles especificos), se debilita la capacidad del auditor para ejecutar la revisión de una
apliación. Esto también puede perjudicar la capacidad del auditor para ejecutar una
evaluación independiente del sistema de aplicación después de su implementación.

11 La participación del auditor como miembro del equipo de proyecto en el diseño e

implementación de herramientas y técnicas de auditoría (ejemplo, módulos de auditoría
encajados), no perjudica la independencia del auditor.

FECHA EFECTIVA

12 Esta declaración es efectiva para todas las auditorias de Sistemas de Información a partir
del 1 de Julio de 1.989.

DECLARACIONES DEL 1 A 9 SOBRE LOS ESTÁNDARES AUDITORIA DE SISTEMAS DE

INFORMACIÓN. Producidos por el concejo de Estándares de la EDP. Auditors Foundations, Inc.

DECLARACIÓN No. 3: EJECUCIÓN DE TRABAJO. Requerimiento de Evidencias

INTRODUCCIÓN

01 El propósito sobre esta declaración sobre los Estándares para la Auditoria de Sistemas de
Información, es definir la palabra “ EVIDENCIA”, como se utilizó en el Estándar No. 7 de los
Estándares Generales para la auditoria de sistemas de información y direccionar la naturaleza
y suficiencia de la evidencia usada en la auditoria de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de

Sistemas de Información como los promulgó la E.D.P. Auditor Foundation y por consiguiente,
no reemplaza ninguna parte de ellos.

DECLARACIÓN
03 El Auditor de Sistemas de Información ( auditor) colecciona información en el curso de la
ejecución de una Auditoría. La información utilizada por el auditor para satisfacer los objetivos
de la auditoría es conocido como evidencia de auditoría ( evidencia). La naturaleza de
información es usada como evidencia debería ser revelante y confiable, y la información
debe ser suficiente para formar una opinión ó soportar los hallazagos y conclusiones.

04 La evidencia es revelante si está relacionada con los objetivos de la auditoría y tiene una
relación lógica con los hallazgos y conclusiones que se soportan en ella.

05 La evidencia es confiable si en la opinión del auditor, esta es valida, objetiva y soportable.

Dependiendo del tipo de evidencia reunida, el auditor variará el grado de confianza de la
evidencia. Por ejemplo, la evidencia corroborativa de una tercera parte independiente es
generalmente más confiable que la evidencia de la organización que se esta auditando. La
evidencia física generalmente es más confiable que las representaciones de un individuo.

06 La naturaleza de evidencia está relacionada con el tipo y lo apropiado que sea la

evidencia material obtenida durante la ejecución de los procedimientos de auditoría. Son
varios los tipos de evidencia que el auditor puede utilizar, incluyendo la evidencia física,
evidencia documentaría, representaciones y análisis. La evidencia física puede incluir
observaciones de actividades, bienes y funciones de los sistemas de información, tales como
un inventario de medios magnéticos en una locación de almacenamiento OFFSITE, ó la
operación de un sistema de seguridad en una instalación de computadores. La evidencia
documentaria puede incluir resultados de extracciones de datos, registros de transacciones,
listados de programas, facturas y logos de control. La evidencia también puede consistir de
representaciones de aquello que se esté auditando tales como a las políticas y
procedimientos, flujogramas de Sistemas y declaraciones escritas u orales. Los resultados de
analizar información por medio de comparaciones, valoraciones, y razonamiento pueden ser
también utilizadas como evidencia.

