Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
1.3 ESTÁNDARES Y DIRECTRICES DE
ASEGURAMIENTO Y AUDITORÍA DETI
DE ISACA
1.3.1 CÓDIGO DE ÉTICA PROFESIONAL DE ISACA
ISACA establece este Código de Ética Profesional para guiar la
conducta profesional y personal de los miembros de la asociación y/o
de los portadores de la certificación.
Los miembros y los portadores de certificados de ISACA deberán: l.
Respaldar la implementación y promover el cumplimiento de los
estándares, procedimientos y controles apropiados para los sistemas
de información.
2. Realizar sus funciones con debida diligencia y celo
profesional, de acuerdo con los estándares y mejores prácticas
profesionales.
3. Servir en beneficio de las partes interesadas de un modo legal y
honesto y, al mismo tiempo, mantener altos niveles de conducta y
carácter, y no involucrarse en actos que resten méritos a la
profesión.
4. Mantener la privacidad y confidencialidad de la información
obtenida en el transcurso de sus funciones a menos que la
autoridad legal requiera su divulgación. Dicha información no será
usada para beneficio personal ni será revelada a partes no
adecuadas.
5. Mantener la competencia en sus respectivos campos y aceptar
encargarse de sólo aquellas actividades que razonablemente
pueden esperar completar con competencia profesional.
6. Informar a las partes adecuadas los resultados del trabajo
realizado, revelando todos los hechos significativos de los que
tengan conocimiento.
7. Apoyar la formación profesional de las partes interesadas para
mejorar su comprensión sobre seguridad y control de SI.
El incumplimiento de este Código de Ética Profesional puede
ocasionar una investigación de la conducta del miembro y/o del
portador de la certificación y, finalmente, medidas disciplinarias.
Nota: No se espera que un candidato a CISA memorice los
estándares, las directrices y las herramientas y técnicas de
aseguramiento y auditoría de TI de ISACA, ni el Código de
Etica Profesional de ISACA, palabra por palabra. Los
candidatos serán, en cambio, examinados respecto a su
comprensión de los estándares, las directrices o del código, sus
objetivos y sobre cómo se aplican éstos en una situación dada.
1.3.2 MARCO GENERAL DE ESTÁNDARES DE
ASEGURAMIENTO Y AUDITORíA DE Tl DE ISACA
El carácter especializado de la auditoría de SI, y de las habilidades y
conocimientos necesarios para llevar a cabo dichas auditorías,
requieren estándares aplicables globalmente que sean pertinentes de
forma específica a la auditoría de SI. Una de las funciones más
importantes de ISACA es proveer información (conjunto común de
conocimientos) para respaldar los requerimientos de conocimiento.
(ver estándar S4 Competencia Profesional).
Una de las metas de ISACA es proveer los estándares para satisfacer
esta necesidad. El desarrollo y la divulgación de los estándares de
aseguramiento y auditoría de TI es la piedra angular de la
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
hformatim
Sección Dos: Contenido
contribución profesional de la asociación a la comunidad de
auditores. El auditor de SI necesita estar consciente de que pueden
existir estándares adicionales, o incluso requerimientos legales
impuestos por ley, que deben ser cumplidos por el auditor.
Los objetivos de los estándares de aseguramiento y auditoría
de TI de ISACA son informar.
• A los auditores de SI sobre el nivel mínimo requerido de
desempeño aceptable para cumplir con las responsabilidades
profesionales establecidas en el Código de Ética Profesional
para los auditores de SI.
• A la gerencia y otras partes interesadas sobre las expectativas
de la profesión en relación con el trabajo de los auditores.
• Los titulares de la designación CISA que no cumplan con los
requisitos de estos estándares podrían estar sujetos a una
investigación por tal conducta, por parte de la junta de
directores de ISACA o del comité apropiado de ISACA y, en
última instancia, a una acción disciplinaria.
El marco general de los estándares de aseguramiento y
auditoria de TI de ISACA presenta múltiples niveles, como se
explica a continuación:
• Los estándares definen requerimientos obligatorios para el
aseguramiento y la auditoría de TI y para los informes.
• Las directrices proporcionan asesoría para aplicar los
estándares de aseguramiento y auditoría de TI. El auditor de
SI debe tenerlas en cuenta para determinar cómo
implementar los estándares anteriormente citados, usar su
juicio profesional al aplicarlas y estar preparado para
justificar cualquier diferencia.
• Los procedimientos ofrecen ejemplos de los procesos que
podría seguir un auditor de SI en una asignación de auditoría.
Los documentos de procedimientos brindan información
sobre la manera de cumplir con los estándares cuando se está
realizando un trabajo de auditoría de SI, pero no establecen
requerimientos.
Nota: Consulte el apéndice B sobre estándares, directrices,
y herramientas y técnicas de aseguramiento y auditoría de
TI. El texto completo de estas directrices y estos
procedimientos está disponible en
www.isaca.org/standards.
Estándares de Auditoría
Los estándares de aseguramiento y auditoría de TI aplicables a
la auditoría de SI son:
• SI Estatuto de Auditoría:
El propósito, la responsabilidad, autoridad y obligación de
rendir cuentas de la función de auditoría de SI o
asignaciones de auditoría de SI deberían estar debidamente
documentados en un estatuto de auditoría o una carta de
compromiso.
— El estatuto de auditoría o carta de compromiso debería
ser establecido y aprobado a un nivel apropiado dentro de
la(s) organización(es).
• S2 Independencia:
Independenciaprofesional—En todos los asuntos
relacionados con la auditoría, el auditor de SI debería ser
36
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido
independiente del auditado tanto en actitud como en
apariencia.
Certifbdlnformation
CISA SystemsA%fitor•
— Independencia organizacional—La función de auditoría de SI
debería ser independiente del área o la actividad que se esté
revisando para permitir la ejecución objetiva de la asignación de
auditoría.
• S3 Ética Profesional y Estándares:
— El auditor de SI debe regirse por el Código de Ética
Profesional de ISACA.
— El auditor de SI debería ejercer el debido cuidado
profesional, incluyendo la observancia de las auditorías
profesionales aplicables.
• S4 Competencia Profesional:
— El auditor de SI debería ser profesionalmente competente
y contar con las habilidades y los conocimientos para
realizar el trabajo de auditoría asignado.
— El auditor de SI debería mantener la
competenciaprofesional a través de una apropiada
formación y capacitación profesional continua.
• S5 Planificación:
— El auditor de SI debería planificar el alcance de la
auditoría de sistemas de información a fin de cubrir los
objetivos de la auditoría y cumplir con las leyes y los
estándares profesionales de auditoría aplicables.
— El auditor de SI debería desarrollar y documentar un
enfoque de auditoría basado en riesgos.
— El auditor de SI debería desarrollar y documentar un
plan de auditoría detallando la naturaleza y los objetivos,
el tiempo, el alcance y los recursos requeridos.
— El auditor de SI debería desarrollar un programa y los
procedimientos de auditoría.
• S6 Ejecución del Trabajo de Auditoría:
— Supervisión—El personal de auditoría de SI debería ser
supervisado para proveer una certeza razonable de que se
alcanzan los objetivos de la auditoría y de que se cumplen
con los estándares profesionales de auditoría aplicables.
— Evidencia—En el curso de la auditoría, el auditor de SI
debería obtener evidencia suficiente, confiable, y
relevante para lograr los objetivos de la auditoría. Los
hallazgos y las conclusiones de la auditoría deben estar
respaldados por un análisis e interpretación apropiados de
esta evidencia.
— Documentación—El proceso de auditoría debería estar
documentado y describir el trabajo de auditoría y la
evidencia de auditoría que respalde los hallazgos y las
conclusiones del auditor de SI.
• S7 Reportes:
— El auditor de SI debería proveer un reporte, en un
formato apropiado, al terminar la auditoría. El reporte
debería identificar la organización, los destinatarios y
cualquier restricción sobre su publicación.
— El reporte de auditoría debería establecer el alcance, los
objetivos, el período cubierto y la naturaleza, el tiempo y la
extensión del trabajo de auditoría realizado.
— El reporte debería establecer los hallazgos, las
conclusiones y recomendaciones, así como cualquier
37
Sistemas de Información CISA
reserva, calificación o limitación en el alcance que tenga
el auditor de SI con respecto a la auditoría.
— El auditor de SI debería tener evidencia de auditoría
suficiente y apropiada para respaldar los resultados
reportados.
— Cuando se emite, el reporte del auditor de SI debería
tener la firma, la fecha y distribuirse de acuerdo con los
términos del estatuto de auditoría o de la carta de
compromiso.
• S8 Actividades de Seguimiento:
— Después de reportar los hallazgos y las recomendaciones,
el auditor de SI debería solicitar y evaluar la información
relevante para determinar si la gerencia ha tomado las acciones
apropiadas de manera oportuna.
• S9 Irregularidades y Actos Ilegales:
— Al planificar y ejecutar la auditoría para reducir el riesgo de
auditoría a un nivel mínimo, el auditor de SI debe considerar el
riesgo de irregularidades y actos ilegales.
— El auditor de SI debería mantener una actitud de escepticismo
profesional durante la auditoría, reconociendo la posibilidad de
que existan falsas declaraciones importantes debido a
irregularidades y actos ilícitos, independientemente de su
