Está en la página 1de 10

Gua de Auditora y Aseguramiento de SI

2208 Muestreo

La naturaleza especializada de la auditora y aseguramiento de los sistemas de la informacin (SI) y de las habilidades necesarias
para realizar este tipo de compromisos requiere estndares que apliquen especialmente a las auditoras y aseguramiento de SI. El
desarrollo y diseminacin de los estndares de auditora y aseguramiento de SI son la piedra angular de la contribucin profesional
de ISACA a la comunidad de auditora.

Los estndares de auditora y aseguramiento de SI definen requerimientos obligatorios para la auditora de SI y presentacin de
informes e informan a:
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.

Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.

ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Estndares, divididos en tres categoras:
- Estndares generales (series 1000)-Son los principios rectores bajo los que opera la profesin de auditora y
aseguramiento de SI. Aplican a la realizacin de todas las tareas, y hacen frente a la tica, independencia, objetividad y
debida diligencia del profesional de auditora y aseguramiento de SI, as como los conocimientos, competencia y
habilidades. Las declaraciones de los estndares (en negrita) son obligatorias.
- Estndares de desempeo(series 1200)-Tienen que ver con la forma en que se conduce la asignacin, tales como
planificacin y supervisin, definicin del alcance, riesgos y materialidad, la movilizacin de recursos, supervisin y
administracin de asignaciones, evidencias de auditora y aseguramiento, y el ejercicio de su juicio profesional y debida
diligencia.
- Estndares de presentacin de informes (series 1400)-Direccionan los tipos de informes, medios de comunicacin y la
informacin comunicada.
Guas, apoyan a los estndares y tambin se dividen en tres categoras:
- Guas generales (series 2000).
- Guas de rendimiento (series 2200).
- Guas de presentacin de informes (series 2400).
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.

Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.

Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.

El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

ISACA 2013-2014 Professional Standards and Career Management Committee


Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
Gua de Auditora y Aseguramiento de SI 2208 Muestreo
La gua se presenta en las siguientes secciones:
1. Propsito de la gua y vinculacin con estndares.
2. Contenido de la gua.
3. Relacin con estndares y procesos de COBIT 5.
4. Terminologa.
5. Fecha de vigencia.

1. Propsito de la Gua y Vinculacin con Estndares


1.0 Introduccin Esta seccin clarifica:
1.1 Propsito de la gua
1.2 Vinculacin con estndares
1.3 Uso de trminos funcin de auditora y profesionales

1.1 Propsito 1.1.1 El propsito de esta gua es proporcionar asesoramiento a los profesionales
de auditora y aseguramiento de SI disear y seleccionar una muestra de
auditora y evaluacin de los resultados de la muestra. Un muestreo y
evaluacin apropiados ayudara a lograr los requerimientos de evidencia
suficiente y apropiada.
1.1.2 Los profesionales de auditora y aseguramiento de SI deben considerar esta
gua para determinar cmo implementar el estndar, uso de su juicio
profesional en su aplicacin, estar preparado para justificar cualquier desvo
y buscar guas adicionales si se considera necesario.

1.2 Vinculacin 1.2.1 Estndar 1006 Competencia


con estndares 1.2.2 Estndar 1202 Evaluacin de riesgo en planificacin
1.2.3 Estndar 1203 Desempeo y supervisin
1.2.4 Estndar 1205 Evidencia

1.3 Uso de 1.3.1 De aqu en adelante:


trminos Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.

2. Contenido de la Gua
2.0 Introduccin La seccin del contenido de la gua est estructurada para proporcionar informacin
sobre los siguientes temas de compromiso clave de auditora y aseguramiento:
2.1 Muestreo
2.2 Diseo de la muestra
2.3 Seleccin de la muestra
2.4 Evaluacin de los resultados de la muestra
2.5 Documentacin

2014 ISACA Todos los derechos reservados. 2


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
2.1 Muestreo 2.1.1 Al formar una opinin o conclusin, frecuentemente los profesionales no
examinan toda la informacin disponible porque puede ser poco prctico
(ejemplo requiere demasiado tiempo tanto para el auditado como para los
profesionales investigar toda la informacin) y se pueden alcanzar
conclusiones validas usando el muestreo de auditora.
2.1.2 Cuando se usa el mtodo de muestreo estadstico o no estadstico, los
profesionales deben disear y seleccionar un muestreo de auditora,
procedimientos de realizacin de la auditora y evaluacin de los resultados
del muestreo para obtener evidencias suficientes y apropiadas para formar
una conclusin. Al usar mtodos de muestreo para extraer una conclusin
sobre la poblacin completa, los profesionales deben usar muestreo
estadstico.

