Capitulo 1: El Proceso de Auditoria de SI 1.3 NORMAS Y DIRECTRICES DE ISACA PARA LA AUDITORIA DE SI 1.3.1 CODIGO DE ETICA PROFESIONAL DE ISACA ISACA estableve este Cédigo de Etica Profesional para guiar la conducta profesional y personal de los miembros de la asociacin ‘lo de sus profesionales certificados. Los miembros y los profesionales cetficados de ISACA debersn: 1. Apoyar a implementacién y fomentar el cumplimiento de tas normas, los procedimientos y los controles apropiados ‘en los sistemas de informaci 2. Bjecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores précticas profesionaes. 3. Seevir en el interés de las parts interesadas en una forma legal y honest, y al mismo tiempo mantener altos estindares de conducta y de carécter, ¥ no involucrarse en actos que puedan desecreditar la profesi6n. 4, Mantener la privacidad y la confidencialidad de la informacion obtenida en el curso de su funcién a menos que la autoridad legal requiera su revelaci6n. Dicha informacién no seré usada para beneficio personal ni seré revelada a terceros. 5. Mantener competencia en sus respectivos campos y comprometerse a emprender iinicamente las actividades que se ‘espera que puedan realizar con competencia profesional. 6. Informar a las personas adecuades los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento, 7. Apoyar la formacién profesional de las partes interesadas para mejorar su comprensién sobre seguridad y control de SI El no cumplir con este C6digo de Ftica Profesional puede tener como resultado una investigacién de la conducta de un rmiembro y/o del profesional certficado y, en iltima instancia, en medidas disciplinarias, 1.3.2 MARCO GENERAL DE NORMAS DE ISACA PARA LA AUDITORIA DE SI El caricter especializado de la auditoria de sistemas de informacién, y de las habilidades y conocimientos necesarios para llevar 2 cabo dichas auditorias, requieren normas aplicables globalmente que sean pertinentes de forma especifica a la auditoria de SL. Una de las funciones més importantes de ISACA es proveer informacién (conjunto comin de conocimientos ‘er se) para satisfacer los requisitos de conocimiento. (Ver norma $4 Competencia Profesional). ‘Une de las metas de ISACA es proveer las normas para satisfacer esta necesidad. Fl desarllo y divulgacién de las Normas para la Auditoria de SI es la pieda angular de la contribucién profesional de la asociacién a la comunidad de auditores.. El auditor de S1 necesita estar consciente que pueden existir normas adicionales, 0 incluso requisitos legaes impuestos por ley que deben ser cumplidos por el auditor. Los objetivos de las Normas de ISACA para la Auditoria de SI son informar: + A los auditores de SI sobee el nivel minimo requerido de desempefio acepiable para cumplit con las responsabilidades profesionales establecidas en el Cédigo de Etica Profesional para los Auditores de St + Ala gerencia y a otros interesados sobre las expectativas de la profesién en relacién con el trabajo de los aueitores + Es posible que los portadores de la designacin Certified Information Systems Auditor™ (CISA®) que no cumplan con estas normas sean sometidos a una investigacién de la conducta del portador de la designacién CISA que realizar el Consejo de direccién de ISACAo el comité de ISACA apropiado y, en ltima instancia, medidas disciplinarias ‘Manual de Preparacién al Examen C1SA 2009 7ye, Capitulo 1: El Proceso de Auditoria de SI | marco general de las Normas de Aultoria de SI de ISACA presenta miltiples niveles, como se explica a continuacién: + Las Normas definen los requisites obligatorios para la auditoria y para los reportes de auditoria de SI + Los Lineamientos brindan una guia para aplicar las Nommas de Aucitoria de SI. El auditor de SI debe tenerlas en cuenta para detetminar cémo implementar las normas anterionmente citadas, sar su juicio profesional al apliaras y estar preparado para justificar cualquier diferencia de las mismas. + Los Procedimientos oftecen ejemplos de procedimientos que debe seguir un auditor de Sl en una asignacién de A.uditora Los documtentos de procedimientos