ITAF-4th-Edition Witaf4s FMK SPA 0321

Marco de refferencia
erencia de auditoría de informac

ción y tecnología (ITA
TAF™)
Un marco de re
r ferencia de prác
cticas profesionale
cti le
es par
para TI
4ª edici
edicióón
n
Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)

Acerca de ISACA
Durante más de 50 años, ISACA® (www.isaca.org) ha promovido el mejor talento, experiencia y aprendizaje en tecnología.
ISACA proporciona conocimiento, credenciales, educación y comunidad a sus asociados para progresar en sus carreras
profesionales y transformar sus organizaciones, y permite que las empresas formen y desarrollen equipos de calidad. ISACA
es una organización de aprendizaje y una asociación global de profesionales que aprovecha la experiencia de sus 145 000
miembros que trabajan en seguridad de la información, gobierno, aseguramiento, riesgo y privacidad para impulsar la
innovación a través de la tecnología. Está presente en 188 países, con más de 220 capítulos a nivel mundial.
Descargo de responsabilidad
ISACA ha diseñado y creado su Marco de referencia de auditoría de información y tecnología (ITAF™): Un marco de
referencia de prácticas profesionales para TI (A Professional Practices Framework for IT), 4ª edición (el “Trabajo”),
principalmente como un recurso educativo para los profesionales de gobierno y aseguramiento. ISACA no pretende que el
uso de cualquier parte del Trabajo garantice un resultado satisfactorio. No se debería considerar que el Trabajo incluye toda
la información, los procedimientos y las pruebas apropiadas, ni que excluye otro tipo de información, procedimientos y
pruebas que estén orientadas razonablemente hacia la obtención de los mismos resultados. En determinar la idoneidad de
cualquier información, procedimiento o prueba específicos, los profesionales de la seguridad deberían aplicar su propio
juicio profesional a las circunstancias específicas presentadas por los sistemas particulares o el entorno de tecnología de la
información.
© 2020 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, reproducida,
modificada, distribuida, exhibida, almacenada en un sistema de recuperación o transmitida de cualquier forma o por
cualquier medio (electrónico, mecánico, fotocopia, grabación u otros), sin la previa autorización por escrito de ISACA.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Phone: +1.847.660.5505
Fax: +1.847.253.1755
Contact us: https://support.isaca.org
Website: www.isaca.org
Envíe sus comentarios:: https://support.isaca.org

Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAGlobal
Instagram: www.instagram.com/isacanews/
Marco de referencia de auditoría de tecnología de información (ITAF ™ ): Un marco de referencia de prácticas

profesionales para TI (A Professional Practices Framework for IT), 4 ª edición
Printed in the United States of America
CRISC is a trademark/service mark of ISACA. The mark has been applied for or registered in countries throughout the world.
2 Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A
Professional Practices Framework for IT), 4ª edición
ISACA. Todos los derechos reservados.

AGRADECIMIENTOS
Agradecimientos
ISACA desea agradecer a:
Revisores expertos
Manoj Agarwal, CISA, CIA, CRMA, CA, DISA, Metro Brands Limited, India
G.M. Faruk Ahmed, CISA, Rupali Bank Limited, Bangladés
Winnie Ang, CISA, CISM, Singapur
Anagha Apte, CISA, CRISC, CISM, Birlasoft Ltd., EE.UU.
Kenia Arias, CISA, A-FE Consulting LLC, EE.UU.
Bode Bary Aro, CISA, CRISC, Enugu Electricity Distribution Company, Nigeria
Mais Barouqa, CISA, CRISC, CGEIT, ISO27K, ITIL, COBIT FL, GRCP, Deloitte, Jordania
Marquita Bass, CISA, PMP, Rausch Advisory, EE.UU.
Cindy Baxter, CISA, ITIL, State Street Corporation, EE.UU.
Zsolt Bederna, CISA, CRISC, CISM, CGEIT, CISSP, CEH, ITIL-F, Cyex OÜ, Hungría
Vijay Bhalerao, CISA, COBIT-F, ISO 27001 LA, MCSA, ITIL-F, Unisoft Computrade Pvt. Ltd., India
Parmeet Bhatiya, CISA, PricewaterhouseCoopers, Emiratos Árabes Unidos
Bakan Borupile, CISA, MCSE, MCSA, Btech, Mascom Wireless, Botsuana
Ricardo Jiménez Caicedo, CISA, Ernst & Young, Colombia
Jules Chachine, CISA, CISM, PMP, Jconseil, Líbano
Elastos Chimwanda, CISA, CIA, ZWMB Bank Limited, Zimbabue
Joyce Chua, CISA, CISM, CDPSE, CIPP(E), (C)CISO, CIPM, CIPP(A), CFE, CIA, PMP, CITPM, ITIL, MCP, IRCA ISMS
Associate Auditor, Sony Electronics, Singapur
Ari Ecrument, CISA, CRISC, CDPSE, FIP, CIPP/E, CIPM, CRMA, CEH, ISO 27001/22301/20000
Bhaskar Ghosh, CISA, Wintrust Financial Corporation, EE.UU.
Miguel A. González, CISA, ITESM, México
J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica
Andrew Hinder, CISA, CMIIA, QIAL, CRMA, CIA, BAE Systems, Reino Unido
Marko Jagodic, CISA, CRISC, VRIS, LLC, Eslovenia
Ashane J.W. Jayasekara, CISA, BDO, Sri Lanka
Daniel Jones, CISA, CRISC, CISM, Devon Energy, EE.UU.
Abbie Anne Julien, CISA, CDPSE, Life Extension Foundation Buyers Club Inc., EE.UU.
Mladen Kandic, CISA, CIA, Eurobank, Serbia
Joanna Karczewska, CISA, Polonia
Glenn Kirke, CISA, Integrated Audit and Compliance, EE.UU.
Matthias Kraft, CISA, CRISC, CISM, CGEIT, CAC, DPO, Fidelity International, Luxemburgo
Abhishek Kumar, CISA, ISO 27001 LA, ISO 22301 LA, Deloitte, India
Hiu Sing Lam, CISA, FRM, PMP, Hong Kong
James Lam, CISA, CRISC, CISM, TOGAF, Aon Cybersecurity Advisory, EE.UU.
Larry L. Lliran, CISA, CISM, Precelsus Consulting, Puerto Rico
Angel Giovanni Vasquez López, CISA, Banco GYT Continental, Guatemala
Michael Malcolm, CISA, CIA, CRMA, CFSA, CGAP, CFE, Opentext Corporation, Canadá
A.T. Manjunath, CISA, CCSK, CSA STAR AUDITOR, Applied Materials, India
Rafael Pérez Marín, CISA, Venezuela
Larry Marks, CISA, CRISC, CISM, CGEIT, CDPSE, CISSP, ITIL, PMP, EE.UU.
Vivek Mathivanan, CISA, CRISC, CGEIT, Worley, Australia
Benedicta Mlingi, CISA, NMB Bank Plc., Tanzania
Juan Carlos Morales, CISA, CRISC, CISM, CGEIT, COBIT 2019, Guatemala
Donald Morgan, CISA, Farm Credit Canada, Canadá
Syed Aun Muhammad, CISA, Canadá
Christine Lilian Mukhongo, CISA, CRISC, CISM, Kenya Universities & Colleges Central Placement Service, Kenia
Sitambaram Ainslei Naidu, CISA, CIA, Edcon, Sudáfrica
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI
(A Professional Practices Framework for IT), 4ª edición
3
AGRADECIMIENTOS
Agradecimientos (cont.)
Tushar Nerurkar, CISA, CISSP, PMP, PricewaterhouseCoopers EE.UU.
Daisha Ngo, CISA, CPA, CRMA, Spectrum Health, EE. UU.
Geoffrey Nkuutu, CISA, Fellow Chartered Certified Accountant (FCCA), Wazalendo Savings & Credit Cooperative Society
Limited, Uganda
Alexander Obraztsov, CISA, CISSP, PMP, Societe Generale (New York), EE.UU.
Darren O’Brien, CISA, CRISC, Vitality, Reino Unido
Iroko Oluwatosin, CISA, CRISC, CISM, ITIL, CEH, ISO 27001, Alberta Blue Cross, Canadá
Anas Olateju Oyewole, CISA, CRISC, CISM, CDPSE, CISO, CISSP, CCSP, PMP, Indigo Books and Music, Canada
Chirag Ali Peerzada, CISA, CEH, ISO 27001 LA, ISO 22301 LI, Mahindra Special Service Group, India
John Pouey, CISA, CRISC, CISM, CIA, Entergy, EE.UU.
Shahid Qureshi, CISA, CPA, CGA (Canada), FCCA (UK), CIA (USA), FCMA, FCIS, FCSM, Leverage Global Inc., Canadá
Sreechith Radhakrishnan, CISA, CRISC, CISM, CGEIT, CDPSE, COBIT Assessor, ISO 27001 LA, ISO 20000 LA, ISO
37001 LA, ISO 22301 LA, Global Success Systems FZ LLC, Emiratos Árabes Unidos
Allan Rono, CISA, CISM, ITIL, Liberty Group, Kenia
Sampa David Sampa, CISA, World Vision International, Zambia
Megah Santio, CISA, CISM, COBIT Assessor, CIA, Australia
Garimella Chandrasekhar Sarma, CISA, CRISC, CDPSE, CFE, CtrlS Datacenters, India
S. Phani Krishna Sunkaranam, CISA, CRISC, CISM, CISSP, ITIL, Trianz, India
Luong Trung Thanh, CISA, CISM, CGEIT, Vietnam
Catalin Tiganila, CISA, CRISC, CISM, CISSP, CBCP, CIPM, Deloitte, Luxembourgo
Marisela Parra Valencia, CISA, ITIL, Costa Rica
Kaysi Veatch, CISA, CSX-F, CIA, Maxar, EE. UU.
Ionnis Vittas, CISA, CISM, Quest Holdings SA, Grecia
Ross Wescott, CISA, CUERME, CCP, CIA (ret), Wescott & Associates, EE.UU.
Surendra Yakkali, CISA, CSM, ITIL, SAFe 5, CMMI Associate, OptumServe Technology Services, Inc., EE.UU.
Consejo de administración
Tracey Dedrick, Chair, Former Chief Risk Officer, Hudson City Bancorp, EE.UU.
Rolf von Roessing, Vice-Chair, CISA, CISM, CGEIT, CDPSE, CISSP, FBCI, Partner, FORFA Consulting AG, Suiza
Gabriela Hernandez-Cardoso, Independent Board Member, México
Pam Nigro, CISA, CRISC, CGEIT, CRMA, Vice President–Information Technology, Security Officer, Home Access Health,
EE.UU.
Maureen O’Connell, Board Chair, Acacia Research (NASDAQ), Former Chief Financial Officer and Chief Administration
Officer, Scholastic, Inc., EE.UU.
David Samuelson, Chief Executive Officer, ISACA, EE.UU.
Gerrard Schmid, President and Chief Executive Officer, Diebold Nixdorf, EE.UU.
Gregory Touhill, CISM, CISSP, President, AppGate Federal Group, EE.UU.
Asaf Weisberg, CISA, CRISC, CISM, CGEIT, Chief Executive Officer, introSight Ltd., Israel
Anna Yip, Chief Executive Officer, SmarTone Telecommunications Limited, Hong Kong
Brennan P. Baybeck, CISA, CRISC, CISM, CISSP, ISACA Board Chair, 2019-2020, Vice President and Chief Information
Security Officer for Customer Services, Oracle Corporation, EE.UU.
Rob Clyde, CISM, ISACA Board Chair, 2018-2019, Independent Director, Titus, and Executive Chair, White Cloud Security,
EE.UU.
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, ISACA Board Chair, 2015-2017, Group Chief Executive Officer,
INTRALOT, Grecia
Marco de referencia de auditoría de tecnología de información (ITAF™): Un marco de referencia de prácticas profesionales para TI (A Professional
4 Practices Framework for IT), 4ª edición
TABLA DE CONTENIDOS
Ta b l a d e c o n t e n i d o s
Introducción ....................................................................................................................................................................................7
Preguntas más frecuentes ....................................................................................................................................................................7
Organización ........................................................................................................................................................................................7
Cómo usar ITAF ..................................................................................................................................................................................8
Estándares emitidos por otros organismos de establecimiento de estándares ................................................................................9
Términos y definiciones.......................................................................................................................................................................9
Código de Ética Profesional de ISACA ..............................................................................................................................................9
Declaraciones de estándares de aseguramiento y auditoría de TI ..............................11
Declaraciones de estándares..............................................................................................................................................................11
Estándares generales...................................................................................................................................................................11
Estándares de desempeño ...........................................................................................................................................................12
Estándares de informes...............................................................................................................................................................15
ESTÁNDARES GENERALES ......................................................................................................................................17
Estándares generales 1001: Estatuto de la función de auditoría....................................................................................................17
Directrices generales 2001: Estatuto de la función de auditoría ....................................................................................................17
Estándar general 1002: Independencia organizativa ......................................................................................................................20
Directrices generales 2002: Independencia organizativa ................................................................................................................20
Estándar general 1003: Objetividad del auditor .............................................................................................................................22
Directrices generales 2003: Objetividad del auditor .......................................................................................................................22
Estándar general 1004: Expectativa razonable ...............................................................................................................................29
Directrices generales 2004: Expectativa razonable .........................................................................................................................29
Estándar general 1005: Debido cuidado profesional ......................................................................................................................33
Directrices generales 2005: Debido cuidado profesional ................................................................................................................33
Estándar general 1006: Competencia ..............................................................................................................................................37
Directrices generales 2006: Competencia ........................................................................................................................................37
1007—Estándares generales Afirmaciones ......................................................................................................................................40
Directrices generales 2007: Afirmaciones ........................................................................................................................................41
Estándar general 1008: Criterios .....................................................................................................................................................44
Directrices generales 2008: Criterios ...............................................................................................................................................44
ESTÁNDARES DE DESEMPEÑO .........................................................................................................................49
Estándares de desempeño 1201: Evaluación de riesgo en planificación ........................................................................................49
Directrices de desempeño 2201: Evaluación de riesgo en planificación ........................................................................................49
Estándares de desempeño 1202: Programación de auditoría .........................................................................................................55
Directrices de desempeño 2202: Programación de auditoría .........................................................................................................55
Estándares de desempeño 1203: Planificación del encargo ............................................................................................................56
Directrices de desempeño 2203: Planificación del encargo ............................................................................................................57
Estándar de desempeño 1204: Desempeño y supervisión ...............................................................................................................62
Directrices de desempeño 2204: Desempeño y supervisión ............................................................................................................62
Estándar de desempeño 1205: Evidencia .........................................................................................................................................68
Directrices de desempeño 2205: Evidencia ......................................................................................................................................69
Estándar de desempeño 1206: Uso del trabajo de otros expertos ..................................................................................................74
Directrices de desempeño 2206: Uso del trabajo de otros expertos ...............................................................................................74
Estándar de desempeño 1207: Irregularidades y acciones ilegales ................................................................................................78
Directrices de desempeño 2207: Irregularidades y actos ilegales .................................................................................................78
ESTÁNDARES DE INFORMES ................................................................................................................................89
Estándar de informes 1401: Presentación de informes ...................................................................................................................89
Directrices de informes 2401: Presentación de informes ................................................................................................................89
Estándar de informes 1402: Actividades de seguimiento ................................................................................................................93
Directrices de informes 2402: Actividades de seguimiento .............................................................................................................93
5
TABLA DE CONTENIDOS
APÉNDICE A: ESTÁNDARES Y DIRECTRICES RELACIONADOS POR

ESTÁNDAR .....................................................................................................................99
APÉNDICE B: NORMAS RELACIONADAS POR GUÍA ......................................101
APÉNDICE C: TÉRMINOS Y DEFINICIONES.......................................................103
INTRODUCCIÓN
Introducción
El marco de referencia de auditoría de tecnología de la información de ISACA (ITAF) en un marco de auditoría de TI integral
que:
 Establece las normas que definen los requerimientos relacionados con los roles y responsabilidades, ética y conducta
profesional esperada y conocimiento y competencias requeridas de los profesionales de auditoría y aseguramiento de TI;
 Define términos y conceptos específicos para la auditoría y aseguramiento de TI;
 Proporciona orientación y técnicas para la planificación, la realización y los informes de las asignaciones de auditoría y
aseguramiento de TI.
Basado en el material de ISACA, ITAF proporciona un recurso único para los profesionales de la auditoría y el aseguramiento
de TI para obtener una guía sobre el desempeño de auditorías y el desarrollo de informes de auditoría efectivos. La 3ª La
edición de Estándares y Directrices de Aseguramiento y Auditoría de TI incorporada a ITAF está en vigor desde el 1 de
noviembre de 2013. Antes de publicar la 4ª edición de ITAF, ISACA publicó un borrador de exposición abierto a comentarios,
y más de 65 revisores proporcionaron su feedback. La 4ª edición de ITAF está en vigor desde octubre de 2020.
La traducción de estos estándares está disponible en www.isaca.org/bookstore/audit-control-and-security-essentials/witaf4.
Preguntas más frecuentes

 ¿A quién afecta ITAF? ITAF afecta a individuos que actúan como profesionales de aseguramiento y auditoría de TI y
están implicados en proporcionar aseguramiento sobre procesos de TI, componentes de aplicaciones de TI, sistemas e
infraestructura. Sin embargo, se ha tenido cuidado a la hora de diseñar estos estándares, directrices y técnicas de
auditoría, de forma que también puedan resultar beneficiosas para un público más amplio, incluidos usuarios de informes
de aseguramiento y auditoría de TI.
 ¿Cuándo debería usarse ITAF? La aplicación del marco de referencia es un prerrequisito para conducir la tarea de
aseguramiento y auditoría de TI. Los estándares son obligatorios. Las directrices, herramientas y técnicas se diseñan para
proporcionar asistencia no obligatoria a la hora de realizar tareas de aseguramiento.
 ¿En qué circunstancias deberían usarse los Estándares y Directrices relacionadas de Aseguramiento y Auditoría
de TI? El diseño de ITAF reconoce que los profesionales del aseguramiento y auditoría de TI se enfrentan a distintos
requerimientos y tipos de tareas, desde liderar una auditoría centrada en TI a contribuir a una auditoría financiera, de
cumplimiento u operativa. ITAF se puede aplicar a cualquier actividad de aseguramiento o auditoría de TI.
 ¿Aborda ITAF los requerimientos para trabajo de consultoría y consultivo? Además de realizar auditorías, los
profesionales de aseguramiento y auditoría podrían llevar a cabo asignaciones distintas a la auditoría para sus
empleadores o en nombre de sus clientes. Estas asignaciones de consultoría y consultivas suelen implicar la revisión de
un área particular. Por una serie de motivos, incluido la naturaleza del trabajo (en especial, el grado de pruebas y el
ámbito de la asignación), el profesional de aseguramiento y auditoría de TI no suele emitir un informe de auditoría
formal. En su lugar, la tarea de consultoría y consultiva suele concluir con una opinión (posiblemente expresada a través
de un memorándum) sobre el desempeño actual y sugerencias de mejora.
 ¿Cuándo estará disponible la 4ª edición? El marco de referencia de la auditoría de TI revisado está disponible en
octubre de 2020.
Organización
Los estándares de ITAF se dividen en tres categorías:

 Estándares generales (serie 1000)—Detallar los principios de la profesión de aseguramiento de TI. Estos principios se
aplican a todas los trabajos, incluidos entre otros, la ética, independencia, objetividad y el debido cuidado del profesional
de auditoría y aseguramiento de TI, así como el conocimiento, la competencia y la habilidad.
7
INTRODUCCIÓN
 Estándares de desempeño (serie 1200)—Abordar la realización del trabajo, como la planificación y supervisión, el
alcance, la evaluación de riesgos, la movilización de recursos, la gestión del compromiso, la evidencia de auditoría y
aseguramiento, y el ejercicio del juicio profesional y el debido cuidado.
 Estándares de informes (serie 1400)—Abordar los tipos de informes, los medios de comunicación y la información
comunicada.
Las guías de la ITAF proporcionan al profesional de aseguramiento y auditoría de TI información y orientación sobre un
trabajo de aseguramiento o auditoría de TI. De acuerdo con las tres categorías de estándares descritas anteriormente, las
directrices se centran en varios enfoques de auditoría, metodologías y material relacionado para ayudar en la planificación,
ejecución, evaluación, prueba e informes sobre procesos de TI, controles e iniciativas de aseguramiento o auditoría de TI
relacionadas. Las guías también ayudan a clarificar la relación entre las asignaciones e iniciativas de la empresa y las
asumidas por TI. Las directrices de aplicación siguen los estándares relacionados.
El sitio web de ISACA proporciona información específica sobre diversas metodologías, herramientas y plantillas, e incluye
instrucciones sobre su aplicación y uso para poner en funcionamiento la información proporcionada por la guía. Un ejemplo
es la creación de las Directrices de desempeño 2208 de ISACA: Muestreo de auditoría de tecnología de la información, que es
un compañero del marco de referencia de ITAF. Estas directrices proporcionan soporte para el uso del muestreo por parte de
los profesionales de auditoría y aseguramiento de TI cuando se llega a una conclusión sobre la población total cuando los
procedimientos de auditoría se aplican a menos del 100 por cien de esa población. Hay herramientas y técnicas adiciones, que
también incluyen libros blancos, programas y libros de auditoría, disponibles en www.isaca.org/resources/insights-and-
expertise/audit-program-and-tools.
Cómo usar ITAF
El proceso de aseguramiento y auditoría de TI implica la realización de procedimiento específicos para proporcionar un

aseguramiento razonable acerca de la materia. Los profesionales de aseguramiento y auditoría de TI llevan a cabo tareas
designadas a proporcionar aseguramiento en distintos niveles, desde la revisión a la atestación o examen.
Cada tarea de aseguramiento y auditoría de TI debe adherirse a los estándares prescritos en cuanto a si los individuos están
cualificados para realizar el trabajo, cómo se realiza el trabajo, qué trabajo se realiza, y cómo se informa acerca de los
hallazgos dependiendo de las distintas características de la tarea y la naturaleza de los resultados obtenidos.
Si la asignación debe realizarse por parte de un individuo, ese individuo debe poseer la habilidad y conocimiento requerido
para completar la asignación. Si la asignación debe realizarla más de un individuo, el equipo conjunto debe poseer la
habilidad y conocimiento para realizar el trabajo.
Algunas suposiciones críticas son inherentes a cualquier asignación de aseguramiento y auditoría de TI, incluidas las
siguientes:
 La materia es identificable y está sujeta a auditoría.
 Existe una alta probabilidad de una finalización exitosa del proyecto.
 El planteamiento y metodología están libres de sesgos.
 El proyecto tiene un alcance suficiente para cumplir con los objetivos de aseguramiento o auditoría de TI.
 El proyecto conducirá a un informe que es objetivo y no llevará a error al lector.
Los estándares son obligatorios en todos los casos. El término «debería» indica «debe». Cualquier desvío de los estándares
debe abordarse antes de la realización de la asignación de aseguramiento o auditoría de TI.
Las directrices podrían no aplicarse a todas las situaciones, pero siempre deberían considerarse. Las directrices permiten a los
profesionales de aseguramiento y auditoría un grado de flexibilidad. Por lo tanto, al revisar las pautas para determinar la
aplicabilidad, los profesionales deberían utilizar su juicio profesional, estar preparados para justificar cualquier desviación
significativa de las directrices u omisión de las secciones relevantes de la guía y buscar orientación adicional si es necesario.
INTRODUCCIÓN
Los recursos para orientación adicional pueden incluir:

 Colegas dentro y/o fuera de la empresa (por ejemplo, a través de asociaciones profesionales o grupos de redes
profesionales)
 Gestión
 Gobernanza de organismos de la empresa (por ejemplo, comité de auditoría)
 Materiales de guía profesional (por ejemplo, libros, papeles, otras directrices)
Las herramientas y técnicas representan material e información suplementarios que soportan la guía. En algunos casos, las
técnicas presentan alternativas o incluso un rango de técnicas, muchas de las cuales podrían ser aplicables. El profesional de
aseguramiento y auditoría de TI debe seleccionar solo las técnicas adecuadas que producen información relevante, objetiva y
sin sesgos.
En línea con la constante evolución de ITAF, los números de las secciones incluyen huecos para la inserción de guías futuras.
Estándares emitidos por otros organismos de establecimiento de estándares
Aunque los estándares de ITAF proporcionan a los profesionales de aseguramiento y auditoría de TI una guía y orientación
integral, algunas situaciones puede requerir que los profesionales usen estándares emitidos por otra organización.
Cuando el profesional de aseguramiento y auditoría de TI cita cumplimiento con los estándares de ITAF y surgen conflictos
entre ITAF y los estándares aplicables de otra organización, el profesional de aseguramiento y auditoría de TI debería usar los
estándares de ITAF, como los estándares reinantes para llevar a cabo revisiones e informar de los resultados.
Si el profesional de aseguramiento y auditoría de TI debe adherirse a estándares distintos a la ITAF con propósitos
regulatorios o expectativas operativas, y el profesional de aseguramiento y auditoría de TI puede:
 Usar estándares profesionales requeridos por otros organismos de autoridad junto con los estándares de ITAF,
 Citar el uso de otros estándares requeridos en sus informes.
Términos y definiciones
A lo largo de este documento, se utilizan palabras comunes con significados específicos que se aplican a los tipos más
comunes de trabajos realizados por profesionales de auditoría y aseguramiento de TI. En esos casos, se proporciona una
definición en el Apéndice C de ITAF. Esto garantiza que las palabras y sus significados dentro del contexto de estos
documentos se entienden y aplican de forma uniforme.
Cuando sea práctico, los términos y definiciones de la ITAF son, por lo general, consistentes con la terminología usada
comúnmente en la práctica de la auditoría profesional y en tecnología de la información y seguridad; sin embargo, los
profesionales deberían consultar los estándares de fuentes originales más actuales relevantes para el tipo específico de trabajo
(s) a realizar para asegurar que se utilicen los términos y definiciones más actuales y apropiados.
Para otros términos y definiciones no incluidos en ITAF, hay disponible un glosario completo en el sitio web de ISACA,
www.isaca.org/glossary.
Código de Ética Profesional de ISACA
ISACA establece este Código de Ética Profesional para guiar la conducta profesional y personal de los miembros de la
asociación y/o de sus profesionales certificados.
9
INTRODUCCIÓN
Los miembros y los portadores de certificaciones de ISACA deberán:

1. Apoyar la implementación de y alentar al cumplimiento con los estándares y procedimientos apropiados para el eficaz
gobierno y gestión de tecnología y sistemas de información empresariales, incluyendo: auditoría, control, seguridad y
gestión de riesgos.
2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor profesional, de acuerdo con los estándares
profesionales.
3. Servir en el interés de las partes interesadas de manera legal, manteniendo altos estándares de conducta y carácter, y sin
desacreditar su profesión ni a la Asociación.
4. Mantener la privacidad y confidencialidad de la información obtenida en el transcurso de sus asignaciones a menos que la
autoridad legal requiera su divulgación. Dicha información no será usada para beneficio personal ni será revelada a partes
no adecuadas.
5. Mantener la competencia en sus respectivos campos y aceptar encargarse de sólo aquellas actividades que
razonablemente pueden esperar completar con las habilidades, los conocimientos y la competencia necesarios.
6. Informar a las partes correspondientes de los resultados del trabajo realizado, revelando todos los hechos significativos
que conozcan que, si no fueran revelados, podrían distorsionar el informe de los resultados.
7. Apoyar la educación profesional de los interesados para mejorar su comprensión del gobierno y la gestión de tecnología y
sistemas de información empresarial, incluyendo: auditoría, control, seguridad y gestión de riesgos.
El incumplimiento de este Código de Ética Profesional puede ocasionar una investigación de la conducta del miembro o del
portador de la certificación y, finalmente, medidas disciplinarias.
DECLARACIONES DE ESTÁNDARES DE ASEGURAMIENTO Y AUDITORÍA DE TI
Declaraciones de estándares de aseguramiento y auditoría de TI

Los estándares en ITAF contienen aspectos principales diseñados para ayudar al profesional de aseguramiento y auditoría de
TI. Los estándares de ITAF se revisan periódicamente para una mejora continua y se corrigen como es necesario para seguir el
ritmo de la evolución de la profesión de aseguramiento y auditoría de TI.
Declaraciones de estándares
Estándares generales
1001 Estatuto de la función de auditoría
1001.1 La función de auditoría y aseguramiento de TI documentará la función de la auditoría de manera adecuada en un