2.2 Diseo de la 2.2.1 Al disear el tamao y estructura de un muestreo de auditora, los


Muestra profesionales deben considerar los objetivos de auditora de SI especficos,
los objetivos de auditora especficos, los procedimientos de auditora que
tienen ms probabilidades de lograr esos objetivos, la naturaleza de la
poblacin, subgrupos relevantes dentro de la poblacin, y los mtodos de
muestreo y seleccin. Adems, cuando el muestreo de auditora es
adecuado, se debe considerar la naturaleza de las evidencias solicitadas,
posibles condiciones de error y posibles causas raz.
2.2.2 Al disear el muestreo de auditora, teniendo en cuenta los objetivos de la
auditora de SI, los profesionales deben considerar:
Propsito de la muestra
Unidad de muestreo
Poblacin
Riesgo del muestreo y tamao de la muestra
Error tolerable
Distribucin esperada subyacente (por ejemplo, Poisson, binomial,
normal, exponencial)
Comportamiento en el tiempo (ejemplo, por estacin, disminucin en el
rendimiento)
Sub poblaciones o subgrupos que son de origen natural y deben ser
considerados para determinar la relevancia operativa
Valores atpicos
Poblaciones pequeas de eventos adversos o inusuales
Datos de herramientas de apoyo externo, usadas para confirmar o
complementar los resultados del muestreo
2.2.3 Los profesionales deben considerar el propsito de la muestra:
Pruebas de cumplimiento/pruebas de controlesUn procedimiento de
auditora diseado para evaluar la efectividad operativa de los controles
en la prevencin o deteccin y correccin de las debilidades materiales.
Ejemplos de pruebas de cumplimiento de los controles, en las que las
muestras pudieran ser consideradas, incluyen los derechos de acceso de
los usuarios, procedimientos de control de cambio a programas,
documentacin del procedimiento, documentacin del programa,
seguimiento de las excepciones, revisin de logs y auditoras de
licencias de software.

2014 ISACA Todos los derechos reservados. 3


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
2.2 Diseo de la Pruebas sustantivas/pruebas de detallesUn procedimiento de
Muestra cont. auditora diseado para detectar las debilidades materiales a nivel
afirmativo. Ejemplos de pruebas sustantivas, donde se podra
considerar el muestreo, incluyen la repeticin de clculos complejos
(ejemplo intereses) sobre una muestra de cuentas, una muestra de
transacciones para dar fe a la documentacin de soporte, etc.
2.2.4 La unidad de muestreo depende del propsito de la muestra. Para
muestreos de cumplimiento de los controles, donde la unidad de muestreo
es un evento o transaccin (por ejemplo, un control de autorizacin de un
recibo), el muestreo de atributos se aplica tpicamente para determinar las
caractersticas de una poblacin. Para las pruebas sustantivas, donde la
muestra unitaria a menudo es monetaria, el muestreo de variables se aplica
frecuentemente porque se usa para determinar el impacto monetario o
volumtrico de caractersticas de una poblacin.
2.2.5 La poblacin es el conjunto de datos completo del que los profesionales
desean muestrear para llegar a una conclusin. Por lo tanto, la poblacin de
la que se extrae la muestra debe ser adecuada para probar el diseo y/o
operatividad de la efectividad de los controles, y verificada como completa
para el objetivo y alcance de la auditora de SI especifica.
2.2.6 Para ayudar en el diseo eficiente y efectivo de la muestra, puede ser
adecuado la estratificacin de la muestra. La estratificacin es el proceso de
dividir una poblacin en sub poblaciones con caractersticas similares
explcitamente definidas, de forma que cada unidad de la muestra puede
pertenecer a un solo estrato.
2.2.7 Cuando se determina el tamao de la muestra, los profesionales deben
considerar el riesgo de muestreo, la cantidad de los errores que podra ser
aceptable y el grado que se espera de los errores. El riesgo de muestreo
surge de la posibilidad que la conclusin de los profesionales pueda ser
diferente de la conclusin que se alcanzara si se sometiera a la poblacin
entera al mismo procedimiento de auditora. Hay dos tipos de riesgo de
muestreo:
El riesgo de aceptacin incorrectaSe evala como poco probable una
debilidad material cuando, de hecho, la poblacin es incorrecta
materialmente.
El riesgo de rechazo incorrectoSe evala como probable una
debilidad material cuando, de hecho, la poblacin no es incorrecta
materialmente.
2.2.8 El tamao de la muestra se ve afectado por el nivel de riesgo de la muestra
que el profesional est dispuesto a aceptar. El riesgo de muestreo debe ser
considerado tambin en relacin al modelo de riesgo de auditora y sus
componentes, riesgo inherente, riesgo de control y riesgo de deteccin,
como se detalla en el Estndar 2202 Evaluacin de riesgo en planificacin.
2.2.9 El error tolerable es el error mximo que los profesionales estn dispuestos
a aceptar en la poblacin y aun concluir que el objetivo de la prueba se ha
logrado. Para pruebas sustantivas, el error tolerable est relacionado con el
juicio de los profesionales sobre materialidad. En las pruebas de
cumplimiento, es el porcentaje mximo de desviacin de un procedimiento
de control prescrito que los profesionales estn dispuestos a aceptar.

