Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ITAF-4th-Edition Witaf4s FMK SPA 0321
ITAF-4th-Edition Witaf4s FMK SPA 0321
4ª edici
edicióón
n
Descargo de responsabilidad
ISACA ha diseñado y creado su Marco de referencia de auditoría de información y tecnología (ITAF™): Un marco de
referencia de prácticas profesionales para TI (A Professional Practices Framework for IT), 4ª edición (el “Trabajo”),
principalmente como un recurso educativo para los profesionales de gobierno y aseguramiento. ISACA no pretende que el
uso de cualquier parte del Trabajo garantice un resultado satisfactorio. No se debería considerar que el Trabajo incluye toda
la información, los procedimientos y las pruebas apropiadas, ni que excluye otro tipo de información, procedimientos y
pruebas que estén orientadas razonablemente hacia la obtención de los mismos resultados. En determinar la idoneidad de
cualquier información, procedimiento o prueba específicos, los profesionales de la seguridad deberían aplicar su propio
juicio profesional a las circunstancias específicas presentadas por los sistemas particulares o el entorno de tecnología de la
información.
© 2020 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, reproducida,
modificada, distribuida, exhibida, almacenada en un sistema de recuperación o transmitida de cualquier forma o por
cualquier medio (electrónico, mecánico, fotocopia, grabación u otros), sin la previa autorización por escrito de ISACA.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAGlobal
Instagram: www.instagram.com/isacanews/
CRISC is a trademark/service mark of ISACA. The mark has been applied for or registered in countries throughout the world.
2 Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A
Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Agradecimientos
ISACA desea agradecer a:
Revisores expertos
Manoj Agarwal, CISA, CIA, CRMA, CA, DISA, Metro Brands Limited, India
G.M. Faruk Ahmed, CISA, Rupali Bank Limited, Bangladés
Winnie Ang, CISA, CISM, Singapur
Anagha Apte, CISA, CRISC, CISM, Birlasoft Ltd., EE.UU.
Kenia Arias, CISA, A-FE Consulting LLC, EE.UU.
Bode Bary Aro, CISA, CRISC, Enugu Electricity Distribution Company, Nigeria
Mais Barouqa, CISA, CRISC, CGEIT, ISO27K, ITIL, COBIT FL, GRCP, Deloitte, Jordania
Marquita Bass, CISA, PMP, Rausch Advisory, EE.UU.
Cindy Baxter, CISA, ITIL, State Street Corporation, EE.UU.
Zsolt Bederna, CISA, CRISC, CISM, CGEIT, CISSP, CEH, ITIL-F, Cyex OÜ, Hungría
Vijay Bhalerao, CISA, COBIT-F, ISO 27001 LA, MCSA, ITIL-F, Unisoft Computrade Pvt. Ltd., India
Parmeet Bhatiya, CISA, PricewaterhouseCoopers, Emiratos Árabes Unidos
Bakan Borupile, CISA, MCSE, MCSA, Btech, Mascom Wireless, Botsuana
Ricardo Jiménez Caicedo, CISA, Ernst & Young, Colombia
Jules Chachine, CISA, CISM, PMP, Jconseil, Líbano
Elastos Chimwanda, CISA, CIA, ZWMB Bank Limited, Zimbabue
Joyce Chua, CISA, CISM, CDPSE, CIPP(E), (C)CISO, CIPM, CIPP(A), CFE, CIA, PMP, CITPM, ITIL, MCP, IRCA ISMS
Associate Auditor, Sony Electronics, Singapur
Ari Ecrument, CISA, CRISC, CDPSE, FIP, CIPP/E, CIPM, CRMA, CEH, ISO 27001/22301/20000
Bhaskar Ghosh, CISA, Wintrust Financial Corporation, EE.UU.
Miguel A. González, CISA, ITESM, México
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Andrew Hinder, CISA, CMIIA, QIAL, CRMA, CIA, BAE Systems, Reino Unido
Marko Jagodic, CISA, CRISC, VRIS, LLC, Eslovenia
Ashane J.W. Jayasekara, CISA, BDO, Sri Lanka
Daniel Jones, CISA, CRISC, CISM, Devon Energy, EE.UU.
Abbie Anne Julien, CISA, CDPSE, Life Extension Foundation Buyers Club Inc., EE.UU.
Mladen Kandic, CISA, CIA, Eurobank, Serbia
Joanna Karczewska, CISA, Polonia
Glenn Kirke, CISA, Integrated Audit and Compliance, EE.UU.
Matthias Kraft, CISA, CRISC, CISM, CGEIT, CAC, DPO, Fidelity International, Luxemburgo
Abhishek Kumar, CISA, ISO 27001 LA, ISO 22301 LA, Deloitte, India
Hiu Sing Lam, CISA, FRM, PMP, Hong Kong
James Lam, CISA, CRISC, CISM, TOGAF, Aon Cybersecurity Advisory, EE.UU.
Larry L. Lliran, CISA, CISM, Precelsus Consulting, Puerto Rico
Angel Giovanni Vasquez López, CISA, Banco GYT Continental, Guatemala
Michael Malcolm, CISA, CIA, CRMA, CFSA, CGAP, CFE, Opentext Corporation, Canadá
A.T. Manjunath, CISA, CCSK, CSA STAR AUDITOR, Applied Materials, India
Rafael Pérez Marín, CISA, Venezuela
Larry Marks, CISA, CRISC, CISM, CGEIT, CDPSE, CISSP, ITIL, PMP, EE.UU.
Vivek Mathivanan, CISA, CRISC, CGEIT, Worley, Australia
Benedicta Mlingi, CISA, NMB Bank Plc., Tanzania
Juan Carlos Morales, CISA, CRISC, CISM, CGEIT, COBIT 2019, Guatemala
Donald Morgan, CISA, Farm Credit Canada, Canadá
Syed Aun Muhammad, CISA, Canadá
Christine Lilian Mukhongo, CISA, CRISC, CISM, Kenya Universities & Colleges Central Placement Service, Kenia
Sitambaram Ainslei Naidu, CISA, CIA, Edcon, Sudáfrica
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
3
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
AGRADECIMIENTOS
Agradecimientos (cont.)
Tushar Nerurkar, CISA, CISSP, PMP, PricewaterhouseCoopers EE.UU.
Daisha Ngo, CISA, CPA, CRMA, Spectrum Health, EE. UU.
Geoffrey Nkuutu, CISA, Fellow Chartered Certified Accountant (FCCA), Wazalendo Savings & Credit Cooperative Society
Limited, Uganda
Alexander Obraztsov, CISA, CISSP, PMP, Societe Generale (New York), EE.UU.
Darren O’Brien, CISA, CRISC, Vitality, Reino Unido
Iroko Oluwatosin, CISA, CRISC, CISM, ITIL, CEH, ISO 27001, Alberta Blue Cross, Canadá
Anas Olateju Oyewole, CISA, CRISC, CISM, CDPSE, CISO, CISSP, CCSP, PMP, Indigo Books and Music, Canada
Chirag Ali Peerzada, CISA, CEH, ISO 27001 LA, ISO 22301 LI, Mahindra Special Service Group, India
John Pouey, CISA, CRISC, CISM, CIA, Entergy, EE.UU.
Shahid Qureshi, CISA, CPA, CGA (Canada), FCCA (UK), CIA (USA), FCMA, FCIS, FCSM, Leverage Global Inc., Canadá
Sreechith Radhakrishnan, CISA, CRISC, CISM, CGEIT, CDPSE, COBIT Assessor, ISO 27001 LA, ISO 20000 LA, ISO
37001 LA, ISO 22301 LA, Global Success Systems FZ LLC, Emiratos Árabes Unidos
Allan Rono, CISA, CISM, ITIL, Liberty Group, Kenia
Sampa David Sampa, CISA, World Vision International, Zambia
Megah Santio, CISA, CISM, COBIT Assessor, CIA, Australia
Garimella Chandrasekhar Sarma, CISA, CRISC, CDPSE, CFE, CtrlS Datacenters, India
S. Phani Krishna Sunkaranam, CISA, CRISC, CISM, CISSP, ITIL, Trianz, India
Luong Trung Thanh, CISA, CISM, CGEIT, Vietnam
Catalin Tiganila, CISA, CRISC, CISM, CISSP, CBCP, CIPM, Deloitte, Luxembourgo
Marisela Parra Valencia, CISA, ITIL, Costa Rica
Kaysi Veatch, CISA, CSX-F, CIA, Maxar, EE. UU.
Ionnis Vittas, CISA, CISM, Quest Holdings SA, Grecia
Ross Wescott, CISA, CUERME, CCP, CIA (ret), Wescott & Associates, EE.UU.
Surendra Yakkali, CISA, CSM, ITIL, SAFe 5, CMMI Associate, OptumServe Technology Services, Inc., EE.UU.
Consejo de administración
Tracey Dedrick, Chair, Former Chief Risk Officer, Hudson City Bancorp, EE.UU.
Rolf von Roessing, Vice-Chair, CISA, CISM, CGEIT, CDPSE, CISSP, FBCI, Partner, FORFA Consulting AG, Suiza
Gabriela Hernandez-Cardoso, Independent Board Member, México
Pam Nigro, CISA, CRISC, CGEIT, CRMA, Vice President–Information Technology, Security Officer, Home Access Health,
EE.UU.
Maureen O’Connell, Board Chair, Acacia Research (NASDAQ), Former Chief Financial Officer and Chief Administration
Officer, Scholastic, Inc., EE.UU.
David Samuelson, Chief Executive Officer, ISACA, EE.UU.
Gerrard Schmid, President and Chief Executive Officer, Diebold Nixdorf, EE.UU.
Gregory Touhill, CISM, CISSP, President, AppGate Federal Group, EE.UU.
Asaf Weisberg, CISA, CRISC, CISM, CGEIT, Chief Executive Officer, introSight Ltd., Israel
Anna Yip, Chief Executive Officer, SmarTone Telecommunications Limited, Hong Kong
Brennan P. Baybeck, CISA, CRISC, CISM, CISSP, ISACA Board Chair, 2019-2020, Vice President and Chief Information
Security Officer for Customer Services, Oracle Corporation, EE.UU.
Rob Clyde, CISM, ISACA Board Chair, 2018-2019, Independent Director, Titus, and Executive Chair, White Cloud Security,
EE.UU.
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, ISACA Board Chair, 2015-2017, Group Chief Executive Officer,
INTRALOT, Grecia
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
4 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
TABLA DE CONTENIDOS
Ta b l a d e c o n t e n i d o s
Introducción ....................................................................................................................................................................................7
Preguntas más frecuentes ....................................................................................................................................................................7
Organización ........................................................................................................................................................................................7
Cómo usar ITAF ..................................................................................................................................................................................8
Estándares emitidos por otros organismos de establecimiento de estándares ................................................................................9
Términos y definiciones.......................................................................................................................................................................9
Código de Ética Profesional de ISACA ..............................................................................................................................................9
Declaraciones de estándares de aseguramiento y auditoría de TI ..............................11
Declaraciones de estándares..............................................................................................................................................................11
Estándares generales...................................................................................................................................................................11
Estándares de desempeño ...........................................................................................................................................................12
Estándares de informes...............................................................................................................................................................15
ESTÁNDARES GENERALES ......................................................................................................................................17
Estándares generales 1001: Estatuto de la función de auditoría....................................................................................................17
Directrices generales 2001: Estatuto de la función de auditoría ....................................................................................................17
Estándar general 1002: Independencia organizativa ......................................................................................................................20
Directrices generales 2002: Independencia organizativa ................................................................................................................20
Estándar general 1003: Objetividad del auditor .............................................................................................................................22
Directrices generales 2003: Objetividad del auditor .......................................................................................................................22
Estándar general 1004: Expectativa razonable ...............................................................................................................................29
Directrices generales 2004: Expectativa razonable .........................................................................................................................29
Estándar general 1005: Debido cuidado profesional ......................................................................................................................33
Directrices generales 2005: Debido cuidado profesional ................................................................................................................33
Estándar general 1006: Competencia ..............................................................................................................................................37
Directrices generales 2006: Competencia ........................................................................................................................................37
1007—Estándares generales Afirmaciones ......................................................................................................................................40
Directrices generales 2007: Afirmaciones ........................................................................................................................................41
Estándar general 1008: Criterios .....................................................................................................................................................44
Directrices generales 2008: Criterios ...............................................................................................................................................44
ESTÁNDARES DE DESEMPEÑO .........................................................................................................................49
Estándares de desempeño 1201: Evaluación de riesgo en planificación ........................................................................................49
Directrices de desempeño 2201: Evaluación de riesgo en planificación ........................................................................................49
Estándares de desempeño 1202: Programación de auditoría .........................................................................................................55
Directrices de desempeño 2202: Programación de auditoría .........................................................................................................55
Estándares de desempeño 1203: Planificación del encargo ............................................................................................................56
Directrices de desempeño 2203: Planificación del encargo ............................................................................................................57
Estándar de desempeño 1204: Desempeño y supervisión ...............................................................................................................62
Directrices de desempeño 2204: Desempeño y supervisión ............................................................................................................62
Estándar de desempeño 1205: Evidencia .........................................................................................................................................68
Directrices de desempeño 2205: Evidencia ......................................................................................................................................69
Estándar de desempeño 1206: Uso del trabajo de otros expertos ..................................................................................................74
Directrices de desempeño 2206: Uso del trabajo de otros expertos ...............................................................................................74
Estándar de desempeño 1207: Irregularidades y acciones ilegales ................................................................................................78
Directrices de desempeño 2207: Irregularidades y actos ilegales .................................................................................................78
ESTÁNDARES DE INFORMES ................................................................................................................................89
Estándar de informes 1401: Presentación de informes ...................................................................................................................89
Directrices de informes 2401: Presentación de informes ................................................................................................................89
Estándar de informes 1402: Actividades de seguimiento ................................................................................................................93
Directrices de informes 2402: Actividades de seguimiento .............................................................................................................93
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
5
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
TABLA DE CONTENIDOS
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
6 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
INTRODUCCIÓN
Introducción
El marco de referencia de auditoría de tecnología de la información de ISACA (ITAF) en un marco de auditoría de TI integral
que:
Establece las normas que definen los requerimientos relacionados con los roles y responsabilidades, ética y conducta
profesional esperada y conocimiento y competencias requeridas de los profesionales de auditoría y aseguramiento de TI;
Define términos y conceptos específicos para la auditoría y aseguramiento de TI;
Proporciona orientación y técnicas para la planificación, la realización y los informes de las asignaciones de auditoría y
aseguramiento de TI.
Basado en el material de ISACA, ITAF proporciona un recurso único para los profesionales de la auditoría y el aseguramiento
de TI para obtener una guía sobre el desempeño de auditorías y el desarrollo de informes de auditoría efectivos. La 3ª La
edición de Estándares y Directrices de Aseguramiento y Auditoría de TI incorporada a ITAF está en vigor desde el 1 de
noviembre de 2013. Antes de publicar la 4ª edición de ITAF, ISACA publicó un borrador de exposición abierto a comentarios,
y más de 65 revisores proporcionaron su feedback. La 4ª edición de ITAF está en vigor desde octubre de 2020.
Organización
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
7
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
INTRODUCCIÓN
Estándares de desempeño (serie 1200)—Abordar la realización del trabajo, como la planificación y supervisión, el
alcance, la evaluación de riesgos, la movilización de recursos, la gestión del compromiso, la evidencia de auditoría y
aseguramiento, y el ejercicio del juicio profesional y el debido cuidado.
Estándares de informes (serie 1400)—Abordar los tipos de informes, los medios de comunicación y la información
comunicada.
Las guías de la ITAF proporcionan al profesional de aseguramiento y auditoría de TI información y orientación sobre un
trabajo de aseguramiento o auditoría de TI. De acuerdo con las tres categorías de estándares descritas anteriormente, las
directrices se centran en varios enfoques de auditoría, metodologías y material relacionado para ayudar en la planificación,
ejecución, evaluación, prueba e informes sobre procesos de TI, controles e iniciativas de aseguramiento o auditoría de TI
relacionadas. Las guías también ayudan a clarificar la relación entre las asignaciones e iniciativas de la empresa y las
asumidas por TI. Las directrices de aplicación siguen los estándares relacionados.
El sitio web de ISACA proporciona información específica sobre diversas metodologías, herramientas y plantillas, e incluye
instrucciones sobre su aplicación y uso para poner en funcionamiento la información proporcionada por la guía. Un ejemplo
es la creación de las Directrices de desempeño 2208 de ISACA: Muestreo de auditoría de tecnología de la información, que es
un compañero del marco de referencia de ITAF. Estas directrices proporcionan soporte para el uso del muestreo por parte de
los profesionales de auditoría y aseguramiento de TI cuando se llega a una conclusión sobre la población total cuando los
procedimientos de auditoría se aplican a menos del 100 por cien de esa población. Hay herramientas y técnicas adiciones, que
también incluyen libros blancos, programas y libros de auditoría, disponibles en www.isaca.org/resources/insights-and-
expertise/audit-program-and-tools.
Cada tarea de aseguramiento y auditoría de TI debe adherirse a los estándares prescritos en cuanto a si los individuos están
cualificados para realizar el trabajo, cómo se realiza el trabajo, qué trabajo se realiza, y cómo se informa acerca de los
hallazgos dependiendo de las distintas características de la tarea y la naturaleza de los resultados obtenidos.
Si la asignación debe realizarse por parte de un individuo, ese individuo debe poseer la habilidad y conocimiento requerido
para completar la asignación. Si la asignación debe realizarla más de un individuo, el equipo conjunto debe poseer la
habilidad y conocimiento para realizar el trabajo.
Algunas suposiciones críticas son inherentes a cualquier asignación de aseguramiento y auditoría de TI, incluidas las
siguientes:
La materia es identificable y está sujeta a auditoría.
Existe una alta probabilidad de una finalización exitosa del proyecto.
El planteamiento y metodología están libres de sesgos.
El proyecto tiene un alcance suficiente para cumplir con los objetivos de aseguramiento o auditoría de TI.
El proyecto conducirá a un informe que es objetivo y no llevará a error al lector.
Los estándares son obligatorios en todos los casos. El término «debería» indica «debe». Cualquier desvío de los estándares
debe abordarse antes de la realización de la asignación de aseguramiento o auditoría de TI.
Las directrices podrían no aplicarse a todas las situaciones, pero siempre deberían considerarse. Las directrices permiten a los
profesionales de aseguramiento y auditoría un grado de flexibilidad. Por lo tanto, al revisar las pautas para determinar la
aplicabilidad, los profesionales deberían utilizar su juicio profesional, estar preparados para justificar cualquier desviación
significativa de las directrices u omisión de las secciones relevantes de la guía y buscar orientación adicional si es necesario.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
8 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
INTRODUCCIÓN
Las herramientas y técnicas representan material e información suplementarios que soportan la guía. En algunos casos, las
técnicas presentan alternativas o incluso un rango de técnicas, muchas de las cuales podrían ser aplicables. El profesional de
aseguramiento y auditoría de TI debe seleccionar solo las técnicas adecuadas que producen información relevante, objetiva y
sin sesgos.
En línea con la constante evolución de ITAF, los números de las secciones incluyen huecos para la inserción de guías futuras.
Aunque los estándares de ITAF proporcionan a los profesionales de aseguramiento y auditoría de TI una guía y orientación
integral, algunas situaciones puede requerir que los profesionales usen estándares emitidos por otra organización.
Cuando el profesional de aseguramiento y auditoría de TI cita cumplimiento con los estándares de ITAF y surgen conflictos
entre ITAF y los estándares aplicables de otra organización, el profesional de aseguramiento y auditoría de TI debería usar los
estándares de ITAF, como los estándares reinantes para llevar a cabo revisiones e informar de los resultados.
Si el profesional de aseguramiento y auditoría de TI debe adherirse a estándares distintos a la ITAF con propósitos
regulatorios o expectativas operativas, y el profesional de aseguramiento y auditoría de TI puede:
Usar estándares profesionales requeridos por otros organismos de autoridad junto con los estándares de ITAF,
Citar el uso de otros estándares requeridos en sus informes.
Términos y definiciones
A lo largo de este documento, se utilizan palabras comunes con significados específicos que se aplican a los tipos más
comunes de trabajos realizados por profesionales de auditoría y aseguramiento de TI. En esos casos, se proporciona una
definición en el Apéndice C de ITAF. Esto garantiza que las palabras y sus significados dentro del contexto de estos
documentos se entienden y aplican de forma uniforme.
Cuando sea práctico, los términos y definiciones de la ITAF son, por lo general, consistentes con la terminología usada
comúnmente en la práctica de la auditoría profesional y en tecnología de la información y seguridad; sin embargo, los
profesionales deberían consultar los estándares de fuentes originales más actuales relevantes para el tipo específico de trabajo
(s) a realizar para asegurar que se utilicen los términos y definiciones más actuales y apropiados.
Para otros términos y definiciones no incluidos en ITAF, hay disponible un glosario completo en el sitio web de ISACA,
www.isaca.org/glossary.
ISACA establece este Código de Ética Profesional para guiar la conducta profesional y personal de los miembros de la
asociación y/o de sus profesionales certificados.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
9
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
INTRODUCCIÓN
El incumplimiento de este Código de Ética Profesional puede ocasionar una investigación de la conducta del miembro o del
portador de la certificación y, finalmente, medidas disciplinarias.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
10 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
DECLARACIONES DE ESTÁNDARES DE ASEGURAMIENTO Y AUDITORÍA DE TI
Declaraciones de estándares
Estándares generales
1001.2 La función de aseguramiento y auditoría de TI tendrá que contar con un estatuto de auditoría acordado y formalmente
aprobado por aquellos encargados de la gobernanza y de la supervisión de la función de auditoría, por ejemplo, el consejo
directivo y/o el comité de auditoría.
1001.3 La función de aseguramiento y auditoría de TI comunicará el estatuto de la función de auditoría, a los directivos
ejecutivos/sénior. Además, elementos relevantes del estatuto de auditoría se compartirán con los grupos que se auditan a la
entrada de reuniones y/o a través de cartas de compromiso.
1001.4 A través de la revisión del estatuto de auditoría de forma periódica, las responsabilidades de la función de
aseguramiento y auditoría, como se refleja en el estatuto de auditoría, deben permanecer alineadas con la misión y las
estrategias de la empresa. La revisión inmediata del estatuto de auditoría se garantiza si la misión o estrategias de la empresa
cambian o si las responsabilidades de la función de auditoría cambian.
1002.1 La función de auditoría y aseguramiento de TI debe estar libre de conflictos de interés y de la influencia indebida en
todos las cuestiones relacionadas con las asignaciones de auditoría y aseguramiento. Cualquier impedimento a la
independencia (de hecho o apariencia) se identifica y comunica a las partes correspondientes.
1002.2 La función de aseguramiento y auditoría de TI debe tener una relación de informe funcional (por ejemplo, informar al
consejo directivo) que apoya la capacidad de la función para permanecer libre de influencia indebida.
1002.3 La función de aseguramiento y auditoría de TI debería tener una relación de informe administrativo que soporta el
desempeño libre de la función de sus responsabilidades (por ejemplo, ámbito de la asignación, campo de trabajo o informe).
1003.1 Los profesionales de aseguramiento y auditoría de TI deben ser objetivos, en todos los asuntos relacionados con las
contrataciones de auditoría y aseguramiento.
1004.1 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de que la asignación
pueda ser completada de conformidad con los estándares de auditoría y aseguramiento de TI y, cuando sea necesario, con
otras normas de la industria o leyes y reglamentos aplicables que darán lugar a una opinión o conclusión profesional.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
11
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
DECLARACIONES DE ESTÁNDARES DE ASEGURAMIENTO Y AUDITORÍA DE TI
1004.2 Los profesionales de auditoría y aseguramiento de TI deben tener una expectativa razonable de que el alcance de la
asignación permita llegar a una conclusión sobre la materia y de que se aborden las limitaciones de alcance.
1004.3 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de que la dirección
entiende sus obligaciones y responsabilidades con respecto a proporcionar la información adecuada, pertinente y oportuna
necesaria para llevar a cabo la asignación.
1005.1 Conforme con el Código de Ética Profesional de ISACA, los auditores ejercerán la diligencia debida y cuidado
profesional. Mantendrán altos estándares de conducta y carácter y evitarán participar en actos que podrían desacreditarles a
ellos o a la profesión. La privacidad y confidencialidad de información obtenida debe mantenerse durante el curso de los
deberes del auditor. Además, esta información no debería usarse para beneficio personal, ni la información debería divulgarse
a menos que así lo requiera la autoridad legal.
