G2 G6, G8 G9 G13 y g15

24
G2 REQUISITO DE EVIDENCIA DE AUDITORIA. 1. ANTECEDENTES. 1 Relación con las normas 1.1.1 Norma S6 actuación de la realización de las labores de auditoria "Durante el curso de la auditoria, el auditor de SI debe obtener evidencia suficientes, fiables y relevantes para lograr los objetivos de la auditoria. Los resultados de la auditoria y las conclusiones han de ser apoyadas por un análisis adecuado y la interpretación de esta evidencia”. 1.1.2 Norma S9 irregularidades y actos ilícitos de los estados “El auditor de SI debe obtener pruebas suficientes y adecuados para determinar si la administración u otros dentro de la organización tiene conocimiento de irregularidades real, supuesta o sospechada y actos ilegales " 1.1.3 S13 estándar con el trabajo de otros expertos de los estados “El auditor de SI debe proporcionar la opinión de auditoría adecuada e incluyen la limitación del alcance que las pruebas requeridas no se obtiene a través de procedimientos de ensayo adicionales”. 1.1.4 Estándar S14 evidencia de auditoría de los estados “El auditor debe obtener pruebas suficientes y adecuadas para sacar conclusiones razonables en que basar los resultados de auditoría. El auditor debe evaluar la suficiencia de las pruebas de auditoría obtenidas durante la auditoría” 1.1.5 Procedimiento P7 irregularidades y actos ilegales estados "Aunque el auditor de SI no tiene la responsabilidad explícita de detectar o prevenir las irregularidades, el auditor de SI debe evaluar el nivel de riesgo de posibles irregularidades. El resultado de la evaluación de riesgos y otros procedimientos realizados durante la planificación se debe utilizar para determinar la naturaleza, magnitud y oportunidad de los procedimientos realizados durante el enfrentamiento. 1.2 Relación con COBIT 1.2.1 ME 2.3 excepciones de control de los estados “Información de expediente sobre todas las excepciones de control y asegurarse de que conduce a un análisis de la causa subyacente y las medidas correctivas. La gestión debe decidir qué excepciones deben ser comunicadas a la persona responsable de la función y que las excepciones deben ser escalado. Administración también es responsable de informar a las partes afectadas”. 1.3 Necesidad de lineamiento 1.3.1 El propósito de esta guía es orientar al auditor de SI a obtener pruebas de auditoría suficiente y adecuada y sacar conclusiones razonables en los que basar los resultados de auditoría. 1.3.2 Esta guía ofrece orientación en la aplicación de las normas de auditoría IS. El auditor DE SI debe considerar en la determinación de la forma de lograr la aplicación de la citada norma, usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación. 2. PLANEACION. 2.1 Tipos de evidencia de auditoría 2.1.1 Para una descripción de la evidencia adecuada, fiable y suficiente, consulte la sección de comentarios en S14 estándar. 2.1.2 Al planificar el trabajo de auditoría SI, el auditor de SI debe tener en cuenta el tipo de evidencia de auditoría que se reunieron, su utilización como pruebas de auditoría para cumplir los objetivos de auditoría y sus diversos niveles de fiabilidad. Entre las cosas que deben considerarse son la independencia y la capacidad profesional del prestador de las pruebas de auditoría. Por ejemplo, la evidencia de auditoría que corrobora de una tercera parte independiente puede ser más confiable que la evidencia de auditoría de la organización auditada. Pruebas de auditoría física es generalmente más fiables que las representaciones de un individuo. 2.1.3 El auditor también debe considerar si las pruebas de los controles ha sido completada y confirmada por un tercero independiente y si se puede confiar en las pruebas. 2.1.4 Entre los distintos tipos de evidencia de auditoría que el auditor de SI debe considerar se incluyen: • Los procesos observados y la existencia de elementos físicos • Pruebas de auditoría documental

Transcript of G2 G6, G8 G9 G13 y g15

Page 1: G2 G6, G8 G9 G13 y g15

G2 REQUISITO DE EVIDENCIA DE AUDITORIA.

