Professional Documents
Culture Documents
1. ANTECEDENTES.
1.1.1 Norma S6 actuación de la realización de las labores de auditoria "Durante el curso de la auditoria, el auditor de SI debe obtener
evidencia suficientes, fiables y relevantes para lograr los objetivos de la auditoria. Los resultados de la auditoria y las conclusiones
han de ser apoyadas por un análisis adecuado y la interpretación de esta evidencia”.
1.1.2 Norma S9 irregularidades y actos ilícitos de los estados “El auditor de SI debe obtener pruebas suficientes y adecuados para
determinar si la administración u otros dentro de la organización tiene conocimiento de irregularidades real, supuesta o
sospechada y actos ilegales "
1.1.3 S13 estándar con el trabajo de otros expertos de los estados “El auditor de SI debe proporcionar la opinión de auditoría adecuada
e incluyen la limitación del alcance que las pruebas requeridas no se obtiene a través de procedimientos de ensayo adicionales”.
1.1.4 Estándar S14 evidencia de auditoría de los estados “El auditor debe obtener pruebas suficientes y adecuadas para sacar
conclusiones razonables en que basar los resultados de auditoría. El auditor debe evaluar la suficiencia de las pruebas de auditoría
obtenidas durante la auditoría”
1.1.5 Procedimiento P7 irregularidades y actos ilegales estados "Aunque el auditor de SI no tiene la responsabilidad explícita de
detectar o prevenir las irregularidades, el auditor de SI debe evaluar el nivel de riesgo de posibles irregularidades. El resultado de
la evaluación de riesgos y otros procedimientos realizados durante la planificación se debe utilizar para determinar la naturaleza,
magnitud y oportunidad de los procedimientos realizados durante el enfrentamiento.
1.2.1 ME 2.3 excepciones de control de los estados “Información de expediente sobre todas las excepciones de control y asegurarse de
que conduce a un análisis de la causa subyacente y las medidas correctivas. La gestión debe decidir qué excepciones deben ser
comunicadas a la persona responsable de la función y que las excepciones deben ser escalado. Administración también es
responsable de informar a las partes afectadas”.
2. PLANEACION.
2.1.1 Para una descripción de la evidencia adecuada, fiable y suficiente, consulte la sección de comentarios en S14 estándar.
2.1.2 Al planificar el trabajo de auditoría SI, el auditor de SI debe tener en cuenta el tipo de evidencia de auditoría que se reunieron, su
utilización como pruebas de auditoría para cumplir los objetivos de auditoría y sus diversos niveles de fiabilidad. Entre las cosas
que deben considerarse son la independencia y la capacidad profesional del prestador de las pruebas de auditoría. Por ejemplo, la
evidencia de auditoría que corrobora de una tercera parte independiente puede ser más confiable que la evidencia de auditoría de
la organización auditada. Pruebas de auditoría física es generalmente más fiables que las representaciones de un individuo.
2.1.3 El auditor también debe considerar si las pruebas de los controles ha sido completada y confirmada por un tercero independiente y
si se puede confiar en las pruebas.
2.1.4 Entre los distintos tipos de evidencia de auditoría que el auditor de SI debe considerar se incluyen:
• Los procesos observados y la existencia de elementos físicos
• Pruebas de auditoría documental
• Representaciones
• Análisis
2.1.5 Procesos observados y la existencia de elementos físicos pueden incluir observaciones de las actividades, la propiedad y
funciones de SI, tales como:
• Un inventario de los medios de comunicación en un lugar de almacenamiento fuera de sitio.
• Una sala de seguridad del sistema informático en la operación
2.1.6 Pruebas de auditoría documental, grabado en papel o por otros medios, pueden incluir:
• Resultados de las extracciones de datos
• Los registros de las transacciones
• Listados de programas
• Facturas
• Actividad y el control de los registros
• Documentación de desarrollo del sistema
2.1.7 Las representaciones de los que están siendo auditadas pueden ser evidencia de auditoría, tales como:
• Las políticas y procedimientos escritos
• Sistema de diagramas de flujo
• Declaraciones escritas u orales
2.1.8.1 Los resultados del análisis de la información a través de comparaciones, simulaciones, cálculos y razonamiento también se puede
utilizar como evidencia de auditoría. Los ejemplos incluyen:
• La evaluación comparativa es el rendimiento contra otras organizaciones o períodos anteriores
• Comparación de las tasas de error entre aplicaciones, transacciones y usuarios
2.2.1 El auditor de SI debe considerar el tiempo durante el cual la información existe o está disponible en la determinación de la
naturaleza, el tiempo, el alcance de las pruebas de fondo y, si procede, las pruebas de cumplimiento. Por ejemplo, la evidencia de
auditoría elaborados por el intercambio electrónico de datos (EDI), procesamiento de imágenes de documentos (DIP) y los
sistemas dinámicos, tales como hojas de cálculo puede no ser recuperable después de un período de tiempo especificado si los
cambios de los archivos no están controlados o los archivos no están respaldados arriba. Disponibilidad de la documentación
también se podrían ver afectados por las políticas de retención de la compañía documento.