07 La evidencia deberá ser suficiente para soportar los hallazgos y conclusiones de la

auditoría. Si, a juicio del Auditor, la evidencia obtenida no es suficiente para soportar los
hallazgos y conclusiones, el auditor deberá obtener evidencia adicional. Por ejemplo, un
listado de programas puede no ser suficiente evidencia hasta que la evidencia adicional
haya sido reunida para verificar que el listado representa el programa actual en proceso de
producción. La evidencia suficiente de naturaleza relevante deberá ser obtenida para proveer
al auditor con bases razonables para las conclusiones obtenidas. En aquellas situaciones en
donde el auditor cree que la evidencia suficiente no puede ser obtenida, entonces el auditor
debe divulgar este hecho de una manera consistente con la comunicación de los resultados de
la auditoría.
08 Los procedimientos usados para recolectar evidencia pueden variar, dependiendo de los
sistemas de información que sean auditadas. Estos procedimientos pueden incluir
averiguaciones, observaciones, inspección, confirmación, reejecución pueden ser aplicados
por medio de procedimientos de auditoría, manuales técnicas de auditoría con una
combinación de ambos. Por ejemplo, un sistema que usa totales de control, manuales para
balancear operaciones de entrada de datos, podría suministrar evidencia de los
procedimientos de control utilizados mediante un reporte apropiadamente reconciliado y
comentado. El auditor podría obtener evidencia al revisar y probar este reporte. Otros
sistemas pueden exigir al auditor el uso de diferentes métodos para reunir evidencia. Por
ejemplo, un registro detallado de transacciones, puede solamente estar disponible solamente
en un formato legible por el computador que requiere el uso de técnicas de auditoría
asistidas con el computador para obtener evidencia.

09 La evidencia reunida por el auditor deberá ser apropiadamente documentada y organizada

para soportar los hallazgos y conclusiones del auditor.

FECHA EFECTIVA

10 Este informe es efectivo para todas las Auditorias de Sistemas de Información desde el 1
de Julio de 1.991.

DECLARACIÓN DEL 1 A 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN

Producidos por en concejo de Estándares de las EDP. Auditors Foundation

DECLARACIÓN No. 4 EJECUCIÓN DE TRABAJO. El débito cuidado profesional

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de Sistemas de

Información es clarificar la expresión “ DEBIDO CUIDADO PROFESIONAL” como se aplica a la
ejecución de una Auditoría que cumple con el Estándar General No. 8 para la auditoría de
sistemas de información.
02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de
Sistemas de Información promulgados por la E.D.P. Auditors Foundation y por consiguiente,
no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El Estándar de “ debido cuidado “ es ese nivel de diligencia que una persona prudente
podría ejercitar bajo un grupo de circunstancias dadas “ El debido cuidado profesiona” aplica
al individuo que profesa habilidad para ejecutar actividad tal como en sistemas de
información. El debido Cuidado Profesional le exige al individuo ejercitar esa destreza a un
nivel que comúnmente posee los practicantes de esa especialidad.

04 El debido cuidado profesional se aplica para el ejercicio del juicio profesional en la

conducción del trabajo realizado. El debido cuidado profesional no implica que el profesional
sea infalible, solo que el profesional enfoque con diligencia los asuntos que requieren un
juicio profesional. A pesar del ejercicio del debido cuidado y juicio profesional, puede ocurrir
que una conclusión incorrecta resulte de una reversión diligente de los hechos y circunstancias
disponibles; por consiguiente el subsecuente descubrimiento de conclusiones incorrectas no
indica por si mismo un inadecuado juicio profesional ó falta de diligencia por parte del auditor
de Sistemas de Información ( auditor).

05 El debido cuidado profesional deberá extenderse a cada aspecto de la auditoría,

incluyendo la evaluación del un riesgo de auditoría, la formulación de los objetivos.

De auditoría, el establecimiento del alcance de la auditoria, la selección de pruebas de

auditoria y la evaluación de los resultados de las pruebas. Al hacer esto, el auditor debería
determinar o evaluar.

a. El tipo y nivel de los recursos de auditoría necesarios para satisfacer los objetivos de
auditoría.

b. La significancía de los riesgos identificados y el impacto potencial de tales riesgos en la

auditoria.

c. La evidencia recolectada durante la auditoría.

d. La competencia integridad y conclusiones de otras personas en cuyo trabajo confía el
auditor.

06 Los destinatarios de los reportes de auditoría tienen la expectativa de que el auditor ha

ejercido el debido cuidado profesional en todo el curso de la auditoría. El auditor no debería
aceptar un empleo a menos que la adecuada capacidad, conocimientos y otros recursos estén
disponibles para completar el trabajo de la manera esperada de un profesional.