1. ANTECEDENTES.

1 Relación con las normas

1.1.1 Norma S6 actuación de la realización de las labores de auditoria "Durante el curso de la auditoria, el auditor de SI debe obtener evidencia suficientes, fiables y relevantes para lograr los objetivos de la auditoria. Los resultados de la auditoria y las conclusiones han de ser apoyadas por un análisis adecuado y la interpretación de esta evidencia”.

1.1.2 Norma S9 irregularidades y actos ilícitos de los estados “El auditor de SI debe obtener pruebas suficientes y adecuados para determinar si la administración u otros dentro de la organización tiene conocimiento de irregularidades real, supuesta o sospechada y actos ilegales "

1.1.3 S13 estándar con el trabajo de otros expertos de los estados “El auditor de SI debe proporcionar la opinión de auditoría adecuada e incluyen la limitación del alcance que las pruebas requeridas no se obtiene a través de procedimientos de ensayo adicionales”.

1.1.4 Estándar S14 evidencia de auditoría de los estados “El auditor debe obtener pruebas suficientes y adecuadas para sacar conclusiones razonables en que basar los resultados de auditoría. El auditor debe evaluar la suficiencia de las pruebas de auditoría obtenidas durante la auditoría”

1.1.5 Procedimiento P7 irregularidades y actos ilegales estados "Aunque el auditor de SI no tiene la responsabilidad explícita de detectar o prevenir las irregularidades, el auditor de SI debe evaluar el nivel de riesgo de posibles irregularidades. El resultado de la evaluación de riesgos y otros procedimientos realizados durante la planificación se debe utilizar para determinar la naturaleza, magnitud y oportunidad de los procedimientos realizados durante el enfrentamiento.

1.2 Relación con COBIT

1.2.1 ME 2.3 excepciones de control de los estados “Información de expediente sobre todas las excepciones de control y asegurarse de que conduce a un análisis de la causa subyacente y las medidas correctivas. La gestión debe decidir qué excepciones deben ser comunicadas a la persona responsable de la función y que las excepciones deben ser escalado. Administración también es responsable de informar a las partes afectadas”.

1.3 Necesidad de lineamiento1.3.1 El propósito de esta guía es orientar al auditor de SI a obtener pruebas de auditoría suficiente y adecuada y sacar conclusiones

razonables en los que basar los resultados de auditoría.1.3.2 Esta guía ofrece orientación en la aplicación de las normas de auditoría IS. El auditor DE SI debe considerar en la determinación de

la forma de lograr la aplicación de la citada norma, usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación.

2. PLANEACION.

2.1 Tipos de evidencia de auditoría

2.1.1 Para una descripción de la evidencia adecuada, fiable y suficiente, consulte la sección de comentarios en S14 estándar.

2.1.2 Al planificar el trabajo de auditoría SI, el auditor de SI debe tener en cuenta el tipo de evidencia de auditoría que se reunieron, su utilización como pruebas de auditoría para cumplir los objetivos de auditoría y sus diversos niveles de fiabilidad. Entre las cosas que deben considerarse son la independencia y la capacidad profesional del prestador de las pruebas de auditoría. Por ejemplo, la evidencia de auditoría que corrobora de una tercera parte independiente puede ser más confiable que la evidencia de auditoría de la organización auditada. Pruebas de auditoría física es generalmente más fiables que las representaciones de un individuo.

2.1.3 El auditor también debe considerar si las pruebas de los controles ha sido completada y confirmada por un tercero independiente y si se puede confiar en las pruebas.