2.3.1 El auditor de SI debe planear el uso más adecuado, confiable y suficiente evidencia de auditoría posible y en consonancia con la
importancia del objetivo de la auditoría y el tiempo y el esfuerzo necesarios para obtener los datos de auditoría.
2.3.2 Cuando las pruebas de auditoría obtenida en forma de representaciones orales es esencial para el dictamen de auditoría o de
conclusión, el auditor de SI debería considerar la obtención de la confirmación documental de las representaciones, ya sea en
papel o por otros medios. El auditor debe también considerar otras pruebas para corroborar estas representaciones para garantizar
su fiabilidad.
4. PRESENTACIÓN DE INFORMES
4.1 Restricción del alcance.
4.1.1 En las situaciones en que el auditor cree que no puede obtenerse la evidencia de auditoría suficiente, El auditor de SI debe revelar
este hecho de forma coherente con la comunicación de los resultados de la auditoría.
5. FECHA DE VIGENCIA
5.1 Esta directriz es efectiva para todas las auditorías de los sistemas de información que comiencen a partir del 1 de diciembre de
1998. La guía ha sido revisada y actualizada a partir del 1 mayo de 2008.
G6 CONCEPTO DE MATERIALIDAD PARA LA AUDITORIA DE SISTEMAS DE INFORMACION
1. ANTECEDENTES
1.1.1 Estándar S5 Planeación, El auditor de SI debe planear la cobertura de la auditoría de sistemas de información para cubrir los
objetivos de la auditoria y cumplir con las leyes aplicables y las normas profesionales de auditoría.
1.1.2 Estándar S10 Gobierno TI, establece que auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales,
ambientales, y de la calidad de la información, así como los requisitos de fiduciario y seguridad.
1.1.3 Estándar S12 Materialidad de La Auditoría. El auditor de SI debe considerar la materialidad de la auditoría y su relación con el
riesgo de auditoría a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditoría.. Mientras
planifica la auditoría, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o
ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de información. El
auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles
que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de información.
1.1.4 Estándar S9 Irregularidades y Acciones Ilegales, Si el auditor de SI ha identificado una irregularidad material o acción ilegal que
involucra a la gerencia o a empleados que tienen funciones significativas en el control interno, el auditor de SI debe comunicarlo
sin demora a los responsables del gobierno corporativo.
1.2.1 El PO5 ( Planear y Organizar) Administrar la Inversión en tecnología de información "satisface el requisito comercial para la TI de
continuamente y demostrablemente mejorando la eficiencia costada de tecnología de la información y su contribución para la
rentabilidad comercial con servicios integrados y estandarizados en los que satisfacen las expectativas de usuarios finales
enfocando la atención en decisiones efectivas y de tecnología de la información de eficiente inversión y del portafolio, y
sedimentándose y rastreando presupuestos de TI en conformidad con la estrategia de tecnología de la información y las decisiones
de inversión"
1.2.2 AI1. Identificar soluciones automatizadas "satisface el requisito comercial para las TI de traslado de negocios funcionales y
requerimientos de controles en un efectivo y eficiente desempeño de soluciones automatizadas enfocando la atención en identificar
técnicas factibles y eficientes en base a costos"
1.2.3 DS10 Administración de problemas "satisface el requisito comercial para la tecnología de la información de" usuarios finales "que
asegura la satisfacción con servicio ofrecidos y los niveles de servicio; Reducir entrega de solución y de servicio defectuosos y
revisión enfocado en la atención esperada, rastreando y resolviendo problemas operacionales; Investigando la raíz de la causa de
todos los problemas significativos; Y definiendo soluciones para problemas identificados de operaciones "
1.2.4 DS13 Administración de operaciones “ satisface el requisito comercial para los TI de integridad de mantenimiento de los datos
integrados y asegurando que la infraestructura de los TI pueda resistir al encubrimiento de errores y fracasos enfocando la
atención en encontrando niveles operacionales de servicio para datos programados en proceso, protegiendo las salidas sensitiva,
y monitoreando el mantenimiento de la infraestructura"
1.2.5 El ME4 Proporcionar Gobierno de TI " satisface el requisito comercial para la TI integrando el gobierno de TI con objetivos
corporativos de gobierno; Accediendo a leyes y regulaciones enfocado en la preparación de reportes en estrategias de TI, para
acciones y riesgos; y respondiendo a los requisitos de gobierno en conformidad con instrucciones de la dirección”
1.2.6 La selección del material más pertinente en COBIT aplicable para el alcance de la auditoría particular se basa en la elección de
procesos específicos de tecnología de la información COBIT y consideración de objetivos de control de COBIT y asociadas con las
actividades de la gerencia. Para responsabilizarse por la materialidad del concepto de auditoria de sistemas de información, por el
auditor de SI, los procesos en COBIT más probable para ser pertinente, seleccionados y adaptados están clasificados como
primarios y secundarios como sigue. el proceso y control de los objetivos para ser seleccionados y adaptados puede variar
dependiendo del alcance específico y las condiciones de referencia de la asignación..