07 Se espera que el auditor conduzca la auditoría con diligencia adhiriendose a los estándares
profesionales. El auditor debería divulgar las circunstancias sobre cualquier incumplimiento
con los estándares profesionales de manera consistente con la comunicación de los
resultados de Auditoría.

FECHA EFECTIVA

08 Esta declaración se hace efectiva para todas las auditorias de Sistemas de Información
desde el 1 de Julio de 1.991.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN: Producidos por el concejo de Estándares de la EDP. Auditors Foundation.

DECLARACIÓN No. 5 EJECUCIÓN DE TRABAJO. El uso de valoración de riesgos en la Planeación

de la Auditoría.

INTRODUCCIÓN

01 El propósito de estas declaraciones sobre los Estándares para la Auditoría de Sistemas de

Información es describir la evaluación de los riesgos de acuerdo con los Estándares Generales
Nos. 6 y 8 de los Estándares Generales para auditoría de sistemas de información.
02 Esta declaración es un suplemento de los Estándares Generales para la auditoría de
sistemas de información promulgados por la E.D.P. Auditors Foundations, Inc. Y por
consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Esta definiciones sirven para clasificar los términos usados en esta declaración.

04 Riesgos - La posibilidad de ocurrencia de un acto ó evento que podría tener un efecto

adverso sobre la organización y sus sistemas de información.

05 Exposición - El potencial de pérdida para un área a causa de la ocurrencia de un evento

adverso. La inhabilidad para procesar las aplicaciones computarizadas durante un periodo de
tiempo es una exposición que podría resultar del incendio del centro de datos. La exposición
puede reducirse mediante la implementación de controles apropiadamente diseñados. Por
ejemplo, una alarma de incendio no puede provenir el fuego, pero se establece para reducir
los daños del incendio.

06 Valoraciones del Riesgo - Un proceso utilizado para identificar y evaluar los riesgos y su
impacto potencial.

DECLARACIÓN

07 El auditor de Sistemas de Información ( auditor), deberá utilizar técnicas de valoración del

Riesgo, en el desarrollo general de auditoría y en la planeación de auditorias especificas. La
valoración del riesgo, en combinación con otras técnicas de auditoría, facilitan las decisiones
de planeación tales como:

a) La naturaleza extensión y oportunidad de los procedimientos de auditoría

b) Las áreas o funciones de negocios que serán auditadas.

 c) La cantidad de tiempo y recursos que serán asignados para una auditoría

08 El auditor deberá documentar la técnica ó metodología de valoración del riesgo utilizado

para una auditoría especifica. La documentación debería incluir.

a) Una descripción de la metodología utilizada por la valoración del riesgo.

b) La identificación de expresiones significativas y los riesgos correspondientes

c) Los riesgos y exposiciones sobre los que enfatizará la auditoría.

d) La evidencia utilizada para soportar la valoración del riesgo del Auditor.

09 No puede esperarse que una única metodoligía de valoración del riesgo sea apropiada
para todas las situaciones. Las condiciones que afectan las auditorias, pueden cambiar a
medida que pase el tiempo. Periódicamente el auditor deberá reevaluar lo apropiado de las
metodologías escogidas en la valoración del riesgo.

FECHA EFECTIVA

10 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir
del 1 de Noviembre de 1.992.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN: Producidos por el concejo de Estándares de la EDP. Auditors Foundation.

DECLARACIÓN No. 6 Ejecución de Trabajo. Documentación de la Auditoría

INTRODUCCIÓN
01 El propósito de esta declaración sobre los Estándares de Auditoria de Sistemas de
Información (auditor), deberá preparar y retener para soportar los resultados de la Auditoría.

02 Esta declaración es un suplemento, de los Estándares Generales para la auditoría de

sistemas de información promulgados por la EDPAF, y por consiguiente no reemplaza ninguna
parte de ellos.

DECLARACIÓN

03 La documentación de la Auditoría de Sistemas de Información (documentación) es el

registro del trabajo de Auditoría y la evidencia que soporta los hallazgos y conclusiones del
Auditor. La documentación demuestra la extensión a la cual el auditor cumplió con los
Estándares de Sistemas de Información.