brindan informacion sobre la manera de curnplir con las normas cuando se esté realizando un trabajo de auditoria de SI, pero no establecen requisites. El Cédigo de Etica Profesional de [SACA requiere que los miembros de ISACA y quienes cuentan con la cettificacién CISA ‘cumplan con las Normas de Auditoria de SI adoptados por ISAC. Fl aparente incumplimiento de las mismas puede tener como consectencia que ISACA 0 una junta o comité designado por ISACA, realice una investigaclin sobre la conducta de un miembro o profesional certificado CISA. Esto podria dar lugar a medidas disciplinarias Frosedinientos de Audion de SE-El texto comple sy Frocedmientos i H en cee Normas de Auditoria Las normas de auditoria de SI} aplicables a la auditoria de Sistemas de Informaciin son: + SI Estatuto de Auditori ~El propésito, responsabilidad, autoridad y obligacién de rendir cuentas de la funcidn de auditoria de Slo tareas de auitoria de SI deberian estar debidamente documentados en. un estatuto de auditoria o en una carta de compromiso. ~ El estaruto de auditoria 0 contrato debera ser establecido y aprobado por un nivel apropado dentro de l(s) organizacién(s) + 82 Independenci ~ Independencia profesional—Ea todos ls asuntos relacionados con ts auditoria el auditor de SI deberia ser independiente del audicado canto en acttud como en apaciencia, ~ Independencia organizacional—La funcién de auditoria de ST debesia ser independiente del area o actividad que se esté revisando para permiti la ejecucia objetiva de la tarea de auditor, + $3 Etica y Normas Profesionales: El auditor de SI deberia acatar el Cédigo de ica Profesional de ISACA. Elauditor de SI deberia ejercer el debido cuidado profesional, incluyendo la observancia de las normas profesionales de auditoria aplicabes. + $4 Competencia Profesional: — Elauditor de SI deber‘a ser profesionalmente competent, teniendo las habilidades y los conocimientos para realizar el trabajo de auditors asignadb ~ Elauditor de SI deberia mantener la competencia profesional a través de una apropiada formacién y capacitacién profesional continua, +85 Planeacidn: El auditor de SI deberia planear el aleance de ta auditoria de sistemas de informacién tomando en curnta los objetivos de ln auitoria y el cumplimiento con las leyes y norms profesionales de auditoria apicables. — Bl auditor de SI deberia desarrollar y documentar el enfoque de auditora basado en resgos. ~ Fl auditor de St deberia desarrollar y documentar el plan de auditoria detallando la naturaleza, los objeivos, el tiempo, el aleance y los recursos requeridos. ~ El auditor de SI deberia desarrollar el programa y los procedimientos de auditoria. + $6 Bjecucién del Trabajo de Auditoria: — Supervisin—El personal de auditoria de SI deberia ser supervisado pera proveer tna certeza razonabl de que los objetvos de la auditoria serin alcanzados y que se observan las normas profesionales de auditoriaaplicables.. ~ Evidencia—Bn el curso de la auditoria, el auditor de SI deberia obxener evidencia sufciente, confable,y relevante para lograr los objetivos de la auditoria. Los hallazgos y las conclusiones de la auditor deben estar repaldados por un andlisis e interpretacién apropiados de esta evidencia ~ Documentacién—El proceso de auditoria deberia estar documentado y describir el trabajo de auclitra y la evidencia de auditoria que respalde los hallazgos y las conclusiones del auditor de St 8 ‘Manual de Preparacién al Examen CISA 2009Capitulo 1: El Proceso de Auditoria de SI +87 Reporte: = B] auditor de SI deberia proveer un reporte, en un formato apropiado, al terminar Ia auditoria. El reporte deberia idenificar la organizacién, los destinatarios, y cualquier restriccién sobre su publicacién. — Bl repote de autora deberaestablecer el aleance, los abjetvos, el perfad cubievto y la naturale, el tempo y la extension del trabajo de auditoria realizado. ~ El reporte deberia establecer los hallazgos, las conclusiones y recomendaciones, asi como cualquier reserva, restriccion co limitacign en el alcance que tenge el auditor de SI con cespecto ala ausitoria, El