evaluación del riesgo de irregularidades y actos ilegales.
— El auditor de SI debería obtener un conocimiento de la
organización y su ambiente, incluidos sus controles internos.
— El auditor de SI debería obtener evidencia de auditoría suficiente
y apropiada para determinar si la gerencia o alguien más dentro de
la organización tiene conocimiento de alguna irregularidad o acto
ilícito real, sospechoso o presunto.
— Cuando se realizan procedimientos de auditoría para obtener un
conocimiento de la organización y su ambiente, el auditor de SI
debe considerar relaciones inusuales o inesperadas que pueden
indicar un riesgo de falsas declaraciones importantes debido a
irregularidades y actos ilegales.
— El auditor de SI debería diseñar y ejecutar procedimientos para
probar qué tan apropiados son los controles internos y el riesgo
de que la dirección no respete los controles.
— Cuando el auditor de SI identifique una declaración errónea,
debería evaluar si esto pudiera ser indicativo de irregularidades o
actos ilícitos. Si sospecha que así es, el auditor de SI debería
considerar las implicaciones en relación a otros aspectos de la
auditoría y, en particular, en relación a las manifestaciones de la
gerencia.
— El auditor de SI debería obtener declaraciones escritas de la
gerencia por lo menos una vez al año, o con más frecuencia,
dependiendo del trabajo de auditoría, en las que debería:
— Reconocer su responsabilidad por el diseño y la implementación
de controles internos para prevenir y detectar irregularidades o
actos ilícitos.
— Revelar al auditor de SI los resultados de la evaluación de riesgos
de que existan falsas declaraciones importantes como resultado de
irregularidades o actos ilícitos.
— Divulgar al auditor de SI su conocimiento de las irregularidades
o actos ilícitos que afectan la organización en lo que se refiere a:
• Gestión
• Empleados con roles importantes en controles internos
• Divulgar al auditor de SI su conocimiento de cualquier alegato de
irregularidades o actos ilícitos, o su sospecha, que afectan a la
organización según lo comunican los empleados, ex empleados,
reguladores y otros.
— Si el auditor de SI identifica una irregularidad o acto ilícito de
importancia u obtiene información de que una irregularidad o acto
Manual de Preparación al Examen CISA 2012
'SACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
ilícito de importancia puede existir, el auditor de SI debería
comunicar estos asuntos al nivel apropiado de la gerencia de
forma oportuna.
— Si el auditor de SI identifica una irregularidad o acto ilícito de
importancia que involucre a la gerencia o a empleados que
tengan roles significativos en el control interno, el auditor de SI
debería comunicar estos asuntos de manera oportuna a los
encargados del gobierno.
— El auditor de SI debería aconsejar al nivel apropiado de la
gerencia y a los encargados del gobierno sobre las debilidades
importantes en el diseño y la implementación del control interno
para prevenir y detectar irregularidades y actos ilícitos que el
auditor de SI pudo haber identificado durante la auditoría.
— Si el auditor de SI encuentra circunstancias excepcionales, tales
como falsas declaraciones o actos ilícitos importantes, que afecten
su capacidad de continuar la auditoría, el auditor de SI debería
considerar sus responsabilidades legales y profesionales
aplicables dadas las circunstancias, incluyendo el saber si existe
el requerimiento de que el auditor de SI reporte a sus contratantes
o en algunos casos a los encargados del gobierno o a las
autoridades regulatorias, o bien considerar cancelar su contrato.
— El auditor de SI debería documentar todas las comunicaciones,
la planificación, los resultados, las evaluaciones y las
conclusiones que se relacionan con irregularidades y actos ilícitos
importantes que hayan sido reportados a la gerencia, encargados
del gobierno, reguladores y otros.
• SIO Gobierno de TI:
— El auditor de SI debería revisar y evaluar si la función de SI
está alineada con la visión, misión, valores, objetivos y
estrategias de la organización.
— El auditor de SI debería revisar si la frnción de SI tiene una
declaración clara acerca del desempeño esperado por el negocio
(efectividad y eficiencia) y evaluar si se cumple con el mismo.
— El auditor de SI debe revisar y evaluar la efectividad de los
procesos de gestión de recursos de SI y de desempeño.
— El auditor de SI debería revisar y evaluar el cumplimiento con
los requerimientos legales, ambientales, de calidad de la
información, fiduciarios y de seguridad.
— El auditor de SI debería usar un enfoque basado en riesgos para
evaluar la función de SI.
— El auditor de SI debería revisar y evaluar el ambiente de control
de la organización.
— El auditor de SI debería revisar y evaluar los riesgos que puedan
impactar de manera negativa el ambiente de SI.
• SI I Uso de la Evaluación de Riesgos en la Planificación de
Auditoría:
— El auditor de SI debería usar una técnica o un enfoque
apropiado de evaluación de riesgos al desarrollar el plan general
de auditoría de SI y determinar las prioridades para una
asignación efectiva de recursos de auditoría de SI.
— Al planificar las revisiones individuales, el auditor de SI debería
identificar y evaluar los riesgos relevantes al área bajo revisión.
• S12 Materialidad de la Auditoría:
— El auditor de SI debería considerar la materialidad de la
auditoría y su relación con el riesgo de auditoría mientras
determina la naturaleza, el tiempo y la extensión de los
procedimientos de auditoría.
— Mientras planifica la auditoría, el auditor de SI debería
considerar la potencial debilidad o ausencia de controles y si
dicha debilidad o ausencia de controles podría tener como
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
Sección Dos: Contenido
consecuencia deficiencias significativas o una debilidad
importante en el sistema de información.
— El auditor de SI debería considerar el efecto acumulativo de las
deficiencias o debilidades menores de control y la ausencia de
controles para traducirlos en deficiencia significativa o debilidad
importante en el sistema de información.
— El informe del auditor de SI debería revelar controles
ineficaces o ausencia de controles y el significado de
las deficiencias de control y la posibilidad de que
estas debilidades tengan como consecuencia una
deficiencia significativa o una debilidad importante.
• S13 Uso del Trabajo de Otros Expertos:
— El auditor de SI debería, donde sea apropiado, considerar
usar el trabajo de otros expertos para la auditoría.
— El auditor de SI debería evaluar y quedar satisfecho
con los procesos de calificaciones profesionales,
competencias, experiencia relevante, recursos,
independencia y control de calidad de otros expertos,
antes del compromiso.
— El auditor de SI debería valorar, revisar y evaluar el
trabajo de otros expertos como parte de la auditoría y
concluir la extensión de uso y confianza del trabajo de un
experto.
— El auditor de SI debería determinar y concluir si el trabajo
de otros expertos es adecuado y completo como para
permitir que el auditor de SI concluya sobre los actuales
objetivos de auditoría. Dicha conclusión se debe
documentar claramente.
— El auditor de SI debe aplicar procedimientos
adicionales de prueba para obtener evidencia de
auditoría suficiente y apropiada en circunstancias en
las que el trabajo de otros expertos no provee
evidencia suficiente y apropiada de auditoría.
— El auditor de SI debería proveer una opinión apropiada de
auditoría e incluir limitación de alcance donde la evidencia
requerida no sea obtenida a través de procedimientos
adicionales de prueba.
• S14 Evidencia de Auditoría:
— El auditor de SI debería obtener evidencia de auditoría
suficiente y apropiada para extraer conclusiones sobre las
cuales basar los resultados de auditoría.
— El auditor de SI debería evaluar la suficiencia de la
evidencia de auditoría obtenida durante la auditoría.
• S15 Controles de TI:
— El auditor de SI debe evaluar y monitorear los controles de
TI que son parte integral del ambiente de control interno de la
organización.
— El auditor de SI deber brindar asistencia a la gerencia
por medio de consejos relacionados con el diseño, la
implementación, operación y mejora de los controles de
TI.
• S16 Comercio electrónico:
— El auditor de SI debe evaluar los controles aplicables y
valorar riesgos cuando revise los ambientes de comercio
electrónico para asegurar que las transacciones de comercio
electrónico están controladas adecuadamente.
Nota: El examen CISA no prueba si el candidato conoce el
número específico de un estándar de auditoría de SI.
El examen CISA prueba cómo se aplican las directrices dentro
del proceso de auditoría.
38
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido Sistemas de Información CISA
1.3.3 DIRECTRICES DE ASEGURAMIENTO Y convierte en parte integral de la cobertura de la auditoría.
AUDITORÍA DETI DE ISACA
El objetivo de las directrices de aseguramiento y auditoría de
TI de ISACA es proporcionar información adicional sobre
cómo cumplir con los estándares de aseguramiento y auditoría
de TI de ISACA. El auditor de SI debería:
• Usar el juicio profesional para aplicarlo en auditorías
específicas.
• Usar el juicio profesional para aplicarlos a auditorías
específicas.
• Poder justificar cualquier diferencia.
Nota: No se espera que el candidato a CISA sepa el número
específico de una directriz de aseguramiento y auditoría de TI.
El examen CISA prueba cómo se aplican las directrices dentro
del proceso de auditoría. El auditor de SI debe revisar las
