Está en la página 1de 23

G2 REQUISITO DE EVIDENCIA DE AUDITORIA.

1. ANTECEDENTES.

1 Relación con las normas 1.1.1 Norma S6 actuación de la realización de las labores de auditoria "Durante el curso de la auditoria, el auditor de SI debe obtener evidencia suficientes, fiables y relevantes para lograr los objetivos de la auditoria. Los resultados de la auditoria y las conclusiones han de ser apoyadas por un análisis adecuado y la interpretación de esta evidencia”. Norma S9 irregularidades y actos ilícitos de los estados “El auditor de SI debe obtener pruebas suficientes y adecuados para determinar si la administración u otros dentro de la organización tiene conocimiento de irregularidades real, supuesta o sospechada y actos ilegales " S13 estándar con el trabajo de otros expertos de los estados “El auditor de SI debe proporcionar la opinión de auditoría adecuada e incluyen la limitación del alcance que las pruebas requeridas no se obtiene a través de procedimientos de ensayo adicionales”. Estándar S14 evidencia de auditoría de los estados “El auditor debe obtener pruebas suficientes y adecuadas para sacar conclusiones razonables en que basar los resultados de auditoría. El auditor debe evaluar la suficiencia de las pruebas de auditoría obtenidas durante la auditoría” Procedimiento P7 irregularidades y actos ilegales estados "Aunque el auditor de SI no tiene la responsabilidad explícita de detectar o prevenir las irregularidades, el auditor de SI debe evaluar el nivel de riesgo de posibles irregularidades. El resultado de la evaluación de riesgos y otros procedimientos realizados durante la planificación se debe utilizar para determinar la naturaleza, magnitud y oportunidad de los procedimientos realizados durante el enfrentamiento. Relación con COBIT ME 2.3 excepciones de control de los estados “Información de expediente sobre todas las excepciones de control y asegurarse de que conduce a un análisis de la causa subyacente y las medidas correctivas. La gestión debe decidir qué excepciones deben ser comunicadas a la persona responsable de la función y que las excepciones deben ser escalado. Administración también es responsable de informar a las partes afectadas”.

1.1.2

1.1.3

1.1.4

1.1.5

1.2 1.2.1

1.3 1.3.1 1.3.2

Necesidad de lineamiento El propósito de esta guía es orientar al auditor de SI a obtener pruebas de auditoría suficiente y adecuada y sacar conclusiones razonables en los que basar los resultados de auditoría. Esta guía ofrece orientación en la aplicación de las normas de auditoría IS. El auditor DE SI debe considerar en la determinación de la forma de lograr la aplicación de la citada norma, usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación.

2. PLANEACION. 2.1 2.1.1 estándar. 2.1.2 Tipos de evidencia de auditoría Para una descripción de la evidencia adecuada, fiable y suficiente, consulte la sección de comentarios en S14

Al planificar el trabajo de auditoría SI, el auditor de SI debe tener en cuenta el tipo de evidencia de auditoría que se reunieron, su utilización como pruebas de auditoría para cumplir los objetivos de auditoría y sus diversos niveles de fiabilidad. Entre las cosas que deben considerarse son la independencia y la capacidad profesional del prestador de las pruebas de auditoría. Por ejemplo, la evidencia de auditoría que corrobora de una tercera parte independiente puede ser más confiable que la evidencia de auditoría de la organización auditada. Pruebas de auditoría física es generalmente más fiables que las representaciones de un individuo. El auditor también debe considerar si las pruebas de los controles ha sido completada y confirmada por un tercero independiente y si se puede confiar en las pruebas. Entre los distintos tipos de evidencia de auditoría que el auditor de SI debe considerar se incluyen: • Los procesos observados y la existencia de elementos físicos • Pruebas de auditoría documental • Representaciones • Análisis Procesos observados y la existencia de elementos físicos pueden incluir observaciones de las actividades, la propiedad y funciones de SI, tales como:  Un inventario de los medios de comunicación en un lugar de almacenamiento fuera de sitio.  Una sala de seguridad del sistema informático en la operación  Pruebas de auditoría documental, grabado en papel o por otros medios, pueden incluir: Resultados de las extracciones de datos

2.1.3

2.1.4

2.1.5

2.1.6

     2.1.7

Los registros de las transacciones Listados de programas Facturas Actividad y el control de los registros Documentación de desarrollo del sistema Las representaciones de los que están siendo auditadas pueden ser evidencia de auditoría, tales como: • Las políticas y procedimientos escritos • Sistema de diagramas de flujo • Declaraciones escritas u orales Los resultados del análisis de la información a través de comparaciones, simulaciones, cálculos y razonamiento también se puede utilizar como evidencia de auditoría. Los ejemplos incluyen:  La evaluación comparativa es el rendimiento contra otras organizaciones o períodos anteriores  Comparación de las tasas de error entre aplicaciones, transacciones y usuarios Disponibilidad de pruebas de auditoría El auditor de SI debe considerar el tiempo durante el cual la información existe o está disponible en la determinación de la naturaleza, el tiempo, el alcance de las pruebas de fondo y, si procede, las pruebas de cumplimiento. Por ejemplo, la evidencia de auditoría elaborados por el intercambio electrónico de datos (EDI), procesamiento de imágenes de documentos (DIP) y los sistemas dinámicos, tales como hojas de cálculo puede no ser recuperable después de un período de tiempo especificado si los cambios de los archivos no están controlados o los archivos no están respaldados arriba. Disponibilidad de la documentación también se podrían ver afectados por las políticas de retención de la compañía documento. Selección de pruebas de auditoría El auditor de SI debe planear el uso más adecuado, confiable y suficiente evidencia de auditoría posible y en consonancia con la importancia del objetivo de la auditoría y el tiempo y el esfuerzo necesarios para obtener los datos de auditoría. Cuando las pruebas de auditoría obtenida en forma de representaciones orales es esencial para el dictamen de auditoría o de conclusión, el auditor de SI debería considerar la obtención de la confirmación documental de las representaciones, ya sea en papel o por otros medios. El auditor debe también considerar otras pruebas para corroborar estas representaciones para garantizar su fiabilidad.

2.1.8.1

2.2 2.2.1

2.3 2.3.1

2.3.2

3. EJECUCIÓN DE LAS TAREAS DE AUDITORÍA 3.1 3.1.1 Naturaleza de la evidencia de auditoría La evidencia de auditoría debería ser suficiente, confiable, relevante y útil para formarse una opinión o de apoyo de Los resultados del auditor de SI y las conclusiones. Si, según el juicio del auditor de SI, la evidencia de auditoría no cumple con estos criterios, el auditor de SI debe obtener evidencia de auditoría adicional. Por ejemplo, un listado de programa no puede ser evidencia de auditoría adecuada hasta que la evidencia de auditoría que se ha reunido para comprobar que representa el programa real utilizado en el proceso de producción. Recopilación de pruebas de auditoría Los procedimientos utilizados para reunir pruebas de auditoría varían según el sistema de información auditado. El auditor debe seleccionar el procedimiento más adecuado, confiable y suficiente para el objetivo de la auditoría. Los siguientes procedimientos deben ser considerados: • Investigación • Observación • Inspección • Confirmación • Seguimiento Lo anterior puede ser aplicado a través de la utilización de procedimientos de control manual, con ayuda de computadora técnicas de auditoría, o una combinación de ambos. Por ejemplo:  -Un sistema que utiliza el control manual de los totales de balance de las operaciones de entrada de datos podría proporcionar evidencia de auditoría que el procedimiento de control está en su lugar por medio de un informe debidamente conciliadas y comentados. El auditor debe obtener pruebas de auditoría de revisión y control de este informe.  -Los registros detallados de transacciones sólo está disponible en formato legible por máquina que requiere el auditor de SI para obtener pruebas de auditoría asistida por ordenador utilizando técnicas de auditoría. El auditor debe asegurarse de que la versión o tipo (s) de la computadora técnicas de auditoría asistidas (CAAT) que se utilizarán son actualizados y / o totalmente compatible con el formato (s) estructura de los registros detallados de transacciones en cuestión. Si existe la posibilidad de que los datos recabados pasarán a formar parte de un proceso legal, el auditor de SI debe consultar con el asesor jurídico apropiado para determinar si existen requisitos especiales que afectarán la manera en pruebas es necesario recoger, presentado y divulgada.