2.1.4 Entre los distintos tipos de evidencia de auditoría que el auditor de SI debe considerar se incluyen:• Los procesos observados y la existencia de elementos físicos • Pruebas de auditoría documental • Representaciones • Análisis

2.1.5 Procesos observados y la existencia de elementos físicos pueden incluir observaciones de las actividades, la propiedad y funciones de SI, tales como: Un inventario de los medios de comunicación en un lugar de almacenamiento fuera de sitio. Una sala de seguridad del sistema informático en la operación

2.1.6 Pruebas de auditoría documental, grabado en papel o por otros medios, pueden incluir: Resultados de las extracciones de datos Los registros de las transacciones Listados de programas Facturas Actividad y el control de los registros Documentación de desarrollo del sistema

2.1.7 Las representaciones de los que están siendo auditadas pueden ser evidencia de auditoría, tales como:• Las políticas y procedimientos escritos • Sistema de diagramas de flujo • Declaraciones escritas u orales

Page 2: G2 G6, G8 G9 G13 y g15

2.1.8.1 Los resultados del análisis de la información a través de comparaciones, simulaciones, cálculos y razonamiento también se puede utilizar como evidencia de auditoría. Los ejemplos incluyen: La evaluación comparativa es el rendimiento contra otras organizaciones o períodos anteriores Comparación de las tasas de error entre aplicaciones, transacciones y usuarios

2.2 Disponibilidad de pruebas de auditoría

2.2.1 El auditor de SI debe considerar el tiempo durante el cual la información existe o está disponible en la determinación de la naturaleza, el tiempo, el alcance de las pruebas de fondo y, si procede, las pruebas de cumplimiento. Por ejemplo, la evidencia de auditoría elaborados por el intercambio electrónico de datos (EDI), procesamiento de imágenes de documentos (DIP) y los sistemas dinámicos, tales como hojas de cálculo puede no ser recuperable después de un período de tiempo especificado si los cambios de los archivos no están controlados o los archivos no están respaldados arriba. Disponibilidad de la documentación también se podrían ver afectados por las políticas de retención de la compañía documento.

2.3 Selección de pruebas de auditoría

2.3.1 El auditor de SI debe planear el uso más adecuado, confiable y suficiente evidencia de auditoría posible y en consonancia con la importancia del objetivo de la auditoría y el tiempo y el esfuerzo necesarios para obtener los datos de auditoría.

2.3.2 Cuando las pruebas de auditoría obtenida en forma de representaciones orales es esencial para el dictamen de auditoría o de conclusión, el auditor de SI debería considerar la obtención de la confirmación documental de las representaciones, ya sea en papel o por otros medios. El auditor debe también considerar otras pruebas para corroborar estas representaciones para garantizar su fiabilidad.

3. EJECUCIÓN DE LAS TAREAS DE AUDITORÍA

3.1 Naturaleza de la evidencia de auditoría3.1.1 La evidencia de auditoría debería ser suficiente, confiable, relevante y útil para formarse una opinión o de apoyo de Los resultados

del auditor de SI y las conclusiones. Si, según el juicio del auditor de SI, la evidencia de auditoría no cumple con estos criterios, el auditor de SI debe obtener evidencia de auditoría adicional. Por ejemplo, un listado de programa no puede ser evidencia de auditoría adecuada hasta que la evidencia de auditoría que se ha reunido para comprobar que representa el programa real utilizado en el proceso de producción.

3.2 Recopilación de pruebas de auditoría3.2.1 Los procedimientos utilizados para reunir pruebas de auditoría varían según el sistema de información auditado. El auditor debe

seleccionar el procedimiento más adecuado, confiable y suficiente para el objetivo de la auditoría. Los siguientes procedimientos deben ser considerados:• Investigación • Observación • Inspección • Confirmación • Seguimiento

3.2.2 Lo anterior puede ser aplicado a través de la utilización de procedimientos de control manual, con ayuda de computadora técnicas de auditoría, o una combinación de ambos. Por ejemplo:

-Un sistema que utiliza el control manual de los totales de balance de las operaciones de entrada de datos podría proporcionar evidencia de auditoría que el procedimiento de control está en su lugar por medio de un informe debidamente conciliadas y comentados. El auditor debe obtener pruebas de auditoría de revisión y control de este informe.