1006 Competencia
1006.1 Los profesionales de aseguramiento y auditoría de TI, junto con otras personas que ayudan en las actividades de
auditoría y el aseguramiento, deben poseer la competencia adecuadas para realizar el trabajo requerido.
1006.2 TI los profesionales de auditoría y aseguramiento de TI deben poseer el conocimiento adecuado sobre la materia para
llevar a cabo sus roles en asignaciones de aseguramiento y auditoría de TI.
1006.3 Los profesionales de auditoría y aseguramiento de TI deben mantener la competencia profesional a través de una
adecuada formación profesional continua.
1007 Afirmaciones
1007.1 Los profesionales de auditoría y aseguramiento de TI deben revisar las afirmaciones con las que la materia será
evaluada para determinar que dichas afirmaciones sean capaces de ser auditadas y que las afirmaciones sean suficientes,
válidas y relevantes.
1008 Criterios
1008.1 Los profesionales de aseguramiento y auditoría de TI deben seleccionar los criterios con los que se evaluará la materia,
que sean objetivos, completos, relevantes, fiables, medibles, comprensibles, ampliamente reconocidos, autorizados y
comprendidos por, o disponibles para, todos los lectores y usuarios del informe.
1008.2 Los profesionales de aseguramiento y auditoría de TI deben considerar la aceptabilidad de los criterios y centrarse en
criterios que están reconocidos, son autorizados y están públicamente disponibles.
Estándares de desempeño
1201.1 La función de auditoría y aseguramiento de TI debe utilizar un enfoque de evaluación de riesgo adecuado (por
ejemplo, basado en datos con factores cuantitativos y cualitativos) y una metodología de apoyo para desarrollar el plan de
auditoría general de TI y determinar las prioridades para la asignación efectiva de los recursos de auditoría de TI.
1201.2 Los profesionales de auditoría y aseguramiento de TI deben identificar y evaluar el riesgo relevante al área de revisión,
cuando planifican actividades individuales.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
12 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
DECLARACIONES DE ESTÁNDARES DE ASEGURAMIENTO Y AUDITORÍA DE TI
1201.3 Los profesionales de auditoría y aseguramiento de TI deben considerar el riesgo de la materia, el riesgo de la auditoría
y la exposición relativa de la empresa al planificar actividades de auditoría
1202.1 La función de aseguramiento y auditoría de TI debe establecer un plan estratégico integral que resulte en calendarios
de auditoría de corto y largo plazo. La planificación a corto plazo consiste en la realización de auditorías dentro del año,
mientras que la planificación a largo plazo está constituida por auditorías basadas en temas relacionados con el riesgo dentro
del entorno de tecnología de la información (TI) de la empresa que podrían realizarse en el futuro.
1202.2 La mayoría de los calendarios a corto plazo y largo plazo deberían acordarse con aquellos encargados de la
gobernanza y supervisión (por ejemplo, comité de auditoría) y comunicarse dentro de la empresa.
1202.3 La función de aseguramiento y auditoría de TI debe modificar sus calendarios de auditoría a corto y largo plazo para
que respondan a las necesidades organizativas (por ejemplo, eventos inesperados o iniciativas no planificadas). Cualquier
auditoría desplazada para acomodar una auditoría de un evento inesperado o iniciativa no planificada debería reasignarse a un
periodo futuro.
1203.1 Los profesionales de aseguramiento y auditoría de TI deben planificar cada asignación de auditoría y aseguramiento
de TI para abordar la naturaleza, el cronograma y el alcance de los procedimientos de auditoria que se deben llevar a cabo. El
plan debe incluir:
Áreas a auditar
Objetivos
Alcance
Recursos (por ejemplo, TI, herramientas y presupuesto) y fechas de programación
Cronograma y entregas
Cumplimiento con leyes/regulaciones aplicables y estándares de auditoría profesional
Uso de un enfoque basado en riesgos para asignaciones que no están relacionados con cumplimiento legal o regulatorio
Problemas específicos a la asignación
Requerimientos de informes y documentación
Uso de tecnología relevante y técnicas de análisis de datos
Consideración del coste de la asignación en comparación con los posibles beneficios
Protocolos de comunicación y escalamiento para situaciones que pueden surgir durante el desempeño de una asignación
de auditoría (por ejemplo, limitaciones del alcance o no disponibilidad de personal clave)
Durante el trabajo de campo, puede que sea necesario modificar los procedimientos de auditoría creados durante la
planificación conforme avanza la asignación.
1203.2 Los profesionales de aseguramiento y auditoría de TI deben desarrollar y documentar un programa de auditoría de las
asignaciones de auditoría y aseguramiento de TI que describa los procedimientos paso a paso y las instrucciones que deben
usarse para completar la auditoría.
1204.1 Los profesionales de auditoría y aseguramiento de TI deben llevar a cabo el trabajo en conformidad con el plan de
auditoría de TI aprobado para cubrir el riesgo identificado y dentro del cronograma acordado.
1204.2 Los profesionales de auditoría y aseguramiento de TI deben proporcionar supervisión al personal de auditoría de TI
sobre quienes tienen responsabilidad de supervisión, para lograr los objetivos de la auditoría y cumplir con los estándares de
auditoría profesional aplicables.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
13
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
DECLARACIONES DE ESTÁNDARES DE ASEGURAMIENTO Y AUDITORÍA DE TI
1204.3 Los profesionales de aseguramiento y auditoría de TI deben aceptar solo tareas que estén dentro de su conocimiento y
habilidades o para las que tengan una expectativa razonable de adquirir las habilidades durante la asignación o lograr la tarea
bajo supervisión.
1204.4 Los profesionales de auditoría y aseguramiento de TI deben obtener evidencia suficiente y apropiada para lograr los
objetivos de la auditoría.
1204.5 Los profesionales de auditoría y aseguramiento de TI deben documentar el proceso de auditoría y describir el trabajo
de auditoría y la evidencia de auditoría que respalda los hallazgos y las conclusiones.
1204.6 Los hallazgos y las conclusiones del profesional de aseguramiento y auditoría de TI deben estar respaldados por un
análisis e interpretación apropiados de la causa raíz de esta evidencia.
1204.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una opinión o conclusión de la auditoría apropiada
e incluir cualquier limitación del alcance cuando no se obtenga la evidencia requerida mediante los procedimientos de prueba
adicionales.
1205 Evidencia
1205.1 Los profesionales de auditoría y aseguramiento de TI deben obtener evidencia suficiente y apropiada para extraer
conclusiones razonables.
1205.2 Aplicando el escepticismo profesional, los profesionales de auditoría y garantía de TI evaluarán la suficiencia de las
pruebas obtenidas para apoyar las conclusiones y alcanzar los objetivos de la asignación.
1205.3 Junto con otros papeles de trabajo, los profesionales de aseguramiento y auditoría de TI deben preservar la evidencia
durante un periodo de tiempo que se corresponda con periodos de retención aprobados y formalmente definidos.
1206.1 Los profesionales de auditoría y aseguramiento de TI deben considerar el uso del trabajo de otros expertos para la
asignación, cuando sea apropiado.
1206.2 Los profesionales de auditoría y aseguramiento de TI deben evaluar y aprobar la idoneidad de las calificaciones
profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos
antes de la asignación.
1206.3 Los profesionales de auditoría y aseguramiento de TI deben evaluar, revisar y valorar el trabajo de otros expertos
como parte de la asignación, y documentar la conclusión sobre el uso y la confianza en su trabajo.
1206.4 Los profesionales de auditoría y aseguramiento de TI deben determinar si el trabajo de otros expertos, que no forman
parte del equipo de asignación, es adecuado y completo para concluir acerca de los objetivos de la asignación actual. Los
profesionales deben también documentar la claramente la conclusión.
1206.5 Los profesionales de auditoría y aseguramiento de TI deben determinar si se podrá depender del trabajo de otros
expertos y se incorporará directamente o se hará referencia al mismo de manera separada en el informe.
1206.6 Los profesionales de auditoría y aseguramiento de TI deben aplicar procedimientos adicionales de prueba para obtener
evidencia suficiente y apropiada en los casos en que el trabajo de otros expertos no brinde evidencia suficiente y apropiada.
1206.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una opinión o conclusión de la auditoría e incluir
cualquier limitación del alcance cuando no se obtenga la evidencia requerida mediante los procedimientos de prueba
adicionales.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
14 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
DECLARACIONES DE ESTÁNDARES DE ASEGURAMIENTO Y AUDITORÍA DE TI
1207.1 Los profesionales de aseguramiento y auditoría de TI deben considerar el riesgo de irregularidades y actos ilegales
durante la asignación.
1207.2 Los profesionales de aseguramiento y auditoría de TI deben documentar y comunicar, de manera oportuna, cualquier
acto ilegal o irregularidad material a la parte correspondiente. Tenga en cuenta que algunas comunicaciones (por ejemplo, con
reguladores) pueden estar restringidas. Como resultado, las comunicaciones del profesional podrían requerir hablar con
aquellos encargados de la gobernanza y supervisión de la función de auditoría (por ejemplo, el consejo directivo y/o el comité
de la auditoría).
Estándares de informes
1401.1 Los profesionales de aseguramiento y auditoría de TI deben proporcionar un informe para comunicar los resultados al
concluir la asignación.
1401.2 Los profesionales de aseguramiento y auditoría de TI deben garantizar que los hallazgos en el informe de auditoría
estén respaldados por evidencia suficiente y apropiada.
1402.1 Los profesionales de aseguramiento y auditoría de TI deberían controlar y reportar periódicamente a aquellos
encargados de la gobernanza y supervisión del progreso de la dirección de la función de auditoría (por ejemplo, el consejo
directivo y/o el comité de auditoría) sobre hallazgos y recomendaciones. Los informes deben incluir una conclusión sobre si
la dirección ha planificado y tomado medidas oportunas y apropiadas para abordar los hallazgos y las recomendaciones de la
auditoría notificados.
1402.2 El progreso sobre el estado general de la implementación de los hallazgos de la auditoría debería reportarse
regularmente al comité de auditoría, si está establecido.
1402.3 Bien se determine que el riesgo relacionado con un hallazgo se ha aceptado y es superior al apetito de riesgo de la
empresa, esta aceptación del riesgo debe comentarse con la dirección superior. La aceptación del riesgo (en particular, el fallo
para resolver el riesgo) debe someterse a la atención del comité de auditoría (si está establecido) y/o el consejo directivo.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
15
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
Página dejada en blanco intencionalmente
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
16 Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
ESTÁNDARES GENERALES
2001.1 Los profesionales deben tener un mandado claro para realizar la función de auditoría. Este mandato se documenta
normalmente en un estatuto de auditoría que deben aprobar formalmente aquellos encargados de la gobernanza, por ejemplo,
el consejo directivo y/o el comité de auditoría. Cuando un estatuto de auditoría existe para la función de auditoría en su
conjunto, el mandado de aseguramiento y auditoría de TI debería incorporarse.
2001.2.1 Un estatuto de la función de auditoría debe documentar la función de aseguramiento y auditoría de TI:
Independencia, código de ética y estándares/normas
Propósito, responsabilidad, autoridad y rendición de cuentas
Los protocolos que el profesional de aseguramiento y auditoría de TI seguirá en el desempeño de
asignaciones, incluido, pero sin estar limitado a, comunicación y escalamiento
Las funciones y las responsabilidades del auditado durante la asignación de auditoría o la asignación de
aseguramiento de TI
El rol de la función de aseguramiento y auditoría de TI al reportar irregularidades y actos ilegales
2001.2.2 El estatuto de la función de auditoría debe definir claramente el propósito, la responsabilidad, la autoridad y la
rendición de cuentas de la función de auditoría (consultar 2001.2.1). Estos cuatro aspectos se presentan en las
secciones siguientes.
2001.2.3 El propósito de la función de auditoría es evaluar y probar el diseño y la ejecución de los controles
implementación por la gerencia. El estatuto de auditoría debe contener las secciones siguientes que apoyen a la
función de auditoría a lograr su propósito:
Los propósitos/objetivos de la función de auditoría proporcionan un marco funcional y organización en el
que la función de auditoría opera.
Los objetivos de la función de auditoría y la declaración de la misión de la función de auditoría (si la
función de auditoría tiene uno) aportan un enfoque estructurado para evaluar y mejorar el diseño y la
eficiencia operativa de los procesos de gestión de riesgo, el sistema de control interno y las
operaciones/gobernanza de sistemas de información.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
17
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
El alcance de la función de auditoría se aplica a toda la empresa o a una organización específica dentro de
la empresa.
El trabajo realizado por la función de auditoría podría incluir auditorías de sistemas de información,
auditorías de cumplimiento, auditorías financieras, auditorías operativas, auditorías integradas, auditorías
administrativas, auditorías especializadas (auditorías de servicio de terceros, auditorías de fraude o
auditorías forenses), auditorías forenses informática y auditorías funcionales. También podría incluir
servicios diferentes de la auditoría, como servicios de consultoría de proyectos.
2001.2.4 La responsabilidad de la función de auditoría es añadir valor a la empresa, garantizar que las perspectivas
organizativas, como la estrategia, la misión y las expectativas de cumplimiento/regulatorias están integradas en
su trabajo, y atenerse a expectativas profesionales (por ejemplo, ética, desarrollo profesional). El estatuto de
auditoría debe contener las secciones siguientes para facilitar la función de auditoría:
La independencia detalla la implementación del requerimiento de independencia para la función y
profesionales de auditoría, como se describió en Estándares 1002 Independencia organizativa y 1003
Objetividad del auditor. La función de aseguramiento y auditoría de TI debe garantizar su independencia:
Evaluando su independencia de forma periódica, al menos anualmente
Creando y manteniendo un protocolo formal relacionado con la identificación e informe de posibles
impedimentos a la independencia
Los resultados de la evaluación de la independencia y el protocolo de impedimentos deben notificarse a
aquellos encargados de la gobernanza y supervisión de la función de auditoría (por ejemplo, el consejo directivo
y/o el comité de auditoría).
La relación con empresas de auditoría externas detallan la estrategia de dependencia de la función del
aseguramiento y auditoría de TI interna con el auditor externo:
Reunirse con los auditores externos para coordinar el trabajo para minimizar la duplicación de
esfuerzos
Proporcionar acceso a los papeles de trabajo, documentación y evidencia de los profesionales
Considerar el trabajo planificado por los auditores externos cuando hacen un borrador del plan de
auditoría para el periodo siguiente
Las expectativas del auditado detallan los servicios y entregables que los auditados pueden esperar de la
función de auditoría y los profesionales:
Descripción de problemas, consecuencias y posibles resoluciones identificados relacionados con el
área de responsabilidad del auditado
La posibilidad de incluir la respuesta de la gerencia y las medidas correctivas llevadas a cabo en los
hallazgos del informe de la auditoría. Esto incluye referencias a acuerdos de nivel de servicio (Service
level agreements) para elementos como la entrega de informes, la respuesta a quejas del auditado, la
calidad del servicio, la revisión del desempeño, el proceso de informe y el acuerdo sobre los hallazgos.
Los requisitos del auditado detallan las responsabilidades del auditado, por ejemplo, todos los auditados
deben estar disponibles y asistir a la función y los profesionales de la auditoría a cumplir con las
responsabilidades asignadas. Los requerimientos del auditado también proporcionan claridad en cuanto a
las responsabilidades de la gerencia y las responsabilidades de la función de auditoría.
Cumplir con las normas profesionales establecidas por la organización del auditor y cualquier organismo
normativo del que el auditor sea miembro.
El cumplimiento con las normas que detallan los requerimientos a los que se adherirán la función y los
profesionales de auditoría, por ejemplo, la función y los profesionales de auditoría se adherirán y actuará
conforme a los estándares y directrices de aseguramiento y auditoria de ITAF de ISACA.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
18 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
19
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Objetivos de gestión
Propósito
COBIT 2019
MEA02 Gestionar el Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de
sistema de control controles internos que permita, proporcionar confianza en las operaciones, confianza en el logro de los
interno objetivos de la empresa y una comprensión adecuada del riesgo residual.
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento
ampliamente aceptadas.
Declaración 1002.1 La función de auditoría y aseguramiento de TI debe estar libre de conflictos de interés y de la
influencia indebida en todos los asuntos relacionados con las asignaciones de auditoría y
aseguramiento. Cualquier impedimento a la independencia (de hecho o apariencia) se identifica y
comunica a las partes correspondientes.
1002.2 La función de aseguramiento y auditoría de TI debe tener una relación de informe funcional (por
ejemplo, reportar al consejo directivo) que apoya la capacidad de la función para permanecer libre de
influencia indebida.
1002.3 La función de aseguramiento y auditoría de TI debería tener una relación de informe
administrativo que soporta el desempeño libre de la función de sus responsabilidades (por ejemplo,
ámbito de la asignación, campo de trabajo o informe).
2002.1 Introducción La sección de contenido de la directriz se estructura para proporcionar información sobre la
independencia de la función de aseguramiento y auditoría de TI:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
20 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2002.2.1 Para permitir la independencia organizativa, la función de auditoría debe tener una posición en la
empresa que le permita desempeñar sus responsabilidades sin interferencia. Esto puede lograrse por
medio del:
Establecimiento de la función de auditoría en el estatuto del comité de auditoría como una función
o departamento independiente fuera de los departamentos operativos. La función de auditoría no
debe asignarse a ninguna responsabilidad o actividad operativa.
Aseguramiento de que la función de auditoría informe a un nivel dentro de la empresa que le
permite alcanzar la independencia organizativa. Reportar al jefe de un departamento operativo
podría comprometer la independencia organizativa.
2002.2.2 La función de auditoría debería evitar roles diferentes a la auditoría en las iniciativas de TI que
requieran la asunción de responsabilidades de dirección porque dichos roles podrían comprometer una
independencia futura. La independencia y responsabilidad de la función de auditoría debe abordarse en
el estatuto de auditoría. La independencia de la función de auditoría podría verse comprometida si se
planifica que un auditor planifique o participe en una asignación en un área en la que el auditor tiene
una responsabilidad directa de gestión. Tenga en cuenta que la función de aseguramiento y auditoría
de TI, en colaboración con la empresa de auditoría externa de la empresa puede determinar
responsabilidades que constituyen una gerencia directa o indirecta. Estos dos grupos también pueden
identificar el intervalo de tiempo aceptable entre el desempeño de las responsabilidades de gerencia
directa y la participación en una asignación del área del auditor.
2002.3.1 La función de auditoría debe reportar a un nivel dentro de la empresa que le permita actuar con
completa independencia organizativa. La independencia debería definirse en el estatuto de auditoría y
confirmarse por la función de auditoría al consejo de directivos y aquellos encargados de la
gobernanza de forma regular, al menos anualmente.
2002.3.2 Para garantizar la independencia organizativa de la función de auditoría, debe reportarse lo siguiente a
aquellos encargados de la gobernanza (por ejemplo, el consejo directivo) para su aportación y/o
aprobación:
El plan y presupuesto de recursos de la auditoría
El plan de auditoría basado en riesgos
Seguimiento de desempeño llevado a cabo por la función de auditoría en la actividad de auditoría
de TI
Seguimiento de alcance significativo o limitaciones de recursos
2002.3.3 Para garantizar la independencia organizativa de la función de auditoría, se necesita un soporte
explícito del consejo y la dirección ejecutiva. El soporte de la dirección ejecutiva podría incluir
comunicación por escrito a todos los niveles de la organización.
2002.4.1 La independencia debe ser evaluada regularmente por la función de auditoría y confirmada con
aquellos encargados de la gobernanza y supervisión de la función de auditoría (por ejemplo, el consejo
directivo y/o el comité de la auditoría). Esta evaluación debe realizarse al menos anualmente. La
evaluación debe considerar factores como:
Cambios en relaciones personales
Intereses financieros
Anteriores asignaciones y responsabilidades del puesto, así como cambios propuestos a los roles
y responsabilidades de la asignación de puesto actual
2002.4.2 La función de auditoría debe exponer posibles cuestiones relacionadas con la independencia
organizativa y las comenta con el consejo directivo o aquellos encargados de la gobernanza. Una
resolución debe encontrarse y confirmarse en el estatuto de auditoría.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
21
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con la TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
APO01 Gestionar el Implementar un enfoque de gestión consistente/coherente para permitir que se alcancen los requisitos
marco de gestión de TI de gobierno empresarial, con cobertura de componentes de gobierno, como los procesos de gestión,
las estructuras organizativas, los roles y las responsabilidades, las actividades confiables y repetibles,
los elementos de información, las políticas y procedimientos, las habilidades y las competencias, la
cultura y el comportamiento, y los servicios, infraestructura y aplicaciones.
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Declaración 1003.1 Los profesionales de aseguramiento y auditoría de TI deben ser objetivos, en todos los asuntos
relacionados con las asignaciones de aseguramiento y auditoría.
Estas directrices proporcionan un marco general que le permita al profesional de aseguramiento y auditoría de TI:
Establecer si la objetividad puede, o puede parecer, estar comprometida
Considerar los enfoques alternativos posibles para el proceso de auditoría cuando la objetividad esté, o parezca estar,
comprometida
Reducir o eliminar el impacto sobre la objetividad comprometida de los profesionales de aseguramiento y auditoría de TI
que cumplen servicios, funciones y roles no relacionados con la auditoría
Determinar requisitos de divulgación cuando la objetividad requerida puede estar, o podría parecer estar comprometida.
Realizar la asignación de auditoría y aseguramiento de TI de forma imparcial no sesgada al abordar asuntos de
aseguramiento y llegar a conclusiones.
Ser consciente de posibles impedimentos a la objetividad durante todas las fases de asignaciones
Divulgar los detalles del impedimento a la objetividad de las partes apropiadas
2003.1 Introducción Las directrices se estructuran para proporcionar información sobre la siguiente auditoría de TI principal
siguiente y temas de compromiso de aseguramiento:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
22 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2003.2.4 Los profesionales deben considerar aplicar la guía de ITAF para identificar posibles amenazas a la
objetividad, evaluar la importancia de las amenazas e implementar salvaguardas adecuadas a la hora
de realizar servicios o roles diferentes a la auditoría.
2003.2.5 Un auditor no debería realizar servicios o roles diferentes a la auditoría en áreas donde es posible que
se haya planificado una auditoría o asignación de aseguramiento actual o futura que realizaría
probablemente el mismo auditor. Si la entidad no tuviera ningún otro recurso (por ejemplo, utilizar un
recurso interno o externo alternativo), la implicación del auditor en el servicio distinto a la auditoría
debería ser aprobado por un ejecutivo jefe de auditorías (o vicepresidente/director de auditoría) y por
aquellos encargados formalmente de la gobernanza y supervisión de la función de auditoría (por
ejemplo, el consejo directivo y/o el comité de auditoría).
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
23
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2003.3.1 Las amenazas a la objetividad pueden crearse por una amplia gama de relaciones y circunstancias.
Cuando una relación o circunstancia crea una amenaza, esa amenaza puede comprometer, o podría
parecer que compromete, la objetividad profesional. Una circunstancia o relación podría crear más de
una amenaza a la objetividad. Las amenazas suelen pertenecer a una o más de las categorías
siguientes:
Interés propio—La amenaza de que un interés financiero u otro interés influya en el juicio o
comportamiento profesional de forma inapropiada
Revisión propia—La amenaza de que los profesionales no evaluarán adecuadamente los
resultados de juicios o servicios realizados anteriores, bien por ellos mismos o por otros
individuos de la función de auditoría, en los que los profesionales se basarán cuando se formen
juicios en la asignación actual
Promoción—La amenaza de que los profesionales promocionarán la posición de un auditado
hasta el punto de que la objetividad profesional se vea comprometida
Familiaridad—La amenaza de que, debido a una relación larga o cercana con el auditado, los
profesionales se mostrarán demasiado comprensivos con los intereses del auditado, o aceptará
en exceso el trabajo, opiniones o argumentos del auditado
Intimidación—La amenaza de que se impedirá a los profesionales actuar con integridad y
objetividad debido a presiones actuales o percibidas, incluidos intentos de ejercer una influencia
indebida sobre los profesionales
Sesgo—La amenaza de que la convicción política, ideológica, social, psicológica u otra convicción
influirá en los profesionales a adoptar posiciones que no son objetivas
Participación de la gerencia—La amenaza de impedir la objetividad que resulte del rol de la
gerencia, o alternativamente, realizar funciones de gestión de desempeño en nombre de la entidad
que lleva a cabo una auditoría o asignación de aseguramiento
2003.3.2 Las salvaguardas pueden diseñarse e implementarse para reducir o minimizar las amenazas a la
objetividad. Ejemplos de salvaguardas que pueden considerar los profesionales en respuesta a
amenazas identificadas son:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
24 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2003.4.1 La función y profesionales de auditoría deben determinar si se han eliminado y reducido las amenazas
identificadas a la objetividad a un nivel aceptable Las amenazas a la objetividad deben gestionarse,
como una pérdida de objetividad podrían tener un impacto en la habilidad profesional para realizar una
auditoría o asignación de aseguramiento sin estar afectado pro influencias que comprometen el juicio
profesional, o podría exponer a los profesionales o a la función de auditoría a circunstancias que
causarían que una tercera parte razonable e informada concluyera que la integridad, objetividad o
escepticismo profesional de un miembro del equipo de aseguramiento y auditoria se hubiera visto
comprometido.