directrices de aseguramiento y auditoría de TI con
detenimiento para identificar el tema que verdaderamente se
necesita en el trabajo.
índice de directrices de aseguramiento y auditoría
de Tl
• Gl Uso del trabajo de otros auditores, con efecto a
partir del
1 de marzo de 2008
— Esta directriz establece cómo el auditor de SI
debería considerar el uso del trabajo de otros
especialistas en la auditoría cuando existan
restricciones que puedan afectar su trabajo o las
posibles ganancias en términos de calidad de la
auditoría.
— Muy frecuentemente, se requiere de cierta pericia o
conocimiento por la naturaleza técnica de las tareas que
deben realizarse, los escasos recursos para la auditoría y
el conocimiento limitado en áreas específicas de la
auditoría. Un 'especialista' podría ser un auditor de SI de
la firma de contadores externa, un consultor gerencial, un
especialista en TI o especialista en el área de la auditoría
asignado por la alta gerencia o por el equipo de auditoría
de SI.
• G2 Requerimiento de Evidencia de Auditoria, con
efecto a partir del 1 de mayo de 2008
— Directrices para el auditor de SI acerca de cómo
obtener una evidencia de auditoría suficiente y
apropiada y redactar conclusiones razonables sobre las
cuales se basan los resultados de la auditoría.
— Esta directriz proporciona una guía para aplicar los
estándares de auditoría de SI. El auditor de SI debe
tenerla en cuenta para determinar cómo implementar los
estándares anteriormente citados, usar su juicio
profesional al aplicarla y estar preparado para justificar
cualquier diferencia.
• G3 Uso de Técnicas de Auditoría Asistidas por
Computadora (CAATs), con efecto a partir del 1 de
marzo de 2008
— En la medida en que las entidades incrementan la
utilización de los sistemas de información para el
registro, transacción y procesamiento de datos, la
necesidad de que el auditor de SI utilice las herramientas
de SI para evaluar en forma adecuada el riesgo se
39
El uso de las técnicas de auditoría asistida por
computadora (CAATs) sirve como herramienta
importante para el auditor de SI para evaluar el ambiente
de control de forma eficiente y efectiva. La utilización de
CAATs puede ayudar a incrementar la cobertura de la
auditoría, un análisis más exhaustivo y consistente de los
datos y reducción de los riesgos.
— Las CAATs incluyen muchos tipos de herramientas y
técnicas, tales como software generalizado de auditoría,
consultas personalizadas o conjunto de instrucciones,
software utilitario, trazado y mapeo de software, y sistemas
expertos en auditorías.
• G4 Contratación de servicios externos de actividades
de SI para otras organizaciones, con efecto a partir del
1 de mayo de 2008
— Una organización (el usuario del servicio) puede delegar en
forma parcial o total algunas o todas las actividades de SI a un
proveedor externo de tales servicios (proveedor de servicio).
El proveedor podría estar en el sitio del usuario utilizando los
sistemas de éste o fuera del sitio utilizando sus propios
sistemas. Las actividades de SI que podrían contratarse en
forma externa incluyen las funciones de SI tales como las
operaciones del centro de datos, seguridad y desarrollo y
mantenimiento de sistemas de aplicaciones.
— El usuario del servicio es el responsable de confirmar el
cumplimiento de los contratos, acuerdos y reglamentos.
— Los derechos para auditoría son a menudo poco claros. La
responsabilidad del cumplimiento de auditoría también es a
menudo ambigua. El propósito de esta directriz es establecer
cómo el auditor de SI debe cumplir con las estándares SI, S5 y S6
en esta situación.
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI. El auditor de SI debe tenerla
en cuenta para determinar cómo implementar los estándares
anteriormente citados, usar su juicio profesional al aplicarla y
estar preparado para justificar cualquier diferencia.
• G5 Estatuto de Auditoría, con efecto a partir del I de febrero
de 2008
— El propósito de esta directriz es asistir al auditor de SI para
preparar un estatuto de auditoría para definir la
responsabilidad, la autoridad y la rendición de cuentas de la
función de auditoría de SI. Esta directriz está dirigida
principalmente a la función de auditoría interna de SI; sin
embargo, podrían considerarse algunos aspectos para otras
circunstancias.
— Esta directriz proporciona una guía para aplicar los estándares
de auditoría de SI. El auditor de SI debe tenerla en cuenta para
determinar cómo implementar los estándares anteriormente
citados, usar su juicio profesional al aplicarla y estar preparado
para justificar cualquier diferencia.
• G6 Conceptos de materialidad para la Auditoría de Sistemas
de Información, con efecto a partir del 1 de mayo de 2008
— A diferencia de los auditores financieros, los auditores de SI
requieren de un criterio distinto para medir materialidad. Los
auditores financieros miden normalmente la materialidad en
términos monetarios, dado que lo que auditan también se mide y se
reporta en términos monetarios. Los auditores de SI realizan
auditorías normalmente de aspectos no financieros, por ejemplo,
controles de acceso fisico, controles de acceso lógico, controles de
cambios de programas, y sistemas para la gerencia de personal,
Manual de Preparación al Examen CISA 2012
'SACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
control de manufactura, diseño, control de calidact generación de
contraseñas, producción de tarjetas de crédito y atención al
paciente. Por consiguiente, los auditores de SI pueden necesitar
una guía sobre cómo debe evaluarse la materialidad para planificar
sus auditorías en forma efectiva, cómo deben concentrar sus
esfuerzos en las áreas de alto riesgo y cómo evaluar la severidad
de cualquier error o debilidad encontrada.
— Esta directriz proporciona una guía para aplicar los estándares
sobre la materialidad de la auditoría de SI. El auditor de SI debe
tenerla en cuenta para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G7 Debido Cuidado Profesional, con efecto a partir del
1 de marzo de 2008
— El propósito de esta directriz es clarificar el término "debido
cuidado profesional" como se aplica para la ejecución de una
auditoría en cumplimiento con el estándar S3 de los estándares
de aseguramiento y auditoría de TI.
— Se espera que los miembros y personas certificadas ISACA
cumplan con el Código de Ética Profesional de ISACA; de lo
contrario, esto puede conducir a una investigación sobre la
conducta de la persona certificada o miembro y en última
instancia a medidas disciplinarias, de ser necesario.
— La directriz proporciona una guía para aplicar los estándares de
aseguramiento y auditoría de TI y cumplir con el Código de Ética
Profesional de ISACA al ejecutar sus funciones con la debida
diligencia y cuidado profesional. El auditor de SI debe tenerla en
cuenta para determinar cómo implementar los estándares
anteriormente citados, usar su juicio profesional al aplicarla y
estar preparado para justificar cualquier diferencia.
• G8 Documentación de la Auditoría, con efecto a partir del
1 de marzo de 2008
— El propósito de esta directriz es describir los documentos que el
auditor de SI debe preparar y retener para el respaldo de la
auditoría.
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI. El auditor de SI debe
tenerla en cuenta para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G9 Consideraciones de Auditoría para Irregularidades y Actos
Ilegales, vigentes a partir del 10 de septiembre de 2008
— El propósito de esta directriz es proporcionar una guía para que
los auditores de SI gestionen las actividades irregulares o
ilegales que puedan surgir durante la ejecución de sus
asignaciones de auditoría.
— El estándar S9 Irregularidades y Actos Ilegales explica en detalle
los requerimientos y consideraciones por parte de los auditores de
SI para los casos de irregularidades y actos ilegales. Esta directriz
proporciona una guía para aplicar los estándares de aseguramiento
y auditoría de TI. El auditor de SI debe tenerla en cuenta para
determinar cómo implementar los estándares anteriormente
citados, usar su juicio profesional al aplicarla y estar preparado
para justificar cualquier diferencia.
• GIO Muestreo de Auditoría, con efecto a partir del 1 de
agosto de 2008
— El propósito de esta directriz es proporcionar una guía para que
el auditor de SI diseñe y seleccione una muestra de la auditoría y
evalúe los resultados de la muestra. Un muestreo y evaluación
adecuados cumplirán con los requerimientos de 'evidencia
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
hforrnatim
Sección Dos: Contenido
suficiente, confiable, relevante y útil' y 'respaldada por un análisis
apropiado'.
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI. El auditor de SI debe tenerla
en cuenta para determinar cómo implementar el estándar S6,
usar su juicio profesional al aplicarla y estar preparado para
justificar cualquier diferencia.
• Gil Efecto de los Controles Generales de SI, con efecto a
partir del 1 de agosto de 2008
— Para formarse una opinión sobre la efectividad de los
controles detallados que se auditan, el auditor de SI debe
considerar la necesidad de evaluar la efectividad de la
gestión y monitoreo de los sistemas de información,
incluso cuando dichos temas se encuentren fuera del
alcance acordado para la auditoría. El resultado de dichas
consideraciones puede variar desde una extensión del
alcance acordado hasta un informe debidamente calificado.
— La población total de los controles de gerencia y
monitoreo es amplia, y algunos de estos controles pueden
no ser relevantes para el objetivo específico de la auditoría.