04 La documentación debería incluir, como mínimo, un registro de:

a) La planeación y preparación del alcance y objetivos de la Auditoría.

b) El programa de auditoría

c) Los pasos de auditoría ejecutados y reunidos.

d) Los hallazgos, conclusiones y recomendaciones de Auditoría

e) Cualquier reporte producido como resultado del trabajo de Auditores.

f) Las respuestas del auditado a las recomendaciones del Auditor.

05 La extensión de la documentación del auditor dependerá de las necesidades para una

auditoría particular y deberá incluir:
 a) El entendimiento del auditor sobre el área que fue auditada y su ambiente.

b) El entendimiento del Auditor sobre los procesamiento de sistemas de Información y el

ambiente de control interno.

c) El preparador y la fuente de la documentación de Auditoría y la fecha de su elaboración.

d) La evidencia de revisión y supervisión del trabajo de Auditoría.

06 La documentación debería incluir información de auditoría que es exigida por ley, por las
regulaciones del gobierno o cualquier estándar aplicable.

07 Las políticas y procedimientos que en efecto pueden estar para asegurar custodía
apropiada y retención de la documentación que soportan hallazgos y conclusiones de
auditoría, por un tiempo prudente para satisfacer los requerimientos legales, profesionales y
organizacionales.

08 La documentación debería ser organizada almacenada, asegurada de una manera

apropiada para el medio en el cual se retiene.

FECHA EFECTIVA

09 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a a partir
del 1 de Noviembre de 1.992

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN: Producidos por el concejo de Estándares de la EDP. Auditors Foundation.

DECLARACIÓN No. 7: REPORTES DE AUDITORIA

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoria de Sistemas de

Información es describir los requerimientos para preparar y producir un reporte y Sistemas de
Información (reporte), de acuerdo con los Estándares Generales No. 9 y 10 para la Auditoría
de Sistemas de Información.

02 Esta declaración es un suplemento, de los Estándares Generales para la auditoría de

sistemas de información promulgados por la E.D.P. Auditors Foundation y por consiguiente no
reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El reporte es el medio formal de comunicación de los objetivos de la auditoría del cuerpo

de estándares de auditoría utilizados para el alcance de la auditoría y los hallazgos y
conclusiones. Al preparar el reporte, el auditor deberá considerar las necesidades de los
destinatarios previsto, los cuales pueden incluir al auditado, La administración ejecutiva, el
concejo de directores ó su comités de auditoría y el gobierno.

04 El reporte deberá incluir una declaración de los objetivos de la auditoría para identificar
que se propuso realizar la auditoría. Si, en la opinión del auditor, algún objetivo de la auditoría
establecido en el reporte, no fue satisfecho, este hecho deberá ser reevaluado en el reporte.

05 El reporte deberá identificar los estándares de la organización profesionales y del

gobierno utilizados ( es decir en los Estándares Generales para la Auditoría de Sistemas de la
EDPAF), en ejecución de la Auditoría. El reporte deberá también identificar las excepciones
significativas para el uso de esos estándares, las razones para no usarlos y cuando sea
apropiado, el impacto potencial sobre los resultados de la Auditoría.

06 El reporte deberá incluír una declaración de alcance de la auditoría que describe la

naturaleza y extensión del trabajo ejecutado. La declaración del alcance, debería identificar el
área funcional de auditoría, el periodo de auditoría y los sistemas de información aplicaciones
ó los ambientes de procesamiento auditados. El reporte debería identificar circunstancias de
limitación de alcance, en la opinión del auditor no se completaron los procedimientos ó
pruebas para satisfacer los estándares o cuando se impusieron restricciones sobre el trabajo
de la auditoría por parte de lo auditado.
07 El reporte debería incluir todos los hallazgos importantes de la auditoría. Cuando un
hallazgo requiere explicación el auditor puede describir la condición y el criterio usado para
identificar el hallazgo. El auditor puede también identificar los criterios organizacionales y
profesionales y del gobierno aplicados (e.g. los Objetivos de control de la EDPAF, al escribir la
causa de la condición y su efecto, y proporcionar recomendaciones para su mejoramiento.