1.2.8 Los criterios de información más pertinentes para auditar materialidad son:
2. NECESIDAD DE LINEAMIENTO
2.1.1 A diferencia de los auditores financieros, los auditores de sistemas de información requieren un criterio diferente para medir la
importancia relativa. Los auditores financieros la medida de importancia es normalmente en términos monetarios, ya que lo que la
auditoria también se mide y se comunicó en términos monetarios. Los auditores de sistemas de información normalmente realizan
auditorias de los productos no financieros, E.G, controles de acceso físico, controles de acceso lógico, los controles de cambio de
programa y los sistemas de administración de personal, control de fabricación, diseño, control de calidad, la generación de
contraseñas, la producción de tarjetas de crédito y de atención al cliente, Por tanto, los auditores de sistemas de información
necesitan la orientación sobre cómo la importancia relativa que deben ser evaluada para planificar sus auditorias de manera
efectiva, cómo concentrar sus esfuerzos en las zonas de alto riesgo y cómo evaluar la gravedad de los errores o insuficiencias
detectadas.
2.1.2 Esta guía ofrece una orientación en la aplicación de las normas de auditoría sobre la importancia relativa en la auditoría. El auditor
de SI debe considerar la determinación de la forma de lograr la aplicación de la citada norma, utilizando el juicio profesional en su
aplicación y estar preparado para justificar cualquier desviación
3 PLANEACION
3.1 Evaluación de la materialidad
3.1.1 La evaluación de lo que es material es una cuestión de juicio profesional y se incluye el examen de los efectos y/o el efecto
potencial sobre la capacidad de la organización para cumplir sus objetivos de negocio en caso de errores, omisiones,
irregularidades y actos ilegales que puedan surgir como resultado de deficiencias de control en la zona objeto de la auditoría.
3.1.2 Para la evaluación de la materialidad, el auditor de SI debe tener en cuenta:
• El nivel global de error aceptable para la gestión, el auditor de SI, otros organismos reguladores e interesados
• El potencial de pequeños errores acumulativos o debilidades convertidas en material.
3.1.3 Para cumplir con los objetivos de la auditoría, el auditor de SI debe identificar los objetivos de control pertinentes y, con base en la
tasa de tolerancia al riesgo, determinar lo que debe ser examinado. Con respecto a un objetivo específico de control, un control
material es un grupo de control o de los controles sin que los procedimientos de control no ofrecen garantías suficientes de que el
objetivo de control se cumplirán.
3.1.4 Cuando el objetivo de la auditoría se refiere a los sistemas o las operaciones que procesan las transacciones financieras, medida
que el auditor financiero de importancia deben ser considerados al mismo tiempo la realización de la SI de auditoría.
3.1.5 El auditor SI debe determinar el establecimiento de funciones y responsabilidades, así como una clasificación de los activos de
información en términos de confidencialidad, disponibilidad e integridad, reglas de control de acceso sobre los privilegios de
gestión y clasificación de la información basada en el grado de criticidad y riesgo de exposición. La evaluación debe incluir la
verificación de:
• La información almacenada
• El hardware de sistemas de información.
• La arquitectura y el software de sistemas de información
• La infraestructura de la red de los sistemas de información.
• Las operaciones de los sistemas de información
• El Desarrollo y medio ambiente de prueba
3.1.6 El auditor SI debe determinar si la deficiencia de TI en general podrían convertirse en material. La importancia de estos controles
deficientes de TI en general deben ser evaluados en relación a su efecto en los controles de aplicación, I. e, si los controles de
aplicación asociados también son ineficaces. Si la deficiencia es causada por la aplicación de control de la TI en general, a
continuación, son materiales. Por ejemplo, si una aplicación basada en el cálculo de impuestos es materialmente mal y fue
causado por los controles de cambio de los pobres a las tablas de impuestos, la aplicación basada en el control (cálculo) y el
control general (cambios) son materialmente débiles.
3.1.7 El auditor de sistemas de información debe evaluar una deficiencia de control de TI en general en relación a su efecto en los
controles de aplicación y cuando se suman en contra de las deficiencias de control. Por ejemplo, una decisión de gestión para
corregir una deficiencia de los controles de TI en general y su reflexión sobre el medio ambiente asociados pueden convertirse en
material de control, sumados a las deficiencias de control que afectan el entorno de control.
3.1.8 El auditor de sistemas de información también debe tener en cuenta que el fracaso para remediar una deficiencia podría llegar a
ser material.
3.1.9 El auditor de sistemas de información debería considerar la posibilidad de obtener cierre de emisión de las partes interesadas
apropiadas admitiendo que han revelado la debilidad material existente que se dan dentro de la organización.