3.2 3.2.1

3.2.2

3.2.3

1 ANTECEDENTES Relación con las Normas Estándar S5 Planeación.3 3.2.3.1.2 1. El auditor de SI debe considerar la materialidad de la auditoría y su relación con el riesgo de auditoría a la vez que determina la naturaleza.3.1 Documentación de auditoría La evidencia de auditoría reunida por el auditor de SI debe estar debidamente documentados y organizados para apoyar los hallazgos y conclusiones del auditor de SI.1. consulte la sección de comentarios en la estándar S14.1 1. 5. Estándar S10 Gobierno TI.1 Relación con COBIT El PO5 ( Planear y Organizar) Administrar la Inversión en tecnología de información "satisface el requisito comercial para la TI de continuamente y demostrablemente mejorando la eficiencia costada de tecnología de la información y su contribución para la rentabilidad comercial con servicios integrados y estandarizados en los que satisfacen las expectativas de usuarios finales enfocando la atención en decisiones efectivas y de tecnología de la información de eficiente inversión y del portafolio.2 Para una discusión sobre la protección y conservación de pruebas.2.2. y de la calidad de la información.1 4. El auditor de SI debe revelar este hecho de forma coherente con la comunicación de los resultados de la auditoría. Si el auditor de SI ha identificado una irregularidad material o acción ilegal que involucra a la gerencia o a empleados que tienen funciones significativas en el control interno. Estándar S12 Materialidad de La Auditoría. En las situaciones en que el auditor cree que no puede obtenerse la evidencia de auditoría suficiente. 4. 1.1. El auditor de SI debe planear la cobertura de la auditoría de sistemas de información para cubrir los objetivos de la auditoria y cumplir con las leyes aplicables y las normas profesionales de auditoría. rastreando y resolviendo 1. establece que auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales. el auditor de SI debe comunicarlo sin demora a los responsables del gobierno corporativo. Reducir entrega de solución y de servicio defectuosos y revisión enfocado en la atención esperada.3. 3.3 . los plazos y el alcance de los procedimientos de auditoría.1 PRESENTACIÓN DE INFORMES Restricción del alcance. 4.1 5. Mientras planifica la auditoría.1. FECHA DE VIGENCIA Esta directriz es efectiva para todas las auditorías de los sistemas de información que comiencen a partir del 1 de diciembre de 1998. y sedimentándose y rastreando presupuestos de TI en conformidad con la estrategia de tecnología de la información y las decisiones de inversión" AI1. Identificar soluciones automatizadas "satisface el requisito comercial para las TI de traslado de negocios funcionales y requerimientos de controles en un efectivo y eficiente desempeño de soluciones automatizadas enfocando la atención en identificar técnicas factibles y eficientes en base a costos" DS10 Administración de problemas "satisface el requisito comercial para la tecnología de la información de" usuarios finales "que asegura la satisfacción con servicio ofrecidos y los niveles de servicio. G6 CONCEPTO DE MATERIALIDAD PARA LA AUDITORIA DE SISTEMAS DE INFORMACION 1. 1. así como los requisitos de fiduciario y seguridad.. La guía ha sido revisada y actualizada a partir del 1 mayo de 2008.1.4 1. El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de información.3 1.2 1.2 1. Estándar S9 Irregularidades y Acciones Ilegales. el auditor de SI debe considerar las posibles debilidades o la ausencia de controles. ambientales. y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de información.

fiabilidad Secundarios: Eficiencia. E. Referencias Secundarias: a. b. Y definiendo soluciones para problemas identificados de operaciones " 1. controles de acceso físico. controles de acceso lógico. Los auditores de sistemas de información normalmente realizan auditorias de los productos no financieros. j.2.5 1. A diferencia de los auditores financieros. disponibilidad. h. los auditores de sistemas de información necesitan la orientación sobre cómo la importancia relativa que deben ser evaluada para planificar sus auditorias . f. los controles de cambio de programa y los sistemas de administración de personal.7 2. diseño. Por tanto.problemas operacionales. b.6 1. y monitoreando el mantenimiento de la infraestructura" El ME4 Proporcionar Gobierno de TI " satisface el requisito comercial para la TI integrando el gobierno de TI con objetivos corporativos de gobierno. i.2. Los auditores financieros la medida de importancia es normalmente en términos monetarios. 2. para acciones y riesgos. 1. los procesos en COBIT más probable para ser pertinente. conformidad..1. g. c.4 DS13 Administración de operaciones “ satisface el requisito comercial para los TI de integridad de mantenimiento de los datos integrados y asegurando que la infraestructura de los TI pueda resistir al encubrimiento de errores y fracasos enfocando la atención en encontrando niveles operacionales de servicio para datos programados en proceso.2. Accediendo a leyes y regulaciones enfocado en la preparación de reportes en estrategias de TI. d. seleccionados y adaptados están clasificados como primarios y secundarios como sigue. 1. PO8 Administrar la calidad PO9 Evaluar y Administrar los riesgos de TI AI2 Adquirir y mantener software Aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la Operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios DS3 Administra el desempeño y la capacidad DS5 Garantizar la seguridad de los sistemas DS9 Administrar la configuración ME1 Monitorear y Evaluar el desempeño de TI ME2 Monitorear y Evaluar el control Interno Los criterios de información más pertinentes para auditar materialidad son: Primarios: Confidencialidad. la producción de tarjetas de crédito y de atención al cliente. la generación de contraseñas. el proceso y control de los objetivos para ser seleccionados y adaptados puede variar dependiendo del alcance específico y las condiciones de referencia de la asignación. ya que lo que la auditoria también se mide y se comunicó en términos monetarios. los auditores de sistemas de información requieren un criterio diferente para medir la importancia relativa. Eficacia. integridad. por el auditor de SI.2. l. k. e.8 a. Investigando la raíz de la causa de todos los problemas significativos.1 NECESIDAD DE LINEAMIENTO Los Auditorias financieras vrs sistemas de información. control de fabricación. Para responsabilizarse por la materialidad del concepto de auditoria de sistemas de información. control de calidad. y respondiendo a los requisitos de gobierno en conformidad con instrucciones de la dirección” La selección del material más pertinente en COBIT aplicable para el alcance de la auditoría particular se basa en la elección de procesos específicos de tecnología de la información COBIT y consideración de objetivos de control de COBIT y asociadas con las actividades de la gerencia.1 2. protegiendo las salidas sensitiva.G.2.

de manera efectiva. El auditor de sistemas de información debe evaluar una deficiencia de control de TI en general en relación a su efecto en los controles de aplicación y cuando se suman en contra de las deficiencias de control. reglas de control de acceso sobre los privilegios de gestión y clasificación de la información basada en el grado de criticidad y riesgo de exposición.1 3. otros organismos reguladores e interesados  El potencial de pequeños errores acumulativos o debilidades convertidas en material.1. disponibilidad e integridad. un control material es un grupo de control o de los controles sin que los procedimientos de control no ofrecen garantías suficientes de que el objetivo de control se cumplirán. El auditor de sistemas de información también debe tener en cuenta que el fracaso para remediar una deficiencia podría llegar a ser material. El auditor SI debe determinar el establecimiento de funciones y responsabilidades. Cuando el objetivo de la auditoría se refiere a los sistemas o las operaciones que procesan las transacciones financieras. Los siguientes son ejemplos de medidas que se deben considerar para evaluar la importancia relativa:  Importancia de los procesos de negocios apoyados por el sistema de operación      Importancia de las bases de datos soportadas por el sistema de operación El número y tipo de aplicación desarrollada Número de usuarios que utilizan los sistemas de información Número de gerentes y directores que trabajan con los sistemas de información clasificados por los privilegios Importancia de las comunicaciones de red soportada por el sistema de operación .1.8 3. Por ejemplo.1.2 3.1. medida que el auditor financiero de importancia deben ser considerados al mismo tiempo la realización de la SI de auditoría.2 Esta guía ofrece una orientación en la aplicación de las normas de auditoría sobre la importancia relativa en la auditoría.1. e.1.3 3.1.1 3. el auditor de SI debe tener en cuenta:  El nivel global de error aceptable para la gestión. con base en la tasa de tolerancia al riesgo.  Las operaciones de los sistemas de información  El Desarrollo y medio ambiente de prueba El auditor SI debe determinar si la deficiencia de TI en general podrían convertirse en material. si los controles de aplicación asociados también son ineficaces. una decisión de gestión para corregir una deficiencia de los controles de TI en general y su reflexión sobre el medio ambiente asociados pueden convertirse en material de control. son materiales. determinar lo que debe ser examinado.1. sumados a las deficiencias de control que afectan el entorno de control. utilizando el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación 3 3. cómo concentrar sus esfuerzos en las zonas de alto riesgo y cómo evaluar la gravedad de los errores o insuficiencias detectadas.7 3.1.1. el auditor de SI debe identificar los objetivos de control pertinentes y.9 3. Si la deficiencia es causada por la aplicación de control de la TI en general. irregularidades y actos ilegales que puedan surgir como resultado de deficiencias de control en la zona objeto de la auditoría.5 3.  La arquitectura y el software de sistemas de información  La infraestructura de la red de los sistemas de información. Para la evaluación de la materialidad. La evaluación debe incluir la verificación de:  La información almacenada  El hardware de sistemas de información. así como una clasificación de los activos de información en términos de confidencialidad. Con respecto a un objetivo específico de control. La importancia de estos controles deficientes de TI en general deben ser evaluados en relación a su efecto en los controles de aplicación. a continuación. El auditor de SI debe considerar la determinación de la forma de lograr la aplicación de la citada norma.4 3. Por ejemplo. omisiones.6 3. El auditor de sistemas de información debería considerar la posibilidad de obtener cierre de emisión de las partes interesadas apropiadas admitiendo que han revelado la debilidad material existente que se dan dentro de la organización.1. la aplicación basada en el control (cálculo) y el control general (cambios) son materialmente débiles.10 PLANEACION Evaluación de la materialidad La evaluación de lo que es material es una cuestión de juicio profesional y se incluye el examen de los efectos y/o el efecto potencial sobre la capacidad de la organización para cumplir sus objetivos de negocio en caso de errores. si una aplicación basada en el cálculo de impuestos es materialmente mal y fue causado por los controles de cambio de los pobres a las tablas de impuestos. el auditor de SI. 2. I. Para cumplir con los objetivos de la auditoría.