-Los registros detallados de transacciones sólo está disponible en formato legible por máquina que requiere el auditor de SI para obtener pruebas de auditoría asistida por ordenador utilizando técnicas de auditoría. El auditor debe asegurarse de que la versión o tipo (s) de la computadora técnicas de auditoría asistidas (CAAT) que se utilizarán son actualizados y / o totalmente compatible con el formato (s) estructura de los registros detallados de transacciones en cuestión.

3.2.3 Si existe la posibilidad de que los datos recabados pasarán a formar parte de un proceso legal, el auditor de SI debe consultar con el asesor jurídico apropiado para determinar si existen requisitos especiales que afectarán la manera en pruebas es necesario recoger, presentado y divulgada.

3.3 Documentación de auditoría3.3.1 La evidencia de auditoría reunida por el auditor de SI debe estar debidamente documentados y organizados para apoyar los

hallazgos y conclusiones del auditor de SI.3.3.2 Para una discusión sobre la protección y conservación de pruebas, consulte la sección de comentarios en la estándar S14.

4. PRESENTACIÓN DE INFORMES4.1 Restricción del alcance. 4.1.1 En las situaciones en que el auditor cree que no puede obtenerse la evidencia de auditoría suficiente, El auditor de SI debe revelar

este hecho de forma coherente con la comunicación de los resultados de la auditoría.

5. FECHA DE VIGENCIA5.1 Esta directriz es efectiva para todas las auditorías de los sistemas de información que comiencen a partir del 1 de diciembre de

1998. La guía ha sido revisada y actualizada a partir del 1 mayo de 2008.

G6 CONCEPTO DE MATERIALIDAD PARA LA AUDITORIA DE SISTEMAS DE INFORMACION

Page 3: G2 G6, G8 G9 G13 y g15

1. ANTECEDENTES1.1 Relación con las Normas1.1.1 Estándar S5 Planeación, El auditor de SI debe planear la cobertura de la auditoría de sistemas de información para cubrir los

objetivos de la auditoria y cumplir con las leyes aplicables y las normas profesionales de auditoría.1.1.2 Estándar S10 Gobierno TI, establece que auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales,

ambientales, y de la calidad de la información, así como los requisitos de fiduciario y seguridad.1.1.3 Estándar S12 Materialidad de La Auditoría. El auditor de SI debe considerar la materialidad de la auditoría y su relación con el

riesgo de auditoría a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditoría.. Mientras planifica la auditoría, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de información. El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de información.

1.1.4 Estándar S9 Irregularidades y Acciones Ilegales, Si el auditor de SI ha identificado una irregularidad material o acción ilegal que involucra a la gerencia o a empleados que tienen funciones significativas en el control interno, el auditor de SI debe comunicarlo sin demora a los responsables del gobierno corporativo.

1.2 Relación con COBIT1.2.1 El PO5 ( Planear y Organizar) Administrar la Inversión en tecnología de información "satisface el requisito comercial para la TI de

continuamente y demostrablemente mejorando la eficiencia costada de tecnología de la información y su contribución para la rentabilidad comercial con servicios integrados y estandarizados en los que satisfacen las expectativas de usuarios finales enfocando la atención en decisiones efectivas y de tecnología de la información de eficiente inversión y del portafolio, y sedimentándose y rastreando presupuestos de TI en conformidad con la estrategia de tecnología de la información y las decisiones de inversión"

1.2.2 AI1. Identificar soluciones automatizadas "satisface el requisito comercial para las TI de traslado de negocios funcionales y requerimientos de controles en un efectivo y eficiente desempeño de soluciones automatizadas enfocando la atención en identificar técnicas factibles y eficientes en base a costos"

1.2.3 DS10 Administración de problemas "satisface el requisito comercial para la tecnología de la información de" usuarios finales "que asegura la satisfacción con servicio ofrecidos y los niveles de servicio; Reducir entrega de solución y de servicio defectuosos y revisión enfocado en la atención esperada, rastreando y resolviendo problemas operacionales; Investigando la raíz de la causa de todos los problemas significativos; Y definiendo soluciones para problemas identificados de operaciones "