Para evaluar el riesgo de la auditoría y determinar el
alcance adecuado de la misma, el auditor de SI necesita un
método estructurado para determinar:
• Aquellos controles de gestión y monitoreo que son relevantes para
el alcance y objetivos de la auditoría
• Aquellos controles de gestión y monitoreo que deben probarse
• El efecto de los controles de gestión y monitoreo relevantes en la
opinión acerca de la auditoría
• G12 Relación organizacional e Independencia, con efecto a
partir del 1 de agosto de 2008
— El propósito de esta directriz es extenderse en el
significado de 'independencia' según se utiliza en el
estándar S2 y dirigir la actitud e independencia del auditor
de SI en la auditoría de SI. — Esta directriz proporciona
una guía para aplicar los estándares de aseguramiento y
auditoría de TI. El auditor de SI debe tenerla en cuenta para
determinar cómo implementar los estándares anteriormente
citados, usar su juicio profesional al aplicarla y estar
preparado para justificar cualquier diferencia.
• G13 Uso de la Evaluación de riesgos en la Planificación de
la Auditoría, con efecto a partir del I de agosto de 2008
— El nivel de trabajo de auditoría requerido para cumplir
con un objetivo específico de la auditoría está sujeto a la
decisión tomada por el auditor de SI. El riesgo de
alcanzar una conclusión incorrecta basada en los
hallazgos de la auditoría (riesgo de auditoría) es un
aspecto de esta decisión. El otro es el riesgo de errores
ocurridos en el área sometida a la auditoría (riesgo de
error). Las prácticas recomendadas para la evaluación del
riesgo en la realización de auditorías financieras están
bien documentadas en los estándares de la auditoría para
los auditores financieros, pero se requiere una guía sobre
cómo aplicar tales técnicas en las auditorías de SI.
— Esta directriz proporciona una guía para aplicar los
estándares de aseguramiento y auditoría de TI. El auditor
de SI debe tenerla en cuenta para determinar cómo
implementar los estándares S5 y S6, usar su juicio
profesional al aplicarla y estar preparado para justificar
cualquier diferencia.
40
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido
• G14 Revisión de los sistemas de aplicación, vigente a partir
del 10 de diciembre de 2008
— El propósito de esta directriz es describir las prácticas
recomendadas en la realización de una revisión de los
sistemas de aplicación.
— El propósito de una revisión de los sistemas de
aplicación es identificar, documentar, probar y evaluar
los controles para una aplicación implementados por una
organización para lograr los objetivos de control
relevantes. Estos objetivos de control pueden clasificarse
en objetivos de control para el sistema y datos
relacionados.
• G15 Planificación de la auditoría, vigente a partir del 1 0
de mayo
de 2010
— El propósito de esta directriz es definir los componentes
del proceso de planificación según se indica en el
estándar S5 de los estándares de aseguramiento y
auditoría de TI.
— Esta directriz también considera la planificación en el
proceso de auditoría para cumplir con los objetivos
establecidos por COBIT.
• G16 Efecto de Terceros en los Controles de TI de una
Organización, con efecto a partir del 1 de marzo de
2009
— Esta directriz establece cómo el auditor de SI debe
cumplir con los estándares de aseguramiento y auditoría
de TI de ISACA y COBIT cuando evalúa el efecto de un
tercero sobre los controles del sistema de información de
la organización y los objetivos de control relacionados.
— Esta directriz no fue diseñada para proporcionar una
orientación sobre cómo los auditores de SI informan sobre
los controles de los proveedores externos de acuerdo con
otras entidades que fijen estándares.
• Gl 7 Efecto del rol de No-auditoría sobre la auditoría de TI y
la Garantía de la Independencia del Profesional, vigente a
partir del 1 0 de mayo de 2010
— El propósito de esta directriz es proporcionar un marco
para permitirle al auditor de SI:
• Establecer cuándo puede estar obstaculizada la independencia
requerida, o bien cuándo parece estarlo
• Considerar los enfoques alternativos posibles para el proceso de
auditoría cuando la independencia requerida esté, o parezca estar,
obstaculizada
• Determinar los requerimientos de divulgación
• G18 Gobierno de TI, vigente a partir del 1 0 de julio de 2002 — El
propósito de esta directriz es proporcionar información sobre cómo
un auditor de SI debe abordar una auditoría del gobierno de TI,
abarcando la posición organizacional adecuada del auditor de SI en
cuestión, los temas que se considerarán durante la planificación de
la auditoría y la evidencia que se revisará al realizar la auditoría.
Esta directriz también proporciona una guía sobre las líneas de
reporte y el contenido y trabajo de seguimiento que deben
considerarse.
• G19 Irregularidades y Actos Ilegales, Eliminada, 1 de
septiembre de 2008
• G20 Técnicas de reporte, vigente a partir del 16 de
septiembre de 2010
41
Sistemas de Información CISA
— Esta directriz establece cómo el auditor de SI debe
cumplir con los estándares de aseguramiento y auditoría de
Ti de ISACA y COBIT al informar sobre los controles del
sistema de información de una organización y los objetivos
de control relacionados.
• G21 Revisión del Sistema de planificación de recursos de empresa
(ERP), vigente a partir del 16 de septiembre de 2010 — Esta
directriz proporciona información y sugerencias sobre cómo el
auditor de SI debe cumplir con los estándares de ISACA y COBIT
cuando participa en la auditoría o revisión de un sistema de ERP o
proyecto de implementación del sistema de ERP.
• G22 Revisión del comercio electrónico de empresa a cliente
(B2C), vigente a partir del 1 0 de diciembre de 2008
— Esta directriz describe las prácticas recomendadas para realizar
la revisión de las iniciativas y aplicaciones de comercio
electrónico B2C, de modo que se cumplan los estándares de
aseguramiento y auditoría de TI relevantes durante el curso de la
revisión.
• G23 Revisión del Ciclo de Vida de Desarrollo de Sistemas
(SDLC), con efecto a partir del 1 de agosto de 2003
— Esta directriz tiene el propósito de proporcionar la guía
necesaria para que los auditores de SI realicen las revisiones del
SDLC de los sistemas de aplicación.
• G24 Banca por Internet, con efecto a partir del 1 de agosto
de 2003
— El propósito de esta directriz es describir las prácticas
recomendadas para realizar la revisión de las iniciativas,
aplicaciones e implementaciones de la banca por Internet, ,
así como para ayudar a identificar y controlar los riesgos
asociados con esta actividact de modo que se cumplan los
estándares de aseguramiento y auditoría de TI relevantes
durante el curso de la revisión.
• G25 Revisión de Redes Privadas Virtuales, con efecto a
partir del 1 de julio de 2004
— El propósito de esta directriz es describir las prácticas
recomendadas para realizar la revisión de las implementaciones
en la red privada virtual (VPN) de modo que se cumplan los
estándares de aseguramiento y auditoría de TI relevantes en el
curso de esta revisión.
• G26 Revisión de Proyectos de Reingeniería de Procesos de
Negocio (BPR), con efecto a partir del 1 de julio de 2004
— El propósito de esta directriz es proporcionar a los auditores de
SI los temas generales de reingeniería como marco para la
evaluación de las tareas clave y riesgos asociados con los
proyectos BPR con atención especial a los aspectos de SI.
• G27 Computación Móvil, con efecto a partir del 1 de
septiembre de 2004
— Esta directriz proporciona una guía para aplicar los estándares
SI, S4 y S5 de auditoría de SI cuando se revise la seguridad de la
computación móvil como parte de una asignación de auditoría o
como una revisión independiente. El auditor de SI debe tener en
cuenta esta directriz para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G28 Cómputo Forense, con efecto a partir del 1 de
septiembre de 2004
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI S3 Ética y estándares
profesionales, S4 Competencia profesional, S5 Planificación y
Manual de Preparación al Examen CISA 2012
'SACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
S6 Ejecución del trabajo de auditoría mientras se realiza una
revisión de informática forense. El auditor de SI debe tenerla en
cuenta para determinar cómo implementar los estándares
anteriormente citados, usar su juicio profesional al aplicarla y
estar preparado para justificar cualquier diferencia.
• G29 Revisión Posterior a la Implementación, con efecto a
partir del 1 de enero de 2005
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI S6 Ejecución del trabajo de
auditoría y S8 Actividades de seguimiento mientras se realiza una
revisión posterior a la implementación. El auditor de SI debe
tenerla en cuenta para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G30 Competencia, con efecto a partir del 1 de junio de 2005 —
Esta directriz proporciona una guía para aplicar el estándar de
Auditoría de SI S4 Competencia Profesional. El auditor de SI debe
tener en cuenta esta directriz para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G31 Privacidad, con efecto a partir del 1 de junio de 2005.
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI. El auditor de SI debe tenerla en
cuenta para determinar cómo implementar los estándares
anteriormente citados, usar su juicio profesional al aplicarla y estar
preparado para justificar cualquier diferencia. • G32 Revisión del
Plan de Continuidad del Negocio desde una
Perspectiva de TI, con efecto a partir del 1 de septiembre de 2005
— Esta directriz proporciona una guía para aplicar el estándar de