3.1.10 Los siguientes son ejemplos de medidas que se deben considerar para evaluar la importancia relativa:
• Importancia de los procesos de negocios apoyados por el sistema de operación
• Número de gerentes y directores que trabajan con los sistemas de información clasificados por los privilegios
• El costo del sistema o la operación (hardware, software, personal, servicios de terceros, los gastos generales o una
combinación de estos)
• El costo potencial de errores (posiblemente en términos de pérdida de ventas, reclamos de garantía, los costos de desarrollo
irrecuperables, , el costo de publicidad requerido para advertencias, la rectificación cuesta, salud y la seguridad cuesta,
innecesariamente costos de producción altos, derroche alto, etc.)
• Costo de la pérdida en términos de información crítica y vital de dinero y tiempo para reproducir se
• La efectividad de contramedidas
• La naturaleza y cantidades de materiales manipulados (por ejemplo, donde se registran los movimientos de inventario, sin
valores)
• Los requisitos del Acuerdo de Servicio nivel y costo de las sanciones posibles
3.1.11 Los fracasos de control potencialmente pueden conducir al perjuicio económico, la posición competitiva, la pérdida de confianza o
la pérdida de reputación, con la excepción de dañar la imagen corporativa. El auditor de sistema debe evaluar los riesgos frente a
las posibles contramedidas.
4 PRESENTACION DE INFORMES
4.1 Identificación de cuestiones notificables.
4.1.1 Determinando los descubrimientos, conclusiones y las recomendaciones a ser reportado, el auditor de Sistema Información debería
considerar la materialidad de cualquier error que podría obtenerse como resultado de las debilidades de controles.
4.1.2 La auditoría es usada por la gerencia para obtener una declaración de seguridad de controles de SI, La suficiencia de controles
debe identificar una opinión incompetente es decir que los controles estén de conformidad con los controles generalmente
aceptados en la practica para responsabilizarse por los objetivos de control, falta de cualquier prácticas de control material para
responsabilizarse por los objetivos de control, falta de cualquier debilidad material de control.
4.1.3 Una de las debilidades de control debe ser considerado importante y, por consiguiente, notificada, si la ausencia del resultado de
control en el fracaso para proveer seguridad razonable del objetivo de control será por el que se responsabilizó. Si el trabajo del
auditor identifica debilidades materiales de control, entonces el auditor de SI debería considerar dar una opinión adversa conforme
al objetivo de la auditoría.
4.1.4 Dependiendo de los objetivos de la auditoría, el auditor de SI debería de considerar reportar las debilidades a la gerencia que no
son materiales, particularmente cuándo el costo de fortalecer los controles andan bajos.
5. FECHA DE VIGENCIA
5.1 Esta Guía será efectiva para todo comienzo de auditoría de SI antes o después del 1 de septiembre de 1999. La Guía ha sido
revisada y actualizada al 1 de septiembre de 2008.
G8 DOCUMENTACION DE AUDITORIA
1. ANTECEDENTES
El auditor de SI debe desarrollar y documentar un plan de auditoria que detalle la naturaleza y los objetivos de la auditoria,
los plazos y alcance, así como los recursos requeridos.
1.1.2 Norma de auditoria de SI Realización de Labores de auditoria (Documento No. S6)
Durante el transcurso de la auditoria, el auditor de SI debe obtener evidencia suficiente, confiable y pertinente para alcanzar los
objeticos de auditoria. Los hallazgos y conclusiones de la auditoria deberán ser soportados mediante un apropiado análisis e
interpretación de dicha evidencia. El proceso de auditoria deberá documentarse describiendo las labores de auditoria realizadas y la
evidencia de auditoria que respalde los hallazgos y conclusiones del auditor de SI.
El auditor de SI debe suministrar un informe en un formato apropiado, al finalizar la auditoria. El informe de auditoria deberá indicar el
alcance, los objetivos, el periodo de cobertura y la naturaleza, plazo y extensión de las labores de auditoria realizadas. El informe
debe indicar los hallazgos, conclusiones y recomendaciones, así como cualquier reserva, calificación o limitación que el auditor de SI
tuviese en cuanto al alcance de la auditoria. Al emitirse el informe del auditor de SI debe ser firmado, fechado y distribuido de
acuerdo con los términos del estatuto de auditoria o carta de compromiso.
El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias,
así como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.
1.1.5 Norma de auditoria de SI Uso del trabajo de otros expertos (Documento No. S13)
El auditor de Si debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de
SI saque sus conclusiones con respecto a los objetivos actuales de la auditoria. Dicha conclusión debe documentarse claramente.
1.2.1 PO1 Definir un plan estratégico de TI, satisface el requisito de negocio de TI de mantener o ampliar la estrategia de negocio y los
requisitos de gobierno mientras que ser transparentes acerca de los beneficios, los costos y los riesgos, centrándose en la
incorporación de TI y la gestión empresarial en la traducción de los negocios a requisitos en las ofertas de servicios y el desarrollo
de estrategias para ofrecer estos servicios de manera transparente y eficaz.
1.2.2 PO8 gestión de la calidad, satisface el requisito de negocio de TI de continuo y mensurables la mejora de la calidad de los servicios
prestados por IT se centra en la definición de sistema de gestión de la calidad (SGC), supervisión de la ejecución en curso contra
objetivos definidos y aplicación de un programa de mejora continua de servicios de TI.