2014 ISACA Todos los derechos reservados. 4


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
2.2 Diseo de la 2.2.10 Si los profesionales esperan que se presenten errores en la poblacin, se
Muestra cont. debe examinar una muestra mayor que cuando no se esperan errores para
concluir que el error actual en la poblacin no es mayor que el error
tolerable esperado. Se justifican tamaos de muestra ms pequeos cuando
la poblacin se espera libre de errores. Al estimar el error esperado en una
poblacin, los profesionales deben considerar cuestiones como:
Niveles de error identificados en auditoras previas
Cambios en los procedimientos de la empresa
Evidencia disponible de una evaluacin del sistema de control interno,
resultados de procedimientos de revisin analticos, y/o resultados de
pruebas preliminares de la poblacin.
2.2.11 Los profesionales deben considerar, si es adecuado, la necesidad para
involucrar especialistas en el diseo y anlisis enfoques de muestreo
complejos, como muestras aleatorias estratificadas que deben tener validez
estadstica, o muestreo basado en mtodos de control de calidad
establecidos (ejemplo Six Sigma).
2.2.12 Los profesionales debern concluir que el muestreo no permite lograr los
objetivos de auditora de SI y se requiere una prueba de la poblacin entera,
deben considerar aplicar un aseguramiento continuo porque permite
probar la poblacin entera de forma oportuna y rentable. Se puede
encontrar orientacin detallada sobre este tema en la Gua 2211
Aseguramiento Continua.

2.3 Seleccin de la 2.3.1 Los profesionales deben asegurar que la poblacin es completa y controla la
Muestra seleccin de la muestra, para mantener independencia de auditora. Los
profesionales deben seleccionar elementos de muestra de forma que la
muestra se espere representativa de la poblacin cuanto a las caractersticas
que se estn probando.
2.3.2 Para que una muestra sea representativa de la poblacin entera, todas las
unidades del muestreo en la poblacin deben tener igual o conocida,
probabilidad no nula de ser seleccionada. Esto implica el uso de mtodos de
muestreo estadstico, porque implican el uso de tcnicas el uso de tcnicas
de las que se pueden extraer conclusiones construidas matemticamente.
Los profesionales deben validar la completitud de la poblacin para asegurar
que la muestra se selecciona de un conjunto de datos adecuado.
2.3.3 El muestreo no estadstico es una aproximacin utilizada por profesionales
que quieren usar su propia experiencia, conocimiento y juicio profesional
para determinar una muestra. Este mtodo implica un sesgo humano
porque no est basado estadsticamente, no asegura que toda unidad de
muestreo tenga una conocida, probabilidad no nula de ser elegida, por lo
que los resultados no pueden ser extrapolados sobre la poblacin porque la
muestra es poco probable de ser representativa para toda la poblacin. El
muestreo estadstico puede utilizarse cuando los resultados se necesitan
rpidamente para confirmar una proposicin y no deben usarse para
confirmar una conclusin construida matemticamente sobre la poblacin
entera.