Auditoría de SI S6 Ejecución del Trabajo de Auditoría para
obtener una evidencia suficiente, confiable, relevante y útil
durante la revisión del plan de continuidad del negocio desde una
perspectiva TI. El auditor de SI debe tenerla en cuenta para
determinar cómo implementar los estándares anteriormente
citados, usar su juicio profesional al aplicarla y estar preparado
para justificar cualquier diferencia.
• G33 Consideraciones Generales sobre el Uso de Internet,
con efecto a partir del 1 de marzo de 2006
— Esta directriz proporciona una guía para aplicar el estándar de
aseguramiento y auditoría de TI S6 Ejecución del trabajo de
auditoría para obtener evidencia suficiente, confiable, relevante y
útil durante la revisión de las conexiones a Internet. El auditor de
SI debe tenerla en cuenta para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G34 Responsabilidad, Autoridad y Rendición de cuentas,
con efecto a partir del 1 de marzo de 2006
— Esta directriz proporciona una guía para aplicar los estándares
de aseguramiento y auditoría de TI SI Estatuto de auditoría y S3
Ética y estándares profesionales. El auditor de SI debe tener en
cuenta esta directriz para determinar cómo implementar los
estándares anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier diferencia.
• G35 Actividades de seguimiento, con efecto a partir del
I de marzo de 2006
— El propósito de esta directriz es orientar a los auditores de SI
dedicados al seguimiento según las recomendaciones y
comentarios de la auditoría realizados en los informes. Esta
directriz proporciona una aguía para aplicar el estándar de
aseguramiento y auditoría de TI S8 Actividades de seguimiento.
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
hforrnatim
Sección Dos: Contenido
• G36 Controles Biométricos, con efecto a partir del 1 de
febrero de 2007
— Con el aumento del despliegue de una arquitectura de
seguridad que incorpora la tecnología biométrica, se ha
vuelto imperativo que los auditores de SI estén conscientes
de los riesgos y contramedidas relacionadas con dicha
tecnología. El auditor de SI que revise un sistema de
controles biométricos debe tener un buen conocimiento
sobre la tecnología, proceso del negocio y objetivos de los
controles para asegurar que se logren lo objetivos del
negocio. Es dentro de este contexto que existe una
necesidad de una directriz para proporcionar una guía a los
auditores de SI que revisen controles biométricos mientras
realizan tareas de auditoría. Esta directriz proporciona una
guía para aplicar los estándares de aseguramiento y
auditoría de TI S6 Ejecución del trabajo de auditoría y S I
O Gobierno de TI.
• G37 Gestión de Configuración, con efecto a partir del
I de noviembre de 2007
— Esta directriz está diseñada para asistir al auditor de SI
en la realización de una revisión del proceso de gestión
de configuraciones. Principalmente dirigido a los
auditores de SI, tanto internos como externos, este
documento puede ser utilizado por otros profesionales de
SI con responsabilidades relativas a la disponibilidad de
los sistemas de información, integridad de datos y
confidencialidad de la información.
• G38 Control de Acceso, con efecto a partir del 1 de
febrero de 2008
— En el mundo interconectado actual, las organizaciones
deben proteger sus activos del uso no autorizado, no sólo
para proteger sus inversiones sino también para proteger
los activos de información de los riesgos generados por el
uso indebido de los recursos, de manera intencional o
involuntaria. Las implementaciones de tecnologías
actuales son diversas y complejas, y todas ellas deben ser
protegidas del uso no autorizado. Los activos fisicos,
también deben ser protegidos. Debido a esta diversidad, es
importante tener un proceso estándar para controlar el
acceso. Este estándar servirá de referencia base,
personalizada para atender las necesidades particulares de
la organización. Esta directriz proporciona una guía ara
aplicar los estándares de auditoría de SI SI y S3. El
auditor de SI debe tener en cuenta esta directriz para
determinar cómo implementar los estándares
anteriormente citados, usar su juicio profesional al
aplicarla y estar preparado para justificar cualquier
diferencia.
• G39 Organizaciones de TI, con efecto a partir del 1 de
mayo de 2008
— La estructura puede ser un facilitador diferente o inhibidor
de la efectividad organizacional, pero por sí solo no
determinará el éxito organizacional. No existe una
estructura correcta, debido a que no existen dos
organizaciones exactamente iguales. Todas las
organizaciones de TI tienen propósitos y responsabilidades
similares, pero sus perfiles, sistemas de gestión, procesos,
restricciones, fortalezas y debilidades hacen de cada
organización de TI una entidad única. Sin embargo, existen
ciertos atributos para verificar una estructura
organizacional de TI óptima.
42
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido Sistemas de Información CISA
Certifbdhforrnation
Nota: El candidato a CISA debe estar familiarizado con la
CISA SystemsAuditor•
sección de las directrices de aseguramiento y auditoría de TI
relacionada con el contenido del estatuto de auditoría (G5).
— Esta directriz proporciona una guía para aplicar el Igualmente importantes son las Consideraciones de Auditoría
estándar de aseguramiento y auditoría de TI S 10
para Irregularidades (G9) en relación con el estándar
Gobierno de TI. El auditor de SI debe tener en cuenta
esta directriz para determinar cómo implementar el Irregularidades y Actos Ilegales (S9) para el propósito de
estándar mencionado anteriormente, usar su juicio informar sobre irregularidades tales como el fraude. Además, el
profesional al aplicarla y estar preparado para justificar auditor de SI debe estar familiarizado con la directriz de
cualquier diferencia. Aseguramiento y auditoría de TI relacionada con efecto del
mantenimiento de la independencia del rol no auditor sobre la
• G40 Revisión de las Prácticas de Gestión de
independencia del auditor de SI (G 17) y el estándar relacionado
Seguridad, vigente a partir del 1 0
de diciembre de
de Independencia (S2). El auditor de SI también deberá
2008 identificar los conocimientos sobre las Actividades de
— La información es uno de los activos más valiosos de un
seguimiento (G35) en las directrices de aseguramiento y auditoría
negocio. La información es cada vez más importante para
de TI.
el éxito competitivo y fundamental para la supervivencia
económica. En el mundo interconectado actual, las
organizaciones deben proteger sus activos de información 1.3.4 HERRAMIENTAS YTÉCNICAS DE
del uso no autorizado, no sólo para proteger su inversión ASEGURAMIENTO Y AUDITORÍA DETI DE ISACA
sino también para proteger los activos de información de
Las herramientas y las técnicas desarrolladas por la Junta de
los riesgos generados por el uso indebido de los recursos,
Estándares de ISACA proveen ejemplos de procesos que un auditor
de manera intencional o involuntaria. Dicha protección de
de SI posiblemente podría seguir en un trabajo de auditoría. Pam
los activos de la información puede lograrse solamente
determinar si una herramienta y técnica específica es apropiada, los
mediante la implementación de un marco de trabajo
auditores de SI deben aplicar su juicio profesional a la situación
formal y detallado de la gestión de seguridad de la
particular. Los documentos de herramientas y técnicas proveen
información en una empresa. Esta directriz proporciona
información sobre cómo cumplir los estándares al realizar un trabajo
una guía detallada para evaluar y concluir acerca del
de auditoría de SI, pero no establecen requerimientos.
diseño y la efectividad operativa de las prácticas de
gestión de seguridad de la información implementadas por
No es obligatorio que el auditor de SI siga estas herramientas y
la gerencia.
técnicas; no obstante, al seguir estos procedimientos el auditor
• G41 Retorno sobre la inversión en seguridad (ROSI), tendrá certeza de que está siguiendo los estándares.
efectiva a partir del 1 de mayo de 2010
— Las empresas no pueden permitirse ignorar las
índice de herramientas y técnicas de aseguramiento y
proposiciones de valor de las métricas de seguridad para
lograr de forma efectiva un ROSI apropiado. Es auditoría de Tl
importante definir medidas de seguridad estratégicas en
necesidades de usuario cuantificables, desarrollar un plan
de acción que incorpore un enfoque consensuado para
definir medidas efectivas y proporcionar evaluaciones
periódicas que establezcan una mejora continua del
ROSI. Esta directriz va dirigida a los profesionales de
aseguramiento y auditoría de TI que revisan el ROSI
cuando llevan a cabo asignaciones de auditoría.
• G42 Aseguramiento continuo, efectiva a partir del 1
de mayo de 2010
— Si bien el concepto de aseguramiento continuo no está
limitado a la auditoría de TI, a menudo se solicita a los
profesionales de aseguramiento y auditoría de TI que
desarrollen, implementen y mantengan procesos y
sistemas de aseguramiento continuo. Los profesionales de
aseguramiento y auditoría de TI pueden añadir valor
aprovechando su combinación única de habilidades y
experiencia técnica y del negocio necesarias para
implementar satisfactoriamente procesos y sistemas de
aseguramiento continuo, y comprometer a la amplia gama
de partes interesadas del negocio y de TI implicadas. Esta
directriz está concebida para los profesionales de
aseguramiento y auditoría de TI que planifican,
implementan y mantienen procesos y sistemas de
aseguramiento continuo.
Pl Evaluación de Riesgos de SI, con efecto a partir del