2003.5.2 Proporcionar servicios o roles diferentes a la auditoría, en general, implica la participación a tiempo
completo o tiempo parcial en iniciativas de TI y equipos de proyectos de TI para proporcionar
capacidades de asesoría o consultativas. Los profesionales de aseguramiento y auditoría de TI podrían
cumplir una función diferente de la auditoría a través de actividades como:
Asignación o préstamo temporal a tiempo completo de auditoria de TI y personal de
aseguramiento a un equipo de proyecto de TI
Asignación a tiempo parcial de un miembro del personal de aseguramiento y auditoría de TI como
miembro de un proyecto de TI, como un grupo de dirección del proyecto, un grupo de trabajo del
proyecto, un equipo de evaluación, un equipo de negociación y contratación, un equipo de
implementación, un equipo de aseguramiento de la calidad o un equipo de resolución de
problemas
Actuar como consejero o revisor de proyectos de TI o controles de TI ad hoc forma
2003.5.3 Proporcionar servicios o roles diferentes a la auditoría podría crear amenazas a la objetividad o
independencia profesional o crear la apariencia de que dichas amenazas si el área en la que se realizan
los servicios o roles diferentes a la auditoría está sujeta a una auditoría o asignación de aseguramiento
o se convierte en el sujeto de una asignación en el futuro. En esta situación, la percepción podría ser
que tanto la independencia como la objetividad de los profesionales se vieron comprometidas por el
desempeño de servicios o roles diferentes a la auditoría.
2003.5.4 Los profesionales que proporcionan servicios diferentes a la auditoría deben usar el marco de
referencia conceptual para evaluar si los servicios o roles diferentes a la auditoría generan un
impedimento a la objetividad o independencia de la auditoría o asignaciones de aseguramiento
actuales o futuros. Esto se aplica a asignaciones en el que los servicios o roles diferentes a la auditoría
se realizan en un área que es significativa o material a la cuestión o partes interesadas de esas
asignaciones. Si fuera necesario, los profesionales deben buscar ayuda de compañeros y la gerencia
de auditoría y aseguramiento de TI, y/o aquellos encargados del gobierno, para determinar si las
salvaguardas pueden implementarse para mitigar adecuadamente cualquier amenaza actual o
percibida a la objetividad.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
25
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2003.5.5 Antes de comenzar con los servicios o roles diferentes a la auditoría, los profesionales deben
establecer y documentar su comprensión con la gerencia de auditoría TI y/ aquellos encargados del
gobierno, según corresponda, con respecto a:
Los objetivos de los servicios o roles diferentes a la auditoría
La naturaleza de los servicios o roles diferentes a la auditoría que deben realizarse
La aceptación de la entidad auditada de sus responsabilidades con respecto a los servicios o roles
diferentes a la auditoría
Las responsabilidades profesionales relacionadas con los servicios o roles diferentes a la
auditoría
Cualquier limitación de los servicios o roles diferentes a la auditoría
Cualquier limitación del alcance de servicios de auditoría futuros que los profesionales puedan
proporcionar
2003.5.6 En el caso de una asignación de aseguramiento o auditoría de TI en la que hay una posible objetividad
o independencia comprometida en actitud o apariencia debido a servicios o roles diferentes a la
auditoría realizados, la gerencia de aseguramiento y auditoría debe implementar salvaguardas como:
Monitorear la conducta de la auditoría estrechamente
Evaluar cualquier indicación de impedimento de objetividad o independencia que surja del
desempeño servicios o roles diferentes a la auditoría, e iniciar las salvaguardas necesarias
Informar a aquellos encargados del gobierno del posible impedimento de la objetividad o
independencia y las salvaguardas implementadas
2003.6.1 Las actividades que son de rutina y administrativas o involucran asuntos que son insignificantes
generalmente no deben considerarse responsabilidades de gestión y, por lo tanto, no
comprometería la objetividad.
2003.6.2 Los servicios diferentes a la auditoría que no comprometerían la independencia u objetividad si se
implementan mecanismos de protección adecuados incluyen proporcionar asesoramiento rutinario
sobre controles y riesgos de TI.
2006.6.3 Para evitar el riesgo de asumir una responsabilidad de gerencia al proporcionar servicios o roles
diferentes a la auditoría en un área que es (o podría convertirse) en el sujeto de una auditoría o
asignación de aseguramiento, los profesionales deben proporcionar servicios o roles diferentes a la
auditoría solo si están satisfechos de que la gerencia desempeñe y vaya a desempeñar las funciones
siguientes en relación con los servicios o roles diferentes a la auditoría:
Asumir todas las responsabilidades de la gerencia
Supervisar los servicios designando a un individuo, preferiblemente dentro de la dirección sénior,
que posea una habilidad, conocimiento o experiencia adecuada
Evaluar la pertinencia y resultados de los servicios desempeñados
Aceptar la responsabilidad de los resultados de los servicios
Los profesionales deben documentar su consideración de la habilidad de la gerencia para supervisar
eficazmente los servicios o roles diferentes a la auditoría desempeñados.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
26 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2003.7.2 Además de asumir responsabilidades de gerencia, los servicios o roles diferentes a la auditoría podrían
comprometer la independencia y objetividad:
La implicación material de los profesionales en la supervisión o realización del diseño, desarrollo,
prueba, instalación, configuración y funcionamiento de sistemas de información que sean
materiales o importantes para la cuestión de la auditoría y la asignación de aseguramiento
Diseñar controles para los sistemas de información que sean materiales o importantes para la
cuestión de la auditoría y la asignación de aseguramiento
Servir en un rol de gobernanza en el que los profesionales sean responsables de forma
independiente o conjunto de tomar decisiones de gerencia o aprobar políticas y estándares
Proporcionar asesoría que forma la base principal de las decisiones de auditoría o desempeñar
funciones de gerencia
2003.7.3 Se considera que los servicios diferentes a la auditoría siguientes comprometen la objetividad porque
las amenazas creadas serían tan importantes que ningún mecanismo de protección podría reducirlas a
un nivel aceptable:
Asumir las responsabilidades de la gerencia o realizar actividades de gerencia
La implicación material de los profesionales en la supervisión o realización del diseño, desarrollo,
prueba, instalación, configuración y funcionamiento de sistemas de información que sean
materiales o importantes para la cuestión de la auditoría y la asignación de aseguramiento
Diseñar controles para los sistemas de información que sean materiales o importantes para la
cuestión de asignaciones de auditoría actuales o futuras planificadas
Servir en un rol de gobernanza en el que los profesionales sean responsables de forma
independiente o conjunta de tomar decisiones de gerencia o aprobar políticas y estándares
Proporcionar asesoría que forme la base principal de las decisiones de gerencia
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
27
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2003.8.1 El estatuto de auditoría de TI debe establecer si se permite a los profesionales desempeñar servicios o
roles diferentes a la auditoría, y la naturaleza amplia, el cronograma y alcance de dichos servicios o
roles, para garantizar que ni la objetividad ni la independencia se vean comprometidas con respecto a
las tecnologías que los profesionales puedan auditar. Esto podría eliminar o minimizar la necesidad de
obtener mandatos específicos para cada servicio o función/rol no auditado caso a caso.
2003.8.2 Los profesionales deberían proporcionar un aseguramiento razonable de que lo términos de referencia
(TOR) de los servicios o roles diferentes a la auditoría cumplen con el estatuto de auditoría. Cualquier
desvío debe describirse expresamente en los TOR y aprobado por la gerencia de aseguramiento y
auditoría de TI y/o aquellos encargados del gobierno.
2003.8.3 Si el estatuto de auditoría no especifica los servicios o roles diferentes a la auditoría, o si no hay
estatuto de auditoría, los profesionales deben informar de la naturaleza de su participación en servicios
o roles diferentes a la auditoría a la gerencia de auditoría y aseguramiento de TI y aquellos encargados
del gobierno. La cronología y alcance de la participación del profesional en los servicios o roles
diferentes a la auditoría debe someterse a TOR individuales firmados por la gerencia de la función en la
que se realizan los servicios o roles, y aprobados por aquellos encargados del gobierno.
2003.9.1 Si la objetividad o independencia de los profesionales que realizan una auditoría o asignación de
aseguramiento de TI es, pudiera ser o pudiera parecer comprometida, y si aquellos encargados del
gobierno hubieran tomado la decisión de continuar con la asignación, la auditoría y asignación de
aseguramiento de TI debe incluir la información suficiente para permitir a los usuarios del informe
entender la naturaleza del posible impedimento.
La información que los profesionales deben considerar divulgar en un informe de auditoría y asignación
de aseguramiento de TI incluye:
Los nombres y antigüedad de los profesionales implicados en la auditoría o asignación de
aseguramiento de TI que pudieran ser, o que pudieran parecer ser, un impedimento a la objetividad
o independencia
El análisis y la descripción de cualquier impedimento potencial a la objetividad o independencia
Los mecanismos de protección implementados para eliminar o mitigar distintas amenazas a la
independencia y objetividad durante el curso del trabajo de asignación y proceso de informe
La documentación de divulgación del impedimento potencial a la objetividad o independencia a
aquellos encargados del gobierno, y su aprobación para realizar o continuar con la asignación de
aseguramiento y/o los servicios o roles diferentes a la auditoría
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
28 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Objetivos de gestión
Propósito
COBIT 2019
MEA02 Gestionar el Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de
sistema de control controles internos que permita, proporcionar confianza en las operaciones, confianza en el logro de los
interno objetivos de la empresa y una comprensión adecuada del riesgo residual.
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Declaración 1004.1 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de
que la asignación puede ser realizada de conformidad con los estándares de auditoría y aseguramiento
de TI y, cuando se requiera, otros estándares industriales o leyes y regulaciones aplicables que
desembocarán en una conclusión u opinión profesional.
1004.2 Los profesionales de auditoría y aseguramiento de TI deben tener una expectativa razonable de
que el alcance de la asignación permite una conclusión sobre la materia y abordar las limitaciones del
alcance.
1004.3 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de
que la dirección entiende sus obligaciones y responsabilidades en relación con la provisión de
información apropiada, relevante y oportuna requerida para realizar la asignación.
2004.1 Introducción El propósito de esta directriz es ayudar a los profesionales de aseguramiento y auditoría de TI a
implementar el principio de expectativa razonable en la ejecución de asignaciones de auditoría. Esta directriz ayuda a los
profesionales de aseguramiento y auditoría de TI a abordar las limitaciones del alcance y proporciona una guía para aceptar un
cambio en los términos de la asignación.
2004.3 Alcance
2004.5 Información
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
29
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2004.2.1 Los profesionales deben reunir y evaluar todos los estándares aplicables enumerados en el estatuto de
auditoría y las regulaciones antes de la asignación de auditoría, y volver a ellos a lo largo de la
asignación, para determinar si tienen una expectativa razonable de que puedan completar la asignación
de auditoría conforme a estos estándares y regulaciones y garantizar que la asignación de la auditoría
resulte en una opinión o conclusión profesional.
2004.2.2 Si los profesionales determinaran que la asignación de la auditoría no puede completarse conforme a
uno o más de los estándares y regulaciones aplicaciones, y que la expresión de una opinión o
conclusión profesional fuera, por ello, imposible, deben:
Informar a la gerencia de la auditoría y asignación de aseguramiento de TI y aquellos encargados
del gobierno de los problemas de cumplimiento identificados con los estándares y regulaciones
Bien proponer un cambio en los términos de la asignación o declinar la asignación propuesta
2004.3 Alcance
2004.3.1 Antes de llevar a cabo una asignación de la auditoría, los profesionales deben determinar que el
alcance de la auditoría esté claramente documentado y permite que se llegue a una opinión o
conclusión profesional sobre la materia.
2004.3.2 El alcance de la asignación de la auditoría debe estar claramente documentado, sin margen para
interpretación sobre qué áreas (por ejemplo, procesos, actividades, sistemas) se encuentra dentro del
alcance de la asignación. Un alcance que se describe de forma demasiado vaga no dejará que los
profesionales se formen una opinión o conclusión profesional, porque carecerán de la certeza de que
áreas del alcance se han evaluado.
2004.3.3 Si los profesionales determinan que el alcance de la asignación de la auditoría no les permite expresar
una opinión o conclusión profesional, deben:
Informar a la gerencia de la auditoría y asignación de aseguramiento de TI y a aquellos
encargados del gobierno de la función de auditoría acerca de los problemas de alcance
identificados
Proponer un cambio en los términos de la asignación o declinar la asignación propuesta
2004.4.1 Podrían producirse limitaciones de alcance específicas antes o durante la asignación de la auditoría.
Estas limitaciones de alcance pueden verse influidas por diferentes factores, como:
La información oportuna, relevante y adecuada necesaria para completar la asignación de
auditoría no está disponible.
Los auditados clave no están disponibles.
El intervalo de tiempo asignado es insuficiente para completar todo el alcance de la asignación de
la auditoría.
La gerencia intenta limitar el alcance de la asignación de la auditoría a áreas determinadas.
El alcance de la asignación de auditoría es o bien demasiado pequeña o demasiado grande para
llegar a una conclusión sobre el asunto.
El nivel de descentralización hace que sea difícil alcanzar una conclusión sobre la totalidad del
asunto.
La cantidad de profesionales adecuadamente capacitados disponibles para realizar la asignación
de auditoría con su alcance actual es insuficiente.
La estructura de informe de la función de auditoría (por ejemplo, si la función de auditoría no
reporta al nivel adecuado dentro de la empresa, podría estar dirigida a no evaluar determinados
elementos del alcance).
Los contractos de terceros también podrían introducir limitaciones del alcance.
La entrega de documentación del cliente se retrasa
La corrección de las no conformidades actuales (identificadas en una auditoría anterior o
identificadas por los propios auditados) está aún en curo.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
30 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2004.4.2 Los profesionales deben considerar si las limitaciones del alcance siguen permitiendo una expectativa
razonable de que la asignación de la auditoría resultará en una opinión o conclusión profesional. Si
determinaran que esta condición no se cumplirá, no deberían aceptar la asignación.
2004.4.3 Si los profesionales concluyen que aún tienen una expectativa razonable de que, a pesar de las
limitaciones del alcance, la asignación resultará en una opinión o conclusión profesional, los
profesionales deben acceder o continuar con la asignación de la auditoría. Las limitaciones del alcance
deben describirse explícitamente en el informe de auditoría y asignación de aseguramiento de TI.
2004.4.4 Considerar si el alcance es suficiente para permitir que se exprese la opinión del auditor sobre la
materia. Las limitaciones del alcance pueden ocurrir cuando la información requerida para realizar la
asignación no está disponible, cuando el plazo incluido en la auditoría o asignación del aseguramiento
de TI no es suficiente o cuando la gerencia intenta limitar el alcance de las áreas seleccionadas. En
estos casos, pueden considerarse otros tipos de asignaciones, tales como revisiones de controles,
cumplimiento de los estándares y las prácticas requeridas o cumplimiento con acuerdos, licencias,
legislación y regulación.
2004.5 Información
2004.5.1 El estatuto de auditoría determinará el derecho de acceso a la información, sistemas, personal y ubicaciones
relacionadas con la realización de la asignación de la auditoría.
2004.5.2 Antes de llevar a cabo la asignación de la auditoría, los profesionales deben identificar y abordar cualquier
restricción sobre el derecho de acceso a la información apropiada, relevante y oportuna para la asignación
de la auditoría. Los profesionales deben tener una expectativa razonable de que su derecho de acceso a la
asignación de la auditoría es conforme a las estipulaciones del estatuto de auditoría, o que los potenciales
desvíos de las estipulaciones no impidan a los profesionales alcanzar una opinión o conclusión
profesionales sobre el asunto.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
31
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2004.5.3 Si los profesionales concluyen que su derecho de acceso a la información no les permite expresar una
opinión o conclusión profesional, deben:
Informar a la gerencia de la auditoría y asignación de aseguramiento de TI y a aquellos encargados del
gobierno de la función de auditoría acerca de los problemas identificados relativos al derecho de
acceso a información oportuna, relevante y adecuada.
Proponer un cambio en los términos de la asignación o no aceptan la asignación de la auditoría
propuesta.
2004.5.4 Realizar una auditoría o asignación de aseguramiento podría implicar evaluar las actividades realizadas por
un gerente ejecutivo. Esa posibilidad debe evaluarse antes de la ejecución de la asignación de la auditoría.
Los profesionales deben evaluar si su necesidad de acceder a esos individuos o información relacionada se
verá cuestionada. Las acciones de mitigación que podrían requerirse antes de la ejecución de la asignación
de la auditoría incluyen, pero no están limitadas a:
Las provisiones del estatuto de auditoría asignando la autoridad adecuada a la función y profesionales
de la auditoría
El soporte explícito por escrito de aquellos encargados del gobierno, por ejemplo, el consejo directivo y
el comité de auditoría
Se requiere la asistencia por parte de un miembro del consejo o gerente ejecutivo al acceder a la
gerencia ejecutiva o sénior
2004.6.1 Los profesionales no deben aceptar un cambio en los términos de la asignación de auditoría si, basado
en su juicio profesional, no existe justificación para hacerlo.
2004.6.2 Si, durante el curso de la asignación de la auditoría, se solicita a los profesionales aceptar un cambio
en los términos que redujera el nivel de aseguramiento, deben determinar si existe una justificación
para hacerlo, basado en su juicio profesional.
2004.6.3 Si se cambian los términos de una asignación de auditoría, deben registrarse y aprobarse formalmente
por los profesionales y la gerencia de auditoría y aseguramiento de TI. El informe de asignación de
auditoría y aseguramiento de TI debe mencionar este cambio en los términos de forma explícita.
2004.6.4 Si los profesionales no aceptan un cambio en los términos de la asignación de auditoría y la gerencia
no les permite continuar con la asignación de auditoría actual, tras consultar con la gerencia de
auditoría y aseguramiento, los profesionales deben:
Retirarse de la asignación de auditoría.
Determinar, conforme a su juicio profesional, si informar sobre las circunstancias a aquellos
encargados del gobierno, por ejemplo, el consejo directivo o incluso reguladores.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
32 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Objetivos de gestión
Propósito
COBIT 2019
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Declaración 1005.1 Conforme con el Código de Ética Profesional de ISACA, los auditores ejercerán la diligencia
debida y cuidado profesional. Mantendrán altos estándares de conducta y carácter y evitarán participar
en actos que podrían desacreditarles a ellos o a la profesión. La privacidad y confidencialidad de
información obtenida debe mantenerse durante el curso de los deberes del auditor. Además, esta
información no debería usarse para beneficio personal, ni la información debería divulgarse a menos
que así lo requiera la autoridad legal.
2005.1 El propósito de esta guía es aclarar el término “debido cuidado profesional” ya que se aplica a la planificación,
realización y generación de informe de una asignación de auditoría con integridad y cuidado en conformidad con el Código de
Ética Profesional de ISACA. Tenga en cuenta que el debido cuidado profesional implica competencia y cuidado razonable, no
desempeño extraordinario o infalibilidad.
2005.3 Aplicación
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
33
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2005.5 Comunicación
2005.2.1 El debido cuidado profesional se aplica al ejercicio del juicio profesional en la conducta del trabajo
realizado. El debido cuidado profesional implica que los profesionales deben enfocar los asuntos que
requieren juicio con escepticismo profesional, diligencia, integridad y cuidado. Deben mantener esta
actitud a lo largo de toda la asignación.
2005.2.2 Los profesionales deben mantener la competencia, objetividad e independencia, tanto en mente como
aspecto, en todos los asuntos relacionados con la conducta de la asignación de la auditoría. Deben ser
honestos, imparciales y objetivos a la hora de abordar problemas y llegar a conclusiones.
2005.2.3 Ejercer un cuidado profesional debido requiere que los profesionales consideren la posible existencia
de ineficiencias, usos indebidos, errores, limitaciones de alcance, incompetencia, conflictos de interés o
fraude. También debe hacer que los profesionales estén atentos a condiciones o actividades
determinados cuando estos problemas pueden ocurrir.
2005.2.4 Los profesionales deben estar informados y cumplir con los avances de los estándares profesionales
para demostrar una compresión y competencia profesional suficientes para alcanzar los objetivos de
auditoría y aseguramiento de TI.
2005.2.5 Los profesionales deben conducir una asignación de auditoría con diligencia al tiempo que se adhieren
a estándares y requerimientos estatutarios y regulatorios.
2005.3 Aplicación
2005.3.1 El debido cuidado profesional debe extenderse a cualquier aspecto de la auditoría, incluidos, sin estar
limitado a, evaluar el riesgo de auditoría, aceptar la asignación de la auditoría, establecer el alcance de
la auditoría, formular los objetivos de la auditoría, planificar la auditoría, conducir la auditoría, asignar
recursos a la auditoría, seleccionar pruebas de auditoría, evaluar resultados de pruebas, documentar la
auditoría, llegar a conclusiones de la auditoría, generar informes y presentar los resultados de la
auditoría y llevar a cabo actividades de seguimiento. Al hacerlo, los profesionales deben determinar o
evaluar lo siguiente:
Tipo, nivel, habilidad y competencia de recursos requeridos para cumplir con los estándares de
auditoría y aseguramiento de TI
Importancia del riesgo identificado y el efecto potencial de dicho riesgo en el asunto de la
auditoría
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
34 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2005.4.1 Los profesionales deben planificar la asignación de auditoría completamente y de forma oportuna
ejerciendo el debido cuidado profesional para garantizar la disponibilidad de los recursos adecuados y
la realización oportuna de la asignación de la auditoría. Los profesionales asignados al proyecto deben
poseer las habilidades, conocimiento y competencias relevantes necesarias para llevar a cabo la
asignación de auditoría.
2005.4.2 Los profesionales deben llevar a cabo la asignación de auditoría aplicando el debido cuidado
profesional, es decir, siguiendo los estándares profesionales adecuados para garantizar una conclusión
u opinión de la auditoría completa y de calidad.
2005.4.3 Los profesionales deben ejercer el debido cuidado profesional a la hora de determinar que las medidas
correctivas de la gerencia abordan eficazmente los hallazgos de la auditoría.
2005.5 Comunicación
2005.5.1 Los roles y responsabilidades definidos deben comunicarse a los miembros del equipo antes del inicio
del proyecto para garantizar la adherencia del equipo a los estándares profesionales adecuados
durante la asignación de la auditoría.
2005.5.2 Durante la asignación de la auditoría, los profesionales deben comunicarse adecuadamente con
auditores y partes interesadas relevantes para garantizar su cooperación.
2005.5.3 Los profesionales deben abordar sus hallazgos con los auditados de la asignación de la auditoría.
2005.5.4 Los profesionales deben documentar y comunicar a las partes correspondientes cualquier
preocupación relacionada con la aplicación de los estándares profesionales para resolver dichas
preocupaciones.
2005.5.5 Los profesionales deben ejercer el debido cuidado profesional al informar a las partes
correspondientes de los resultados del trabajo realizado.
2005.6.1 Los profesionales deben tener una expectativa razonable de que la dirección entiende sus obligaciones
y responsabilidades para proporcionar información apropiada, relevante y oportuna necesaria para
realizar la asignación de la auditoría.
2005.6.2 Los profesionales deben tomar medidas razonables para mantener la privacidad y la confidencialidad
de la información obtenida en el curso de su función a menos que la autoridad legal requiera su
revelación. Dicha información no debe usarse para beneficio personal ni revelarse a partes no
adecuadas.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
35
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2005.6.3 La información debe obtenerse, usarse, retenerse y eliminarse adecuadamente conforme a las políticas
de la organización y legislación, normas y regulaciones relevantes.
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con la I&T se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
APO07 Gestionar los Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
recursos humanos
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
36 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Declaraciones 1006.1 Los profesionales del aseguramiento y de la auditoría de TI, junto con el resto de personas que
ayudan en las actividades de auditoría y aseguramiento, deben poseer las competencias adecuadas
para realizar el encargo requerido.
1006.2 TI los profesionales de auditoría y aseguramiento de TI deben poseer el conocimiento
adecuado sobre la materia a la hora de llevar a cabo su rol en las auditorías y aseguramiento de TI.
