Marco de garantía de tecnología de la información de ITAF

Normas ITAF
La tecnología de la información está en el centro de muchos procesos comerciales, por
lo que un número cada vez mayor de organizaciones optan por asegurar la eficacia de su
infraestructura de TI. Esto ha llevado a la necesidad entre los profesionales de
aseguramiento de un proceso formal que les ayude a realizar actividades de auditoría y
aseguramiento de SI.
El Marco de Garantía de la Tecnología de la Información, o ITAF para abreviar, utiliza
el material de ISACA combinado con la guía desarrollada por el Instituto de
Gobernanza de TI (ITGF) y otras organizaciones para proporcionar un depósito único
desde el cual los profesionales de auditoría y garantía de TI pueden buscar orientación,
políticas de investigación, técnicas de informes y procedimientos al realizar auditorías.

El ITAF es un modelo que

define los términos y conceptos relacionados con la garantía de TI

brinda orientación sobre el diseño, el proceso y la comunicación de las asignaciones de
auditoría y aseguramiento de TI
crea estándares para abordar requisitos tales como roles y responsabilidades de
auditoría, identificación de conocimientos y habilidades, y
proporciona orientación para la realización de auditorías, la diligencia y la presentación
de informes
Adicionalmente, este marco incluye un conjunto de normas que se relacionan con las
características profesionales del auditor. Como auditor, se le proporciona una definición
clara de sus funciones y responsabilidades en las tareas de auditoría y aseguramiento,
así como los conocimientos y habilidades necesarios para llevar a cabo las tareas. El
marco establece los requisitos para sus tareas de diligencia, desempeño e informes.

La ITAF clasifica las normas en tres tipos:

general
rendimiento, y
reportando
El ITAF define estándares generales que forman los principios subyacentes de las
actividades de aseguramiento de TI. Estos estándares guían la conducta profesional del
auditor durante cada asignación y ayudan a garantizar que realice auditorías éticas,
independientes y objetivas.

El ITAF proporciona estándares generales que guían la conducta profesional de los

auditores de SI. Éstos incluyen
reconocimiento de la gerencia
Necesita el reconocimiento y la confianza de la gerencia en sus actividades de auditoría
y aseguramiento. La dirección debe permitirle acceder a información adecuada y
oportuna para el encargo. También necesitan darse cuenta de su papel para garantizar la
cooperación de los miembros del equipo.

Formación y competencia
Tanto usted como su equipo deben tener la capacitación y competencia adecuadas para
realizar con éxito las asignaciones de aseguramiento y auditoría.

Independencia y objetividad
Debe mantener la independencia y la objetividad en su evaluación. Al realizar una tarea
de aseguramiento, abordar problemas de auditoría o emitir juicios, no debe dejarse
influir por las preferencias de otras partes.

Expectativa razonable
Debe tener una expectativa razonable de competencia para completar las asignaciones
de auditoría dentro del alcance de la auditoría. El alcance de la auditoría debe permitirle
utilizar los estándares de aseguramiento y auditoría de TI de ISACA para proporcionar
una evaluación profesional de los resultados de su auditoría.

Criterios adecuados
Los criterios que elija para evaluar el tema deben ser adecuados y objetivos, y no
inducir a error en la conclusión del informe. Debe ser medible para proporcionar
métricas y resultados consistentes en asignaciones de auditoría similares. Los criterios
deben comunicarse claramente a los miembros del equipo para que no haya mala
interpretación. El éxito de un criterio también depende de su pertinencia y
exhaustividad. Por lo tanto, debe incluir todos los factores que podrían afectar la
conclusión de la actividad de auditoría para que se cumplan los objetivos de la auditoría.
Conocimiento de la materia
Debe estar bien versado en el tema que está asegurando y auditando. El conocimiento
combinado de los miembros de su equipo debe ser adecuado para realizar las
actividades de auditoría y aseguramiento de TI requeridas.