43 Manual de Preparación al Examen CISA 2012

'SACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
Sección Dos: Contenido
I de julio de 2002
P2 Firmas Digitales, con efecto a partir del I de julio de 2002
P3 Detección de Intrusos, con efecto a partir del I de agosto
de 2003
P4 Virus y Otros Códigos Maliciosos, con efecto a partir
del I de agosto de 2003
P5 Autoevaluación de Control de Riesgos, con efecto a partir
del I de agosto de 2003
P6 Cortafuegos (firewalls), con efecto a partir del
I de agosto de 2003
Irregularidades y Actos Ilegales, con efecto a partir del
1 de noviembre de 2003
P8 Evaluación de la Seguridad—Pruebas de Penetración
y Análisis de Vulnerabilidades, con efecto a partir del
I de septiembre de 2004
P9 Evaluación de los Controles de Gestión sobre las
Metodologías de Encriptación, con efecto a partir del
I de enero de 2005
PIO Control de Cambios de Aplicación del Negocio, con
efecto a partir del I de octubre de 2006
PII Transferencia Electrónica de Datos (EFT), con efecto a
partir del I de mayo de 2007

Manual de Preparación al Examen CISA 2012 44

ISACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido
1.3.5 RELACIONES ENTRE ESTÁNDARES,
DIRECTRICES,
Y HERRAMIENTAS Y TÉCNICAS
Los estándares definidos por ISACA deben ser cumplidos por el
auditor de SI. Las directrices proveen una guía sobre cómo puede el
auditor implementar los estándares en diversas asignaciones de
auditoría. Las herramientas y técnicas proporcionan ejemplos de
pasos que el auditor puede seguir en asignaciones de auditoría
específicas para implementar los estándares; no obstante, el auditor
de SI debe utilizar su juicio profesional al utilizar las directrices, las
herramientas y las técnicas.
1.3.6 INFORMATION TECHNOLOGY ASSURANCE
FRAMEWORKTM (ITAFTM )
ITAF es un modelo integral para el establecimiento de buenas
prácticas que:
• Proporciona orientación acerca del diseño, la realización y los
reportes de las asignaciones de auditoría y aseguramiento de TI
• Define términos y conceptos específicos para el aseguramiento
de Tl
• Establece los estándares que definen los requerimientos
relacionados con los roles y responsabilidades, conocimientos y
habilidades, y diligencia, conducta y reporte de los profesionales
de auditoría y aseguramiento de TI
ITAF se centra en el material de ISACA, así como en el contenido y
la orientación desarrollada por el IT Governance Institute• (ITGP) y
otras organizaciones, y como tal, proporciona una única fuente a
través de la cual los profesionales de auditoría y aseguramiento de TI
pueden buscar orientación, políticas de investigación y
procedimientos, obtener programas de auditoría y aseguramiento, y
elaborar informes eficaces. El ITAF incluye tres categorías de
estándares—generales, de desempeño y de reporte— así como
también directrices, herramientas y técnicas:
• Estándares generales—Los principios guía según los cuales
operan los profesionales de aseguramiento de TI. Se refieren a la
realización de todas las asignaciones y se ocupan de la ética,
independencia, objetividad, debido cuidado, conocimiento,
competencia y habilidad de los profesionales de auditoría y
aseguramiento de TI.
• Estándares de desempeño—Se refieren a la realización de la
asignación; es decir, la planificación y supervisión, alcance,
riesgo y materialidad, movilización de recursos, gestión de
supervisión y asignaciones, evidencia de auditoría y
aseguramiento, y la puesta en práctica de juicio profesional y
debido cuidado.
• Estándares de reportes—Se refieren a los tipos de reportes,
medios de comunicación y a la información comunicada •
Directrices—Proporcionan al profesional de auditoría y
aseguramiento de TI la información y dirección sobre un área de
auditoría o aseguramiento. De conformidad con las tres
categorías de estándares señaladas anteriormente, las directrices
se centran en los diversos enfoques de auditorías, metodologías,
herramientas y material relacionado para ayudar en la
planificación, ejecución, evaluación, pruebas y reportes sobre los
procesos, controles o iniciativas relacionadas con auditorías o
Sistemas de Información CISA
aseguramiento de TI. Las directrices también ayudan a clarificar
la relación entre las actividades e iniciativas de la empresa, y las
asumidas por TI.
• Herramientas y técnicas—Proporcionan información específica
sobre diversas metodologías, herramientas y plantillas—y
proporcionan instrucciones sobre su aplicación y uso para
operacionalizar la información proporcionada por la guía. Tenga
en cuenta que las herramientas y técnicas están directamente
vinculadas con directrices específicas. Pueden ser de diversas
formas, tales como documentos de discusiones, instrucciones
técnicas, libros blancos, libros o programas de auditoría—por
ejemplo, la publicación de ISACA en SAP, que respalda las
directrices en lo que se refiere a los sistemas de planificación de
los recursos de la empresa (ERP).
Sección 2200—Estándares Generales Los estándares
generales se refieren a los principios guía según los cuales
operan los profesionales de aseguramiento de TI. Se
refieren a la realización de todas las asignaciones y se
ocupan de la ética, independencia, objetividad, debido
cuidado, conocimiento, competencia y habilidad de los
profesionales de auditoría y aseguramiento de TI.
Los estándares generales incluyen:
• Independencia y objetividad—El profesional de auditoría y
aseguramiento de TI debe mantener una actitud de
independencia y objetividad en todos los asuntos relacionados
con la realización de la asignación de aseguramiento de TI. El
profesional de auditoría y aseguramiento de TI debe realizar la
asignación de aseguramiento de TI de forma imparcial en lo que
se refiere al tratamiento de los asuntos de aseguramiento y
búsqueda de conclusiones. Es importante que el profesional de
auditoría y aseguramiento de TI no sólo sea independiente, sino
que también refleje serlo en todo momento.
• Expectativa razonable—El profesional de auditoría y
aseguramiento de TI debe tener una expectativa razonable de que
la asignación de aseguramiento de TI se puede completar de
acuerdo con estos estándares de aseguramiento de TI u otros
estándares profesionales, regulatorios o de la industria, y brindar
una opinión profesional. El alcance de los contratos de auditoría
o aseguramiento debe ser suficiente para permitir llegar a una
conclusión sobre el tema y la capacidad para hacer frente a
cualquier restricción.
• Reconocimiento de la gerencia—El profesional de auditoría y
aseguramiento de TI debe estar satisfecho con que la gerencia
entienda sus obligaciones y responsabilidades con respecto a la
provisión de información apropiada, relevante y oportuna que
puede requerirse durante el desempeño de la asignación y su
responsabilidad para asegurar la cooperación del personal
durante la actividad de auditoría o aseguramiento.
• Capacitación y competencia—El profesional de auditoría y
aseguramiento de TI y todos aquellos que participan en la
asignación deben poseer de forma colectiva las habilidades y
competencia adecuadas en lo que se refiere a la realización de las
asignaciones de auditoría y aseguramiento de TI para permitir a
los profesionales realizar el trabajo requerido.
• Conocimiento del tema—El profesional de auditoría y
aseguramiento de TI, así como el personal contratado para
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
 Certifbdlnformation
A%iitor•
Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
realizar la asignación de aseguramiento de TI, deben poseer de
forma colectiva el conocimiento adecuado sobre el tema.
• Debido cuidado profesional—El profesional de auditoría y
aseguramiento de TI debe ser muy cuidadoso en la planificación,
realización y presentación de reportes de los resultados de la
asignación de aseguramiento de TI.
• Criterios adecuados—El tema de auditoría se debería evaluar
con criterios adecuados y apropiados. Las características de los
criterios adecuados son:
• Objetividad—Los criterios no deben tener sesgo que pudiera
afectar adversamente los hallazgos y conclusiones del
profesional de auditoría y aseguramiento de TI y, en
consecuencia, pudieran ocasionar una interpretación errónea por
parte del usuario del reporte de aseguramiento de TI.
• Mensurabilidad—Los criterios deben permitir una medición
uniforme del tema, así como el desarrollo de conclusiones
uniformes que puedan aplicar diferentes profesionales de
auditoría y aseguramiento de TI en circunstancias similares.
• Comprensibilidad—Los criterios deben comunicarse claramente
y no ofrecer ocasión a interpretaciones significativamente
diferentes a sus usuarios.
• Completitud—Los criterios deben ser suficientemente completos
de modo que se puedan identificar y utilizar todos los criterios
que puedan afectar las conclusiones de los profesionales de
auditoría y aseguramiento de TI cuando se realiza la asignación
de aseguramiento de TI.
• Relevancia—Los criterios deben ser relevantes para el tema
y contribuir con los hallazgos y las conclusiones que
satisfacen los objetivos de la asignación de aseguramiento
de TI.
Los estándares actuales de aseguramiento y auditoría de TI de
ISACA incluyen los siguientes estándares generales:
• S2 Independencia
• S3 Ética y Estándares Profesionales
• S4 Competencia
• S6 Ejecución del Trabajo de Auditoría
Sección 2400—Estándares de Desempeño Los estándares
de desempeño establecen las expectativas mínimas en la
realización de las asignaciones de aseguramiento de TI.
Aunque estos estándares se aplican a los profesionales de
aseguramiento cuando realizan cualquier asignación de
aseguramiento, el cumplimiento es particularmente
importante cuando el profesional de auditoría y
aseguramiento de TI actúa como auditor. En consecuencia,
los estándares de desempeño se centran en la atención que