1.2.3 AI6 Administrar cambios, satisface el requisito de negocio de TI de responder requisitos en la alineación con la estrategia de
negocios, mientras que la reducción de la solución y la prestación de servicios defectos y trabajo, centrándose en la evaluación de
impacto de control, la autorización y ejecución de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas,
minimizando los errores debidos a la solicitud incompleta, y detener la aplicación de cambios no autorizados.
1.2.4 DS1 Definir y gestionar el servicio, satisface el requisito de negocio de TI para garantizar la alineación de los principales servicios
de TI con la estrategia de negocio, centrándose en la identificación de necesidades de servicio, de acuerdo los niveles de servicio y
control de la consecución de niveles de servicio.
1.2.5 ME2 Supervisar y evaluar el control interno, cumple el requisito de negocio de TI de la protección del logro de los objetivos de TI y
el cumplimiento de TI relacionados con las leyes y reglamentos, centrándose en seguimiento del control interno de los procesos de
TI relacionados con las actividades y la identificación acciones de mejora.
1.2.6 ME3 Asegurar el cumplimiento reglamentario, cumple el requisito de negocio de TI para el cumplimiento de las leyes y
reglamentos, centrándose en la identificación de todas las leyes y reglamentos aplicables y el correspondiente nivel de
cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no - conformidad.
1.3.1 El propósito de esta guía es describir la documentación que el auditor de SI debe preparar y mantener para apoyo de la auditoría.
1.3.2 Esta guía ofrece orientación en la aplicación de las normas de auditoría IS. El auditor debe considerar determinar la forma de lograr
la aplicación de las normas anteriores, usar el juicio profesional en su aplicación y estar preparado para justificar cualquier
desviación.
2. PLANIFICACIÓN Y EJECUCIÓN
2.1.3 El alcance de la documentación del auditor depende de las necesidades de una auditoría especial y debe incluir cosas tales como:
• La comprensión del auditor de las áreas a auditar y su entorno.
• La comprensión del auditor de los sistemas de procesamiento de la información y el control interno de medio ambiente,
incluido el:
Entorno de control
Las pruebas de fondo, que se basan en procedimientos analíticos, los saldos de las cuentas detalladas de ensayo y
otros procedimientos sustantivos de auditoría.
• Acuse de recibo de la persona adecuada de la recepción del informe de auditoría y los resultados.
• Auditado respuesta a las recomendaciones.
• El control de versiones, sobre todo cuando la documentación está en los medios de comunicación electrónicos.
2.1.4 La documentación debe incluir la información pertinente requerida por la ley, los reglamentos gubernamentales o las normas
profesionales.
2.1.5 La documentación debe ser presentada al comité de auditoría para su revisión y aprobación.
3. DOCUMENTACIÓN
3.1 Custodia, retención y recuperación
3.1.1 Las políticas y procedimientos deben estar en vigencia para comprobar y garantizar la custodia y adecuada conservación de la
documentación que apoya resultados de la auditoría y las conclusiones durante un período suficiente para satisfacción legal,
profesional y de requisitos organizacionales.
3.1.2 La documentación debe ser organizada, almacenada y protegida de forma adecuada en los medios en que se mantiene y debe
seguir siendo fácilmente recuperable por un tiempo suficiente para satisfacer las políticas y procedimientos definidos anteriormente.
4. FECHA DE VIGENCIA
4.1. Esta directriz revisada esta vigente para todas las auditorias que comiencen a partir del 1 de septiembre de 1999. La guía ha sido
revisada y actualizada a partir del 1 marzo de 2008.
El informe de auditoría deberá indicar el alcance, los objetivos, el período de cobertura, y la naturaleza, el calendario y el alcance del trabajo
de auditoría realizado. El informe debe indicar los resultados, conclusiones y recomendaciones y las reservas o las cualificaciones o
limitaciones en el alcance que el auditor de ha con respecto a la auditoría ".
1.1.5 Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones por los auditores es sobre
irregularidades y actos ilícitos.
2. DEFINICIONES
3. RESPONSABILIDADES
3.1 Responsabilidades de administración
3.1.1 Es principalmente la responsabilidad de gestión para prevenir y detectar las irregularidades y actos ilícitos.
3.1.2 Gestión suelen utilizar los siguientes medios para obtener una seguridad razonable de que las irregularidades y actos ilegales
son prevenir o detectar en forma oportuna:
• Diseñar, implementar y mantener sistemas de control interno para prevenir y detectar irregularidades o actos ilegales.
• Los controles internos incluyen la revisión de las transacciones y procedimientos de aprobación y revisión de la gestión.
• Políticas y procedimientos que rigen la conducta de los empleados.
• Validación de cumplimiento y procedimientos de vigilancia.
• Diseñar, implementar y mantener sistemas adecuados para la notificación, registro y gestión de los incidentes relacionados
con irregularidades o actos ilegales.
3.1.3 La gestión debe revelar al auditor de su conocimiento de las irregularidades o actos ilegales y las zonas afectadas, supuesta,
presunta o probada, y la acción, si las hubiere, adoptadas por la administración.