estatuto de la función de auditoría, indicando propósito, responsabilidad, autoridad y responsabilidad.
1001.2 La función de aseguramiento y auditoría de TI tendrá que contar con un estatuto de auditoría acordado y formalmente
aprobado por aquellos encargados de la gobernanza y de la supervisión de la función de auditoría, por ejemplo, el consejo
directivo y/o el comité de auditoría.
1001.3 La función de aseguramiento y auditoría de TI comunicará el estatuto de la función de auditoría, a los directivos
ejecutivos/sénior. Además, elementos relevantes del estatuto de auditoría se compartirán con los grupos que se auditan a la
entrada de reuniones y/o a través de cartas de compromiso.
1001.4 A través de la revisión del estatuto de auditoría de forma periódica, las responsabilidades de la función de
aseguramiento y auditoría, como se refleja en el estatuto de auditoría, deben permanecer alineadas con la misión y las
estrategias de la empresa. La revisión inmediata del estatuto de auditoría se garantiza si la misión o estrategias de la empresa
cambian o si las responsabilidades de la función de auditoría cambian.
1002 Independencia organizacional
1002.1 La función de auditoría y aseguramiento de TI debe estar libre de conflictos de interés y de la influencia indebida en
todos las cuestiones relacionadas con las asignaciones de auditoría y aseguramiento. Cualquier impedimento a la
independencia (de hecho o apariencia) se identifica y comunica a las partes correspondientes.
1002.2 La función de aseguramiento y auditoría de TI debe tener una relación de informe funcional (por ejemplo, informar al
consejo directivo) que apoya la capacidad de la función para permanecer libre de influencia indebida.
1002.3 La función de aseguramiento y auditoría de TI debería tener una relación de informe administrativo que soporta el
desempeño libre de la función de sus responsabilidades (por ejemplo, ámbito de la asignación, campo de trabajo o informe).
1003 Objetividad del auditor
1003.1 Los profesionales de aseguramiento y auditoría de TI deben ser objetivos, en todos los asuntos relacionados con las
contrataciones de auditoría y aseguramiento.
1004 Expectativa razonable
1004.1 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de que la asignación
pueda ser completada de conformidad con los estándares de auditoría y aseguramiento de TI y, cuando sea necesario, con
otras normas de la industria o leyes y reglamentos aplicables que darán lugar a una opinión o conclusión profesional.
11
1004.2 Los profesionales de auditoría y aseguramiento de TI deben tener una expectativa razonable de que el alcance de la
asignación permita llegar a una conclusión sobre la materia y de que se aborden las limitaciones de alcance.
1004.3 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de que la dirección
entiende sus obligaciones y responsabilidades con respecto a proporcionar la información adecuada, pertinente y oportuna
necesaria para llevar a cabo la asignación.
1005 Debido cuidado profesional
1005.1 Conforme con el Código de Ética Profesional de ISACA, los auditores ejercerán la diligencia debida y cuidado
profesional. Mantendrán altos estándares de conducta y carácter y evitarán participar en actos que podrían desacreditarles a
ellos o a la profesión. La privacidad y confidencialidad de información obtenida debe mantenerse durante el curso de los
deberes del auditor. Además, esta información no debería usarse para beneficio personal, ni la información debería divulgarse
a menos que así lo requiera la autoridad legal.
1006 Competencia
1006.1 Los profesionales de aseguramiento y auditoría de TI, junto con otras personas que ayudan en las actividades de
auditoría y el aseguramiento, deben poseer la competencia adecuadas para realizar el trabajo requerido.
1006.2 TI los profesionales de auditoría y aseguramiento de TI deben poseer el conocimiento adecuado sobre la materia para
llevar a cabo sus roles en asignaciones de aseguramiento y auditoría de TI.
1006.3 Los profesionales de auditoría y aseguramiento de TI deben mantener la competencia profesional a través de una
adecuada formación profesional continua.
1007 Afirmaciones
1007.1 Los profesionales de auditoría y aseguramiento de TI deben revisar las afirmaciones con las que la materia será
evaluada para determinar que dichas afirmaciones sean capaces de ser auditadas y que las afirmaciones sean suficientes,
válidas y relevantes.
1008 Criterios
1008.1 Los profesionales de aseguramiento y auditoría de TI deben seleccionar los criterios con los que se evaluará la materia,
que sean objetivos, completos, relevantes, fiables, medibles, comprensibles, ampliamente reconocidos, autorizados y
comprendidos por, o disponibles para, todos los lectores y usuarios del informe.
1008.2 Los profesionales de aseguramiento y auditoría de TI deben considerar la aceptabilidad de los criterios y centrarse en
criterios que están reconocidos, son autorizados y están públicamente disponibles.
Estándares de desempeño
1201 Evaluación de riesgo en la planificación
1201.1 La función de auditoría y aseguramiento de TI debe utilizar un enfoque de evaluación de riesgo adecuado (por
ejemplo, basado en datos con factores cuantitativos y cualitativos) y una metodología de apoyo para desarrollar el plan de
auditoría general de TI y determinar las prioridades para la asignación efectiva de los recursos de auditoría de TI.
1201.2 Los profesionales de auditoría y aseguramiento de TI deben identificar y evaluar el riesgo relevante al área de revisión,
cuando planifican actividades individuales.
1201.3 Los profesionales de auditoría y aseguramiento de TI deben considerar el riesgo de la materia, el riesgo de la auditoría
y la exposición relativa de la empresa al planificar actividades de auditoría
1202 Programación de auditorías
1202.1 La función de aseguramiento y auditoría de TI debe establecer un plan estratégico integral que resulte en calendarios
de auditoría de corto y largo plazo. La planificación a corto plazo consiste en la realización de auditorías dentro del año,
mientras que la planificación a largo plazo está constituida por auditorías basadas en temas relacionados con el riesgo dentro
del entorno de tecnología de la información (TI) de la empresa que podrían realizarse en el futuro.
1202.2 La mayoría de los calendarios a corto plazo y largo plazo deberían acordarse con aquellos encargados de la
gobernanza y supervisión (por ejemplo, comité de auditoría) y comunicarse dentro de la empresa.
1202.3 La función de aseguramiento y auditoría de TI debe modificar sus calendarios de auditoría a corto y largo plazo para
que respondan a las necesidades organizativas (por ejemplo, eventos inesperados o iniciativas no planificadas). Cualquier
auditoría desplazada para acomodar una auditoría de un evento inesperado o iniciativa no planificada debería reasignarse a un
periodo futuro.
1203 Planificación de la asignación
1203.1 Los profesionales de aseguramiento y auditoría de TI deben planificar cada asignación de auditoría y aseguramiento
de TI para abordar la naturaleza, el cronograma y el alcance de los procedimientos de auditoria que se deben llevar a cabo. El
plan debe incluir:
 Áreas a auditar
 Objetivos
 Alcance
 Recursos (por ejemplo, TI, herramientas y presupuesto) y fechas de programación
 Cronograma y entregas
 Cumplimiento con leyes/regulaciones aplicables y estándares de auditoría profesional
 Uso de un enfoque basado en riesgos para asignaciones que no están relacionados con cumplimiento legal o regulatorio
 Problemas específicos a la asignación
 Requerimientos de informes y documentación
 Uso de tecnología relevante y técnicas de análisis de datos
 Consideración del coste de la asignación en comparación con los posibles beneficios
 Protocolos de comunicación y escalamiento para situaciones que pueden surgir durante el desempeño de una asignación
de auditoría (por ejemplo, limitaciones del alcance o no disponibilidad de personal clave)
Durante el trabajo de campo, puede que sea necesario modificar los procedimientos de auditoría creados durante la
planificación conforme avanza la asignación.
1203.2 Los profesionales de aseguramiento y auditoría de TI deben desarrollar y documentar un programa de auditoría de las
asignaciones de auditoría y aseguramiento de TI que describa los procedimientos paso a paso y las instrucciones que deben
usarse para completar la auditoría.
1204 Desempeño y supervisión
1204.1 Los profesionales de auditoría y aseguramiento de TI deben llevar a cabo el trabajo en conformidad con el plan de
auditoría de TI aprobado para cubrir el riesgo identificado y dentro del cronograma acordado.
1204.2 Los profesionales de auditoría y aseguramiento de TI deben proporcionar supervisión al personal de auditoría de TI
sobre quienes tienen responsabilidad de supervisión, para lograr los objetivos de la auditoría y cumplir con los estándares de
auditoría profesional aplicables.
13
1204.3 Los profesionales de aseguramiento y auditoría de TI deben aceptar solo tareas que estén dentro de su conocimiento y
habilidades o para las que tengan una expectativa razonable de adquirir las habilidades durante la asignación o lograr la tarea
bajo supervisión.
1204.4 Los profesionales de auditoría y aseguramiento de TI deben obtener evidencia suficiente y apropiada para lograr los
objetivos de la auditoría.
1204.5 Los profesionales de auditoría y aseguramiento de TI deben documentar el proceso de auditoría y describir el trabajo
de auditoría y la evidencia de auditoría que respalda los hallazgos y las conclusiones.
1204.6 Los hallazgos y las conclusiones del profesional de aseguramiento y auditoría de TI deben estar respaldados por un
análisis e interpretación apropiados de la causa raíz de esta evidencia.
1204.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una opinión o conclusión de la auditoría apropiada
e incluir cualquier limitación del alcance cuando no se obtenga la evidencia requerida mediante los procedimientos de prueba
adicionales.
1205 Evidencia
1205.1 Los profesionales de auditoría y aseguramiento de TI deben obtener evidencia suficiente y apropiada para extraer
conclusiones razonables.
1205.2 Aplicando el escepticismo profesional, los profesionales de auditoría y garantía de TI evaluarán la suficiencia de las
pruebas obtenidas para apoyar las conclusiones y alcanzar los objetivos de la asignación.
1205.3 Junto con otros papeles de trabajo, los profesionales de aseguramiento y auditoría de TI deben preservar la evidencia
durante un periodo de tiempo que se corresponda con periodos de retención aprobados y formalmente definidos.
1206 Uso del trabajo de otros expertos
1206.1 Los profesionales de auditoría y aseguramiento de TI deben considerar el uso del trabajo de otros expertos para la
asignación, cuando sea apropiado.
1206.2 Los profesionales de auditoría y aseguramiento de TI deben evaluar y aprobar la idoneidad de las calificaciones
profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos
antes de la asignación.
1206.3 Los profesionales de auditoría y aseguramiento de TI deben evaluar, revisar y valorar el trabajo de otros expertos
como parte de la asignación, y documentar la conclusión sobre el uso y la confianza en su trabajo.
1206.4 Los profesionales de auditoría y aseguramiento de TI deben determinar si el trabajo de otros expertos, que no forman
parte del equipo de asignación, es adecuado y completo para concluir acerca de los objetivos de la asignación actual. Los
profesionales deben también documentar la claramente la conclusión.
1206.5 Los profesionales de auditoría y aseguramiento de TI deben determinar si se podrá depender del trabajo de otros
expertos y se incorporará directamente o se hará referencia al mismo de manera separada en el informe.
1206.6 Los profesionales de auditoría y aseguramiento de TI deben aplicar procedimientos adicionales de prueba para obtener
evidencia suficiente y apropiada en los casos en que el trabajo de otros expertos no brinde evidencia suficiente y apropiada.
1206.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una opinión o conclusión de la auditoría e incluir
cualquier limitación del alcance cuando no se obtenga la evidencia requerida mediante los procedimientos de prueba
adicionales.
1207 Irregularidades y actos ilegales
1207.1 Los profesionales de aseguramiento y auditoría de TI deben considerar el riesgo de irregularidades y actos ilegales
durante la asignación.
1207.2 Los profesionales de aseguramiento y auditoría de TI deben documentar y comunicar, de manera oportuna, cualquier
acto ilegal o irregularidad material a la parte correspondiente. Tenga en cuenta que algunas comunicaciones (por ejemplo, con
reguladores) pueden estar restringidas. Como resultado, las comunicaciones del profesional podrían requerir hablar con
aquellos encargados de la gobernanza y supervisión de la función de auditoría (por ejemplo, el consejo directivo y/o el comité
de la auditoría).
Estándares de informes
1401 Generación de informes
1401.1 Los profesionales de aseguramiento y auditoría de TI deben proporcionar un informe para comunicar los resultados al
concluir la asignación.
1401.2 Los profesionales de aseguramiento y auditoría de TI deben garantizar que los hallazgos en el informe de auditoría
estén respaldados por evidencia suficiente y apropiada.
1402 Actividades de seguimiento
1402.1 Los profesionales de aseguramiento y auditoría de TI deberían controlar y reportar periódicamente a aquellos
encargados de la gobernanza y supervisión del progreso de la dirección de la función de auditoría (por ejemplo, el consejo
directivo y/o el comité de auditoría) sobre hallazgos y recomendaciones. Los informes deben incluir una conclusión sobre si
la dirección ha planificado y tomado medidas oportunas y apropiadas para abordar los hallazgos y las recomendaciones de la
auditoría notificados.
1402.2 El progreso sobre el estado general de la implementación de los hallazgos de la auditoría debería reportarse
regularmente al comité de auditoría, si está establecido.
1402.3 Bien se determine que el riesgo relacionado con un hallazgo se ha aceptado y es superior al apetito de riesgo de la
empresa, esta aceptación del riesgo debe comentarse con la dirección superior. La aceptación del riesgo (en particular, el fallo
para resolver el riesgo) debe someterse a la atención del comité de auditoría (si está establecido) y/o el consejo directivo.
15
Página dejada en blanco intencionalmente
ESTÁNDARES GENERALES
Estándares generales 1001: Estatuto de la función de auditoría
Declaraciones 1001.1 La función de aseguramiento y auditoría de TI documentará la función de la auditoría de

manera adecuada en un estatuto de la función de auditoría, que indique propósito, responsabilidad,
autoridad y rendición de cuentas.
1001.2 La función de aseguramiento y auditoría de TI debería contar con un estatuto de auditoría
acordado y formalmente aprobado por aquellos encargados de la gobernanza y de la supervisión de la
función de auditoría, por ejemplo, el consejo directivo y/o el comité de auditoría.
1001.3 La función de aseguramiento y auditoría de TI documentará el estatuto de la función de
auditoría, a los directivos ejecutivos/sénior. Además, elementos relevantes del estatuto de auditoría
debería compartirse con los grupos que se auditan a la entrada de reuniones y/o a través de cartas de
compromiso.
1001.4 A través de la revisión del estatuto de auditoría de forma periódica, las responsabilidades de la
función de aseguramiento y auditoría, como se refleja en el estatuto de auditoría, deben permanecer
alineadas con la misión y las estrategias de la empresa. La revisión inmediata del estatuto de auditoría
se garantiza si la misión o estrategias de la empresa cambian o si las responsabilidades de la función
de auditoría cambian.
Directrices generales 2001: Estatuto de la función de auditoría
2001.1 Los profesionales deben tener un mandado claro para realizar la función de auditoría. Este mandato se documenta
normalmente en un estatuto de auditoría que deben aprobar formalmente aquellos encargados de la gobernanza, por ejemplo,
el consejo directivo y/o el comité de auditoría. Cuando un estatuto de auditoría existe para la función de auditoría en su
conjunto, el mandado de aseguramiento y auditoría de TI debería incorporarse.
2001.2 Contenidos de un estatuto de auditoría
2001.2.1 Un estatuto de la función de auditoría debe documentar la función de aseguramiento y auditoría de TI:
 Independencia, código de ética y estándares/normas
 Propósito, responsabilidad, autoridad y rendición de cuentas
 Los protocolos que el profesional de aseguramiento y auditoría de TI seguirá en el desempeño de
asignaciones, incluido, pero sin estar limitado a, comunicación y escalamiento
 Las funciones y las responsabilidades del auditado durante la asignación de auditoría o la asignación de
aseguramiento de TI
 El rol de la función de aseguramiento y auditoría de TI al reportar irregularidades y actos ilegales
2001.2.2 El estatuto de la función de auditoría debe definir claramente el propósito, la responsabilidad, la autoridad y la
rendición de cuentas de la función de auditoría (consultar 2001.2.1). Estos cuatro aspectos se presentan en las
secciones siguientes.
2001.2.3 El propósito de la función de auditoría es evaluar y probar el diseño y la ejecución de los controles
implementación por la gerencia. El estatuto de auditoría debe contener las secciones siguientes que apoyen a la
función de auditoría a lograr su propósito:
 Los propósitos/objetivos de la función de auditoría proporcionan un marco funcional y organización en el
que la función de auditoría opera.
 Los objetivos de la función de auditoría y la declaración de la misión de la función de auditoría (si la
función de auditoría tiene uno) aportan un enfoque estructurado para evaluar y mejorar el diseño y la
eficiencia operativa de los procesos de gestión de riesgo, el sistema de control interno y las
operaciones/gobernanza de sistemas de información.
17
 El alcance de la función de auditoría se aplica a toda la empresa o a una organización específica dentro de
la empresa.
 El trabajo realizado por la función de auditoría podría incluir auditorías de sistemas de información,
auditorías de cumplimiento, auditorías financieras, auditorías operativas, auditorías integradas, auditorías
administrativas, auditorías especializadas (auditorías de servicio de terceros, auditorías de fraude o
auditorías forenses), auditorías forenses informática y auditorías funcionales. También podría incluir
servicios diferentes de la auditoría, como servicios de consultoría de proyectos.
2001.2.4 La responsabilidad de la función de auditoría es añadir valor a la empresa, garantizar que las perspectivas
organizativas, como la estrategia, la misión y las expectativas de cumplimiento/regulatorias están integradas en
su trabajo, y atenerse a expectativas profesionales (por ejemplo, ética, desarrollo profesional). El estatuto de
auditoría debe contener las secciones siguientes para facilitar la función de auditoría:
 La independencia detalla la implementación del requerimiento de independencia para la función y
profesionales de auditoría, como se describió en Estándares 1002 Independencia organizativa y 1003
Objetividad del auditor. La función de aseguramiento y auditoría de TI debe garantizar su independencia:
 Evaluando su independencia de forma periódica, al menos anualmente
 Creando y manteniendo un protocolo formal relacionado con la identificación e informe de posibles
impedimentos a la independencia
Los resultados de la evaluación de la independencia y el protocolo de impedimentos deben notificarse a
aquellos encargados de la gobernanza y supervisión de la función de auditoría (por ejemplo, el consejo directivo
y/o el comité de auditoría).
 La relación con empresas de auditoría externas detallan la estrategia de dependencia de la función del
aseguramiento y auditoría de TI interna con el auditor externo:
 Reunirse con los auditores externos para coordinar el trabajo para minimizar la duplicación de
esfuerzos
 Proporcionar acceso a los papeles de trabajo, documentación y evidencia de los profesionales
 Considerar el trabajo planificado por los auditores externos cuando hacen un borrador del plan de
auditoría para el periodo siguiente
 Las expectativas del auditado detallan los servicios y entregables que los auditados pueden esperar de la
función de auditoría y los profesionales:
 Descripción de problemas, consecuencias y posibles resoluciones identificados relacionados con el
área de responsabilidad del auditado
 La posibilidad de incluir la respuesta de la gerencia y las medidas correctivas llevadas a cabo en los
hallazgos del informe de la auditoría. Esto incluye referencias a acuerdos de nivel de servicio (Service
level agreements) para elementos como la entrega de informes, la respuesta a quejas del auditado, la
calidad del servicio, la revisión del desempeño, el proceso de informe y el acuerdo sobre los hallazgos.
 Los requisitos del auditado detallan las responsabilidades del auditado, por ejemplo, todos los auditados
deben estar disponibles y asistir a la función y los profesionales de la auditoría a cumplir con las
responsabilidades asignadas. Los requerimientos del auditado también proporcionan claridad en cuanto a
las responsabilidades de la gerencia y las responsabilidades de la función de auditoría.
 Cumplir con las normas profesionales establecidas por la organización del auditor y cualquier organismo
normativo del que el auditor sea miembro.
 El cumplimiento con las normas que detallan los requerimientos a los que se adherirán la función y los
profesionales de auditoría, por ejemplo, la función y los profesionales de auditoría se adherirán y actuará
conforme a los estándares y directrices de aseguramiento y auditoria de ITAF de ISACA.
18 (A Professional Practices Framework for IT), 4ª edición
2001.2.5 La autoridad de la función de auditoría debe contener las siguientes secciones:

 Derecho de acceso a información relevante, sistemas (por ejemplo, actividades y controles integrados en
los sistemas), personal y ubicaciones por los profesionales que realizan una asignación de auditoría. La
función de auditoría, representada por los profesionales de auditoría:
 Ha autorizado acceso a cualquier registro, documentación, sistemas y ubicaciones necesarias para la
realización de una asignación de auditoría y puede buscar la asistencia de la dirección ejecutiva para
obtener dicho acceso
 Tiene la autoridad para buscar cualquier información de un empleado, consultor o contratista cuando
realice una asignación de auditoría
 Limitaciones de autoridad de la función y profesionales de auditoría, si las hay
 Procesos que serán auditados que la función de auditoría está autorizada a auditar, por ejemplo, la función
de auditoría es libre de determinar el proceso que auditará, dependiendo del plan de auditoría basado en
riesgos
2001.2.6 Responsabilidad de la función de auditoría y aseguramiento incluye, pero no se limita a:

 Distribuir comunicaciones escritas (por ejemplo, informes de auditorías y memorandos para asignaciones
diferentes de la auditoría) a los interesados adecuados y aquellos encargados de la gobernanza y
supervisión de la función de aseguramiento y auditoría (por ejemplo, el consejo directivo y/o el comité de
auditoría)
 Seguimiento y presentación de informes del progreso de la dirección en implementaciones acordadas (es
decir, medidas correctivas) llevadas a cabo en respuesta a las recomendaciones de auditoría
 El informe de las métricas de rendimiento de la función de aseguramiento y auditoría (por ejemplo,
desempeño relativo al plan y presupuesto de auditoría) a aquellos encargados de la gobernanza y
supervisión de la función de aseguramiento y auditoría (por ejemplo, el consejo directivo y/o el comité de
auditoría)
 El informe a aquellos encargados de la gobernanza y supervisión de la función de aseguramiento y
auditoría (por ejemplo, el consejo directivo y/o el comité de auditoría) sobre la independencia de la función
y cualquier impedimento a la independencia y los cuatros aspectos del propósito, responsabilidad,
autoridad y rendición de cuentas de la función de auditoría
 El proceso de aseguramiento de calidad (por ejemplo, entrevistas, encuestas de satisfacción del cliente,
encuestas de desempeño de la asignación) que establece una comprensión de las necesidades y
expectativas del auditado correspondiente a la función de auditoría. Estas necesidades deben evaluarse
con respecto al estatuto de auditoría con la visión de mejorar el servicio o cambiar la prestación del servicio
o estatuto de auditoría, según proceda.
 Normas de personal para asignaciones de auditoría,que pueden incluir, entre otros:
 Dependencia del estatuto de auditoría lo que permite a los profesionales implicarse en el desempeño
de servicios diferentes de la auditoría (por ejemplo, servicios de consultoría) y la naturaleza amplia, el
cronograma y el alcance de dichos servicios, para garantizar que no comprometan la independencia y
objetividad. Esto podría eliminar o minimizar la necesidad de obtener mandatos específicos para cada
servicio no auditado caso a caso.
 Establecimiento de un periodo de tiempo mínimo que debe transcurrir antes de que los profesionales
puedan participar en asignaciones de auditoría en áreas en las que se han realizado servicios
diferentes de la auditoría que comprometen la independencia.
 Acciones acordadas relacionadas con el comportamiento del profesional y la función de auditoría, por
ejemplo, multas cuando cualquiera de las partes no cumple con sus responsabilidades.
 La comunicación con los auditados detalla la frecuencia y los canales de comunicación a través de los
cuales se comunicará la función de auditoría con los auditados.
19
Enlace a COBIT® 2019 para el Estándar 1001 y la Directriz 2001
Objetivos de gestión
Propósito
COBIT 2019
MEA02 Gestionar el Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de
sistema de control controles internos que permita, proporcionar confianza en las operaciones, confianza en el logro de los
interno objetivos de la empresa y una comprensión adecuada del riesgo residual.
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes
aseguramiento proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento
ampliamente aceptadas.
Estándar general 1002: Independencia organizativa
Declaración 1002.1 La función de auditoría y aseguramiento de TI debe estar libre de conflictos de interés y de la
influencia indebida en todos los asuntos relacionados con las asignaciones de auditoría y
aseguramiento. Cualquier impedimento a la independencia (de hecho o apariencia) se identifica y
comunica a las partes correspondientes.
1002.2 La función de aseguramiento y auditoría de TI debe tener una relación de informe funcional (por
ejemplo, reportar al consejo directivo) que apoya la capacidad de la función para permanecer libre de
influencia indebida.
1002.3 La función de aseguramiento y auditoría de TI debería tener una relación de informe
administrativo que soporta el desempeño libre de la función de sus responsabilidades (por ejemplo,
ámbito de la asignación, campo de trabajo o informe).
Directrices generales 2002: Independencia organizativa
2002.1 Introducción La sección de contenido de la directriz se estructura para proporcionar información sobre la
independencia de la función de aseguramiento y auditoría de TI:
2002.2 Posición en la empresa
2002.3 Nivel de informes
2002.4 Evaluación de la independencia
2002.2 Posición en la empresa
2002.2.1 Para permitir la independencia organizativa, la función de auditoría debe tener una posición en la
empresa que le permita desempeñar sus responsabilidades sin interferencia. Esto puede lograrse por
medio del:
 Establecimiento de la función de auditoría en el estatuto del comité de auditoría como una función
o departamento independiente fuera de los departamentos operativos. La función de auditoría no
debe asignarse a ninguna responsabilidad o actividad operativa.
 Aseguramiento de que la función de auditoría informe a un nivel dentro de la empresa que le
permite alcanzar la independencia organizativa. Reportar al jefe de un departamento operativo
podría comprometer la independencia organizativa.
2002.2.2 La función de auditoría debería evitar roles diferentes a la auditoría en las iniciativas de TI que
requieran la asunción de responsabilidades de dirección porque dichos roles podrían comprometer una
independencia futura. La independencia y responsabilidad de la función de auditoría debe abordarse en
el estatuto de auditoría. La independencia de la función de auditoría podría verse comprometida si se
planifica que un auditor planifique o participe en una asignación en un área en la que el auditor tiene
una responsabilidad directa de gestión. Tenga en cuenta que la función de aseguramiento y auditoría
de TI, en colaboración con la empresa de auditoría externa de la empresa puede determinar
responsabilidades que constituyen una gerencia directa o indirecta. Estos dos grupos también pueden
identificar el intervalo de tiempo aceptable entre el desempeño de las responsabilidades de gerencia
directa y la participación en una asignación del área del auditor.
2002.3 Nivel de informe
2002.3.1 La función de auditoría debe reportar a un nivel dentro de la empresa que le permita actuar con
completa independencia organizativa. La independencia debería definirse en el estatuto de auditoría y
confirmarse por la función de auditoría al consejo de directivos y aquellos encargados de la
gobernanza de forma regular, al menos anualmente.
2002.3.2 Para garantizar la independencia organizativa de la función de auditoría, debe reportarse lo siguiente a
aquellos encargados de la gobernanza (por ejemplo, el consejo directivo) para su aportación y/o
aprobación:
 El plan y presupuesto de recursos de la auditoría
 El plan de auditoría basado en riesgos
 Seguimiento de desempeño llevado a cabo por la función de auditoría en la actividad de auditoría
de TI
 Seguimiento de alcance significativo o limitaciones de recursos
2002.3.3 Para garantizar la independencia organizativa de la función de auditoría, se necesita un soporte
explícito del consejo y la dirección ejecutiva. El soporte de la dirección ejecutiva podría incluir
comunicación por escrito a todos los niveles de la organización.
2002.4 Evaluación de la independencia
2002.4.1 La independencia debe ser evaluada regularmente por la función de auditoría y confirmada con
aquellos encargados de la gobernanza y supervisión de la función de auditoría (por ejemplo, el consejo
directivo y/o el comité de la auditoría). Esta evaluación debe realizarse al menos anualmente. La
evaluación debe considerar factores como:
 Cambios en relaciones personales
 Intereses financieros
 Anteriores asignaciones y responsabilidades del puesto, así como cambios propuestos a los roles
y responsabilidades de la asignación de puesto actual
2002.4.2 La función de auditoría debe exponer posibles cuestiones relacionadas con la independencia
organizativa y las comenta con el consejo directivo o aquellos encargados de la gobernanza. Una
resolución debe encontrarse y confirmarse en el estatuto de auditoría.
21
Enlace a COBIT® 2019 para el Estándar 1002 y la Directriz 2002
COBIT 2019 Objetivos

Propósito
de gobernanza y gestión
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con TI deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse de que los procesos
marco de gobierno relacionados con la TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros
del consejo de dirección.
APO01 Gestionar el Implementar un enfoque de gestión consistente/coherente para permitir que se alcancen los requisitos
marco de gestión de TI de gobierno empresarial, con cobertura de componentes de gobierno, como los procesos de gestión,
las estructuras organizativas, los roles y las responsabilidades, las actividades confiables y repetibles,
los elementos de información, las políticas y procedimientos, las habilidades y las competencias, la
cultura y el comportamiento, y los servicios, infraestructura y aplicaciones.
aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.
Estándar general 1003: Objetividad del auditor
Declaración 1003.1 Los profesionales de aseguramiento y auditoría de TI deben ser objetivos, en todos los asuntos
relacionados con las asignaciones de aseguramiento y auditoría.
Directrices generales 2003: Objetividad del auditor
Estas directrices proporcionan un marco general que le permita al profesional de aseguramiento y auditoría de TI:
 Establecer si la objetividad puede, o puede parecer, estar comprometida
 Considerar los enfoques alternativos posibles para el proceso de auditoría cuando la objetividad esté, o parezca estar,
comprometida
 Reducir o eliminar el impacto sobre la objetividad comprometida de los profesionales de aseguramiento y auditoría de TI
que cumplen servicios, funciones y roles no relacionados con la auditoría
 Determinar requisitos de divulgación cuando la objetividad requerida puede estar, o podría parecer estar comprometida.
 Realizar la asignación de auditoría y aseguramiento de TI de forma imparcial no sesgada al abordar asuntos de
aseguramiento y llegar a conclusiones.
 Ser consciente de posibles impedimentos a la objetividad durante todas las fases de asignaciones
 Divulgar los detalles del impedimento a la objetividad de las partes apropiadas
2003.1 Introducción Las directrices se estructuran para proporcionar información sobre la siguiente auditoría de TI principal
siguiente y temas de compromiso de aseguramiento:
2003.2 Marco de referencia conceptual
2003.3 Amenazas y salvaguardas
2003.4 Gestionar amenazas
2003.5 Servicios o roles diferentes a la auditoría
2003.6 Servicios o roles diferentes a la auditoría que no comprometen la independencia
2003.7 Servicios o roles diferentes a la auditoría que comprometen la independencia
2003.8 Estatuto de la función de auditoría y roles de servicios diferentes a la auditoria/de asesoramiento
2003.9 Presentación de informes
2003.2 Marco de referencia conceptual
2003.2.1 Diferentes circunstancias o combinaciones de circunstancias podrían ser relevantes a la hora de

evaluar amenazas a la objetividad o independencia. Es imposible definir cada situación que crea una
amenaza a la objetividad o independencia y especificar la acción adecuada. Por ello, está directriz
establece un marco de referencia conceptual que requiere al profesional identificar, evaluar y abordar
las amenazas potenciales a la objetividad o independencia. El enfoque del marco de referencia
conceptual ayuda a cumplir con los estándares de independencia e incluye muchas variaciones en las
circunstancias que crean amenazas a la independencia.
2003.2.2 El enfoque del marco de referencia conceptual debe aplicarse a los profesionales a:
 Identificar amenazas a la objetividad o independencia
 Evaluar el significado de las amenazas identificadas
 Aplicar salvaguardas, donde sea necesario, para eliminar las amenazas o reducir los niveles
aceptables
2003.2.3 Cuando los profesionales determinan que las salvaguardas adecuadas no están disponibles o no
pueden aplicarse a eliminar las amenazas a la objetividad o reducir las amenazas a un nivel aceptable,
los profesionales deben eliminar la circunstancia o la relación creando las amenazas, o declinar o
acabar la asignación de aseguramiento o auditoría. Si los profesionales no pueden declinar o acabar la
asignación, la divulgación adecuada del impedimento de la objetividad o independencia debe hacerse a
aquellos encargados de la gobernanza, e incluirse en cualquier informe que resulte de la asignación.
2003.2.4 Los profesionales deben considerar aplicar la guía de ITAF para identificar posibles amenazas a la
objetividad, evaluar la importancia de las amenazas e implementar salvaguardas adecuadas a la hora
de realizar servicios o roles diferentes a la auditoría.
2003.2.5 Un auditor no debería realizar servicios o roles diferentes a la auditoría en áreas donde es posible que
se haya planificado una auditoría o asignación de aseguramiento actual o futura que realizaría
probablemente el mismo auditor. Si la entidad no tuviera ningún otro recurso (por ejemplo, utilizar un
recurso interno o externo alternativo), la implicación del auditor en el servicio distinto a la auditoría
debería ser aprobado por un ejecutivo jefe de auditorías (o vicepresidente/director de auditoría) y por
aquellos encargados formalmente de la gobernanza y supervisión de la función de auditoría (por
ejemplo, el consejo directivo y/o el comité de auditoría).
23
2003.3 Amenazas y salvaguardas
2003.3.1 Las amenazas a la objetividad pueden crearse por una amplia gama de relaciones y circunstancias.
Cuando una relación o circunstancia crea una amenaza, esa amenaza puede comprometer, o podría
parecer que compromete, la objetividad profesional. Una circunstancia o relación podría crear más de
una amenaza a la objetividad. Las amenazas suelen pertenecer a una o más de las categorías
siguientes:
 Interés propio—La amenaza de que un interés financiero u otro interés influya en el juicio o
comportamiento profesional de forma inapropiada
 Revisión propia—La amenaza de que los profesionales no evaluarán adecuadamente los
resultados de juicios o servicios realizados anteriores, bien por ellos mismos o por otros
individuos de la función de auditoría, en los que los profesionales se basarán cuando se formen
juicios en la asignación actual
 Promoción—La amenaza de que los profesionales promocionarán la posición de un auditado
hasta el punto de que la objetividad profesional se vea comprometida
 Familiaridad—La amenaza de que, debido a una relación larga o cercana con el auditado, los
profesionales se mostrarán demasiado comprensivos con los intereses del auditado, o aceptará
en exceso el trabajo, opiniones o argumentos del auditado
 Intimidación—La amenaza de que se impedirá a los profesionales actuar con integridad y
objetividad debido a presiones actuales o percibidas, incluidos intentos de ejercer una influencia
indebida sobre los profesionales
 Sesgo—La amenaza de que la convicción política, ideológica, social, psicológica u otra convicción
influirá en los profesionales a adoptar posiciones que no son objetivas
 Participación de la gerencia—La amenaza de impedir la objetividad que resulte del rol de la
gerencia, o alternativamente, realizar funciones de gestión de desempeño en nombre de la entidad
que lleva a cabo una auditoría o asignación de aseguramiento
2003.3.2 Las salvaguardas pueden diseñarse e implementarse para reducir o minimizar las amenazas a la
objetividad. Ejemplos de salvaguardas que pueden considerar los profesionales en respuesta a
amenazas identificadas son:
 Procedimientos internaos dentro de la empresa y función de auditoría que garantiza opciones

objetivas a la hora de asignar asignaciones (por ejemplo, el profesional no audita un área sobre la
cual el profesional haya tenido anteriormente responsabilidades directas de gerencia)
 La asignación de gerencia y personal de fuera de la función de auditoría, como tomar prestado
personal de otra función, división u organización externa para complementar a los profesionales
 La rotación periódica de las asignaciones de auditoría de TI, reduciendo la familiaridad del
profesional con las personas de las áreas asignadas
 Prácticas de contratación adecuadas, como comprobación de antecedentes penales y verificación
del personal para mejorar la probabilidad de que los profesionales están libre de sesgos o
conflictos de interés (por ejemplo, profesional de la competencia o interés personal)
 Eliminación de un individuo de una asignación si los intereses o la relación de ese individuo
suponen una amenaza para la objetividad
 Los requerimientos de documentación y presentación de informes adecuada, que garanticen que
la valoración de la independencia profesional está documentada en los papeles del trabajo y
reportada de forma constante en los entregables
 Asignación de un recurso independiente (desde el que una función de auditoría u otras fuentes
que referimos anteriormente) llevar a cabo una revisión de pares o actuar como un observador
independiente durante la planificación, el trabajo de campo y la presentación de informes
 Contar con una revisión externa de los informes, comunicaciones o información producida por
profesionales por una tercera parte reconocida, por ejemplo, una autoridad aceptada en el campo
o un especialista independiente
2003.4 Gestionar amenazas
2003.4.1 La función y profesionales de auditoría deben determinar si se han eliminado y reducido las amenazas
identificadas a la objetividad a un nivel aceptable Las amenazas a la objetividad deben gestionarse,
como una pérdida de objetividad podrían tener un impacto en la habilidad profesional para realizar una
auditoría o asignación de aseguramiento sin estar afectado pro influencias que comprometen el juicio
profesional, o podría exponer a los profesionales o a la función de auditoría a circunstancias que
causarían que una tercera parte razonable e informada concluyera que la integridad, objetividad o
escepticismo profesional de un miembro del equipo de aseguramiento y auditoria se hubiera visto
comprometido.
2003.5 Servicios o roles diferentes a la auditoría
2003.5.1 En muchas empresas, la expectativa de la gerencia, el personal de TI y la función de auditoría interna es