presta el profesional de auditoría y aseguramiento de TI al
diseño del trabajo de aseguramiento, la ejecución del
aseguramiento, la evidencia requerida y el desarrollo de los
hallazgos y las conclusiones de la auditoría y el
aseguramiento.
Los estándares de desempeño son:
• Planificación y supervisión—El trabajo de aseguramiento
de TI se debe planificar adecuadamente y el profesional de
auditoría y aseguramiento de TI debe asegurar la
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
Sección Dos: Contenido
supervisión apropiada de todo el personal involucrado en la
asignación de aseguramiento de TI. La planificación de la
asignación de TI debería contemplar:
— El objetivo de la asignación de auditoría o aseguramiento
de TI
— Los criterios que se utilizarán en la ejecución de la
asignación de aseguramiento de TI
— El nivel de aseguramiento requerido. Esto incluye si la
asignación se realizará a nivel de examen o revisión, o
como una asignación de asesoría o consulta, qué tipo de
hallazgos y conclusiones se requerirán y qué tipo de
formato se utilizará para los reportes.
— Naturaleza del tema y los posibles elementos de la aserción
— Posibles recursos de información y evidencia, incluyendo
herramientas, técnicas y habilidades necesarias para obtener la
evidencia. Entre las consideraciones destaca el uso de técnicas de
auditoría asistida por computadora (CAATs), software de
auditoría y análisis únicos.
— La disponibilidad de recursos apropiados y aptos de auditoría y
aseguramiento de TI
— La disponibilidad y el acceso a registros y otra información
— Las conclusiones preliminares de riesgos de asignaciones y
auditorías y los medios con que se mitigarán estos riesgos
— Los requerimientos de recursos y experiencia—así como su
fuente, habilidades críticas requeridas y los plazos para su
participación en la actividad de aseguramiento de TI
— La naturaleza, extensión y los plazos de las diferentes tareas
de aseguramiento de TI y, si se está realizando una auditoría,
pruebas de auditoría
— Las condiciones que pudieran requerir una extensión de la
modificación del trabajo de aseguramiento que se está
realizando y pruebas de auditoría
La anticipación de los requerimientos de tiempo y el
establecimiento de presupuestos de tiempo y costos
— Naturaleza del reporte esperado
El trabajo de planificación y supervisión se debe documentar y debe
formar parte de los documentos del trabajo de aseguramiento de TI.
Esta documentación debería identificar de forma clara la naturaleza,
la extensión y los plazos del fr•abajo de aseguramiento de TI
realizado; la información y los documentos obtenidos, así como las
conclusiones a las que se llegó relacionadas con el tema.
• Obtención de evidencia suficiente—Cuando se realiza una
auditoría, el profesional de auditoría y aseguramiento de TI
debería obtener evidencia suficiente para proveer una base
razonable para las conclusiones obtenidas y expresadas en el
reporte de auditoría de TI:
— Los procedimientos de auditoría de TI se deberían aplicar para
obtener y recopilar evidencia de auditoría suficiente y apropiada a
fin de proveer una base razonable para llegar a conclusiones y
expresarlas en el reporte del auditor de TI. La suficiencia se refiere
a la cantidad de evidencia, y la pertinencia a la calidad de la
evidencia para medir el logro del objetivo de la auditoría. Para
determinar la suficiencia y pertinencia de la evidencia de auditoría
de TI, el profesional de auditoría y aseguramiento de TI debe
considerar el grado de aseguramiento que se proporciona y la
evaluación del riesgo.
— Normalmente la evidencia se obtiene a través de inspección,
observación, indagación, confirmación, análisis reiterado del
desempeño y discusión. El profesional de aseguramiento y
46
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido
auditoría de TI puede buscar evidencia corroborativa en
diferentes fuentes cuando intente formular una conclusión sobre
los resultados de un procedimiento de auditoría de TI.
— El profesional de aseguramiento y auditoría de TI debe
asegurarse de considerar la fuente de la evidencia cuando evalúe
su relevancia para apoyar el procedimiento de auditoría.
— El profesional de aseguramiento y auditoría de TI debe
documentar la prueba realizada y los resultados obtenidos con
suficiente detalle para apoyar las conclusiones alcanzadas.
Para otros trabajos de aseguramiento en los que no esté previsto
realizar una auditoría, el profesional de aseguramiento y auditoría
de TI debe considerar los requerimientos como una base para
establecer cuánta información será suficiente obtener y la
documentación requerida. Por lo general, la documentación de
aseguramiento debe ser suficiente como para permitir que una
persona conocedora con las habilidades apropiadas alcance las
mismas conclusiones basándose en una revisión de la
documentación relevante.
• Ejecución de la asignación—La asignación de aseguramiento de TI
se debe programar con respecto a los plazos, la disponibilidad y
otros compromisos y requerimientos de la gerencia y el auditado,
así como con respecto a los requerimientos de plazos de los
usuarios del reporte. Al programar el personal de la auditoría, se
debe tener cuidado de garantizar que el personal correcto esté
disponible y que se fraten todos los aspectos relacionados con la
continuidad, las habilidades y la experiencia:
— El personal profesional se debe asignar a tareas que estén dentro
de su conocimiento y habilidades.
El trabajo se debe realizar con el debido cuidado y la consideración
apropiada de:
— los planteamientos y preocupaciones de la gerencia y el
auditado, incluyendo los plazos y la puntualidad.
— la ejecución de la auditoría de TI debe considerar los objetivos y
el mandato de la auditoría.
• Declaraciones—El profesional de aseguramiento y auditoría de TI
recibirá declaraciones durante la ejecución de la auditoría de Tl—
algunas escritas y otras orales. Como parte del proceso de
auditoría, estas declaraciones se deben documentar y conservar en
el archivo de documentos impresos. Adicionalmente, para efectos
de testimonio, las declaraciones del auditado se deben obtener por
escrito para reducir las posibles malas interpretaciones. Entre los
asuntos que pueden aparecer en una carta de declaración están los
siguientes:
— Una declaración del auditado asumiendo responsabilidad por
el contenido y, cuando sea pertinente, las afirmaciones
— Una declaración del auditado asumiendo responsabilidad por
los criterios y, donde sea pertinente, las afirmaciones
— Una declaración del auditado asumiendo responsabilidad por
determinar que los criterios son apropiados para los propósitos —
Una lista de afirmaciones específicas sobre el tema basándose en
los criterios seleccionados
— Una declaración de que todos los asuntos conocidos que
contradicen las afirmaciones han sido revelados al profesional de
aseguramiento y auditoría de TI
— Una declaración de que todas las comunicaciones de los
reguladores relacionadas con el tema o las afirmaciones han sido
reveladas al profesional de aseguramiento y auditoría de TI
— Una declaración de que se ha otorgado al profesional de
aseguramiento y auditoría de TI acceso a toda la información
Informatim
Sistemas de Información CISA
relevante y a los registros, archivos, etc., relacionados con el tema
— Una declaración sobre cualquier evento significativo que haya
ocurrido después de la fecha del informe de auditoría y antes de la
divulgación de ese informe
— Otros asuntos que el profesional de aseguramiento y auditoría de
TI pueda considerar relevantes o apropiados
Es común que antes de que concluya el trabajo de auditoría o
aseguramiento se prepare y se firme un resumen de todas las
declaraciones hechas durante la asignación.
Aunque el mismo grado de rigor no es esencial en contratos de
aseguramiento sin auditoría, el profesional de aseguramiento debe
obtener declaraciones de la gerencia con respecto a los temas clave.
Los estándares actuales de aseguramiento y auditoría de TI de
ISACA incluyen los siguientes estándares de desempeño:
• SI Estatuto de Auditoría
• S5 Planificación
• S9 Irregularidades y Actos Ilegales
• SIO Gobierno de TI
• SI 1 Uso de la Evaluación de Riesgos en la Planificación de
Auditoría
• S 12 Materialidad de la Auditoría
• S 13 Uso del Trabajo de Otros Expertos
• S14 Evidencia de Auditoría
• S 15 Controles de TI
• S 16 Comercio electrónico
Sección 2600—Estándares sobre Informes El informe que
produce el profesional de aseguramiento y auditoría de TI
variará dependiendo del tipo de asignación realizada. Entre
los aspectos a considerar están el nivel de aseguramiento, si
el profesional de aseguramiento desempeñó funciones de
auditoría, si el profesional de aseguramiento provee un
informe directo sobre el tema o sobre afirmaciones
relacionadas con el tema, y si ese informe se basa en trabajo
realizado al nivel de revisión o al nivel de indagación.
Los estándares sobre elaboración de informes tratan (1 ) los
tipos de informe, (2) los medios de comunicación y (3) la
información que se comunicará.
Como mínimo, el informe del profesional de
aseguramiento y auditoría de TI y/o los adjuntos
relacionados deben:
• Identificar a quién va dirigido el informe
• Identificar la naturaleza y los objetivos de la asignación de
aseguramiento de TI
• Identificar la entidad o la porción de la misma que cubre el informe
de aseguramiento de TI
• Identificar el tema o las afirmaciones sobre los cuales trata el
informe del profesional de aseguramiento y auditoría de TI
• Proveer una descripción de la naturaleza del alcance del trabajo,
incluyendo una breve declaración sobre los asuntos que no están
Manual de Preparación al Examen CISA 2012
ISACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sistemas de Información
Sección Dos: Contenido