3.1.4 Cuando un acto de irregularidad o ilegalidad se alega, se sospecha ni se detecta, la gestión debería ayudar en el proceso de la
investigación y la indagación.
7. PRESENTACIÓN DE INFORMES
7.1.4 El auditor debe considerar la presentación de informes de la irregularidad por separado de cualquier otros problemas de auditoría
si esto ayudaría en el control de la distribución del informe.
7.1.5 El auditor es el informe debe incluir:
• Las políticas de críticas y prácticas adoptadas por la organización
• Si cualquier desviación de las normas generalmente aceptadas, la razón de la dirección de la desviación y dictámenes del
auditor sobre tales desviaciones
7.1.6 El auditor debe tratar de evitar alertar a cualquier persona que pueda estar implicado o implicados en la irregularidad o acto
ilegal, a la reducir el potencial de los individuos para destruir o eliminar las pruebas.
8 FECHA DE VIGENCIA
8.1 Esta directriz es efectiva para todas las auditorías es que comiencen a partir del 1 de marzo de 2000. Esta guía ha sido revisada
y actualizada, junto con las irregularidades y sustituye G19 y actos ilícitos, a partir del 1 septiembre de 2008.
G13 USO DEL RIESGO DE AUDITORIA EN LA PLANEACION DE LA AUDITORIA
1. ANTECEDENTES
1.2.1. Esta guía puede ser utilizada en combinación con el procedimientos de auditoria de P1 “medición de la evaluación del
riesgo de SI”
1.3.1. La selección del material más relevante en COBIT aplicables al ámbito especial de la auditoría se basa en la elección que
los especifica de los procesos COBIT para procesos de los SI, y las consideraciones de los controles objetivos y las
practicas asociadas de manejo de COBIT. Para cumplir con la documentación de auditoria requeridos para los auditores
de SI, el proceso en COBIT tiene más probabilidades de ser relevante, selectivo, este los clasifica como primarias y
secundarias.
1.3.2. P09 Evaluar y gestionar los riesgos en los SI cumple con los requisitos que demandan los SI de analizar y comunicar los
impactos potenciales en procesos de negocios y las metas por enfoque en el desarrollo de una estructura de manejo de
riesgo, que este integrada con las estructuras de manejo de riesgo operacional, evaluación de riesgo, litigación de riesgo
y la comunicación del riesgo residual.
1.3.3. ME2 Monitorear y evaluar los controles internos, es satisfecho en los negocios por los objetivos de proteger y ejecutar
objetivos de los SI, cumpliendo con las leyes, regulaciones y contratos relativos a estos, enfocándose en monitorear el los
procesos de control interno, para actividades relacionadas con los SI, e identificando oportunidades de mejora.
1.3.4. Referencias Secundarias:
• ME3 Garantías del cumplimiento normativo
• ME4 proveer al gobierno que rigen los SI
1.3.5 Los atributos de la información mas relevantes son:
• Primarios: confidencialidad, integridad, disponibilidad
• Secundarios: Efectividad, eficiencia, cumplimiento y fiabilidad
1.4.1 El nivel del trabajo de auditoria requerido para cumplir un objetivo especifico, es una decisión subjetiva hecha por el auditor
de SI, el riesgo de llegar a una conclusión incorrecta basada en los hallazgos (dentro de auditoria basada en riesgo) es uno
de los aspectos a ser tomados en cuenta por esta decisión. otro seria el considerado riesgo de error ocurrido in el área que
esta siendo auditada (riesgo de Error). Practicas son recomendadas para la evaluación del riesgo en la realización de
auditorias financieras, estas se basan en estándares de auditoria efectuadas por los auditores financieros, pero una guía es
requerida sobre como aplicar dichas técnicas a la auditoria de SI.
1.4.2 Miembros de la administración también basan sus decisiones en cuanto a que nivel de control evaluación del riesgo es
apropiado aceptar. Por ejemplo, la incapacidad de que una computadora no procese un periodo de tiempo, es una
exposición que puede resultar en eventos indeseables e inesperados. Estas exposiciones pueden ser reducidas por una
implementación adecuada de controles. Estos controles son ordinariamente, basados en estimaciones probabilísticas de
ocurrencia de eventos adversos, y están destinados a disminuir estos. Por ejemplo, una alarma de fuego no previene el
fuego, pero esta destinada a reducir el daño causado por este.
1.4.3 La presente guía provee el lineamiento aplicación de los estándares de auditoria de SI. El auditor en SI debe considerar
esta, al determinar como lograr una implementación de los estándares S5 y S6, deberá usar su juicio profesional para esta
tarea, y deberá estar preparada para justificar cualquier desviación.
2 PLANEACIÓN.
2.5.3 A un mayor riesgo de control se necesita mayor control y evidencia de auditoria. La mayor parte de la evidencia de auditoria debe
obtenerse de los procedimientos sustantivos y de detalle.
3.1 DOCUMENTACION
El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para realizar la auditoría.