2006.1 Introducción Esta directriz asiste a los profesionales de aseguramiento y auditoría de TI para adquirir los
conocimientos y habilidades necesarias y mantener las competencias profesionales al llevar a cabo encargos de auditoría. El
contenido de la sección de guía se estructura para proporcionar información sobre los siguientes temas clave de auditoría y
aseguramiento de TI:
2006.3 Evaluación
2006.2.5 Los profesionales deben proporcionar un aseguramiento razonable de que poseen el nivel requerido de
competencia profesional. Deben adquirir las habilidades y conocimiento profesionales y técnicos
requeridos para llevar a cabo cualquier encargo que acuerden realizar.
2006.2.6 Las habilidades y conocimiento de los profesionales varían dependiendo de sus puestos y roles
asignados en el encargo de auditoría. Los requerimientos para las habilidades y conocimiento de la
gerencia deben ser proporcionales a los niveles de responsabilidad.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
37
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2006.2.11 Es adecuado que los profesionales compartan sus experiencias, buenas prácticas adoptadas,
lecciones aprendidas y conocimiento adquirido con los miembros del equipo para mejorar sus
competencias profesionales. Las competencias profesionales de los miembros del equipo se mejoran
mediante sesiones de creación de equipos, talleres, conferencias, seminarios, cursos y otros modos de
interacción.
2006.2.12 Para garantizar la disponibilidad de habilidades adecuadas, deben evaluarse medios alternativos de
adquirirlas, por ejemplo, subcontratando recursos específicos, externalizando una parte de las tareas
de aseguramiento y auditoría de TI y/o retrasando el encargo de auditoría hasta que estén disponibles
las competencias requeridas.
2006.2.13 La experiencia externa puede obtenerse externalizando parte o todo el encargo/actividad. La
colaboración entre los recursos externalizados y los profesionales internos garantiza que el
conocimiento y las habilidades se desarrollan y mantienen internamente.
2006.2.14 Si cualquier parte del encargo de auditoria se externaliza o se obtiene la ayuda de expertos, debe
proporcionarse un aseguramiento razonable de que la agencia de externalización o el experto externo
posee la competencia profesional requerida.
2006.2.15 Si la asistencia del experto se obtiene de forma continua, la competencia profesional de esos expertos
externos debería medirse, monitorearse y revisarse periódicamente con los estándares o referencias
profesionales.
2006.3 Evaluación
2006.3.1 Los profesionales deben monitorizar sus habilidades y conocimiento continuamente para mantener el
nivel de competencia profesional adecuado. La gestión de aseguramiento y auditoría de TI debe
evaluar periódicamente la competencia profesional.
2006.3.2 La evaluación del desempeño de los profesionales debe llevarse a cabo de una forma que sea justa,
transparente, fácilmente comprensible, clara, sin sesgos y ser considerada una práctica generalmente
aceptable en el entorno laboral.
2006.3.3 Los criterios y procedimientos de evaluación deben estar claramente definidos, pero pueden variar
dependiendo de las circunstancias, como la ubicación geográfica, el clima político, la naturaleza del
encargo, la cultura y otras circunstancias similares.
2006.3.4 En el caso de un equipo de profesionales, la evaluación debe llevarse a cabo internamente entre
equipos o individuos de forma transversal.
2006.3.5 En el caso de un único profesional independiente, las evaluaciones entre compañeros deben llevarse a
cabo siempre que sea posible. Si una revisión entre compañeros no es posible, debe conducirse y
documentarse una autoevaluación.
2006.3.6 La evaluación del desempeño de los profesionales debe llevarse a cabo por el nivel de gerencia
adecuado.
2006.3.7 Las brechas percibidas durante la evaluación deben abordarse adecuadamente.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
38 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2006.4.1 Las diferencias percibidas entre el nivel actual de competencia profesional y el nivel de competencia
profesional esperado deben registrarse y analizarse. Si existe una deficiencia importante en cualquier
recurso, ese recurso no debe considerarse para conducir un encargo de auditoría.
2006.4.2 Es importante determinar la causa de la diferencia y llevar a cabo las medidas de corrección
adecuadas, por ejemplo, formación y educación profesional continua (CPE) lo antes posible.
2006.4.3 Las actividades de formación requeridas para un encargo de auditoría deben completarse dentro de un
plazo razonable y antes del inicio de la actividad de auditoría.
2006.4.4 La eficacia de la formación debe medirse al completar la formación.
2006.4.5 La documentación de las habilidades requeridas, por ejemplo, una matriz de competencias,
conforme a lo formulado por la gerencia de auditoría y aseguramiento de TI, ayudará a identificar las
diferencias y las necesidades de formación. Una matriz puede utilizarse como ayuda para los recursos
disponibles y sus habilidades y conocimiento.
2006.4.6 Los registros de la formación proporcionada, junto con las observaciones sobre la formación y la
eficacia de la formación, debe mantenerse, analizarse y referenciarse para uso futuro.
2006.4.7 La CPE es una metodología adoptada por ISACA para mantener una competencia profesional y
actualizar las habilidades y conocimiento.
2006.4.8 Los programas de CPE deben ayudar a mejorar las habilidades y conocimiento relacionados con los
requerimientos profesionales y técnicos de la auditoría de TI, riesgo, seguridad, privacidad y
gobernanza. Los organismos profesionales especifican programas elegibles para reconocimiento de
CPE. Los profesionales deben cumplir con las normas establecidas por sus respectivos organismos
profesionales.
2006.4.9 Los organismos profesionales establecen la metodología para alcanzar los créditos CPE y los créditos
mínimos que los interesados deberían obtener periódicamente. Los profesionales deben cumplir las
normas establecidas por sus respectivos organismos profesionales. Si los profesionales se asocian
con más de un organismo profesional con el propósito de alcanzar los créditos mínimos, deben usar su
juicio profesional a la hora de obtener los créditos CPE de forma común a los programas elegibles,
siempre que la misma sea coherente con las reglas/directrices establecidos por los respectivos
organismos profesionales.
2006.4.10 ISACA tiene una política integral sobre CPEs, aplicable a sus miembros y titulares de la certificación
CISA. Los profesionales con la designación CISA deben cumplir con la política de CPEs de ISACA. Los
detalles de la política están disponibles en www.isaca.org/credentialing/cisa/maintain-cisa-certification.
2006.4.11 Según lo establecido por los respectivos organismos profesionales, incluido ISACA, los profesionales
deben mantener registros adecuados de los programas de CPE, conservarlos durante periodos
específicos y, si se precisa, ponerlos a disposición para su auditoría.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
39
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM04 Asegurar la Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que
optimización de los costes de TI se optimicen, y que exista una mayor probabilidad de obtener beneficios y buena
recursos disposición para cambios futuros.
APO07 Gestionar los Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
recursos humanos
Declaración 1007.1 Los profesionales de auditoría y aseguramiento de TI deben revisar los hallazgos con las que la
materia será evaluado para determinar que dichas afirmaciones sean capaces de ser auditadas y que
los hallazgos sean suficientes, válidas y relevantes.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
40 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2007.1 Introducción El propósito de esta directriz es detallar las diferentes afirmaciones, guiar a los profesionales de
auditoría y aseguramiento de TI para garantizar que los criterios, contra los cuales debe evaluarse la materia, respaldan los
hallazgos y proporcionan una guía para formular una conclusión y la elaboración de un informe sobre los hallazgos. La
sección de la directriz se estructura para proporcionar información sobre los temas principales de auditoría y aseguramiento
de TI siguientes:
2007.2 Afirmaciones
2007.2 Afirmaciones
2007.2.1 Los hallazgos son declaraciones o conjuntos de declaraciones sobre si un tema se basa o es conforme a
los criterios seleccionados. Los profesionales deben considerar estas afirmaciones a través de la ejecución
de un encargo de auditoría, obtener el aseguramiento en sus logros y abordarlos en un informe de auditoría.
2007.2.3 La gerencia es responsable de definir y aprobar la materia y los hallazgos relacionadas. Los profesionales
deben garantizar que cualquier afirmación que ha sido desarrollada por la gerencia es lo que esperaría un
lector o usuario con conocimiento en relación a otros estándares de cierta autoridad.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
41
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2007.2.4 Una condición previa para que los profesionales acepten el encargo de auditoría debe ser la confirmación
de la gerencia de que entiende completamente su responsabilidad para proporcionarle toda la información
requerida sobre la materia y los hallazgos a los profesionales. Si los profesionales creen que la gerencia no
será capaz de cumplir con su responsabilidad, deben:
Informar a la gerencia de auditoría y aseguramiento de TI y aquellos encargados del gobierno de la
función de auditoría del problema identificado.
No aceptar el encargo de auditoría propuesto ni determinar una línea de acción basada en el nivel de
riesgo asociado con el encargo.
2007.2.5 Los profesionales deben repasar los hallazgos seleccionadas para la asignación de auditoría y garantizar
que son:
Suficientes—Suficientes para cumplir con el encargo de auditoría, que es expresar una opinión y
conclusión del tema dentro del alcance
Válidas—Poder probarlas, dado el alcance del tema
Relevantes—Directamente conectadas al alcance del tema y útiles para cumplir con el propósito del
encargo de auditoría.
2007.3.1 Los profesionales deben valorar la materia del encargo de auditoría frente a criterios predeterminados
para expresar una conclusión u opinión sobre la materia. Los profesionales deben evaluar los criterios
para garantizar que respaldan los hallazgos relevantes.
2007.3.2 Un criterio puede vincularse con múltiples afirmaciones. Además, una afirmación puede verse
respaldada por múltiples criterios. Todo puede contribuir a asegurar que se alcanza la afirmación.
2007.3.3 Si los profesionales concluyen que los criterios no respaldan completamente todas los hallazgos
relevantes, deben recomendar cambios o adiciones a los criterios actuales. La Gerencia de la auditoría
y aseguramiento de TI debe revisar y aprobar o rechazar los criterios nuevos o modificados.
2007.3.4 Tras evaluar que los criterios respaldan completamente los hallazgos relevantes, los profesionales
deben evaluar si los criterios pueden someterse a un análisis objetivo y medible.
2007.4.1 Las operaciones de externalización (outsourcing) de la empresa a terceros recibirán informes sobre el
entorno de control de las operaciones externalizadas (outsourced). Si una auditoría y aseguramiento de
TI depende de informes relacionados con operaciones externalizadas (outsourced) para respaldar el
encargo de auditoría, entonces los profesionales deben revisar cada informe para determinar si:
El informe se emite por un organismo profesional independiente y relevante.
La opinión de la auditoría es cualificada o no cualificada.
El ámbito de los objetivos de control cubre adecuadamente los controles requeridos por la
empresa.
El periodo que se audita está en línea con las expectativas de la empresa.
Las deficiencias de control específicas (que no conducen a una cualificación total del informe) son
relevantes para la empresa.
Los hallazgos que se usan están en línea con los hallazgos requeridos. La gestión de la auditoría y
aseguramiento de TI deben documentar el análisis realizado y las conclusiones alcanzadas. Los
profesionales deben garantizar que los hallazgos se verifican y aprueban por la gerencia, como
parte de un encargo de auditoría que tiene el alcance de las operaciones externalizadas
(outsourced).
2007.4.2 Las empresas también pueden recibir informes de terceros, como consultores o auditores externos.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
42 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2007.5.1 Tras evaluar la materia del encargo de auditoría con respecto a los criterios, los profesionales deben
formular una conclusión sobre cada afirmación, en base al agregado de los hallazgos empleando los
criterios junto con el buen juicio profesional.
2007.5.2 Tras formar una conclusión, los profesionales emitirán un informe indirecto o directo sobre la materia.
Informe indirecto—De los hallazgos sobre la materia, por ejemplo, de la afirmación «integridad» de
un componente del tema: “Basado en nuestras pruebas de eficiencia operativa, en nuestra opinión
los cambios del sistema de TI promocionados a producción, en todos los aspectos de acuerdo
con el criterio seleccionado, han sido registrados completamente en la aplicación de seguimiento
de gestión de cambios”.
Informe directo—Del tema en sí, por ejemplo, sobre todo la materia: “Basado en nuestras pruebas,
en nuestra opinión los cambios del sistema de TI siguen, en todos los aspectos de acuerdo con
los criterios seleccionados, el procedimiento de gestión de cambios requerido”.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
43
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse que los procesos
marco de gobierno relacionados con TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para TI; la entrega rentable
obtención de beneficios de soluciones y servicios; y una imagen confiable y precisa de los costos y beneficios probables para
que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con TI no exceda el apetito y tolerancia al riesgo de
optimización del riesgo la empresa, que se identifique y gestione el impacto del riesgo de TI para el valor de negocio y que se
minimicen los posibles fallos de cumplimiento.
EDM04 Asegurar la Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que
optimización de los costes de TI se optimicen, y que exista una mayor probabilidad de obtener beneficios y buena
recursos disposición para cambios futuros.
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Declaraciones 1008.1 Los profesionales de aseguramiento y auditoría de TI deben seleccionar los criterios con los
que se evaluará la materia, que sean objetivos, completos, relevantes, fiables, medibles, comprensibles,
ampliamente reconocidos, autorizados y comprendidos por, o disponibles para, todos los lectores y
usuarios del informe.
1008.2 Los profesionales de aseguramiento y auditoría de TI deben considerar la aceptabilidad de los
criterios y centrarse en criterios que estén reconocidos, autoritarios y estén públicamente disponibles.
2008.1 Introducción El propósito de esta directriz es ayudar a los profesionales de auditoría y aseguramiento de TI a
seleccionar los criterios, contra los cuales se evaluará la materia, que sean adecuados, aceptables y provengan de una fuente
relevante. La sección de contenido de la directriz se estructura para proporcionar información sobre los siguientes temas de
auditoría clave y trabajos de aseguramiento:
2008.3 Pertinencia
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
44 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2008.4 Aceptabilidad
2008.5 Fuente
2008.2.1 Los profesionales deben seleccionar los criterios sobre los que se evaluará la materia. Al seleccionar
los criterios, los profesionales deben considerar cuidadosamente la adecuación, aceptabilidad y fuente
de los criterios.
2008.2.2 Los profesionales deben considerar la selección de criterios cuidadosamente. Cumplir con las
regulaciones y leyes locales es importante y debe considerarse como un requerimiento obligatorio. Sin
embargo, se reconoce que muchos encargos de auditoría incluyen áreas, tales como gestión de
cambios, controles de acceso y controles generales de TI, no cubiertos por regulaciones o leyes.
Además, algunas industrias, como la industria de tarjetas de pagos, han establecido requerimientos
obligatorios. La relevancia de las normas de protección de datos locales e internacionales y las
regulaciones de privacidad y seguridad deben tenerse en consideración. Cuando los requerimientos
legislativos no son prescriptivos, los profesionales deben asegurar que los criterios seleccionados
cumplan con los objetivos de la asignación para garantizar el cumplimiento de la legislación.
2008.2.3 El uso de criterios adecuados y aceptables se requiere para garantizar una evaluación uniforme del
tema. De no ser así, cualquier conclusión u opinión formada estará abierta a malentendido y malas
interpretaciones por parte del lector.
2008.2.4 Los profesionales deben evitar evaluar la materia basándose en expectativas, experiencias o juicios
personales.
2008.2.5 Cuando los criterios no estén fácilmente disponibles, estén incompletos o sujetos a interpretación, los
profesionales deben incluir una descripción de los criterios y cualquier otra información necesaria para
asegurar que el informe sea justo, objetivo y comprensible.
2008.2.6 El juicio profesional debe usarse para asegurar que el uso de los criterios puede permitir el desarrollo
de una conclusión y opinión o conclusión objetiva y justa que no ocasione una interpretación errónea
por parte del lector o usuario. Hay que admitir que la dirección quizás presenten criterios que no
cumplan con todos los requerimientos.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
45
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2008.3 Pertinencia
2008.3.1 Los profesionales deben evaluar la idoneidad y adecuación de los criterios utilizados para evaluar la
materia. El criterio de muestra “La legislación local estipula que toda la información personal de los
clientes debería mantenerse privada al realizar transacciones de datos» se utiliza para aclarar los
siguientes atributos de criterios:
Objetividad—Libre de sesgo que pudiera afectar adversamente los hallazgos y las conclusiones de
los profesionales y, en consecuencia, pudieran ocasionar una interpretación errónea por parte del
usuario del informe de la auditoría, por ejemplo, el criterio es objetivo porque fue ratificado por la
legislación local.
Integridad—Suficientemente completo de modo que todos los criterios que pudieran afectar a las
conclusiones de los profesionales se identifican y usan al realizar el encargo de auditoría. Así, la
totalidad de todos los criterios usados debe alcanzarse, dados los objetivos del encargo de
auditoría.
Relevancia—Relevante para la materia y contribuye con los hallazgos y las conclusiones que
satisfacen los objetivos del encargo de la auditoría. Los criterios deben ser sensibles al contexto;
incluso para la misma materia, pueden existir distintos criterios dependiendo de los objetivos y
circunstancias del encargo de auditoría, por ejemplo, el criterio se considera relevante porque las
transacciones de datos están dentro del alcance del encargo de auditoría.
Confiabilidad—Los criterios deben permitir medir o evaluar de forma razonablemente consistente,
así como el desarrollo de conclusiones coherentes cuando sean aplicados por diferentes
profesionales en circunstancias similares.
Cuantificabilidad—Permite una medición consistente del tema, así como el desarrollo de
conclusiones coherentes cuando sean aplicados por diferentes profesionales en circunstancias
similares, por ejemplo, el criterio se mide porque cada transacción de datos con información
personal no protegida puede identificarse de forma única y medirse así de forma constante.
Comprensión—Comunicado claramente y no sujeto a interpretaciones significativamente
diferentes por los usuarios objetivo, por ejemplo, el criterio es comprensible porque esta sección
de la ley ya ha estado sujeta a numerosas sentencias de tribunales, lo que ayuda a establecer una
comprensión clara sobre la ejecución e interpretación prácticas de la ley.
2008.4 Aceptabilidad
2008.4.1 La aceptación de los criterios se ve afectada por la disponibilidad de los criterios para los usuarios del
informe de auditoría, de modo que los usuarios entiendan la base de la actividad de aseguramiento y la
relevancia de los hallazgos y las conclusiones.
Los criterios aceptables incluyen aquellos que son:
reconocido;—Suficientemente bien reconocidos para que su uso no sea cuestionado por los
usuarios objetivo.
Autorizado—Reflejar pronunciamientos autorizados dentro del área y apropiados para la materia,
por ejemplo, los pronunciamientos autoritarios pueden provenir de organismos profesionales,
grupos industriales, gobierno y reguladores.
Disponible públicamente—Incluye estándares desarrollados por organismos de auditoría y
contabilidad profesionales como ISACA, la Federación Internacional de Contadores (IFAC) y otros
organismos profesionales, legales o gubernamentales reconocidos.
Disponible para todos los usuarios.—Cuando los criterios no están públicamente disponibles,
éstos deben ser comunicados a todos los usuarios mediante afirmaciones que formen parte del
informe de auditoria. Los hallazgos consisten en declaraciones sobre la materia que cumplen con
los requerimientos de “criterios adecuados” para que puedan ser auditados.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
46 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2008.4.2 Los profesionales deben garantizar que los criterios usados en un encargo de auditoría sean bien:
Externamente aceptados—Reconocidos, autoritarios y públicamente disponibles; o
Externamente confirmados—Los criterios desarrollados por la gerencia para un encargo de
auditoría específico no se consideran reconocidos, autoritarios y públicamente disponibles. Antes
de su uso, dichos criterios requieren de una validación externa por parte de una tercera parte
reconocida para garantizar que la gerencia no impone implícitamente un resultado deseado al
encargo de auditoría.
2008.5 Fuente
2008.5.1 Además de considerar la idoneidad y la disponibilidad de los criterios de aseguramiento de TI, los
profesionales deben considerar la fuente de los criterios, en términos de su uso y posible audiencia.
Por ejemplo, si la materia implica regulaciones gubernamentales, los criterios basados en los hallazgos
desarrolladas a partir de la legislación y las regulaciones que se aplican al tema pueden ser más
apropiados. En otros casos, los criterios de la asociación de comercio o industria pueden ser
relevantes. Las posibles fuentes de criterios, enumeradas en el fin de consideración, incluyen:
Criterios establecidos por ISACA—Estos son criterios públicamente disponibles y estándares que
han sido expuestos para revisión por parte de compañeros y un exhaustivo proceso de debida
diligencia por expertos internacionales reconocidos en seguridad, gobierno, privacidad, riesgo,
auditoría de TI.
Criterios establecidos por otros organismos de expertos—Similares a los criterios y estándares de
ISACA, éstos son relevantes para la materia y han sido desarrollados y expuestos para revisión de
compañeros y un exhaustivo proceso de debida diligencia por expertos en varios campos.
Criterios establecidos por leyes y regulaciones—Si bien las leyes y regulaciones pueden brindar la
base de los criterios, debe tenerse cuidado en su uso. La terminología es a menudo compleja y
acarrea un significado legal específico. En muchos casos, puede ser necesaria para reafirmar los
requerimientos como afirmaciones. Además, expresar una opinión sobre la legislación está
normalmente restringido a los miembros de la profesión legal.
Criterios establecidos por entidades que no siguieron el debido proceso—Estos incluyen criterios
relevantes desarrollados por entidades que no respetaron el debido proceso y no han sido sujetos
a debate y consulta pública.
Criterios desarrollados específicamente para el encargo de auditoría—Aunque los criterios
desarrollados específicamente para el encargo de auditoría pueden ser adecuados, los
profesionales deberían tener un cuidado especial en garantizar que los criterios son adecuados,
especialmente objetivos, completos y medibles. Los criterios desarrollados específicamente para
un encargo de auditoría están en forma de afirmaciones. Normalmente tienen que ver con las
necesidades de un usuario específico. Por ejemplo, pueden usarse varios marcos de referencia
como criterios establecidos para valorar la efectividad del sistema de control interno Sin embargo,
un determinado usuario puede desarrollar una serie de criterios que cumpla con una necesidad
específica, por ejemplo, una jerarquía de aprobaciones autorizadas. Los profesionales deberían
mencionar claramente en el informe de auditoría que determinados criterios son específicos de la
asignación de auditoría. Deben considerar si los criterios desarrollados podrían confundir al
usuario objetivo y proporcionar más información sobre los criterios si se precisa. Si la gerencia
desarrolló los criterios, debe buscarse confirmación externa y mencionarse en el informe.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
47
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES GENERALES
2008.6.1 Conforme avanza la auditoría, la información adicional y reflexiones sobre la materia pueden conducir a
un cambio de los criterios seleccionados.
Puede que ya no se necesiten determinados criterios para lograr el objetivo de auditoría, haciendo
necesario más trabajo de auditoría relacionado con los criterios innecesarios.
Si se precisan criterios adicionales para lograr el objetivo de la auditoría, los profesionales
seleccionarán los criterios y llevarán a cabo el trabajo de auditoría relacionado.
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
48 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
ESTÁNDARES DE DESEMPEÑO
Declaraciones 1201.1 La función de auditoría y aseguramiento de TI debe utilizar un enfoque de evaluación de riesgo
adecuado y metodología de respaldo para desarrollar el plan de auditoría general de TI y determinar las
prioridades para la asignación efectiva de los recursos de auditoría de TI.
1201.2 Los profesionales de auditoría y aseguramiento de TI deben identificar y evaluar el riesgo
relevante al área de revisión, cuando planifican los compromisos individuales.
1201.3 Los profesionales de auditoría y aseguramiento de TI deben considerar el riesgo de la materia,
el riesgo de la auditoría y la exposición relativa de la empresa.
2201.1 Introducción El propósito de esta directriz es ayudar a la identificación del riesgo y amenazas en el entorno de TI. La
directriz proporciona una guía para aplicar un enfoque de valoración de riesgos para desarrollar:
Un plan de auditoría de TI que cubra todas los encargos de auditoría anuales
Un plan de proyecto de asignación de auditoría que se centre en un encargo de auditoría específico
La directriz proporciona los detalles de los diferentes tipos de riesgo que encuentran los profesionales de auditoría y
aseguramiento de TI. La sección de contenido de la guía se estructura para proporcionar información sobre siguientes
aspectos clave de auditoría y encargos:
2201.2.1 Debe llevarse a cabo una valoración de riesgos durante el proceso de planificación de auditoría que
debe modificarse proactivamente, dependiendo de la evolución de las condiciones del negocio y el
riesgo emergente. Los profesionales deben considerar los planes y objetivos estratégicos organizativos
y las iniciativas y el marco de gestión del riesgo empresarial. Esto facilitará el proceso de desarrollo del
calendario de auditoría de TI.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
49
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2201.2.2 Para valorar correcta y completamente el riesgo relacionado con todo el alcance del área de auditoría
de TI, los profesionales deben considerar los elementos siguientes a la hora de desarrollar la
planificación de auditoría de TI:
Cobertura total de todas las áreas dentro del alcance del universo de auditoría de TI, que incluye el
rango de todas las posibles actividades de auditoría y considera la criticidad de sistemas,
aplicaciones y procesos
Fiabilidad y adecuación de la valoración de riesgos proporcionado por la gerencia
Los procesos de la gerencia para supervisar, examinar e informar sobre posibles riesgos o
problemas
Riesgo de cobertura en actividades relacionadas relevantes a las actividades bajo revisión
2201.2.3 El enfoque aplicado de valoración de riesgos debería ayudar con el proceso de priorización y
planificación del trabajo de auditoría y aseguramiento de TI. Debe respaldar la selección de áreas y
elementos de interés para la auditoría. Debe orientar el proceso de decisión para el diseño y la
realización de determinados encargos de auditoría de TI.