auditor de SI deberia tener evidencia de auditoria suficiente y apropiada para respaldar los resultados reportados. — Cuando se emite, el reporte del auditor de SI deberfa tener la firma, la fecha y distribuirse de acuerdo con los érminos de los estatutos de auditotia 0 de ta cata de cumplimiento. + 88 Actividades de Seguimiento: — Después de proveer el reporte de hallazgos y recomendaciones, el auditor de SI deberia solicitar y evaluar la informacidn relevante para determinar sila gerencia ha tomado las acciones apropiadas de manera oportuna. + 89 Irregularidades y Actos llegales: ~ Al planficar y ejecutar una auditorie para reducir el riesgo de auditoria a un nivel minimo, el auditor de SI debe considerar el riesgo de irregularidades y actos ilegales. Bl auditor de SI deberia mantener una acttud de escepicismo profesional durante la auitoria, reconociendo la posibilidad de que existan falsas declaraciones importantes debido a iregularidades y actos ilicitos,independientemente de su ‘evaluacién del riesgo de imegularidades y actos ilegales. El auditor de SI deberia obtener un conocimiento de le organizacién y su ambiente incluyendo sus controles intemos. ~ El auditor de SI deberia obtener evidencia de auditor suficiente y apropiada para determinar sila gerencia o alguien rms dentro de la organizaci6n tiene conocimiento de alguna irregularidad o acto ilicito real, sospechoso o presunt. ~ Cuando se realizan procedimientos de auditoria para obtener un conocimiento de la organizacién y su ambiente, el auditor de SI debe considerar relaciones inusuales oinesperadas que pueden indicar un riesgo de falsas dectaraciones importantes debido a irtegularidades y actos ilegales. ~ El auditor de St deberia diseiiar y ejecutar procedimientos para probar qué tan apropiados son los controlesinternos y el riesgo de que la gerencia no respet ls comtroles ~ Cuando ef auditor de SI identifique una declaracién errénea, deberia determinar si esto pudiera ser indicative de imegularidades o actos ilicitos. Si sospecha que asi es, el auditor de SI deberia considera las implicaciones en relacin. a otros aspectos de la revision y en particular en relacin a las manifestaciones de Ia gerencia, E1 auditor de SI deberia obtener declaracones escritas dela gerencia al menos una vez al afo 0 con més frecuencia dependiendo del trabajo de auditoria, en as que deberis: « Reconocer su responsabilidad por el diseio y la implementacién de controles internos para prevenir y detectar imegutaridades o actos ilicitos. + Revelar al auditor de SI los resultados de Ia valoracién de riesgos de que existan falsas declaraciones importantes ‘como resultado de iregularidades o acts iicitos. *= Divulgar al auditor de SI su conocimiento de la irregularidades o actos ilicitos que afectan la organizacion cen lo que se refiere a + Gestibn + Empleados con funciones importantes en controlesinternos. - Divulgar al auditor de SI su conosimiento de cualquier alegato de irregularidades o actos ilictos, o su sospecha, ‘que afectan a Ia organizacion segin lo comunican los empleados, ex empleados, reguladores y otros. ~Si el audtor de SI identifica una irregularidad o acto ilicto de importancia u obtiene informacién de que una imegularidad o acto ilicito de importancia pueda existr,e! auditor de SI deberia comunicar estos asuntos oportunamente al nivel apropiedo de la gerencia de forma oportuns. ~Si el auditor de SI identifica una irregularidad o acto ilicito importante que involuere a la gerencie o a empleados {que tengan funciones sigificativas en el control intero, el auditor de SI deberia comunicar estos asuntos de manera ‘oportuna a los encargedos del gobiemo corporativa, ~ El auditor de $1 deberia aconsejar al nivel apropiado de le gerencia y a los encargados del gobiemo corporativo sobre las debilidades importantes en el disefo y la implementaciin del control interno para prevenir y detectar imegularidades © actos ilicitos que podrian haber sido identificados en el curso de un trabajo de auditor. ‘Manual de Preparacién al Examen CISA 2009 19Capitulo 1: El Proceso