2014 ISACA Todos los derechos reservados. 5


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
2.3 Seleccin de la 2.3.4 Hay cinco mtodos de muestreo usados comnmente, divididos en mtodos
Muestra cont. de muestreo estadsticos y no estadsticos:
Mtodos de muestreo estadsticos:
- Muestreo aleatorio simpleAsegura que todas las combinaciones
de las unidades del muestreo en la poblacin tienen la misma
probabilidad de seleccin.
- Muestreo sistemticoInvolucra la seleccin de unidades de
muestreo usando un intervalo fijo entre las selecciones, el primer
intervalo tiene un inicio aleatorio. Los ejemplos incluyen seleccin
de Muestreo de Unidad Monetaria o Valores Ponderados donde
cada valor monetario individual (ejemplo $1000) en la poblacin
tiene la misma oportunidad de seleccin. Debido a que
normalmente la unidad monetaria individual no puede ser
examinada por separado, el elemento que incluye esa unidad
monetaria se selecciona para su examen. Este mtodo pesa
sistemticamente la seleccin a favor de las mayores cantidades.
Otro ejemplo incluye la seleccin de cada unidad de muestreo
ensima.
- Muestreo aleatorio estratificadoAsegura que toda unidad de
muestreo en cada grupo tiene una posibilidad de seleccin no nula.
Los profesionales deben considerar el uso estadstico de software para
calcular desviaciones estndar y otros resmenes estadsticos para
resultados de muestreo estadstico
Mtodos de muestreo no estadstico:
- Muestreo arbitrarioLos profesionales seleccionan la muestra sin
seguir una tcnica estructurada, evitando a la vez cualquier sesgo
consciente o previsible. Sin embardo, el anlisis de un muestreo
arbitrario no debe ser tomado como base para concluir sobre la
poblacin.
- Muestreo prejuiciosoLos profesionales ponen un sesgo en la
muestra (ejemplo, todas las unidades del muestreo sobre un cierto
valor, todo por un tpico de excepcin especifico, todos negativos).
Cabe sealar que una muestra de juicio no se basa estadsticamente
y los resultados no deben ser extrapolados sobre la poblacin
porque la muestra es poco probable de ser representativa de la
poblacin completa.
2.3.5 Hay dos mtodos de seleccin usados comnmente:
Seleccin de registros y subgrupos de poblacin; mtodos comunes son:
- Muestreo aleatorio simple
- Muestreo aleatorio estratificado
- Muestreo arbitrario
- Muestreo prejuicioso
Seleccin de campos cuantitativos (ej.: unidades monetarias); mtodos
comunes son:
- Muestreo aleatorio simple
- Muestreo sistemtico

2014 ISACA Todos los derechos reservados. 6


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
2.4Evaluacin de 2.4.1 Habiendo realizado los procedimientos de auditora apropiados para el
Resultados de objetivo de auditora de SI sobre cada elemento de la muestra, los
la Muestra profesionales deben analizar cualquier error posible detectado en la
muestra para determinar si hay errores actualmente y, en su caso, la
naturaleza y la causa de los errores. Para los que sean evaluados como
errores actualmente, los errores deben ser proyectados como apropiados
para la poblacin, pero solo si el mtodo de muestreo usado se basa
estadsticamente.
2.4.2 Cualquier error posible detectado en la muestra debe ser revisado para
determinar si hay errores actualmente. Los profesionales deben considerar
los aspectos cualitativos de los errores. Incluyendo la naturaleza y causa del
error y los posibles efectos del error en las otras fases de la auditora. Por
ejemplo, errores que son resultado de un desajuste en un proceso
automtico tienen mayor implicacin que errores humanos.
2.4.3 Cuando la evidencia de auditora esperada respecto a una unidad de la
muestra especfica no se puede obtener, los profesionales deben considerar
si son capaces de obtener evidencia de auditora suficiente y adecuada
realizando procedimientos alternativos sobre el elemento seleccionado, o
seleccionando y probando otra una unidad de muestra.
2.4.4 Los profesionales deben considerar la proyeccin de los resultados de la
muestra a la poblacin con un mtodo de proyeccin consistente con el
mtodo empleado para seleccionar la unidad de muestreo. La proyeccin
de la muestra puede implicar estimar el error probable en la poblacin y
estimar cualquier error que pueda no haber sido detectado por la
imprecisin de la tcnica, junto con los aspectos cualitativos de cualquier
error encontrado.
2.4.5 Se debe limitarla discusin de los resultados de muestreos no estadsticos
(arbitrario o juicioso) a una descripcin de los resultados de analizar la
muestra, en un contexto de la poblacin como un todo.
2.4.6 Los profesionales deben considerar si los errores en la poblacin pueden
exceder el error tolerable comparando el error de la poblacin proyectada
con el error tolerable estimado o definido, teniendo en cuenta los
resultados de otros procedimientos de auditora relevantes para el objetivo
de auditora. El error tolerable puede estimarse o definirse por criterios de
auditora, estndares de la industria, requerimientos contractuales,
especificaciones del software, etc. Cuando el error de la poblacin
proyectada excede el error tolerable, los profesionales deben reevaluar el
riesgo de muestreo y, si no es aceptable ese riesgo, considerar extender el
procedimiento de auditora, re calcular el tamao de la muestra usando el
error tolerable refinado y probar las unidades de muestra adicionales, o
realizar procedimientos de auditora alternativos.