11 Los fracasos de control potencialmente pueden conducir al perjuicio económico.1. salud y la seguridad cuesta. reguladores y contractuales Sanciones por el incumplimiento de los requisitos de seguridad pública         3. FECHA DE VIGENCIA 5.1 4. 4 4.3 4. sin valores) Los requisitos del Acuerdo de Servicio nivel y costo de las sanciones posibles Sanciones por el incumplimiento de requisitos legales. la posición competitiva. Una de las debilidades de control debe ser considerado importante y. .1.  El costo del sistema o la operación (hardware. la pérdida de confianza o la pérdida de reputación. La Guía ha sido revisada y actualizada al 1 de septiembre de 2008. si la ausencia del resultado de control en el fracaso para proveer seguridad razonable del objetivo de control será por el que se responsabilizó. los gastos generales o una combinación de estos) El costo potencial de errores (posiblemente en términos de pérdida de ventas.1.1 4. duración y extensión de los informes preparados y archivos mantenidos La naturaleza y cantidades de materiales manipulados (por ejemplo. el auditor de Sistema Información debería considerar la materialidad de cualquier error que podría obtenerse como resultado de las debilidades de controles. con la excepción de dañar la imagen corporativa. etc. reclamos de garantía.) Costo de la pérdida en términos de información crítica y vital de dinero y tiempo para reproducir se La efectividad de contramedidas Número de accesos / transacciones / solicitudes tramitadas por cada período La naturaleza. PRESENTACION DE INFORMES Identificación de cuestiones notificables. Determinando los descubrimientos. personal. por consiguiente. la rectificación cuesta. software. entonces el auditor de SI debería considerar dar una opinión adversa conforme al objetivo de la auditoría. el costo de publicidad requerido para advertencias.1. El auditor de sistema debe evaluar los riesgos frente a las posibles contramedidas. innecesariamente costos de producción altos. particularmente cuándo el costo de fortalecer los controles andan bajos. falta de cualquier debilidad material de control. La auditoría es usada por la gerencia para obtener una declaración de seguridad de controles de SI. Dependiendo de los objetivos de la auditoría. Si el trabajo del auditor identifica debilidades materiales de control. conclusiones y las recomendaciones a ser reportado.2 4.4 5. . servicios de terceros. notificada. La suficiencia de controles debe identificar una opinión incompetente es decir que los controles estén de conformidad con los controles generalmente aceptados en la practica para responsabilizarse por los objetivos de control. el auditor de SI debería de considerar reportar las debilidades a la gerencia que no son materiales. derroche alto. los costos de desarrollo irrecuperables.1. donde se registran los movimientos de inventario. falta de cualquier prácticas de control material para responsabilizarse por los objetivos de control.1 Esta Guía será efectiva para todo comienzo de auditoría de SI antes o después del 1 de septiembre de 1999.

ANTECEDENTES 1.1. Los hallazgos y conclusiones de la auditoria deberán ser soportados mediante un apropiado análisis e interpretación de dicha evidencia. S7) El auditor de SI debe suministrar un informe en un formato apropiado.G8 DOCUMENTACION DE AUDITORIA 1.1 1. Al emitirse el . El informe de auditoria deberá indicar el alcance. calificación o limitación que el auditor de SI tuviese en cuanto al alcance de la auditoria. 1. 1. al finalizar la auditoria. los objetivos. plazo y extensión de las labores de auditoria realizadas. el auditor de SI debe obtener evidencia suficiente.1. así como los recursos requeridos.2 Norma de auditoria de SI Realización de Labores de auditoria (Documento No. así como cualquier reserva.1 Relación con las normas Norma de auditoria de SI Planeación (Documento No.1. S5) El auditor de SI debe desarrollar y documentar un plan de auditoria que detalle la naturaleza y los objetivos de la auditoria. El proceso de auditoria deberá documentarse describiendo las labores de auditoria realizadas y la evidencia de auditoria que respalde los hallazgos y conclusiones del auditor de SI. El informe debe indicar los hallazgos. S6) Durante el transcurso de la auditoria. conclusiones y recomendaciones. el periodo de cobertura y la naturaleza.3 Norma de auditoria de SI Reporte (Documento No. los plazos y alcance. confiable y pertinente para alcanzar los objeticos de auditoria.

2 .2 1. cumple el requisito de negocio de TI para el cumplimiento de las leyes y reglamentos.2. Dicha conclusión debe documentarse claramente. S13) El auditor de Si debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoria.1 Relación con COBIT PO1 Definir un plan estratégico de TI.3.4 1.3 1. 1. minimizando los errores debidos a la solicitud incompleta. 1. S12) El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles. El auditor debe considerar determinar la forma de lograr la aplicación de las normas anteriores. centrándose en la evaluación de impacto de control. mientras que la reducción de la solución y la prestación de servicios defectos y trabajo. Esta guía ofrece orientación en la aplicación de las normas de auditoría IS.2.2.5 Norma de auditoria de SI Uso del trabajo de otros expertos (Documento No.informe del auditor de SI debe ser firmado. centrándose en seguimiento del control interno de los procesos de TI relacionados con las actividades y la identificación acciones de mejora. la autorización y ejecución de todos los cambios a la infraestructura de TI. centrándose en la identificación de necesidades de servicio.5 1. satisface el requisito de negocio de TI para garantizar la alineación de los principales servicios de TI con la estrategia de negocio.4 Norma de auditoria de SI Materialidad de auditoria (Documento No. usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación. satisface el requisito de negocio de TI de responder requisitos en la alineación con la estrategia de negocios. eficiencia e integridad Secundario: Eficacia y confidencialidad 1.conformidad.2 1.3. Los criterios de información más relevantes son: Primario: fiabilidad. 1. cumple el requisito de negocio de TI de la protección del logro de los objetivos de TI y el cumplimiento de TI relacionados con las leyes y reglamentos.3 1. aplicaciones y soluciones técnicas. y detener la aplicación de cambios no autorizados.1. de acuerdo los niveles de servicio y control de la consecución de niveles de servicio. DS1 Definir y gestionar el servicio. AI6 Administrar cambios. los costos y los riesgos. centrándose en la identificación de todas las leyes y reglamentos aplicables y el correspondiente nivel de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no .2. PO8 gestión de la calidad. ME3 Asegurar el cumplimiento reglamentario.7 1. fechado y distribuido de acuerdo con los términos del estatuto de auditoria o carta de compromiso. así como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.6 1.1.1 Necesidad de Lineamiento El propósito de esta guía es describir la documentación que el auditor de SI debe preparar y mantener para apoyo de la auditoría. supervisión de la ejecución en curso contra objetivos definidos y aplicación de un programa de mejora continua de servicios de TI.2. ME2 Supervisar y evaluar el control interno.2.2. centrándose en la incorporación de TI y la gestión empresarial en la traducción de los negocios a requisitos en las ofertas de servicios y el desarrollo de estrategias para ofrecer estos servicios de manera transparente y eficaz. satisface el requisito de negocio de TI de mantener o ampliar la estrategia de negocio y los requisitos de gobierno mientras que ser transparentes acerca de los beneficios. satisface el requisito de negocio de TI de continuo y mensurables la mejora de la calidad de los servicios prestados por IT se centra en la definición de sistema de gestión de la calidad (SGC). disponibilidad. y el significado de estas deficiencias. 1.

un registro de: Examen de la documentación de auditorias anteriores. La documentación debe ser presentada al comité de auditoría para su revisión y aprobación. El programa de auditoría y procedimientos de auditoría que satisfaga los objetivos de la auditoría. Los métodos utilizados para evaluar la adecuación del control. El control de versiones. las controversias y demandas. La documentación debe incluir la información pertinente requerida por la ley.1 Acuse de recibo de la persona adecuada de la recepción del informe de auditoría y los resultados. Los resultados de la auditoría. los casos de fraude. los reglamentos gubernamentales o las normas profesionales. 2. indexado.  La comprensión del auditor de los sistemas de procesamiento de la información y el control interno de medio ambiente. sobre todo cuando la documentación está en los medios de comunicación electrónicos. La documentación de auditoría debe ser completa.  Las pruebas de fondo.1. procesos de negocios. productos. como mínimo. la existencia de la debilidad de control o la falta de controles e identificar los controles de compensación.1. La evidencia de auditoría. 3. La planificación y preparación del alcance de la auditoría y los objetivos. estructurada. Auditado respuesta a las recomendaciones. Actas de las reuniones de revisión de la gestión. 2. incluido el:  Entorno de control     Los procedimientos de control Evaluación del riesgo de detección Evaluación de riesgos de control Igualar el riesgo total de auditoria    El autor y la fuente de la documentación de auditoría y la fecha de su conclusión. los saldos de las cuentas detalladas de ensayo y otros procedimientos sustantivos de auditoría. soporte del proveedor y de medio ambiente en general que se examina. fácil de usar y de entender por el revisor.  Evaluación del programa de auditoría en la función de control de calidad. clara.4 2. incluyendo:  Pruebas de conformidad. ejecución y revisión de las auditorias. DOCUMENTACIÓN Custodia.1 Documentación de Contenidos 2.1. las reuniones del comité de auditoría y de auditoría relacionados con otras reuniones. las conclusiones y recomendaciones.2. la fuente de la documentación de auditoría y la fecha de finalización. los procedimientos y los derechos de la segregación. Cualquier informe emitido como resultado de los trabajos de auditoría. PLANIFICACIÓN Y EJECUCIÓN 2. de los trabajos realizados y las pruebas de auditoría.    2.5 3. El uso potencial de la documentación incluye. IS auditores deben tener una comprensión de la industria.1 La documentación de auditoría es el registro de la auditoría. Los procedimientos auditoría realizados y las pruebas de auditoría que se reunieron para evaluar las fortalezas y debilidades de los controles.3 El alcance de la documentación del auditor depende de las necesidades de una auditoría especial y debe incluir cosas tales como:  La comprensión del auditor de las áreas a auditar y su entorno. que se basan en las políticas de prueba.2         La documentación debe incluir. las conclusiones y recomendaciones. que se basan en procedimientos analíticos.1.  Apoyo en circunstancias tales como reclamaciones de seguros. Revisión supervisora.  Demostración de las prestaciones de auditoría para cumplir con los requisitos según la Carta de Auditoría. pero no están limitados a:  Demostración de la medida en que el auditor ha cumplido con las Normas de Auditoría.  Asistencia en la planificación.  Facilitación de comentarios de terceros. el dominio de negocio.  Asistencia con el desarrollo profesional del personal. retención y recuperación .1.