que los profesionales podrían participar en servicio o roles diferentes a la auditoría como:
 Aconsejar sobre las estrategias de TI relacionadas con áreas como la tecnología, aplicaciones y
recursos
 Evaluación, selección e implementación de tecnologías
 Evaluar, seleccionar, personalizar e implementar aplicaciones y soluciones de TI de terceros
 Diseñar, desarrollar e implementar aplicaciones y soluciones de TI personalizadas
 Establecer buenas prácticas, políticas y procedimientos relacionados con varias funciones de TI
 Diseño, desarrollo, prueba e implementación de la seguridad de TI y controles de TI
 Asesoramiento en proyectos de TI
2003.5.2 Proporcionar servicios o roles diferentes a la auditoría, en general, implica la participación a tiempo
completo o tiempo parcial en iniciativas de TI y equipos de proyectos de TI para proporcionar
capacidades de asesoría o consultativas. Los profesionales de aseguramiento y auditoría de TI podrían
cumplir una función diferente de la auditoría a través de actividades como:
 Asignación o préstamo temporal a tiempo completo de auditoria de TI y personal de
aseguramiento a un equipo de proyecto de TI
 Asignación a tiempo parcial de un miembro del personal de aseguramiento y auditoría de TI como
miembro de un proyecto de TI, como un grupo de dirección del proyecto, un grupo de trabajo del
proyecto, un equipo de evaluación, un equipo de negociación y contratación, un equipo de
implementación, un equipo de aseguramiento de la calidad o un equipo de resolución de
problemas
 Actuar como consejero o revisor de proyectos de TI o controles de TI ad hoc forma
2003.5.3 Proporcionar servicios o roles diferentes a la auditoría podría crear amenazas a la objetividad o
independencia profesional o crear la apariencia de que dichas amenazas si el área en la que se realizan
los servicios o roles diferentes a la auditoría está sujeta a una auditoría o asignación de aseguramiento
o se convierte en el sujeto de una asignación en el futuro. En esta situación, la percepción podría ser
que tanto la independencia como la objetividad de los profesionales se vieron comprometidas por el
desempeño de servicios o roles diferentes a la auditoría.
2003.5.4 Los profesionales que proporcionan servicios diferentes a la auditoría deben usar el marco de
referencia conceptual para evaluar si los servicios o roles diferentes a la auditoría generan un
impedimento a la objetividad o independencia de la auditoría o asignaciones de aseguramiento
actuales o futuros. Esto se aplica a asignaciones en el que los servicios o roles diferentes a la auditoría
se realizan en un área que es significativa o material a la cuestión o partes interesadas de esas
asignaciones. Si fuera necesario, los profesionales deben buscar ayuda de compañeros y la gerencia
de auditoría y aseguramiento de TI, y/o aquellos encargados del gobierno, para determinar si las
salvaguardas pueden implementarse para mitigar adecuadamente cualquier amenaza actual o
percibida a la objetividad.
25
2003.5.5 Antes de comenzar con los servicios o roles diferentes a la auditoría, los profesionales deben
establecer y documentar su comprensión con la gerencia de auditoría TI y/ aquellos encargados del
gobierno, según corresponda, con respecto a:
 Los objetivos de los servicios o roles diferentes a la auditoría
 La naturaleza de los servicios o roles diferentes a la auditoría que deben realizarse
 La aceptación de la entidad auditada de sus responsabilidades con respecto a los servicios o roles
diferentes a la auditoría
 Las responsabilidades profesionales relacionadas con los servicios o roles diferentes a la
auditoría
 Cualquier limitación de los servicios o roles diferentes a la auditoría
 Cualquier limitación del alcance de servicios de auditoría futuros que los profesionales puedan
proporcionar
2003.5.6 En el caso de una asignación de aseguramiento o auditoría de TI en la que hay una posible objetividad
o independencia comprometida en actitud o apariencia debido a servicios o roles diferentes a la
auditoría realizados, la gerencia de aseguramiento y auditoría debe implementar salvaguardas como:
 Monitorear la conducta de la auditoría estrechamente
 Evaluar cualquier indicación de impedimento de objetividad o independencia que surja del
desempeño servicios o roles diferentes a la auditoría, e iniciar las salvaguardas necesarias
 Informar a aquellos encargados del gobierno del posible impedimento de la objetividad o
independencia y las salvaguardas implementadas
2003.6 Servicios o roles diferentes a la auditoría que no comprometen la independencia
2003.6.1 Las actividades que son de rutina y administrativas o involucran asuntos que son insignificantes
generalmente no deben considerarse responsabilidades de gestión y, por lo tanto, no
comprometería la objetividad.
2003.6.2 Los servicios diferentes a la auditoría que no comprometerían la independencia u objetividad si se
implementan mecanismos de protección adecuados incluyen proporcionar asesoramiento rutinario
sobre controles y riesgos de TI.
2006.6.3 Para evitar el riesgo de asumir una responsabilidad de gerencia al proporcionar servicios o roles
diferentes a la auditoría en un área que es (o podría convertirse) en el sujeto de una auditoría o
asignación de aseguramiento, los profesionales deben proporcionar servicios o roles diferentes a la
auditoría solo si están satisfechos de que la gerencia desempeñe y vaya a desempeñar las funciones
siguientes en relación con los servicios o roles diferentes a la auditoría:
 Asumir todas las responsabilidades de la gerencia
 Supervisar los servicios designando a un individuo, preferiblemente dentro de la dirección sénior,
que posea una habilidad, conocimiento o experiencia adecuada
 Evaluar la pertinencia y resultados de los servicios desempeñados
 Aceptar la responsabilidad de los resultados de los servicios
Los profesionales deben documentar su consideración de la habilidad de la gerencia para supervisar
eficazmente los servicios o roles diferentes a la auditoría desempeñados.
2003.7 Servicios o roles diferentes a la auditoría que comprometen la independencia
2003.7.1 Si los profesionales asumieran responsabilidades de gerencia o desempeñaran actividades de

gerencia, las amenazas a la independencia podrían ser tan significativa que ningún mecanismo de
protección podría reducirlas a un nivel aceptable. Independientemente de que una actividad sea una
responsabilidad de la gerencia, dependa de las circunstancias y requiera el ejercicio del juicio
profesional. Ejemplos de actividades que se considerarían, por lo general, una responsabilidad de la
gerencia, incluyen:
 Establecer políticas y dirección estratégica
 Dirigir y hacerse responsable de las acciones de los empleados de la entidad
 Autorizar transacciones
 Decidir qué recomendaciones implementar de la función de auditoría, función de auditoría interna,
organización, empresa u otras terceras partes
 Hacerse responsable de diseñar, implementar o mantener el control interno
 Aceptar la responsabilidad de gestionar un proyecto o iniciativa de TI
2003.7.2 Además de asumir responsabilidades de gerencia, los servicios o roles diferentes a la auditoría podrían
comprometer la independencia y objetividad:
 La implicación material de los profesionales en la supervisión o realización del diseño, desarrollo,
prueba, instalación, configuración y funcionamiento de sistemas de información que sean
materiales o importantes para la cuestión de la auditoría y la asignación de aseguramiento
 Diseñar controles para los sistemas de información que sean materiales o importantes para la
cuestión de la auditoría y la asignación de aseguramiento
 Servir en un rol de gobernanza en el que los profesionales sean responsables de forma
independiente o conjunto de tomar decisiones de gerencia o aprobar políticas y estándares
 Proporcionar asesoría que forma la base principal de las decisiones de auditoría o desempeñar
funciones de gerencia
2003.7.3 Se considera que los servicios diferentes a la auditoría siguientes comprometen la objetividad porque
las amenazas creadas serían tan importantes que ningún mecanismo de protección podría reducirlas a
un nivel aceptable:
 Asumir las responsabilidades de la gerencia o realizar actividades de gerencia
 La implicación material de los profesionales en la supervisión o realización del diseño, desarrollo,
prueba, instalación, configuración y funcionamiento de sistemas de información que sean
materiales o importantes para la cuestión de la auditoría y la asignación de aseguramiento
 Diseñar controles para los sistemas de información que sean materiales o importantes para la
cuestión de asignaciones de auditoría actuales o futuras planificadas
 Servir en un rol de gobernanza en el que los profesionales sean responsables de forma
independiente o conjunta de tomar decisiones de gerencia o aprobar políticas y estándares
 Proporcionar asesoría que forme la base principal de las decisiones de gerencia
27
2003.8 Estatuto de la función de auditoría y servicios de asesoramiento diferentes a la auditoría
2003.8.1 El estatuto de auditoría de TI debe establecer si se permite a los profesionales desempeñar servicios o
roles diferentes a la auditoría, y la naturaleza amplia, el cronograma y alcance de dichos servicios o
roles, para garantizar que ni la objetividad ni la independencia se vean comprometidas con respecto a
las tecnologías que los profesionales puedan auditar. Esto podría eliminar o minimizar la necesidad de
obtener mandatos específicos para cada servicio o función/rol no auditado caso a caso.
2003.8.2 Los profesionales deberían proporcionar un aseguramiento razonable de que lo términos de referencia
(TOR) de los servicios o roles diferentes a la auditoría cumplen con el estatuto de auditoría. Cualquier
desvío debe describirse expresamente en los TOR y aprobado por la gerencia de aseguramiento y
auditoría de TI y/o aquellos encargados del gobierno.
2003.8.3 Si el estatuto de auditoría no especifica los servicios o roles diferentes a la auditoría, o si no hay
estatuto de auditoría, los profesionales deben informar de la naturaleza de su participación en servicios
o roles diferentes a la auditoría a la gerencia de auditoría y aseguramiento de TI y aquellos encargados
del gobierno. La cronología y alcance de la participación del profesional en los servicios o roles
diferentes a la auditoría debe someterse a TOR individuales firmados por la gerencia de la función en la
que se realizan los servicios o roles, y aprobados por aquellos encargados del gobierno.
2003.9 Presentación de informes
2003.9.1 Si la objetividad o independencia de los profesionales que realizan una auditoría o asignación de
aseguramiento de TI es, pudiera ser o pudiera parecer comprometida, y si aquellos encargados del
gobierno hubieran tomado la decisión de continuar con la asignación, la auditoría y asignación de
aseguramiento de TI debe incluir la información suficiente para permitir a los usuarios del informe
entender la naturaleza del posible impedimento.
La información que los profesionales deben considerar divulgar en un informe de auditoría y asignación
de aseguramiento de TI incluye:
 Los nombres y antigüedad de los profesionales implicados en la auditoría o asignación de
aseguramiento de TI que pudieran ser, o que pudieran parecer ser, un impedimento a la objetividad
o independencia
 El análisis y la descripción de cualquier impedimento potencial a la objetividad o independencia
 Los mecanismos de protección implementados para eliminar o mitigar distintas amenazas a la
independencia y objetividad durante el curso del trabajo de asignación y proceso de informe
 La documentación de divulgación del impedimento potencial a la objetividad o independencia a
aquellos encargados del gobierno, y su aprobación para realizar o continuar con la asignación de
aseguramiento y/o los servicios o roles diferentes a la auditoría
Enlaces a COBIT® 2019 para el Estándar 1003 y las Directrices 2003
Propósito
COBIT 2019
MEA03 Gestionar el Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
cumplimiento de los
requisitos externos
Estándar general 1004: Expectativa razonable
Declaración 1004.1 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de
que la asignación puede ser realizada de conformidad con los estándares de auditoría y aseguramiento
de TI y, cuando se requiera, otros estándares industriales o leyes y regulaciones aplicables que
desembocarán en una conclusión u opinión profesional.
1004.2 Los profesionales de auditoría y aseguramiento de TI deben tener una expectativa razonable de
que el alcance de la asignación permite una conclusión sobre la materia y abordar las limitaciones del
alcance.
1004.3 Los profesionales de aseguramiento y auditoría de TI deben tener una expectativa razonable de
que la dirección entiende sus obligaciones y responsabilidades en relación con la provisión de
información apropiada, relevante y oportuna requerida para realizar la asignación.
Directrices generales 2004: Expectativa razonable
2004.1 Introducción El propósito de esta directriz es ayudar a los profesionales de aseguramiento y auditoría de TI a
implementar el principio de expectativa razonable en la ejecución de asignaciones de auditoría. Esta directriz ayuda a los
profesionales de aseguramiento y auditoría de TI a abordar las limitaciones del alcance y proporciona una guía para aceptar un
cambio en los términos de la asignación.
2004.2 Estándares y regulaciones
2004.3 Alcance
2004.4 Limitaciones del alcance
2004.5 Información
2004.6 Aceptación de un cambio en los términos de asignación
2004.7 Otras consideraciones
29
2004.2 Estándares y regulaciones
2004.2.1 Los profesionales deben reunir y evaluar todos los estándares aplicables enumerados en el estatuto de
auditoría y las regulaciones antes de la asignación de auditoría, y volver a ellos a lo largo de la
asignación, para determinar si tienen una expectativa razonable de que puedan completar la asignación
de auditoría conforme a estos estándares y regulaciones y garantizar que la asignación de la auditoría
resulte en una opinión o conclusión profesional.
2004.2.2 Si los profesionales determinaran que la asignación de la auditoría no puede completarse conforme a
uno o más de los estándares y regulaciones aplicaciones, y que la expresión de una opinión o
conclusión profesional fuera, por ello, imposible, deben:
 Informar a la gerencia de la auditoría y asignación de aseguramiento de TI y aquellos encargados
del gobierno de los problemas de cumplimiento identificados con los estándares y regulaciones
 Bien proponer un cambio en los términos de la asignación o declinar la asignación propuesta
2004.3 Alcance
2004.3.1 Antes de llevar a cabo una asignación de la auditoría, los profesionales deben determinar que el
alcance de la auditoría esté claramente documentado y permite que se llegue a una opinión o
conclusión profesional sobre la materia.
2004.3.2 El alcance de la asignación de la auditoría debe estar claramente documentado, sin margen para
interpretación sobre qué áreas (por ejemplo, procesos, actividades, sistemas) se encuentra dentro del
alcance de la asignación. Un alcance que se describe de forma demasiado vaga no dejará que los
profesionales se formen una opinión o conclusión profesional, porque carecerán de la certeza de que
áreas del alcance se han evaluado.
2004.3.3 Si los profesionales determinan que el alcance de la asignación de la auditoría no les permite expresar
una opinión o conclusión profesional, deben:
 Informar a la gerencia de la auditoría y asignación de aseguramiento de TI y a aquellos
encargados del gobierno de la función de auditoría acerca de los problemas de alcance
identificados
 Proponer un cambio en los términos de la asignación o declinar la asignación propuesta
2004.4 Limitaciones del alcance
2004.4.1 Podrían producirse limitaciones de alcance específicas antes o durante la asignación de la auditoría.
Estas limitaciones de alcance pueden verse influidas por diferentes factores, como:
 La información oportuna, relevante y adecuada necesaria para completar la asignación de
auditoría no está disponible.
 Los auditados clave no están disponibles.
 El intervalo de tiempo asignado es insuficiente para completar todo el alcance de la asignación de
la auditoría.
 La gerencia intenta limitar el alcance de la asignación de la auditoría a áreas determinadas.
 El alcance de la asignación de auditoría es o bien demasiado pequeña o demasiado grande para
llegar a una conclusión sobre el asunto.
 El nivel de descentralización hace que sea difícil alcanzar una conclusión sobre la totalidad del
asunto.
 La cantidad de profesionales adecuadamente capacitados disponibles para realizar la asignación
de auditoría con su alcance actual es insuficiente.
 La estructura de informe de la función de auditoría (por ejemplo, si la función de auditoría no
reporta al nivel adecuado dentro de la empresa, podría estar dirigida a no evaluar determinados
elementos del alcance).
 Los contractos de terceros también podrían introducir limitaciones del alcance.
 La entrega de documentación del cliente se retrasa
 La corrección de las no conformidades actuales (identificadas en una auditoría anterior o
identificadas por los propios auditados) está aún en curo.
2004.4.2 Los profesionales deben considerar si las limitaciones del alcance siguen permitiendo una expectativa
razonable de que la asignación de la auditoría resultará en una opinión o conclusión profesional. Si
determinaran que esta condición no se cumplirá, no deberían aceptar la asignación.
2004.4.3 Si los profesionales concluyen que aún tienen una expectativa razonable de que, a pesar de las
limitaciones del alcance, la asignación resultará en una opinión o conclusión profesional, los
profesionales deben acceder o continuar con la asignación de la auditoría. Las limitaciones del alcance
deben describirse explícitamente en el informe de auditoría y asignación de aseguramiento de TI.
2004.4.4 Considerar si el alcance es suficiente para permitir que se exprese la opinión del auditor sobre la
materia. Las limitaciones del alcance pueden ocurrir cuando la información requerida para realizar la
asignación no está disponible, cuando el plazo incluido en la auditoría o asignación del aseguramiento
de TI no es suficiente o cuando la gerencia intenta limitar el alcance de las áreas seleccionadas. En
estos casos, pueden considerarse otros tipos de asignaciones, tales como revisiones de controles,
cumplimiento de los estándares y las prácticas requeridas o cumplimiento con acuerdos, licencias,
legislación y regulación.
2004.5 Información
2004.5.1 El estatuto de auditoría determinará el derecho de acceso a la información, sistemas, personal y ubicaciones
relacionadas con la realización de la asignación de la auditoría.
2004.5.2 Antes de llevar a cabo la asignación de la auditoría, los profesionales deben identificar y abordar cualquier
restricción sobre el derecho de acceso a la información apropiada, relevante y oportuna para la asignación
de la auditoría. Los profesionales deben tener una expectativa razonable de que su derecho de acceso a la
asignación de la auditoría es conforme a las estipulaciones del estatuto de auditoría, o que los potenciales
desvíos de las estipulaciones no impidan a los profesionales alcanzar una opinión o conclusión
profesionales sobre el asunto.
31
2004.5.3 Si los profesionales concluyen que su derecho de acceso a la información no les permite expresar una
opinión o conclusión profesional, deben:
 Informar a la gerencia de la auditoría y asignación de aseguramiento de TI y a aquellos encargados del
gobierno de la función de auditoría acerca de los problemas identificados relativos al derecho de
acceso a información oportuna, relevante y adecuada.
 Proponer un cambio en los términos de la asignación o no aceptan la asignación de la auditoría
propuesta.
2004.5.4 Realizar una auditoría o asignación de aseguramiento podría implicar evaluar las actividades realizadas por
un gerente ejecutivo. Esa posibilidad debe evaluarse antes de la ejecución de la asignación de la auditoría.
Los profesionales deben evaluar si su necesidad de acceder a esos individuos o información relacionada se
verá cuestionada. Las acciones de mitigación que podrían requerirse antes de la ejecución de la asignación
de la auditoría incluyen, pero no están limitadas a:
 Las provisiones del estatuto de auditoría asignando la autoridad adecuada a la función y profesionales
de la auditoría
 El soporte explícito por escrito de aquellos encargados del gobierno, por ejemplo, el consejo directivo y
el comité de auditoría
 Se requiere la asistencia por parte de un miembro del consejo o gerente ejecutivo al acceder a la
gerencia ejecutiva o sénior
2004.6 Aceptación de un cambio en los términos de asignación
2004.6.1 Los profesionales no deben aceptar un cambio en los términos de la asignación de auditoría si, basado
en su juicio profesional, no existe justificación para hacerlo.
2004.6.2 Si, durante el curso de la asignación de la auditoría, se solicita a los profesionales aceptar un cambio
en los términos que redujera el nivel de aseguramiento, deben determinar si existe una justificación
para hacerlo, basado en su juicio profesional.
2004.6.3 Si se cambian los términos de una asignación de auditoría, deben registrarse y aprobarse formalmente
por los profesionales y la gerencia de auditoría y aseguramiento de TI. El informe de asignación de
auditoría y aseguramiento de TI debe mencionar este cambio en los términos de forma explícita.
2004.6.4 Si los profesionales no aceptan un cambio en los términos de la asignación de auditoría y la gerencia
no les permite continuar con la asignación de auditoría actual, tras consultar con la gerencia de
auditoría y aseguramiento, los profesionales deben:
 Retirarse de la asignación de auditoría.
 Determinar, conforme a su juicio profesional, si informar sobre las circunstancias a aquellos
encargados del gobierno, por ejemplo, el consejo directivo o incluso reguladores.
2004.7.1 Los profesionales de auditoría y aseguramiento de TI deben:

 Realizar la asignación de auditoría o aseguramiento de TI solo si el trabajo puede completarse
satisfactoriamente en conformidad con los estándares profesionales.
 Realizar la asignación de auditoría o aseguramiento de TI solo si la materia de la asignación puede
evaluarse con los criterios pertinentes.
 Revisar el alcance de la asignación de auditoría o aseguramiento de TI para determinar que esté
claramente documentada para que pueda comunicarse claramente a los auditados.
 Identificar y abordar cualquier restricción sobre la asignación que se realiza, incluyendo, sin estar
limitado a, el acceso a información apropiada, relevante y oportuna.
 Hacer provisiones para casos en las que las representaciones escritas no pueden obtenerse de la
gerencia del auditado responsable. Por ejemplo, las representaciones orales podrían obtenerse y
documentarse en los papeles de trabajo.
Propósito
COBIT 2019
cumplimiento de los
requisitos externos
Estándar general 1005: Debido cuidado profesional
Declaración 1005.1 Conforme con el Código de Ética Profesional de ISACA, los auditores ejercerán la diligencia
debida y cuidado profesional. Mantendrán altos estándares de conducta y carácter y evitarán participar
en actos que podrían desacreditarles a ellos o a la profesión. La privacidad y confidencialidad de
información obtenida debe mantenerse durante el curso de los deberes del auditor. Además, esta
información no debería usarse para beneficio personal, ni la información debería divulgarse a menos
que así lo requiera la autoridad legal.
Directrices generales 2005: Debido cuidado profesional
2005.1 El propósito de esta guía es aclarar el término “debido cuidado profesional” ya que se aplica a la planificación,
realización y generación de informe de una asignación de auditoría con integridad y cuidado en conformidad con el Código de
Ética Profesional de ISACA. Tenga en cuenta que el debido cuidado profesional implica competencia y cuidado razonable, no
desempeño extraordinario o infalibilidad.
2005.2 Escepticismo y competencia profesional
2005.3 Aplicación
33
2005.4 Ciclo de vida de la asignación
2005.5 Comunicación
2005.6 Obtención y gestión de información
2005.2 Escepticismo y competencia profesional
2005.2.1 El debido cuidado profesional se aplica al ejercicio del juicio profesional en la conducta del trabajo
realizado. El debido cuidado profesional implica que los profesionales deben enfocar los asuntos que
requieren juicio con escepticismo profesional, diligencia, integridad y cuidado. Deben mantener esta
actitud a lo largo de toda la asignación.
2005.2.2 Los profesionales deben mantener la competencia, objetividad e independencia, tanto en mente como
aspecto, en todos los asuntos relacionados con la conducta de la asignación de la auditoría. Deben ser
honestos, imparciales y objetivos a la hora de abordar problemas y llegar a conclusiones.
2005.2.3 Ejercer un cuidado profesional debido requiere que los profesionales consideren la posible existencia
de ineficiencias, usos indebidos, errores, limitaciones de alcance, incompetencia, conflictos de interés o
fraude. También debe hacer que los profesionales estén atentos a condiciones o actividades
determinados cuando estos problemas pueden ocurrir.
2005.2.4 Los profesionales deben estar informados y cumplir con los avances de los estándares profesionales
para demostrar una compresión y competencia profesional suficientes para alcanzar los objetivos de
auditoría y aseguramiento de TI.
2005.2.5 Los profesionales deben conducir una asignación de auditoría con diligencia al tiempo que se adhieren
a estándares y requerimientos estatutarios y regulatorios.
2005.3 Aplicación
2005.3.1 El debido cuidado profesional debe extenderse a cualquier aspecto de la auditoría, incluidos, sin estar
limitado a, evaluar el riesgo de auditoría, aceptar la asignación de la auditoría, establecer el alcance de
la auditoría, formular los objetivos de la auditoría, planificar la auditoría, conducir la auditoría, asignar
recursos a la auditoría, seleccionar pruebas de auditoría, evaluar resultados de pruebas, documentar la
auditoría, llegar a conclusiones de la auditoría, generar informes y presentar los resultados de la
auditoría y llevar a cabo actividades de seguimiento. Al hacerlo, los profesionales deben determinar o
evaluar lo siguiente:
 Tipo, nivel, habilidad y competencia de recursos requeridos para cumplir con los estándares de
auditoría y aseguramiento de TI
 Importancia del riesgo identificado y el efecto potencial de dicho riesgo en el asunto de la
auditoría
 Suficiencia, validez y relevancia de la evidencia de auditoría reunida

 Competencia, integridad y conclusiones de otros de cuyo trabajo dependen los profesionales
2005.3.2 El debido cuidado profesional también requiere que los profesionales lleven a cabo todas las
asignaciones con el concepto de aseguramiento razonable en mente.
2005.3.3 Los profesionales deben servir a los intereses de los accionistas en una forma legal y honesta, y al
mismo tiempo mantener altos estándares de conducta y de carácter, y no involucrarse en actos que
puedan desacreditar la profesión.
2005.4 Ciclo de vida de la asignación
2005.4.1 Los profesionales deben planificar la asignación de auditoría completamente y de forma oportuna
ejerciendo el debido cuidado profesional para garantizar la disponibilidad de los recursos adecuados y
la realización oportuna de la asignación de la auditoría. Los profesionales asignados al proyecto deben
poseer las habilidades, conocimiento y competencias relevantes necesarias para llevar a cabo la
asignación de auditoría.
2005.4.2 Los profesionales deben llevar a cabo la asignación de auditoría aplicando el debido cuidado
profesional, es decir, siguiendo los estándares profesionales adecuados para garantizar una conclusión
u opinión de la auditoría completa y de calidad.
2005.4.3 Los profesionales deben ejercer el debido cuidado profesional a la hora de determinar que las medidas
correctivas de la gerencia abordan eficazmente los hallazgos de la auditoría.
2005.5 Comunicación
2005.5.1 Los roles y responsabilidades definidos deben comunicarse a los miembros del equipo antes del inicio
del proyecto para garantizar la adherencia del equipo a los estándares profesionales adecuados
durante la asignación de la auditoría.
2005.5.2 Durante la asignación de la auditoría, los profesionales deben comunicarse adecuadamente con
auditores y partes interesadas relevantes para garantizar su cooperación.
2005.5.3 Los profesionales deben abordar sus hallazgos con los auditados de la asignación de la auditoría.
2005.5.4 Los profesionales deben documentar y comunicar a las partes correspondientes cualquier
preocupación relacionada con la aplicación de los estándares profesionales para resolver dichas
preocupaciones.
2005.5.5 Los profesionales deben ejercer el debido cuidado profesional al informar a las partes
correspondientes de los resultados del trabajo realizado.
2005.6 Obtención y gestión de información
2005.6.1 Los profesionales deben tener una expectativa razonable de que la dirección entiende sus obligaciones
y responsabilidades para proporcionar información apropiada, relevante y oportuna necesaria para
realizar la asignación de la auditoría.
2005.6.2 Los profesionales deben tomar medidas razonables para mantener la privacidad y la confidencialidad
de la información obtenida en el curso de su función a menos que la autoridad legal requiera su
revelación. Dicha información no debe usarse para beneficio personal ni revelarse a partes no
adecuadas.
35
2005.6.3 La información debe obtenerse, usarse, retenerse y eliminarse adecuadamente conforme a las políticas
de la organización y legislación, normas y regulaciones relevantes.

 Realizar las asignaciones con integridad y cuidado.
 Demostrar una comprensión y competencia suficiente para lograr los objetivos de la asignación.
 Mantener el escepticismo profesional durante la asignación.
 Mantener la competencia profesional manteniéndose informado sobre, y cumpliendo con, los
desarrollos en estándares profesionales.
 Comunicar las funciones y responsabilidades a los miembros del equipo y garantizar el
cumplimiento del equipo de los estándares adecuados al realizar las asignaciones.
 Abordar todas las preocupaciones relativas a la aplicación de los estándares durante la realización
de la asignación.
 Mantener comunicaciones efectivas con las partes interesadas relevantes durante la asignación.
 Tomar medidas razonables para proteger la información obtenida o derivada durante la asignación
de divulgación involuntaria a partes no autorizadas.
 Realizar todas las asignaciones teniendo en cuenta el concepto de aseguramiento razonable El
nivel de pruebas variará con el tipo de asignación.
 Considerar el uso de técnicas de análisis de datos y tecnología relevantes y la competencia de los
auditores usando la tecnología y las técnicas.
 Considerar el coste de la asignación relativa a los posibles beneficios.
Objetivos de gobierno y
Propósito
gestión de COBIT 2019
marco de gobierno relacionados con la I&T se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
APO07 Gestionar los Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.
recursos humanos
cumplimiento de los
requisitos externos
Estándar general 1006: Competencia
Declaraciones 1006.1 Los profesionales del aseguramiento y de la auditoría de TI, junto con el resto de personas que
ayudan en las actividades de auditoría y aseguramiento, deben poseer las competencias adecuadas
para realizar el encargo requerido.
1006.2 TI los profesionales de auditoría y aseguramiento de TI deben poseer el conocimiento
adecuado sobre la materia a la hora de llevar a cabo su rol en las auditorías y aseguramiento de TI.
1006.3 Los profesionales de auditoría y aseguramiento de TI deben mantener la aptitud profesional

mediante la capacitación y el entrenamiento profesional continuo y adecuado.
Directrices generales 2006: Competencia
2006.1 Introducción Esta directriz asiste a los profesionales de aseguramiento y auditoría de TI para adquirir los
conocimientos y habilidades necesarias y mantener las competencias profesionales al llevar a cabo encargos de auditoría. El
contenido de la sección de guía se estructura para proporcionar información sobre los siguientes temas clave de auditoría y
aseguramiento de TI:
2006.2 Competencia profesional
2006.3 Evaluación
2006.4 Alcanzar el nivel de competencia deseado
2006.2 Competencia profesional
2006.2.1 La competencia profesional denota posesión de habilidades, conocimiento y experiencia, a través de

un nivel adecuado de educación y experiencia para realizar convenientemente un encargo de auditoría.
2006.2.2 La gerencia de auditoría y aseguramiento de TI debe comunicar el nivel de competencia profesional

deseado y/o esperado, basado en referencias adecuadas, para los diferentes roles en encargos de
auditoría, y garantizar que dichas referencias se revisan y actualizan periódicamente. La gerencia de
auditoría y aseguramiento de TI debe documentar la competencia profesional requerida para varios
niveles del trabajo, por ejemplo, documentando las descripciones de trabajo/puesto o formulando una
matriz de habilidades que indica la competencia profesional requerida para los distintos niveles de
puestos.
2006.2.3 La gerencia de auditoría y aseguramiento de TI debe proporcionar un aseguramiento razonable de los
recursos competentes requeridos para llevar a cabo encargos de auditoría definidos en el plan de
auditoría de TI. La disponibilidad de dichos recursos competentes debe confirmarse y asegurarse antes
de comenzar el encargo de auditoría.
2006.2.4 La gerencia de auditoría y aseguramiento de TI debe garantizar que los miembros del equipo son
competentes para realizar un encargo de auditoría. La identificación de competencias profesionales
principales de los miembros del equipo asistirá en la utilización eficiente de recursos disponibles.
2006.2.5 Los profesionales deben proporcionar un aseguramiento razonable de que poseen el nivel requerido de
competencia profesional. Deben adquirir las habilidades y conocimiento profesionales y técnicos
requeridos para llevar a cabo cualquier encargo que acuerden realizar.
2006.2.6 Las habilidades y conocimiento de los profesionales varían dependiendo de sus puestos y roles
asignados en el encargo de auditoría. Los requerimientos para las habilidades y conocimiento de la
gerencia deben ser proporcionales a los niveles de responsabilidad.
37
2006.2.7 Las habilidades y conocimiento incluyen el dominio de la identificación y valoración de riesgos y

controles, así como la aplicación y uso de herramientas y técnicas de auditoría. Los profesionales
deben poseer el conocimiento analítico y técnico junto con las habilidades de presentación,
interpersonales y de entrevistas.
2006.2.8 Los profesionales deben poseer el conocimiento para identificar y determinar el impacto de posibles
condiciones o desviaciones al encargo de auditoría y comunicarlos adecuadamente.
2006.2.9 Los profesionales deben poseer la habilidad para reconocer posibles indicadores de fraude.
2006.2.10 Además del conocimiento de tecnología de la información, los profesionales deben tener un
conocimiento general de los fundamentos del negocio, por ejemplo, economía, finanzas, contabilidad,
riesgo, impuestos y legislación, para evitar que se les pasen por alto posibles problemas o deficiencias.
2006.2.11 Es adecuado que los profesionales compartan sus experiencias, buenas prácticas adoptadas,
lecciones aprendidas y conocimiento adquirido con los miembros del equipo para mejorar sus
competencias profesionales. Las competencias profesionales de los miembros del equipo se mejoran
mediante sesiones de creación de equipos, talleres, conferencias, seminarios, cursos y otros modos de
interacción.
2006.2.12 Para garantizar la disponibilidad de habilidades adecuadas, deben evaluarse medios alternativos de
adquirirlas, por ejemplo, subcontratando recursos específicos, externalizando una parte de las tareas
de aseguramiento y auditoría de TI y/o retrasando el encargo de auditoría hasta que estén disponibles
las competencias requeridas.
2006.2.13 La experiencia externa puede obtenerse externalizando parte o todo el encargo/actividad. La
colaboración entre los recursos externalizados y los profesionales internos garantiza que el
conocimiento y las habilidades se desarrollan y mantienen internamente.
2006.2.14 Si cualquier parte del encargo de auditoria se externaliza o se obtiene la ayuda de expertos, debe
proporcionarse un aseguramiento razonable de que la agencia de externalización o el experto externo
posee la competencia profesional requerida.
2006.2.15 Si la asistencia del experto se obtiene de forma continua, la competencia profesional de esos expertos
externos debería medirse, monitorearse y revisarse periódicamente con los estándares o referencias
profesionales.
2006.3 Evaluación
2006.3.1 Los profesionales deben monitorizar sus habilidades y conocimiento continuamente para mantener el
nivel de competencia profesional adecuado. La gestión de aseguramiento y auditoría de TI debe
evaluar periódicamente la competencia profesional.
2006.3.2 La evaluación del desempeño de los profesionales debe llevarse a cabo de una forma que sea justa,
transparente, fácilmente comprensible, clara, sin sesgos y ser considerada una práctica generalmente
aceptable en el entorno laboral.
2006.3.3 Los criterios y procedimientos de evaluación deben estar claramente definidos, pero pueden variar
dependiendo de las circunstancias, como la ubicación geográfica, el clima político, la naturaleza del
encargo, la cultura y otras circunstancias similares.
2006.3.4 En el caso de un equipo de profesionales, la evaluación debe llevarse a cabo internamente entre
equipos o individuos de forma transversal.
2006.3.5 En el caso de un único profesional independiente, las evaluaciones entre compañeros deben llevarse a
cabo siempre que sea posible. Si una revisión entre compañeros no es posible, debe conducirse y
documentarse una autoevaluación.
2006.3.6 La evaluación del desempeño de los profesionales debe llevarse a cabo por el nivel de gerencia
adecuado.
2006.3.7 Las brechas percibidas durante la evaluación deben abordarse adecuadamente.
2006.4 Alcanzar el nivel de competencia deseado
2006.4.1 Las diferencias percibidas entre el nivel actual de competencia profesional y el nivel de competencia
profesional esperado deben registrarse y analizarse. Si existe una deficiencia importante en cualquier
recurso, ese recurso no debe considerarse para conducir un encargo de auditoría.
2006.4.2 Es importante determinar la causa de la diferencia y llevar a cabo las medidas de corrección
adecuadas, por ejemplo, formación y educación profesional continua (CPE) lo antes posible.
2006.4.3 Las actividades de formación requeridas para un encargo de auditoría deben completarse dentro de un
plazo razonable y antes del inicio de la actividad de auditoría.
2006.4.4 La eficacia de la formación debe medirse al completar la formación.
2006.4.5 La documentación de las habilidades requeridas, por ejemplo, una matriz de competencias,
conforme a lo formulado por la gerencia de auditoría y aseguramiento de TI, ayudará a identificar las
diferencias y las necesidades de formación. Una matriz puede utilizarse como ayuda para los recursos
disponibles y sus habilidades y conocimiento.
2006.4.6 Los registros de la formación proporcionada, junto con las observaciones sobre la formación y la
eficacia de la formación, debe mantenerse, analizarse y referenciarse para uso futuro.
2006.4.7 La CPE es una metodología adoptada por ISACA para mantener una competencia profesional y
actualizar las habilidades y conocimiento.
2006.4.8 Los programas de CPE deben ayudar a mejorar las habilidades y conocimiento relacionados con los
requerimientos profesionales y técnicos de la auditoría de TI, riesgo, seguridad, privacidad y
gobernanza. Los organismos profesionales especifican programas elegibles para reconocimiento de
CPE. Los profesionales deben cumplir con las normas establecidas por sus respectivos organismos
profesionales.
2006.4.9 Los organismos profesionales establecen la metodología para alcanzar los créditos CPE y los créditos
mínimos que los interesados deberían obtener periódicamente. Los profesionales deben cumplir las
normas establecidas por sus respectivos organismos profesionales. Si los profesionales se asocian
con más de un organismo profesional con el propósito de alcanzar los créditos mínimos, deben usar su
juicio profesional a la hora de obtener los créditos CPE de forma común a los programas elegibles,
siempre que la misma sea coherente con las reglas/directrices establecidos por los respectivos
organismos profesionales.
2006.4.10 ISACA tiene una política integral sobre CPEs, aplicable a sus miembros y titulares de la certificación
CISA. Los profesionales con la designación CISA deben cumplir con la política de CPEs de ISACA. Los
detalles de la política están disponibles en www.isaca.org/credentialing/cisa/maintain-cisa-certification.
2006.4.11 Según lo establecido por los respectivos organismos profesionales, incluido ISACA, los profesionales
deben mantener registros adecuados de los programas de CPE, conservarlos durante periodos
específicos y, si se precisa, ponerlos a disposición para su auditoría.
39