dentro del alcance de las asignaciones, así como los que sí Io están,
para eliminar cualquier duda sobre el alcance
• Indicar el tiempo o período que abarca el informe
• Indicar el período durante el cual se realizó el aseguramiento de TI
• Proporcionar una referencia a los estándares profesionales
aplicables que rigen la asignación de aseguramiento de TI y en
cumplimiento de las cuales se llevó a cabo el trabajo de
aseguramiento de TI
• Identificar las afirmaciones de la gerencia, si las hay
• Describir las responsabilidades de la gerencia y del profesional de
aseguramiento y auditoría de TI
• Identificar los criterios que se utilizaron para evaluar el tema
• Indicar una conclusión sobre el nivel de aseguramiento que se
proporciona (Dependiendo del tipo de asignación, el nivel puede
variar de un informe de auditoría a un informe de revisión en el que
no se proporciona aseguramiento).

46

Manual de Preparación al Examen CISA 2012 48

ISACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido Sistemas de Información CISA

• Indicar las reservas que pueda tener el profesional de Al tener una idea clara del ambiente en el cual opera la función de
aseguramiento y auditoría de TI (éstas pueden incluir el alcance, TI indistintamente de que sea un departamento de TI independiente
los plazos y la incapacidad para obtener suficiente información o una función de tecnología ubicada dentro de unidades de negocio o
llevar a cabo pruebas adecuadas, y son particularmente el profesional de aseguramiento y auditoría de TI también debería
importantes en asignaciones de auditoría). entender las presiones políticas y de negocio que debe enfrentar
• Indicar cualquier restricción de la distribución o uso del informe la ñmción de TI. El profesional de aseguramiento y auditoría de
• Indicar la fecha del informe TI igualmente logra entender las perspectivas desde las cuales las
• Indicar dónde se emitió el informe diferentes partes interesadas centran los servicios de TI y evalúan
• Indicar quién emitió el informe (nombre u organización del el desempeño de los proveedores de servicio de TI. De este modo,
auditor de TI) el profesional de aseguramiento y auditoría de TI puede poner en
• Incluir la firma del profesional de aseguramiento y auditoría contexto las diferentes funciones e iniciativas de TI. de TI en el informe
escrito
Además del ambiente operacional, el profesional de
Además, dependiendo de la naturaleza de la asignación de aseguramiento y auditoría de TI también debe considerar
aseguramiento o auditoría de TI, se debe proporcionar otras el ambiente de control y el sistema de control interno.
informaciones tales como directrices específicas del gobierno, políticas de la empresa o información que facilite la
comprensión La sección 3200 trata directrices en las siguientes áreas: de la asignación de aseguramiento de TI por parte
del lector. Sección Área de directrices
3210 Implicación de las políticas, prácticas y estándares
Sección 3000—Dlrectrlces de Aseguramiento de Tl empresariales en la función de TI
La sección 3000 trata directrices en las siguientes áreas: 3230 Implicación de las iniciativas empresariales de
Sección Área de directrices aseguramiento en la función de TI
3200 Temas relacionados con la empresa 3250 Implicación de las iniciativas empresariales de
3400 Procesos de gestión de TI aseguramiento en los planes y actividades de
3600 Procesos de aseguramiento y auditoría de TI aseguramiento de TI
3800 Gestión de aseguramiento y auditoría de TI 3270 Temas adicionales relacionados con toda la empresa y su impacto en la
función de TI Cada sección dentro de las directrices se concentra en uno de los siguientes temas: Sección 3400—Procesos de
gestión de Tl
• Aspectos y procesos de TI que el profesional de aseguramiento La Sección 3400 trata la gestión de TI. Las directrices de esta y
auditoría de TI debe entender y considerar cuando determine sección permiten al profesional de aseguramiento y auditoría de
la planificación, el alcance, la ejecución y los informes de las TI comprender diversos temas sobre la gestión y las operaciones
actividades de aseguramiento y auditoría de TIde TI como una base para la planificación y la definición del
• Procesos, procedimientos, metodologías y enfoques de alcance de las actividades de aseguramiento de TI. La orientación
aseguramiento y auditoría de TI que el profesional de que ofrece esta sección también puede brindar al profesional de
aseguramiento y auditoría de TI debe considerar cuando realice aseguramiento y auditoría de TI recomendaciones o información
actividades de aseguramiento de TI que le serán de utilidad cuando lleve a cabo una auditoría, así como información sobre temas de
TI que el profesional de Las directrices se apoyan con referencias a recursos adicionales aseguramiento y auditoría de TI
probablemente tratará, o debe de ISACA. estar preparado para tratar, durante la realización del trabajo de auditoría o
aseguramiento de TI.
Sección 3200—Temas relacionados con la empresa
La Sección 3200 trata temas relacionados con toda la empresa Las directrices de la gerencia de TI también permiten al que
pueden afectar al profesional de aseguramiento y auditoríaprofesional de auditoría y aseguramiento de TI entender mejor de TI en la
planificación y ejecución de la misión de las prácticas y procedimientos de los departamentos de TI. Como aseguramiento y
auditoría de TI. Las directrices permiten que tal, la sección se concentra en la planificación, la organización el profesional de
aseguramiento y auditoría de TI comprenda y la definición de estrategias para las actividades de los temas relacionados con toda
la empresa, tales como acciones departamentos de TI; la adquisición de información y tecnología ejecutivas, eventos y
decisiones externos que afectan al de la información; la implementación; el soporte y la prestación departamento de TI y, por
ende, los procesos de planificación, de servicios de TI; y el monitoreo y mejoramiento de las prácticas designación, ejecución y
presentación de informes de y procedimientos de TI para mejorar la seguridad, el control y aseguramiento y auditoría de TI. Esta
comprensión pueden ser el valor para los accionistas. La sección provee al profesional proporcionada por la dirección ejecutiva o
la alta dirección de de aseguramiento y auditoría de TI información sobre prácticas, usuarios y se puede obtener dentro del propio

Manual de Preparación al Examen CISA 2012

ISACA. Todos los derechos reservados.
 Capítulo - Proceso de Auditoría de
Sistemas de Información Sección Dos: Contenido
departamento temas y preocupaciones comunes, así como sobre los riesgos y de TI. Igualmente se puede obtener información
relevante las dificultades en cada área, y los enfoques y las metodologías de trabajos realizados por profesionales de aseguramiento y
que la gerencia puede utilizar para mejorar el valor. Igualmente auditoría no relacionados con TI, bien sea como parte de una
le ofrece orientación sobre los tipos de control que la gerencia asignación de auditoría integrada o de hallazgos e informes
implementa comúnmente o que debería implementar. de otras auditorías.

La sección 3400 trata directrices en las siguientes áreas: 3653 Auditoría de los controles tradicionales de aplicación
Sección Área de directrices 3410 Gobierno de TI (misión, 3655 Auditoría de los sistemas de planificación de los
metas, estrategia, alineación corporativa, reportes) recursos de la empresa (ERP)
3657 Auditoría de las estrategias de desarrollo de software

3412 Determinación del impacto de las iniciativas empresariales alternativo

en las actividades de aseguramiento de TI 3660 Auditoría de requerimientos específicos
3415 Uso del trabajo de otros expertos para realizar 3661 Auditoría de los criterios especificados por el
actividades de aseguramiento de TI gobierno
3420 Gestión de proyectos de TI 3662 Auditoría de los criterios especificados por la industria
3425 Estrategia para la información de TI 3670 Auditoría con técnicas de auditoría computarizadas
3427 Gestión de la información de TI (CAAT)
3430 Planes y estrategias de TI (presupuestos, fondos, métricas) 3680 Auditorías de TI y reportes sobre regulaciones
3450 Procesos de TI (operaciones, recursos humanos, desarrollo, 3690 Selección de elementos de interés para el aseguramiento
etc.) Sección 3800—Gestión de aseguramiento y auditoría
3470 Gestión de riesgos de TI
3490 Apoyo de TI al cumplimiento de las regulaciones La Sección 3800 trata la gestión de los procesos de
aseguramiento y auditoría de TI. La orientación que contiene esta
Sección 3600—Procesos de aseguramiento y sección permite al profesional de aseguramiento y auditoría de TI
entender la información requerida para gestionar una asignación
auditoría de Tl de auditoría de TI. La sección comienza con información sobre la
La sección 3600 se concentra en los enfoques, las metodologías y creación y gestión de la filnción de aseguramiento y auditoría de
las técnicas de auditoría. Provee al profesional de aseguramiento TI y continúa con la explicación de diversos temas sobre la
y auditoría de TI información sobre prácticas, problemas, gestión de los procesos de aseguramiento y auditoría de TI. Estos
preocupaciones y dificultades que se presentan comúnmente incluyen la planificación y la definición del alcance del
cuando se implementan diversos procedimientos de auditoría y aseguramiento y la auditoría, posteriormente la refinación del
aseguramiento, así como orientación sobre cómo planificar y alcance inicial, colocando la información en un documento
realizar la actividad de aseguramiento para garantizar el éxito. detallado de planificación y alcance de la auditoría de TI que
Asimismo, le proporciona orientación específica sobre cómo incorpore los objetivos del aseguramiento y auditoría de TI.
probar los controles. Seguidamente, esta sección trata cómo gestionar la ejecución del
trabajo del profesional de aseguramiento y auditoría de TI. La
El profesional de aseguramiento y auditoría de TI debe reconocer sección ofrece orientación sobre cómo documentar el trabajo de
y apreciar el rol de TI en la empresa, así como las relaciones que aseguramiento, y cómo documentar y aclamr los hallazgos y las
existen entre los departamentos de TI y las operaciones y la recomendaciones. Adicionalmente, incluye consideraciones sobre
gerencia de la empresa. cómo reportar el aseguramiento de una forma efectiva.

Cuando se lleva a cabo trabajo de auditoría y aseguramiento, La sección 3800 trata directrices en las siguientes áreas:
se sugiere que los miembros de ISACA indiquen que 'El
trabajo se realizó de acuerdo con los estándares de Sección Área de directrices
aseguramiento y auditoría de ISACA'. 3810 Función de aseguramiento y auditoría de TI
3820 Planificación y alcance de los objetivos de
La sección 3600 trata directrices en las siguientes áreas: aseguramiento y auditoría de TI
3830 Planificación y alcance de trabajo de aseguramiento
Sección Área de directrices y auditoría de TI
3605 Uso del trabajo de especialistas y otros individuos/ 3835 Planificación y alcance de valoraciones de riesgos
entidades como apoyo 3840 Gestión de ejecución de proceso de aseguramiento
3607 Integración del trabajo de aseguramiento y auditoría y auditoría de TI
de TI con otras actividades de auditoría

Manual de Preparación al Examen CISA 2012 50

ISACA. Todos los derechos reservados.
 Capítulo 1 - Proceso de Auditoría de
Sección Dos: Contenido Sistemas de Información CISA
3870 Documentación de trabajo de aseguramiento y auditoría de
TI
3875 Documentación y confirmación de hallazgos de
aseguramiento y auditoría de TI
3880 Evaluación de resultados y desarrollo de
recomendaciones
3890 Reporte efectivo de aseguramiento y auditoría de TI
3892 Reporte de recomendaciones de aseguramiento y
auditoría de TI
3894 Reporte de revisiones de consultoría de TI

1.4 ANÁLISIS DE RIESGOS

El análisis de riesgos es parte de la planificación de auditoría y
ayuda a identificar los riesgos y las vulnerabilidades para que
el auditor de SI pueda determinar los controles necesarios para
mitigar los riesgos.

Entender la relación entre riesgo y control es importante para los

profesionales de auditoría y control de SI al evaluar los procesos
de negocio relacionados con TI utilizados por una organización.
Los auditores de SI deben ser capaces de identificar y diferenciar
los tipos de riesgo y los controles usados para mitigarlos. Deben
tener conocimiento de los riesgos comunes del negocio, riesgos
de TI relacionados y controles relevantes. También deben ser

Manual de Preparación al Examen CISA 2012

ISACA. Todos los derechos reservados.