profesional y de requisitos organizacionales.1.1 Relación con las normas 1.2 Las referencias principales son COBIT:  PO5 Administrar la inversión en TI  PO7 Administrar los recursos humanos de TI  PO9 Evaluar y manejar los riesgos de TI  PO10 Administrar proyectos  AI1 Identificar soluciones automatizadas .1. los objetivos. los procesos de COBIT más probabilidades de ser relevantes.1.1. el período de cobertura. 1.2 Las políticas y procedimientos deben estar en vigencia para comprobar y garantizar la custodia y adecuada conservación de la documentación que apoya resultados de la auditoría y las conclusiones durante un período suficiente para satisfacción legal. 4. a la realización de la auditoría. G9 CONSIDERACIONES DE AUDITORÍA DE LAS IRREGULARIDADES Y ACTOS ILÍCITOS 1.1 3. La guía ha sido revisada y actualizada a partir del 1 marzo de 2008.2. seleccionadas y adaptadas se clasifican aquí como primaria y secundaria.3.1 La selección de los materiales más relevantes en COBIT aplicables al ámbito de la auditoría especial se basa en la elección de los procesos de TI de COBIT específicos y la consideración de objetivos de control de COBIT y prácticas de gestión asociadas.2 Relación con COBIT 1.1. incluida la observancia de las normas aplicables de auditoría profesional". Los resultados de la auditoría y las conclusiones han de ser apoyadas por un análisis adecuado y la interpretación de esta evidencia ".3 Norma S6 actuación de los Estados trabajo de auditoría: «Durante el curso de la auditoría. en una forma apropiada. FECHA DE VIGENCIA Esta directriz revisada esta vigente para todas las auditorias que comiencen a partir del 1 de septiembre de 1999. La documentación debe ser organizada.1. El informe de auditoría deberá indicar el alcance. 1. 4. 1. confiable y relevante para alcanzar los objetivos de la auditoría. ANTECEDENTES 1.2 Norma S5 Planificación: "El auditor debe planificar la cobertura de la auditoría de sistemas de información para abordar los objetivos de auditoría y para cumplir con las leyes y normas profesionales de auditoría".2.1 Norma S3 Ética Profesional y los estados de normas: "El auditor debe ejercer la debida diligencia profesional. 1. y la naturaleza. 1. el auditor de SI debe obtener evidencia suficiente.1.5 Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones por los auditores es sobre irregularidades y actos ilícitos.4 Estándar S7 Estados informantes: "El auditor deberá presentar un informe. 1. conclusiones y recomendaciones y las reservas o las cualificaciones o limitaciones en el alcance que el auditor de ha con respecto a la auditoría ". Para hacer frente a las consideraciones de auditoría de los auditores es con las irregularidades y actos ilegales. El informe debe indicar los resultados. almacenada y protegida de forma adecuada en los medios en que se mantiene y debe seguir siendo fácilmente recuperable por un tiempo suficiente para satisfacer las políticas y procedimientos definidos anteriormente. el calendario y el alcance del trabajo de auditoría realizado.1. El proceso y los objetivos de control para ser seleccionadas y adaptadas pueden variar en función del ámbito específico de aplicación y los términos de referencia de la cesión.

integridad y disponibilidad Secundaria: La fiabilidad.2 2.    1.4 AI5 Procurar recursos de TI Me2 Supervisar y evaluar los controles internos ME3 Asegurar el cumplimiento normativo ME4 Proporcionar el gobierno de TI Las referencias secundarias son COBIT: PO3 Determinar la dirección tecnológica PO4 Definir los procesos de TI.2.1 2.3. usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación. El auditor debe considerar en la determinación de la forma de lograr la aplicación de las normas previamente identificados. la eficiencia y la eficacia Necesidad de Lineamiento El propósito de esta guía es proporcionar orientación a los auditores es para hacer frente a las actividades irregulares o ilegales que puedan parecer.3 1. Las irregularidades incluyen.1 2.2. Esta guía ofrece orientación en la aplicación de las normas de auditoría IS.3.  En cuanto a la superficie de auditoría o de la organización como un todo.2 2. 2. y la complicidad o la ayuda a ocultar este tipo de actividades. La determinación de las actividades fraudulentas depende de la definición legal de fraude en la jurisdicción relativa a la auditoría. DEFINICIONES No actividades irregulares fraudulentas No todas las irregularidades deben ser consideradas las actividades fraudulentas. uso no autorizado de los bienes o servicios.  Errores u omisiones deliberadas de la información.3 1. Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones de los auditores es con las irregularidades y actos ilegales. pero no limitado a.  Negligencia grave.1 1.1 . durante el desempeño de las tareas de auditoría.  Violaciones intencional de los requisitos reglamentarios. la confidencialidad. pero no limitado a: 1.  No intencionales actos ilegales Irregularidades y actos ilícitos Irregularidades y actos ilegales pueden incluir actividades tales como. la organización y las relaciones de PO8 gestión de la calidad DS7 Educar y formar a los usuarios DS10 Administrar los problemas ME1 Monitorear y evaluar el desempeño de TI Las más relevantes son los criterios de información de COBIT: Primaria: El cumplimiento. Las irregularidades no fraudulentas pueden incluir:  Violaciones intencional de la política de gestión establecidos.2. la elusión deliberada de los controles con la intención de ocultar la perpetuación de fraude.1.

Los actos que implican el incumplimiento de las leyes y reglamentos.2. RESPONSABILIDADES Responsabilidades de administración Es principalmente la responsabilidad de gestión para prevenir y detectar las irregularidades y actos ilícitos. evaluar el impacto de las irregularidades detectadas.2. Registro de las transacciones en los registros financieros o de otro tipo (ya sea en formato electrónico o en papel) que carecen de sustancia y se sabe que son falsos. vendedores. que violan la propiedad intelectual (IP). detección e irregularidades de presentación de informes. El auditor puede esperarse razonablemente para detectar:  Irregularidades o actos ilegales que podrían tener un efecto material en cualquiera de la zona bajo control o de la organización en su conjunto. la falsificación. y la acción. Una auditoría no puede garantizar que las irregularidades se detecten.2.1 3. si las hubiere. incluyendo el fracaso de los sistemas de TI para cumplir con las leyes y reglamentos aplicables. Cuando un acto de irregularidad o ilegalidad se alega. La concesión de acceso no autorizado a la información y sistemas. la Carta de Auditoría debe incluir una declaración a ese efecto.1 3. por ejemplo.3 3.2 3. Los actos que implican el incumplimiento de los acuerdos de la organización y los contratos con terceros.2 3. implementar y mantener sistemas de control interno para prevenir y detectar irregularidades o actos ilegales.2.1. implementar y mantener sistemas adecuados para la notificación. Responsabilidades de los Auditores de SI El auditor de SI debería considerar la posibilidad de definir en la carta de auditoría o carta de compromiso de las responsabilidades de gestión y auditoría con respecto a la prevención. La apropiación y uso indebido de IS-IS y no activos. Los errores en los registros financieros o de otro tipo que surgen debido a un acceso no autorizado a los datos y sistemas.2. El auditor de SI debe ser razonablemente familiarizado con el tema a ser capaz de identificar los factores de riesgo que pueden contribuir a la ocurrencia de actos irregulares o ilegales.1 3. investigar e informar de ello. con independencia de si el acto ha sido confirmado o presunto de ilegales. Fugas inapropiado o deliberada de información confidencial.  Diseñar. proveedores de servicios y partes interesadas.  Políticas y procedimientos que rigen la conducta de los empleados.2 El fraude.1. supuesta. se sospecha ni se detecta. las irregularidades podrían pasar desapercibidas. El auditor de SI es responsable de evaluar el riesgo de irregularidades o actos ilegales que ocurren.1. El auditor debe preocuparse principalmente con el efecto o el efecto potencial de la acción irregular.2.  Deficiencias en los controles internos que podrían dar lugar a importantes irregularidades o actos ilegales que no se eviten o detecten.1. marcas o patentes.3 3.4 3. Cuando estas funciones ya están documentados en la política de la organización o documento similar. 3. Los actos intencionales o no intencionales.           2. El auditor también debe considerar la documentación de este punto en la carta de auditoría o carta de compromiso de. La gestión debe revelar al auditor de su conocimiento de las irregularidades o actos ilegales y las zonas afectadas.  Validación de cumplimiento y procedimientos de vigilancia.2 3.5 3. tales como bancos. que es cualquier acto que implique el uso de engaño para obtener ventaja ilegal. registro y gestión de los incidentes relacionados con irregularidades o actos ilegales. la gestión debería ayudar en el proceso de la investigación y la indagación.2. o la participación en la gestión de las irregularidades. El auditor de SI debe informar al comité de auditoría (o equivalente) y de gestión.6 . aun cuando no se detecta ninguno.  Los controles internos incluyen la revisión de las transacciones y procedimientos de aprobación y revisión de la gestión. el auditor tiene la obligación de realizar los procedimientos para detectar. si hay colusión entre los empleados. Gestión suelen utilizar los siguientes medios para obtener una seguridad razonable de que las irregularidades y actos ilegales son prevenir o detectar en forma oportuna:  Diseñar. El auditor de SI debe entender que los mecanismos de control no elimina completamente la posibilidad de irregularidades o actos ilegales que ocurren. tales como los derechos de autor. cuando él / ella ha identificado situaciones en que un mayor nivel de riesgo existe para un posible irregularidad o acto ilegal. El auditor no es profesional y responsable para la prevención o detección de irregularidades o actos ilegales. Incluso cuando una auditoría es proyectado y realizado de forma adecuada. Cuando el auditor de SI dispone de información específica acerca de la existencia de una irregularidad o acto ilegal. la falsificación o alteración de registros o documentos (ya sea en formato electrónico o en papel). y el diseño y la realización de pruebas que son apropiadas para la naturaleza de la misión de auditoría. adoptadas por la administración. La determinación de si un determinado acto es ilegal por lo general se basa en el asesoramiento de un experto informó calificado para ejercer la abogacía o pueden tener que esperar la determinación final por un tribunal de justicia. proveedores. la colusión entre los empleados y los de afuera. Supresión u omisión de los efectos de las transacciones de los registros o documentos (ya sea en formato electrónico o en papel). para que estos se entienden claramente para todos los trabajos de auditoría. presunta o probada. 3. La manipulación.4 3.