 Demostrar que poseen competencias profesionales suficientes (habilidades, conocimiento y
experiencia relevante al encargo planificado) de forma previa al comienzo del encargo.
 Evaluar medios alternativos para adquirir las habilidades necesarias para realizar un encargo, que
incluyen subcontratación, externalizar una parte de las tareas, demora el encargo hasta que esas
habilidades se encuentren disponibles o asegurando, de alguna otra manera, que las habilidades
adecuadas se encuentren disponibles.
 Asegurar que los miembros del equipo implicados en el encargo de auditoría y aseguramiento de
TI poseen una designación CISA u otra designación profesional relevante y que tengan suficiente
educación, capacitación y experiencia laboral.
 Proporcionar un aseguramiento razonable, cuando lidera un encargo de auditoría o aseguramiento
de TI, de que todos los miembros del equipo cuenten con el nivel adecuado de competencia
profesional para llevar a cabo el trabajo que se espera que realicen.
 Tener suficiente conocimiento en las áreas clave para permitir la realización del encargo de
auditoría o aseguramiento de TI de manera efectiva y eficaz, junto con otros miembros del equipo
y especialistas implicados.
 Cumplir con los requerimientos de desarrollo o educación profesional continua de CISA u otras
certificaciones profesionales relevantes.
 Actualizar constantemente el conocimiento profesional mediante cursos educativos, seminarios,
conferencias, webcasts y capacitación del puesto de trabajo para brindar un nivel de servicio
profesional que sea proporcional a los requerimientos de la función de auditoría o aseguramiento
de TI.
 Si resulta improbable que las competencias requeridas estén disponibles en el intervalo de tiempo
requerido, considere realizar el trabajo con recursos externos.
Enlace a COBIT® 2019 para el Estándar 1006 y las Directrices 2006
Propósito
EDM04 Asegurar la Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que
optimización de los costes de TI se optimicen, y que exista una mayor probabilidad de obtener beneficios y buena
recursos disposición para cambios futuros.
recursos humanos
1007—Estándares generales Afirmaciones
Declaración 1007.1 Los profesionales de auditoría y aseguramiento de TI deben revisar los hallazgos con las que la
materia será evaluado para determinar que dichas afirmaciones sean capaces de ser auditadas y que
los hallazgos sean suficientes, válidas y relevantes.
Directrices generales 2007: Afirmaciones
2007.1 Introducción El propósito de esta directriz es detallar las diferentes afirmaciones, guiar a los profesionales de
auditoría y aseguramiento de TI para garantizar que los criterios, contra los cuales debe evaluarse la materia, respaldan los
hallazgos y proporcionan una guía para formular una conclusión y la elaboración de un informe sobre los hallazgos. La
sección de la directriz se estructura para proporcionar información sobre los temas principales de auditoría y aseguramiento
de TI siguientes:
2007.2 Afirmaciones
2007.3 Criterios de temas
2007.4 Afirmaciones desarrolladas por terceros
2007.5 Conclusión y informe
2007.2 Afirmaciones
2007.2.1 Los hallazgos son declaraciones o conjuntos de declaraciones sobre si un tema se basa o es conforme a
los criterios seleccionados. Los profesionales deben considerar estas afirmaciones a través de la ejecución
de un encargo de auditoría, obtener el aseguramiento en sus logros y abordarlos en un informe de auditoría.
2007.2.2 Los hallazgos comunes que pueden considerarse incluyen:

 Confidencialidad—Preservar restricciones autorizadas en el acceso y la divulgación, que incluyen un
medio de proteger la privacidad y propiedad de los datos.
 Integridad—Todas las actividades, información y otros datos que deberían registrarse se han
registrado, por ejemplo, todos los cambios del sistema de TI a producción se registran en la aplicación
de seguimiento de gestión de cambios.
 Precisión—Cantidades, fechas y otros datos relacionados con actividades registradas se han
registrado adecuadamente, por ejemplo, los datos relacionados con los cambios a producción
del sistema de TI se muestran adecuadamente en los registros de cambio de la aplicación de

seguimiento de gestión de cambios.
 Integridad—La información, evidencia y otros datos recibidos provienen de fuentes fidedignas y fiables
y se protegen durante sus ciclos de vida, por ejemplo, comparar el hash tras realizar una copia de
seguridad con el hash inmediatamente anterior a la restauración para comprobar algún indicio de
manipulación.
 Disponibilidad—La información, evidencia y otros datos requeridos para el encargo de auditoría existen
y son accesibles, por ejemplo, los registros de cambios requeridos existen y se puede acceder a ellos
en la aplicación de seguimiento de gestión de cambios.
 Cumplimiento—La información, evidencia y otros datos se registran conforme a la empresa,
regulaciones y otras estipulaciones aplicables, por ejemplo, los campos requeridos, conforme a las
estipulaciones aplicables, están presentes en los registros de cambios de la aplicación de seguimiento
de gestión de cambios.
 Eficiencia—El nivel de desempeño utilizado permite que con el número de aportaciones más bajo se
obtiene el número de resultados más alto.
 Eficacia—Se produce el resultado u objetivo deseado.
2007.2.3 La gerencia es responsable de definir y aprobar la materia y los hallazgos relacionadas. Los profesionales
deben garantizar que cualquier afirmación que ha sido desarrollada por la gerencia es lo que esperaría un
lector o usuario con conocimiento en relación a otros estándares de cierta autoridad.
41
2007.2.4 Una condición previa para que los profesionales acepten el encargo de auditoría debe ser la confirmación
de la gerencia de que entiende completamente su responsabilidad para proporcionarle toda la información
requerida sobre la materia y los hallazgos a los profesionales. Si los profesionales creen que la gerencia no
será capaz de cumplir con su responsabilidad, deben:
 Informar a la gerencia de auditoría y aseguramiento de TI y aquellos encargados del gobierno de la
función de auditoría del problema identificado.
 No aceptar el encargo de auditoría propuesto ni determinar una línea de acción basada en el nivel de
riesgo asociado con el encargo.
2007.2.5 Los profesionales deben repasar los hallazgos seleccionadas para la asignación de auditoría y garantizar
que son:
 Suficientes—Suficientes para cumplir con el encargo de auditoría, que es expresar una opinión y
conclusión del tema dentro del alcance
 Válidas—Poder probarlas, dado el alcance del tema
 Relevantes—Directamente conectadas al alcance del tema y útiles para cumplir con el propósito del
encargo de auditoría.
2007.3 Criterio sobre el tema
2007.3.1 Los profesionales deben valorar la materia del encargo de auditoría frente a criterios predeterminados
para expresar una conclusión u opinión sobre la materia. Los profesionales deben evaluar los criterios
para garantizar que respaldan los hallazgos relevantes.
2007.3.2 Un criterio puede vincularse con múltiples afirmaciones. Además, una afirmación puede verse
respaldada por múltiples criterios. Todo puede contribuir a asegurar que se alcanza la afirmación.
2007.3.3 Si los profesionales concluyen que los criterios no respaldan completamente todas los hallazgos
relevantes, deben recomendar cambios o adiciones a los criterios actuales. La Gerencia de la auditoría
y aseguramiento de TI debe revisar y aprobar o rechazar los criterios nuevos o modificados.
2007.3.4 Tras evaluar que los criterios respaldan completamente los hallazgos relevantes, los profesionales
deben evaluar si los criterios pueden someterse a un análisis objetivo y medible.
2007.4 Afirmaciones desarrolladas por terceras partes
2007.4.1 Las operaciones de externalización (outsourcing) de la empresa a terceros recibirán informes sobre el
entorno de control de las operaciones externalizadas (outsourced). Si una auditoría y aseguramiento de
TI depende de informes relacionados con operaciones externalizadas (outsourced) para respaldar el
encargo de auditoría, entonces los profesionales deben revisar cada informe para determinar si:
 El informe se emite por un organismo profesional independiente y relevante.
 La opinión de la auditoría es cualificada o no cualificada.
 El ámbito de los objetivos de control cubre adecuadamente los controles requeridos por la
empresa.
 El periodo que se audita está en línea con las expectativas de la empresa.
 Las deficiencias de control específicas (que no conducen a una cualificación total del informe) son
relevantes para la empresa.
 Los hallazgos que se usan están en línea con los hallazgos requeridos. La gestión de la auditoría y
aseguramiento de TI deben documentar el análisis realizado y las conclusiones alcanzadas. Los
profesionales deben garantizar que los hallazgos se verifican y aprueban por la gerencia, como
parte de un encargo de auditoría que tiene el alcance de las operaciones externalizadas
(outsourced).
2007.4.2 Las empresas también pueden recibir informes de terceros, como consultores o auditores externos.
2007.5 Conclusión e informe
2007.5.1 Tras evaluar la materia del encargo de auditoría con respecto a los criterios, los profesionales deben
formular una conclusión sobre cada afirmación, en base al agregado de los hallazgos empleando los
criterios junto con el buen juicio profesional.
2007.5.2 Tras formar una conclusión, los profesionales emitirán un informe indirecto o directo sobre la materia.
 Informe indirecto—De los hallazgos sobre la materia, por ejemplo, de la afirmación «integridad» de
un componente del tema: “Basado en nuestras pruebas de eficiencia operativa, en nuestra opinión
los cambios del sistema de TI promocionados a producción, en todos los aspectos de acuerdo
con el criterio seleccionado, han sido registrados completamente en la aplicación de seguimiento
de gestión de cambios”.
 Informe directo—Del tema en sí, por ejemplo, sobre todo la materia: “Basado en nuestras pruebas,
en nuestra opinión los cambios del sistema de TI siguen, en todos los aspectos de acuerdo con
los criterios seleccionados, el procedimiento de gestión de cambios requerido”.

 Evaluar los criterios con los que la materia será evaluada para asegurarse de que respaldan los
hallazgos.
 Determinar si se pueden auditar los hallazgos y si están respaldados por información de
corroboración.
 Determinar si los hallazgos están basados en criterios que son determinados de manera
apropiada y están sujetos a análisis objetivo y medible.
 Garantizar que cualquier afirmación desarrollada por la gerencia, en comparación con otros
estándares de pronunciamiento de la autoridad, es suficiente para cumplir las expectativas
razonables de que los hallazgos son correctos.
 Asegurar que cualquier afirmación que ha sido desarrollada por terceros que operan controles en
nombre de la empresa es verificada y aceptada por la dirección.
 Presentar informes del tema directamente (informe directo) o mediante un hallazgo sobre la
materia (informe indirecto).
 Formular una conclusión sobre cada hallazgo en base al agregado de los descubrimientos
empleando los criterios junto con el buen juicio profesional.
43
Propósito
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse que los procesos
marco de gobierno relacionados con TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para TI; la entrega rentable
obtención de beneficios de soluciones y servicios; y una imagen confiable y precisa de los costos y beneficios probables para
que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con TI no exceda el apetito y tolerancia al riesgo de
optimización del riesgo la empresa, que se identifique y gestione el impacto del riesgo de TI para el valor de negocio y que se
minimicen los posibles fallos de cumplimiento.
EDM04 Asegurar la Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que
optimización de los costes de TI se optimicen, y que exista una mayor probabilidad de obtener beneficios y buena
recursos disposición para cambios futuros.
Estándar general 1008: Criterios
Declaraciones 1008.1 Los profesionales de aseguramiento y auditoría de TI deben seleccionar los criterios con los
que se evaluará la materia, que sean objetivos, completos, relevantes, fiables, medibles, comprensibles,
ampliamente reconocidos, autorizados y comprendidos por, o disponibles para, todos los lectores y
usuarios del informe.
1008.2 Los profesionales de aseguramiento y auditoría de TI deben considerar la aceptabilidad de los
criterios y centrarse en criterios que estén reconocidos, autoritarios y estén públicamente disponibles.
Directrices generales 2008: Criterios
2008.1 Introducción El propósito de esta directriz es ayudar a los profesionales de auditoría y aseguramiento de TI a
seleccionar los criterios, contra los cuales se evaluará la materia, que sean adecuados, aceptables y provengan de una fuente
relevante. La sección de contenido de la directriz se estructura para proporcionar información sobre los siguientes temas de
auditoría clave y trabajos de aseguramiento:
2008.2 Selección y uso de criterios
2008.3 Pertinencia
2008.4 Aceptabilidad
2008.5 Fuente
2008.6 Cambio de criterio durante la asignación de auditoría
2008.2 Selección y uso de criterios
2008.2.1 Los profesionales deben seleccionar los criterios sobre los que se evaluará la materia. Al seleccionar
los criterios, los profesionales deben considerar cuidadosamente la adecuación, aceptabilidad y fuente
de los criterios.
2008.2.2 Los profesionales deben considerar la selección de criterios cuidadosamente. Cumplir con las
regulaciones y leyes locales es importante y debe considerarse como un requerimiento obligatorio. Sin
embargo, se reconoce que muchos encargos de auditoría incluyen áreas, tales como gestión de
cambios, controles de acceso y controles generales de TI, no cubiertos por regulaciones o leyes.
Además, algunas industrias, como la industria de tarjetas de pagos, han establecido requerimientos
obligatorios. La relevancia de las normas de protección de datos locales e internacionales y las
regulaciones de privacidad y seguridad deben tenerse en consideración. Cuando los requerimientos
legislativos no son prescriptivos, los profesionales deben asegurar que los criterios seleccionados
cumplan con los objetivos de la asignación para garantizar el cumplimiento de la legislación.
2008.2.3 El uso de criterios adecuados y aceptables se requiere para garantizar una evaluación uniforme del
tema. De no ser así, cualquier conclusión u opinión formada estará abierta a malentendido y malas
interpretaciones por parte del lector.
2008.2.4 Los profesionales deben evitar evaluar la materia basándose en expectativas, experiencias o juicios
personales.
2008.2.5 Cuando los criterios no estén fácilmente disponibles, estén incompletos o sujetos a interpretación, los
profesionales deben incluir una descripción de los criterios y cualquier otra información necesaria para
asegurar que el informe sea justo, objetivo y comprensible.
2008.2.6 El juicio profesional debe usarse para asegurar que el uso de los criterios puede permitir el desarrollo
de una conclusión y opinión o conclusión objetiva y justa que no ocasione una interpretación errónea
por parte del lector o usuario. Hay que admitir que la dirección quizás presenten criterios que no
cumplan con todos los requerimientos.
45
2008.3 Pertinencia
2008.3.1 Los profesionales deben evaluar la idoneidad y adecuación de los criterios utilizados para evaluar la
materia. El criterio de muestra “La legislación local estipula que toda la información personal de los
clientes debería mantenerse privada al realizar transacciones de datos» se utiliza para aclarar los
siguientes atributos de criterios:
 Objetividad—Libre de sesgo que pudiera afectar adversamente los hallazgos y las conclusiones de
los profesionales y, en consecuencia, pudieran ocasionar una interpretación errónea por parte del
usuario del informe de la auditoría, por ejemplo, el criterio es objetivo porque fue ratificado por la
legislación local.
 Integridad—Suficientemente completo de modo que todos los criterios que pudieran afectar a las
conclusiones de los profesionales se identifican y usan al realizar el encargo de auditoría. Así, la
totalidad de todos los criterios usados debe alcanzarse, dados los objetivos del encargo de
auditoría.
 Relevancia—Relevante para la materia y contribuye con los hallazgos y las conclusiones que
satisfacen los objetivos del encargo de la auditoría. Los criterios deben ser sensibles al contexto;
incluso para la misma materia, pueden existir distintos criterios dependiendo de los objetivos y
circunstancias del encargo de auditoría, por ejemplo, el criterio se considera relevante porque las
transacciones de datos están dentro del alcance del encargo de auditoría.
 Confiabilidad—Los criterios deben permitir medir o evaluar de forma razonablemente consistente,
así como el desarrollo de conclusiones coherentes cuando sean aplicados por diferentes
profesionales en circunstancias similares.
 Cuantificabilidad—Permite una medición consistente del tema, así como el desarrollo de
conclusiones coherentes cuando sean aplicados por diferentes profesionales en circunstancias
similares, por ejemplo, el criterio se mide porque cada transacción de datos con información
personal no protegida puede identificarse de forma única y medirse así de forma constante.
 Comprensión—Comunicado claramente y no sujeto a interpretaciones significativamente
diferentes por los usuarios objetivo, por ejemplo, el criterio es comprensible porque esta sección
de la ley ya ha estado sujeta a numerosas sentencias de tribunales, lo que ayuda a establecer una
comprensión clara sobre la ejecución e interpretación prácticas de la ley.
2008.4 Aceptabilidad
2008.4.1 La aceptación de los criterios se ve afectada por la disponibilidad de los criterios para los usuarios del
informe de auditoría, de modo que los usuarios entiendan la base de la actividad de aseguramiento y la
relevancia de los hallazgos y las conclusiones.
Los criterios aceptables incluyen aquellos que son:
 reconocido;—Suficientemente bien reconocidos para que su uso no sea cuestionado por los
usuarios objetivo.
 Autorizado—Reflejar pronunciamientos autorizados dentro del área y apropiados para la materia,
por ejemplo, los pronunciamientos autoritarios pueden provenir de organismos profesionales,
grupos industriales, gobierno y reguladores.
 Disponible públicamente—Incluye estándares desarrollados por organismos de auditoría y
contabilidad profesionales como ISACA, la Federación Internacional de Contadores (IFAC) y otros
organismos profesionales, legales o gubernamentales reconocidos.
 Disponible para todos los usuarios.—Cuando los criterios no están públicamente disponibles,
éstos deben ser comunicados a todos los usuarios mediante afirmaciones que formen parte del
informe de auditoria. Los hallazgos consisten en declaraciones sobre la materia que cumplen con
los requerimientos de “criterios adecuados” para que puedan ser auditados.
2008.4.2 Los profesionales deben garantizar que los criterios usados en un encargo de auditoría sean bien:
 Externamente aceptados—Reconocidos, autoritarios y públicamente disponibles; o
 Externamente confirmados—Los criterios desarrollados por la gerencia para un encargo de
auditoría específico no se consideran reconocidos, autoritarios y públicamente disponibles. Antes
de su uso, dichos criterios requieren de una validación externa por parte de una tercera parte
reconocida para garantizar que la gerencia no impone implícitamente un resultado deseado al
encargo de auditoría.
2008.5 Fuente
2008.5.1 Además de considerar la idoneidad y la disponibilidad de los criterios de aseguramiento de TI, los
profesionales deben considerar la fuente de los criterios, en términos de su uso y posible audiencia.
Por ejemplo, si la materia implica regulaciones gubernamentales, los criterios basados en los hallazgos
desarrolladas a partir de la legislación y las regulaciones que se aplican al tema pueden ser más
apropiados. En otros casos, los criterios de la asociación de comercio o industria pueden ser
relevantes. Las posibles fuentes de criterios, enumeradas en el fin de consideración, incluyen:
 Criterios establecidos por ISACA—Estos son criterios públicamente disponibles y estándares que
han sido expuestos para revisión por parte de compañeros y un exhaustivo proceso de debida
diligencia por expertos internacionales reconocidos en seguridad, gobierno, privacidad, riesgo,
auditoría de TI.
 Criterios establecidos por otros organismos de expertos—Similares a los criterios y estándares de
ISACA, éstos son relevantes para la materia y han sido desarrollados y expuestos para revisión de
compañeros y un exhaustivo proceso de debida diligencia por expertos en varios campos.
 Criterios establecidos por leyes y regulaciones—Si bien las leyes y regulaciones pueden brindar la
base de los criterios, debe tenerse cuidado en su uso. La terminología es a menudo compleja y
acarrea un significado legal específico. En muchos casos, puede ser necesaria para reafirmar los
requerimientos como afirmaciones. Además, expresar una opinión sobre la legislación está
normalmente restringido a los miembros de la profesión legal.
 Criterios establecidos por entidades que no siguieron el debido proceso—Estos incluyen criterios
relevantes desarrollados por entidades que no respetaron el debido proceso y no han sido sujetos
a debate y consulta pública.
 Criterios desarrollados específicamente para el encargo de auditoría—Aunque los criterios
desarrollados específicamente para el encargo de auditoría pueden ser adecuados, los
profesionales deberían tener un cuidado especial en garantizar que los criterios son adecuados,
especialmente objetivos, completos y medibles. Los criterios desarrollados específicamente para
un encargo de auditoría están en forma de afirmaciones. Normalmente tienen que ver con las
necesidades de un usuario específico. Por ejemplo, pueden usarse varios marcos de referencia
como criterios establecidos para valorar la efectividad del sistema de control interno Sin embargo,
un determinado usuario puede desarrollar una serie de criterios que cumpla con una necesidad
específica, por ejemplo, una jerarquía de aprobaciones autorizadas. Los profesionales deberían
mencionar claramente en el informe de auditoría que determinados criterios son específicos de la
asignación de auditoría. Deben considerar si los criterios desarrollados podrían confundir al
usuario objetivo y proporcionar más información sobre los criterios si se precisa. Si la gerencia
desarrolló los criterios, debe buscarse confirmación externa y mencionarse en el informe.
47
2008.6 Cambio de criterio durante la asignación de auditoría
2008.6.1 Conforme avanza la auditoría, la información adicional y reflexiones sobre la materia pueden conducir a
un cambio de los criterios seleccionados.
 Puede que ya no se necesiten determinados criterios para lograr el objetivo de auditoría, haciendo
necesario más trabajo de auditoría relacionado con los criterios innecesarios.
 Si se precisan criterios adicionales para lograr el objetivo de la auditoría, los profesionales
seleccionarán los criterios y llevarán a cabo el trabajo de auditoría relacionado.
Propósito
ESTÁNDARES DE DESEMPEÑO
Estándares de desempeño 1201: Evaluación de riesgo en planificación
Declaraciones 1201.1 La función de auditoría y aseguramiento de TI debe utilizar un enfoque de evaluación de riesgo
adecuado y metodología de respaldo para desarrollar el plan de auditoría general de TI y determinar las
prioridades para la asignación efectiva de los recursos de auditoría de TI.
1201.2 Los profesionales de auditoría y aseguramiento de TI deben identificar y evaluar el riesgo
relevante al área de revisión, cuando planifican los compromisos individuales.
1201.3 Los profesionales de auditoría y aseguramiento de TI deben considerar el riesgo de la materia,
el riesgo de la auditoría y la exposición relativa de la empresa.
Directrices de desempeño 2201: Evaluación de riesgo en planificación
2201.1 Introducción El propósito de esta directriz es ayudar a la identificación del riesgo y amenazas en el entorno de TI. La
directriz proporciona una guía para aplicar un enfoque de valoración de riesgos para desarrollar:
 Un plan de auditoría de TI que cubra todas los encargos de auditoría anuales
 Un plan de proyecto de asignación de auditoría que se centre en un encargo de auditoría específico
La directriz proporciona los detalles de los diferentes tipos de riesgo que encuentran los profesionales de auditoría y
aseguramiento de TI. La sección de contenido de la guía se estructura para proporcionar información sobre siguientes
aspectos clave de auditoría y encargos:
2201.2 Evaluación de riesgos del plan de auditoría de TI
2201.3 Metodología de valoración de riesgos
2201.4 Valoración de riesgos de encargos individuales
2201.5 Riesgo de auditoría
2201.6 Riesgo inherente
2201.7 Riesgo de control
2201.8 Riesgo de detección
2201.2 Evaluación de riesgos del plan de auditoría de TI
2201.2.1 Debe llevarse a cabo una valoración de riesgos durante el proceso de planificación de auditoría que
debe modificarse proactivamente, dependiendo de la evolución de las condiciones del negocio y el
riesgo emergente. Los profesionales deben considerar los planes y objetivos estratégicos organizativos
y las iniciativas y el marco de gestión del riesgo empresarial. Esto facilitará el proceso de desarrollo del
calendario de auditoría de TI.
49
2201.2.2 Para valorar correcta y completamente el riesgo relacionado con todo el alcance del área de auditoría
de TI, los profesionales deben considerar los elementos siguientes a la hora de desarrollar la
planificación de auditoría de TI:
 Cobertura total de todas las áreas dentro del alcance del universo de auditoría de TI, que incluye el
rango de todas las posibles actividades de auditoría y considera la criticidad de sistemas,
aplicaciones y procesos
 Fiabilidad y adecuación de la valoración de riesgos proporcionado por la gerencia
 Los procesos de la gerencia para supervisar, examinar e informar sobre posibles riesgos o
problemas
 Riesgo de cobertura en actividades relacionadas relevantes a las actividades bajo revisión
2201.2.3 El enfoque aplicado de valoración de riesgos debería ayudar con el proceso de priorización y
planificación del trabajo de auditoría y aseguramiento de TI. Debe respaldar la selección de áreas y
elementos de interés para la auditoría. Debe orientar el proceso de decisión para el diseño y la
realización de determinados encargos de auditoría de TI.
2201.2.4 Los profesionales deben asegurar que el enfoque de valoración de riesgos aplicado sea aprobado por
aquellos encargados del gobierno y distribuidos a las distintas partes interesadas en el encargo.
2201.2.5 Los profesionales deben usar las valoraciones de riesgos para cuantificar y justificar la cantidad de
recursos de la auditoría de TI necesarios para completar el plan de auditoría de TI y cumplir con los
requerimientos de encargos específicos.
2201.2.6 Basado en la valoración de riesgos, los profesionales deben desarrollar una planificación de auditoría
de TI que actúe como marco para las actividades de auditoría y aseguramiento de TI La gerencia debe:
 Considerar actividades y requerimientos de auditoría y aseguramiento que no sean de TI
 Actualizarse al menos anualmente
 Ser aprobado por los encargados de gobierno
 AAbordar responsabilidades establecidas por el estatuto de auditoría
2201.2.7 A la hora de desarrollar la totalidad del plan de auditoría de TI, debe seguirse un enfoque de valoración
de riesgos adecuado. El objetivo de la valoración de riesgos es identificar las partes de una actividad
que deberían recibir más atención en la auditoría y reducir el riesgo de alcanzar una conclusión
incorrecta.
2201.3 Metodología de valoración de riesgos
2201.3.1 Los profesionales deben considerar la metodología de valoración de riesgos adecuada para garantizar
la cobertura completa y precisa de los encargos de auditoría dentro de la planificación de auditorías de
TI.
2201.3.2 Los profesionales deberían incluir en la metodología al menos un análisis del riesgo de la empresa en
relación con la disponibilidad del sistema, la integridad de los datos y la confidencialidad de la
información empresarial.
2201.3.3 Hay disponibles muchas metodologías de valoración de riesgos para respaldar el proceso de
valoración de riesgos. Estas van desde clasificaciones sencillas de alto, medio y bajo, con base en el
juicio del profesional, hasta cálculos científicos más cuantitativos para proveer una clasificación
numérica del riesgo. Hay otras metodologías que son una combinación de ambas. Los profesionales
deben considerar el nivel de complejidad y detalle apropiados para la empresa o sujeto(s) que se esté
auditando. Puede encontrarse más información detallada sobre la realización de valoraciones de
riesgos en las publicaciones de ISACA, Marco de riesgos de TI y Guía del profesional de Riesgos de TI.
2201.3.4 Todas las metodologías de valoración de riesgos dependen de criterios subjetivos en algún punto del
proceso (por ejemplo, asignar importancia a los distintos parámetros) Los profesionales deben
identificar las decisiones subjetivas requeridas para usar una metodología específica y considerar si se
pueden hacer juicios y validarlos con un nivel de precisión y razonabilidad adecuados.
2201.3.5 Para determinar la metodología de valoración de riesgos más adecuada, los profesionales deben
considerar:
 Tipo de información requerida para ser recopilada. Algunos sistemas usan efectos financieros
como única medida, lo que no siempre es apropiado para los encargos de auditoría de TI.
 El coste del software u otras licencias requeridas para el uso de la metodología
 Hasta qué punto la información requerida ya está disponible
 Cantidad de información adicional requerida para su recopilación antes de que pueda obtenerse
un producto fiable y el coste de recopilar la información (incluida la inversión de tiempo requerida
en el ejercicio de la recopilación)
 Las opiniones de otros usuarios de la metodología y sus opiniones sobre lo mucho que les ha
ayudado a mejorar la eficiencia y/o eficacia de sus auditorías
 La buena disposición con la que los encargados del gobierno del área de auditoría de TI aceptan la
metodología como medio de determinar el tipo y el nivel del trabajo de auditoría llevado a cabo
2201.3.6 No se puede esperar que ninguna metodología de valoración de riesgos sea adecuada para todas las
situaciones. Los profesionales deben reevaluar periódicamente la adecuación de la metodología de
valoración de riesgos escogida porque los riesgos, amenazas, vulnerabilidades, apetito de riesgo y
tolerancia de riesgo podrían cambiar.
2201.3.7 Los profesionales deben usar las técnicas de valoración de riesgos seleccionadas a la hora de
desarrollar la planificación de auditoría de TI en su conjunto y planificar encargos de auditoría
específicos. La valoración de riesgos, junto con otras técnicas de auditoría, deben considerarse a la
hora de planificar decisiones como:
 Funciones de áreas o negocios que serán auditadas
 Cantidad de tiempo y recursos que se asignarán a una auditoría
 Naturaleza, alcance y cronología de los procedimientos de auditoría
2201.3.8 Las metodologías de valoración de riesgos adoptadas deben producir resultados uniformes, válidos,
comparables y repetibles y deben acordarse por parte de la gerencia. Las valoraciones de riesgos
producidas por la metodología deben ser uniformes (durante un periodo de tiempo), válidas,
comparables (con encargos anteriores/posteriores usando la misma metodología de valoración) y
repetibles (dados una serie de factores similares, el uso de la misma metodología de valoración
producirá un resultado similar).
2201.4 Valoración de riesgos de encargos individuales
2201.4.1 Al planificar un encargo individual, los profesionales deben identificar y evaluar el riesgo relevante al
área bajo revisión. Los resultados de la valoración de riesgos deben reflejarse en los objetivos de la
asignación de auditoría. Durante la valoración de riesgos, los profesionales deben considerar:
 Resultados de encargos de auditoría anteriores, revisiones y hallazgos, que incluyen cualquier
actividad correctiva
 El proceso de valoración de riesgos de la empresa
 La probabilidad de que ocurra un riesgo particular.
 El impacto de un riesgo particular (en términos monetarios o de otro valor) si se produce
2201.4.2 Los profesionales deben asegurar una comprensión total de todo el alcance de las actividades antes de
valorar el riesgo. Deben solicitar comentarios y sugerencias de partes interesadas y otras partes
adecuadas. Se precisa una comprensión total para determinar correctamente el riesgo posible de la
asignación de auditoría y examinar el impacto relacionado.
51
2201.4.3 A la hora de planificar un procedimiento de auditoría y aseguramiento de TI específicos, los

profesionales deben reconocer que cuanto más bajo sea el umbral de materialidad, más precisas serán
las expectativas de la auditoría y mayor el riesgo de auditoría.
2201.4.4 A la hora de planificar un procedimiento de auditoría y aseguramiento de TI, los profesionales deben
considerar posibles actos ilegales que podrían requerir una modificación de la naturaleza, cronología o
alcance de los procedimientos existentes y la documentación correspondiente necesaria para
respaldar una posible litigación.
2201.4.5 Para obtener un aseguramiento adicional en casos de alto riesgo de auditoría o bajo umbral de
materialidad, los profesionales deben compensarlo ampliando el alcance o naturaleza de las pruebas
de auditoría de TI o ampliando las pruebas sustantivas.
2201.5 Riesgo de auditoría
2201.5.1 El riesgo de auditoría se refiere a alcanzar una conclusión incorrecta en base a los hallazgos de
auditoría.
Los tres componentes del riesgo de auditoría son:
 Riesgo inherente
 Riesgo de control
 Riesgo de detección
2201.5.2 Los profesionales deben considerar cada uno de los componentes de riesgo para determinar el nivel de
riesgo conjunto. El riesgo de auditoría está formado por el riesgo de la materia, que incluye el riesgo
inherente y el riesgo de control, y el riesgo de detección.
2201.6 Riesgo inherente
2201.6.1 El riesgo inherente es la susceptibilidad de un área de auditoría a un error que pudiera ser material
(individualmente o en combinación con otros errores), asumiendo que no hay ningún control interno
relacionado. Por ejemplo, el riesgo inherente asociado a los sistemas operativos sin controles
adecuados es normalmente alto, ya que los cambios, o incluso la publicación de datos o programas a
través de las debilidades del sistema operativo podría provocar una información de la gerencia falsa o
una desventaja competitiva. Por el contrario, el riesgo inherente asociado a la seguridad de una
computadora independiente sin controles, cuando un análisis apropiado demuestra que no se usa para
propósitos críticos para el negocio, es normalmente bajo.
2201.6.2 Ya que el auditor de TI considera el alcance de las áreas a ser probadas las que afectan a sistemas de
negocio importantes, se espera que el riesgo inherente sea alto.
2201.7 Riesgo de control
2201.7.1 El riesgo de control es el riesgo de que un error que pudiera ocurrir en un área de auditoría y que
pudiera ser material, individualmente o en combinación con otros errores, no podrá ser evitado o
detectado y se corregirá de forma oportuna por el sistema de control interno. Por ejemplo, el riesgo de
control asociado con la revisión manual de los registros (logs) de computadora/ordenador puede ser
alto porque un gran volumen de información registrada puede resultar en un fallo inadvertido a la hora
de identificar una anomalía derivada de un error humano. El riesgo de control asociado con
procedimientos computarizados de validación de datos es bajo si los procesos se aplican de manera
sistemática.
2201.7.2 Los profesionales deben valorar el riesgo de control como alto a menos que los controles internos
relevantes sean:
 Identificados
 Validados mediante pruebas (es decir, comparación de rendimiento y diseño) y se demuestre que
funcionan de forma efectiva
2201.7.3 Los profesionales deben considerar tanto los controles de TI generales como los detallados
 Controles comunes de TI son un subconjunto de controles generales; son aquellos controles
generales que se centran en la gestión y monitorización del entorno de TI. Afectan a todas las
actividades relacionados con TI El efecto de controles de TI generales en el trabajo de los
profesionales no se limita a la fiabilidad de los controles de la aplicación en los sistemas de
proceso empresariales. Los controles de TI generales también afectan a la fiabilidad de los
controles de TI detallados sobre, por ejemplo, desarrollo del programa de aplicación,
implementación del sistema, administración de seguridad y procedimientos de copias de
seguridad. Los controles de TI generales débiles, y por tanto una gestión y monitoreo del entorno
de TI débil, deben alertar a los profesionales de la posibilidad de un riesgo elevado en que los
controles designados para operar en el nivel detallado puedan resultar ineficaces.
 Los controles detallados de TI están compuestos por controles de aplicación, más aquellos
controles generales no incluidos en controles transversales de TI. Siguiendo el marco de
referencia COBIT 2019, los controles de TI detallados relativos al gobierno y gestión de
información y tecnología.
2201.7.4 Los profesionales deben considerar el riesgo de que las limitaciones y carencias en controles de TI
detallados pueden resultar de insuficiencias en los controles de TI generales.
2201.8 Riesgo de detección
2201.8.1 El riesgo de detección es el riesgo de que los procedimientos sustantivos de los profesionales no
detecten un error que pudiera ser material, individualmente o en combinación con otros errores. Por
ejemplo, el riesgo de detección asociado con la identificación de brechas de seguridad en un sistema
de aplicaciones es a menudo alto, ya que los registros para todo el periodo de la auditoría pueden no
estar disponibles en el momento de la auditoría. El riesgo de detección asociado con la identificación
de la falta de planes de recuperación de desastres tiende a ser bajo, ya que su existencia es fácilmente
verificable.
2201.8.2 A la hora de determinar el nivel de pruebas sustantivas requeridas, los profesionales deben considerar:
 Valoración del riesgo inherente
 Conclusiones sobre el riesgo de control tras las pruebas de cumplimiento
2201.8.3 Cuando más alta sea la valoración del riesgo de control e inherente, más evidencia de auditoría
deberían obtener normalmente los profesionales en la realización de procedimientos de auditoría
sustantivas.
53
2201.9.1 Al planificar las actividades continuas, la función de auditoría y aseguramiento de TI debe:

 Realizar y documentar una valoración de riesgos para facilitar el desarrollo de un plan de auditoría
de TI, al menos anualmente.
 Incluir en la valoración de riesgos, los objetivos y planes estratégicos organizativos y las iniciativas
y marco de gestión de riesgo empresarial.
 Utilizar las evaluaciones de riesgo en la selección de áreas e ítems de interés de la auditoría y las
decisiones para diseñar y realizar encargos particulares de auditoría y aseguramiento de TI.
Algunas áreas o elementos de interés pueden reclamar un monitoreo continuo por parte de la
gerencia y una auditoría continua por parte de los profesionales.
 Si se depende de la valoración de riesgos de la gerencia, asegúrese de que la valoración fuera
aprobada por las partes apropiadas. La valoración de riesgos debería documentar cualquier
instancia de aceptación del riesgo por parte de la gerencia.
 Si la valoración del riesgo se realiza por la función de auditoría, compárela con cualquier
valoración de riesgos realizada por terceros en la organización (por ejemplo, una función de
gestión de riesgos independiente) Resuelva cualquier discrepancia (por ejemplo, la función de
auditoría valora un riesgo como alto mientras que la gerencia de riesgos valora el riesgo como
bajo).
 Priorizar y programar el trabajo de auditoría y aseguramiento de TI en base a las evaluaciones de
riesgo.
 En función a la evaluación de riesgo, desarrollar un plan que:
 Actúa como marco para las actividades de auditoría y aseguramiento de TI
 Considere actividades y requerimientos de auditoría y aseguramiento que no sean de TI
 Sea actualizado al menos una vez al año y aprobado por los órganos de gobierno
 Abordar las responsabilidades establecidas por el estatuto de auditoría
Al planificar un encargo individual, los profesionales de auditoría y aseguramiento de TI deben:
 Identificar y evaluar el riesgo relevante al área bajo revisión.
 Realizar una evaluación preliminar del riesgo relevante al área bajo revisión en cada encargo. Los
objetivos para cada encargo específico deben reflejar los resultados de la evaluación del riesgo
preliminar.
 Considerar auditorias, revisiones y hallazgos anteriores, incluidas actividades de remediación,
relacionados con las áreas de riesgo en un encargo específico. Considerar además el proceso de
evaluación del riesgo de gran alcance del Consejo.
 Intentar reducir el riesgo de auditoría a un nivel aceptable y cumplir con los objetivos de la
auditoría conduciendo una evaluación apropiada de la materia de TI y de los controles
relacionados, a medida que se planifica y realiza la auditoría de TI.
 Para reducir el riesgo de auditoria de mayor materialidad, compensar ampliando las pruebas de
controles (reducir el riesgo de control) y/o ampliando los procedimientos de pruebas sustantivas
(reducir el riesgo de detección) para obtener aseguramiento adicional.
Propósito
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con TI no exceda el apetito y tolerancia al riesgo de
optimización del riesgo la empresa, que se identifique y gestione el impacto del riesgo de I&T para el valor de negocio y que se
minimicen los posibles fallos de cumplimiento.
APO12 Riesgo Integrar la gestión del riesgo empresarial relacionado con I&T con la gestión del riesgo empresarial
gestionado global (ERM), y equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con
TI.
cumplimiento de los
requisitos externos
Estándares de desempeño 1202: Programación de auditoría
Declaraciones 1202.1 La función de aseguramiento y auditoría de TI debe establecer un plan estratégico integral que
resulte en planificaciones de auditoría de corto y largo plazo. La planificación a corto plazo consiste en
la realización de auditorías dentro del año, mientras que la planificación a largo plazo está constituida
por auditorías basadas en temas relacionados con el riesgo dentro del entorno de Tecnologías de la
Información (T&I) de la empresa que podrían realizarse en el futuro.
1202.2 La mayoría de los planes a corto plazo y largo plazo deberían acordarse con aquellos
encargados de la gobernanza y supervisión (por ejemplo, comité de auditoría) y comunicarse dentro de
la empresa.
1202.3 La función de aseguramiento y auditoría de TI debe modificar sus planes de auditoría a corto y
largo plazo para que respondan a las necesidades organizativas (por ejemplo, eventos inesperados o
iniciativas no planificadas). Cualquier auditoría desplazada para acomodar una auditoría de un evento
inesperado o iniciativa no planificada debería reasignarse a un periodo futuro.
Directrices de desempeño 2202: Programación de auditoría
2202.1 Introducción Esta directriz proporciona una guía en programación de auditoría para profesionales de auditoría y
La sección de contenido de la directriz se estructura para proporcionar información sobre los temas de auditoría y asignación
de aseguramiento clave:
2202.2 Desarrollo y mantenimiento de programación de auditoría
2202.3 Programación de auditoría y planificación del encargo
2202.2 Desarrollo y mantenimiento de programación de auditoría
2202.2.1 Los profesionales de auditoría y aseguramiento de TI deben desarrollar y mantener un calendario de

auditoría que esté basado en un inventario de áreas de auditoría, al que se suele llamar universo de
auditoría. La programación de auditorías ayuda a garantizar que se preste la atención adecuada a las
responsabilidades de la función de auditoría conforme se identifican en el estatuto de auditoría, y
también que se proporcione el aseguramiento adecuado en relación a los objetivos estratégicos y
organizativos de la empresa en áreas de auditoria importantes.
2202.2.2 Los calendarios de auditoría a largo plazo deben reevaluarse de forma periódica (al menos
anualmente) para que respondan a las necesidades organizativas. Esta reevaluación permite a la
función de auditoría incluir cualquier encargo de auditoría y aseguramiento adicional que pudiera
requerirse en respuesta a situaciones o eventos críticos inesperados. Cualquier auditoría planificada
sustituida debe reasignarse a un periodo futuro.
55
2202.3 Programación de auditoría y planificación de asignación
2202.3.1 El calendario de auditoría puede comunicarse a la empresa con fechas de inicio de auditoría
estimadas, el alcance preliminar y partes interesadas clave.
Propósito
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para TI; la entrega
obtención de beneficios rentable de soluciones y servicios; y una imagen confiable y precisa de los costos y beneficios
probables para que las necesidades empresariales se satisfagan de forma eficaz y eficiente.
BAI11 Gestionar los Lograr los resultados definidos del proyecto y reducir el riesgo de retrasos inesperados, costes y
proyectos erosión del valor mediante la mejora de las comunicaciones y la participación del negocio y de los
usuarios finales. Asegurar el valor y la calidad de los entregables del proyecto y maximizar su
contribución a los programas y al portafolio de inversión definidos.
Estándares de desempeño 1203: Planificación del encargo
Declaraciones 1203.1 Los profesionales de aseguramiento y auditoría de TI deben planificar cada encargo de
auditoría y aseguramiento de TI para abordar la naturaleza, el cronograma y el alcance de los
procedimientos de auditoria que se deben realizar. El plan debe incluir:
 Áreas que serán auditadas
 Objetivos
 Alcance
 Recursos (por ejemplo, personal, herramientas y presupuesto) y fechas de programación
 Cronograma y entregables
 Cumplimiento con leyes/regulaciones aplicables y estándares profesionales de auditoría
 Uso de un enfoque basado en riesgos para encargos que no están relacionados con cumplimiento
legal o regulatorio
 Problemas específicos a la asignación
 Requerimientos de informes y documentación
 Uso de tecnología relevante y técnicas de análisis de datos
 Consideración del coste de la asignación en comparación con los posibles beneficios
 Protocolos de comunicación y escalado para situaciones que pueden surgir durante el desempeño
de una asignación de auditoría (por ejemplo, limitaciones del alcance o no disponibilidad de
personal clave)
Durante el trabajo de campo, puede que sea necesario modificar los procedimientos de auditoría
creados durante la planificación conforme avanza la asignación.
1203.2 Los profesionales de auditoría y aseguramiento de TI deben desarrollar y documentar un

programa de encargo de auditoría de aseguramiento de TI que describa los procedimientos paso a
paso y las instrucciones que deben usarse para completar la auditoría.
Directrices de desempeño 2203: Planificación del encargo
2203.1 Introducción Esta directriz proporciona una guía en la planificación del encargo para profesionales de auditoría y
aseguramiento de TI. La sección de contenido de la directriz se estructura para proporcionar información sobre los temas de
auditoría y asignación de aseguramiento clave:
2203.2 Objetivos
2203.3 Alcance y conocimiento empresarial
2203.4 Enfoque basado en riesgos
2203.5 Documentar del plan de proyecto del encargo de auditoría y del programa de auditoría
2203.6 Cambios durante el curso de la auditoría
2203.2 Objetivos
2203.2.1 Los profesionales deben definir los objetivos del encargo de auditoría y documentarlos en el plan de
proyecto de asignación de auditoría. Además de confirmar la comprensión de las metas, operaciones y
desafíos de la empresa, la documentación de los objetivos del encargo de auditoría garantiza que las
pruebas proporcionen garantías de que existen controles y funcionan de forma eficiente.
2203.2.2 Los profesionales deben desarrollar un plan de proyecto de auditoría que tome en consideración los
objetivos de la encargo de auditoría. Estos objetivos pueden influir en el encargo de auditoría, por
ejemplo, recursos, calendario y entregables.
2203.3 Alcance y conocimiento empresarial
2203.3.1 Antes de iniciar un encargo de auditoría, los profesionales deberían planificar su trabajo de forma
adecuada para cumplir con los objetivos de la auditoría. Como parte del proceso de planificación, los
profesionales deben comprender la empresa y sus procesos. Esto les ayudará a determinar la
importancia de las áreas que se están revisando, ya que éstas están relacionadas con los objetivos de
la empresa. Los profesionales deben establecer el alcance del trabajo de la auditoría basado en los
objetivos de la misma.
2203.3.2 Como parte de una valoración preliminar, los profesionales deben obtener una comprensión de los
tipos de personal, eventos, transacciones y prácticas que pueden tener un significado importante en la
empresa, función, procesos o datos específicos, que son objeto del encargo de auditoría. El
conocimiento de la empresa del auditor debe incluir el riesgo empresarial y financiero al que se
enfrenta la empresa, las condiciones en el mercado de la empresa y hasta qué punto la empresa
depende de la externalización (outsourcing) para cumplir con sus objetivos. Los profesionales deberían
usar esta información para identificar potenciales problemas, formular los objetivos y alcance del
trabajo, ejecutar el trabajo, y considerar acciones de gestión ante las que estar alerta.
2203.4 Enfoque basado en riesgos
2203.4.1 Debe realizarse una valoración de riesgos para comprender la empresa y su entorno (es decir, objetivos
estratégicos y obligaciones internas y externas). Esta comprensión permitirá al profesional identificar
áreas y actividades para su revisión.
2203.4.2 Debe llevarse a cabo una valoración de riesgos y la priorización del riesgo identificado para el área bajo
revisión y el entorno de TI de la empresa hasta donde sea necesario.
57
2203.4.3 Durante el proceso de planificación, los profesionales deben establecer niveles de materialidad de la
planificación, como que el trabajo de auditoría será suficiente para cumplir con los objetivos de la
auditoría y usará los recursos de la auditoría de forma eficiente. Por ejemplo, en la revisión de un
sistema actual, los profesionales deben valorar la materialidad de diversos componentes del sistema a
la hora de planificar la asignación de auditoría para el trabajo que se realizará. A la hora de determinar
la materialidad, deben considerarse tanto aspectos cualitativos como cuantitativos.
2203.4.4 Ante de iniciar un encargo de auditoría y durante el curso de la misma, los profesionales deben
considerar el cumplimiento con los estándares profesionales de auditoría y leyes aplicables.
2203.4.5 Cuando los profesionales valoran controles internos con el propósito de dar fiabilidad a los
procedimientos de control para respaldar la información que se recopila como parte de un ejercicio de
auditoría más extenso (como la auditoría de información financiera histórica) deben hacer una
valoración preliminar de los controles y desarrollar el plan de proyecto del encargo de auditoría
basándose en esa valoración.
2203.5 Documentar del plan de proyecto del encargo de auditoría y del programa de auditoría
2203.5.1 Los documentos de trabajo del profesional deben incluir el plan de proyecto del encargo de auditoría.
2203.5.2 Una definición de proyecto clara es un factor crítico para garantizar la eficacia y la eficiencia del
proyecto. Un plan de proyecto de auditoría (“plan de proyecto”) debe incluir en los términos de
referencia elementos como:
 Áreas que serán auditadas
 Tipo de trabajo planificado
 Objetivos de alto nivel y alcance del trabajo
 Entrevistas de descubrimiento a realizar
 Información relevante a obtener
 Procedimientos para verificar o validar la información obtenida y su uso como evidencia de
auditoría
 Temas generales, como:
 Presupuesto
 Disponibilidad y asignación de recursos
 Fechas de programación
 Tipo de informe
 Público objetivo
 Entregables
 Temas específicos, como:
 Identificación de las herramientas necesarias para recopilar evidencia, realizando pruebas y
preparando/resumiendo información para la generación de los informes
 Criterios de valoración (políticas de empresa, procedimientos o protocolo) que se usarán al
evaluar las prácticas actuales
 Documentación de valoración de riesgos
 Requerimientos para la generación de informes y distribución
 Informes externos disponibles (información en la que se puede confiar, si la hay)
 Informes que deben solicitarse, si se requiere, como Declaración de estándares por encargos
de atestación 18 (SSAE 18)
2203.5.3 El plan de proyecto debe incluir los requerimientos relacionados con el calendario del encargo de
auditoría. Estos elementos incluyen, pero no están limitados al periodo cubierto y las distintas fechas
de finalización para realizar el encargo de auditoría dentro del calendario acordado. El plan de proyecto
debe incluir los gastos presupuestarios y los recursos del equipo para cada fase del proyecto.
2203.5.4 Los profesionales deben garantizar que los recursos del equipo de auditoría asignados a la auditoría
cuentan con las habilidades, conocimiento y experiencia adecuados para completar correctamente el
encargo de auditoría. Los profesionales deben asignar los roles y responsabilidades que mejor encajen
con las competencias de los miembros del equipo de auditoría de TI.
2203.5.5 El plan de proyecto debe enumerar todos los entregables relacionados con el encargo de auditoría.
2203.5.6 El plan de proyecto y cualquier cambio al plan de proyecto debe ser aprobado por la gerencia de
auditoría y aseguramiento de TI.
2203.5.7 Tras la aprobación por parte de la gerencia de auditoría y aseguramiento de TI, partes del plan de
proyecto (por ejemplo, alcance, calendario, requerimientos de documentos, calendario de entrevistas)
deben comunicarse a los auditados para que puedan garantizar el acceso a los documentos y
disponibilidad de los recursos necesarios y su.
2203.6 Cambios durante el curso de la auditoría
2203.6.1 El plan de proyecto de auditoría debe actualizarse y cambiarse cuando sea necesario (con
aprobaciones adecuadas por parte de la gerencia de auditoría y aseguramiento de TI) durante el
transcurso de la asignación de auditoría.
Si surge un problema que merece la atención del auditor una vez que se ha iniciado la auditoría, los
profesionales deberán determinar cómo abordarlo. Las opciones incluyen, entre otras, expandir el
alcance de la auditoría o la programación de una evaluación por separado. El profesional de auditoría
de TI debe informar inmediatamente al auditado de cualquier cambio en el alcance de la auditoría y del
calendario conforme al nuevo problema identificado.
2203.6.2 Planificar un encargo de auditoría es un proceso continuo e iterativo. Como resultado de eventos
inesperados, cambios de las condiciones o evidencia de auditoría obtenida, los profesionales podrían
necesitar modificar la naturaleza planificada, el cronograma e incorporar procedimientos de auditoría
adicionales. Por ejemplo, cuando se publica una nueva regulación, puede que sea necesario realizar
una valoración de forma inmediata para determinar cualquier posible impacto en la empresa en
términos de cumplimiento.
2203.6.3 El plan de auditoría debe considerar la posibilidad de eventos inesperados que implican un riesgo para
la empresa. De esta manera, el plan de proyecto de auditoría debería respaldar la priorización de dichos
eventos dentro de los procesos de auditoría y aseguramiento, basándose en el riesgo.
59

 Obtener un entendimiento sobre la actividad que se audita. El alcance del conocimiento requerido
debe ser determinado por la naturaleza de la empresa, su entorno, los objetivos de negocio, sus
áreas de riesgo y los objetivos del encargo.
 Considerar la dirección y orientación de la materia, según lo permitido mediante la legislación, las
regulaciones, las normas, las directivas y las guías emitidas por el gobierno o la industria.
 Realizar una evaluación de riesgo que brinde un aseguramiento razonable de que todos los puntos
materiales sean cubiertos de manera adecuada durante el encargo. Estrategias de auditoría,
niveles de materialidad y requerimientos de los recursos pueden entonces ser desarrollados.
 Desarrollar el plan del proyecto del encargo utilizando las metodologías de gestión de proyectos
adecuadas para asegurar que las actividades se mantengan encaminadas y dentro del
presupuesto.
 Desarrollar un protocolo a seguir si el encargo va a incluir la dependencia en profesionales
externos a la función de auditoría (co-sourcing u outsourcing) o la dependencia en pruebas
realizadas con anterioridad por otras entidades (auditores externos o reguladores). El protocolo
debe definir:
 Circunstancias bajo las cuales la dependencia en el trabajo de otros es una estrategia
adecuada
 Valoración inicial y monitorización continua de las cualificaciones de aquellos externos a la
función de auditoría que realizarán trabajos para la función de auditoría
 Circunstancias que pueden llevar a exclusiones de los encargos debido a la dependencia del
trabajo de otros:
- Ejemplo 1: Si el proceso de pasarela (gateway) de pago de un comercio electrónico (e-
commerce) ya se encuentra bajo el cumplimiento del Estándar de seguridad de los datos
de la industria de las tarjetas de crédito (PCI-DSS), la función de auditoría puede excluir la
auditoría del proceso de pasarela de pago (gateway) porque ya se está auditando bajo
otro marco de referencia.
- Ejemplo 2: Si existe un marco de salud y seguridad medioambiental certificado por otros
organismos en una gran empresa de fabricación, los controles de seguridad
medioambiental pueden excluirse del encargo de auditoría.
 Incluir en el plan de auditoría temas específicos, tales como:
 Disponibilidad de los recursos con apropiada experiencia, habilidades y el conocimiento
 Identificación de las herramientas necesarias para recopilar evidencia, realizando pruebas y
preparando/resumiendo información para la generación de los informes
 Criterios de evaluación que se utilizan
 Requerimientos para la generación de informes y distribución
 Documentar el plan de proyecto de auditoría y aseguramiento de TI para indicar claramente:
 Objetivo(s), alcance y cronograma
 Recursos
 Roles y responsabilidades
 Áreas de riesgo identificadas y su impacto en el plan del encargo
 Herramientas y técnicas a utilizar
 Entrevistas de campo a realizar
 Información relevante a obtener
 Procedimientos para verificar o validar la información obtenida y su uso como evidencia
 Asunciones sobre el enfoque, la metodología, los procedimientos y conclusiones y resultados
anticipados
 Programar el encargo con relación al cronograma, la disponibilidad y otros compromisos y
requerimientos de la dirección y el auditado, en la medida de lo posible.
 Ajustar el programa de auditoría durante el curso de la auditoría y aseguramiento de TI para

abordar asuntos que surjan durante el desarrollo, como nuevos riesgos, suposiciones incorrectas
o hallazgos de procedimientos ya realizados.
 Garantizar que el trabajo que se realiza sigue alineado con los objetivos de negocio durante las
fases de post-planificación de la auditoría.
 Para encargos internos:
 Preparar una carta de encargo de auditoría diferente para cada encargo de auditoría y
aseguramiento de TI interna.
 Comunicar elementos relevantes del estatuto de la función de auditoría al auditado, utilizando
una carta de asignación o equivalente para aclarar más o confirmar la participación en
encargos específicos
 Comunicar el plan para que el auditado esté totalmente informado y pueda proporcionar el
acceso apropiado a individuos, documentos y otros recursos, cuando se requiera
 Para encargos externos:
 Preparar una carta de encargo de auditoría TI externa diferente para cada encargo de
auditoría y aseguramiento.
 Preparar un plan de proyecto y programa de auditoría para cada encargo de auditoría y
aseguramiento de TI, que debería documentar los objetivos y el alcance del encargo, como
mínimo.
 Cuantificar y justificar la cantidad de recursos de la auditoría de TI necesarios para cumplir con los
requerimientos de cada encargo de auditoría y aseguramiento de TI.
Propósito
EDM01 Asegurar el Proporcionar un enfoque consistente integrado y alineado con el enfoque del gobierno de la empresa.
establecimiento y el Las decisiones relacionadas con I&T deben hacerse en línea con las estrategias y objetivos de la
mantenimiento del empresa y para alcanzar el valor deseado. En este sentido, debe asegurarse que
marco de gobierno los procesos relacionados con I&T se supervisen de manera eficaz y transparente; que se cumpla con
los requisitos legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para
los miembros del consejo de dirección.
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para I&T; la entrega rentable
obtención de beneficios de soluciones y servicios; y una imagen confiable y precisa de los probables costes y beneficios para
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con I&T no exceda el apetito y tolerancia al riesgo
optimización del riesgo de la empresa, que se identifique y gestione el impacto del riesgo de I&T para el valor de negocio y que
se minimicen los posibles fallos de cumplimiento.
61
Estándar de desempeño 1204: Desempeño y supervisión
Amplias 1204.1 Los profesionales de auditoría y aseguramiento de TI deben llevar a cabo el trabajo en
conformidad con el plan de auditoría de TI aprobado para cubrir el riesgo identificado y dentro del
cronograma acordado.
1204.2 Los profesionales de auditoría y aseguramiento de TI deben proporcionar supervisión al
personal de auditoría de TI sobre quienes tienen responsabilidad de supervisión, para lograr los
objetivos de la auditoría y cumplir con los estándares profesionales de auditoría aplicables.
1204.3 Los profesionales de auditoría y aseguramiento de TI deben aceptar sólo tareas que estén
dentro de su conocimiento y habilidades o para las que tengan una expectativa razonable de adquirir
las habilidades durante la asignación o lograr la tarea bajo supervisión.
1204.4 Los profesionales de auditoría y aseguramiento de TI deben obtener evidencia suficiente y
apropiada para alcanzar los objetivos de la auditoría
1204.5 Los profesionales de auditoría y aseguramiento de TI deben documentar el proceso de auditoría
y describir el trabajo de auditoría y la evidencia de auditoría que respalda los hallazgos y las
conclusiones.
1204.6 Los hallazgos y las conclusiones del profesional de aseguramiento y auditoría de TI deben estar
respaldados por un análisis de la causa raíz y la interpretación de esta evidencia.
1204.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una apropiada opinión o
conclusión de la auditoría e incluir una limitación al alcance cuando la evidencia requerida se obtenga
mediante procedimientos de prueba adicionales.
Directrices de desempeño 2204: Desempeño y supervisión
2204.1 Introducción Esta directriz proporciona una guía para los profesionales de aseguramiento y auditoría de TI para la
realización asignaciones de auditoría y la supervisión de los miembros del equipo de auditoría de TI. La sección de contenido
de la directriz se estructura para proporcionar información sobre los siguientes temas clave de asignaciones de auditoría y
aseguramiento:
2204.2 Realizar el trabajo
2204.3 Roles y responsabilidades, conocimiento y habilidades
2204.4 Supervisión
2204.5 Evidencia
2204.6 Documentar
2204.7 Hallazgos
2204.2 Realizar el trabajo
2204.2.1 Los profesionales deben planificar y realizar cada asignación de auditoría conforme al plan de auditoría
de TI aprobado. Establecer un plan de proyecto de asignación de auditoría, como se detalló en el
Estándar 1203 Planificación de la asignación, permite a los profesionales entender todos los elementos
del alcance, cubrir todos los riesgos identificados y garantizar que las habilidades y conocimiento
requeridos para ejecutar la asignación de auditoría dentro del calendario acordado están disponibles.
2204.2.2 Las principales tareas de la realización de una asignación de auditoría incluyen:

 Planificación y valoración de riesgos
 Identificar controles—Basado en el alcance, los objetivos de la auditoría y las principales áreas de
riesgo identificadas en el plan de auditoría de TI, los profesionales deben identificar los controles
bajo alcance de la asignación de la auditoría.
 Evaluar controles y recopilar evidencia—Los profesionales deben valorar los controles en el
alcance, recopilando y analizando información y evidencia sobre la efectividad del diseño y la
efectividad operativa de los controles.
 Documentación del trabajo realizado e identificación de hallazgos—Los profesionales deben
documentar el trabajo realizado, registrar la información y evidencia recopilada y documentar
cualquier hallazgo identificado.
 Confirmar hallazgos y realizar un seguimiento de las medidas correctivas—Los profesionales
deben confirmar sus hallazgos con el auditado. Si el auditado realiza medidas correctivas en los
hallazgos antes del fin de la asignación de auditoría, los profesionales deben incluir las acciones
realizadas en la documentación (y conclusión), pero también mencionar los hallazgos originales.
 Extraer conclusiones y generar informes—Los profesionales deben extraer conclusiones y
reportar sobre el impacto de los hallazgos a la hora de alcanzar los objetivos de auditoría.
Centrarse sólo en los hallazgos de control, sin valorar el impacto en los objetivos de auditoría, es
insuficiente.
2204.3 Roles y responsabilidades, conocimiento y habilidades
2204.3.1 Los profesionales asignados a la auditoría deben definir y gestionar los roles y responsabilidades de
los miembros del equipo de auditoría de TI durante la asignación, abordando como mínimo:
 diseñar la metodología y el enfoque
 crear programas de trabajo de auditoría
 definir funciones de ejecución y revisión
 gestionar incidencias, preocupaciones y problemas a medida que surgen
 documentar y aclarar los hallazgos
 escribir el informe
2204.3.2 Basándose en las necesidades de la asignación, los profesionales responsables deben considerar las
competencias requeridas para esa asignación de auditoría en concreto. Deben formar un equipo de
asignación que combine las habilidades, conocimiento y experiencias para realizar correctamente la
asignación de la auditoría. Los profesionales deben asegurarse de asignar los roles y
responsabilidades a los miembros del equipo de auditoría de TI que tengan las habilidades que mejor
encajen con los requerimientos de la asignación.
63
2204.3.3 Los profesionales deben aceptar sólo los roles, responsabilidades y tareas asociadas que sean
coherentes con su conocimiento y habilidades. Los problemas de tiempo y costes podrían impedir que
los profesionales adquirieran todo el conocimiento y habilidades necesarios antes del inicio de una
asignación de auditoría; por tanto, se permite a los profesionales aceptar roles, responsabilidades y
tareas asociadas si tienen una expectativa razonable de que se tomarán medidas adecuadas durante la
asignación de auditoría para garantizar una finalización correcta. Las medidas siguientes permitirían
dicha expectativa razonable:
 Aprender en el trabajo—En determinadas circunstancias, será posible para los profesionales
adquirir las habilidades y conocimiento necesarios durante la asignación de auditoría.
 Supervisión—Los profesionales responsables pueden organizar una supervisión adecuada de los
miembros del equipo de auditoría de TI que les permita llevar a cabo la tarea, bajo supervisión.
 Recursos externos—Los profesionales responsables podrían contratar a expertos externos en
aquellas áreas de la asignación de auditoría para las que el equipo carezca de conocimiento y
habilidades internas adecuadas. Los profesionales responsables deberían considerar promover el
desarrollo de los miembros internos del equipo de auditoría de TI, haciendo que trabajaran
estrechamente con expertos externos para garantizar una transferencia de conocimiento y
habilidades al equipo.
2204.4 Supervisión
2204.4.1 Cada tarea ejecutada durante una asignación de auditoría por los miembros del equipo de auditoría de
TI debería estar bajo la supervisión de los profesionales que tienen responsabilidades de supervisión
para garantizar que se cumple con los objetivos de la auditoría y los estándares profesionales de
auditoría aplicables. El alcance de la supervisión requerida dependerá enormemente de las habilidades,
conocimientos y experiencia de los profesionales que ejecutan la tarea bajo revisión, y de la
complejidad de la asignación de auditoría.
2204.4.2 La supervisión es un proceso que está presente en todos los pasos de la asignación de auditoría. La
supervisión incluye:
 garantizar que los miembros del equipo de auditoría de TI combinan las habilidades, conocimiento
y experiencia para realizar correctamente la asignación de la auditoría
 garantizar que se han establecido y aprobado un plan de proyecto de asignación de auditoría y un
programa de auditoría
 revisar los papeles de trabajo de la asignación de auditoría
 garantizar que la comunicación de la asignación de auditoría con los auditados y otras partes
interesadas es precisa, clara, concisa, objetiva, constructiva y oportuna
 garantizar que el programa de trabajo de la asignación de auditoría aprobado se completa al final
de la asignación de auditoría, a menos que los cambios se justifiquen y aprueben por adelantado y
que se cumpla con los objetivos de la asignación de auditoría
 proporcionar oportunidades para que los miembros del equipo de auditoría de TI desarrollen sus
habilidades y conocimiento
2204.4.3 Se requiere revisar los papeles de trabajo de la asignación de auditoría para garantizar que se realicen
todos los procedimientos de auditoría necesarios; la evidencia recopilada es suficiente y adecuada; y
las conclusiones respaldan adecuadamente los hallazgos de la auditoría, los objetivos de la asignación
y la conclusión u opinión. Considerando los objetivos, la revisión deben realizarla los miembros del
equipo de auditoría de TI que tienen responsabilidades de supervisión sobre los profesionales que
realizan el trabajo de auditoría.
2204.4.4 Durante el proceso de revisión, los revisores deben registrar las preguntas conforme vayan surgiendo.
Cuando los profesionales responden a dichas preguntas, debe mantenerse evidencia de que dichas
preguntas se formularon y respondieron.
2204.4.5 La revisión de la evidencia se debe documentar y retener. Las opciones para documentar la evidencia
de realizar una revisión incluyen, entre otras:
 firmar y fechar cada papel de trabajo de asignación de auditoría tras la revisión
 completar una lista de verificación de revisión del papel de trabajo de la asignación de auditoría
 preparar un documento firmado que proporciona una referencia a los papeles de trabajo de
asignación de la auditoría bajo revisión y detalla la naturaleza, cronograma, alcance y resultado de
la revisión
tanto las ejecuciones en papel como digitales de todas estas opciones son válidas.
2204.4.6 La supervisión permite el desarrollo y evaluación del desempeño de los profesionales. Los revisores
tienen una visión privilegiada del trabajo realizado por otros miembros del equipo de auditoría de TI,
que permite una evaluación adecuada y detallada de su desempeño. Los revisores deben señalar áreas
de desarrollo que puedan mejorar el desempeño y aconsejar sobre cómo mejorar las habilidades y el
conocimiento.
2204.5 Evidencia
2204.5.1 Los profesionales deben obtener evidencia que sea suficiente y adecuada para formarse una opinión o
respaldar las conclusiones y alcanzar los objetivos de la auditoría. Las determinaciones sobre si la
evidencia es suficiente y adecuada deben basarse en la importancia de los objetivos de la auditoría y el
esfuerzo involucrado para obtener la evidencia.
2204.5.2 Los profesionales deben obtener evidencia adicional si, a su juicio, la evidencia obtenida no cumple con
los criterios de ser suficiente y apropiada para formular una opinión o respaldar los hallazgos y las
conclusiones.
2204.5.3 Los profesionales deben seleccionar los procedimientos más adecuados para recolectar la evidencia
según la materia que se esté auditando.
2204.5.4 Los profesionales deberían considerar la fiabilidad de la evidencia de auditoría (es decir, la
independencia del proveedor de la evidencia, las cualificaciones del proveedor de la información, la
objetividad de la evidencia y el cronograma de la evidencia).
2204.5.5 Los profesionales deben realizar análisis e interpretación adecuados para respaldar los hallazgos de la
auditoría y formar conclusiones. La evidencia e información recibidas deben compararse con las
expectativas identificadas o desarrolladas por los profesionales. El auditor debe ser consciente de:
 diferencias inesperadas
 ausencia de diferencias anticipadas
 errores potenciales
 actos fraudulentos o ilegales
 incumplimiento de las leyes o regulaciones
 actividades inusuales o no recurrentes
2204.5.6 Si se identifican desviaciones de las expectativas, los profesionales deben preguntar a la gerencia
sobre los motivos de las diferencias. Si las explicaciones de la gerencia son adecuadas, basándose en
el criterio profesional de los profesionales, los profesionales deben modificar sus expectativas y
reanalizar la evidencia y la información.
2204.5.7 Las desviaciones significativas que el auditado no explique adecuadamente deben acabar en hallazgos
de auditoría y comunicarse a la dirección ejecutiva o a aquellos encargados del gobierno y la
supervisión de la función de auditoría. Dependiendo de las circunstancias, los profesionales deberían
recomendar medidas adecuadas a realizar.
65
2204.6 Documentación
2204.6.1 Los profesionales deberían preparar, de manera oportuna, documentación suficiente, adecuada y
relevante, que proporcione una base para las conclusiones y que contenga evidencia de la revisión
realizada. Una documentación suficiente, adecuada y relevante debe permitir que una persona
informada y prudente sin conexiones anteriores con la asignación de auditoría vuelva a realizar las
tareas realizadas durante la asignación y alcance la misma conclusión. La documentación debe incluir:
 los objetivos de la asignación de auditoría y alcance del trabajo
 plan de proyecto de asignación de auditoría
 programa de trabajo de auditoría
 pasos de auditoría realizados
 evidencia recopilada
 conclusiones y recomendaciones
2204.6.2 La documentación ayuda a la planificación, realización y revisión de asignaciones de auditoría porque:

 identifica los miembros del equipo de auditoría que realizaron cada tarea de auditoría y especifica
sus funciones al preparar y revisar la documentación
 registra la evidencia solicitada
 apoya la precisión, integridad y validez del trabajo realizado
 proporciona soporte a las conclusiones alcanzadas
 facilita el proceso de revisión
 documenta si los objetivos de la asignación se alcanzaron
 proporciona la base para un programa de mejora de la calidad
2204.6.3 Los profesionales deben establecer un programa preliminar de revisión antes de que empiece el
trabajo. El programa de auditoría debe documentarse de forma que permita a los profesionales
registrar la finalización del trabajo de auditoría e identificar el trabajo que queda por hacer. Conforme
avanza el trabajo, los profesionales deben evaluar la adecuación del programa de auditoría basándose
en la información recopilada durante la asignación de auditoría. Cuando los profesionales determinan
que los procedimientos planificados no son suficientes, deben modificar el programa de auditoría
como corresponda.
2204.6.4 Las actividades de desempeño y supervisión deben documentarse en papeles de trabajo de la
asignación de auditoría. El diseño y contenido de los papeles de trabajo de la asignación de auditoría
varía, dependiendo de las circunstancias de la asignación de auditoría particular. Sin embargo, la
gestión de auditoría y aseguramiento de TI debe crear un número limitado de plantillas de papeles de
trabajo estándar para distintos tipos de asignaciones de auditoría. Los papeles de trabajo estándar
mejoran la eficiencia de la asignación de auditoría y facilitan la supervisión. La gestión de la auditoría y
aseguramiento de TI también debe determinar los tipos de medios utilizados y los procedimientos de
almacenamiento y conservación para los papeles de trabajo.
2204.6.5 Los profesionales deben asegurar que la documentación del trabajo realizado se completa de manera
oportuna. Toda la información y evidencia requeridas para formar una conclusión u opinión debe
obtenerse antes de la fecha de publicación del informe de auditoría. Los papeles de trabajo de la
asignación de auditoría deben incluir la fecha en la que se prepararon y revisaron.
2204.6.6 La gerencia de auditoría y aseguramiento de TI controla los papeles de trabajo de la asignación de
auditoría y proporciona acceso al personal autorizado. Las solicitudes de acceso a los papeles de
trabajo de la asignación de auditoría por parte de auditores externos deben ser aprobadas por la
dirección ejecutiva y aquellos encargados del gobierno. Las solicitudes de acceso por partes externas,
que no sean auditores externos, deben ser aprobadas por la dirección ejecutiva y aquellos encargados
del gobierno, y supervisadas por la función de auditoría, y contar con el asesoramiento jurídico.
2204.7 Hallazgos
2204.7.1 Los profesionales deben analizar la evidencia y la información recopilada. Desviaciones significativas
de las expectativas resultarán en hallazgos. Los profesionales deben confirmar los hallazgos con el
auditado y evaluar el impacto de los hallazgos en otros aspectos del entorno de control.
2204.7.2 Los profesionales pueden proponer medidas correctivas que se llevarán a cabo, pero nunca deberían
ejecutarlas. Si el auditado realiza medidas correctivas que remedian los hallazgos originales antes del
fin de la asignación de auditoría, los profesionales deben incluir las medidas correctivas llevadas a
cabo en la documentación.
2404.7.3 Los profesionales deben concluir sobre los hallazgos identificados y valorar su impacto en los
objetivos de la auditoría. Las conclusiones deberían formarse sobre los hallazgos iniciales. Si se han
realizado medidas correctivas, puede formularse un anexo a la conclusión que explique la medida
correctiva y el impacto de la medida correctiva en la conclusión original.
2404.7.4 Todas las conclusiones formuladas y el cumplimiento de los objetivos de la auditoría deben
documentarse en el informe de asignación de auditoría. Puede encontrarse una guía detallada de
presentación de informes en Informes estándar 1401 y Directrices 2401

 asignar miembros del equipo de modo que coincidan sus habilidades y experiencia con las
necesidades de la asignación
 agregar recursos externos al equipo de auditoría de IT, si es apropiado, y asegurar que su trabajo
sea supervisado correctamente
 gestionar los roles y las responsabilidades de los miembros específicos del equipo de auditoría de
TI durante la asignación, abordando como mínimo lo siguiente:
 asignar las funciones de ejecución y revisión
 delegar la responsabilidad para designar la metodología y el enfoque
 crear programas de auditoría o aseguramiento
 realizar el trabajo
 gestionar incidencias, preocupaciones y problemas a medida que surgen
 analizar las causas raíz
 coordinarse con el equipo para revisar, documentar y descartar hallazgos
 escribir el informe
 hacer que cada tarea de la asignación sea ejecutada por un miembro del equipo y revisada por
otro miembro del equipo apropiado
 usar la mejor evidencia de auditoría obtenible, consistente con la importancia del objetivo de la
auditoría y el tiempo y esfuerzo involucrados para obtener la evidencia
 obtener evidencia adicional si, a criterio del profesional, la evidencia obtenida no cumple con los
criterios de ser suficiente y apropiada para formular una opinión o respaldar los hallazgos y las
conclusiones
 organizar y documentar el trabajo realizado durante la asignación, después de los procedimientos
predefinidos aprobados y documentados
67
 incluir en la documentación:
 objetivos de la auditoría y alcance del trabajo, el programa de auditoría, los pasos de auditoría
realizados, la evidencia recopilada, los hallazgos, conclusiones y recomendaciones
 detalle suficiente para permitir que una persona informada y prudente vuelva a realizar las
tareas realizadas durante la asignación y alcance la misma conclusión
 identificación de quién realizó cada tarea y la función de cada miembro del equipo al preparar
y revisar la documentación
 fecha en que la documentación fue preparada y revisada
 obtener las manifestaciones escritas relevantes del auditado que claramente detallen las áreas
críticas de la asignación, los problemas que hayan surgido y su resolución, y las afirmaciones
realizadas por el auditado
 determinar que las manifestaciones del auditado incorporan la firma y la fecha el auditado para
indicar el reconocimiento de las responsabilidades con respecto a la asignación
 documentar y conservar en los papeles de trabajo cualquier manifestación recibida durante la
realización de la asignación, sea escrita u oral
Propósito
COBIT 2019
recursos humanos
APO08 Gestionar las Facilitar el conocimiento, habilidades y comportamientos pertinentes para generar mejores resultados,
relaciones aumentar la confianza, la confianza mutua y el uso eficaz de los recursos que estimule una relación
productiva con las partes interesadas de la empresa.
Estándar de desempeño 1205: Evidencia
Declaraciones 1205.1 Los profesionales de auditoría y aseguramiento de TI deben obtener la evidencia suficiente y
apropiada para llegar a conclusiones razonables sobre las cuales basar los resultados de la
asignación.
1205.2 Aplicando el escepticismo profesional, los profesionales de auditoría y aseguramiento de TI
deben evaluar la suficiencia de la evidencia obtenida para respaldar las conclusiones y alcanzar los
objetivos de la asignación.
1205.3 Junto con otros papeles de trabajo, los profesionales de aseguramiento y auditoría de TI deben
preservar la evidencia durante un periodo de tiempo que se corresponda con los periodos de retención
aprobados y formalmente definidos.
Directrices de desempeño 2205: Evidencia
2205.1 Introducción El propósito de esta directriz es brindar una guía a los profesionales de auditoría y aseguramiento de TI
para obtener evidencia adecuada y suficiente, evaluando la evidencia recibida y preparando una documentación de auditoría
adecuada. La sección de contenido de la directriz se estructura para proporcionar información sobre los temas de auditoría y
aseguramiento clave siguientes:
2205.2 Tipos de evidencia
2205.3 Obtención de evidencia
2205.4 Evaluación de la evidencia
2205.5 Preparación de documentación de auditoría
2205.2 Tipos de evidencia
2205.2.1 Al planear y realizar una asignación, los profesionales deben tomar en cuenta el tipo de evidencia a ser
recopilada, su uso para alcanzar los objetivos de auditoría y sus diferentes niveles de confiabilidad. Los
distintos tipos de evidencia que los profesionales deben considerar usar incluyen:
 procesos observados y existencia de elementos físicos
 evidencia documental
 representaciones
 análisis
2205.2.2 Los procesos observados y la existencia de elementos físicos pueden incluir observaciones de
actividades, propiedad y funciones de TI, como:
 un sistema de monitoreo de seguridad de red en funcionamiento
 un inventario de contenidos en un almacenamiento externo
2205.2.3 La evidencia documentada en papel u otros medios puede incluir:
 políticas y procedimientos escritos
 resultados de extracciones de datos
 registro de transacciones
 listados de programas
 otros documentos y registros producidos en el transcurso ordinario del negocio
 confirmación externa de terceros
2205.2.4 Las representaciones escritas y verbales de los auditados pueden incluir:
 declaraciones por escrito de la gerencia, como representaciones de la existencia y efectividad de
controles o planes internos para una nueva implementación del sistema
 representaciones verbales de los mismos, en cuanto a cómo funciona un proceso o planes para el
seguimiento de la gerencia de acciones relacionadas con el programa de concienciación sobre
seguridad
2205.2.5 Los resultados de analizar la información a través de comparaciones, simulaciones, cálculos y
razonamientos también pueden usarse como evidencia. Los ejemplos incluyen:
 analizar comparativamente el desempeño de TI con otras empresas o periodos anteriores
 comparar tasas de error entre aplicaciones, transacciones y usuarios
 Re-evaluación de procesos o controles
69
2205.3 Obtener evidencia
2205.3.1 Los profesionales deben obtener evidencia suficiente y adecuada que les permita extraer conclusiones
de auditoría razonables. Esta evidencia incluye:
 procedimientos realizados
 resultados de los procedimientos realizados
 documentos fuente (en formato electrónico o impresos en papel), registros e información de
corroboración utilizados para apoyar la auditoría
 documentación sobre la realización del trabajo y su cumplimiento con las leyes, regulaciones y
políticas aplicables
2205.3.2 Si la evidencia obtenida en forma de representaciones verbales es crítica a la opinión o conclusión de

la auditoría, los profesionales deben considerar obtener información de las representaciones, por
escrito o electrónicamente (por ejemplo, a través del correo electrónico). Los profesionales también
deben considerar evidencia alternativa para corroborar dichas representaciones, para garantizar su
fiabilidad.
2205.3.3 A la hora de recopilar evidencia, el profesional debe considerar lo siguiente:
 el momento, el nivel de esfuerzo y coste de obtener la evidencia comparado con la suficiencia de
la evidencia a la hora de reducir el riesgo de auditoría
 la importancia de la materia que se evalúa y del procedimiento de auditoría que requiere la
evidencia a la hora de lograr objetivos de auditoría y reducir el riesgo de auditoría
 la evidencia electrónica puede que no pueda extraerse en parte o totalmente tras el paso del
tiempo
2205.3.4 Los procedimientos usados para recopilar la evidencia dependen de las características del sistema de
información que se audita, el cronograma de la auditoría, el alcance y los objetivos de la auditoría y el
juicio profesional. La evidencia puede recopilarse a través del uso de procedimientos de auditoría
manuales, técnicas de auditoría asistida por ordenador (CAATs) o una combinación de ambas. Los
profesionales deben seleccionar el procedimiento más apropiado para cada objetivo de auditoría de TI.
Se deben considerar los procedimientos siguientes:
 Consulta y confirmación—El proceso de búsqueda de información de especialistas que están
familiarizados con la materia. Los especialistas no tienen por qué ser miembros de la empresa
que se audita. Este procedimiento puede ir desde solicitudes formales por escrito a solicitudes
informales verbales.
 Observación—Observar la realización de un procedimiento o proceso por aquellos individuos que
son normalmente responsables de su realización u observar elementos físicos, como
instalaciones, hardware informático, o ajustes o configuraciones de sistemas de información. Este
tipo de evidencia se limita al momento justo en el que tuvo lugar la observación. Los profesionales
deben tener en cuenta que observar la realización de un proceso o procedimiento puede afectar el
modo en que se realiza el procedimiento o proceso.
 Inspección—Examen de documentos y registros internos o externos. Los elementos a
inspeccionar pueden suministrarse en papel o en formato electrónico. La inspección también
puede incluir el examen de activos físicos.
 Procedimientos analíticos—Evaluar datos examinando las posibles relaciones dentro de los datos
o entre los datos y otra información relevante. Esto también incluye el examen de fluctuaciones,
tendencias y relaciones incoherentes.
 Recálculo/computación—El proceso de comprobar la precisión aritmética y matemática de
documentos o registros bien manualmente o a través del uso de CAATs.
 Re-ejecución—Realización independiente de procedimientos y/o controles que se ejecutaron
originalmente por el sistema de información o por la propia empresa.
 Otros métodos generalmente aceptados—Otros procedimientos generalmente aceptados que los
profesionales pueden seguir a la hora de recopilar información adecuada y suficiente, como
participar en ingeniería social, actuar como invitado de incógnito o llevar a cabo pruebas de
intrusión ética.
2205.3.5 A la hora de recopilar la evidencia, los profesionales deben considerar la independencia y

cualificaciones de la entidad que proporciona la evidencia. Por ejemplo, la evidencia de auditoría
corroborativa de un tercero independiente puede ser más fiable que la evidencia de auditoría obtenida
de la empresa que se audita. La evidencia de auditoría física suele ser más fiable que las
representaciones de un individuo.
2205.3.6 Si hay una posibilidad de que la evidencia recopilada se convierta en parte de un procedimiento
jurídico, los profesionales deben consultar con el asesor jurídico adecuado para determinar si hay
cualquier requerimiento especial que impacte en la forma en que la evidencia debe recopilarse,
presentarse y comunicarse.
2205.3.7 En situaciones en las que los profesionales no pueden obtener suficiente evidencia de auditoría, por
ejemplo, si los individuos o gerencia rechazan proporcionar la evidencia satisfactoria y adecuada para
lograr los objetivos de auditoría de TI, los profesionales deben comunicar la situación a la gerencia de
la auditoría y, si fuera necesario, a aquellos encargados del gobierno de la auditoría, conforme a los
procedimientos establecidos por la organización de la auditoría. Las restricciones o limitaciones al
alcance de la auditoría y la consecución de los objetivos de la auditoría también deberían publicarse en
la comunicación de los resultados de la auditoría.
71
2205.3.8 Los profesionales deben conservar la evidencia tras completar el trabajo de auditoría para garantizar
que la evidencia esté:
 disponible por un período de tiempo y en un formato que cumplan con las políticas de la
organización y estándares, leyes y regulaciones profesionales relevantes
 protegida de modificaciones o divulgaciones no autorizadas durante su preparación y retención
 eliminada correctamente al final del período de retención
2205.4 Evaluar la evidencia
2205.4.1 La evidencia es suficiente y adecuada cuando proporciona una base razonable para respaldar los
hallazgos o conclusiones dentro del contexto de los objetivos de la auditoría. Si, a juicio del profesional,
la evidencia no cumple con estos criterios, el profesional debe obtener evidencia adicional o realizar
procedimientos adicionales para reducir las limitaciones o incertidumbres relacionadas con la
evidencia. Por ejemplo, el listado del programa puede no ser una evidencia adecuada hasta que se haya
recopilado otra evidencia para verificar que representa el programa realmente utilizado en el proceso
de producción.
2205.4.2 A la hora de evaluar la fiabilidad de la evidencia obtenida durante una auditoría, los profesionales deben
considerar las características y propiedades de la evidencia, como su fuente, naturaleza (escrita, verbal,
visual o electrónica), autenticidad (presencia de firmas digitales o manuales, sellos de fecha/hora) y las
relaciones de cada evidencia que proporcionan una corroboración por múltiples fuentes. En general, la
fiabilidad de la evidencia se clasifica de baja a alta dependiendo de los procedimientos usados para
obtener la evidencia, como sigue:
 consulta y confirmación
 observación
 inspección
 procedimientos analíticos
 repetición del cálculo o computación
 re-ejecución
Para cada uno de los procedimientos anteriores, la fiabilidad de la evidencia es generalmente mayor
cuando:
 está escrita, en lugar de obtenerse de expresiones verbales
 es obtenida directamente por el profesional en lugar de indirectamente por la entidad que se está
auditando
 es obtenida de fuentes independientes
 es certificada por una entidad independiente
 es mantenida por una entidad independiente
2205.4.3 Los profesionales deben considerar el tiempo durante el cual la información existe o está disponible al
determinar la naturaleza, el cronograma y la extensión de las pruebas sustantivas y, si fuera aplicable,
las pruebas de cumplimiento. Por ejemplo, la evidencia de auditoría procesada por intercambio de
datos electrónicos (EDI), procesamiento de imágenes de documentos y hojas de cálculo pueden no ser
usada después de un período de tiempo determinado si los cambios a los archivos no son controlados
o si los archivos no son respaldados. La disponibilidad de la información también puede verse
impactada por las políticas de retención de documentos de la empresa.
2205.4.4 Si hay una auditoría de terceros independiente, los profesionales deben considerar si se realizaron las
pruebas de controles para la materia de la auditoría, y si se puede dar fiabilidad a los resultados de
esas pruebas.
2205.4.5 Los profesionales deben obtener evidencia objetiva que sea suficiente y adecuada para permitir que
una entidad independiente cualificada pueda repetir la ejecución de las pruebas y obtener los mismos
resultados y conclusiones.
2205.5 Preparación de documentación de auditoría
2205.5.1 Durante la realización de la auditoría, los profesionales deben documentar la evidencia obtenida y
garantizar que la documentación es retenida y está disponible por un período de tiempo predefinido, en
un formato que cumpla con las políticas empresariales y estándares profesionales, leyes y
regulaciones relevantes.
2205.5.2 La evidencia obtenida durante la realización de la auditoría deberá identificarse adecuadamente,
referenciarse y catalogarse para facilitar la determinación de la suficiencia y adecuación global de la
evidencia. Estos pasos son necesarios para proporcionar una base razonable para los hallazgos y
conclusiones dentro del contexto de los objetivos de la auditoría, y permiten una fácil recuperación por
parte de otros miembros del equipo de auditoría de TI o un independiente.
2205.5.3 Los profesionales deben asegurar que la documentación de la evidencia esté protegida de acceso no
autorizado, divulgación o modificación durante su preparación y retención. Los periodos de retención
podrían verse influidos por requerimientos externos. Por ejemplo, para empresas sujetas a los
requerimientos de la Comisión de intercambio y seguridad de EE.UU., los auditores financieros deben
conservar determinados registros durante un periodo de siete años tras la finalización de la auditoría o
revisión.11
2205.5.4 Los profesionales deben eliminar la evidencia al término del período de retención.
2205.6.1 Al realizar una asignación, los profesionales de auditoría y aseguramiento de TI deben:

 identificar, interrelacionar y catalogar de manera apropiada la evidencia
 considerar los medios más rápidos y eficientes en costes para recolectar la evidencia necesaria
para satisfacer los objetivos y riesgos de la asignación Sin embargo, la dificultad o coste no es una
razón válida para omitir un procedimiento necesario.
 obtener evidencia proporcional a la materialidad del elemento y al riesgo involucrado.
 poner el énfasis debido en la precisión y completitud de la información cuando la información
obtenida de la empresa se utiliza por el profesional de auditoría y aseguramiento de TI para
realizar los procedimientos de auditoría.
Objetivo de gestión
Propósito
COBIT 2019
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes,
1
1
US Securities and Exchange Commission (SEC), “Regla Final: Retención de registros relevantes para auditorías y revisiones,”
www.sec.gov/rules/final/33-8180.htm#:~:text=Under%20the%20new%20rule%2C96,of%20the%20audit%20or%20review
73
Estándar de desempeño 1206: Uso del trabajo de otros expertos
Declaraciones 1206.1 Los profesionales de auditoría y aseguramiento de TI deben considerar el uso del trabajo de
otros expertos para la asignación, cuando sea apropiado.
1206.2 Los profesionales de auditoría y aseguramiento de TI deben evaluar y aprobar la idoneidad de
las cualificaciones profesionales, competencias, experiencia relevante, recursos, independencia y
procesos de control de calidad de otros expertos antes de la asignación.
1206.3 Los profesionales de auditoría y aseguramiento de TI deben evaluar, revisar y valorar el trabajo
de otros expertos como parte de la asignación, y documentar la conclusión sobre el uso y la confianza
en su trabajo.
1206.4 Los profesionales de auditoría y aseguramiento de TI deben determinar si el trabajo de otros
expertos, que no forman parte del equipo de asignación, es adecuado y completo para concluir acerca
de los objetivos de la asignación actual. Los profesionales también deberían documentar claramente la
conclusión.
1206.5 Los profesionales de auditoría y aseguramiento de TI deben determinar si se podrá depender
del trabajo de otros expertos y se incorporará directamente o se hará referencia al mismo de manera
separada en el informe.
1206.6 Los profesionales de auditoría y aseguramiento de TI deben aplicar procedimientos adicionales
de prueba para obtener evidencia suficiente y apropiada en los casos en que el trabajo de otros
expertos no brinde evidencia suficiente y apropiada.
1206.7 Los profesionales de auditoría y aseguramiento de TI deben brindar una opinión o conclusión
de la auditoría e incluir cualquier limitación al alcance cuando no se obtenga la evidencia requerida
mediante los procedimientos de prueba adicionales.
Directrices de desempeño 2206: Uso del trabajo de otros expertos
2206.1 Introducción Esta directriz brinda una guía a los profesionales de auditoría y aseguramiento de TI para considerar el
uso del trabajo de otros expertos. La sección de contenido de la directriz se estructura para proporcionar información sobre los
temas de auditoría y asignación de aseguramiento clave siguientes:
2206.2 Considerar el uso del trabajo de otros expertos
2206.3 Valorar la adecuación de otros expertos
2206.4 Planificar y revisar el trabajo de otros expertos
2206.5 Evaluar el trabajo de otros expertos
2206.6 Procedimientos de prueba adicionales
2206.7 Opinión o conclusión de la auditoría
2206.2 Considerar el uso del trabajo de otros expertos
2206.2.1 Los profesionales que no cuentan con las competencias requeridas para realizar una asignación de
auditoría en parte o en su totalidad, deben considerar buscar la asistencia de otros expertos con las
habilidades necesarias.
2206.2.2 Debe considerarse el trabajo de otros expertos cuando existen limitaciones que podrían impedir el
trabajo de auditoría que debe realizarse, como falta de conocimiento técnico requerido por la
naturaleza de las tareas a realizar, escasos recursos de auditoría, limitaciones de tiempo y posibles
problemas de independencia. El uso de otros expertos también debe considerarse si fuera a mejorar la
calidad de la asignación.
2206.2.3 No se espera que los profesionales tengan un nivel de conocimiento equivalente al de los otros
expertos. Los profesionales deben, sin embargo, tener el conocimiento suficiente del trabajo realizado
para poder guiar y revisar el trabajo de otros expertos. A la hora de depender del trabajo de otros, los
profesionales deben presentar evidencia objetiva que verifique la competencia y nivel de habilidades de
los expertos.
2206.2.4 Los profesionales deben basar su elección de expertos específicos y el uso del trabajo de otros
expertos en criterios objetivos.
2206.2.5 Los profesionales deben comunicar y documentar los requerimientos del desempeño a otros expertos
en un contrato o acuerdo anterior al inicio del trabajo en la asignación por parte de los expertos.
2206.2.6 Si se prohíbe el acceso de otros expertos a los registros o sistemas debido a las políticas internas de la
empresa, los profesionales deben determinar el alcance adecuado del uso y dependencia del trabajo de
los otros expertos.
2206.2.7 Si no se pueden obtener los expertos requeridos, los profesionales deben documentar el impacto en
alcanzar los objetivos de auditoría, e incluir en el plan de la asignación tareas específicas para
gestionar el riesgo de auditoría resultante. Si el riesgo de auditoría resultante no puede gestionarse,
puede que los profesionales deban declinar la asignación de la auditoría.
2206.2.8 Los profesionales de auditoría y aseguramiento de TI pueden depender de los informes del Control de
Sistema y Organización (CSO) como parte de sus revisiones.
2206.3 Valorar la adecuación de otros expertos
2206.3.1 Si una asignación de auditoría implica el uso del trabajo de otros expertos, los profesionales deben
considerar la adecuación de los otros expertos al planificar el trabajo de auditoría de TI, evaluando las
cualificaciones, competencias, experiencia relevante, recursos y uso de los procesos de control de
calidad de los otros expertos.
2206.3.2 Los profesionales deben considerar la independencia y objetividad de otros expertos antes de basarse
en su trabajo. Los procesos de selección y nombramiento, el estado organizativo, la línea de informe, y
el efecto de las recomendaciones de los otros expertos sobre las prácticas de la gestión son
indicadores típicos de la independencia y objetividad de los otros expertos.
2206.4 Planificar y revisar el trabajo de otros expertos
2206.4.1 Los profesionales deben verificar que el estatuto de auditoría o carta de compromiso especifique su
derecho de acceso al trabajo de los otros expertos. Los profesionales deben tener acceso a todos los
papeles de trabajo, documentación de apoyo y informes creados por otros expertos, cuando dicho
acceso no ocasione problemas legales o de privacidad.
75
2206.4.2 Los profesionales deben considerar las actividades de otros expertos y sus efectos en los objetivos de
la auditoría de TI al planificar el trabajo de auditoría de TI, incluido:
 llegar a comprender el alcance del trabajo, enfoque, cronograma y uso de procesos de control de
calidad de los otros expertos
 determinar el nivel de revisión requerida
2206.4.3 La naturaleza, cronograma y alcance de la evidencia de auditoría requerida dependerá de la
importancia y el alcance del trabajo de los otros expertos. Durante el proceso de planificación, los
profesionales deben identificar el nivel de revisión requerido para proporcionar una evidencia de
auditoría suficiente y adecuada para alcanzar todos los objetivos de la auditoría de TI eficazmente. Los
profesionales deben revisar el informe final, la metodología o programas de auditoría, y los papeles de
trabajo de los otros expertos.
2206.4.4 Al revisar los papeles de trabajo, los profesionales deben valorar si el trabajo de otros expertos se ha
planificado, supervisado, documentado y revisado de forma adecuada, para considerar la adecuación y
suficiencia de la evidencia de auditoría proporcionada y determinar hasta qué punto se usa y se
depende del trabajo de los expertos. Esta valoración puede incluir una prueba adicional del trabajo de
otros expertos. El cumplimiento con estándares profesionales relevantes también debe valorarse. En
general, los profesionales deberían valorar si el trabajo de otros expertos es adecuado y completo para
permitirles alcanzar los objetivos de la auditoría de TI y documentar una conclusión.
2206.4.5 Los profesionales deben realizar suficientes revisiones de los informes finales de otros expertos para
confirmar que:
 El alcance especificado en el estatuto de auditoría, los términos de referencia o la carta de
compromiso se han cumplido.
 Se ha identificado cualquier asunción significativa por parte de los otros expertos.
 Los hallazgos y conclusiones informados están respaldados adecuadamente por la evidencia.
2206.5 Evaluar el trabajo de otros expertos
2206.5.1 Las interdependencias entre los clientes y proveedores en cuanto al procesamiento y externalización
(outsourcing) de actividades no principales contribuyen a un entorno de auditoría complejo. Partes del
entorno auditadas pueden controlarse y auditarse por otras funciones o empresas independientes. La
empresa que externalice recibirá informes de esos terceros sobre el entorno de control de las
operaciones externalizadas. En algunos casos, estas operaciones pueden disminuir la necesidad de
cobertura de auditoría de TI, aunque los profesionales no tengan acceso a la documentación de apoyo
y a los papeles de trabajo. Los profesionales deben ser cautos al proporcionar una opinión en tales
casos.
2206.5.2 Los profesionales deben valorar la utilidad y adecuación del trabajo realizado por otros expertos y
considerar cualquier hallazgo significativo reportado por los otros expertos. Los profesionales son
responsables de determinar hasta qué punto se podrá depender del trabajo de otros expertos,
incorporarlo directamente o referirse al mismo de manera separada en el informe. Los profesionales
también deberían valorar el efecto de los hallazgos y conclusiones de otros expertos sobre el objetivo
global de auditoría de TI. Los profesionales también deben verificar que se realice cualquier trabajo
adicional requerido para cumplir con el objetivo global de auditoría de TI. Todas las afirmaciones
hechas por otros expertos deben ser verificadas y aprobadas formalmente por la gerencia. Puede
encontrarse una guía detallada en esta materia en Estándar 1007 Afirmaciones.
2206.6 Procedimientos de prueba adicionales
2206.6.1 Basado en la valoración del trabajo de otros expertos, los profesionales deben aplicar procedimientos
adicionales de prueba para obtener evidencia de auditoría suficiente y apropiada si el trabajo de otros
expertos no provee dicha evidencia.
2206.6.2 Los profesionales deben considerar si se requieren pruebas adicionales al trabajo de otros expertos.
2206.7 Opinión o conclusión de la auditoría
2206.7.1 Si es responsabilidad del profesional de formular una opinión o conclusión de la auditoría. Los
profesionales deben determinar si el trabajo realizado por otros expertos es suficiente para respaldar
una opinión o conclusión de auditoría.
2206.7.2 Si los procedimientos de pruebas adicionales no proporcionan evidencia de auditoría adecuada y

suficiente, los profesionales deben proporcionar una opinión o conclusión de auditoría adecuada,
incluyendo limitaciones al alcance, si se requieren.
2206.7.3 Las opiniones y comentarios de los profesionales sobre la adopción y relevancia del informe de los
otros expertos deben formar parte del informe de asignación de auditoría si el informe de los expertos
se utiliza para formar la opinión de los profesionales.
2206.7.4 Si corresponde, los profesionales deben considerar hasta qué punto ha implementado la gerencia
alguna de las recomendaciones de otros expertos. Esto debe incluir la valoración de si la gerencia está
comprometida con la resolución de los problemas identificados por otros expertos dentro de los plazos
adecuados y el estatus actual de resolución.