1.2.4 DS13 Administración de operaciones “ satisface el requisito comercial para los TI de integridad de mantenimiento de los datos integrados y asegurando que la infraestructura de los TI pueda resistir al encubrimiento de errores y fracasos enfocando la atención en encontrando niveles operacionales de servicio para datos programados en proceso, protegiendo las salidas sensitiva, y monitoreando el mantenimiento de la infraestructura"

1.2.5 El ME4 Proporcionar Gobierno de TI " satisface el requisito comercial para la TI integrando el gobierno de TI con objetivos corporativos de gobierno; Accediendo a leyes y regulaciones enfocado en la preparación de reportes en estrategias de TI, para acciones y riesgos; y respondiendo a los requisitos de gobierno en conformidad con instrucciones de la dirección”

1.2.6 La selección del material más pertinente en COBIT aplicable para el alcance de la auditoría particular se basa en la elección de procesos específicos de tecnología de la información COBIT y consideración de objetivos de control de COBIT y asociadas con las actividades de la gerencia. Para responsabilizarse por la materialidad del concepto de auditoria de sistemas de información, por el auditor de SI, los procesos en COBIT más probable para ser pertinente, seleccionados y adaptados están clasificados como primarios y secundarios como sigue. el proceso y control de los objetivos para ser seleccionados y adaptados puede variar dependiendo del alcance específico y las condiciones de referencia de la asignación..

1.2.7 Referencias Secundarias:a. PO8 Administrar la calidadb. PO9 Evaluar y Administrar los riesgos de TIc. AI2 Adquirir y mantener software Aplicativod. AI3 Adquirir y mantener infraestructura tecnológicae. AI4 Facilitar la Operación y el usof. AI5 Adquirir recursos de TIg. AI6 Administrar cambiosh. DS3 Administra el desempeño y la capacidadi. DS5 Garantizar la seguridad de los sistemasj. DS9 Administrar la configuraciónk. ME1 Monitorear y Evaluar el desempeño de TIl. ME2 Monitorear y Evaluar el control Interno

1.2.8 Los criterios de información más pertinentes para auditar materialidad son:a. Primarios: Confidencialidad, integridad, conformidad, fiabilidadb. Secundarios: Eficiencia, Eficacia, disponibilidad.

2. NECESIDAD DE LINEAMIENTO2.1 Los Auditorias financieras vrs sistemas de información.2.1.1 A diferencia de los auditores financieros, los auditores de sistemas de información requieren un criterio diferente para medir la

importancia relativa. Los auditores financieros la medida de importancia es normalmente en términos monetarios, ya que lo que la auditoria también se mide y se comunicó en términos monetarios. Los auditores de sistemas de información normalmente realizan auditorias de los productos no financieros, E.G, controles de acceso físico, controles de acceso lógico, los controles de cambio de programa y los sistemas de administración de personal, control de fabricación, diseño, control de calidad, la generación de contraseñas, la producción de tarjetas de crédito y de atención al cliente, Por tanto, los auditores de sistemas de información necesitan la orientación sobre cómo la importancia relativa que deben ser evaluada para planificar sus auditorias de manera efectiva, cómo concentrar sus esfuerzos en las zonas de alto riesgo y cómo evaluar la gravedad de los errores o insuficiencias detectadas.

2.1.2 Esta guía ofrece una orientación en la aplicación de las normas de auditoría sobre la importancia relativa en la auditoría. El auditor de SI debe considerar la determinación de la forma de lograr la aplicación de la citada norma, utilizando el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación

Page 4: G2 G6, G8 G9 G13 y g15

3 PLANEACION3.1 Evaluación de la materialidad3.1.1 La evaluación de lo que es material es una cuestión de juicio profesional y se incluye el examen de los efectos y/o el efecto

potencial sobre la capacidad de la organización para cumplir sus objetivos de negocio en caso de errores, omisiones, irregularidades y actos ilegales que puedan surgir como resultado de deficiencias de control en la zona objeto de la auditoría.