El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias, experiencia relevante,
recursos, independencia y procesos de control de calidad de otros expertos, antes de su contratación.
El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluir el grado de
utilidad y la fiabilidad del trabajo del experto.
El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el
auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoría. Dicha conclusión debe documentarse
claramente.
El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditoría suficiente y apropiada
en circunstancias en las que el trabajo de otros expertos no la proporciona.
3.1.1 El auditor de SI debe considerar documentar las técnicas o metodologías utilizadas para la evaluación del riesgo, usadas para la
auditoria en cuestión. La documentación por lo general debería incluir:
• Una descripción de la metodología de evaluación del riesgo utilizada
• La identificación de exposiciones significantes y sus correspondientes riesgos
• El riesgo y sus exposiciones, que la auditoria proponer abordar
• La evidencia de auditoria utilizad apara respaldar la evolución del riesgo del auditor de SI.
El auditor de SI debe considerar la incorporación de otros expertos durante la auditoría cuando existan limitaciones que pudieran
perjudicar el trabajo de auditoría a realizar o cuando se anticipe una ganancia en la calidad de la misma. Algunos ejemplos
incluyen los conocimientos requeridos debido a la naturaleza técnica de las tareas que deben realizarse, escasos recursos de
auditoría y restricciones de tiempo.
Un “experto” podría ser un auditor de SI procedente de una empresa contable externa, un consultor gerencial, un experto de TI o
un experto en el área de la auditoría que ha sido nombrado por la alta gerencia o por el equipo de auditoría de SI.
Un experto podría ser interno o externo a la organización. Si un experto es contratado por otra parte de la organización, se puede
confiar en el informe del experto. En algunos casos, esto puede disminuir la necesidad de cobertura de auditoría de SI aunque el
auditor de SI no tenga acceso a la documentación de apoyo y a los documentos de trabajo. El auditor de SI debe tener cuidado al
proporcionar una opinión en tales casos
4. FECHA EFECTIVA
4.1 esta guía entrara en vigencia para todos las auditorias de SI comenzadas en o después del 1 de septiembre de 2000. La guía ha
sido revisada y actualizada a la fecha de agosto 2008
G15 PLANIFICACIÓN
1. ANTECEDENTES
1.1.1 Norma S5 Planificación, "El auditor debe planificar la cobertura de la auditoría de sistemas de información para abordar los
objetivos de auditoría y para cumplir con las leyes y normas profesionales de auditoría."
1.2.1 El propósito de esta guía es definir los componentes del proceso de planificación como se indica en el estándar de la S5 IS
normas de auditoría.
1.2.2 Esta guía también ofrece para la planificación en el proceso de auditoría para cumplir los objetivos fijados por COBIT.
2. PLANIFICACIÓN
2.1.1 Esta directriz se refiere a un proyecto de auditoría específicos en lugar de el plan completo de un departamento de auditoría o de
grupo.
2.1.2 El auditor debe desarrollar un plan de auditoría que tiene en cuenta los objetivos de la entidad auditada relativos al área de
auditoría y de su infraestructura tecnológica. En su caso, El auditor también debe considerar el área en estudio y su relación con
la organización (estratégico, financiero y / o de derecho) y obtener información sobre el plan estratégico, incluido el plan
estratégico.
2.1.3 El auditor debe tener una comprensión de la arquitectura de la información de la entidad auditada y de la dirección tecnológica de
la entidad auditada para que puedas diseñar un plan adecuado para el presente y, en su caso, la tecnología de futuro de la
entidad auditada.
2.1.5 Una evaluación de riesgos y la priorización de los riesgos identificados para el área en estudio y de la organización es el medio
ambiente deben llevarse a cabo en la medida necesaria. Véase la Auditoría de la Orientación G13 Uso de evaluación de riesgos
en la planificación de auditoría.
2.2.1 Antes del comienzo de un proyecto de auditoría, la labor del auditor de SI debe ser planificado de una manera apropiada para
alcanzar los objetivos de la auditoría. Como parte del proceso de planificación es auditores deben obtener una comprensión de
la organización y sus procesos. Además de dar el auditor de la comprensión de las operaciones de la organización y sus
necesidades es, este ayudará al auditor de determinar la importancia de los recursos es objeto de revisión en lo que respecta a
los objetivos de la organización. auditores también deben establecer el alcance del trabajo de auditoría y realizar una evaluación
preliminar de control interno sobre la función de una revisión.
2.2.2 El grado de conocimiento de la organización y sus procesos requeridos por el auditor de será determinado por la
naturaleza de la organización y el nivel de detalle con el que el trabajo de auditoría se está realizando. El auditor puede requerir
conocimientos especializados cuando se trata de operaciones inusuales o complejos. Un conocimiento más amplio de la
organización y sus procesos normalmente será necesaria cuando el objetivo de la auditoría comprende una amplia gama de
funciones de sistema de información más que cuando los objetivos son para funciones limitadas. Por ejemplo, una revisión con
el objetivo de evaluar el control de sistema de nómina de una organización normalmente requeriría un entendimiento más
profundo de la organización de una revisión con el objetivo de las pruebas de control de un sistema específico de programa de la
biblioteca.