Debido cuidado profesional

Debe administrar la asignación de aseguramiento con el debido cuidado profesional al
planificar el proceso de aseguramiento, realizar la actividad de auditoría e informar sus
resultados.

Los estándares de desempeño de ITAF, definidos en la Sección 2400, comparan el

desempeño de los auditores de SI y los profesionales de TI al realizar asignaciones de
auditoría tales como planificación, alcance, gestión de riesgos y supervisión. Estas
normas también se aplican a los requisitos de evidencia de auditoría, el ejercicio del
juicio profesional y el debido cuidado, y el desarrollo de los resultados de la auditoría.
Los estándares de desempeño que debe cumplir mientras lleva a cabo sus funciones de
auditoría y aseguramiento se refieren a tres actividades principales:
planificación
Es necesario planificar la naturaleza, el alcance y el momento de las actividades.
También debe identificar la información y los documentos necesarios para realizar el
trabajo, y los posibles hallazgos relacionados con el tema.

Supervisión y
Como la actividad está en progreso, es necesario que supervise el desempeño de todo el
personal involucrado en la actividad de auditoría.

Documentación
Todos los esfuerzos de planificación y supervisión deben documentarse como parte de
los hallazgos de la auditoría.

El primer paso en la planificación es identificar el objetivo de su asignación de

aseguramiento. Para hacer esto, debe comprender el tema y los criterios que se pueden
utilizar para medirlo. Identificar la naturaleza del tema le permite elegir recursos de
auditoría con las habilidades adecuadas. También necesita estimar el tiempo y los gastos
involucrados en la realización de esta tarea.
A continuación, debe tener claro el nivel de seguridad que se espera de esta actividad.
La gerencia puede querer que usted examine una estrategia de información existente o
que la revise contra un punto de referencia.
El nivel esperado de seguridad se puede lograr si tiene fuentes adecuadas de
información y evidencia. Debe planificar los datos y la evidencia relevantes, así como
determinar las herramientas, técnicas y habilidades necesarias para medir la evidencia.
Suponga que espera utilizar técnicas de auditoría asistidas por computadora, también
conocidas como CAAT, y software y herramientas de análisis específicas para la
auditoría. Deberá incluir detalles de todos estos en su plan.
La planificación también debe cubrir la actividad de finalización de las actividades de
aseguramiento y auditoría: la presentación del informe. Debe determinar las posibles
conclusiones de la auditoría, así como la naturaleza y el formato del informe.
Además de toda esta información, su plan debe especificar las contingencias que
podrían extender o modificar las actividades de aseguramiento.

Si está trabajando en calidad de profesional de aseguramiento y no como auditor, puede

utilizar los requisitos de aseguramiento para juzgar la suficiencia de la información y la
documentación requerida. Pero si su actividad de aseguramiento implica auditoría, se le
pedirá que recopile evidencia suficiente y adecuada de cualquier incidente de SI. La
evidencia que recopile durante la asignación de aseguramiento debe formar la base de
los hallazgos y conclusiones que extraiga en el informe de aseguramiento.
Los estándares de desempeño también destacan la importancia del debido cuidado al
recopilar evidencia para la actividad.

Nota
La suficiencia se refiere a la cantidad, y la adecuación se refiere a la calidad de la
evidencia.
Existen ciertos estándares que se aplican a la recopilación de evidencia durante sus
actividades de aseguramiento.

Procedimientos de auditoría de TI
Al recopilar evidencia de auditoría, debe aplicar los procedimientos de auditoría de TI
pertinentes para asegurarse de que existe una base razonable para las conclusiones.

Fuente de evidencia
Al determinar qué piezas de evidencia son útiles y apropiadas, siempre debe verificar la
fuente de la evidencia para verificar su exactitud.

Documentación
Después de recopilar y analizar la evidencia, debe documentar el procedimiento de
análisis de auditoría y sus resultados. Sus conclusiones sobre el tema del informe deben
extraerse de este análisis.

