NORMAS GENERALES DE

AUDITORÍA DE SISTEMAS

ISACA
S1 - Estatuto
El propósito, responsabilidad,
autoridad y rendición de cuentas
de la función de auditoría de
sistemas de información o de las
asignaciones de auditoría de
sistemas de información deben
documentarse de manera
apropiada en un estatuto de
auditoría o carta de compromiso.

El estatuto de auditoría o la carta

de compromiso deben ser
aceptados y aprobados en el
nivel apropiado dentro de la
organización.
S1 - Estatuto
● El estatuto de auditoría debe someterse a una revisión
anual, o con mayor frecuencia si varían o cambian las
responsabilidades.
● El auditor interno de SI puede utilizar una carta de
compromiso para aclarar o confirmar su participación en
tareas específicas de auditoría o de no auditoría.
● Para el caso de una auditoría externa de SI, debe
prepararse una carta de compromiso para cada tarea de
auditoría o de no auditoría.
● El estatuto de auditoría o la carta de compromiso deben
comunicar el propósito, la responsabilidad y las limitaciones
de la función o de la auditoría asignada.
● El estatuto de auditoría o la carta de compromiso deben
revisarse periódicamente para garantizar que el propósito y
la responsabilidad hayan sido documentados.
S2 - Independencia
Independencia profesional
En todos los aspectos relacionados con la auditoría, el auditor
de SI debe ser independiente del auditado, tanto en actitud
como en apariencia.

Independencia organizacional
La función de auditoría de SI debe ser independiente del área o
actividad que se está revisando para permitir una conclusión
objetiva de la tarea que se audita.
S2 - Independencia
El estatuto de auditoría debe considerar la independencia y la
responsabilidad de la función de auditoría.

El auditor de SI debe ser, y aparentar ser, independiente tanto

en actitud como en apariencia en todo momento.

Si la independencia se ve menoscabada de hecho o en

apariencia, los detalles de dicho menoscabo deben informarse
a las partes interesadas.

El auditor de SI debe ser independiente del área que se va a

auditar.

La independencia debe ser evaluada por el auditor de SI, por

la gerencia y por el comité de auditoría, en caso de que éste se
haya establecido.
S3 - Ética y normas profesionales (Labán)
❖ El auditor de SI debe cumplir con el Código de Ética
Profesional de ISACA actualizado
❖ El incumplimiento del Código de Ética Profesional de
ISACA.
❖ Comunicación de los miembros de ISACA y los
auditores de SI con los miembros de su equipo y
asegurar que éstos cumplan con el Código de Ética
Profesional .
❖ El auditor de SI debe mantener el más alto grado de
integridad y conducta.
❖ El cumplimiento de las guías de ética profesional o de
las Normas de Auditoría de SI se ve menoscabado o
parece menoscabado, el auditor de SI debe considerar
suspender su participación
S4 - Competencia profesional (Violeta)
● Los Auditores de SI deben cumplir con las
responsabilidades profesionales del codigo de etica.
● El auditor de SI debe ser profesionalmente competente
y tener las destrezas y los conocimientos para realizar
la tarea de auditoría.
● El auditor de SI debe mantener competencia
profesional por medio de una apropiada educación y
capacitación profesional continua.
S5 - Planeación (Hitler)
El objetivo de esta norma es establecer y brindar normas para así
poder dar asesoría en la planeación de una auditoría.

Estándares:
● Planificar de modo que pueda cumplir con los objetivos, leyes aplicables y
normas profesionales de auditoría.
● Desarrollar y documentar un enfoque de auditoría basada en riesgos.
● Elaborar un plan que detalle los objetivos de la auditoría (plazos, alcance y
recursos)
● Desarrollar un programa o un plan de auditoría detallando la naturaleza,
los plazos y el alcance de los procedimientos requeridos para completar la
auditoría.
S6 - Realización de labores de auditoría
(Persy)

Supervisión
El personal de auditoría de los sistemas de información debe recibir la
supervisión apropiada para proporcionar la garantía de que se cumpla
con los objetivos de la auditoría y que se satisfagan las normas
aplicables de auditoría profesional.

Evidencia
Durante el transcurso de una auditoría, el auditor de sistemas de
información deberá obtener evidencia suficiente, confiable, relevante y
útil para lograr de manera eficaz los objetivos de la auditoría. Los
hallazgos y conclusiones de la auditoría se deberán apoyar por medio de
un análisis e interpretación apropiados de dicha evidencia.
S7 - Reporte (Yerli)
Contenido y forma del reporte

el auditor debe suministrar un

informe, evidencia de auditoría
suficiente,
el informe debe:
formato apropiado, identificar a la
organización, indicar los hallazgos
conclusiones y recomendaciones

un auditor puede realizar cualquiera de las siguientes

acciones: Auditoría, Revisión, procedimientos acordados
S8 - Actividades de seguimiento (Hayde)
Para realizar las actividades de seguimiento se toma en cuentas las DIRECTRICES ya que estas
ayudan a la implementación o mejora de los estándares

Herramienta COBIT

● Es utilizada como fuente de asesoramiento que ayuda a las Organizaciones a crear un

valor óptimo a partir de la TI

● Proporciona técnicas de control para la administración y gestión de los sistemas de

información
● Cobit es utilizada por la gerencia de la empresa y la gerencia de TI

COBIT inculye:

● Objetivos de Control
● Practicas de Control
● Directrices de Auditoria
● Directrices Gerenciales
S9 - Irregularidades y acciones ilegales
(Miguel)
❖ El propósito de este estándar de ISACA es
establecer y proporcionar asesoría sobre
irregularidades y acciones ilegales que el
auditor de SI debe tener en cuenta durante
el proceso de auditoría.