3.1.2 Para la evaluación de la materialidad, el auditor de SI debe tener en cuenta: El nivel global de error aceptable para la gestión, el auditor de SI, otros organismos reguladores e interesados El potencial de pequeños errores acumulativos o debilidades convertidas en material.

3.1.3 Para cumplir con los objetivos de la auditoría, el auditor de SI debe identificar los objetivos de control pertinentes y, con base en la tasa de tolerancia al riesgo, determinar lo que debe ser examinado. Con respecto a un objetivo específico de control, un control material es un grupo de control o de los controles sin que los procedimientos de control no ofrecen garantías suficientes de que el objetivo de control se cumplirán.

3.1.4 Cuando el objetivo de la auditoría se refiere a los sistemas o las operaciones que procesan las transacciones financieras, medida que el auditor financiero de importancia deben ser considerados al mismo tiempo la realización de la SI de auditoría.

3.1.5 El auditor SI debe determinar el establecimiento de funciones y responsabilidades, así como una clasificación de los activos de información en términos de confidencialidad, disponibilidad e integridad, reglas de control de acceso sobre los privilegios de gestión y clasificación de la información basada en el grado de criticidad y riesgo de exposición. La evaluación debe incluir la verificación de:

La información almacenada El hardware de sistemas de información. La arquitectura y el software de sistemas de información La infraestructura de la red de los sistemas de información. Las operaciones de los sistemas de información El Desarrollo y medio ambiente de prueba

3.1.6 El auditor SI debe determinar si la deficiencia de TI en general podrían convertirse en material. La importancia de estos controles deficientes de TI en general deben ser evaluados en relación a su efecto en los controles de aplicación, I. e, si los controles de aplicación asociados también son ineficaces. Si la deficiencia es causada por la aplicación de control de la TI en general, a continuación, son materiales. Por ejemplo, si una aplicación basada en el cálculo de impuestos es materialmente mal y fue causado por los controles de cambio de los pobres a las tablas de impuestos, la aplicación basada en el control (cálculo) y el control general (cambios) son materialmente débiles.

3.1.7 El auditor de sistemas de información debe evaluar una deficiencia de control de TI en general en relación a su efecto en los controles de aplicación y cuando se suman en contra de las deficiencias de control. Por ejemplo, una decisión de gestión para corregir una deficiencia de los controles de TI en general y su reflexión sobre el medio ambiente asociados pueden convertirse en material de control, sumados a las deficiencias de control que afectan el entorno de control.

3.1.8 El auditor de sistemas de información también debe tener en cuenta que el fracaso para remediar una deficiencia podría llegar a ser material.

3.1.9 El auditor de sistemas de información debería considerar la posibilidad de obtener cierre de emisión de las partes interesadas apropiadas admitiendo que han revelado la debilidad material existente que se dan dentro de la organización.

3.1.10 Los siguientes son ejemplos de medidas que se deben considerar para evaluar la importancia relativa: Importancia de los procesos de negocios apoyados por el sistema de operación Importancia de las bases de datos soportadas por el sistema de operación El número y tipo de aplicación desarrollada Número de usuarios que utilizan los sistemas de información Número de gerentes y directores que trabajan con los sistemas de información clasificados por los privilegios Importancia de las comunicaciones de red soportada por el sistema de operación El costo del sistema o la operación (hardware, software, personal, servicios de terceros, los gastos generales o una

combinación de estos) El costo potencial de errores (posiblemente en términos de pérdida de ventas, reclamos de garantía, los costos de desarrollo

irrecuperables, , el costo de publicidad requerido para advertencias, la rectificación cuesta, salud y la seguridad cuesta, innecesariamente costos de producción altos, derroche alto, etc.)