2.2.3 El auditor debe obtener una comprensión de los tipos de eventos, transacciones y prácticas que pueden tener un efecto
significativo en la organización específica, una función, proceso o los datos que es objeto del proyecto de auditoría. El
conocimiento de la organización debería incluir el negocio, financieros y de los riesgos inherentes que enfrenta la organización,
así como las condiciones en el mercado de la organización. También debería incluir la medida en que la organización se basa
en la contratación externa para cumplir sus objetivos. El auditor debe usar esta información para identificar los posibles
problemas, la formulación de los objetivos y el alcance de la obra, realización de las obras y acciones de gestión para considerar
que el auditor de SI debe estar alerta.
2.3 Materialidad
2.3.1 En el proceso de planificación, el auditor de SI ordinariamente debería establecer niveles de planificación de importancia tal que
el trabajo de auditoría será suficiente para cumplir los objetivos de la auditoría y utilizará los recursos de auditoría de manera
eficiente. Por ejemplo, en la revisión de un sistema existente el auditor de SI deberá evaluar la importancia relativa de los
diversos componentes del sistema en la planificación del programa de auditoría de la labor a realizar. El auditor debe considerar
los aspectos cualitativos y cuantitativos en la determinación de la materialidad. Para más información sobre la materialidad,
consulte la Guía de Auditoría de G6 materialidad Conceptos para la Auditoría de Sistemas de Información.
2.4.1 La evaluación de riesgos debe hacerse para ofrecer garantías razonables de que todos los elementos materiales estarán
debidamente cubiertos durante los trabajos de auditoría. Esta evaluación debería identificar las áreas con riesgo relativamente
alto de la existencia de problemas materiales.
2.5 Evaluación de Control Interno
2.5.1 Auditoría de los proyectos debería incluir el examen de los controles internos, ya sea directamente como parte de los objetivos
del proyecto de auditoría o como base para la dependencia de la información recopilada como parte del proyecto de auditoría.
Cuando el objetivo es la evaluación de los controles internos de la IS auditor debe considerar la medida en que será necesario
revisar esos controles. Cuando el objetivo es evaluar la eficacia de los controles durante un período de tiempo que el plan de
auditoría debe incluir procedimientos adecuados para el cumplimiento de los objetivos de la auditoría, y esos procedimientos
deberían incluir las pruebas de conformidad de los controles. Cuando el objetivo no es evaluar la eficacia de los controles
durante un período de tiempo, sino de identificar los procedimientos de control en un punto en el tiempo, las pruebas de
conformidad de los controles pueden ser excluidas.
2.5.2 Cuando el auditor de evaluar los controles internos con el fin de poner la confianza en los procedimientos de control en apoyo de
la información recopilada como parte de la auditoría, el auditor es, debe realizar una evaluación preliminar de los controles y
desarrollar el plan de auditoría sobre la base de esta evaluación. Durante una revisión, el auditor de estudiará la conveniencia de
esta evaluación para determinar el grado en que los controles pueden ser invocadas durante la prueba. Por ejemplo, en el uso
de programas de ordenador para probar los archivos de datos, el auditor de SI debe evaluar los controles de la colección de
programas que contienen los programas sean utilizados para fines de auditoría para determinar el grado en que los programas
están protegidos de la modificación no autorizada.
3. DOCUMENTACIÓN
3.1.1 El IS papeles de trabajo del auditor debe incluir el plan de auditoría y el programa.
3.1.2 El plan de auditoría puede ser documentado en papel o en otra forma adecuada y recuperable.
3.2.1 En la medida en su caso, el plan de auditoría, programa de auditoría y cualquier modificación posterior deberá ser aprobado por
la gestión de auditoría.
3.3.1 Un programa preliminar para una revisión de ordinario debe ser establecido por el auditor de antes del comienzo de la obra. Este
programa de auditoría deben documentarse de manera que permita el auditor de registro de terminación de los trabajos de
auditoría y determinar el trabajo que queda por hacer. Conforme avanza el trabajo, el auditor de SI debe evaluar la adecuación
del programa, basados en la información recopilada durante la auditoría. Cuando el auditor de determina que los procedimientos
previstos no son suficientes, el auditor de SI debe modificar el programa en consecuencia.
3.3.2 Dependiendo de los recursos de auditoría requeridos, el auditor de SI debe incluir la gestión de los recursos de personal
3.3.3 El plan de auditoría debe estar preparado para que sea en el cumplimiento de los requisitos relativos exterior además de la de
Auditoría de Normas.
3.3.4 Además de un listado de los trabajos a realizar, el auditor de SI debe, en la medida de lo posible, preparar una lista de personal y
3.3.5 En el curso de los trabajos, el auditor de SI debe considerar cambios en el programa de auditoría basado en la SI de evaluación
4. FECHA DE VIGENCIA
4.1 Esta directriz es efectiva para todas las auditorías de los sistemas de información que comiencen a partir del 1 de Marzo de 2002