❖ el auditor debe reportar todas las

irregularidades que detecte en la auditoría
y reportarlos en caso de recabar suficiente
evidencia que respalde su declaración.
S10 - Gobernabilidad de TI (Jerry)

Es una estructura de relaciones y procesos que ayudan a dirigir y

controlar la empresa para lograr las metas, agregando valor
mediante el equilibrio/balance entre el riesgo vs entorno sobre
las tecnologías de información y sus procesos.

BENEFICIOS
•Resultados de TI alineados con el Negocio.
•Generación de ventajas competitivas para la
organización.
•Administración inteligentemente del riesgo.
•Identificación cuantitativa y cualitativa del
Desempeño de TI.
•Gestión Efectiva de los Recursos.
•Alineación de esfuerzos Estratégicos + Tácticos +
Operativos.
S11 - Evaluación de riesgos (Santos)
Uso de la evaluación de riesgos en la PLANEACIÓN DE AUDITORÍA

Establecer normas. Riesgo: es un evento que al

materializarse puede hacer
que una compañía o un
Evaluación de riesgos. proceso no cumpla con sus
objetivos.

RIESGO INHERENTE:
RIESGO DE CONTROL:
Riesgos que impiden que las
RIESGO DE DETECCIÓN:
organizaciones cumplan
Unidades auditables con sus Objetivos

Riesgos de Negocio
Planificación estratégica:
Riesgo de fraude
Planificación detallada:

Riesgos de Procesos
S12 - Materialidad de auditoría (Oscar)
Estándares:
•Es establecer y proporcionar una guía con respecto al concepto materialidad
de la auditoría y su relación con el riesgo de auditoría.
•Mientras planifica la auditoría, el auditor de SI debe considerar las posibles
debilidades o la ausencia de controles, y si tales debilidades o ausencias de
controles pueden ocasionar una deficiencia importante o una debilidad material
en el sistema de información.
Guía Adicional
•El riesgo de auditoría es el riesgo de que el auditor de SI llegue a una
conclusión incorrecta basándose en los hallazgos de auditoría
•Mientras planifica y realiza la auditoría, el auditor de SI debe intentar reducir el
riesgo de auditoría a un nivel aceptablemente bajo y cumplir con los objetivos
de la auditoría. Todo esto se logra mediante la evaluación SI.
S13 - Uso de otros expertos (Beatriz)
El propósito de este Estándar de Auditoría de SI es establecer
y proporcionar asesoramiento al auditor de SI que utilice el
trabajo de otros expertos durante una auditoría.

Cuando hablamos de expertos puede ser interno o externo de

la empresa, otros pueden ser también:
 S14 - Evidencia de auditoría (Heber)
Deben tenerse en cuenta propiedades tales como la fuente, naturaleza y
autenticidad de la evidencia de auditoría al evaluar su nivel de fiabilidad.

El auditor de SI debe considerar la forma más económica de recopilar la

evidencia necesaria para satisfacer los objetivos y riesgos de la auditoría.
Sin embargo, la dificultad o coste no es una razón válida para omitir un
proceso necesario.

El auditor obtiene evidencia de auditoría por uno o más de los siguientes

procedimientos: inspección, observación, investigación y confirmación,
procedimientos de cómputo y analíticos.

Objetiva y suficiente para permitir que un tercero independiente repita la

ejecución de las pruebas y obtenga los mismos resultados.

Protegerse de accesos y modificaciones no autorizados.

S15 - Controles (Mical)

Conjunto de Disposiciones metódicas,cuyo fin es vigilar las funciones y

actitudes de las empresas y para ello permite verificar si todo se realiza
conforme a los programas adoptados, órdenes impartidas y principios
admitidos.

Tipos de Controles:
● Controles Preventivos: son aquellos que reducen la frecuencia con
que ocurren las causas del riesgo.

● Controles Detectivos: Son aquellos que no evitan que ocurran las

causas del riesgo sino que las detecta luego de ocurridos. Sirven
para evaluar la eficiencia de los controles preventivos.

● Controles Correctivos: Ayudan a la investigación y corrección de la

causa del riesgo. La corrección adecuada puede resultar difícil e
ineficiente siendo necesaria la implantación de controles detectivos
sobre los controles correctivos,debido a que la corrección de errores
es en si una actividad altamente propensa a errores.
S16 - Comercio electrónico (Oscar A)

El auditor de SI debe evaluar los controles aplicables, y

cotejar los riesgos al revisar entornos de comercio
electrónico, para asegurar que las transacciones de
comercio electrónico están correctamente controladas.