2201.2.4 Los profesionales deben asegurar que el enfoque de valoración de riesgos aplicado sea aprobado por
aquellos encargados del gobierno y distribuidos a las distintas partes interesadas en el encargo.
2201.2.5 Los profesionales deben usar las valoraciones de riesgos para cuantificar y justificar la cantidad de
recursos de la auditoría de TI necesarios para completar el plan de auditoría de TI y cumplir con los
requerimientos de encargos específicos.
2201.2.6 Basado en la valoración de riesgos, los profesionales deben desarrollar una planificación de auditoría
de TI que actúe como marco para las actividades de auditoría y aseguramiento de TI La gerencia debe:
Considerar actividades y requerimientos de auditoría y aseguramiento que no sean de TI
Actualizarse al menos anualmente
Ser aprobado por los encargados de gobierno
AAbordar responsabilidades establecidas por el estatuto de auditoría
2201.2.7 A la hora de desarrollar la totalidad del plan de auditoría de TI, debe seguirse un enfoque de valoración
de riesgos adecuado. El objetivo de la valoración de riesgos es identificar las partes de una actividad
que deberían recibir más atención en la auditoría y reducir el riesgo de alcanzar una conclusión
incorrecta.
2201.3.1 Los profesionales deben considerar la metodología de valoración de riesgos adecuada para garantizar
la cobertura completa y precisa de los encargos de auditoría dentro de la planificación de auditorías de
TI.
2201.3.2 Los profesionales deberían incluir en la metodología al menos un análisis del riesgo de la empresa en
relación con la disponibilidad del sistema, la integridad de los datos y la confidencialidad de la
información empresarial.
2201.3.3 Hay disponibles muchas metodologías de valoración de riesgos para respaldar el proceso de
valoración de riesgos. Estas van desde clasificaciones sencillas de alto, medio y bajo, con base en el
juicio del profesional, hasta cálculos científicos más cuantitativos para proveer una clasificación
numérica del riesgo. Hay otras metodologías que son una combinación de ambas. Los profesionales
deben considerar el nivel de complejidad y detalle apropiados para la empresa o sujeto(s) que se esté
auditando. Puede encontrarse más información detallada sobre la realización de valoraciones de
riesgos en las publicaciones de ISACA, Marco de riesgos de TI y Guía del profesional de Riesgos de TI.
2201.3.4 Todas las metodologías de valoración de riesgos dependen de criterios subjetivos en algún punto del
proceso (por ejemplo, asignar importancia a los distintos parámetros) Los profesionales deben
identificar las decisiones subjetivas requeridas para usar una metodología específica y considerar si se
pueden hacer juicios y validarlos con un nivel de precisión y razonabilidad adecuados.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
50 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2201.3.5 Para determinar la metodología de valoración de riesgos más adecuada, los profesionales deben
considerar:
Tipo de información requerida para ser recopilada. Algunos sistemas usan efectos financieros
como única medida, lo que no siempre es apropiado para los encargos de auditoría de TI.
El coste del software u otras licencias requeridas para el uso de la metodología
Hasta qué punto la información requerida ya está disponible
Cantidad de información adicional requerida para su recopilación antes de que pueda obtenerse
un producto fiable y el coste de recopilar la información (incluida la inversión de tiempo requerida
en el ejercicio de la recopilación)
Las opiniones de otros usuarios de la metodología y sus opiniones sobre lo mucho que les ha
ayudado a mejorar la eficiencia y/o eficacia de sus auditorías
La buena disposición con la que los encargados del gobierno del área de auditoría de TI aceptan la
metodología como medio de determinar el tipo y el nivel del trabajo de auditoría llevado a cabo
2201.3.6 No se puede esperar que ninguna metodología de valoración de riesgos sea adecuada para todas las
situaciones. Los profesionales deben reevaluar periódicamente la adecuación de la metodología de
valoración de riesgos escogida porque los riesgos, amenazas, vulnerabilidades, apetito de riesgo y
tolerancia de riesgo podrían cambiar.
2201.3.7 Los profesionales deben usar las técnicas de valoración de riesgos seleccionadas a la hora de
desarrollar la planificación de auditoría de TI en su conjunto y planificar encargos de auditoría
específicos. La valoración de riesgos, junto con otras técnicas de auditoría, deben considerarse a la
hora de planificar decisiones como:
Funciones de áreas o negocios que serán auditadas
Cantidad de tiempo y recursos que se asignarán a una auditoría
Naturaleza, alcance y cronología de los procedimientos de auditoría
2201.3.8 Las metodologías de valoración de riesgos adoptadas deben producir resultados uniformes, válidos,
comparables y repetibles y deben acordarse por parte de la gerencia. Las valoraciones de riesgos
producidas por la metodología deben ser uniformes (durante un periodo de tiempo), válidas,
comparables (con encargos anteriores/posteriores usando la misma metodología de valoración) y
repetibles (dados una serie de factores similares, el uso de la misma metodología de valoración
producirá un resultado similar).
2201.4.1 Al planificar un encargo individual, los profesionales deben identificar y evaluar el riesgo relevante al
área bajo revisión. Los resultados de la valoración de riesgos deben reflejarse en los objetivos de la
asignación de auditoría. Durante la valoración de riesgos, los profesionales deben considerar:
Resultados de encargos de auditoría anteriores, revisiones y hallazgos, que incluyen cualquier
actividad correctiva
El proceso de valoración de riesgos de la empresa
La probabilidad de que ocurra un riesgo particular.
El impacto de un riesgo particular (en términos monetarios o de otro valor) si se produce
2201.4.2 Los profesionales deben asegurar una comprensión total de todo el alcance de las actividades antes de
valorar el riesgo. Deben solicitar comentarios y sugerencias de partes interesadas y otras partes
adecuadas. Se precisa una comprensión total para determinar correctamente el riesgo posible de la
asignación de auditoría y examinar el impacto relacionado.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
51
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2201.5.1 El riesgo de auditoría se refiere a alcanzar una conclusión incorrecta en base a los hallazgos de
auditoría.
Los tres componentes del riesgo de auditoría son:
Riesgo inherente
Riesgo de control
Riesgo de detección
2201.5.2 Los profesionales deben considerar cada uno de los componentes de riesgo para determinar el nivel de
riesgo conjunto. El riesgo de auditoría está formado por el riesgo de la materia, que incluye el riesgo
inherente y el riesgo de control, y el riesgo de detección.
2201.6.1 El riesgo inherente es la susceptibilidad de un área de auditoría a un error que pudiera ser material
(individualmente o en combinación con otros errores), asumiendo que no hay ningún control interno
relacionado. Por ejemplo, el riesgo inherente asociado a los sistemas operativos sin controles
adecuados es normalmente alto, ya que los cambios, o incluso la publicación de datos o programas a
través de las debilidades del sistema operativo podría provocar una información de la gerencia falsa o
una desventaja competitiva. Por el contrario, el riesgo inherente asociado a la seguridad de una
computadora independiente sin controles, cuando un análisis apropiado demuestra que no se usa para
propósitos críticos para el negocio, es normalmente bajo.
2201.6.2 Ya que el auditor de TI considera el alcance de las áreas a ser probadas las que afectan a sistemas de
negocio importantes, se espera que el riesgo inherente sea alto.
2201.7.1 El riesgo de control es el riesgo de que un error que pudiera ocurrir en un área de auditoría y que
pudiera ser material, individualmente o en combinación con otros errores, no podrá ser evitado o
detectado y se corregirá de forma oportuna por el sistema de control interno. Por ejemplo, el riesgo de
control asociado con la revisión manual de los registros (logs) de computadora/ordenador puede ser
alto porque un gran volumen de información registrada puede resultar en un fallo inadvertido a la hora
de identificar una anomalía derivada de un error humano. El riesgo de control asociado con
procedimientos computarizados de validación de datos es bajo si los procesos se aplican de manera
sistemática.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
52 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2201.7.2 Los profesionales deben valorar el riesgo de control como alto a menos que los controles internos
relevantes sean:
Identificados
Validados mediante pruebas (es decir, comparación de rendimiento y diseño) y se demuestre que
funcionan de forma efectiva
2201.7.3 Los profesionales deben considerar tanto los controles de TI generales como los detallados
Controles comunes de TI son un subconjunto de controles generales; son aquellos controles
generales que se centran en la gestión y monitorización del entorno de TI. Afectan a todas las
actividades relacionados con TI El efecto de controles de TI generales en el trabajo de los
profesionales no se limita a la fiabilidad de los controles de la aplicación en los sistemas de
proceso empresariales. Los controles de TI generales también afectan a la fiabilidad de los
controles de TI detallados sobre, por ejemplo, desarrollo del programa de aplicación,
implementación del sistema, administración de seguridad y procedimientos de copias de
seguridad. Los controles de TI generales débiles, y por tanto una gestión y monitoreo del entorno
de TI débil, deben alertar a los profesionales de la posibilidad de un riesgo elevado en que los
controles designados para operar en el nivel detallado puedan resultar ineficaces.
Los controles detallados de TI están compuestos por controles de aplicación, más aquellos
controles generales no incluidos en controles transversales de TI. Siguiendo el marco de
referencia COBIT 2019, los controles de TI detallados relativos al gobierno y gestión de
información y tecnología.
2201.7.4 Los profesionales deben considerar el riesgo de que las limitaciones y carencias en controles de TI
detallados pueden resultar de insuficiencias en los controles de TI generales.
2201.8.1 El riesgo de detección es el riesgo de que los procedimientos sustantivos de los profesionales no
detecten un error que pudiera ser material, individualmente o en combinación con otros errores. Por
ejemplo, el riesgo de detección asociado con la identificación de brechas de seguridad en un sistema
de aplicaciones es a menudo alto, ya que los registros para todo el periodo de la auditoría pueden no
estar disponibles en el momento de la auditoría. El riesgo de detección asociado con la identificación
de la falta de planes de recuperación de desastres tiende a ser bajo, ya que su existencia es fácilmente
verificable.
2201.8.2 A la hora de determinar el nivel de pruebas sustantivas requeridas, los profesionales deben considerar:
Valoración del riesgo inherente
Conclusiones sobre el riesgo de control tras las pruebas de cumplimiento
2201.8.3 Cuando más alta sea la valoración del riesgo de control e inherente, más evidencia de auditoría
deberían obtener normalmente los profesionales en la realización de procedimientos de auditoría
sustantivas.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
53
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
54 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con TI no exceda el apetito y tolerancia al riesgo de
optimización del riesgo la empresa, que se identifique y gestione el impacto del riesgo de I&T para el valor de negocio y que se
minimicen los posibles fallos de cumplimiento.
APO12 Riesgo Integrar la gestión del riesgo empresarial relacionado con I&T con la gestión del riesgo empresarial
gestionado global (ERM), y equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con
TI.
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Declaraciones 1202.1 La función de aseguramiento y auditoría de TI debe establecer un plan estratégico integral que
resulte en planificaciones de auditoría de corto y largo plazo. La planificación a corto plazo consiste en
la realización de auditorías dentro del año, mientras que la planificación a largo plazo está constituida
por auditorías basadas en temas relacionados con el riesgo dentro del entorno de Tecnologías de la
Información (T&I) de la empresa que podrían realizarse en el futuro.
1202.2 La mayoría de los planes a corto plazo y largo plazo deberían acordarse con aquellos
encargados de la gobernanza y supervisión (por ejemplo, comité de auditoría) y comunicarse dentro de
la empresa.
1202.3 La función de aseguramiento y auditoría de TI debe modificar sus planes de auditoría a corto y
largo plazo para que respondan a las necesidades organizativas (por ejemplo, eventos inesperados o
iniciativas no planificadas). Cualquier auditoría desplazada para acomodar una auditoría de un evento
inesperado o iniciativa no planificada debería reasignarse a un periodo futuro.
2202.1 Introducción Esta directriz proporciona una guía en programación de auditoría para profesionales de auditoría y
aseguramiento de TI.
La sección de contenido de la directriz se estructura para proporcionar información sobre los temas de auditoría y asignación
de aseguramiento clave:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
55
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2202.3.1 El calendario de auditoría puede comunicarse a la empresa con fechas de inicio de auditoría
estimadas, el alcance preliminar y partes interesadas clave.
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para TI; la entrega
obtención de beneficios rentable de soluciones y servicios; y una imagen confiable y precisa de los costos y beneficios
probables para que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
BAI11 Gestionar los Lograr los resultados definidos del proyecto y reducir el riesgo de retrasos inesperados, costes y
proyectos erosión del valor mediante la mejora de las comunicaciones y la participación del negocio y de los
usuarios finales. Asegurar el valor y la calidad de los entregables del proyecto y maximizar su
contribución a los programas y al portafolio de inversión definidos.
Declaraciones 1203.1 Los profesionales de aseguramiento y auditoría de TI deben planificar cada encargo de
auditoría y aseguramiento de TI para abordar la naturaleza, el cronograma y el alcance de los
procedimientos de auditoria que se deben realizar. El plan debe incluir:
Áreas que serán auditadas
Objetivos
Alcance
Recursos (por ejemplo, personal, herramientas y presupuesto) y fechas de programación
Cronograma y entregables
Cumplimiento con leyes/regulaciones aplicables y estándares profesionales de auditoría
Uso de un enfoque basado en riesgos para encargos que no están relacionados con cumplimiento
legal o regulatorio
Problemas específicos a la asignación
Requerimientos de informes y documentación
Uso de tecnología relevante y técnicas de análisis de datos
Consideración del coste de la asignación en comparación con los posibles beneficios
Protocolos de comunicación y escalado para situaciones que pueden surgir durante el desempeño
de una asignación de auditoría (por ejemplo, limitaciones del alcance o no disponibilidad de
personal clave)
Durante el trabajo de campo, puede que sea necesario modificar los procedimientos de auditoría
creados durante la planificación conforme avanza la asignación.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
56 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2203.1 Introducción Esta directriz proporciona una guía en la planificación del encargo para profesionales de auditoría y
aseguramiento de TI. La sección de contenido de la directriz se estructura para proporcionar información sobre los temas de
auditoría y asignación de aseguramiento clave:
2203.2 Objetivos
2203.5 Documentar del plan de proyecto del encargo de auditoría y del programa de auditoría
2203.2 Objetivos
2203.2.1 Los profesionales deben definir los objetivos del encargo de auditoría y documentarlos en el plan de
proyecto de asignación de auditoría. Además de confirmar la comprensión de las metas, operaciones y
desafíos de la empresa, la documentación de los objetivos del encargo de auditoría garantiza que las
pruebas proporcionen garantías de que existen controles y funcionan de forma eficiente.
2203.2.2 Los profesionales deben desarrollar un plan de proyecto de auditoría que tome en consideración los
objetivos de la encargo de auditoría. Estos objetivos pueden influir en el encargo de auditoría, por
ejemplo, recursos, calendario y entregables.
2203.3.1 Antes de iniciar un encargo de auditoría, los profesionales deberían planificar su trabajo de forma
adecuada para cumplir con los objetivos de la auditoría. Como parte del proceso de planificación, los
profesionales deben comprender la empresa y sus procesos. Esto les ayudará a determinar la
importancia de las áreas que se están revisando, ya que éstas están relacionadas con los objetivos de
la empresa. Los profesionales deben establecer el alcance del trabajo de la auditoría basado en los
objetivos de la misma.
2203.3.2 Como parte de una valoración preliminar, los profesionales deben obtener una comprensión de los
tipos de personal, eventos, transacciones y prácticas que pueden tener un significado importante en la
empresa, función, procesos o datos específicos, que son objeto del encargo de auditoría. El
conocimiento de la empresa del auditor debe incluir el riesgo empresarial y financiero al que se
enfrenta la empresa, las condiciones en el mercado de la empresa y hasta qué punto la empresa
depende de la externalización (outsourcing) para cumplir con sus objetivos. Los profesionales deberían
usar esta información para identificar potenciales problemas, formular los objetivos y alcance del
trabajo, ejecutar el trabajo, y considerar acciones de gestión ante las que estar alerta.
2203.4.1 Debe realizarse una valoración de riesgos para comprender la empresa y su entorno (es decir, objetivos
estratégicos y obligaciones internas y externas). Esta comprensión permitirá al profesional identificar
áreas y actividades para su revisión.
2203.4.2 Debe llevarse a cabo una valoración de riesgos y la priorización del riesgo identificado para el área bajo
revisión y el entorno de TI de la empresa hasta donde sea necesario.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
57
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2203.4.3 Durante el proceso de planificación, los profesionales deben establecer niveles de materialidad de la
planificación, como que el trabajo de auditoría será suficiente para cumplir con los objetivos de la
auditoría y usará los recursos de la auditoría de forma eficiente. Por ejemplo, en la revisión de un
sistema actual, los profesionales deben valorar la materialidad de diversos componentes del sistema a
la hora de planificar la asignación de auditoría para el trabajo que se realizará. A la hora de determinar
la materialidad, deben considerarse tanto aspectos cualitativos como cuantitativos.
2203.4.4 Ante de iniciar un encargo de auditoría y durante el curso de la misma, los profesionales deben
considerar el cumplimiento con los estándares profesionales de auditoría y leyes aplicables.
2203.4.5 Cuando los profesionales valoran controles internos con el propósito de dar fiabilidad a los
procedimientos de control para respaldar la información que se recopila como parte de un ejercicio de
auditoría más extenso (como la auditoría de información financiera histórica) deben hacer una
valoración preliminar de los controles y desarrollar el plan de proyecto del encargo de auditoría
basándose en esa valoración.
2203.5 Documentar del plan de proyecto del encargo de auditoría y del programa de auditoría
2203.5.1 Los documentos de trabajo del profesional deben incluir el plan de proyecto del encargo de auditoría.
2203.5.2 Una definición de proyecto clara es un factor crítico para garantizar la eficacia y la eficiencia del
proyecto. Un plan de proyecto de auditoría (“plan de proyecto”) debe incluir en los términos de
referencia elementos como:
Áreas que serán auditadas
Tipo de trabajo planificado
Objetivos de alto nivel y alcance del trabajo
Entrevistas de descubrimiento a realizar
Información relevante a obtener
Procedimientos para verificar o validar la información obtenida y su uso como evidencia de
auditoría
Temas generales, como:
Presupuesto
Disponibilidad y asignación de recursos
Fechas de programación
Tipo de informe
Público objetivo
Entregables
Temas específicos, como:
Identificación de las herramientas necesarias para recopilar evidencia, realizando pruebas y
preparando/resumiendo información para la generación de los informes
Criterios de valoración (políticas de empresa, procedimientos o protocolo) que se usarán al
evaluar las prácticas actuales
Documentación de valoración de riesgos
Requerimientos para la generación de informes y distribución
Informes externos disponibles (información en la que se puede confiar, si la hay)
Informes que deben solicitarse, si se requiere, como Declaración de estándares por encargos
de atestación 18 (SSAE 18)
2203.5.3 El plan de proyecto debe incluir los requerimientos relacionados con el calendario del encargo de
auditoría. Estos elementos incluyen, pero no están limitados al periodo cubierto y las distintas fechas
de finalización para realizar el encargo de auditoría dentro del calendario acordado. El plan de proyecto
debe incluir los gastos presupuestarios y los recursos del equipo para cada fase del proyecto.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
58 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2203.5.4 Los profesionales deben garantizar que los recursos del equipo de auditoría asignados a la auditoría
cuentan con las habilidades, conocimiento y experiencia adecuados para completar correctamente el
encargo de auditoría. Los profesionales deben asignar los roles y responsabilidades que mejor encajen
con las competencias de los miembros del equipo de auditoría de TI.
2203.5.5 El plan de proyecto debe enumerar todos los entregables relacionados con el encargo de auditoría.
2203.5.6 El plan de proyecto y cualquier cambio al plan de proyecto debe ser aprobado por la gerencia de
auditoría y aseguramiento de TI.
2203.5.7 Tras la aprobación por parte de la gerencia de auditoría y aseguramiento de TI, partes del plan de
proyecto (por ejemplo, alcance, calendario, requerimientos de documentos, calendario de entrevistas)
deben comunicarse a los auditados para que puedan garantizar el acceso a los documentos y
disponibilidad de los recursos necesarios y su.
2203.6.1 El plan de proyecto de auditoría debe actualizarse y cambiarse cuando sea necesario (con
aprobaciones adecuadas por parte de la gerencia de auditoría y aseguramiento de TI) durante el
transcurso de la asignación de auditoría.
Si surge un problema que merece la atención del auditor una vez que se ha iniciado la auditoría, los
profesionales deberán determinar cómo abordarlo. Las opciones incluyen, entre otras, expandir el
alcance de la auditoría o la programación de una evaluación por separado. El profesional de auditoría
de TI debe informar inmediatamente al auditado de cualquier cambio en el alcance de la auditoría y del
calendario conforme al nuevo problema identificado.
2203.6.2 Planificar un encargo de auditoría es un proceso continuo e iterativo. Como resultado de eventos
inesperados, cambios de las condiciones o evidencia de auditoría obtenida, los profesionales podrían
necesitar modificar la naturaleza planificada, el cronograma e incorporar procedimientos de auditoría
adicionales. Por ejemplo, cuando se publica una nueva regulación, puede que sea necesario realizar
una valoración de forma inmediata para determinar cualquier posible impacto en la empresa en
términos de cumplimiento.
2203.6.3 El plan de auditoría debe considerar la posibilidad de eventos inesperados que implican un riesgo para
la empresa. De esta manera, el plan de proyecto de auditoría debería respaldar la priorización de dichos
eventos dentro de los procesos de auditoría y aseguramiento, basándose en el riesgo.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
59
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
60 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque del gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con I&T deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse que
marco de gobierno los procesos relacionados con I&T se supervisen de manera eficaz y transparente; que se cumpla con
los requisitos legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para
los miembros del consejo de dirección.
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para I&T; la entrega rentable
obtención de beneficios de soluciones y servicios; y una imagen confiable y precisa de los probables costes y beneficios para
que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con I&T no exceda el apetito y tolerancia al riesgo
optimización del riesgo de la empresa, que se identifique y gestione el impacto del riesgo de I&T para el valor de negocio y que
se minimicen los posibles fallos de cumplimiento.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
61
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Amplias 1204.1 Los profesionales de auditoría y aseguramiento de TI deben llevar a cabo el trabajo en
conformidad con el plan de auditoría de TI aprobado para cubrir el riesgo identificado y dentro del
cronograma acordado.
1204.2 Los profesionales de auditoría y aseguramiento de TI deben proporcionar supervisión al
personal de auditoría de TI sobre quienes tienen responsabilidad de supervisión, para lograr los
objetivos de la auditoría y cumplir con los estándares profesionales de auditoría aplicables.
1204.3 Los profesionales de auditoría y aseguramiento de TI deben aceptar sólo tareas que estén
dentro de su conocimiento y habilidades o para las que tengan una expectativa razonable de adquirir
las habilidades durante la asignación o lograr la tarea bajo supervisión.
1204.4 Los profesionales de auditoría y aseguramiento de TI deben obtener evidencia suficiente y
apropiada para alcanzar los objetivos de la auditoría
1204.5 Los profesionales de auditoría y aseguramiento de TI deben documentar el proceso de auditoría
y describir el trabajo de auditoría y la evidencia de auditoría que respalda los hallazgos y las
conclusiones.
1204.6 Los hallazgos y las conclusiones del profesional de aseguramiento y auditoría de TI deben estar
respaldados por un análisis de la causa raíz y la interpretación de esta evidencia.
1204.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una apropiada opinión o
conclusión de la auditoría e incluir una limitación al alcance cuando la evidencia requerida se obtenga
mediante procedimientos de prueba adicionales.