 Documentar el impacto en el logro de los objetivos de la asignación, si no se pueden obtener los
expertos requeridos, e insertar las tareas específicas en el plan de la asignación para gestionar los
requerimientos de evidencia y riesgo.
 Determinar y concluir acerca del alcance del uso y confiabilidad en el trabajo de otros expertos, si
no se ha otorgado a los expertos el acceso a los registros debido a problemas legales.
 Documentar el uso del trabajo de otros expertos en el informe.
77
Objetivo de gestión
Propósito
COBIT 2019
Estándar de desempeño 1207: Irregularidades y acciones ilegales
Declaraciones 1207.1 Los profesionales de aseguramiento y auditoría de TI deben considerar el riesgo de

irregularidades y actos ilegales durante la asignación.
1207.2 Los profesionales de aseguramiento y auditoría de TI deben documentar y comunicar, de
manera oportuna, cualquier acto ilegal o irregularidad material a la parte apropiada. Tenga en cuenta
que algunas comunicaciones (por ejemplo, con reguladores) podrían estar restringidas. Como
resultado, las comunicaciones del profesional podrían requerir hablar con aquellos encargados del
gobierno y supervisión de la función de auditoría (por ejemplo, el consejo directivo y/o el comité de
auditoría).
Directrices de desempeño 2207: Irregularidades y actos ilegales
2207.1 Introducción Esta directriz detalla las responsabilidades de la gerencia y los profesionales de auditoría y
aseguramiento de TI con respecto a las irregularidades y actos ilegales. La sección de contenido de la directriz se estructura
para proporcionar información sobre los siguientes temas de la asignación de auditoría y aseguramiento:
2207.2 Irregularidades y actos ilegales
2207.3 Responsabilidades de la dirección
2207.4 Responsabilidades de los profesionales
2207.5 Irregularidades y actos ilegales durante la planificación de la asignación
2207.6 Diseño y revisión de procedimientos de asignación
2207.7 Responder a irregularidades y actos ilegales
2207.8 Informe interno
2207.9 Informe externo
2207.2 Irregularidades y actos ilegales
2207.2.1 Las irregularidades y actos ilegales pueden impactar directamente en una empresa en multitud de
formas negativas, afectando a finanzas y reputación, e indirectamente a la productividad y la retención
de empleados. Es importante que las empresas sean conscientes y cuenten con mecanismos de
prevención y detección para identificar irregularidades y actos ilegales rápidamente. Las
irregularidades y actos ilegales pueden ocurrir con más probabilidad si los controles no funcionan bien,
están mal diseñados o no existen.
2207.2.2 Las irregularidades y actos ilegales pueden ser cometidos por un empleado de cualquier nivel dentro
de una empresa. Esto incluye actividades como, sin estar limitadas a:
 fraude, que es cualquier acto que implique el uso de engaño para obtener una ventaja ilegal
 representación errónea deliberada de hechos con el objeto de adquirir una ventaja o esconder
irregularidades o actos ilegales
 actos que impliquen el incumplimiento de leyes y regulaciones, incluido no asegurar que los
sistemas o procesos de TI cumplan con las leyes y regulaciones vigentes
 divulgación no autorizada de datos sujetos a privacidad
 prácticas de retención de datos que violan las leyes y regulaciones de privacidad aplicables
 actos que implican el incumplimiento de los acuerdos y contratos de terceros, como bancos,
proveedores, distribuidores, proveedores de servicio y partes interesadas, con la empresa
 manipulación, falsificación, fraude o alteración de registros o documentos, ya sean electrónicos o
en papel
 supresión u omisión de los efectos de las transacciones, ya sean electrónicas o en papel
 filtración inapropiada o deliberada de información confidencial
 registro de transacciones (ya sean electrónicas o en papel) que carezcan de sustancia y se sepan
falsas - por ejemplo, gastos falsos, fraude en nóminas, evasión de impuestos
 apropiación indebida y mal uso de activos
 Skimming o desfalco, que es la apropiación indebida de dinero en efectivo antes de que se registre
en los registros financieros de la empresa.
 actos que violan los derechos de la propiedad intelectual (PI), como derechos de autor, marcas
comerciales y patentes, ya sean voluntarios o involuntarios
 otorgar acceso no autorizado a la información y sistemas
 errores en registros financieros u otros registros que surgen debido al acceso no autorizado a
datos y sistemas
2207.2.3 La determinación de si un acto particular es ilegal se basa generalmente en el asesoramiento de un

profesional jurídico informado o puede tener que esperar una determinación final por un tribunal. Los
profesionales deben preocuparse principalmente del efecto o posible efecto de la acción irregular,
independientemente de si se sospecha o se demuestra que el acto es ilegal.
2207.2.4 No todas las irregularidades deben considerarse actividades fraudulentas. La determinación de
actividades fraudulentas depende de la definición legal de fraude en la jurisdicción respectiva. Las
irregularidades fraudulentas incluyen, entre otras:
 la evasión deliberada de controles con la intención de encubrir la perpetuación del fraude
 el uso no autorizado de recursos o servicios
 instigar o ayudar a encubrir este tipo de actividades
Las irregularidades no fraudulentas pueden incluir:
 negligencia grave
 actos ilegales involuntarios
79
2207.2.5 Puede haber casos en los que un profesional experimente represalias o intimidación tras haber
reportado posibles actos ilegales o fraude. Teniendo en cuenta todas las partes implicadas, el ejecutivo
jefe de auditoría (o vicepresidente/director de auditoría), la dirección ejecutiva, y aquellos encargados
del gobierno y supervisión de la función de auditoría (por ejemplo, el consejo de dirección y/o el comité
de auditoría) deben colaborar con el asesor legal para abordar la cuestión. Sus esfuerzos deben incluir
acciones que resuelvan los problemas relacionados con las amenazas o intimidación y pueden incluir
la coordinación con las agencias de las fuerzas del orden locales.
2207.3 Responsabilidades de la gerencia
2207.3.1 Es fundamentalmente responsabilidad de la gerencia y el consejo proporcionar controles para disuadir,

prevenir y detectar irregularidades y actos ilegales.
2207.3.2 La gerencia suele usar los medios siguientes para obtener un aseguramiento razonable de que se
evitan, previenen o detectan las irregularidades y actos ilegales de forma oportuna:
 diseñar implementar y mantener sistemas de control internos (incluido revisión y aprobación de
transacciones y procedimientos de revisión de gestión) para prevenir y detectar irregularidades o
actos ilegales
 políticas y procedimientos que gobiernan la conducta de los empleados
 validación de cumplimiento y procedimientos de monitoreo
 diseñar, implementar y mantener sistemas adecuados de presentación de informes, grabaciones y
gestión de incidentes relacionados con irregularidades o actos ilegales
 políticas y procedimientos que gobiernan los requerimientos de cumplimiento y regulatorios
2207.3.3 La gerencia debe comunicar a los profesionales su conocimiento sobre cualquier irregularidad o acto
ilegal, las áreas afectadas y cualquier acción llevada a cabo, ya sean dichos actos alegados,
sospechados o probados.
2207.3.4 Si se alega, sospecha o detecta un acto de una naturaleza irregular o ilegal, la gerencia debe ayudar en
el proceso de investigación e indagación.
2207.4 Responsabilidades de los profesionales
2207.4.1 Los profesionales deberían considerar definir en el estatuto de auditoría las responsabilidades de la
gerencia y las responsabilidades de la gerencia de auditoría y aseguramiento de TI con respecto a la
prevención, detección ye informe de irregularidades para que se comprendan claramente para todo el
trabajo de auditoría. Cuando estas responsabilidades se documentan en la política de la empresa o un
documento similar, el estatuto de auditoría debe incluir una declaración a tal efecto.
2207.4.2 Los profesionales deben comprender que los mecanismos de control no pueden eliminar por completo
la posibilidad de que ocurran irregularidades o actos ilegales. Los profesionales son responsables de
valorar el riesgo de irregularidades o actos ilegales, evaluar el impacto de las irregularidades
identificadas y diseñar y realizar pruebas que sean adecuadas para la naturaleza de la asignación de
auditoría.
2207.4.3 Los profesionales no son responsables de la prevención o detección de irregularidades o actos
ilegales. Una asignación de auditoría no puede garantizar que se detectarán irregularidades. Incluso si
una auditoría se planifica y ejecuta adecuadamente, las irregularidades pueden pasar desapercibidas,
por ejemplo, si hay una connivencia entre empleados, o una connivencia entre empleados y externos, o
si la gerencia está implicada en las irregularidades. El objetivo es determinar que el control está
implantado, es adecuado, efectivo y se ejecuta.
2207.4.4 Los profesionales que tienen información específica sobre la existencia de una irregularidad o acto
ilegal tienen la obligación de reportarlo.
2207.4.5 Los profesionales deben informar a la gerencia y aquellos encargados del gobierno si han identificado
situaciones en las que hay un nivel de riesgo más alto de que se produzca una posible irregularidad o
acto ilegal, incluso si no se detecta ninguna.
2207.4.6 Los profesionales deben estar razonablemente familiarizados con el área que se revisa para poder
identificar los factores de riesgo que podrían contribuir a que tengan lugar actos irregulares o ilegales.
81
2207.5 Irregularidades y actos ilegales durante la planificación de la asignación
2207.5.1 Los profesionales deben valorar el riesgo de que ocurran irregularidades o actos ilegales conectados
con el área auditada siguiendo el uso de metodología adecuada. Al preparar esta evaluación, los
profesionales deben considerar factores como:
 las características organizativas, como ética corporativa, estructura organizativa, adecuación de la
supervisión, estructuras de compensación y remuneración, el alcance de las presiones de
desempeño corporativas y la dirección empresarial
 la historia de la empresa, casos pasados de irregularidades, y las actividades subsiguientes
llevadas a cabo para mitigar o minimizar los hallazgos relacionados con las irregularidades
 los cambios recientes en la gerencia, operaciones o sistemas de TI, y la dirección estratégica
actual de la empresa
 impactos que derivan en nuevas asociaciones estrategias
 tipos de activos retenidos o servicios ofrecidos y su susceptibilidad a irregularidades
 evaluación de la fortaleza de los controles relevantes y las vulnerabilidades que podrían permitir
que se evitara o saltara el establecimiento de controles
 requerimientos legales o regulatorios vigentes
 políticas internas, como política de protección de denunciantes, y códigos de ética de empleados y
gerencia
 relaciones de partes interesadas y mercados financieros
 capacidades de recursos humanos
 confidencialidad e integridad de información de negocio que sea crítica
 hallazgos de auditorías anteriores
 la industria y el entorno competitivo en el que opera la empresa
 hallazgos de revisiones llevadas a cabo fuera del alcance de la auditoría, como hallazgos de
consultores, equipos de aseguramiento de calidad o investigaciones específicas de la gerencia
 hallazgos de la conducta empresarial diaria
 existencia de documentación del proceso y/o sistema de gestión de la calidad (SGC).
 la sofisticación y complejidad técnica de los sistemas de información que respaldan el área
auditada
 la existencia de aplicaciones desarrolladas/mantenidas internamente para los principales
procesos de negocio frente a software paquetizado
 efectos de la insatisfacción de empleados
 posibles despidos, externalizaciones, desinversiones o restructuraciones
 existencia de activos que son fácilmente susceptibles de malversación
 mala organización financiera y/o desempeño operativo
 actitud de la gerencia con respecto a la ética
 irregularidades y acciones ilegales que son comunes a una industria particular o que han ocurrido
en empresas similares
2207.5.2 Como parte del proceso de planificación y realización de valoración de riesgos, los profesionales deben
preguntar a la gerencia, y obtener representaciones por escrito si corresponde, acerca de lo siguiente:
 la comprensión de la gerencia en cuando al nivel de riesgo de irregularidades y actos ilegales en la
empresa
 si la gerencia tiene conocimiento de irregularidades y actos ilegales que han o podrían haber
ocurrido dentro de la empresa o que podrían haberse dirigido hacia ella
 responsabilidad de la dirección en el diseño y la implementación de controles internos que
prevengan irregularidades o actos ilegales
 cómo se monitorea o gestiona el riesgo de irregularidades o actos ilegales
 qué procesos existen para comunicar irregularidades o actos ilegales alegados, sospechados o
existentes a las partes interesadas correspondientes
 legislación nacional y regional vigente en la jurisdicción en que opera la organización y el alcance
de la coordinación del departamento jurídico con el comité de riesgos y/o el comité de auditoría
2207.6 Diseño y revisión de procedimientos de asignación
2207.6.1 Los profesionales no tienen responsabilidad explícita de detectar o evitar irregularidades o actos
ilegales, pero pueden diseñar procedimientos para la asignación de auditoría que tengan en cuenta las
irregularidades y actos ilegales que se han identificado.
2207.6.2 Los profesionales deben usar los resultados de la valoración de riesgos para determinar la naturaleza,
cronograma y alcance de las pruebas requeridas para obtener suficiente evidencia de auditoría que
asegure razonablemente que se identifiquen:
 irregularidades que podrían tener un efecto significativo en el área auditada o en la empresa en su
conjunto
 debilidades de control que acabarían en un fallo a la hora de prevenir o detectar irregularidades
materiales
 todas las deficiencias significativas en el diseño y operación de los controles internos que podrían
afectar potencialmente la capacidad del emisor de registrar, procesar, resumir e informar de los
datos del negocio
2207.6.3 Los profesionales deben revisar los resultados de los procedimientos de asignación para poder
determinar si hay indicios de que se hayan producido irregularidades o actos ilegales. El uso de
técnicas de auditoría asistida por ordenador (CAAT) puede ayudar considerablemente en la detección
efectiva y eficaz de irregularidades o actos ilegales.
83
2207.6.4 A la hora de evaluar los resultados de los procedimientos de asignación, los factores de riesgo
identificados deben revisarse con respecto a los procedimientos realizados para proporcionar un
aseguramiento razonable de que se han abordado todos los riesgos identificados.
2207.7 Responder a irregularidades y actos ilegales
2207.7.1 Durante una asignación de auditoría, puede que los profesionales vean indicadores de la
existencia de irregularidades o actos ilegales. Deben considerar el efecto potencial de las
irregularidades o actos ilegales sobre la materia de la asignación, los objetivos de la auditoría, el
informe de asignación de la auditoría y la empresa.
2207.7.2 Los profesionales deben demostrar una actitud de escepticismo profesional. Los indicadores (a
veces llamados «fraude» o «banderas rojas») de personas que cometen irregularidades o actos
ilegales incluyen:
 anulación de controles por parte de la gerencia
 comportamiento de la gerencia irregular o mal explicado
 desempeño excesivo constante, comparado con los objetivos establecidos
 problemas o retrasos al recibir la información o evidencia solicitada
 transacciones que no siguen los ciclos de aprobación normales
 aumento de actividad de un cliente determinado
 aumento de reclamaciones de un cliente determinado
 desvío de controles de acceso para algunas aplicaciones o usuarios
Los profesionales deben prestar especial atención si notan cualquiera de estos indicadores.
2207.7.3 Si los profesionales son conscientes de cualquier información relativa a una posible irregularidad
o acto ilegal, deben considerar llevar a cabo los pasos siguientes tras recibir el asesoramiento de
la autoridad jurídica pertinente:
 llegar a entender la naturaleza del acto
 comprender las circunstancias en las que ha ocurrido el acto
 recopilar evidencia del acto (por ejemplo, cartas, registros del sistema, archivos de
ordenador, registros de seguridad e información de clientes o proveedores)
 identificar a todas las personas implicadas en cometer el acto obtener suficiente
información de soporte para evaluar el efecto del acto
 realizar procedimientos adicionales limitados para determinar el efecto del acto y si existen
actos adicionales
 documentar y preservar toda la evidencia y trabajo realizado
2207.7.4 Tras dar los pasos adecuados relacionados con una posible irregularidad o acto ilegal, los
profesionales deben consultar con la gerencia de la auditoría para determinar las acciones
siguientes, como informar sobre el «evento» a la gerencia de la empresa, dejar otras acciones a
los investigadores de fraude interno y/o reportarlo a las fuerzas del orden o los reguladores.
2207.7.5 Cuando una irregularidad implique a un miembro de la gerencia, los profesionales deben
reconsiderar la fiabilidad de las representaciones hechas por la gerencia. Los profesionales
deben trabajar con el nivel adecuado de gerencia, normalmente el nivel de gerencia superior al
asociado con la irregularidad o acto ilegal.
2207.8 Informe interno
2207.8.1 Los profesionales deben comunicar la detección de irregularidades y actos ilegales a las personas
adecuadas de la empresa por escrito o verbalmente y de manera oportuna. La notificación debe ser
dirigida a la gerencia a un nivel superior al nivel en el que se sospecha que tuvieron lugar las
irregularidades y actos ilegales. Además, las irregularidades y actos ilegales deben reportarse a
aquellos encargados del gobierno de la empresa, como el consejo directivo, consejo de administración,
comité de auditoría u organismo equivalente. Los asuntos que sean claramente inmateriales en
términos de efectos financieros e indicaciones de debilidades de control pueden no requerir ser
reportados a un nivel superior.
Si los profesionales sospechan que todos los niveles de gerencia están implicados, entonces los
hallazgos deben ser comunicados confidencialmente a aquellos encargados del gobierno de la
empresa, como el consejo directivo, consejo de administración, comité de auditoría u organismo
equivalente, conforme a las leyes y regulaciones locales vigentes. Las leyes y regulaciones locales
podrían prohibir informar a otras partes distintas a la autoridad legal estipulada.
2207.8.2 Los profesionales deberán usar el criterio profesional a la hora de reportar una irregularidad o acto
ilegal. Deberán comentar los hallazgos y la naturaleza, el cronograma y el alcance de otros
procedimientos a realizar con el nivel de gerencia adecuado, al menos un nivel superior al nivel de los
individuos que parecen implicados. En estas circunstancias es especialmente importante que los
profesionales mantengan su independencia.
2207.8.3 Los profesionales deben considerar cuidadosamente a qué individuos incluir en la distribución interna
de informes de irregularidades o actos ilegales. La identificación de la ocurrencia y efectos de las
irregularidades o actos ilegales es un asunto sensible, y la distribución del informe lleva asociada
riesgos, incluidos:
 un abuso mayor de las debilidades de control como resultado de la publicación de sus detalles
 pérdida de clientes, proveedores e inversores cuando se produzca la publicación (autorizada o
desautorizada) fuera de la empresa
 pérdida de personal y gerencia clave, incluidos aquellos que no están implicados en la
irregularidad o acto ilegal, debido a una menor confianza en la gerencia y el futuro de la empresa
2207.8.4 Los profesionales deben considerar informar sobre la irregularidad o acto ilegal independientemente de
cualquier otro problema de auditoría como una forma de controlar la distribución del informe.
2207.8.5 Los profesionales deben evitar alertar a cualquier persona que pudiera estar implicada o involucrada en
la irregularidad o acto ilegal, para minimizar el potencial de esos individuos de destruir o suprimir la
evidencia.
2207.8.6 El estatuto de auditoría debe definir las responsabilidades de los profesionales en relación con el
informe de irregularidades o actos ilegales.
2207.9 Informe externo
2207.9.1 El informe externo de fraude, irregularidades o actos ilegales puede ser una obligación legal o
regulatoria. La obligación puede aplicarse a la gerencia de la empresa, a los individuos implicados en
detectar las irregularidades o a ambos. Los requerimientos legales de informes por parte del auditor
están sujetos a la jurisdicción local y prevalecen sobre la política interna y/o acuerdos contractuales.
Entre las situaciones adicionales que pueden requerir informes externos están:
 el cumplimiento de requerimientos legales o regulatorios
 orden judicial
 a implicación de agencias de financiación o gubernamentales, según los requerimientos de
auditoría sobre las entidades que reciben ayuda financiera gubernamental
 solicitudes de auditores externos
85
2207.9.2 Si se requieren informes externos, la forma y contenido de la información reportada debe aprobarse por
el nivel adecuado de gerencia de auditoría y aseguramiento de TI y ser revisado con la dirección
ejecutiva del auditado antes de su publicación externa, a menos que esté prohibido por las
regulaciones vigentes o circunstancias específicas de la asignación de auditoría. Entre los ejemplos de
circunstancias específicas que podrían desaconsejar la obtención del acuerdo de la dirección ejecutiva
auditada están:
 la implicación activa de la dirección ejecutiva auditada en la irregularidad o acto ilegal
 el consentimiento pasivo de la dirección ejecutiva auditada de la irregularidad o acto ilegal
2207.9.3 Si la dirección ejecutiva auditada no presta su acuerdo a la publicación externa del informe, y si la
presentación del informe externa es una obligación estatutaria o regulatoria, entonces los
profesionales deben considerar consultar con el comité de auditoría y el asesor legal acerca de si es
aconsejable y los riesgos de reportar los hallazgos fuera de la empresa. Incluso en situaciones en las
que los profesionales están protegidos por el privilegio de abogado-cliente, deben buscar asesoría y
consejo legal externo antes de publicar externamente para confirmar que están de hecho protegidos
por el privilegio de abogado-cliente.
2207.9.4 Con la aprobación de la gerencia de la auditoría y aseguramiento de TI, los profesionales deben
informar de las irregularidades o actos ilegales a los reguladores pertinentes en su debido momento. Si
la empresa no revela una irregularidad o acto ilegal conocido o requiere que los profesionales eliminen
estos hallazgos, los profesionales deben buscar asesoría y ayuda legal.
2207.9.5 Si los profesionales detectan una irregularidad o acto ilegal, deben informar a los auditores externos de
forma oportuna.
2207.9.6 Si los profesionales son conscientes de que la gerencia debe reportar actividades fraudulentas a una
organización exterior, los profesionales deben avisar formalmente a la gerencia de su responsabilidad.

 reducir el riesgo de auditoría a un nivel aceptable en la planificación y realización de la asignación
al:
 conocer que podrían existir errores materiales, deficiencias de control o falsas declaraciones
debido a irregularidades o actos ilegales, independientemente de la evaluación de riesgo de
irregularidades y actos ilegales
 obtener un entendimiento de la empresa y su entorno, que incluye controles internos que sean
relevantes para la materia, el alcance y los objetivos de la asignación que pretenden evitar o
detectar irregularidades y actos ilegales
 obtener evidencia suficiente y relevante para determinar si la dirección u otras personas
dentro de la empresa poseen conocimientos de cualquier irregularidad y acto ilegal real,
sospechado o alegado
 considerar relaciones inusuales o inesperadas que puedan indicar un riesgo de errores materiales,
deficiencias de control o falsas declaraciones debido a irregularidades y actos ilegales
 diseñar y realizar procedimientos para probar la adecuación de los controles internos y el riesgo
de que la dirección pudiese no respetar los controles que pretenden evitar o detectar
irregularidades y actos ilegales
 evaluar si los errores identificados, las deficiencias de control o las falsas declaraciones pueden
ser indicios de una irregularidad o acto ilegal Si existiera dicho indicio, considerar las
implicaciones relativas a otros aspectos de la asignación y, en particular, las representaciones de
la gerencia.
 obtener representaciones por escrito de la gerencia, al menos anualmente o más a menudo,
dependiendo de la asignación, para reconocer la responsabilidad de la dirección en el diseño y la
implementación de controles internos que prevengan y detecten irregularidades o actos ilegales
 divulgar los resultados pertinentes de cualquier evaluación de riesgo que indique que puedan
existir errores, deficiencias de control o falsas declaraciones como resultado de una irregularidad
o acto ilegal
 divulgar el conocimiento de la dirección sobre irregularidades y actos ilegales que afectan a la
empresa en relación con la dirección y los empleados que tienen funciones significativas en el
control interno
 divulgar el conocimiento de la dirección sobre cualquier irregularidad y acto ilegal sospechada o
alegada que afecte a la empresa según lo comunicado por empleados, exempleados, reguladores
y otros
 comunicar, de manera oportuna, a:
 el nivel apropiado de dirección: cualquier información identificada u obtenida que sugiera la
existencia de una irregularidad material o acto ilegal.
 los responsables del gobierno: cualquier irregularidad material y actos ilegales que involucren
a la dirección o los empleados que tengan funciones significativas en el control interno.
 aquellos responsables del gobierno: cualquier debilidad material en el diseño y la
implementación de controles internos que pretenden prevenir y detectar cualquier
irregularidad y acto ilegal que sea identificado durante la asignación, incluso si se encuentran
fuera del alcance.
 Considerar los requerimientos de informes profesionales y legales aplicables en base a las
circunstancias.
 Considerar retirarse de la asignación si los errores materiales, las deficiencias de control, las
falsas declaraciones o los actos ilegales afectan a la eficacia continua de la asignación.
 Documentar todas las comunicaciones, planificación, resultados, evaluaciones y
conclusiones relacionadas con las irregularidades materiales y los actos ilegales que han
sido notificadas a la dirección, los responsables del gobierno, reguladores y otros.
87
COBIT 2019 Objetivos

Propósito
de gobierno y gestión
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con la TI no exceda el apetito y tolerancia al riesgo
optimización del riesgo de la empresa, que se identifique y gestione el impacto del riesgo de TI para el valor de negocio y que
APO12 Riesgo Integrar la gestión del riesgo empresarial relacionado con la TI con la gestión del riesgo empresarial
gestionado global (ERM), y equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con
TI.
cumplimiento de los
requisitos externos
MEA04 Gestionar el Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes,
ESTÁNDARES DE INFORMES
Estándar de informes 1401: Presentación de informes
Declaraciones 1401.1 Los profesionales de aseguramiento y auditoría de TI deben proporcionar un informe para
comunicar los resultados al concluir la asignación.
1401.2 Los profesionales de aseguramiento y auditoría de TI deben garantizar que los hallazgos en el
informe de auditoría estén respaldados por una evidencia suficiente y apropiada.
Directrices de informes 2401: Presentación de informes
2401.1 Introducción Esta directriz detalla todos los aspectos que deben estar incluidos en un informe de encargo de auditoría
y proporciona a los profesionales de auditoría y aseguramiento de TI las consideraciones que deben tener en cuenta al elaborar
y finalizar un informe de encargo de auditoría. La sección de contenido de la directriz se estructura para proporcionar
información sobre los siguientes temas clave de auditoría y asignación de aseguramiento:
2401.2 Contenidos requeridos del informe de encargo de auditoría
2401.3 Eventos subsiguientes
2401.4 Comunicación adicional
2401.2 Contenidos requeridos del informe de encargo de auditoría
2401.2.1 El informe de auditoría debe incluir una declaración de que la auditoría se ha llevado a cabo en
conformidad con los estándares de auditoría y aseguramiento de TI de ISACA u otros estándares
profesionales aplicables: cualquier incumplimiento de estos estándares debe mencionarse
explícitamente en el informe.
El alcance de la asignación de auditoría también debe incluirse en el informe de auditoría. El alcance
incluye la identificación o descripción de la materia o actividad de la auditoría, el periodo bajo revisión y
el periodo en que se realizó la auditoría, la naturaleza y alcance del trabajo realizado y cualquier
cualificación o limitación del alcance.
2401.2.2 El informe de auditoría debe incluir un resumen del trabajo realizado, que ayudará a los usuarios
objetivo del informe a entender mejor la naturaleza del aseguramiento proporcionado.
2401.2.3 El informe de auditoría debe incluir una sección con la opinión del auditor. Al desarrollar un informe de
auditoría, los profesionales deben considerar toda la evidencia relevante, independientemente de si
parece corroborar o contradecir la información sobre la materia objeto de análisis. Las opiniones deben
estar respaldadas por los resultados de los procedimientos de control basado en criterios
identificados. Los profesionales deben concluir si se ha obtenido evidencia suficiente y adecuada para
respaldar las conclusiones del informe del encargo de auditoría.
El informe debe expresar una opinión sobre si, en todos los aspectos materiales, el diseño y/o el
funcionamiento de los procedimientos de control en relación con el área de actividad fueron efectivos.
89
2401.2.4 El informe de auditoría debe incluir una declaración que identifique la fuente de la representación de la
gerencia acerca de la eficacia de los procedimientos de control. Además, debe tenerse en cuenta que el
mantenimiento de una estructura de control interna efectiva, incluidos procedimientos de control para
el área de actividad, es responsabilidad de la gerencia.
2401.2.5 El informe de auditoría debe incluir la identificación de los objetivos de la auditoría.

2401.2.6 El informe de auditoría debe incluir una descripción de los criterios o desvelar la fuente de los criterios.
Además, los profesionales deben considerar revelar:
 Cualquier interpretación significativa hecha al aplicar los criterios.
 Los métodos de medición usados cuando los criterios permiten elegir entre una serie de métodos
de medición.
 Cambios en los métodos de medición estándar usados.
2401.2.7 El informe de auditoría debe incluir los destinatarios y cualquier restricción sobre su distribución.
2401.2.8 El informe de auditoría debe incluir las firmas y ubicaciones de los individuos o entidades responsables
del informe.
2401.2.9 El informe de auditoría debe incluir la fecha de publicación del informe del encargo de auditoría. En la
mayoría de los casos, la fecha del informe es la fecha de publicación. Se recomienda que el informe
mencione las fechas en las que se realizó el trabajo de auditoría, si no se indica en el resumen del
trabajo realizado.
2401.2.10 El informe de auditoría debe mencionar que la distribución (es decir, los destinatarios previstos y
cualquier restricción sobre la circulación) es conforme a los términos del estatuto de auditoría o la
carta de encargo. En algunas regiones, los profesionales de auditoría y aseguramiento de TI puede que
deben revelar sus credenciales (por ejemplo, número de certificado y/o número de miembro de ISACA u
otras organizaciones profesionales).
2401.2.11 El informe de auditoría debe incluir las observaciones, hallazgos, conclusiones y recomendaciones con
los costes de corrección, si se pueden determinar. Los hallazgos, conclusiones y recomendaciones
para una medida correctiva debe incluir la respuesta de la gerencia. Para cada respuesta de la gerencia,
los profesionales deben obtener información sobre las acciones propuestas para implementar o
abordar las recomendaciones y fecha de acción o implementación planificada.
Si los profesionales de la auditoría no están de acuerdo con una recomendación o comentario de la
auditoría en particular, las comunicaciones de la asignación pueden declarar ambas posiciones y los
motivos de las discrepancias. Los comentarios por escrito del auditado pueden incluirse como un
apéndice al informe de auditoría, en el texto del informe o en una carta de presentación. La dirección
ejecutiva o aquellos encargados del gobierno de la función de auditoría y aseguramiento de TI deben
decidir qué punto de vista apoyan.
2401.3 Eventos subsiguientes
2401.3.1 Los eventos que tienen un impacto significativo en la materia o actividad de la auditoría ocurren a
veces tras las pruebas, pero con anterioridad a la fecha de publicación del informe de auditoría. Dichas
ocasiones, referidas como eventos subsiguientes, pueden precisar su publicación porque podrían
cambiar una afirmación o una conclusión. En la realización de un encargo de auditoría, los
profesionales deberían considerar la información sobre eventos subsiguientes que les llamen la
atención. Sin embargo, los profesionales no tienen la responsabilidad de detectar eventos posteriores.
2401.3.2 Los profesionales deben obtener representaciones escritas de la gerencia de que no se han producido
eventos posteriores.
2401.4 Comunicación adicional
2401.4.1 Los profesionales deben comentar el contenido del borrador del informe con la gerencia en el área
antes de la finalización y divulgación, e incluir la respuesta de la gerencia a los hallazgos, conclusiones
y recomendaciones en el informe final.
2401.4.2 Los profesionales deben comunicar deficiencias significativas y debilidades en el entorno de control a
los responsables del gobierno y, cuando corresponda, a la autoridad responsable. Deben también
recoger explícitamente en el informe que se han comunicado deficiencias y debilidades
importantes.
2401.4.3 Los profesionales deben comunicar a la gerencia cualquier deficiencia del control interno que sean
menos que significativas, pero más que irrelevantes. En esos casos, los profesionales deben notificar a
los encargados del gobierno o de la autoridad responsable de que dichas deficiencias del control
interno han sido comunicadas a la dirección del auditado.
2401.4.4 Los profesionales deben obtener declaraciones escritas de la gerencia reconociendo, al menos, las
afirmaciones siguientes:
 La gerencia es responsable de establecer y mantener controles internos adecuados y efectivos,
incluidos sistemas de contabilidad interna y controles administrativos sobre las actividades
operativas y sistemas de información bajo revisión, y actividades para identificar todas las leyes,
normas y regulaciones que gobiernan la materia bajo revisión, y de garantizar el cumplimiento con
las mismas.
 Toda la información relativa a los objetivos del encargo se proporcionó al equipo del encargo,
incluyendo, pero sin estar limitada a:
 Registros, datos relacionados, archivos electrónicos e informes
 Políticas y procedimientos
 Personal pertinente
 Resultados de auditorías de TI internas y externas, revisiones y valoraciones relevantes
 La gerencia es responsable de informar sobre cualquier evento posterior.
 La gerencia no tiene conocimiento de ningún fraude o sospecha de fraude, irregularidades y
actos ilegales relacionados con la materia bajo revisión, incluida la gerencia y los empleados
con responsabilidad en el control interno que no se hayan desvelado.
 La gerencia no tiene conocimiento de ninguna alegación de fraude o sospecha de fraude,
irregularidades y actos ilegales, que afecten al área bajo revisión recibida en comunicaciones
de empleados, clientes, contratistas u otros que no se hayan desvelado.
 La gerencia reconoce la responsabilidad sobre el diseño y la implementación de programas y
controles que prevengan y detecten fraude, irregularidades y actos ilegales.
91