3 5.  Los tipos de los activos poseídos.  Otras irregularidades o actos ilegales que se refieren a la suficiencia de los controles de la organización.  Evaluación de la fuerza de los controles pertinentes y las vulnerabilidades de eludir o evadir los controles establecidos.2 4. 4.  Relaciones con los interesados y los mercados financieros. la indemnización y las estructuras de recompensa.7 todo.  Como el riesgo de irregularidades o actos ilegales es gestionar o monitorizar.1 4. 5.  La industria y el entorno competitivo en que opera la organización.  Políticas internas tales como "sirena de alerta de política.  Irregularidades y actos ilegales que son comunes a una industria en particular o se han producido en organizaciones similares. o servicios ofrecidos. PLANEACION DEL TRABAJO DE AUDITORIA Planificación de la Participación Mientras que El auditor no tiene la responsabilidad explícita a detectar o prevenir actos ilícitos o irregularidades.1 5. por ejemplo.  La historia de las conclusiones de la auditoría de las auditorías anteriores.1 Los auditores de SI deben asegurarse de que son independientes de la materia durante la misión de auditoría Los auditores de SI están obligados a consultar la norma S9 irregularidades y actos ilícitos para una discusión detallada sobre responsabilidades de los auditores de SI. sino que afectan a la organización. Como parte del proceso de planificación y ejecución de la evaluación de riesgos.  Existencia de in-house desarrolladas / gestionada aplicación de sistemas. la subcontratación.2. la ética empresarial.1.  Los recientes cambios en la gestión. En la preparación de esta evaluación.2 . en comparación con paquetes de software.  La confidencialidad y la integridad del mercado de la información crítica. 3.  Pobre financieros de organización y / o el rendimiento operativo.  Las leyes nacionales y regionales en la jurisdicción opera la empresa y el alcance de la coordinación del departamento jurídico con el comité de riesgos y el comité de auditoría.  Capacidades de los recursos humanos. las apariciones pasadas de las irregularidades. EVALUACIÓN DEL RIESGO Planificación de la Evaluación de Riesgos El auditor de SI deberá evaluar el riesgo de ocurrencia de irregularidades o actos ilegales relacionados con el área de auditoría a raíz de la utilización de la metodología apropiada.  ¿Qué procesos se encuentran para comunicar a los interesados que corresponda sobre la existencia de riesgo de irregularidades o actos ilegales. estructura organizativa.1 5. la adecuación de la supervisión. el auditor de SI debe consultar a la gestión con respecto a cosas tales como la:  Su conocimiento acerca del nivel de riesgo de irregularidades y actos ilegales de la organización. dirección organización. y las actividades posteriores adoptadas para mitigar o reducir al mínimo las conclusiones relativas a las irregularidades.1.  Irregularidades o actos ilegales que no afectan a los registros financieros. Impactos resultantes de las nuevas asociaciones estratégicas. los sistemas de negocio. y el empleado y el código de gestión de la ética.1. Al planificar el compromiso. el auditor de SI debe diseñar los procedimientos para detectar los actos ilícitos o irregularidades basado en el nivel de riesgo que pudieran producirse.  La actitud de la Administración con respecto a la ética.  La historia de la organización. La evaluación de riesgos debe tener en cuenta sólo aquellos factores que son relevantes para la organización y el tema de la participación.  Si tienen conocimiento de irregularidades y actos ilegales que hayan o pudieran haber ocurrido en contra o dentro de la organización.1. en la medida de las presiones del rendimiento corporativo. las operaciones o los sistemas de IS y la dirección estratégica de la organización actual. incluyendo los factores de riesgo relativos a:  Irregularidades o actos ilegales que afectan a los registros de contabilidad financiera. la política de información privilegiada.3.  El efecto de la insatisfacción de los empleados.  Despidos potenciales. la cesión o de reestructuración.8 4.  La sofisticación técnica y la complejidad del sistema de información (s) de apoyo a la zona bajo control.  Resultados de las revisiones llevadas a cabo fuera del alcance de la auditoría.  Documentación de procesos y un sistema de gestión de calidad.  Los requisitos reglamentarios aplicables o jurídicas.  Conclusiones que han surgido durante el día a día de curso de los negocios. el auditor de SI debe obtener una comprensión de las cosas tales como: 4.2. y su susceptibilidad a las irregularidades. tales como las conclusiones de los consultores.  La existencia de activos que son fácilmente susceptibles a la apropiación indebida.1. los equipos de control de calidad o investigaciones específicas de gestión. el auditor de SI debe considerar factores tales como :  Características organizativas.

1.1.1. magnitud y oportunidad de los procedimientos realizados durante un combate. procesar.2.2 5. El mecanismo que la organización utiliza para obtener. controlar y garantizar el cumplimiento de las leyes y reglamentos que afectan a la organización. La evaluación también debe incluir una evaluación de los resultados de los procedimientos para determinar si los indocumentados existen factores de riesgo.2 6. Como se dijo anteriormente. 6. Cuando el auditor de situaciones en las que ha identificado una irregularidad o acto ilegal existe (ya sea potencial o de hecho). Procedimiento de compromiso El auditor debe diseñar procedimientos para la participación que tengan en cuenta el nivel de riesgo de irregularidades y actos ilegales que han sido identificados.1 6.2. los factores de riesgo identificados en la sección 4 debería revisar los procedimientos reales que han realizado para ofrecer garantías razonables de que todos los riesgos identificados se han abordado.1.5 6. Cuando una irregularidad afecte a un miembro de la gestión. el auditor de SI debe considerar el efecto potencial sobre la materia objeto de la contratación.1. si es posible). el auditor de SI debe considerar la adopción de los siguientes pasos:  Obtenga una comprensión de la naturaleza del acto  Comprender las circunstancias en que se produjo. el funcionamiento y la eficacia de la organización interna de controles. El auditor debe trabajar con el personal adecuado en la organización (tales como personal de seguridad de la organización). EJECUCIÓN DE LAS TAREAS DE AUDITORÍA En respuesta a posibles actos ilegales Durante un enfrentamiento.3 6.8 . el auditor de SI debe asumir que una irregularidad o acto ilegal no es un hecho aislado. Validación de cumplimiento y procedimientos de vigilancia.1.3 5. o en la organización como un todo.3.1 5. se identifican. A menos que las circunstancias indican claramente lo contrario. el auditor de SI debe trabajar con un nivel adecuado de la gestión por encima de la asociada con la irregularidad o acto ilegal. por lo general. El alcance de estas modificaciones o procedimientos adicionales depende de la es el juicio del auditor en cuanto a:  Tipo de irregularidades o actos ilegales que hayan ocurrido  Percepción de riesgo de su aparición  Posible efecto sobre la organización. Cuando esta evaluación se realiza. El auditor de SI debe preguntar a la TI y la gestión de usuarios (según corresponda) sobre el cumplimiento de las leyes y reglamentos.1. El auditor también deben revisar las partes pertinentes de los controles internos de la organización para determinar por qué no prevenir o detectar la presencia de una irregularidad o acto ilegal. 5.6 6.3. la oportunidad y el alcance de las pruebas necesarias para obtener evidencia de auditoría suficiente de certeza razonable de que: Irregularidades que podrían tener un efecto material en la zona bajo control. Las deficiencias de control que no puedan evitar o detectar irregularidades materiales son identificados Todas las deficiencias importantes en el diseño o el funcionamiento de los controles internos que podrían afectar a la capacidad del emisor para registrar. el auditor de SI debe modificar los procedimientos para confirmar o resolver el problema identificado durante la ejecución de la contratación.3. Las políticas y procedimientos que rigen la conducta de los empleados.4 6. indicios de que la existencia de irregularidades o actos ilegales pueden venir a la atención de la SI de los auditores.5. El entorno de control interno. incluyendo las cosas tales como los efectos financieros y la reputación de la organización  La probabilidad de la repetición de irregularidades similares o actos ilegales       5. Los resultados de la evaluación de riesgos y otros procedimientos realizados durante la planificación se debe utilizar para determinar la naturaleza. El auditor de SI debe utilizar los resultados de la evaluación de riesgos. el informe y la organización.  Obtener información de apoyo suficiente para evaluar el efecto de la irregularidad o acto ilegal.2. para determinar si una irregularidad o acto ilegal se ha producido y su efecto . el auditor de SI debe reconsiderar la fiabilidad de las representaciones hechas por la administración.3 6.1 6. Evaluación de los resultados de los procedimientos de compromiso El auditor de SI debe revisar los resultados de los procedimientos de contratación para determinar si indicios de irregularidades o actos ilegales pueden haber ocurrido. Una comprensión básica de las operaciones de la organización y los objetivos. incluida la gestión (en un nivel adecuado por encima de los implicados. El entorno jurídico y normativo en el que opera la organización.3.  Realizar procedimientos adicionales para determinar el efecto de la irregularidad o acto ilegal y si los actos adicionales existen.4. El auditor debe reconsiderar la evaluación previa de la suficiencia.2 5. sintetizar y comunicar los datos de negocio son identificadas. Si se detectan indicios de un acto ilegal. Cuando el auditor de se da cuenta de la información relativa a un acto ilegal sea posible.2. para determinar la naturaleza.7 6.1 5.1.2 5.