2204.1 Introducción Esta directriz proporciona una guía para los profesionales de aseguramiento y auditoría de TI para la
realización asignaciones de auditoría y la supervisión de los miembros del equipo de auditoría de TI. La sección de contenido
de la directriz se estructura para proporcionar información sobre los siguientes temas clave de asignaciones de auditoría y
aseguramiento:
2204.4 Supervisión
2204.5 Evidencia
2204.6 Documentar
2204.7 Hallazgos
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
62 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2204.2.1 Los profesionales deben planificar y realizar cada asignación de auditoría conforme al plan de auditoría
de TI aprobado. Establecer un plan de proyecto de asignación de auditoría, como se detalló en el
Estándar 1203 Planificación de la asignación, permite a los profesionales entender todos los elementos
del alcance, cubrir todos los riesgos identificados y garantizar que las habilidades y conocimiento
requeridos para ejecutar la asignación de auditoría dentro del calendario acordado están disponibles.
2204.3.1 Los profesionales asignados a la auditoría deben definir y gestionar los roles y responsabilidades de
los miembros del equipo de auditoría de TI durante la asignación, abordando como mínimo:
diseñar la metodología y el enfoque
crear programas de trabajo de auditoría
definir funciones de ejecución y revisión
gestionar incidencias, preocupaciones y problemas a medida que surgen
documentar y aclarar los hallazgos
escribir el informe
2204.3.2 Basándose en las necesidades de la asignación, los profesionales responsables deben considerar las
competencias requeridas para esa asignación de auditoría en concreto. Deben formar un equipo de
asignación que combine las habilidades, conocimiento y experiencias para realizar correctamente la
asignación de la auditoría. Los profesionales deben asegurarse de asignar los roles y
responsabilidades a los miembros del equipo de auditoría de TI que tengan las habilidades que mejor
encajen con los requerimientos de la asignación.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
63
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2204.3.3 Los profesionales deben aceptar sólo los roles, responsabilidades y tareas asociadas que sean
coherentes con su conocimiento y habilidades. Los problemas de tiempo y costes podrían impedir que
los profesionales adquirieran todo el conocimiento y habilidades necesarios antes del inicio de una
asignación de auditoría; por tanto, se permite a los profesionales aceptar roles, responsabilidades y
tareas asociadas si tienen una expectativa razonable de que se tomarán medidas adecuadas durante la
asignación de auditoría para garantizar una finalización correcta. Las medidas siguientes permitirían
dicha expectativa razonable:
Aprender en el trabajo—En determinadas circunstancias, será posible para los profesionales
adquirir las habilidades y conocimiento necesarios durante la asignación de auditoría.
Supervisión—Los profesionales responsables pueden organizar una supervisión adecuada de los
miembros del equipo de auditoría de TI que les permita llevar a cabo la tarea, bajo supervisión.
Recursos externos—Los profesionales responsables podrían contratar a expertos externos en
aquellas áreas de la asignación de auditoría para las que el equipo carezca de conocimiento y
habilidades internas adecuadas. Los profesionales responsables deberían considerar promover el
desarrollo de los miembros internos del equipo de auditoría de TI, haciendo que trabajaran
estrechamente con expertos externos para garantizar una transferencia de conocimiento y
habilidades al equipo.
2204.4 Supervisión
2204.4.1 Cada tarea ejecutada durante una asignación de auditoría por los miembros del equipo de auditoría de
TI debería estar bajo la supervisión de los profesionales que tienen responsabilidades de supervisión
para garantizar que se cumple con los objetivos de la auditoría y los estándares profesionales de
auditoría aplicables. El alcance de la supervisión requerida dependerá enormemente de las habilidades,
conocimientos y experiencia de los profesionales que ejecutan la tarea bajo revisión, y de la
complejidad de la asignación de auditoría.
2204.4.2 La supervisión es un proceso que está presente en todos los pasos de la asignación de auditoría. La
supervisión incluye:
garantizar que los miembros del equipo de auditoría de TI combinan las habilidades, conocimiento
y experiencia para realizar correctamente la asignación de la auditoría
garantizar que se han establecido y aprobado un plan de proyecto de asignación de auditoría y un
programa de auditoría
revisar los papeles de trabajo de la asignación de auditoría
garantizar que la comunicación de la asignación de auditoría con los auditados y otras partes
interesadas es precisa, clara, concisa, objetiva, constructiva y oportuna
garantizar que el programa de trabajo de la asignación de auditoría aprobado se completa al final
de la asignación de auditoría, a menos que los cambios se justifiquen y aprueben por adelantado y
que se cumpla con los objetivos de la asignación de auditoría
proporcionar oportunidades para que los miembros del equipo de auditoría de TI desarrollen sus
habilidades y conocimiento
2204.4.3 Se requiere revisar los papeles de trabajo de la asignación de auditoría para garantizar que se realicen
todos los procedimientos de auditoría necesarios; la evidencia recopilada es suficiente y adecuada; y
las conclusiones respaldan adecuadamente los hallazgos de la auditoría, los objetivos de la asignación
y la conclusión u opinión. Considerando los objetivos, la revisión deben realizarla los miembros del
equipo de auditoría de TI que tienen responsabilidades de supervisión sobre los profesionales que
realizan el trabajo de auditoría.
2204.4.4 Durante el proceso de revisión, los revisores deben registrar las preguntas conforme vayan surgiendo.
Cuando los profesionales responden a dichas preguntas, debe mantenerse evidencia de que dichas
preguntas se formularon y respondieron.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
64 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2204.4.5 La revisión de la evidencia se debe documentar y retener. Las opciones para documentar la evidencia
de realizar una revisión incluyen, entre otras:
firmar y fechar cada papel de trabajo de asignación de auditoría tras la revisión
completar una lista de verificación de revisión del papel de trabajo de la asignación de auditoría
preparar un documento firmado que proporciona una referencia a los papeles de trabajo de
asignación de la auditoría bajo revisión y detalla la naturaleza, cronograma, alcance y resultado de
la revisión
tanto las ejecuciones en papel como digitales de todas estas opciones son válidas.
2204.4.6 La supervisión permite el desarrollo y evaluación del desempeño de los profesionales. Los revisores
tienen una visión privilegiada del trabajo realizado por otros miembros del equipo de auditoría de TI,
que permite una evaluación adecuada y detallada de su desempeño. Los revisores deben señalar áreas
de desarrollo que puedan mejorar el desempeño y aconsejar sobre cómo mejorar las habilidades y el
conocimiento.
2204.5 Evidencia
2204.5.1 Los profesionales deben obtener evidencia que sea suficiente y adecuada para formarse una opinión o
respaldar las conclusiones y alcanzar los objetivos de la auditoría. Las determinaciones sobre si la
evidencia es suficiente y adecuada deben basarse en la importancia de los objetivos de la auditoría y el
esfuerzo involucrado para obtener la evidencia.
2204.5.2 Los profesionales deben obtener evidencia adicional si, a su juicio, la evidencia obtenida no cumple con
los criterios de ser suficiente y apropiada para formular una opinión o respaldar los hallazgos y las
conclusiones.
2204.5.3 Los profesionales deben seleccionar los procedimientos más adecuados para recolectar la evidencia
según la materia que se esté auditando.
2204.5.4 Los profesionales deberían considerar la fiabilidad de la evidencia de auditoría (es decir, la
independencia del proveedor de la evidencia, las cualificaciones del proveedor de la información, la
objetividad de la evidencia y el cronograma de la evidencia).
2204.5.5 Los profesionales deben realizar análisis e interpretación adecuados para respaldar los hallazgos de la
auditoría y formar conclusiones. La evidencia e información recibidas deben compararse con las
expectativas identificadas o desarrolladas por los profesionales. El auditor debe ser consciente de:
diferencias inesperadas
ausencia de diferencias anticipadas
errores potenciales
actos fraudulentos o ilegales
incumplimiento de las leyes o regulaciones
actividades inusuales o no recurrentes
2204.5.6 Si se identifican desviaciones de las expectativas, los profesionales deben preguntar a la gerencia
sobre los motivos de las diferencias. Si las explicaciones de la gerencia son adecuadas, basándose en
el criterio profesional de los profesionales, los profesionales deben modificar sus expectativas y
reanalizar la evidencia y la información.
2204.5.7 Las desviaciones significativas que el auditado no explique adecuadamente deben acabar en hallazgos
de auditoría y comunicarse a la dirección ejecutiva o a aquellos encargados del gobierno y la
supervisión de la función de auditoría. Dependiendo de las circunstancias, los profesionales deberían
recomendar medidas adecuadas a realizar.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
65
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2204.6 Documentación
2204.6.1 Los profesionales deberían preparar, de manera oportuna, documentación suficiente, adecuada y
relevante, que proporcione una base para las conclusiones y que contenga evidencia de la revisión
realizada. Una documentación suficiente, adecuada y relevante debe permitir que una persona
informada y prudente sin conexiones anteriores con la asignación de auditoría vuelva a realizar las
tareas realizadas durante la asignación y alcance la misma conclusión. La documentación debe incluir:
los objetivos de la asignación de auditoría y alcance del trabajo
plan de proyecto de asignación de auditoría
programa de trabajo de auditoría
pasos de auditoría realizados
evidencia recopilada
conclusiones y recomendaciones
2204.6.3 Los profesionales deben establecer un programa preliminar de revisión antes de que empiece el
trabajo. El programa de auditoría debe documentarse de forma que permita a los profesionales
registrar la finalización del trabajo de auditoría e identificar el trabajo que queda por hacer. Conforme
avanza el trabajo, los profesionales deben evaluar la adecuación del programa de auditoría basándose
en la información recopilada durante la asignación de auditoría. Cuando los profesionales determinan
que los procedimientos planificados no son suficientes, deben modificar el programa de auditoría
como corresponda.
2204.6.4 Las actividades de desempeño y supervisión deben documentarse en papeles de trabajo de la
asignación de auditoría. El diseño y contenido de los papeles de trabajo de la asignación de auditoría
varía, dependiendo de las circunstancias de la asignación de auditoría particular. Sin embargo, la
gestión de auditoría y aseguramiento de TI debe crear un número limitado de plantillas de papeles de
trabajo estándar para distintos tipos de asignaciones de auditoría. Los papeles de trabajo estándar
mejoran la eficiencia de la asignación de auditoría y facilitan la supervisión. La gestión de la auditoría y
aseguramiento de TI también debe determinar los tipos de medios utilizados y los procedimientos de
almacenamiento y conservación para los papeles de trabajo.
2204.6.5 Los profesionales deben asegurar que la documentación del trabajo realizado se completa de manera
oportuna. Toda la información y evidencia requeridas para formar una conclusión u opinión debe
obtenerse antes de la fecha de publicación del informe de auditoría. Los papeles de trabajo de la
asignación de auditoría deben incluir la fecha en la que se prepararon y revisaron.
2204.6.6 La gerencia de auditoría y aseguramiento de TI controla los papeles de trabajo de la asignación de
auditoría y proporciona acceso al personal autorizado. Las solicitudes de acceso a los papeles de
trabajo de la asignación de auditoría por parte de auditores externos deben ser aprobadas por la
dirección ejecutiva y aquellos encargados del gobierno. Las solicitudes de acceso por partes externas,
que no sean auditores externos, deben ser aprobadas por la dirección ejecutiva y aquellos encargados
del gobierno, y supervisadas por la función de auditoría, y contar con el asesoramiento jurídico.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
66 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2204.7 Hallazgos
2204.7.1 Los profesionales deben analizar la evidencia y la información recopilada. Desviaciones significativas
de las expectativas resultarán en hallazgos. Los profesionales deben confirmar los hallazgos con el
auditado y evaluar el impacto de los hallazgos en otros aspectos del entorno de control.
2204.7.2 Los profesionales pueden proponer medidas correctivas que se llevarán a cabo, pero nunca deberían
ejecutarlas. Si el auditado realiza medidas correctivas que remedian los hallazgos originales antes del
fin de la asignación de auditoría, los profesionales deben incluir las medidas correctivas llevadas a
cabo en la documentación.
2404.7.3 Los profesionales deben concluir sobre los hallazgos identificados y valorar su impacto en los
objetivos de la auditoría. Las conclusiones deberían formarse sobre los hallazgos iniciales. Si se han
realizado medidas correctivas, puede formularse un anexo a la conclusión que explique la medida
correctiva y el impacto de la medida correctiva en la conclusión original.
2404.7.4 Todas las conclusiones formuladas y el cumplimiento de los objetivos de la auditoría deben
documentarse en el informe de asignación de auditoría. Puede encontrarse una guía detallada de
presentación de informes en Informes estándar 1401 y Directrices 2401
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
67
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
incluir en la documentación:
objetivos de la auditoría y alcance del trabajo, el programa de auditoría, los pasos de auditoría
realizados, la evidencia recopilada, los hallazgos, conclusiones y recomendaciones
detalle suficiente para permitir que una persona informada y prudente vuelva a realizar las
tareas realizadas durante la asignación y alcance la misma conclusión
identificación de quién realizó cada tarea y la función de cada miembro del equipo al preparar
y revisar la documentación
fecha en que la documentación fue preparada y revisada
obtener las manifestaciones escritas relevantes del auditado que claramente detallen las áreas
críticas de la asignación, los problemas que hayan surgido y su resolución, y las afirmaciones
realizadas por el auditado
determinar que las manifestaciones del auditado incorporan la firma y la fecha el auditado para
indicar el reconocimiento de las responsabilidades con respecto a la asignación
documentar y conservar en los papeles de trabajo cualquier manifestación recibida durante la
realización de la asignación, sea escrita u oral
Objetivos de gestión
Propósito
COBIT 2019
APO07 Gestionar los Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
recursos humanos
APO08 Gestionar las Facilitar el conocimiento, habilidades y comportamientos pertinentes para generar mejores resultados,
relaciones aumentar la confianza, la confianza mutua y el uso eficaz de los recursos que estimule una relación
productiva con las partes interesadas de la empresa.
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Declaraciones 1205.1 Los profesionales de auditoría y aseguramiento de TI deben obtener la evidencia suficiente y
apropiada para llegar a conclusiones razonables sobre las cuales basar los resultados de la
asignación.
1205.2 Aplicando el escepticismo profesional, los profesionales de auditoría y aseguramiento de TI
deben evaluar la suficiencia de la evidencia obtenida para respaldar las conclusiones y alcanzar los
objetivos de la asignación.
1205.3 Junto con otros papeles de trabajo, los profesionales de aseguramiento y auditoría de TI deben
preservar la evidencia durante un periodo de tiempo que se corresponda con los periodos de retención
aprobados y formalmente definidos.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
68 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2205.1 Introducción El propósito de esta directriz es brindar una guía a los profesionales de auditoría y aseguramiento de TI
para obtener evidencia adecuada y suficiente, evaluando la evidencia recibida y preparando una documentación de auditoría
adecuada. La sección de contenido de la directriz se estructura para proporcionar información sobre los temas de auditoría y
aseguramiento clave siguientes:
2205.2.1 Al planear y realizar una asignación, los profesionales deben tomar en cuenta el tipo de evidencia a ser
recopilada, su uso para alcanzar los objetivos de auditoría y sus diferentes niveles de confiabilidad. Los
distintos tipos de evidencia que los profesionales deben considerar usar incluyen:
procesos observados y existencia de elementos físicos
evidencia documental
representaciones
análisis
2205.2.2 Los procesos observados y la existencia de elementos físicos pueden incluir observaciones de
actividades, propiedad y funciones de TI, como:
un sistema de monitoreo de seguridad de red en funcionamiento
un inventario de contenidos en un almacenamiento externo
2205.2.3 La evidencia documentada en papel u otros medios puede incluir:
políticas y procedimientos escritos
resultados de extracciones de datos
registro de transacciones
listados de programas
otros documentos y registros producidos en el transcurso ordinario del negocio
confirmación externa de terceros
2205.2.4 Las representaciones escritas y verbales de los auditados pueden incluir:
declaraciones por escrito de la gerencia, como representaciones de la existencia y efectividad de
controles o planes internos para una nueva implementación del sistema
representaciones verbales de los mismos, en cuanto a cómo funciona un proceso o planes para el
seguimiento de la gerencia de acciones relacionadas con el programa de concienciación sobre
seguridad
2205.2.5 Los resultados de analizar la información a través de comparaciones, simulaciones, cálculos y
razonamientos también pueden usarse como evidencia. Los ejemplos incluyen:
analizar comparativamente el desempeño de TI con otras empresas o periodos anteriores
comparar tasas de error entre aplicaciones, transacciones y usuarios
Re-evaluación de procesos o controles
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
69
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2205.3.1 Los profesionales deben obtener evidencia suficiente y adecuada que les permita extraer conclusiones
de auditoría razonables. Esta evidencia incluye:
procedimientos realizados
resultados de los procedimientos realizados
documentos fuente (en formato electrónico o impresos en papel), registros e información de
corroboración utilizados para apoyar la auditoría
documentación sobre la realización del trabajo y su cumplimiento con las leyes, regulaciones y
políticas aplicables
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
70 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2205.3.4 Los procedimientos usados para recopilar la evidencia dependen de las características del sistema de
información que se audita, el cronograma de la auditoría, el alcance y los objetivos de la auditoría y el
juicio profesional. La evidencia puede recopilarse a través del uso de procedimientos de auditoría
manuales, técnicas de auditoría asistida por ordenador (CAATs) o una combinación de ambas. Los
profesionales deben seleccionar el procedimiento más apropiado para cada objetivo de auditoría de TI.
Se deben considerar los procedimientos siguientes:
Consulta y confirmación—El proceso de búsqueda de información de especialistas que están
familiarizados con la materia. Los especialistas no tienen por qué ser miembros de la empresa
que se audita. Este procedimiento puede ir desde solicitudes formales por escrito a solicitudes
informales verbales.
Observación—Observar la realización de un procedimiento o proceso por aquellos individuos que
son normalmente responsables de su realización u observar elementos físicos, como
instalaciones, hardware informático, o ajustes o configuraciones de sistemas de información. Este
tipo de evidencia se limita al momento justo en el que tuvo lugar la observación. Los profesionales
deben tener en cuenta que observar la realización de un proceso o procedimiento puede afectar el
modo en que se realiza el procedimiento o proceso.
Inspección—Examen de documentos y registros internos o externos. Los elementos a
inspeccionar pueden suministrarse en papel o en formato electrónico. La inspección también
puede incluir el examen de activos físicos.
Procedimientos analíticos—Evaluar datos examinando las posibles relaciones dentro de los datos
o entre los datos y otra información relevante. Esto también incluye el examen de fluctuaciones,
tendencias y relaciones incoherentes.
Recálculo/computación—El proceso de comprobar la precisión aritmética y matemática de
documentos o registros bien manualmente o a través del uso de CAATs.
Re-ejecución—Realización independiente de procedimientos y/o controles que se ejecutaron
originalmente por el sistema de información o por la propia empresa.
Otros métodos generalmente aceptados—Otros procedimientos generalmente aceptados que los
profesionales pueden seguir a la hora de recopilar información adecuada y suficiente, como
participar en ingeniería social, actuar como invitado de incógnito o llevar a cabo pruebas de
intrusión ética.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
71
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2205.3.8 Los profesionales deben conservar la evidencia tras completar el trabajo de auditoría para garantizar
que la evidencia esté:
disponible por un período de tiempo y en un formato que cumplan con las políticas de la
organización y estándares, leyes y regulaciones profesionales relevantes
protegida de modificaciones o divulgaciones no autorizadas durante su preparación y retención
eliminada correctamente al final del período de retención
2205.4.1 La evidencia es suficiente y adecuada cuando proporciona una base razonable para respaldar los
hallazgos o conclusiones dentro del contexto de los objetivos de la auditoría. Si, a juicio del profesional,
la evidencia no cumple con estos criterios, el profesional debe obtener evidencia adicional o realizar
procedimientos adicionales para reducir las limitaciones o incertidumbres relacionadas con la
evidencia. Por ejemplo, el listado del programa puede no ser una evidencia adecuada hasta que se haya
recopilado otra evidencia para verificar que representa el programa realmente utilizado en el proceso
de producción.
2205.4.2 A la hora de evaluar la fiabilidad de la evidencia obtenida durante una auditoría, los profesionales deben
considerar las características y propiedades de la evidencia, como su fuente, naturaleza (escrita, verbal,
visual o electrónica), autenticidad (presencia de firmas digitales o manuales, sellos de fecha/hora) y las
relaciones de cada evidencia que proporcionan una corroboración por múltiples fuentes. En general, la
fiabilidad de la evidencia se clasifica de baja a alta dependiendo de los procedimientos usados para
obtener la evidencia, como sigue:
consulta y confirmación
observación
inspección
procedimientos analíticos
repetición del cálculo o computación
re-ejecución
Para cada uno de los procedimientos anteriores, la fiabilidad de la evidencia es generalmente mayor
cuando:
está escrita, en lugar de obtenerse de expresiones verbales
es obtenida directamente por el profesional en lugar de indirectamente por la entidad que se está
auditando
es obtenida de fuentes independientes
es certificada por una entidad independiente
es mantenida por una entidad independiente
2205.4.3 Los profesionales deben considerar el tiempo durante el cual la información existe o está disponible al
determinar la naturaleza, el cronograma y la extensión de las pruebas sustantivas y, si fuera aplicable,
las pruebas de cumplimiento. Por ejemplo, la evidencia de auditoría procesada por intercambio de
datos electrónicos (EDI), procesamiento de imágenes de documentos y hojas de cálculo pueden no ser
usada después de un período de tiempo determinado si los cambios a los archivos no son controlados
o si los archivos no son respaldados. La disponibilidad de la información también puede verse
impactada por las políticas de retención de documentos de la empresa.
2205.4.4 Si hay una auditoría de terceros independiente, los profesionales deben considerar si se realizaron las
pruebas de controles para la materia de la auditoría, y si se puede dar fiabilidad a los resultados de
esas pruebas.
2205.4.5 Los profesionales deben obtener evidencia objetiva que sea suficiente y adecuada para permitir que
una entidad independiente cualificada pueda repetir la ejecución de las pruebas y obtener los mismos
resultados y conclusiones.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
72 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2205.5.1 Durante la realización de la auditoría, los profesionales deben documentar la evidencia obtenida y
garantizar que la documentación es retenida y está disponible por un período de tiempo predefinido, en
un formato que cumpla con las políticas empresariales y estándares profesionales, leyes y
regulaciones relevantes.
2205.5.2 La evidencia obtenida durante la realización de la auditoría deberá identificarse adecuadamente,
referenciarse y catalogarse para facilitar la determinación de la suficiencia y adecuación global de la
evidencia. Estos pasos son necesarios para proporcionar una base razonable para los hallazgos y
conclusiones dentro del contexto de los objetivos de la auditoría, y permiten una fácil recuperación por
parte de otros miembros del equipo de auditoría de TI o un independiente.
2205.5.3 Los profesionales deben asegurar que la documentación de la evidencia esté protegida de acceso no
autorizado, divulgación o modificación durante su preparación y retención. Los periodos de retención
podrían verse influidos por requerimientos externos. Por ejemplo, para empresas sujetas a los
requerimientos de la Comisión de intercambio y seguridad de EE.UU., los auditores financieros deben
conservar determinados registros durante un periodo de siete años tras la finalización de la auditoría o
revisión.11
2205.5.4 Los profesionales deben eliminar la evidencia al término del período de retención.
Objetivo de gestión
Propósito
COBIT 2019
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes,
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
1
1
US Securities and Exchange Commission (SEC), “Regla Final: Retención de registros relevantes para auditorías y revisiones,”
www.sec.gov/rules/final/33-8180.htm#:~:text=Under%20the%20new%20rule%2C96,of%20the%20audit%20or%20review
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
73
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Declaraciones 1206.1 Los profesionales de auditoría y aseguramiento de TI deben considerar el uso del trabajo de
otros expertos para la asignación, cuando sea apropiado.
1206.2 Los profesionales de auditoría y aseguramiento de TI deben evaluar y aprobar la idoneidad de
las cualificaciones profesionales, competencias, experiencia relevante, recursos, independencia y
procesos de control de calidad de otros expertos antes de la asignación.
1206.3 Los profesionales de auditoría y aseguramiento de TI deben evaluar, revisar y valorar el trabajo
de otros expertos como parte de la asignación, y documentar la conclusión sobre el uso y la confianza
en su trabajo.
1206.4 Los profesionales de auditoría y aseguramiento de TI deben determinar si el trabajo de otros
expertos, que no forman parte del equipo de asignación, es adecuado y completo para concluir acerca
de los objetivos de la asignación actual. Los profesionales también deberían documentar claramente la
conclusión.
1206.5 Los profesionales de auditoría y aseguramiento de TI deben determinar si se podrá depender
del trabajo de otros expertos y se incorporará directamente o se hará referencia al mismo de manera
separada en el informe.