 Obtener las manifestaciones escritas relevantes del auditado que claramente detallen las áreas
críticas de la asignación, los problemas que hayan surgido y su resolución y las afirmaciones
realizadas por el auditado.
 Determinar que las manifestaciones del auditado incorporan la firma y la fecha del auditado para
mostrar el reconocimiento de las responsabilidades del auditado con respecto al encargo.
 Obtener y documentar representaciones orales en los documentos de trabajo si las
representaciones escritas no pueden obtenerse de la gerencia responsable del auditado.
 Documentar y conservar en los papeles de trabajo cualquier manifestación, tanto escrita como
oral, recibida durante la realización de la asignación. Para las encargos de atestados, las
manifestaciones del auditado se deben obtener por escrito para reducir posibles malas
interpretaciones.
 Describir las debilidades significativas o materiales y su efecto en el logro de los objetivos del
encargo en el informe.
 Discutir el contenido el borrador del informe con la dirección del área antes de su finalización y
divulgación, e incluir la respuesta de la dirección a los hallazgos, conclusiones y recomendaciones
en el informe final, cuando corresponda.
 Comunicar deficiencias significativas y debilidades a la gerencia antes de comunicarse con los
encargados del gobierno y, cuando corresponda, con la autoridad responsable. Publicar en el
informe que se han comunicado deficiencias y debilidades importantes.
 Hacer referencia en el informe final a cualquier informe realizado por separado.
 Comunicar a la dirección del auditado sobre las deficiencias del control interno que sean menos
significativas, pero más que irrelevantes. En esos casos, los responsables del gobierno de la
función de auditoría o la autoridad responsable deben ser notificadas de que dichas deficiencias
del control interno han sido comunicadas a la gerencia del auditado.
 Identificar los estándares aplicados en la realización del encargo. Comunicar cualquier
incumplimiento de estos estándares, según corresponda.
Vinculaciones con COBIT® 2019 para el Estándar 1401 y las Directrices 2401
Propósito
EDM05 Asegurar el Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de la TI que la
compromiso de las comunicación con las partes interesadas sea eficaz y oportuna, y que se establezcan las bases para
partes interesadas los informes con el fin de aumentar el rendimiento. Identificar las áreas de mejora y confirmar que los
objetivos y estrategias relacionados con IIT se ajusten a la estrategia de la empresa.
MEA01 Gestionar la Proporcionar transparencia en el rendimiento y la conformidad e impulsar la consecución de las metas.
monitorización del
rendimiento y la
conformidad
cumplimiento de los
requisitos externos
Estándar de informes 1402: Actividades de seguimiento
Declaraciones 1402.1 Los profesionales de auditoría y aseguramiento de TI deben monitorear y reportar

periódicamente a aquellos encargados del gobierno y supervisión de la función de auditoría (por
ejemplo, el consejo directivo y/o el comité de auditoría) del progreso de la gerencia con respecto a
hallazgos y recomendaciones. Los informes deben incluir una conclusión sobre si la dirección ha
planeado y tomado la acción oportuna y apropiada para abordar los hallazgos y las recomendaciones
de la auditoría .
1402.2 El progreso sobre el estado general de la implementación de los hallazgos de la auditoría
debería notificarse regularmente al comité de auditoría, si está establecido.
1402.3 Cuando se determine que el riesgo relacionado con un hallazgo se ha aceptado y es superior al
apetito de riesgo de la empresa, esta aceptación del riesgo debe comentarse con la dirección superior.
La aceptación del riesgo (en particular, el fallo para resolver el riesgo) debe ponerse en conocimiento
del comité de auditoría (si está establecido) y/o la junta directiva.
Directrices de informes 2402: Actividades de seguimiento
2402.1 Introducción El propósito de esta directriz es proporcionar una guía para revisar si la gerencia ha tomado medidas
oportunas y adecuadas sobre los hallazgos de la auditoría y las recomendaciones reportadas. La sección de contenido de la
directriz se estructura para proporcionar información sobre los temas clave siguientes de los encargos de auditoría y
aseguramiento:
2402.2 Proceso de seguimiento
2402.3 Acciones propuestas por la gerencia
2402.4 Asumir el riesgo de no adoptar medidas correctivas
2402.5 Procedimientos de seguimiento
2402.6 Planificación y programación de actividades de seguimiento
2402.7 Naturaleza y alcance de las actividades de seguimiento
2402.8 Aplazar actividades de seguimiento
2402.9 Forma de respuestas de seguimiento
2402.10 Seguimiento por profesionales de recomendaciones de auditoría externas
2402.11 Informe de actividades de seguimiento
93
2402.2 Proceso de seguimiento
2402.2.1 Una actividad de seguimiento es un proceso a través del cual los profesionales determinan la
adecuación, efectividad y momento oportuno de las acciones realizadas por la gerencia sobre las
observaciones y recomendaciones reportadas, incluidas aquellas hechas por auditores externos y
otros.
2402.2.2 Debe establecerse un proceso de seguimiento para ayudar a proporcionar un aseguramiento razonable
de que cada revisión llevaba a cabo por los profesionales proporciona un beneficio óptimo para la
empresa requiriendo que los resultados acordados que surgen de las revisiones se implementen
conforme a la decisión de la gerencia, o que la dirección ejecutiva reconozca el riesgo de retrasar o no
implementar los objetivos y/o recomendaciones propuestos.
2402.3 Acciones propuestas por la gerencia
2402.3.1 Como parte de sus conversaciones con el auditado, los profesionales deben obtener un acuerdo sobre
los resultados del encargo de auditoría y sobre un plan de acción para mejorar las operaciones, según
sea necesario.
2402.3.2 Los profesionales deben comentar con la gerencia las acciones propuestas para implementar o
abordar las recomendaciones reportadas y los comentarios de la auditoría. Las acciones propuestas
deben proporcionarse a los profesionales y deben registrarse como una respuesta de la gerencia en el
informe final con una fecha de acción y/o implementación comprometida.
2402.3.3 Si los profesionales y el auditado llegan a un acuerdo sobre las acciones propuestas, los profesionales
deben iniciar los procedimientos para las actividades de seguimiento.
2402.4 Asumir el riesgo de no adoptar medidas correctivas
2402.4.1 La gerencia puede decidir aceptar el riesgo de no corregir un problema reportado por el coste, la
complejidad de la medida correctiva u otras consideraciones. El consejo directivo, o aquellos
encargados del gobierno, deben ser informados de las recomendaciones para las que la gerencia
acepta el riesgo de no corregir la situación reportada. La aceptación del riesgo debe documentarse y
aprobarse formalmente por la dirección ejecutiva y comunicarse a aquellos encargados del gobierno.
2402.4.2 Si los profesionales creen que el auditado ha aceptado un nivel de riesgo residual que es inadecuado
para la empresa, deben comentar el asunto con la gerencia y dirección ejecutiva de auditoría y
aseguramiento de TI. Si los profesionales siguen en desacuerdo con la decisión relacionada con el
riesgo residual, estos, junto con la dirección ejecutiva, deben informar del asunto al consejo o aquellos
encargados del gobierno, para su resolución.
2402.5 Procedimientos de seguimiento
2402.5.1 Deben establecerse procedimientos para actividades de seguimiento, incluyendo:

 El registro de un plazo dentro del cual la gerencia debe responder a las recomendaciones
acordadas
 Una evaluación de la respuesta de la gerencia
 Una verificación de la respuesta, si procede
 Trabajo de seguimiento, si fuera preciso
 Un procedimiento de comunicación que escale las respuestas y/o acciones pendientes y no
satisfactores a los niveles adecuados de la gerencia y aquellos encargados del gobierno
 Un proceso para que la gerencia asuma el riesgo asociado, en caso de que la medida correctiva se
retrase o no se proponga su implementación
2402.5.2 Un sistema de seguimiento automático o base de datos puede ayudar a llevar a cabo las actividades de
seguimiento.
2402.5.3 Entre los factores que deben considerarse para determinar procedimientos de seguimiento adecuados
se incluyen:
 La importancia y el impacto de los hallazgos y recomendaciones sobre el entorno de TI y la
aplicación de TI en cuestión
 Cualquier cambio en el entorno de TI que pueda afectar a la importancia y el impacto de los
hallazgos y recomendaciones
 La complejidad de corregir la situación reportada
 El tiempo, coste y esfuerzo necesarios para corregir la situación reportada
 El efecto si falla la corrección de la situación reportada
2402.5.4 La responsabilidad de las acciones de seguimiento, presentación de informes y escalado deben

definirse en el estatuto de auditoría.
2402.6 Planificación y programación de actividades de seguimiento
2402.6.1 Las decisiones sobre el cronograma de actividades de seguimiento deben tener en cuenta la
importancia de los hallazgos reportados y el efecto en la estrategia y objetivos de la empresa si las
medidas correctivas no se toman. El calendario de las actividades de seguimiento en relación con el
informe original es una cuestión de criterio profesional dependiente de una serie de consideraciones,
como la naturaleza o magnitud del riesgo y costes asociados a la empresa.
2402.6.2 Como son una parte integral del proceso de auditoría de TI, las actividades de seguimiento deben
programarse junto con los otros pasos necesarios para llevar a cabo cada revisión. Las actividades de
seguimiento específicas y el cronograma de dichas actividades pueden verse influidas por el grado de
dificultad, el riesgo y la exposición implicados, los resultados de la revisión, el tiempo necesario para la
implementación de medidas correctivas, y otros factores, y pueden establecerse consultando con la
gerencia.
2402.6.3 Los profesionales deben hacer seguimiento de los resultados acordados relacionados con problemas
de alto riesgo poco después de la fecha de vencimiento para la acción y pueden monitorearlos de
forma progresiva.
2402.6.4 Se puede hacer un seguimiento conjunto de la implementación de todas las respuestas de la gerencia
a los distintos encargos de auditoría de forma regular (por ejemplo, cada trimestre), aunque las fechas
de implementación comprometidas por la gerencia pudieran ser distintas. Otro enfoque es hacer un
seguimiento de las respuestas de la gerencia individuales según la fecha de vencimiento acordada con
la gerencia.
95
2402.7 Naturaleza y alcance de las actividades de seguimiento
2402.7.1 Al auditado se le da normalmente un plazo dentro del cual debe proporcionar los detalles de las
acciones realizadas para implementar las recomendaciones.
2402.7.2 La respuesta de la gerencia detallando las acciones llevadas a cabo debe evaluarse, si es posible, por
los profesionales que realizaron la revisión original. Siempre que sea posible, debe obtenerse evidencia
de auditoría de las acciones llevadas a cabo.
2402.7.3 Si la gerencia proporciona información sobre las acciones que se realizan para implementar
recomendaciones y los profesionales tienen dudas sobre la información proporcionada o la efectividad
de las acciones llevadas a cabo, deben llevarse a cabo pruebas adecuadas u otros procedimientos de
auditoría para confirmar la verdadera posición y estatus antes de finalizar otras actividades de
seguimiento.
2402.7.4 Como parte de las actividades de seguimiento, los profesionales deben evaluar si las recomendaciones
no implementadas siguen siendo relevantes o tienen un mayor significado. Los profesionales pueden
decidir que la implementación de una recomendación particular ya no es adecuada. Esto podría ocurrir
si los sistemas de aplicaciones han cambiado, si los controles de compensación se han implementado,
o si los objetivos o prioridades del negocio han cambiado de tal forma que se elimine eficazmente o se
reduzca significativamente el riesgo original. De igual forma, un cambio en el entorno de TI puede
aumentar la importancia del efecto de una observación previa y la necesidad de su resolución.
2402.7.5 Podría programarse una encargo de seguimiento para verificar la implementación de acciones críticas
y/o importantes.
2402.7.6 Las opiniones de los profesionales sobre respuesta o acciones no satisfactorias de la gerencia deben
comunicarse al nivel de gerencia adecuado.
2402.8 Aplazamiento de actividades de seguimiento
2402.8.1 Los profesionales son responsables de la programación de actividades de seguimiento como parte del
desarrollo del calendario del trabajo del encargo. El calendario de seguimientos debe basarse en el
riesgo y exposición implicados y en el grado de dificultad y tiempo necesarios para implementar
medidas correctivas.
2402.8.2 Puede que haya casos en las que los profesionales juzguen que la respuesta oral y por escrito de la
gerencia muestra que la acción llevada a cabo es suficiente cuando se compara con la importancia
relativa de la observación o recomendación del encargo. En dichas ocasiones, las actividades de
verificación de seguimiento pueden realizarse como parte del siguiente encargo que trate con el
sistema o cuestión relevante.
2402.9 Forma de las respuestas de seguimiento
2402.9.1 La forma más eficaz de recibir respuestas de seguimiento de la gerencia es por escrito porque una
respuesta por escrito contribuye a reforzar y confirmar la responsabilidad de la gerencia de la acción de
seguimiento y el progreso alcanzado. Además, las respuestas por escrito garantizan un
registro preciso de las acciones, responsabilidades y estado actual.

Las respuestas orales pueden recibirse y registrarse por parte de los profesionales y, de ser posible,
aprobadas por la gerencia. Puede proporcionarse una prueba de la acción o implementación de las
recomendaciones con la respuesta.
2402.9.2 Los profesionales deberían solicitar y/o recibir actualizaciones periódicas de la gerencia responsable
de la implementación de acciones acordadas para evaluar el progreso que la gerencia ha hecho, sobre
todo en relación con cuestiones de alto riesgo y medidas correctivas con largos plazos de
implementación.
2402.10 Seguimiento por profesionales de recomendaciones de auditoría externas
2402.10.1 Dependiendo del alcance y términos del encargo de auditoría y conforme a los estándares de auditoría
de TI relevantes, los profesionales externos podrían confiar en los profesionales internos para hacer un
seguimiento de las recomendaciones acordadas. Las responsabilidades relacionadas con el
seguimiento pueden determinarse en el estatuto de auditoría o en las cartas de encargo.
2402.11 Informes de actividades de seguimiento
2402.11.1 Deberá presentarse un informe sobre el estado de las medidas correctivas acordadas que surgieron de
los informes de los encargos de auditoría, incluidas recomendaciones acordadas no implementadas, al
nivel adecuado de gerencia y aquellos encargados del gobierno (por ejemplo, a comité de auditoría).
2402.11.2 Si, durante un encargo de auditoría posterior, los profesionales vieran que la medida correctiva de la
que la gerencia informó como ïmplementada¨ no se ha implementado, los profesionales deberán
comunicar el estado al nivel adecuado de la gerencia y a los encargados del gobierno. Si fuera
apropiado, los profesionales deben obtener un plan de medidas correctivas actuales y fechas de
implementación planificada.
2402.11.3 Cuando todas las medidas correctivas acordadas se hayan implementado, se podrá enviar un informe
que detalle todas las acciones implementadas y/o completadas a la dirección ejecutiva y a aquellos
encargados del gobierno.
Enlaces con COBIT® 2019 para el Estándar 1402 y las Directrices 2402
Propósito
marco de gobierno relacionados con la TI se supervisen de forma eficaz y transparente; que se cumpla con los requisitos
EDM02 Asegurar la Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados por la TI; la entrega rentable
obtención de beneficios de soluciones y servicios; y una imagen confiable y precisa de los costos y beneficios probables para
EDM03 Asegurar la Asegurarse de que el riesgo de negocio relacionado con la TI no exceda el apetito y tolerancia al riesgo
optimización del riesgo de la empresa, que se identifique y gestione el impacto del riesgo de TI para el valor de negocio y que
cumplimiento de los
requisitos externos
97
98

APÉNDICE A: ESTÁNDARES Y DIRECTRICES RELACIONADOS POR ESTÁNDAR
Apéndice A: Estándares y directrices relacionados por estándar
Estándar Estándares relacionados Directrices relacionadas

1001 Estatuto de Ningún estándar relacionado con el Estándar 1001  Directriz 2001 Estatuto de la función de
la función de auditoría
auditoría
1002 Ningún estándar relacionado con el Estándar 1002  Directriz 2002 Independencia
Independencia organizativa
organizativa
1003 Objetividad Ningún estándar relacionado con el Estándar 1003  Directriz 2003 Objetividad de la
del auditor auditoría
1004 Expectativa Ningún estándar relacionado con el Estándar 1004  Directriz 2004 Expectativa razonable
razonable
1005 Debido Ningún estándar relacionado con el Estándar 1005  Directriz 2005 Debido cuidado
cuidado profesional
profesional
1006 Ningún estándar relacionado con el Estándar 1006  Directriz 2006 Competencia
Competencia
1007 Ningún estándar relacionado con el Estándar 1007  Directriz 2007 Afirmaciones
Afirmaciones
1008 Criterios Ningún estándar relacionado con el Estándar 1008  Directriz 2008 Criterios
1201 Evaluación Ningún estándar relacionado con el Estándar 1201  Directriz 2201 Evaluación de riesgo en
de riesgo en la la planificación
planificación
1202 Ningún estándar relacionado con el Estándar 1202  Directriz 2202 Programación de
Programación de auditoría
auditoría
1203 Ningún estándar relacionado con el Estándar 1203  Directriz 2203 Planificación de la
Planificación de la asignación
asignación
1204 Desempeño  Estándar 1005 Debido cuidado profesional  Directriz 2204 Desempeño y
y supervisión  Estándar 1205 Evidencia supervisión
 Directriz 2201 Evaluación de riesgo en
 Estándar 1401 Presentación de informes
la planificación
1205 Evidencia Ningún estándar relacionado con el Estándar 1205  Directriz 2205 Evidencia
1206 Uso del Ningún estándar relacionado con el Estándar 1206  Directriz 2206 Uso del trabajo de otros
trabajo de otros expertos
expertos
1207  Estándar 1008 Criterios  Directriz 2206 Uso del trabajo de otros
Irregularidades y  Estándar 1201 Evaluación de riesgo en la planificación expertos
Actos ilegales  Directriz 2207 Irregularidades y actos
 Estándar 1205 Evidencia
ilegales
99
APÉNDICE A: ESTÁNDARES Y DIRECTRICES RELACIONADOS POR ESTÁNDAR
Estándar Estándares relacionados Directrices relacionadas

1401 Generación Ningún estándar relacionado con el Estándar 1401  Directriz 2401 Preparación de informes
de informes
1402 Actividades Ningún estándar relacionado con el Estándar 1402  Directriz 2402 Actividades de
de seguimiento seguimiento
APÉNDICE B: NORMAS RELACIONADAS POR GUÍA
Apéndice B: Normas relacionadas por guía
Directrices Estándares relacionados

2001 Estatuto de la función de auditoría  1001 Estatuto de la función de auditoría
 1002 Independencia organizativa
 1003 Objetividad del auditor
2002 Independencia organizativa  1001 Estatuto de la función de auditoría

 1004 Expectativa razonable
 1006 Competencia
2003 Auditoría u Objetividad  1001 Estatuto de la función de auditoría
 1005 Debido cuidado profesional
2004 Expectativa razonable  1001 Estatuto de la función de auditoría
 1004 Expectativa razonable
2005 Debido cuidado profesional  1002 Independencia organizativa
 1005 Debido cuidado profesional
 1205 Evidencia
2006 Competencia  1005 Debido cuidado profesional
 1203 Planificación del encargo
 1204 Desempeño y supervisión
2007 Afirmaciones  1007 Afirmaciones
 1008 Criterios
 1206 Uso del trabajo de otros expertos
 1401 Generación de informes
2008 Criterios  1007 Afirmaciones
 1008 Criterios
2201 Evaluación de riesgo en la planificación  1201 Evaluación de riesgo en la planificación
 1203 Planificación de la asignación
 1207 Irregularidades y Actos ilegales
2202 Programación de auditoría  1201 Evaluación de riesgo en la planificación
 1207 Irregularidades y Actos ilegales
2203 Planificación de la asignación  1201 Evaluación de riesgo en la planificación

2204 Desempeño y supervisión  1005 Debido cuidado profesional
 1205 Evidencia
 1401 Generación de informes
101
102

APÉNDICE C: TÉRMINOS Y DEFINICIONES
garantía razonable de que se cumplirá con el objetivo de control. Una

Apéndice C: Términos y debilidad clasificada como material implica que:
definiciones - Los controles no están establecidos y/o los controles no son

utilizados y/o los controles son inadecuados
A - Se garantiza su escalado.
Actividad de seguimiento— Actividad que determina si la gerencia
ha tomado medidas correctivas adecuadas para resolver las
Existe una relación inversa entre la materialidad y el nivel de riesgo de
deficiencias.
auditoría aceptable para el profesional de auditoría o aseguramiento de
Afirmación— Cualquier declaración formal o conjunto de SI; es decir, cuanto mayor sea el nivel de materialidad, menor será la
declaraciones sobre la materia por parte de la dirección. capacidad de aceptación del riesgo de auditoría, y viceversa.
Deficiencia significativa— Una deficiencia o combinación de
Nota de alcance: Las afirmaciones, en general, deben ser por escrito deficiencias, en el control interno, que es menos grave que una
y, comúnmente, contienen una lista de atributos específicos sobre la debilidad material, y aun así lo bastante importante como para
materia o sobre un proceso que afecta a la materia. demandar la atención de aquellos responsables de su supervisión.
Amenaza— Cualquier cosa (por ejemplo, un objeto, una sustancia, un
ser humano) que es capaz de actuar contra un activo de una manera Nota de alcance: Una debilidad material es una deficiencia
que pueda dañarlo. importante o una combinación de deficiencias importantes que
originan, con una probabilidad más que remota, que un evento
Nota de alcance: Causa potencial de un incidente no deseado. indeseado no sea prevenido o detectado.
(ISO/IEC 13335) Deterioro— Condición que causa una debilidad o capacidad
Aseguramiento razonable— Un nivel de comodidad reducido de disminuida para ejecutar los objetivos de la auditoría.
garantía, pero considerado adecuado debido a los costos del control y
los posibles beneficios logrados. Nota de alcance: El deterioro de la independencia organizacional y
objetividad individual puede incluir conflictos de interés personales;
limitaciones del alcance; restricciones al acceso de registros, personal,
C equipos o instalaciones; y limitaciones de recursos (como fondos
Certificación— Un encargo en el que un auditor de TI es contratado monetarios o personal).
para examinar la afirmación de la gerencia con respecto a una cuestión
específica o directamente la materia.
E
Competencia profesional— Nivel de capacidad probado, a menudo, Efectividad de la operación— Si un control se opera tal como se
vinculado con cualificaciones emitidas por organismos profesionales diseñó y la persona que realiza el control posee la autoridad y
relevantes y el cumplimiento con sus códigos de práctica y estándares. competencia necesaria para realizar el control eficazmente, se
Criterios— Estándares y análisis comparativos (benchmarks) considera que el control opera de forma eficaz.
utilizados para medir y presentar la materia y en el que un auditor de
SI evalúa la materia. Ver Public Company Accounting Oversight Board (PCAOB),
Estándar de auditoría No. 2201, “AS 2201: Una auditoría de control
Nota de alcance: Los criterios deben ser: interno sobre informes financieros que este integrada en una auditoría
de estados financieros”, 15 de noviembre de 2007
- Objetivo— sin sesgo https://pcaobus.org/Standards/Auditing/Pages/AS2201.aspx.
Efectividad del diseño— Si los controles que la empresa opera están
- Medible— brindan una medición coherente prescritos por personas que poseen la autoridad y competencia
necesarias para realizar el control eficazmente, y satisfacen los
- Completo— incluyen todos los factores relevantes para llegar a una objetivos de control de la empresa y pueden prevenir o detectar
conclusión errores o fraude de forma eficaz que podría derivar en tergiversaciones
materiales en las declaraciones financieras, se considera que estarán
- Relevante— se relacionan con la materia diseñadas de forma efectiva.
En una encargo de certificación, los análisis comparativos respecto a Ver Public Company Accounting Oversight Board (PCAOB),
los que se puede evaluar la afirmación escrita de la dirección sobre la Estándar de Auditoría No. 2201, “Una auditoría de control interno
materia. El profesional formula una conclusión sobre la materia al sobre información financiera integrada con una auditoría de estados
consultar los criterios adecuados. financieros,” 15 de noviembre de 2007, Sección 42,
https://pcaobus.org/Standards/Auditing/Pages/AS2201.aspx.
D Encargo de aseguramiento— Examen objetivo de la evidencia con
Debilidad material— Una deficiencia o una combinación de el propósito de brindar una evaluación sobre los procesos de gestión
deficiencias en un control interno, por lo cual exista una posibilidad de riesgos, control o gobierno para la empresa.
razonable de que una falsa declaración importante no sea evitada ni
detectada de manera oportuna. La debilidad en el control se considera Nota de alcance: Los ejemplos pueden incluir encargos de seguridad
“material” si la ausencia del mismo ocasiona que no exista una del sistema, cumplimiento, desempeño y financieras.
103
Encargo de auditoría— Una actividad de revisión, tarea o Nota de alcance: Consultar las metas de calidad de información
compromiso de auditoría específica, tales como una auditoría, una COBIT 5.
revisión de autoevaluación de controles, un examen de fraude o una
consultoría. Un encargo de auditoría puede incluir múltiples tareas o Información relevante— Relacionada con controles, le indica al
actividades diseñadas para lograr un conjunto específico de objetivos evaluador algo significativo sobre la operación de los controles
relacionados. subyacentes o componente del mismo. La información que
directamente confirma la operación de los controles es la más
Escepticismo profesional— Actitud que incluye una mente relevante. La información que se relaciona indirectamente a la
interrogativa y una evaluación crítica de la evidencia de la auditoría. operación de los controles también puede ser relevante pero menos
relevante que la información directa.
Nota de alcance: Fuente: Instituto Americano de Contables Públicos
Certificados (AICPA) AU 230.07 Nota de alcance: Consultar las metas de calidad de información
COBIT 5.
Estatuto de la función de auditoría— Documento aprobado por los
responsables del gobierno que define el propósito, la autoridad y la Información suficiente— La información es suficiente cuando los
responsabilidad de la actividad de auditoría interna. evaluadores han recolectado suficiente información para formular una
conclusión razonable. Sin embargo, para que la información sea
Nota de alcance: El estatuto debería: suficiente, primero debe ser adecuada.
- Establecer la posición de la función de auditoría interna dentro de la Nota de alcance: Consultar las metas de calidad de información
empresa. COBIT 5.
Integridad— Protección contra la modificación o destrucción de
- Autorizar el acceso a registros, personal y propiedades físicas información inapropiada, incluyendo garantizar el no repudio y la
relevantes para el desempeño de los encargos de auditoría y autenticidad de la información.
Irregularidad— Violación de una política de gestión establecida o de
- Definir el alcance de las actividades de la función de auditoría. los requerimientos regulatorios. Puede constar de falsas declaraciones
u omisiones deliberadas de información sobre el área que está siendo
Evaluación de riesgos— Un proceso utilizado para identificar y auditada o sobre la empresa como un todo, negligencia grave o actos
evaluar los riesgos y sus efectos potenciales. ilegales intencionados.
Nota de alcance: Las evaluaciones de riesgo se utilizan para

identificar los elementos o áreas que presentan mayor exposición, J
vulnerabilidad o riesgo para la empresa, para su inclusión en el plan Juicio profesional— La aplicación del conocimiento y experiencia
de auditoría anual de SI. relevante para tomar decisiones informadas sobre las medidas que son
adecuadas en las circunstancias del encargo de auditoría y
Las evaluaciones de riesgo también se utilizan para gestionar la aseguramiento de SI
entrega de proyectos y el riesgo de los beneficios de proyectos.
Evidencia apropiada— La medida de la calidad de la evidencia. M
Materialidad— Un concepto de auditoría sobre la importancia de un
Evidencia suficiente— La medida de la cantidad de evidencia de la elemento de información con respecto a su impacto o efecto en el
auditoría; respalda todas las preguntas materiales para el objetivo y el funcionamiento de la entidad que está siendo auditada. Una expresión
alcance de la auditoría. de importancia relativa de un tema particular en el contexto de la
empresa como un todo.
Nota de alcance: Ver evidencia
O
I Objetividad— La capacidad de ejercer el buen juicio, expresar
Independencia— El autogobierno y no verse sometido a conflictos de opiniones y presentar recomendaciones con imparcialidad.
intereses o influencia indebida. Un auditor de TI debería ser libre de
tomar sus decisiones y no verse influido por la organización que es Objetivo de mente— El estado de mente que permite la expresión de
auditada y su personal (gerentes y empleados). una conclusión sin ser afectada por influencias que comprometan el
buen juicio profesional, permitiendo, de ese modo, que un individuo
Información adecuada— Información relevante (es decir, se adapta actúe con integridad y ejerza la objetividad y el escepticismo
para su propósito previsto), confiable (es decir, precisa, verificable y profesional.
de una fuente objetiva) y oportuna (es decir, producida y utilizada en
un marco de tiempo apropiado). Objetivo en apariencia— Evitar hechos y circunstancias que son tan
significativos que sería probable que un tercero informado y razonable
Nota de alcance: Consultar las metas de calidad de información concluya, ponderando todos los hechos y las circunstancias
COBIT 5. específicas, que la integridad, objetividad o escepticismo profesional
de una firma, función de auditoría o miembro del equipo de auditoría
Información confiable— Información que es precisa, verificable y de han sido comprometidos.
una fuente objetiva.
Opinión del auditor— Declaración formal expresada por el
profesional de auditoría o aseguramiento de SI que describe el alcance
de la auditoría, los procedimientos utilizados para generar el informe y - Riesgo de detección

si los hallazgos respaldan o no que los criterios de auditoría se hayan
cumplido. - Riesgo inherente
Nota de alcance: Los tipos de opiniones son: Riesgo de control— Riesgo de que se pierdan/comprometan los
activos o que las declaraciones financieras se tergiversen
materialmente debido a un fallo o un diseño y/o implementación
- Opinión no cualificada— No observa excepciones o ninguna de las
ineficaz de los controles internos.
excepciones observadas conforma una deficiencia significativa.
Riesgo de detección— Riesgo de que se pierdan/comprometan los
- Opinión cualificada— Observa excepciones que conforman una activos o que las declaraciones financieras se tergiversen
deficiencia significativa (pero no una debilidad material). materialmente debido a un fallo de los controles internos de la
empresa para detectar errores o fraude de forma oportuna.
- Opinión adversa— Observa una o más deficiencias significativas
Riesgo inherente— Nivel o exposición al riesgo sin tener en cuenta
que conforman una debilidad material.
las acciones que la dirección ha tomado o podría tomar (p. ej.
Otro experto— Interno o externo de la empresa, el término otro implementar controles).
experto podría referirse a:
Riesgo residual— El riesgo restante después de que la gerencia haya
implementado una respuesta al riesgo.
• Un auditor de TI de una empresa externa
• Un consultor en temas de dirección T

Tema— La información específica sujeta al informe y procedimientos
• Un experto en el área del encargo que ha sido asignado por la alta relacionados de un auditor de SI, que puede incluir cosas como el
dirección o por el equipo. diseño u operación de controles internos y el cumplimiento de
prácticas o estándares de privacidad o leyes y regulaciones específicas
(área de actividad).
P
Plan de auditoría— 1. Un plan que incluye la naturaleza, el
cronograma y el alcance de los procedimientos de la auditoría que
deben realizar los miembros del equipo asignado con el fin de obtener
evidencia de auditoría suficiente y apropiada para formar una opinión.
Nota de alcance: Incluye las áreas que deben auditarse, el tipo de

trabajo planificado, los objetivos de alto nivel y el alcance del trabajo,
y temas como presupuesto, asignación de recursos, fechas de
cronogramas, tipo de informe y el público objetivo y otros aspectos
generales del trabajo.
2. Una descripción de alto nivel del trabajo de auditoría que debe

realizarse en un período de tiempo determinado.
Programa de auditoría— Un conjunto de procedimientos e
instrucciones de auditoría paso a paso que debe realizarse para
completar una auditoría.
Pruebas sustantivas— Obtención de evidencia de una auditoría sobre
la integridad, precisión o existencia de actividades o transacciones
realizadas durante el período de la auditoría.
R
Representación— Una declaración firmada u oral emitida por la
gerencia a los profesionales, donde la gerencia declara que un hecho
actual o futuro (por ejemplo, un proceso, sistema, procedimiento,
política) es o estará en un estado determinado, según lo que consta en
conocimiento de la gerencia.
Riesgo de auditoría— El riesgo de alcanzar una conclusión
incorrecta sobre la base de los hallazgos de auditoría.
Nota de alcance: Los tres componentes del riesgo de auditoría son:
- Riesgo de control
105

ITAF-4th-Edition Witaf4s FMK SPA 0321

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ITAF-4th-Edition Witaf4s FMK SPA 0321

Cargado por

Copyright:

Formatos disponibles

Marco de refferencia

erencia de auditoría de informac

Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)

Envíe sus comentarios:: https://support.isaca.org

Marco de referencia de auditoría de tecnología de información (ITAF ™ ): Un marco de referencia de prácticas

Personal Copy of Randall Artavia Delgado (ISACA ID: 845339)

APÉNDICE A: ESTÁNDARES Y DIRECTRICES RELACIONADOS POR

La traducción de estos estándares está disponible en www.isaca.org/bookstore/audit-control-and-security-essentials/witaf4.

Preguntas más frecuentes

Los estándares de ITAF se dividen en tres categorías:

Cómo usar ITAF

El proceso de aseguramiento y auditoría de TI implica la realización de procedimiento específicos para proporcionar un

Los recursos para orientación adicional pueden incluir:

Estándares emitidos por otros organismos de establecimiento de estándares

Código de Ética Profesional de ISACA

Los miembros y los portadores de certificaciones de ISACA deberán:

Declaraciones de estándares de aseguramiento y auditoría de TI

1001 Estatuto de la función de auditoría

1001.1 La función de auditoría y aseguramiento de TI documentará la función de la auditoría de manera adecuada en un

1002 Independencia organizacional

1003 Objetividad del auditor

1004 Expectativa razonable

1005 Debido cuidado profesional

1201 Evaluación de riesgo en la planificación

1202 Programación de auditorías

1203 Planificación de la asignación

1204 Desempeño y supervisión

1206 Uso del trabajo de otros expertos

1207 Irregularidades y actos ilegales

1401 Generación de informes

1402 Actividades de seguimiento

Estándares generales 1001: Estatuto de la función de auditoría

Declaraciones 1001.1 La función de aseguramiento y auditoría de TI documentará la función de la auditoría de

Directrices generales 2001: Estatuto de la función de auditoría

2001.2 Contenidos de un estatuto de auditoría

2001.2.5 La autoridad de la función de auditoría debe contener las siguientes secciones:

2001.2.6 Responsabilidad de la función de auditoría y aseguramiento incluye, pero no se limita a:

Enlace a COBIT® 2019 para el Estándar 1001 y la Directriz 2001

Estándar general 1002: Independencia organizativa

Directrices generales 2002: Independencia organizativa

2002.2 Posición en la empresa

2002.3 Nivel de informes

2002.4 Evaluación de la independencia

2002.2 Posición en la empresa

2002.3 Nivel de informe

2002.4 Evaluación de la independencia

Enlace a COBIT® 2019 para el Estándar 1002 y la Directriz 2002

COBIT 2019 Objetivos

Estándar general 1003: Objetividad del auditor

Directrices generales 2003: Objetividad del auditor

2003.2 Marco de referencia conceptual

2003.3 Amenazas y salvaguardas

2003.4 Gestionar amenazas

2003.5 Servicios o roles diferentes a la auditoría

2003.6 Servicios o roles diferentes a la auditoría que no comprometen la independencia

2003.7 Servicios o roles diferentes a la auditoría que comprometen la independencia

2003.8 Estatuto de la función de auditoría y roles de servicios diferentes a la auditoria/de asesoramiento

2003.9 Presentación de informes

2003.2 Marco de referencia conceptual

2003.2.1 Diferentes circunstancias o combinaciones de circunstancias podrían ser relevantes a la hora de

2003.3 Amenazas y salvaguardas

 Procedimientos internaos dentro de la empresa y función de auditoría que garantiza opciones

2003.4 Gestionar amenazas