Para realizar una actividad de aseguramiento exitosa, debe crear un cronograma de

auditoría adecuado. Para hacer esto, debe considerar el momento de la actividad, la
disponibilidad de los participantes requeridos y cualquier otra tarea de la que los
participantes puedan ser responsables.
El desempeño de la auditoría se ve afectado por las calificaciones de los miembros del
equipo de auditoría, por lo que los miembros deben poseer los conocimientos y
habilidades necesarios. Esto asegura que las tareas de auditoría se alineen con los
objetivos de auditoría.
Durante una auditoría de TI, es posible que deba obtener representaciones escritas u
orales de la gerencia o de los auditados. Las representaciones son documentos que
confirman la exactitud de la información afirmada por personal que no es de auditoría.
Es esencial tener las representaciones por escrito, ya que estos documentos pasan a
formar parte de los trámites y registros de auditoría.
En general, es posible que deba preparar un resumen de todas las representaciones
recibidas durante una auditoría y firmarlo antes de concluir el compromiso de
aseguramiento o auditoría. Además, cuando tenga que preparar un compromiso de
atestación, tener una representación por escrito garantizará una comprensión equitativa
de las afirmaciones por parte de todas las partes relevantes.

Nota
Un compromiso de atestación es una actividad en la que debe expresar su conclusión
sobre las afirmaciones realizadas por otras partes.

Las representaciones deben incluir la siguiente información:

responsabilidad por el tema, los criterios para medirlo y sus afirmaciones
acuerdo para determinar la idoneidad de los criterios y sus afirmaciones
afirmaciones relacionadas con el tema en contra de los criterios
cualquier contradicción sobre las aseveraciones que deben ser comunicadas al
profesional de aseguramiento
confirmación de que toda la información de los reguladores ha sido transmitida al
profesional de aseguramiento
seguridad de que al auditor se le han otorgado derechos de acceso a todos los datos
relacionados con el tema
cualquier actualización sobre el tema que se haya producido antes o después de la
presentación del informe de auditoría, y
otra información que pueda ser relevante para el profesional de aseguramiento
Además de los estándares generales y de desempeño, ITAF proporciona estándares de
informes, que están cubiertos por la Sección 2600. Estos estándares lo guían en el
desarrollo de un informe de auditoría que abarque todos los requisitos de informes. Le
brindan orientación básica sobre el tipo de informe adecuado, los canales de
comunicación que debe utilizar y la información que debe comunicar.

Los informes de auditoría difieren entre sí según el tipo de compromiso de

aseguramiento. Estos estándares brindan orientación sobre las entradas básicas con
respecto a la asignación y el informe en sí.
Un informe de auditoría y aseguramiento de TI debe incluir detalles esenciales sobre la
asignación:

la naturaleza y los objetivos de la tarea de aseguramiento

el negocio o proyecto de la organización que fue auditada para el informe
el tema del informe, o cualquier aseveración dada por la administración u otros
miembros que no sean auditores de que el informe se basa en
actividades de aseguramiento que se realizaron dentro y fuera del alcance del trabajo
el período de tiempo para llevar a cabo las actividades de aseguramiento
Estándares de aseguramiento y auditoría de TI que son relevantes para la asignación
actual
afirmaciones hechas por la gerencia
el nivel de seguridad establecido para la asignación, y
los criterios utilizados para evaluar el tema
También debe incluir la siguiente información al preparar el informe:

la persona a la que va dirigido el informe

el período de tiempo cubierto en el informe
las responsabilidades de la gerencia y del profesional de auditoría y aseguramiento que
realiza la asignación
las limitaciones a las que se enfrenta el profesional de aseguramiento durante la
asignación
límites de acceso y distribuciones
la fecha en que se creó el informe
el lugar donde se creó el informe
el nombre del auditor o de la organización que creó el informe, y
la firma del profesional de auditoría y aseguramiento