1206.6 Los profesionales de auditoría y aseguramiento de TI deben aplicar procedimientos adicionales
de prueba para obtener evidencia suficiente y apropiada en los casos en que el trabajo de otros
expertos no brinde evidencia suficiente y apropiada.
1206.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una opinión o conclusión
de la auditoría e incluir cualquier limitación al alcance cuando no se obtenga la evidencia requerida
mediante los procedimientos de prueba adicionales.
2206.1 Introducción Esta directriz brinda una guía a los profesionales de auditoría y aseguramiento de TI para considerar el
uso del trabajo de otros expertos. La sección de contenido de la directriz se estructura para proporcionar información sobre los
temas de auditoría y asignación de aseguramiento clave siguientes:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
74 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2206.2.1 Los profesionales que no cuentan con las competencias requeridas para realizar una asignación de
auditoría en parte o en su totalidad, deben considerar buscar la asistencia de otros expertos con las
habilidades necesarias.
2206.2.2 Debe considerarse el trabajo de otros expertos cuando existen limitaciones que podrían impedir el
trabajo de auditoría que debe realizarse, como falta de conocimiento técnico requerido por la
naturaleza de las tareas a realizar, escasos recursos de auditoría, limitaciones de tiempo y posibles
problemas de independencia. El uso de otros expertos también debe considerarse si fuera a mejorar la
calidad de la asignación.
2206.2.3 No se espera que los profesionales tengan un nivel de conocimiento equivalente al de los otros
expertos. Los profesionales deben, sin embargo, tener el conocimiento suficiente del trabajo realizado
para poder guiar y revisar el trabajo de otros expertos. A la hora de depender del trabajo de otros, los
profesionales deben presentar evidencia objetiva que verifique la competencia y nivel de habilidades de
los expertos.
2206.2.4 Los profesionales deben basar su elección de expertos específicos y el uso del trabajo de otros
expertos en criterios objetivos.
2206.2.5 Los profesionales deben comunicar y documentar los requerimientos del desempeño a otros expertos
en un contrato o acuerdo anterior al inicio del trabajo en la asignación por parte de los expertos.
2206.2.6 Si se prohíbe el acceso de otros expertos a los registros o sistemas debido a las políticas internas de la
empresa, los profesionales deben determinar el alcance adecuado del uso y dependencia del trabajo de
los otros expertos.
2206.2.7 Si no se pueden obtener los expertos requeridos, los profesionales deben documentar el impacto en
alcanzar los objetivos de auditoría, e incluir en el plan de la asignación tareas específicas para
gestionar el riesgo de auditoría resultante. Si el riesgo de auditoría resultante no puede gestionarse,
puede que los profesionales deban declinar la asignación de la auditoría.
2206.2.8 Los profesionales de auditoría y aseguramiento de TI pueden depender de los informes del Control de
Sistema y Organización (CSO) como parte de sus revisiones.
2206.3.1 Si una asignación de auditoría implica el uso del trabajo de otros expertos, los profesionales deben
considerar la adecuación de los otros expertos al planificar el trabajo de auditoría de TI, evaluando las
cualificaciones, competencias, experiencia relevante, recursos y uso de los procesos de control de
calidad de los otros expertos.
2206.3.2 Los profesionales deben considerar la independencia y objetividad de otros expertos antes de basarse
en su trabajo. Los procesos de selección y nombramiento, el estado organizativo, la línea de informe, y
el efecto de las recomendaciones de los otros expertos sobre las prácticas de la gestión son
indicadores típicos de la independencia y objetividad de los otros expertos.
2206.4.1 Los profesionales deben verificar que el estatuto de auditoría o carta de compromiso especifique su
derecho de acceso al trabajo de los otros expertos. Los profesionales deben tener acceso a todos los
papeles de trabajo, documentación de apoyo y informes creados por otros expertos, cuando dicho
acceso no ocasione problemas legales o de privacidad.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
75
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2206.4.2 Los profesionales deben considerar las actividades de otros expertos y sus efectos en los objetivos de
la auditoría de TI al planificar el trabajo de auditoría de TI, incluido:
llegar a comprender el alcance del trabajo, enfoque, cronograma y uso de procesos de control de
calidad de los otros expertos
determinar el nivel de revisión requerida
2206.4.3 La naturaleza, cronograma y alcance de la evidencia de auditoría requerida dependerá de la
importancia y el alcance del trabajo de los otros expertos. Durante el proceso de planificación, los
profesionales deben identificar el nivel de revisión requerido para proporcionar una evidencia de
auditoría suficiente y adecuada para alcanzar todos los objetivos de la auditoría de TI eficazmente. Los
profesionales deben revisar el informe final, la metodología o programas de auditoría, y los papeles de
trabajo de los otros expertos.
2206.4.4 Al revisar los papeles de trabajo, los profesionales deben valorar si el trabajo de otros expertos se ha
planificado, supervisado, documentado y revisado de forma adecuada, para considerar la adecuación y
suficiencia de la evidencia de auditoría proporcionada y determinar hasta qué punto se usa y se
depende del trabajo de los expertos. Esta valoración puede incluir una prueba adicional del trabajo de
otros expertos. El cumplimiento con estándares profesionales relevantes también debe valorarse. En
general, los profesionales deberían valorar si el trabajo de otros expertos es adecuado y completo para
permitirles alcanzar los objetivos de la auditoría de TI y documentar una conclusión.
2206.4.5 Los profesionales deben realizar suficientes revisiones de los informes finales de otros expertos para
confirmar que:
El alcance especificado en el estatuto de auditoría, los términos de referencia o la carta de
compromiso se han cumplido.
Se ha identificado cualquier asunción significativa por parte de los otros expertos.
Los hallazgos y conclusiones informados están respaldados adecuadamente por la evidencia.
2206.5.1 Las interdependencias entre los clientes y proveedores en cuanto al procesamiento y externalización
(outsourcing) de actividades no principales contribuyen a un entorno de auditoría complejo. Partes del
entorno auditadas pueden controlarse y auditarse por otras funciones o empresas independientes. La
empresa que externalice recibirá informes de esos terceros sobre el entorno de control de las
operaciones externalizadas. En algunos casos, estas operaciones pueden disminuir la necesidad de
cobertura de auditoría de TI, aunque los profesionales no tengan acceso a la documentación de apoyo
y a los papeles de trabajo. Los profesionales deben ser cautos al proporcionar una opinión en tales
casos.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
76 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2206.5.2 Los profesionales deben valorar la utilidad y adecuación del trabajo realizado por otros expertos y
considerar cualquier hallazgo significativo reportado por los otros expertos. Los profesionales son
responsables de determinar hasta qué punto se podrá depender del trabajo de otros expertos,
incorporarlo directamente o referirse al mismo de manera separada en el informe. Los profesionales
también deberían valorar el efecto de los hallazgos y conclusiones de otros expertos sobre el objetivo
global de auditoría de TI. Los profesionales también deben verificar que se realice cualquier trabajo
adicional requerido para cumplir con el objetivo global de auditoría de TI. Todas las afirmaciones
hechas por otros expertos deben ser verificadas y aprobadas formalmente por la gerencia. Puede
encontrarse una guía detallada en esta materia en Estándar 1007 Afirmaciones.
2206.6.1 Basado en la valoración del trabajo de otros expertos, los profesionales deben aplicar procedimientos
adicionales de prueba para obtener evidencia de auditoría suficiente y apropiada si el trabajo de otros
expertos no provee dicha evidencia.
2206.6.2 Los profesionales deben considerar si se requieren pruebas adicionales al trabajo de otros expertos.
2206.7.1 Si es responsabilidad del profesional de formular una opinión o conclusión de la auditoría. Los
profesionales deben determinar si el trabajo realizado por otros expertos es suficiente para respaldar
una opinión o conclusión de auditoría.
2206.7.3 Las opiniones y comentarios de los profesionales sobre la adopción y relevancia del informe de los
otros expertos deben formar parte del informe de asignación de auditoría si el informe de los expertos
se utiliza para formar la opinión de los profesionales.
2206.7.4 Si corresponde, los profesionales deben considerar hasta qué punto ha implementado la gerencia
alguna de las recomendaciones de otros expertos. Esto debe incluir la valoración de si la gerencia está
comprometida con la resolución de los problemas identificados por otros expertos dentro de los plazos
adecuados y el estatus actual de resolución.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
77
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Objetivo de gestión
Propósito
COBIT 2019
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
2207.1 Introducción Esta directriz detalla las responsabilidades de la gerencia y los profesionales de auditoría y
aseguramiento de TI con respecto a las irregularidades y actos ilegales. La sección de contenido de la directriz se estructura
para proporcionar información sobre los siguientes temas de la asignación de auditoría y aseguramiento:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
78 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.2.1 Las irregularidades y actos ilegales pueden impactar directamente en una empresa en multitud de
formas negativas, afectando a finanzas y reputación, e indirectamente a la productividad y la retención
de empleados. Es importante que las empresas sean conscientes y cuenten con mecanismos de
prevención y detección para identificar irregularidades y actos ilegales rápidamente. Las
irregularidades y actos ilegales pueden ocurrir con más probabilidad si los controles no funcionan bien,
están mal diseñados o no existen.
2207.2.2 Las irregularidades y actos ilegales pueden ser cometidos por un empleado de cualquier nivel dentro
de una empresa. Esto incluye actividades como, sin estar limitadas a:
fraude, que es cualquier acto que implique el uso de engaño para obtener una ventaja ilegal
representación errónea deliberada de hechos con el objeto de adquirir una ventaja o esconder
irregularidades o actos ilegales
actos que impliquen el incumplimiento de leyes y regulaciones, incluido no asegurar que los
sistemas o procesos de TI cumplan con las leyes y regulaciones vigentes
divulgación no autorizada de datos sujetos a privacidad
prácticas de retención de datos que violan las leyes y regulaciones de privacidad aplicables
actos que implican el incumplimiento de los acuerdos y contratos de terceros, como bancos,
proveedores, distribuidores, proveedores de servicio y partes interesadas, con la empresa
manipulación, falsificación, fraude o alteración de registros o documentos, ya sean electrónicos o
en papel
supresión u omisión de los efectos de las transacciones, ya sean electrónicas o en papel
filtración inapropiada o deliberada de información confidencial
registro de transacciones (ya sean electrónicas o en papel) que carezcan de sustancia y se sepan
falsas - por ejemplo, gastos falsos, fraude en nóminas, evasión de impuestos
apropiación indebida y mal uso de activos
Skimming o desfalco, que es la apropiación indebida de dinero en efectivo antes de que se registre
en los registros financieros de la empresa.
actos que violan los derechos de la propiedad intelectual (PI), como derechos de autor, marcas
comerciales y patentes, ya sean voluntarios o involuntarios
otorgar acceso no autorizado a la información y sistemas
errores en registros financieros u otros registros que surgen debido al acceso no autorizado a
datos y sistemas
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
79
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.2.5 Puede haber casos en los que un profesional experimente represalias o intimidación tras haber
reportado posibles actos ilegales o fraude. Teniendo en cuenta todas las partes implicadas, el ejecutivo
jefe de auditoría (o vicepresidente/director de auditoría), la dirección ejecutiva, y aquellos encargados
del gobierno y supervisión de la función de auditoría (por ejemplo, el consejo de dirección y/o el comité
de auditoría) deben colaborar con el asesor legal para abordar la cuestión. Sus esfuerzos deben incluir
acciones que resuelvan los problemas relacionados con las amenazas o intimidación y pueden incluir
la coordinación con las agencias de las fuerzas del orden locales.
2207.3.3 La gerencia debe comunicar a los profesionales su conocimiento sobre cualquier irregularidad o acto
ilegal, las áreas afectadas y cualquier acción llevada a cabo, ya sean dichos actos alegados,
sospechados o probados.
2207.3.4 Si se alega, sospecha o detecta un acto de una naturaleza irregular o ilegal, la gerencia debe ayudar en
el proceso de investigación e indagación.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
80 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.4.1 Los profesionales deberían considerar definir en el estatuto de auditoría las responsabilidades de la
gerencia y las responsabilidades de la gerencia de auditoría y aseguramiento de TI con respecto a la
prevención, detección ye informe de irregularidades para que se comprendan claramente para todo el
trabajo de auditoría. Cuando estas responsabilidades se documentan en la política de la empresa o un
documento similar, el estatuto de auditoría debe incluir una declaración a tal efecto.
2207.4.2 Los profesionales deben comprender que los mecanismos de control no pueden eliminar por completo
la posibilidad de que ocurran irregularidades o actos ilegales. Los profesionales son responsables de
valorar el riesgo de irregularidades o actos ilegales, evaluar el impacto de las irregularidades
identificadas y diseñar y realizar pruebas que sean adecuadas para la naturaleza de la asignación de
auditoría.
2207.4.3 Los profesionales no son responsables de la prevención o detección de irregularidades o actos
ilegales. Una asignación de auditoría no puede garantizar que se detectarán irregularidades. Incluso si
una auditoría se planifica y ejecuta adecuadamente, las irregularidades pueden pasar desapercibidas,
por ejemplo, si hay una connivencia entre empleados, o una connivencia entre empleados y externos, o
si la gerencia está implicada en las irregularidades. El objetivo es determinar que el control está
implantado, es adecuado, efectivo y se ejecuta.
2207.4.4 Los profesionales que tienen información específica sobre la existencia de una irregularidad o acto
ilegal tienen la obligación de reportarlo.
2207.4.5 Los profesionales deben informar a la gerencia y aquellos encargados del gobierno si han identificado
situaciones en las que hay un nivel de riesgo más alto de que se produzca una posible irregularidad o
acto ilegal, incluso si no se detecta ninguna.
2207.4.6 Los profesionales deben estar razonablemente familiarizados con el área que se revisa para poder
identificar los factores de riesgo que podrían contribuir a que tengan lugar actos irregulares o ilegales.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
81
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.5.1 Los profesionales deben valorar el riesgo de que ocurran irregularidades o actos ilegales conectados
con el área auditada siguiendo el uso de metodología adecuada. Al preparar esta evaluación, los
profesionales deben considerar factores como:
las características organizativas, como ética corporativa, estructura organizativa, adecuación de la
supervisión, estructuras de compensación y remuneración, el alcance de las presiones de
desempeño corporativas y la dirección empresarial
la historia de la empresa, casos pasados de irregularidades, y las actividades subsiguientes
llevadas a cabo para mitigar o minimizar los hallazgos relacionados con las irregularidades
los cambios recientes en la gerencia, operaciones o sistemas de TI, y la dirección estratégica
actual de la empresa
impactos que derivan en nuevas asociaciones estrategias
tipos de activos retenidos o servicios ofrecidos y su susceptibilidad a irregularidades
evaluación de la fortaleza de los controles relevantes y las vulnerabilidades que podrían permitir
que se evitara o saltara el establecimiento de controles
requerimientos legales o regulatorios vigentes
políticas internas, como política de protección de denunciantes, y códigos de ética de empleados y
gerencia
relaciones de partes interesadas y mercados financieros
capacidades de recursos humanos
confidencialidad e integridad de información de negocio que sea crítica
hallazgos de auditorías anteriores
la industria y el entorno competitivo en el que opera la empresa
hallazgos de revisiones llevadas a cabo fuera del alcance de la auditoría, como hallazgos de
consultores, equipos de aseguramiento de calidad o investigaciones específicas de la gerencia
hallazgos de la conducta empresarial diaria
existencia de documentación del proceso y/o sistema de gestión de la calidad (SGC).
la sofisticación y complejidad técnica de los sistemas de información que respaldan el área
auditada
la existencia de aplicaciones desarrolladas/mantenidas internamente para los principales
procesos de negocio frente a software paquetizado
efectos de la insatisfacción de empleados
posibles despidos, externalizaciones, desinversiones o restructuraciones
existencia de activos que son fácilmente susceptibles de malversación
mala organización financiera y/o desempeño operativo
actitud de la gerencia con respecto a la ética
irregularidades y acciones ilegales que son comunes a una industria particular o que han ocurrido
en empresas similares
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
82 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.5.2 Como parte del proceso de planificación y realización de valoración de riesgos, los profesionales deben
preguntar a la gerencia, y obtener representaciones por escrito si corresponde, acerca de lo siguiente:
la comprensión de la gerencia en cuando al nivel de riesgo de irregularidades y actos ilegales en la
empresa
si la gerencia tiene conocimiento de irregularidades y actos ilegales que han o podrían haber
ocurrido dentro de la empresa o que podrían haberse dirigido hacia ella
responsabilidad de la dirección en el diseño y la implementación de controles internos que
prevengan irregularidades o actos ilegales
cómo se monitorea o gestiona el riesgo de irregularidades o actos ilegales
qué procesos existen para comunicar irregularidades o actos ilegales alegados, sospechados o
existentes a las partes interesadas correspondientes
legislación nacional y regional vigente en la jurisdicción en que opera la organización y el alcance
de la coordinación del departamento jurídico con el comité de riesgos y/o el comité de auditoría
2207.6.1 Los profesionales no tienen responsabilidad explícita de detectar o evitar irregularidades o actos
ilegales, pero pueden diseñar procedimientos para la asignación de auditoría que tengan en cuenta las
irregularidades y actos ilegales que se han identificado.
2207.6.2 Los profesionales deben usar los resultados de la valoración de riesgos para determinar la naturaleza,
cronograma y alcance de las pruebas requeridas para obtener suficiente evidencia de auditoría que
asegure razonablemente que se identifiquen:
irregularidades que podrían tener un efecto significativo en el área auditada o en la empresa en su
conjunto
debilidades de control que acabarían en un fallo a la hora de prevenir o detectar irregularidades
materiales
todas las deficiencias significativas en el diseño y operación de los controles internos que podrían
afectar potencialmente la capacidad del emisor de registrar, procesar, resumir e informar de los
datos del negocio
2207.6.3 Los profesionales deben revisar los resultados de los procedimientos de asignación para poder
determinar si hay indicios de que se hayan producido irregularidades o actos ilegales. El uso de
técnicas de auditoría asistida por ordenador (CAAT) puede ayudar considerablemente en la detección
efectiva y eficaz de irregularidades o actos ilegales.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
83
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.6.4 A la hora de evaluar los resultados de los procedimientos de asignación, los factores de riesgo
identificados deben revisarse con respecto a los procedimientos realizados para proporcionar un
aseguramiento razonable de que se han abordado todos los riesgos identificados.
2207.7.1 Durante una asignación de auditoría, puede que los profesionales vean indicadores de la
existencia de irregularidades o actos ilegales. Deben considerar el efecto potencial de las
irregularidades o actos ilegales sobre la materia de la asignación, los objetivos de la auditoría, el
informe de asignación de la auditoría y la empresa.
2207.7.2 Los profesionales deben demostrar una actitud de escepticismo profesional. Los indicadores (a
veces llamados «fraude» o «banderas rojas») de personas que cometen irregularidades o actos
ilegales incluyen:
anulación de controles por parte de la gerencia
comportamiento de la gerencia irregular o mal explicado
desempeño excesivo constante, comparado con los objetivos establecidos
problemas o retrasos al recibir la información o evidencia solicitada
transacciones que no siguen los ciclos de aprobación normales
aumento de actividad de un cliente determinado
aumento de reclamaciones de un cliente determinado
desvío de controles de acceso para algunas aplicaciones o usuarios
Los profesionales deben prestar especial atención si notan cualquiera de estos indicadores.
2207.7.3 Si los profesionales son conscientes de cualquier información relativa a una posible irregularidad
o acto ilegal, deben considerar llevar a cabo los pasos siguientes tras recibir el asesoramiento de
la autoridad jurídica pertinente:
llegar a entender la naturaleza del acto
comprender las circunstancias en las que ha ocurrido el acto
recopilar evidencia del acto (por ejemplo, cartas, registros del sistema, archivos de
ordenador, registros de seguridad e información de clientes o proveedores)
identificar a todas las personas implicadas en cometer el acto obtener suficiente
información de soporte para evaluar el efecto del acto
realizar procedimientos adicionales limitados para determinar el efecto del acto y si existen
actos adicionales
documentar y preservar toda la evidencia y trabajo realizado
2207.7.4 Tras dar los pasos adecuados relacionados con una posible irregularidad o acto ilegal, los
profesionales deben consultar con la gerencia de la auditoría para determinar las acciones
siguientes, como informar sobre el «evento» a la gerencia de la empresa, dejar otras acciones a
los investigadores de fraude interno y/o reportarlo a las fuerzas del orden o los reguladores.
2207.7.5 Cuando una irregularidad implique a un miembro de la gerencia, los profesionales deben
reconsiderar la fiabilidad de las representaciones hechas por la gerencia. Los profesionales
deben trabajar con el nivel adecuado de gerencia, normalmente el nivel de gerencia superior al
asociado con la irregularidad o acto ilegal.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
84 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.8.1 Los profesionales deben comunicar la detección de irregularidades y actos ilegales a las personas
adecuadas de la empresa por escrito o verbalmente y de manera oportuna. La notificación debe ser
dirigida a la gerencia a un nivel superior al nivel en el que se sospecha que tuvieron lugar las
irregularidades y actos ilegales. Además, las irregularidades y actos ilegales deben reportarse a
aquellos encargados del gobierno de la empresa, como el consejo directivo, consejo de administración,
comité de auditoría u organismo equivalente. Los asuntos que sean claramente inmateriales en
términos de efectos financieros e indicaciones de debilidades de control pueden no requerir ser
reportados a un nivel superior.
Si los profesionales sospechan que todos los niveles de gerencia están implicados, entonces los
hallazgos deben ser comunicados confidencialmente a aquellos encargados del gobierno de la
empresa, como el consejo directivo, consejo de administración, comité de auditoría u organismo
equivalente, conforme a las leyes y regulaciones locales vigentes. Las leyes y regulaciones locales
podrían prohibir informar a otras partes distintas a la autoridad legal estipulada.
2207.8.2 Los profesionales deberán usar el criterio profesional a la hora de reportar una irregularidad o acto
ilegal. Deberán comentar los hallazgos y la naturaleza, el cronograma y el alcance de otros
procedimientos a realizar con el nivel de gerencia adecuado, al menos un nivel superior al nivel de los
individuos que parecen implicados. En estas circunstancias es especialmente importante que los
profesionales mantengan su independencia.
2207.8.3 Los profesionales deben considerar cuidadosamente a qué individuos incluir en la distribución interna
de informes de irregularidades o actos ilegales. La identificación de la ocurrencia y efectos de las
irregularidades o actos ilegales es un asunto sensible, y la distribución del informe lleva asociada
riesgos, incluidos:
un abuso mayor de las debilidades de control como resultado de la publicación de sus detalles
pérdida de clientes, proveedores e inversores cuando se produzca la publicación (autorizada o
desautorizada) fuera de la empresa
pérdida de personal y gerencia clave, incluidos aquellos que no están implicados en la
irregularidad o acto ilegal, debido a una menor confianza en la gerencia y el futuro de la empresa
2207.8.4 Los profesionales deben considerar informar sobre la irregularidad o acto ilegal independientemente de
cualquier otro problema de auditoría como una forma de controlar la distribución del informe.
2207.8.5 Los profesionales deben evitar alertar a cualquier persona que pudiera estar implicada o involucrada en
la irregularidad o acto ilegal, para minimizar el potencial de esos individuos de destruir o suprimir la
evidencia.
2207.8.6 El estatuto de auditoría debe definir las responsabilidades de los profesionales en relación con el
informe de irregularidades o actos ilegales.
2207.9.1 El informe externo de fraude, irregularidades o actos ilegales puede ser una obligación legal o
regulatoria. La obligación puede aplicarse a la gerencia de la empresa, a los individuos implicados en
detectar las irregularidades o a ambos. Los requerimientos legales de informes por parte del auditor
están sujetos a la jurisdicción local y prevalecen sobre la política interna y/o acuerdos contractuales.
Entre las situaciones adicionales que pueden requerir informes externos están:
el cumplimiento de requerimientos legales o regulatorios
orden judicial
a implicación de agencias de financiación o gubernamentales, según los requerimientos de
auditoría sobre las entidades que reciben ayuda financiera gubernamental
solicitudes de auditores externos
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
85
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
2207.9.2 Si se requieren informes externos, la forma y contenido de la información reportada debe aprobarse por
el nivel adecuado de gerencia de auditoría y aseguramiento de TI y ser revisado con la dirección
ejecutiva del auditado antes de su publicación externa, a menos que esté prohibido por las
regulaciones vigentes o circunstancias específicas de la asignación de auditoría. Entre los ejemplos de
circunstancias específicas que podrían desaconsejar la obtención del acuerdo de la dirección ejecutiva
auditada están:
la implicación activa de la dirección ejecutiva auditada en la irregularidad o acto ilegal
el consentimiento pasivo de la dirección ejecutiva auditada de la irregularidad o acto ilegal
2207.9.3 Si la dirección ejecutiva auditada no presta su acuerdo a la publicación externa del informe, y si la
presentación del informe externa es una obligación estatutaria o regulatoria, entonces los
profesionales deben considerar consultar con el comité de auditoría y el asesor legal acerca de si es
aconsejable y los riesgos de reportar los hallazgos fuera de la empresa. Incluso en situaciones en las
que los profesionales están protegidos por el privilegio de abogado-cliente, deben buscar asesoría y
consejo legal externo antes de publicar externamente para confirmar que están de hecho protegidos
por el privilegio de abogado-cliente.