2. los resultados deben ser reportados de manera confidencial a los órganos rectores de la organización. a la reducir el potencial de los individuos para destruir o eliminar las pruebas. El auditor puede querer definir la responsabilidad de los costes jurídicos en la carta de auditoría o carta de compromiso.4 6. Además. él / ella debe identificar la figura responsable correspondiente en la organización a la que estas conclusiones deben ser reportados. incluyendo: • Más abuso de las debilidades de control como consecuencia de la publicación de detalles de ellos • Pérdida de clientes. La notificación debe ser dirigida a un nivel de gestión por encima de aquella en que las irregularidades que se sospecha que se han producido. comité de auditoría de la Junta. el auditor de SI debe considerar la búsqueda de asesoramiento jurídico directamente o recomendar que la gestión de buscar asesoramiento legal. por ejemplo.1 7. han participado en irregularidades o tolerada Efecto de los indicadores de localización de las irregularidades Si las pruebas de auditoría indica que las irregularidades podrían haber ocurrido.1.1. es especialmente importante que el auditor de mantiene la independencia. síndicos o comité de auditoría. Además. la razón de la dirección de la desviación y dictámenes del auditor sobre tales desviaciones El auditor debe tratar de evitar alertar a cualquier persona que pueda estar implicado o implicados en la irregularidad o acto ilegal. o estar involucrados con la ley. u órgano equivalente.3. o empleados que tienen un papel importante en los controles internos del emisor.3 7. o las acciones apropiadas. En la determinación de las personas adecuadas para que informe a una irregularidad o acto ilegal. el auditor de SI debe considerar la posibilidad de continuar la auditoría cuando: • El efecto de las irregularidades que parece ser tan significativo que suficiente.1.1 7. incluidos los que no participan en la irregularidad. 7. tales como la junta de directores o gobernadores. el auditor de SI debe considerar todas las circunstancias pertinentes.2 6. Consideraciones Legales Si las pruebas de auditoría indica que una irregularidad que podría implicar un acto ilegal. la irregularidad o ilegal Las acciones. el auditor de SI debe evaluar el efecto de estas actividades en los objetivos de auditoría y sobre la fiabilidad de las pruebas de auditoría recopilados. como la confianza en la gestión y el futuro de la organización cae.1.1 6.4 7. PRESENTACIÓN DE INFORMES 7. Si la sospecha es que el auditor de la gestión de todos los niveles están implicados.1. la duración y extensión de los procedimientos adicionales para llevar a cabo con un nivel adecuado de gestión que por lo menos un nivel por encima de las personas que parecen estar implicados.1. la evidencia de aud itoría confiable no se puede obtener • La evidencia de auditoría indica que los directores. cuando la divulgación (autorizadas o no) se produce fuera de la organización • Pérdida de personal clave y de gestión. El auditor es el informe debe incluir: • Las políticas de críticas y prácticas adoptadas por la organización • Si cualquier desviación de las normas generalmente aceptadas.1 Comunicación Interna La detección de irregularidades deben ser comunicados a las personas adecuadas en la organización de una manera oportuna. En estas circunstancias. 6.6 . a continuación. la revocación de un certificado de no esenciales.     6. Si la presentación de informes internos resulta imposible. proveedores e inversores. las conclusiones y recomendaciones. el auditor de que: • Recomendar a la gestión que el asunto sea investigado en detalle. el auditor de SI debe considerar consultar con el comité de auditoría y asesoramiento jurídico sobre la conveniencia y los riesgos de informar sobre los resultados fuera de la organización.3 6.5 7. El auditor debe considerar la presentación de informes de la irregularidad por separado de cualquier otros problemas de auditoría si esto ayudaría en el control de la distribución del informe. El auditor debe utilizar su juicio profesional al informar de una irregularidad o acto ilegal. La presencia y el efecto de las irregularidades es un tema delicado y de informar de ellos conlleva sus propios riesgos. Efecto sobre el interés público que pueda resultar de la irregularidad. Si la sospecha es que el auditor de gestión está involucrado en la irregularidad. de acuerdo con las regulaciones locales y leyes aplicables.2 7. en su caso. Efecto de la que se detecten irregularidades Si se han detectado irregularidades.1 Posibilidad de que la gestión puede tener conocimiento de. pueden ser impuestas como consecuencia de su incumplimiento. incluida la posibilidad de la participación de la alta dirección. La distribución interna de los informes de irregularidades deben ser considerados cuidadosamente. que el Consejo de Administración y / o de gestión se está Posibilidad de que el incumplimiento de las leyes y reglamentos que se ha producido sin querer Probabilidad de que un bien material o de otras sanciones. El auditor debe discutir las conclusiones y la naturaleza.4. las irregularidades deben ser reportados a la junta directiva. • Realizar acciones adecuadas para apoyar las conclusiones de la auditoría. salvo para los asuntos que son claramente insignificantes en términos de efectos financieros y las indicaciones de los puntos débiles de control.

FECHA DE VIGENCIA 8 8.2.1 7.6 7. se destacan: •La participación activa de gestión auditado en la irregularidad.3.2. el informe debe ser aprobado por el nivel adecuado de gestión de la auditoría externa antes de su liberación y también debe ser revisada con la gestión auditada por anticipado.5 7.2 7.2. Si la organización no ponen de manifiesto una irregularidad conocida o acto ilegal o requiere que el auditor de suprimir estos resultados. Esta guía ha sido revisada y actualizada. con la aprobación de la gestión de auditoría. . o los individuos involucrados en la detección de las irregularidades. Esta restricción se puede producir si: • El auditor no ha podido llevar a cabo los trabajos que se consideren necesarios para cumplir los objetivos de la auditoría inicial y el apoyo a las conclusiones de auditoría. el auditor de SI debe buscar asesoría legal y asistencia letrada. Cuando el auditor de gestión es consciente de que está obligada a informar las actividades fraudulentas a una organización independiente. debido a las pruebas de auditoría fiables.1 Exteriores de informes Informes externos pueden ser una obligación legal o reglamentario. En algunas jurisdicciones.2 7.7. el auditor de SI debe considerar la presentación del informe de los auditores externos de una manera oportuna. Estos incluyen cosas tales como: •Cumplimiento de requisitos legales o reglamentarios •Las solicitudes de auditor externo •Citación u orden judicial • Agencia de Financiación o agencia gubernamental. Si la irregularidad se ha detectado por un auditor de que no es parte del equipo de auditoría externa.2.2.3 7. El auditor. Sin embargo. de conformidad con los requisitos para las auditorías de las entidades que reciben asistencia financiera gubernamental. Incluso en situaciones en que se auditor son protegidos por el secreto. La obligación puede aplicarse a la gestión de la organización. Restricción de la Alcance de la auditoría Cuando el alcance de la auditoría se ha restringido. a menos que la normativa aplicable o las circunstancias específicas de la auditoría de prevenir esto. junto con las irregularidades y sustituye G19 y actos ilícitos. el auditor de puede ser obligado a revelar una irregularidad o acto ilegal. Si se exige la presentación de informes externos. a partir del 1 septiembre de 2008.2. o ambas cosas. el auditor de SI debe considerar consultar con el comité de auditoría y asesoramiento jurídico sobre la conveniencia y los riesgos de informar sobre los resultados fuera de la organización.1 Esta directriz es efectiva para todas las auditorías es que comiencen a partir del 1 de marzo de 2000. No obstante lo responsabilidad de una organización para informar de un hecho ilícito o irregularidad. debe presentar el informe a los reguladores adecuados en forma oportuna. por ejemplo. IS auditores deben buscar asesoramiento jurídico antes de tomar este tipo de divulgación a fin de que en realidad están protegidas por este privilegio. •Gestión de la aquiescencia pasiva auditado a la irregularidad Si la administración auditado no está de acuerdo a la versión externa del informe y presentación de informes externos es una obligación legal o reglamentario.4 7. la falta de recursos o de las restricciones impuestas a las actividades de auditoría de gestión • La administración no ha llevado a cabo las investigaciones recomendadas por el auditor d e SI. el auditor de puede ser protegida por el secreto cualificado. el auditor de SI debe incluir una explicación de la naturaleza y efecto de esta restricción en el informe de auditoría. el auditor de informar formalmente a la gestión de esta responsabilidad.3 7. en determinadas circunstancias. el auditor tiene el deber de confidencialidad a la organización se opone a informar de cualquier irregularidad potencial o identificados o actos ilegales. Ejemplos de circunstancias específicas que pueden impedir la obtención de un acuerdo de gestión auditado.

1. para actividades relacionadas con los SI. basados en estimaciones probabilísticas de ocurrencia de eventos adversos.3. Los hallazgos de auditoria y sus conclusiones deberán ser respaldadas por un apropiado análisis e interpretación de esta evidencia. El párrafo 2. ME2 Monitorear y evaluar los controles internos. al determinar como lograr una implementación de los estándares S5 y S6. 1. deberá usar su juicio profesional para esta tarea. El auditor en SI debe considerar esta.3. integridad.1 de la Guía de Auditoria de SI G15 planeación del trabajo: “una evaluación del riesgo debe de ser hecho para proveer seguridad razonable de los asuntos materiales. e identificando oportunidades de mejora. cumplimiento y fiabilidad 1.3. estas se basan en estándares de auditoria efectuadas por los auditores financieros. selectivo.4. El estándar S6.1. Referencias Secundarias:  ME3 Garantías del cumplimiento normativo  ME4 proveer al gobierno que rigen los SI Los atributos de la información mas relevantes son:  Primarios: confidencialidad. 1. Estas exposiciones pueden ser reducidas por una implementación adecuada de controles. el Auditor de SI deberá obtener evidencia suficiente y relevante. es una decisión subjetiva hecha por el auditor de SI.4. es una exposición que puede resultar en eventos indeseables e inesperados. 1. Por ejemplo.1.1 NECESIDAD POR UNA GUÍA El nivel del trabajo de auditoria requerido para cumplir un objetivo especifico. Por ejemplo. 1. y las consideraciones de los controles objetivos y las practicas asociadas de manejo de COBIT. regulaciones y contratos relativos a estos. otro seria el considerado riesgo de error ocurrido in el área que esta siendo auditada (riesgo de Error). .4.3. La selección del material más relevante en COBIT aplicables al ámbito especial de la auditoría se basa en la elección que los especifica de los procesos COBIT para procesos de los SI. enfocándose en monitorear el los procesos de control interno. Practicas son recomendadas para la evaluación del riesgo en la realización de auditorias financieras.2. Miembros de la administración también basan sus decisiones en cuanto a que nivel de control evaluación del riesgo es apropiado aceptar. pero esta destinada a reducir el daño causado por este. asimismo para cumplir con las leyes aplicables y con los standards profesionales de auditoria.2.3. el riesgo de llegar a una conclusión incorrecta basada en los hallazgos (dentro de auditoria basada en riesgo) es uno de los aspectos a ser tomados en cuenta por esta decisión. P09 Evaluar y gestionar los riesgos en los SI cumple con los requisitos que demandan los SI de analizar y comunicar los impactos potenciales en procesos de negocios y las metas por enfoque en el desarrollo de una estructura de manejo de riesgo. RELACIÓN CON EL COBIT 1. disponibilidad  Secundarios: Efectividad. Esta guía puede ser utilizada en combinación con el procedimientos de auditoria de P1 “medición de la evaluación del riesgo de SI” 1. eficiencia. Desempeño de los trabajos de auditoria. este los clasifica como primarias y secundarias.2 1. esto deberá ser cubierto adecuadamente durante el trabajo de auditoria.3. El Standard s5 “planeación de los estados: “el Auditor de SI deberá planear la cobertura de la auditoria para hacer frente a los objetivos de auditoria.2. evaluación de riesgo. para lograr los objetivos de auditoria.5 1.1. La presente guía provee el lineamiento aplicación de los estándares de auditoria de SI. 1. que este integrada con las estructuras de manejo de riesgo operacional.4. una alarma de fuego no previene el fuego.1. Esta evaluación debe identificar áreas con elevado riesgo de que un problema material exista. 1. Para cumplir con la documentación de auditoria requeridos para los auditores de SI.3. Estos controles son ordinariamente.1. 1. es satisfecho en los negocios por los objetivos de proteger y ejecutar objetivos de los SI.1. 1. pero una guía es requerida sobre como aplicar dichas técnicas a la auditoria de SI. y deberá estar preparada para justificar cualquier desviación. la incapacidad de que una computadora no procese un periodo de tiempo.G13 USO DEL RIESGO DE AUDITORIA EN LA PLANEACION DE LA AUDITORIA 1.2. litigación de riesgo y la comunicación del riesgo residual. cumpliendo con las leyes.3. el proceso en COBIT tiene más probabilidades de ser relevante.4.4 1.3 2 PLANEACIÓN. ANTECEDENTES RELACION CON LAS NORMAS 1. VRELACION CON LOS PROCEDIMIENTOS 1. y están destinados a disminuir estos.