08 El reporte debería expresar una conclusión que es la evaluación del auditor sobre el área
auditada. La conclusión que es la evaluación total ó múltiples evaluaciones relaciondas con
los objetivos específicos de la auditoría. El reporte deberá también describir cualquier
excepción ó calificación importante de las conclusiones.

09 El formato del reporte deberá reflejar en una presentación lógica y organizada . El

reporte deberá contener suficiente información para que sea comprendida por los
destinatarios y acciones correctivas.

10 El reporte deberá producirse oportunamente para asegurar una pronta acción correctiva.
Cuando sea apropiado, el auditor puede comunicar los hallazgos importantes a las personas
apropiadas , antes de la producción del reporte. La comunicación anticipada de los hallazgos
significativos no debera alterar la intensión y contenido del reporte.

11 El reporte debería identificar al auditado e indicar la fecha de su emisión. Cuando sea

apropiado, el reporte deberá especificar que este es únicamente para información y uso de
las partes intersadas, tales como el auditado, el concejo de directores, administración y otras
partes interesadas fuera de la organización ( e.g. una agencia del gobierno). El reporte deberá
también establecer cualquier restricción sobre su distribución.

FECHA EFECTIVA

12 Esta declaración es efectiva para todas alas auditorias de Sistemas de Información a partir
de Septiembre 1 de 1.993.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN: Producidos por el concejo de Estándares de la EDP. Auditors Foundation.
DECLARACIÓN No. 8: EJECUCION DE TRABAJO. Consideración de Auditoría para
irregularidades

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de Información es

describir los requerimientos de los Estándares Generales para la Auditoría de Sistemas de
Información Nos. 6, 7, y 8.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de

Sistemas de Información promulgados por la EDPAF y por consiguiente no reemplaza ninguna
parte de ellos.

DEFINICIÓN

03 Las irregularidades, para el propósito de esta declaración, son violaciones intencionales

de las políticas administrativas establecidas u omisiones de información del área bajo una
auditoría o de organización. Algunas irregularidades pueden ser consideradas como
actividades fraudulentas dependen de la definición legal de fraude en la jurisdicción
perteneciente a la auditoría. Las irregularidades incluye, pero no están limitadas a engaños
deliberados de controles con la intención de encubrir la perpetuación de irregularidades,
fraude, uso no autorizado de activos y ayudas para encubrir esos tipos de actividades.

DECLARACIÓN

04 La Administración tiene la responsabilidad de establecer un efectivo sistema de controles

internos diseñados e implementados para proporcionar seguridad razonables de la
prevención y detección de irregularidades.

05 El auditor de Sistemas de Información ( auditor) deberá evaluar el riesgo de ocurrencia de

irregularidades conectadas con el área bajo auditoría. Al preparar esta evaluación , el auditor
deberá considerar factores tales como:
 a) Características organizacionales. ( e.g. ética corporativa, estructura organizacional). Lo
adecuada que es la supervisión compensación y estructura de recompensa).

b) Los tipos de activos que posee o servicios ofrecidos y su suceptibilidad a irregularidades.

c) El sistema de controles internos

d) Regulaciones y requerimientos legales aplicables.

06 Basados en la valoración del riesgo, el auditor tiene la responsabilidad de diseñar y

ejecutar pruebas de auditoría que puedan ser razonablemente apropiadas para detectar
irregularidades que pudieran tener impacto significativo en el área de auditoría o en la
organización.

07 Si la evidencia indica que una irregularidad podría involucrar un acto ilegal, el auditor
debería recomendar que la administración busque asesoría jurídica o debería buscar
directamente la asesoría jurídica.

08 Una auditoría no puedo garantizar que las irregularidades serán detectadas aun cuando
una auditoría sea apropiadamente planeada y ejecutada, las irregularidades podrían no ser
detectadas ( e.g. cuando hay confabulación entre empleados, entre empleado y otros
externos, ó la administración se involucra en las irregularidades).