de Auditoria de $1 ~ Siel auditor de $1 encuentra cizcunstancias excepcionales tales como falsas declaraciones 0 actos iliitos importantes (que afecten su capacided de continuar con el trabajo de autora, el auditor de SI deberia considerar sus responsabilidades legales y profesionales aplicables dadas las circunstancias,incluyendo el saber si existe el requerimiento de que el auditor de SI reporte a sus contratantes en algunos casos alos encargadas del gobierno corporativo 0 a las autoridades regulatorias 0 bien considerar cancelar su contrato, ~ El auditor de SI deberia documenta todas las comunicaciones, planeacién, resultados, evaluaciones y conclusiones relacionadas con ieregularidades y actos ilicitos importantes que hayan sido reportados a la gerencia, encargados del gobicmo corporativo, reguladores y otros. + S10 Gobierno de 1 auditor de SI deberia revisar y valorar sila funci6n de SI esta alineada con la vision, misién, valores, objetivos ¥ estrategias de la organizacio, ~ B! auditor de SI deberiarevisar si la funcion de SI tiene una declaracién clara acerca del desempetio esperado por el negocio (efectivided y efciencia) y valorar si se cumple con el mismo, ~ Bl auditor de SI debe revisar y valorar la efectividad de Tos procesos de gestén de recursos de SI y de desempeio, ~ El auditor de SI deberta revisar y valorar el cumplimiento con los requisites legales, ambientules, de calidad de Ia informacién, fiduciarios y de seguridad. EL auditor de SI deberia usar un enfoque basado en riesgos para evaluar la funcién de SI. auditor de SI deberia revisar y valorar cl ambiente de control de la organizacién, ~ El auditor de SI deberiarevisar y valorar los riesgos que puedan impactar de manera negativa el ambiente de SI + SUL Uso de la Valoracién de Riesgos en la Planeacién de Auditoria: ~ El auditor de SI deberia usar una técnica o enfoque apropiado de valoracién de tiesgos al desarrollar el plan general de auaitoria de SI y determinar las priridades para una asignacién efectiva de recursos de auditoria de SI ~ Al planear las revisiones individuales, el auditor de SI deberiaidentificar y valorar los riesgos relevantes para cl érea bajo revision, + S12 Importancia de la Auditoria — El auditor de SI deberia considerar la importancia de la auditoria y su relacion con el riesgo de auditotia mientras determina la naturaleze, el tiempo y la extensidn de los procedimientos de auditor. i ~ Mientras planea {a auditoria, el auditor de SI deberia considerar a potencial debilidad o Ia ausencia de controles y si dicha debitidad o ausencia de controles podria tener como consecuencia deficiencias significativas o una debitidad importante en el sistema de informacién, ~ Bl auditor de SI deberia considerar el efecto acumulativo de las deficiencias o debilidades menoces de control y la ausencia de controles para traducirios en deficiencia signficativa o debilidad importante en el sistema de informacién, ~ El informe del auditor de SI deberia revelar controles ineficaces o ausencia de controles y el significado de las deficiencies de control y le posibilidad de que estas debilidades tengan como consecuencia una deficiencia significative 0 una debilidad importante + S13 Uso del Trabajo de Otros Expertos ~ El auditor de SI deberia, donde sea apropiado, considerar usar el trabajo de otros expertos para la auditoria. ~ El auditor de SI deberia valorar y quedar satistecho con los procesos de calificaciones profesionales, competencias, experiencia relevante, recursos, independency control de calidad de otts expertes, antes del compromiso. ~ El auditor de SI deberia valorar,revisar y evaluar el trabajo de ottos expertos como parte de a auditoria y concluir la extension de uso y confianze del trabajo de un expert. ~ El auditor de SI deberia determinar y concluir sie! trabajo de otros expertos es adecuado y completo como para permitir que el auditor de SI concluya sobre Los actuales objetivos de euditoria, Dicha conclusién debe ser claramente documentads, ~ Fl auditor de SI debe aplicar procedimientos adicionales de prueba para obtener