el auditor en SI debe considerar lo siguiente:  El tipo de información a ser recolectada (algunos sistemas usan los criterios financieros como una medida.3.2 2. A la hora de decidir cual es la metodología de evaluación del riesgo mas apropiada.2 2.3 2.1 2. Por ejemplo.2 2.: el plan de e-commerce.1 2. y el costo de recolectar esta información (incluyendo el tiempo requerido que será invertido en el ejercicio de recolección)  La opinión de otros usuarios a cerca de la metodología.2 2.: cambios en las tecnologías. Sistemas y a muchos usuarios.3. El auditor de SI deberá considerar el nivel de complejidad y detallar apropiadamente la metodología para la organización que esta siendo auditada.3 2. La evaluación del riesgo. para usar una metodología en particular. la falta de sistemas integrados)  Factores que afectan a la industria a la cual la compañía evaluada pertenece (Ej. y sus revisiones de que tan bien les ha ayudado a promover la eficiencia y/o efectividad en sus auditorias. debe considerar generalizada y detalladamente los controles de SI.2.  En que medida la información requerida estará disponible. asumiendo que esos errores no están relacionados al control interno.3. disponibilidad de soporte técnico)  El nivel de la influencia de terceros en el control de los sistemas auditados (Ej. en el sentido que puede ser material individual o conjuntamente con otros errores. las hay para efectuar cálculos complejos y aparentemente científicos. El auditor en SI deberá identificar las decisiones subjetivas requeridas. determinando su nivel de totalidad:  riesgo inherente  riesgo de control  riesgo de detección RIESGO INHERENTE El riesgo inherente es la susceptibilidad que un área posee a un error. el auditor de SI.1.1.3. 2. como medio de determinar el tipo de nivel de trabajo de auditoria llevada a cabo.: debidos a la cadena de abastecimiento. el riesgo inherente asociado con seguridad en los sistemas operativos. confían en juicios subjetivos en algún punto del proceso (EJ. Existen muchas metodologías de evaluación del riesgo disponibles. Periódicamente el auditor de SI deberá reevaluar que tan apropiada sigue siendo la metodología de evaluación del riesgo adoptada. eso no es apropiado para la auditoria de SI)  El costo del programa o de las licencias requeridas para usar tal o cual metodología. complejidad de los sistemas.5 Selección de la metodología de evaluación de riesgo. ya que el cambio. como mínimo.1 2. El riesgo inherente para la mayoría de las auditorias en los sistemas de información. un análisis (con su metodología) de los riesgos en la entidad resultado de pérdida o disponibilidad de soporte de controles. dentro de las cuales los auditores en SI deben escoger. estas se basan en el juicio del auditor. integridad de los datos.1.  La voluntad de la administración para aceptar la metodología.4 2. Los auditores en SI deben incluir.1.  En monto adicional de información requerida o que será recolectada antes de que la información fiable pueda ser obtenida. o incluso la divulgación de los datos o programas.3 2. Esto no aplica para circunstancias donde el auditor de SI esta asignado a evaluar únicamente los controles generales Dentro de los controles generalizados. podría dar lugar a un falso manejo de la información o desventajas competitivas.  La naturaleza del negocio de la organización y sus sistemas (Ej. Todas las metodologías de evaluación del riesgo. en el desarrollo de todo el plan de la auditoria y su planeación especifica. es alto. ponderación de parámetros).2. para determinar el nivel apropiado de control dentro del área en cuestión deberá considerarse:  La integridad del manejo de los SI así como la experiencia y conocimiento  Cambios en el manejo  Presiones en el manejo de los SI que pueden predisponer. procesos de SI mercerizados. en combinación con otras técnicas de auditoria. cuando un apropiado análisis demuestra que estas no son utilizadas para propósitos de negocios-delicados. o perdida de la confidencialidad de la información. su riesgo es bajo. ocultar o declarar errónea la información (ejemplo: proyectos de negocio grandes y críticos. Una sola metodología de evaluación de riesgo no puede esperarse que sea apropiada en todas las situaciones. para proveer una valoración. el nivel de control deberá ser considerado por el auditor de SI. actividad maliciosa de hackers). las condiciones que afectan las auditorias pueden cambiar todo el tiempo. extensión y tiempo en los que se efectuaran los procedimientos de auditoria  las áreas del negocio que serán auditados  la cantidad de tiempo y los recursos que serán utilizados en la auditoria El auditor de SI debe considerar cada uno de los siguientes tipos de riesgo. es ordinariamente alto.4 . Uso de la evaluación del riesgo Los auditores de SI debes usar las técnicas de evaluación de riesgos seleccionadas.2. a través de las debilidades de seguridad del sistema operativo. y considerar si esos juicios pueden ser validados en un nivel de precisión adecuado. Dentro de la evaluación del riesgo inherente. deben ser consideradas in orden de efectuar decisiones de planeación tales como:  la naturaleza.1 2. Estas van desde las más simples hasta las más complicadas. acceso directo de los clientes)  Verificar las fechas de auditorias previas. ya que los efectos de los errores se replican a muchas áreas de negocio. En contraste el riesgo inherente asociado con la seguridad de una PC que no esta conectada a una red.1. negocios conjuntos.

el riesgo de control asociado con revisiones manuales de accesos a computadoras puede ser alto porque las actividades que requirieren investigación son a menudo extraviadas fácilmente. La documentación por lo general debería incluir:  Una descripción de la metodología de evaluación del riesgo utilizada  La identificación de exposiciones significantes y sus correspondientes riesgos  El riesgo y sus exposiciones.4. Por ejemplo.: el inventario. Algunos ejemplos incluyen los conocimientos requeridos debido a la naturaleza técnica de las tareas que deben realizarse.2. el nivel apropiado.1 DOCUMENTACION El auditor de SI debe.4 2.5 En los controles de SI detallados. El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoría. experiencia relevante.1 2.2 2. La mayor parte de la evidencia de auditoria debe obtenerse de los procedimientos sustantivos y de detalle. el auditor de Si debe considerar lo siguiente:  La evaluación del riesgo inherente  La conclusión alcanzada en el riesgo de control siguiendo las pruebas de cumplimiento. . recursos. Por ejemplo. EJECUCION DEL TRABAJO DE AUDITORIA 3. y que este pueda ser material.3. a menos que los controles relevantes sean:  Identificados  Evaluados como efectivos  Probados.3 3.1.5. usadas para la auditoria en cuestión. competencias. antes de su contratación. el riesgo de detección asociado con la identificación de infracciones de seguridad en un sistema es algo porque los registros de todo el periodo auditado no están disponibles al momento de la auditoria. RIESGO DE CONTROL El riesgo de control es aquel riesgo de sufrir algún error en el área auditada. El auditor de SI debe evaluar.: uso de sistemas utilitarios para modificar info.4. individual o combinado con otros errores. considerar el uso del trabajo de otros expertos para realizar la auditoría.2 2. debido al volumen de accesos al equipo. El auditor de SI debe evaluar el riesgo de control como alto. En determinado nivel de pruebas sustantivas. revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluir el grado de utilidad y la fiabilidad del trabajo del experto.5. 2. el auditor de SI debe considerar. La detección del riesgo asociado con la identificación de la falta de planes de recuperación en caso de desastre es ordinariamente bajo. El auditor de SI debe considerar la incorporación de otros expertos durante la auditoría cuando existan limitaciones que pudieran perjudicar el trabajo de auditoría a realizar o cuando se anticipe una ganancia en la calidad de la misma. Dicha conclusión debe documentarse claramente. A un mayor riesgo de control se necesita mayor control y evidencia de auditoria. que la auditoria proponer abordar  La evidencia de auditoria utilizad apara respaldar la evolución del riesgo del auditor de SI.)  La integridad experiencia y habilidades del equipo que maneja y esta aplicando los controles de los SI.5.1 El auditor de SI debe considerar documentar las técnicas o metodologías utilizadas para la evaluación del riesgo.1 2. es ordinariamente bajo porque los procesos son consistentemente aplicados. escasos recursos de auditoría y restricciones de tiempo. 3. debido a que es verificable fácilmente. no será prevenido o detectado y corregido a tiempo basado en el sistema de control interno. El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales. El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditoría suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la proporciona.5 2. individual o combinado con otros errores. para la auditoria en cuestión de:  Los hallazgos de las auditorias previas  La complejidad de los sistemas en cuestión  El nivel de manualidad de los procesos  La susceptibilidad de perdida o apropiación indebida de los activos controlados por el sistema (Ej. independencia y procesos de control de calidad de otros expertos. del proceso de los SI (Ej. y que funciones apropiadamente RIESGO DE DETECCION El riesgo de detección es aquel que los procedimientos sustantivos del auditor de SI no logran detectar un error que puede ser material. El riesgo de control asociado con procedimiento de validación de la información computarizada. donde resulte apropiado. la planilla)  La falta de picos de actividad en cierto tiempo durante el periodo auditado  Actividades fuera de la rutina del día a día.

