Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estándares Generales para La Auditoria en Sistemas de Información
Estándares Generales para La Auditoria en Sistemas de Información
CONTENIDO
1. Introducción
2. Objetivo
( Actitud y Apariencia)
de Sistemas).
en la planeación de la Auditoría)
Auditoría
de auditoría).
INTRODUCCIÓN
La Auditoria de Sistemas de Información está definida como cualquier auditoría que abarca la
revisión de y evaluación de todos los aspectos ( ó alguna porción) de los sistemas
automatizados de procesamiento de información, incluyendo procedimientos relacionados
no automáticos, y las interfaces entre ellos.
Los Estándares promulgados por la E.D.P. Auditors Fundatión Inc, son aplicables al trabajo de
la Auditoria de Sistemas de Información ejecutado por miembros de la Asociación de
Auditores de la E.D.P. y por los titulares de la designación CISA. ( Certified, Informatión
Systems Auditor).
OBJETIVOS
Estos Estándares tienen como objetivo informar a los auditores el nivel del mínimo de
desempeño aceptable, necesario para satisfacer las responsabilidades profesionales
definidas en el Código de Ética Profesional e informar a la administración y a otras partes
interesadas sobre las expectativas de la profesión concernientes al trabajo de sus practicantes.
(*) Electronic Data Processing.
Los diez (10) Estándares siguientes son aplicables para la auditoria de Sistemas de
Información , como se definió anteriormente.
INDEPENDENCIA:
COMPETENCIA TÉCNICA
EJECUCIÓN DE TRABAJO.
Las Auditorias de Sistemas de Información deben ser planeadas y supervisadas para asegurar
que los objetivos de la auditoría se alcanzan y se satisface el cumplimiento de estos
estándares.
El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del
Auditor de Sistemas de Información, incluyendo la observancia de auditoria aplicables.
REPORTE
FECHA EFECTIVA
Estos estándares son efectivos para todas las Auditorías de Sistemas de Información a partir
de Enero 1 de 1.988.
INTRODUCCIÓN
01) El propósito de esta declaración sobre los Estándares para la Auditoría de Sistemas de
Información es expandir el significado de “ independencia” con relación a los Est Estándares
de la Auditoría de Sistemas de Información.
05) El auditor debería estar enterado que la apariencia de independencia puede ser
influenciada por las acciones ó asociaciones del auditor. Las percepciones de la
independencia del auditor, pueden afectar la aceptación de su trabajo. Si el auditor llega a
enterarse que una situación o relación es percibida como perjudicial para la independencia
del auditor, el auditor podrá informar a la administración de la auditoría sobre esta
percepción lo más pronto posible.
06) El auditor debería tener una independencia organizacional del área que está siendo
auditada. Esto asegura que la auditoria sea objetiva e imparcial. La independencia se debilita
si el auditor tiene control directo sobre el área que esta siendo auditada. La independencia
del auditor también puede ser perjudicada si el auditor tiene la responsabilidad directa de
reportar directamente a los individuos que tienen control directo del área que esta siendo
auditada.
FECHA EFECTIVA
10) Este informe es efectivo para todos los auditores de Sistemas de Información a partir del
1 de Julio de 1.989.
INTRODUCCIÓN
DEFINICIONES
DECLARACIÓN
FECHA EFECTIVA
12 Esta declaración es efectiva para todas las auditorias de Sistemas de Información a partir
del 1 de Julio de 1.989.
INTRODUCCIÓN
01 El propósito sobre esta declaración sobre los Estándares para la Auditoria de Sistemas de
Información, es definir la palabra “ EVIDENCIA”, como se utilizó en el Estándar No. 7 de los
Estándares Generales para la auditoria de sistemas de información y direccionar la naturaleza
y suficiencia de la evidencia usada en la auditoria de sistemas de información.
DECLARACIÓN
03 El Auditor de Sistemas de Información ( auditor) colecciona información en el curso de la
ejecución de una Auditoría. La información utilizada por el auditor para satisfacer los objetivos
de la auditoría es conocido como evidencia de auditoría ( evidencia). La naturaleza de
información es usada como evidencia debería ser revelante y confiable, y la información
debe ser suficiente para formar una opinión ó soportar los hallazagos y conclusiones.
04 La evidencia es revelante si está relacionada con los objetivos de la auditoría y tiene una
relación lógica con los hallazgos y conclusiones que se soportan en ella.
FECHA EFECTIVA
10 Este informe es efectivo para todas las Auditorias de Sistemas de Información desde el 1
de Julio de 1.991.
INTRODUCCIÓN
DECLARACIÓN
03 El Estándar de “ debido cuidado “ es ese nivel de diligencia que una persona prudente
podría ejercitar bajo un grupo de circunstancias dadas “ El debido cuidado profesiona” aplica
al individuo que profesa habilidad para ejecutar actividad tal como en sistemas de
información. El debido Cuidado Profesional le exige al individuo ejercitar esa destreza a un
nivel que comúnmente posee los practicantes de esa especialidad.
a. El tipo y nivel de los recursos de auditoría necesarios para satisfacer los objetivos de
auditoría.
07 Se espera que el auditor conduzca la auditoría con diligencia adhiriendose a los estándares
profesionales. El auditor debería divulgar las circunstancias sobre cualquier incumplimiento
con los estándares profesionales de manera consistente con la comunicación de los
resultados de Auditoría.