09 Si las irregularidades han sido detectadas, el auditor deberá evaluar el impacto de estas
actividades sobre los objetivos de auditoría y sobre la confiabilidad de la evidencia
recolectada. Además, el auditor debe considerar si continúa la auditoría cuando.

a)Elimcto de las irregularidades es tan significativa que no puede obtenerse evidencia de

auditoría suficiente y confiable.

b) La evidencia de auditoría sugiere que la administración participó en irregularidades. En

estas situaciones, el auditor debe también considerar los requerimientos apropiados para el
reporte.
10 La detección de irregularidades deberá comunicarse a las personas apropiadas en la
organización de una manera oportuna. La notificación debe dirigirse a nivel administrativo
superior al que se sospecha que ocurrieron además las irregularidades deberán reportarse al
consejo de directores, al comité de auditoría del consejo o al un cuerpo equivalente, excepto
por cosas que son claramente insignificantes. Además de esto la auditoría puede ser
requerida para soportar actividades fraudalentas a las organizaciones externas tales como una
agencia gubernamental de vigilancia.

FECHA EFECTIVA

11 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir
del 1 de Septiembre de 1.993

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE

INFORMACIÓN: Producidos por el concejo de Estándares de la EDP. Auditors Foundation.

DECLARACIÓN No. 9: EJECUCION DE TRABAJO. Uso Herramientas de Sofware de Auditoría.

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de Información es

definir las responsabilidades del Auditor de Sistemas de Información ( auditor) en el control
del desarrollo integridad y uso de las herramientas Software de Auditoría. La declaración
describe los requerimientos de los Estándares Generales para la Auditoría de Sistemas de
Información Nos. 6, 7, y 8.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de

Sistemas de Información como los promulgo la ( EDPAF) y por consiguiente no reemplaza
ninguna parte de ellos.

DEFINICIÓN
03 Las herramientas de Software de auditoría son programas de computador que pueden
ser utilizados para proporcionar información para el uso de auditoría. Ejemplos de
herramientas para el Software de auditoría usados para propósitos de la auditoría incluyen:

a) Software encajado en los sistemas que están en producción.

b) Software escrito ó adquirido para propósitos de auditoría.

c) Softftware de utilidad (utilities).

DECLARACIÓN

04 El auditor deberá obtener razonable seguridad de la integridad y utilidad de la

herramienta en Software a través de la apropiada planeación . diseño prueba y reversión de
la documentación . Estos deberá realizarse antes que la confianza sea dada a la herramienta
de software de auditoría.

05 Cuando se usa una herramienta software de auditoría para tener acceso a los datos de
producción , el auditor deberá seguir pasos apropiados para proteger la integridad del
Sistema de Información y de los datos.

06 Las herramientas de software de auditoría pueden utilizarse para extraer datos sensitivos
que deberán ser de uso confidencial. El auditor deberá salvaguardar los datos extraídos con
un nivel apropiado de confidencialidad y seguridad.

07 El auditor deberá usar y documentar los resultados de procedimientos apropiados para

garantizar la integridad, confiabilidad y seguridad de la herramienta de software de auditoría.
Por ejemplo esto podría incluir una revisión del programa de mantenimiento y controles de
cambios de programas sobre software de auditoría encajado para determinar que solamente
algunos cambios autorizados se hicieron a la herramienta de software de auditoría.

08 El auditor deberá evaluar el impacto que los cambios a los sistemas en producción que
pudo tener en el uso de el software de auditoría. Al hacer esto, el auditor debe considerar el
impacto de esos cambios en la integridad y la utilidad de la herramienta de auditoría, así como
sobre integridad de los datos usados por el auditor.

09 Cuando la herramienta del software de auditoría reside en que no esta bajo en control
del auditor, un apropiado nivel de control debe efectuarse para identificar cambios en la
herramienta de software de auditoría. Cundo una herramienta de software de auditoría.
Cuando una herramienta de software de auditoría es cambiada , el auditor debe obtener
seguridad de su integridad y utilidad a través de una apropiada planeación, diseño, prueba y
revisión de la documentación antes de dar confianza a la herramienta de software de
auditoría

FECHA EFECTIVA

10 Esta declaración es efectiva para todas las Auditorias de Sistemas de información a partir
del 1 de Julio de 1.994