Costo de la pérdida en términos de información crítica y vital de dinero y tiempo para reproducir se La efectividad de contramedidas Número de accesos / transacciones / solicitudes tramitadas por cada período La naturaleza, duración y extensión de los informes preparados y archivos mantenidos La naturaleza y cantidades de materiales manipulados (por ejemplo, donde se registran los movimientos de inventario, sin

valores) Los requisitos del Acuerdo de Servicio nivel y costo de las sanciones posibles Sanciones por el incumplimiento de requisitos legales, reguladores y contractuales Sanciones por el incumplimiento de los requisitos de seguridad pública

3.1.11 Los fracasos de control potencialmente pueden conducir al perjuicio económico, la posición competitiva, la pérdida de confianza o la pérdida de reputación, con la excepción de dañar la imagen corporativa. El auditor de sistema debe evaluar los riesgos frente a las posibles contramedidas.

4 PRESENTACION DE INFORMES4.1 Identificación de cuestiones notificables.4.1.1 Determinando los descubrimientos, conclusiones y las recomendaciones a ser reportado, el auditor de Sistema Información debería

considerar la materialidad de cualquier error que podría obtenerse como resultado de las debilidades de controles. 4.1.2 La auditoría es usada por la gerencia para obtener una declaración de seguridad de controles de SI, La suficiencia de controles

debe identificar una opinión incompetente es decir que los controles estén de conformidad con los controles generalmente aceptados en la practica para responsabilizarse por los objetivos de control, falta de cualquier prácticas de control material para responsabilizarse por los objetivos de control, falta de cualquier debilidad material de control.

4.1.3 Una de las debilidades de control debe ser considerado importante y, por consiguiente, notificada, si la ausencia del resultado de control en el fracaso para proveer seguridad razonable del objetivo de control será por el que se responsabilizó. Si el trabajo del auditor identifica debilidades materiales de control, entonces el auditor de SI debería considerar dar una opinión adversa conforme al objetivo de la auditoría.

Page 5: G2 G6, G8 G9 G13 y g15

4.1.4 Dependiendo de los objetivos de la auditoría, el auditor de SI debería de considerar reportar las debilidades a la gerencia que no son materiales, particularmente cuándo el costo de fortalecer los controles andan bajos.

5. FECHA DE VIGENCIA5.1 Esta Guía será efectiva para todo comienzo de auditoría de SI antes o después del 1 de septiembre de 1999. La Guía ha sido

revisada y actualizada al 1 de septiembre de 2008.

G8 DOCUMENTACION DE AUDITORIA

1. ANTECEDENTES

1.1 Relación con las normas

Page 6: G2 G6, G8 G9 G13 y g15

1.1.1 Norma de auditoria de SI Planeación (Documento No. S5)El auditor de SI debe desarrollar y documentar un plan de auditoria que detalle la naturaleza y los objetivos de la auditoria, los plazos y alcance, así como los recursos requeridos.

1.1.2 Norma de auditoria de SI Realización de Labores de auditoria (Documento No. S6)Durante el transcurso de la auditoria, el auditor de SI debe obtener evidencia suficiente, confiable y pertinente para alcanzar los objeticos de auditoria. Los hallazgos y conclusiones de la auditoria deberán ser soportados mediante un apropiado análisis e interpretación de dicha evidencia. El proceso de auditoria deberá documentarse describiendo las labores de auditoria realizadas y la evidencia de auditoria que respalde los hallazgos y conclusiones del auditor de SI.

1.1.3 Norma de auditoria de SI Reporte (Documento No. S7)El auditor de SI debe suministrar un informe en un formato apropiado, al finalizar la auditoria. El informe de auditoria deberá indicar el alcance, los objetivos, el periodo de cobertura y la naturaleza, plazo y extensión de las labores de auditoria realizadas. El informe debe indicar los hallazgos, conclusiones y recomendaciones, así como cualquier reserva, calificación o limitación que el auditor de SI tuviese en cuanto al alcance de la auditoria. Al emitirse el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los términos del estatuto de auditoria o carta de compromiso.

1.1.4 Norma de auditoria de SI Materialidad de auditoria (Documento No. S12)El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, así como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.