2.5 2.5.1 Los papeles de trabajo deben incluir detalle suficiente para describir
Documentaci claramente el objetivo del muestreo y el proceso de muestreo usado. Los
n papeles de trabajo deben incluir.
Propsito de la muestra, incluyendo unidad de muestra
Fuente y definicin de la poblacin y relacin con el alcance de
auditora.

2014 ISACA Todos los derechos reservados. 7


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
2.5 Parmetros de muestreo, ejemplo, tamao de muestra (incluyendo
Documentaci cualquier consideracin sobre el riesgo de muestreo), inicio aleatorio o
n cont. semilla numrica o mtodo como se obtiene el inicio aleatorio,
intervalo de muestreo.
Mtodo de muestreo
Elementos seleccionados y, si se emplea mtodo no estadstico,
justificacin de los elementos seleccionados
Detalle de las pruebas de auditora realizadas, incluyendo evaluacin de
errores y, si aplica, procedimientos de auditora alternativos
Conclusiones

3. Relacin con Estndares y Procesos de COBIT 5


3.0 Introduccin Esta seccin proporciona una visin general relevante de:
3.1 Relacin con Estndares.
3.2 Relacin con los procesos de COBIT 5.
3.3 Otras guas.

3.1 Relacin con La tabla proporciona una visin general de:


Estndares Los estndares ms relevantes de auditora y aseguramiento de SI de ISACA que
estn directamente soportados por esta gua.
Las declaraciones estndar ms relevantes para esta gua.

Nota: Solo se enumeran las declaraciones estndar ms relevantes para esta gua.

Titulo del Estndar Declaracin Estndar Relevante


1006 Competencia Los profesionales de auditora y aseguramiento de SI,
colectivamente con otros asistentes de la asignacin, deben
poseer habilidades y competencia adecuadas en la
realizacin de trabajos de auditora y aseguramiento de SI y
ser profesionalmente competentes para realizar el trabajo
requerido.
1202 Evaluacin de Riesgos en la Los profesionales de auditora y aseguramiento debern
Planificacin de Auditora considerar el riesgo de la materia, riesgo de auditora y
exposiciones relacionadas con la empresa.
1203 Desempeo y Supervisin Los profesionales de auditora y aseguramiento de SI
debern obtener evidencias suficientes, confiables,
relevantes y a tiempo para conseguir los objetivos de
auditora. Los hallazgos y conclusiones de auditora deben
estar soportados por anlisis e interpretacin apropiados de
estas evidencias.

Los profesionales de auditora y aseguramiento debern


documentar el proceso de auditora, describiendo el trabajo
de auditora y la evidencia de auditora que soporta los

2014 ISACA Todos los derechos reservados. 8


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
Titulo del Estndar Declaracin Estndar Relevante
hallazgos y conclusiones.

Los profesionales de auditora y aseguramiento de SI


debern identificar y concluir sobre los hallazgos.
1205 Evidencia de Auditora Los profesionales de auditora y aseguramiento debern
obtener evidencia suficiente y adecuada para llegar a
conclusiones razonables sobre las qu basar los resultados
del trabajo.