2207.9.4 Con la aprobación de la gerencia de la auditoría y aseguramiento de TI, los profesionales deben
informar de las irregularidades o actos ilegales a los reguladores pertinentes en su debido momento. Si
la empresa no revela una irregularidad o acto ilegal conocido o requiere que los profesionales eliminen
estos hallazgos, los profesionales deben buscar asesoría y ayuda legal.
2207.9.5 Si los profesionales detectan una irregularidad o acto ilegal, deben informar a los auditores externos de
forma oportuna.
2207.9.6 Si los profesionales son conscientes de que la gerencia debe reportar actividades fraudulentas a una
organización exterior, los profesionales deben avisar formalmente a la gerencia de su responsabilidad.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
86 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
87
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE DESEMPEÑO
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
88 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
ESTÁNDARES DE INFORMES
Declaraciones 1401.1 Los profesionales de aseguramiento y auditoría de TI deben proporcionar un informe para
comunicar los resultados al concluir la asignación.
1401.2 Los profesionales de aseguramiento y auditoría de TI deben garantizar que los hallazgos en el
informe de auditoría estén respaldados por una evidencia suficiente y apropiada.
2401.1 Introducción Esta directriz detalla todos los aspectos que deben estar incluidos en un informe de encargo de auditoría
y proporciona a los profesionales de auditoría y aseguramiento de TI las consideraciones que deben tener en cuenta al elaborar
y finalizar un informe de encargo de auditoría. La sección de contenido de la directriz se estructura para proporcionar
información sobre los siguientes temas clave de auditoría y asignación de aseguramiento:
2401.2.1 El informe de auditoría debe incluir una declaración de que la auditoría se ha llevado a cabo en
conformidad con los estándares de auditoría y aseguramiento de TI de ISACA u otros estándares
profesionales aplicables: cualquier incumplimiento de estos estándares debe mencionarse
explícitamente en el informe.
El alcance de la asignación de auditoría también debe incluirse en el informe de auditoría. El alcance
incluye la identificación o descripción de la materia o actividad de la auditoría, el periodo bajo revisión y
el periodo en que se realizó la auditoría, la naturaleza y alcance del trabajo realizado y cualquier
cualificación o limitación del alcance.
2401.2.2 El informe de auditoría debe incluir un resumen del trabajo realizado, que ayudará a los usuarios
objetivo del informe a entender mejor la naturaleza del aseguramiento proporcionado.
2401.2.3 El informe de auditoría debe incluir una sección con la opinión del auditor. Al desarrollar un informe de
auditoría, los profesionales deben considerar toda la evidencia relevante, independientemente de si
parece corroborar o contradecir la información sobre la materia objeto de análisis. Las opiniones deben
estar respaldadas por los resultados de los procedimientos de control basado en criterios
identificados. Los profesionales deben concluir si se ha obtenido evidencia suficiente y adecuada para
respaldar las conclusiones del informe del encargo de auditoría.
El informe debe expresar una opinión sobre si, en todos los aspectos materiales, el diseño y/o el
funcionamiento de los procedimientos de control en relación con el área de actividad fueron efectivos.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
89
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
2401.2.4 El informe de auditoría debe incluir una declaración que identifique la fuente de la representación de la
gerencia acerca de la eficacia de los procedimientos de control. Además, debe tenerse en cuenta que el
mantenimiento de una estructura de control interna efectiva, incluidos procedimientos de control para
el área de actividad, es responsabilidad de la gerencia.
2401.3.1 Los eventos que tienen un impacto significativo en la materia o actividad de la auditoría ocurren a
veces tras las pruebas, pero con anterioridad a la fecha de publicación del informe de auditoría. Dichas
ocasiones, referidas como eventos subsiguientes, pueden precisar su publicación porque podrían
cambiar una afirmación o una conclusión. En la realización de un encargo de auditoría, los
profesionales deberían considerar la información sobre eventos subsiguientes que les llamen la
atención. Sin embargo, los profesionales no tienen la responsabilidad de detectar eventos posteriores.
2401.3.2 Los profesionales deben obtener representaciones escritas de la gerencia de que no se han producido
eventos posteriores.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
90 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
2401.4.1 Los profesionales deben comentar el contenido del borrador del informe con la gerencia en el área
antes de la finalización y divulgación, e incluir la respuesta de la gerencia a los hallazgos, conclusiones
y recomendaciones en el informe final.
2401.4.2 Los profesionales deben comunicar deficiencias significativas y debilidades en el entorno de control a
los responsables del gobierno y, cuando corresponda, a la autoridad responsable. Deben también
recoger explícitamente en el informe que se han comunicado deficiencias y debilidades
importantes.
2401.4.3 Los profesionales deben comunicar a la gerencia cualquier deficiencia del control interno que sean
menos que significativas, pero más que irrelevantes. En esos casos, los profesionales deben notificar a
los encargados del gobierno o de la autoridad responsable de que dichas deficiencias del control
interno han sido comunicadas a la dirección del auditado.
2401.4.4 Los profesionales deben obtener declaraciones escritas de la gerencia reconociendo, al menos, las
afirmaciones siguientes:
La gerencia es responsable de establecer y mantener controles internos adecuados y efectivos,
incluidos sistemas de contabilidad interna y controles administrativos sobre las actividades
operativas y sistemas de información bajo revisión, y actividades para identificar todas las leyes,
normas y regulaciones que gobiernan la materia bajo revisión, y de garantizar el cumplimiento con
las mismas.
Toda la información relativa a los objetivos del encargo se proporcionó al equipo del encargo,
incluyendo, pero sin estar limitada a:
Registros, datos relacionados, archivos electrónicos e informes
Políticas y procedimientos
Personal pertinente
Resultados de auditorías de TI internas y externas, revisiones y valoraciones relevantes
La gerencia es responsable de informar sobre cualquier evento posterior.
La gerencia no tiene conocimiento de ningún fraude o sospecha de fraude, irregularidades y
actos ilegales relacionados con la materia bajo revisión, incluida la gerencia y los empleados
con responsabilidad en el control interno que no se hayan desvelado.
La gerencia no tiene conocimiento de ninguna alegación de fraude o sospecha de fraude,
irregularidades y actos ilegales, que afecten al área bajo revisión recibida en comunicaciones
de empleados, clientes, contratistas u otros que no se hayan desvelado.
La gerencia reconoce la responsabilidad sobre el diseño y la implementación de programas y
controles que prevengan y detecten fraude, irregularidades y actos ilegales.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
91
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
Vinculaciones con COBIT® 2019 para el Estándar 1401 y las Directrices 2401
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM05 Asegurar el Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de la TI que la
compromiso de las comunicación con las partes interesadas sea eficaz y oportuna, y que se establezcan las bases para
partes interesadas los informes con el fin de aumentar el rendimiento. Identificar las áreas de mejora y confirmar que los
objetivos y estrategias relacionados con IIT se ajusten a la estrategia de la empresa.
MEA01 Gestionar la Proporcionar transparencia en el rendimiento y la conformidad e impulsar la consecución de las metas.
monitorización del
rendimiento y la
conformidad
MEA02 Gestionar el Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de
sistema de control controles internos que permita, proporcionar confianza en las operaciones, confianza en el logro de los
interno objetivos de la empresa y una comprensión adecuada del riesgo residual.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
92 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
2402.1 Introducción El propósito de esta directriz es proporcionar una guía para revisar si la gerencia ha tomado medidas
oportunas y adecuadas sobre los hallazgos de la auditoría y las recomendaciones reportadas. La sección de contenido de la
directriz se estructura para proporcionar información sobre los temas clave siguientes de los encargos de auditoría y
aseguramiento:
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
93
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
2402.2.1 Una actividad de seguimiento es un proceso a través del cual los profesionales determinan la
adecuación, efectividad y momento oportuno de las acciones realizadas por la gerencia sobre las
observaciones y recomendaciones reportadas, incluidas aquellas hechas por auditores externos y
otros.
2402.2.2 Debe establecerse un proceso de seguimiento para ayudar a proporcionar un aseguramiento razonable
de que cada revisión llevaba a cabo por los profesionales proporciona un beneficio óptimo para la
empresa requiriendo que los resultados acordados que surgen de las revisiones se implementen
conforme a la decisión de la gerencia, o que la dirección ejecutiva reconozca el riesgo de retrasar o no
implementar los objetivos y/o recomendaciones propuestos.
2402.3.1 Como parte de sus conversaciones con el auditado, los profesionales deben obtener un acuerdo sobre
los resultados del encargo de auditoría y sobre un plan de acción para mejorar las operaciones, según
sea necesario.
2402.3.2 Los profesionales deben comentar con la gerencia las acciones propuestas para implementar o
abordar las recomendaciones reportadas y los comentarios de la auditoría. Las acciones propuestas
deben proporcionarse a los profesionales y deben registrarse como una respuesta de la gerencia en el
informe final con una fecha de acción y/o implementación comprometida.
2402.3.3 Si los profesionales y el auditado llegan a un acuerdo sobre las acciones propuestas, los profesionales
deben iniciar los procedimientos para las actividades de seguimiento.
2402.4.1 La gerencia puede decidir aceptar el riesgo de no corregir un problema reportado por el coste, la
complejidad de la medida correctiva u otras consideraciones. El consejo directivo, o aquellos
encargados del gobierno, deben ser informados de las recomendaciones para las que la gerencia
acepta el riesgo de no corregir la situación reportada. La aceptación del riesgo debe documentarse y
aprobarse formalmente por la dirección ejecutiva y comunicarse a aquellos encargados del gobierno.
2402.4.2 Si los profesionales creen que el auditado ha aceptado un nivel de riesgo residual que es inadecuado
para la empresa, deben comentar el asunto con la gerencia y dirección ejecutiva de auditoría y
aseguramiento de TI. Si los profesionales siguen en desacuerdo con la decisión relacionada con el
riesgo residual, estos, junto con la dirección ejecutiva, deben informar del asunto al consejo o aquellos
encargados del gobierno, para su resolución.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
94 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
2402.5.2 Un sistema de seguimiento automático o base de datos puede ayudar a llevar a cabo las actividades de
seguimiento.
2402.5.3 Entre los factores que deben considerarse para determinar procedimientos de seguimiento adecuados
se incluyen:
La importancia y el impacto de los hallazgos y recomendaciones sobre el entorno de TI y la
aplicación de TI en cuestión
Cualquier cambio en el entorno de TI que pueda afectar a la importancia y el impacto de los
hallazgos y recomendaciones
La complejidad de corregir la situación reportada
El tiempo, coste y esfuerzo necesarios para corregir la situación reportada
El efecto si falla la corrección de la situación reportada
2402.6.1 Las decisiones sobre el cronograma de actividades de seguimiento deben tener en cuenta la
importancia de los hallazgos reportados y el efecto en la estrategia y objetivos de la empresa si las
medidas correctivas no se toman. El calendario de las actividades de seguimiento en relación con el
informe original es una cuestión de criterio profesional dependiente de una serie de consideraciones,
como la naturaleza o magnitud del riesgo y costes asociados a la empresa.
2402.6.2 Como son una parte integral del proceso de auditoría de TI, las actividades de seguimiento deben
programarse junto con los otros pasos necesarios para llevar a cabo cada revisión. Las actividades de
seguimiento específicas y el cronograma de dichas actividades pueden verse influidas por el grado de
dificultad, el riesgo y la exposición implicados, los resultados de la revisión, el tiempo necesario para la
implementación de medidas correctivas, y otros factores, y pueden establecerse consultando con la
gerencia.
2402.6.3 Los profesionales deben hacer seguimiento de los resultados acordados relacionados con problemas
de alto riesgo poco después de la fecha de vencimiento para la acción y pueden monitorearlos de
forma progresiva.
2402.6.4 Se puede hacer un seguimiento conjunto de la implementación de todas las respuestas de la gerencia
a los distintos encargos de auditoría de forma regular (por ejemplo, cada trimestre), aunque las fechas
de implementación comprometidas por la gerencia pudieran ser distintas. Otro enfoque es hacer un
seguimiento de las respuestas de la gerencia individuales según la fecha de vencimiento acordada con
la gerencia.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
95
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
2402.7.1 Al auditado se le da normalmente un plazo dentro del cual debe proporcionar los detalles de las
acciones realizadas para implementar las recomendaciones.
2402.7.2 La respuesta de la gerencia detallando las acciones llevadas a cabo debe evaluarse, si es posible, por
los profesionales que realizaron la revisión original. Siempre que sea posible, debe obtenerse evidencia
de auditoría de las acciones llevadas a cabo.
2402.7.3 Si la gerencia proporciona información sobre las acciones que se realizan para implementar
recomendaciones y los profesionales tienen dudas sobre la información proporcionada o la efectividad
de las acciones llevadas a cabo, deben llevarse a cabo pruebas adecuadas u otros procedimientos de
auditoría para confirmar la verdadera posición y estatus antes de finalizar otras actividades de
seguimiento.
2402.7.4 Como parte de las actividades de seguimiento, los profesionales deben evaluar si las recomendaciones
no implementadas siguen siendo relevantes o tienen un mayor significado. Los profesionales pueden
decidir que la implementación de una recomendación particular ya no es adecuada. Esto podría ocurrir
si los sistemas de aplicaciones han cambiado, si los controles de compensación se han implementado,
o si los objetivos o prioridades del negocio han cambiado de tal forma que se elimine eficazmente o se
reduzca significativamente el riesgo original. De igual forma, un cambio en el entorno de TI puede
aumentar la importancia del efecto de una observación previa y la necesidad de su resolución.
2402.7.5 Podría programarse una encargo de seguimiento para verificar la implementación de acciones críticas
y/o importantes.
2402.7.6 Las opiniones de los profesionales sobre respuesta o acciones no satisfactorias de la gerencia deben
comunicarse al nivel de gerencia adecuado.
2402.8.1 Los profesionales son responsables de la programación de actividades de seguimiento como parte del
desarrollo del calendario del trabajo del encargo. El calendario de seguimientos debe basarse en el
riesgo y exposición implicados y en el grado de dificultad y tiempo necesarios para implementar
medidas correctivas.
2402.8.2 Puede que haya casos en las que los profesionales juzguen que la respuesta oral y por escrito de la
gerencia muestra que la acción llevada a cabo es suficiente cuando se compara con la importancia
relativa de la observación o recomendación del encargo. En dichas ocasiones, las actividades de
verificación de seguimiento pueden realizarse como parte del siguiente encargo que trate con el
sistema o cuestión relevante.
2402.9.1 La forma más eficaz de recibir respuestas de seguimiento de la gerencia es por escrito porque una
respuesta por escrito contribuye a reforzar y confirmar la responsabilidad de la gerencia de la acción de
seguimiento y el progreso alcanzado. Además, las respuestas por escrito garantizan un
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
96 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
ESTÁNDARES DE INFORMES
2402.10.1 Dependiendo del alcance y términos del encargo de auditoría y conforme a los estándares de auditoría
de TI relevantes, los profesionales externos podrían confiar en los profesionales internos para hacer un
seguimiento de las recomendaciones acordadas. Las responsabilidades relacionadas con el
seguimiento pueden determinarse en el estatuto de auditoría o en las cartas de encargo.
2402.11.1 Deberá presentarse un informe sobre el estado de las medidas correctivas acordadas que surgieron de
los informes de los encargos de auditoría, incluidas recomendaciones acordadas no implementadas, al
nivel adecuado de gerencia y aquellos encargados del gobierno (por ejemplo, a comité de auditoría).
2402.11.2 Si, durante un encargo de auditoría posterior, los profesionales vieran que la medida correctiva de la
que la gerencia informó como ¨implementada¨ no se ha implementado, los profesionales deberán
comunicar el estado al nivel adecuado de la gerencia y a los encargados del gobierno. Si fuera
apropiado, los profesionales deben obtener un plan de medidas correctivas actuales y fechas de
implementación planificada.
2402.11.3 Cuando todas las medidas correctivas acordadas se hayan implementado, se podrá enviar un informe
que detalle todas las acciones implementadas y/o completadas a la dirección ejecutiva y a aquellos
encargados del gobierno.
Enlaces con COBIT® 2019 para el Estándar 1402 y las Directrices 2402
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con la TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados por la TI; la entrega rentable
obtención de beneficios de soluciones y servicios; y una imagen confiable y precisa de los costos y beneficios probables para
que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con la TI no exceda el apetito y tolerancia al riesgo
optimización del riesgo de la empresa, que se identifique y gestione el impacto del riesgo de TI para el valor de negocio y que
se minimicen los posibles fallos de cumplimiento.
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
97
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
Página dejada en blanco intencionalmente
98
1002 Ningún estándar relacionado con el Estándar 1002 Directriz 2002 Independencia
Independencia organizativa
organizativa
1003 Objetividad Ningún estándar relacionado con el Estándar 1003 Directriz 2003 Objetividad de la
del auditor auditoría
1004 Expectativa Ningún estándar relacionado con el Estándar 1004 Directriz 2004 Expectativa razonable
razonable
1005 Debido Ningún estándar relacionado con el Estándar 1005 Directriz 2005 Debido cuidado
cuidado profesional
profesional
1006 Ningún estándar relacionado con el Estándar 1006 Directriz 2006 Competencia
Competencia
1007 Ningún estándar relacionado con el Estándar 1007 Directriz 2007 Afirmaciones
Afirmaciones
1008 Criterios Ningún estándar relacionado con el Estándar 1008 Directriz 2008 Criterios
1201 Evaluación Ningún estándar relacionado con el Estándar 1201 Directriz 2201 Evaluación de riesgo en
de riesgo en la la planificación
planificación
1202 Ningún estándar relacionado con el Estándar 1202 Directriz 2202 Programación de
Programación de auditoría
auditoría
1203 Ningún estándar relacionado con el Estándar 1203 Directriz 2203 Planificación de la
Planificación de la asignación
asignación
1204 Desempeño Estándar 1005 Debido cuidado profesional Directriz 2204 Desempeño y
y supervisión Estándar 1205 Evidencia supervisión
Directriz 2201 Evaluación de riesgo en
Estándar 1401 Presentación de informes
la planificación
1205 Evidencia Ningún estándar relacionado con el Estándar 1205 Directriz 2205 Evidencia
1206 Uso del Ningún estándar relacionado con el Estándar 1206 Directriz 2206 Uso del trabajo de otros
trabajo de otros expertos
expertos
1207 Estándar 1008 Criterios Directriz 2206 Uso del trabajo de otros
Irregularidades y Estándar 1201 Evaluación de riesgo en la planificación expertos
Actos ilegales Directriz 2207 Irregularidades y actos
Estándar 1205 Evidencia
ilegales
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
99
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
APÉNDICE A: ESTÁNDARES Y DIRECTRICES RELACIONADOS POR ESTÁNDAR
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
100 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
APÉNDICE B: NORMAS RELACIONADAS POR GUÍA
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
101
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
Página dejada en blanco intencionalmente
102
En una encargo de certificación, los análisis comparativos respecto a Ver Public Company Accounting Oversight Board (PCAOB),
los que se puede evaluar la afirmación escrita de la dirección sobre la Estándar de Auditoría No. 2201, “Una auditoría de control interno
materia. El profesional formula una conclusión sobre la materia al sobre información financiera integrada con una auditoría de estados
consultar los criterios adecuados. financieros,” 15 de noviembre de 2007, Sección 42,
https://pcaobus.org/Standards/Auditing/Pages/AS2201.aspx.
D Encargo de aseguramiento— Examen objetivo de la evidencia con
Debilidad material— Una deficiencia o una combinación de el propósito de brindar una evaluación sobre los procesos de gestión
deficiencias en un control interno, por lo cual exista una posibilidad de riesgos, control o gobierno para la empresa.
razonable de que una falsa declaración importante no sea evitada ni
detectada de manera oportuna. La debilidad en el control se considera Nota de alcance: Los ejemplos pueden incluir encargos de seguridad
“material” si la ausencia del mismo ocasiona que no exista una del sistema, cumplimiento, desempeño y financieras.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
103
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
APÉNDICE C: TÉRMINOS Y DEFINICIONES
Encargo de auditoría— Una actividad de revisión, tarea o Nota de alcance: Consultar las metas de calidad de información
compromiso de auditoría específica, tales como una auditoría, una COBIT 5.
revisión de autoevaluación de controles, un examen de fraude o una
consultoría. Un encargo de auditoría puede incluir múltiples tareas o Información relevante— Relacionada con controles, le indica al
actividades diseñadas para lograr un conjunto específico de objetivos evaluador algo significativo sobre la operación de los controles
relacionados. subyacentes o componente del mismo. La información que
directamente confirma la operación de los controles es la más
Escepticismo profesional— Actitud que incluye una mente relevante. La información que se relaciona indirectamente a la
interrogativa y una evaluación crítica de la evidencia de la auditoría. operación de los controles también puede ser relevante pero menos
relevante que la información directa.
Nota de alcance: Fuente: Instituto Americano de Contables Públicos
Certificados (AICPA) AU 230.07 Nota de alcance: Consultar las metas de calidad de información
COBIT 5.
Estatuto de la función de auditoría— Documento aprobado por los
responsables del gobierno que define el propósito, la autoridad y la Información suficiente— La información es suficiente cuando los
responsabilidad de la actividad de auditoría interna. evaluadores han recolectado suficiente información para formular una
conclusión razonable. Sin embargo, para que la información sea
Nota de alcance: El estatuto debería: suficiente, primero debe ser adecuada.
- Establecer la posición de la función de auditoría interna dentro de la Nota de alcance: Consultar las metas de calidad de información
empresa. COBIT 5.
Integridad— Protección contra la modificación o destrucción de
- Autorizar el acceso a registros, personal y propiedades físicas información inapropiada, incluyendo garantizar el no repudio y la
relevantes para el desempeño de los encargos de auditoría y autenticidad de la información.
aseguramiento de TI.
Irregularidad— Violación de una política de gestión establecida o de
- Definir el alcance de las actividades de la función de auditoría. los requerimientos regulatorios. Puede constar de falsas declaraciones
u omisiones deliberadas de información sobre el área que está siendo
Evaluación de riesgos— Un proceso utilizado para identificar y auditada o sobre la empresa como un todo, negligencia grave o actos
evaluar los riesgos y sus efectos potenciales. ilegales intencionados.
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
104 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
APÉNDICE C: TÉRMINOS Y DEFINICIONES
Nota de alcance: Los tipos de opiniones son: Riesgo de control— Riesgo de que se pierdan/comprometan los
activos o que las declaraciones financieras se tergiversen
materialmente debido a un fallo o un diseño y/o implementación
- Opinión no cualificada— No observa excepciones o ninguna de las
ineficaz de los controles internos.
excepciones observadas conforma una deficiencia significativa.
Riesgo de detección— Riesgo de que se pierdan/comprometan los
- Opinión cualificada— Observa excepciones que conforman una activos o que las declaraciones financieras se tergiversen
deficiencia significativa (pero no una debilidad material). materialmente debido a un fallo de los controles internos de la
empresa para detectar errores o fraude de forma oportuna.
- Opinión adversa— Observa una o más deficiencias significativas
Riesgo inherente— Nivel o exposición al riesgo sin tener en cuenta
que conforman una debilidad material.
las acciones que la dirección ha tomado o podría tomar (p. ej.
Otro experto— Interno o externo de la empresa, el término otro implementar controles).
experto podría referirse a:
Riesgo residual— El riesgo restante después de que la gerencia haya
implementado una respuesta al riesgo.
• Un auditor de TI de una empresa externa
R
Representación— Una declaración firmada u oral emitida por la
gerencia a los profesionales, donde la gerencia declara que un hecho
actual o futuro (por ejemplo, un proceso, sistema, procedimiento,
política) es o estará en un estado determinado, según lo que consta en
conocimiento de la gerencia.
Riesgo de auditoría— El riesgo de alcanzar una conclusión
incorrecta sobre la base de los hallazgos de auditoría.
- Riesgo de control
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
105
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)
Página dejada en blanco intencionalmente
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
106 (A Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)