evidencia de auditoria suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no provee evidencia suficiente y apropiada de auditorta ~ El auditor de SI deberia proveer una opiniin apropiada de auditora e inclu limitaci6n de alcance donde la evidencia requerida no sea obtenida a través de procedimientos adicionales de prueba, + S14 Evidencia de Auditoria ~ El auditor de SI deberia obtener evidencia de auditoria suffiente y apropiada para extraer conclusiones sobre las cuales basar los resultados de auditoria, ~ El auditor de SI deberiaevalvar la suficienca de la evidencia de auditeriaobtenida durante fa auditorta, 20 ‘Manual de Preparaci6n al Examen CISA 2009G38 64 wo 2 i] o 2 BD 2 Capitulo 1: El Proceso de Auditoria de SI + S15 Controles de TI ~ Bl auditor de SI debe evaluar y monitorear los controles de TL que son parte integral del ambiente de control interno de la organizacién. El auditor de SI deber brindar asistencia a la gerencia por medio de consejos relacionados con el diseio, le implementacién, operacion y mejora de os controles de TI + S16 Comercio Eleetrénico ~ El auditor de SI debe evaluar los controles aplicables y valorarriesgos cuando revisa los ambientes de comercio clectrénico para asegurar que las ransacciones de comercio electrénico estén controladas edecuadamente. 1.3.3 DIRECTRICES DE ISACA PARA AUDITORIA DE SI EB objetivo de las Directices de ISACA para Ia auditoria de SI es proveer informacién adicional sobre cémo cumplir con las Normas de ISACA para la Auditoria de SI. El auditor de ST debera: + Considerarlas para determinar cdi implementa las normas citadas avba, + Usar el juicio profesional para aplicals. + Poder justificar cualquier diferencia. indice de Directrices GI Uso del Trabajo de Otros Auditores, con efecto a partir del 1 de junio de 1998 G2_ Requisite de Evidencia de Auditoria con efecto a partir del 1 de diciembre de 1998 G3 Uso de Técnicas de Auditoria Asistidas por Computadora (CAAT), con efecto a partir del | de diciembre de 1998 G4 Contratacién de servicios extemos de las Actividades de SI para Otras Organizaciones, con efecto a partir del | de septiembre de 1999 GS. Estatuto de Auditoria, con efecto a partir del | de septiembre de 1999 G6 Conceptos de importancia para la Auditoria de Sistemas de Informacién, con efecto a partit del | de septiembre de 1999 G7 Debido Cuidado Profesional, con efecto a partir del | de septiembre de 1999 G8 Documentacidn de la Auditoria, con efecto a partir del 1 de septiembre de 1999 G9 Consideraciones de Auditoria en Casos de Inregularidades, con efecto a partir de! | de marzo de 2000 G10 Muestreo de Auditoria, con efecto a partir del 1 de marzo de 2000 GI] Efecto de los Controles Generales de SI, con efecto a partir del | de marzo de 2000 G12 Relacién ¢ Independencia Organizacional, con efecto a partir del | de septiembre de 2000 G13 Uso de la Valoracion de riesgos en la Planeacién de la Auditoria, con efecto a partir del 1 de septiembre de 2000 G14 Revisién de los Sistemas de Apticacién, con efecto a partir del | de noviembre de 2001 G15 Planeacidn Revisada, con efectoa partir del 1 de marzo de 2002 G16 Efecto de Terceros en los Controles de TI de una Organizacién, con efecto a partir del 1 de marzo de 2002 GIT Efecto del rol de no auditor ea la Independencia del Auditor de SI, con efecto a partir del 1 de julio de 2002 GI8 Gobierno de TI, con efecto a partir del 1 de julio de 2002 G19 Irregularidades y Actos Tlegales, con efecto a partir del 1 de julio de 2002 G20 Reportes, con efecto a partir del | de enero de 2003 G21 Revision de Sistemas de Planeacién de Recursos Empresariales (ERP), con efecto a partir del | de agosto de 2003 G22 Revisién del Comercio Electronico Negocio-a-Consumidor (B2C), con efecto a partir del | de agosto de 2003 G23 Revision del Ciclo de Vida de Desarrollo de Sistemas (SDLC), con efecto a partir del 1 de agosto de 2003 G24 Banca por Intemet, con efecto a partir del 1 de agosto de 2003 G25 Revisibn de Redes Privadas Virtuales, con efecto a partir del | de julio de 2004 ‘Manual de Preparacién al Examen CISA 2009 a