FECHA EFECTIVA
08 Esta declaración se hace efectiva para todas las auditorias de Sistemas de Información
desde el 1 de Julio de 1.991.
INTRODUCCIÓN
DEFINICIONES
03 Esta definiciones sirven para clasificar los términos usados en esta declaración.
06 Valoraciones del Riesgo - Un proceso utilizado para identificar y evaluar los riesgos y su
impacto potencial.
DECLARACIÓN
09 No puede esperarse que una única metodoligía de valoración del riesgo sea apropiada
para todas las situaciones. Las condiciones que afectan las auditorias, pueden cambiar a
medida que pase el tiempo. Periódicamente el auditor deberá reevaluar lo apropiado de las
metodologías escogidas en la valoración del riesgo.
FECHA EFECTIVA
10 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir
del 1 de Noviembre de 1.992.
INTRODUCCIÓN
01 El propósito de esta declaración sobre los Estándares de Auditoria de Sistemas de
Información (auditor), deberá preparar y retener para soportar los resultados de la Auditoría.
DECLARACIÓN
b) El programa de auditoría
06 La documentación debería incluir información de auditoría que es exigida por ley, por las
regulaciones del gobierno o cualquier estándar aplicable.
07 Las políticas y procedimientos que en efecto pueden estar para asegurar custodía
apropiada y retención de la documentación que soportan hallazgos y conclusiones de
auditoría, por un tiempo prudente para satisfacer los requerimientos legales, profesionales y
organizacionales.
FECHA EFECTIVA
09 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a a partir
del 1 de Noviembre de 1.992
DECLARACIÓN
04 El reporte deberá incluir una declaración de los objetivos de la auditoría para identificar
que se propuso realizar la auditoría. Si, en la opinión del auditor, algún objetivo de la auditoría
establecido en el reporte, no fue satisfecho, este hecho deberá ser reevaluado en el reporte.
08 El reporte debería expresar una conclusión que es la evaluación del auditor sobre el área
auditada. La conclusión que es la evaluación total ó múltiples evaluaciones relaciondas con
los objetivos específicos de la auditoría. El reporte deberá también describir cualquier
excepción ó calificación importante de las conclusiones.
10 El reporte deberá producirse oportunamente para asegurar una pronta acción correctiva.
Cuando sea apropiado, el auditor puede comunicar los hallazgos importantes a las personas
apropiadas , antes de la producción del reporte. La comunicación anticipada de los hallazgos
significativos no debera alterar la intensión y contenido del reporte.
FECHA EFECTIVA
12 Esta declaración es efectiva para todas alas auditorias de Sistemas de Información a partir
de Septiembre 1 de 1.993.
INTRODUCCIÓN
DEFINICIÓN
DECLARACIÓN
07 Si la evidencia indica que una irregularidad podría involucrar un acto ilegal, el auditor
debería recomendar que la administración busque asesoría jurídica o debería buscar
directamente la asesoría jurídica.
08 Una auditoría no puedo garantizar que las irregularidades serán detectadas aun cuando
una auditoría sea apropiadamente planeada y ejecutada, las irregularidades podrían no ser
detectadas ( e.g. cuando hay confabulación entre empleados, entre empleado y otros
externos, ó la administración se involucra en las irregularidades).
09 Si las irregularidades han sido detectadas, el auditor deberá evaluar el impacto de estas
actividades sobre los objetivos de auditoría y sobre la confiabilidad de la evidencia
recolectada. Además, el auditor debe considerar si continúa la auditoría cuando.
FECHA EFECTIVA
11 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir
del 1 de Septiembre de 1.993
INTRODUCCIÓN
DEFINICIÓN
03 Las herramientas de Software de auditoría son programas de computador que pueden
ser utilizados para proporcionar información para el uso de auditoría. Ejemplos de
herramientas para el Software de auditoría usados para propósitos de la auditoría incluyen:
DECLARACIÓN
05 Cuando se usa una herramienta software de auditoría para tener acceso a los datos de
producción , el auditor deberá seguir pasos apropiados para proteger la integridad del
Sistema de Información y de los datos.
06 Las herramientas de software de auditoría pueden utilizarse para extraer datos sensitivos
que deberán ser de uso confidencial. El auditor deberá salvaguardar los datos extraídos con
un nivel apropiado de confidencialidad y seguridad.
08 El auditor deberá evaluar el impacto que los cambios a los sistemas en producción que
pudo tener en el uso de el software de auditoría. Al hacer esto, el auditor debe considerar el
impacto de esos cambios en la integridad y la utilidad de la herramienta de auditoría, así como
sobre integridad de los datos usados por el auditor.
09 Cuando la herramienta del software de auditoría reside en que no esta bajo en control
del auditor, un apropiado nivel de control debe efectuarse para identificar cambios en la
herramienta de software de auditoría. Cundo una herramienta de software de auditoría.
Cuando una herramienta de software de auditoría es cambiada , el auditor debe obtener
seguridad de su integridad y utilidad a través de una apropiada planeación, diseño, prueba y
revisión de la documentación antes de dar confianza a la herramienta de software de
auditoría
FECHA EFECTIVA
10 Esta declaración es efectiva para todas las Auditorias de Sistemas de información a partir
del 1 de Julio de 1.994