Los profesionales de auditora y aseguramiento de SI


debern evaluar la suficiencia de la evidencia obtenida para
apoyar las conclusiones y lograr los objetivos del trabajo.

3.2 Relacin con La tabla proporciona una visin general de los ms relevantes:
los procesos Procesos de COBIT 5.
de COBIT 5 Propsito de los procesos de COBIT 5.

Se encuentran actividades especficas realizadas como parte de la ejecucin de


estos procesos en COBIT 5: Habilitacin de Procesos.

Procesos de COBIT 5 Propsito de los Procesos


APO12 Gestionar el riesgo. Integrar la gerencia de riesgos empresariales
relacionados con TI con el ERM en general, y el
balance de costes y beneficios de la gerencia de
riesgos empresariales relacionados con TI.
MEA02 Monitorizar y evaluar el sistema de Obtener transparencia para los interesados clave
controles internos. en la adecuacin de los sistemas de control
interno y, por tanto, proporcionar confianza en
las operaciones, confianza en el logro de
objetivos empresariales y una adecuada
comprensin del riesgo residual.
MEA03 Supervisar, evaluar y valorar la conformidad Asegurar que la empresa cumple con todos los
con los requerimientos externos. requerimientos externos.

3.3 Otras Guas En la implementacin de estndares y guas, se insta a los profesionales a buscar
otras guas cuando se considere necesario. Esto podra ser desde auditora y
aseguramiento de SI:
Colegas dentro de la empresa
Gerentes
rganos de Gobierno dentro de la empresa, ejemplo, comit de auditora
Organizaciones profesionales o grupos de redes sociales profesionales
Otras guas profesionales (por ejemplo, libros, papeles, otras guas)

2014 ISACA Todos los derechos reservados. 9


Gua de Auditora y Aseguramiento de SI 2208 Muestreo
4. Terminologa
Trmino Definicin
Error tolerable El error mximo en la poblacin que los profesionales estn dispuestos a aceptar
y concluir que se ha logrado el objetivo de la prueba. Para pruebas sustantivas, el
error tolerable est relacionado al juicio de los profesionales sobre la
materialidad. En las pruebas de cumplimiento, es el ratio mximo de desviacin
de un procedimiento de control prescrito que los profesionales estn dispuestos
a aceptar.
Estratificacin de El proceso de dividir una poblacin en grupos con caractersticas similares
muestreo definidas explcitamente, de forma que cada unidad de muestra solo puede
pertenecer a un estrato.
Muestreo de La aplicacin de procedimientos de auditora a menos del 100% de los elementos
auditora dentro de la poblacin para obtener evidencia de auditora sobre una
caracterstica particular de la poblacin
Muestreo Mtodo de seleccionar una porcin de la poblacin, por medio de clculos y
estadstico probabilidades matemticas, con el propsito de hacer sondeos cientficos y
matemticos respecto de las caractersticas de la poblacin entera.
Muestreo no Mtodo de seleccin de una porcin de la poblacin, por medios de juicio propio
estadstico y experiencia, con la intencin de confirmar rpidamente una proposicin. Este
mtodo no permite obtener conclusiones matemticas sobre la poblacin entera.
Muestreo por Mtodo para seleccionar una parte de la poblacin basada en la presencia o
atributos ausencia de una cierta caracterstica
Muestreo variable Una tcnica de muestreo usada para estimar el valor medio o total de la
poblacin basndose en una muestra; un modelo estadstico usado para
proyectar una caracterstica cuantitativa, como una cantidad monetaria.
Poblacin El conjunto entero de datos del que se selecciona una muestra y del que un
auditor de SI desea obtener conclusiones.
Riesgo de La probabilidad que un auditor de SI alcance una conclusin incorrecta por
Muestreo probar una muestra de auditora, en lugar de toda la poblacin.
mbito de las notas: Mientras el riesgo de muestreo puede reducirse a un nivel
bajo aceptable usando un tamao de muestra apropiado y un mtodo de
seleccin, nunca puede ser eliminado.

5. Fecha de Vigencia
5.1 Fecha de Esta gua revisada es efectiva para todo compromiso de auditora y aseguramiento
Vigencia de SI con fecha de inicio igual o posterior al 1 de Septiembre de 2014.

2014 ISACA Todos los derechos reservados. 10