FECHA EFECTIVA 4. Si un experto es contratado por otra parte de la organización. Un experto podría ser interno o externo a la organización. se puede confiar en el informe del experto. un consultor gerencial. El auditor de SI debe tener cuidado al proporcionar una opinión en tales casos 4.1 esta guía entrara en vigencia para todos las auditorias de SI comenzadas en o después del 1 de septiembre de 2000.Un “experto” podría ser un auditor de SI procedente de una empresa contable externa. La guía ha sido revisada y actualizada a la fecha de agosto 2008 G15 PLANIFICACIÓN 1. esto puede disminuir la necesidad de cobertura de auditoría de SI aunque el auditor de SI no tenga acceso a la documentación de apoyo y a los documentos de trabajo. un experto de TI o un experto en el área de la auditoría que ha sido nombrado por la alta gerencia o por el equipo de auditoría de SI. ANTECEDENTES . En algunos casos.

5 Una evaluación de riesgos y la priorización de los riesgos identificados para el área en estudio y de la organización es el medio ambiente deben llevarse a cabo en la medida necesaria. este ayudará al auditor de determinar la importancia de los recursos es objeto de revisión en lo que respecta a los objetivos de la organización. así como las condiciones en el mercado de la organización.2 COBIT. auditores también deben establecer el alcance del trabajo de auditoría y realizar una evaluación preliminar de control interno sobre la función de una revisión. la labor del auditor de SI debe ser planificado de una manera apropiada para alcanzar los objetivos de la auditoría. 2. 2.1.1 Relación con las normas de ISACA 1. realización de las obras y acciones de gestión para considerar que el auditor de SI debe estar alerta.1 En el proceso de planificación. proceso o los datos que es objeto del proyecto de auditoría. "El auditor debe planificar la cobertura de la auditoría de sistemas de información para abordar los objetivos de auditoría y para cumplir con las leyes y normas profesionales de auditoría.1 Antes del comienzo de un proyecto de auditoría.4 Condiciones de referencia debe ser parte del plan de auditoría.2 Conocimiento de la Organización de 2.2.1 Norma S5 Planificación. financieros y de los riesgos inherentes que enfrenta la organización. 2. El auditor puede requerir conocimientos especializados cuando se trata de operaciones inusuales o complejos. incluido el plan estratégico. Además de dar el auditor de la comprensión de las operaciones de la organización y sus necesidades es.1. 2. el auditor de SI ordinariamente debería establecer niveles de planificación de importancia tal que .2.2 Necesidad de lineamiento 1. la formulación de los objetivos y el alcance de la obra.1 Esta guía también ofrece para la planificación en el proceso de auditoría para cumplir los objetivos fijados por PLANIFICACIÓN Requerimientos del Negocio Esta directriz se refiere a un proyecto de auditoría específicos en lugar de el plan completo de un departamento de auditoría o de grupo. la tecnología de futuro de la entidad auditada.1. 2. Véase la Auditoría de la Orientación G13 Uso de evaluación de riesgos en la planificación de auditoría. 2." 1. 2. financiero y / o de derecho) y obtener información sobre el plan estratégico.3.1.2. Por ejemplo. transacciones y prácticas que pueden tener significativo en la organización específica.2 por la El grado de conocimiento de la organización y sus procesos requeridos por el auditor de será determinado naturaleza de la organización y el nivel de detalle con el que el trabajo de auditoría se está realizando.1. También debería incluir la medida en que la organización se basa en la contratación externa para cumplir sus objetivos. 2. En su caso. en su caso.3 Materialidad 2. 2. El auditor también debe considerar el área en estudio y su relación con la organización (estratégico. El auditor debe usar esta información para identificar los posibles problemas.2 El auditor debe desarrollar un plan de auditoría que tiene en cuenta los objetivos de la entidad auditada relativos al área de auditoría y de su infraestructura tecnológica. Un conocimiento más amplio de la organización y sus procesos normalmente será necesaria cuando el objetivo de la auditoría comprende una amplia gama de funciones de sistema de información más que cuando los objetivos son para funciones limitadas. 2.1.2. una función.1 2.2. 1.1. El conocimiento de la organización debería incluir el negocio.3 un efecto El auditor debe obtener una comprensión de los tipos de eventos.3 El auditor debe tener una comprensión de la arquitectura de la información de la entidad auditada y de la dirección tecnológica de la entidad auditada para que puedas diseñar un plan adecuado para el presente y. una revisión con el objetivo de evaluar el control de sistema de nómina de una organización normalmente requeriría un entendimiento más profundo de la organización de una revisión con el objetivo de las pruebas de control de un sistema específico de programa de la biblioteca. Como parte del proceso de planificación es auditores deben obtener una comprensión de la organización y sus procesos.1 El propósito de esta guía es definir los componentes del proceso de planificación como se indica en el estándar de la S5 IS normas de auditoría.

4 Evaluación de Riesgos 2.el trabajo de auditoría será suficiente para cumplir los objetivos de la auditoría y utilizará los recursos de auditoría de manera eficiente.4. Conforme avanza el trabajo. 3. el auditor de SI debe evaluar los controles de la colección de programas que contienen los programas sean utilizados para fines de auditoría para determinar el grado en que los programas están protegidos de la modificación no autorizada. Este programa de auditoría deben documentarse de manera que permita el auditor de registro de terminación de los trabajos de auditoría y determinar el trabajo que queda por hacer. 3. programa de auditoría y cualquier modificación posterior deberá ser aprobado por la gestión de auditoría.1 En la medida en su caso. Cuando el objetivo no es evaluar la eficacia de los controles durante un período de tiempo.3 El plan de auditoría debe estar preparado para que sea en el cumplimiento de los requisitos relativos exterior además de la de Auditoría de Normas. el auditor es. consulte la Guía de Auditoría de G6 materialidad Conceptos para la Auditoría de Sistemas de Información.1.3. Por ejemplo.4 Además de un listado de los trabajos a realizar. el auditor de SI debe modificar el programa en consecuencia. las pruebas de conformidad de los controles pueden ser excluidas. 3. sino de identificar los procedimientos de control en un punto en el tiempo. el auditor de estudiará la conveniencia de esta evaluación para determinar el grado en que los controles pueden ser invocadas durante la prueba. . basados en la información recopilada durante la auditoría.3. Cuando el auditor de determina que los procedimientos previstos no son suficientes. preparar una lista de personal y otros recursos necesarios para completar el trabajo. 3. Aprobación del Plan 3. debe realizar una evaluación preliminar de los controles y desarrollar el plan de auditoría sobre la base de esta evaluación. el auditor de SI debe evaluar la adecuación del programa.3 Programa de Auditoría 3.1. 2. El plan de auditoría puede ser documentado en papel o en otra forma adecuada y recuperable.2 Cuando el auditor de evaluar los controles internos con el fin de poner la confianza en los procedimientos de control en apoyo de la información recopilada como parte de la auditoría.3.1 3. Para más información sobre la materialidad. 3. 3. El auditor debe considerar los aspectos cualitativos y cuantitativos en la determinación de la materialidad. en la revisión de un sistema existente el auditor de SI deberá evaluar la importancia relativa de los diversos componentes del sistema en la planificación del programa de auditoría de la labor a realizar.5. ya sea directamente como parte de los objetivos del proyecto de auditoría o como base para la dependencia de la información recopilada como parte del proyecto de auditoría.2. un calendario de trabajo y un presupuesto. Durante una revisión. el auditor de SI debe. Cuando el objetivo es evaluar la eficacia de los controles durante un período de tiempo que el plan de auditoría debe incluir procedimientos adecuados para el cumplimiento de los objetivos de la auditoría. el plan de auditoría. y esos procedimientos deberían incluir las pruebas de conformidad de los controles. el auditor de SI debe incluir la gestión de los recursos necesarios en el plan de auditoría.3.2 de personal Dependiendo de los recursos de auditoría requeridos.1 Un programa preliminar para una revisión de ordinario debe ser establecido por el auditor de antes del comienzo de la obra.1 La evaluación de riesgos debe hacerse para ofrecer garantías razonables de que todos los elementos materiales estarán debidamente cubiertos durante los trabajos de auditoría. 2. en la medida de lo posible.2 DOCUMENTACIÓN Planificación de Documentación El IS papeles de trabajo del auditor debe incluir el plan de auditoría y el programa.5 Evaluación de Control Interno 2.1 Auditoría de los proyectos debería incluir el examen de los controles internos.5. Cuando el objetivo es la evaluación de los controles internos de la IS auditor debe considerar la medida en que será necesario revisar esos controles. Por ejemplo. en el uso de programas de ordenador para probar los archivos de datos. 2. Esta evaluación debería identificar las áreas con riesgo relativamente alto de la existencia de problemas materiales.1 3.2 3.

5 En el curso de los trabajos.3.3.1 Esta directriz es efectiva para todas las auditorías de los sistemas de información que comiencen a partir del 1 de Marzo de 2002 . el auditor de SI debe considerar cambios en el programa de auditoría basado en la SI de evaluación del auditor de la adecuación del programa y el ES conclusiones preliminares del auditor. 4. FECHA DE VIGENCIA 4.