1.1.5 Norma de auditoria de SI Uso del trabajo de otros expertos (Documento No. S13)El auditor de Si debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoria. Dicha conclusión debe documentarse claramente.

1.2 Relación con COBIT1.2.1 PO1 Definir un plan estratégico de TI, satisface el requisito de negocio de TI de mantener o ampliar la estrategia de negocio y los

requisitos de gobierno mientras que ser transparentes acerca de los beneficios, los costos y los riesgos, centrándose en la incorporación de TI y la gestión empresarial en la traducción de los negocios a requisitos en las ofertas de servicios y el desarrollo de estrategias para ofrecer estos servicios de manera transparente y eficaz.

1.2.2 PO8 gestión de la calidad, satisface el requisito de negocio de TI de continuo y mensurables la mejora de la calidad de los servicios prestados por IT se centra en la definición de sistema de gestión de la calidad (SGC), supervisión de la ejecución en curso contra objetivos definidos y aplicación de un programa de mejora continua de servicios de TI.

1.2.3 AI6 Administrar cambios, satisface el requisito de negocio de TI de responder requisitos en la alineación con la estrategia de negocios, mientras que la reducción de la solución y la prestación de servicios defectos y trabajo, centrándose en la evaluación de impacto de control, la autorización y ejecución de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando los errores debidos a la solicitud incompleta, y detener la aplicación de cambios no autorizados.

1.2.4 DS1 Definir y gestionar el servicio, satisface el requisito de negocio de TI para garantizar la alineación de los principales servicios de TI con la estrategia de negocio, centrándose en la identificación de necesidades de servicio, de acuerdo los niveles de servicio y control de la consecución de niveles de servicio.

1.2.5 ME2 Supervisar y evaluar el control interno, cumple el requisito de negocio de TI de la protección del logro de los objetivos de TI y el cumplimiento de TI relacionados con las leyes y reglamentos, centrándose en seguimiento del control interno de los procesos de TI relacionados con las actividades y la identificación acciones de mejora.

1.2.6 ME3 Asegurar el cumplimiento reglamentario, cumple el requisito de negocio de TI para el cumplimiento de las leyes y reglamentos, centrándose en la identificación de todas las leyes y reglamentos aplicables y el correspondiente nivel de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no - conformidad.

1.2.7 Los criterios de información más relevantes son: Primario: fiabilidad, disponibilidad, eficiencia e integridad Secundario: Eficacia y confidencialidad

1.3 Necesidad de Lineamiento 1.3.1 El propósito de esta guía es describir la documentación que el auditor de SI debe preparar y mantener para apoyo de la auditoría. 1.3.2 Esta guía ofrece orientación en la aplicación de las normas de auditoría IS. El auditor debe considerar determinar la forma de lograr

la aplicación de las normas anteriores, usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación.

2. PLANIFICACIÓN Y EJECUCIÓN

2.1 Documentación de Contenidos 2.1.1 La documentación de auditoría es el registro de la auditoría, de los trabajos realizados y las pruebas de auditoría, las conclusiones y

recomendaciones. La documentación de auditoría debe ser completa, clara, estructurada, indexado, fácil de usar y de entender por el revisor. El uso potencial de la documentación incluye, pero no están limitados a:

Demostración de la medida en que el auditor ha cumplido con las Normas de Auditoría. Demostración de las prestaciones de auditoría para cumplir con los requisitos según la Carta de Auditoría. Asistencia en la planificación, ejecución y revisión de las auditorias. Facilitación de comentarios de terceros. Evaluación del programa de auditoría en la función de control de calidad. Apoyo en circunstancias tales como reclamaciones de seguros, los casos de fraude, las controversias y demandas. Asistencia con el desarrollo profesional del personal.

2.1.2 La documentación debe incluir, como mínimo, un registro de: Examen de la documentación de auditorias anteriores. La planificación y preparación del alcance de la auditoría y los objetivos. IS auditores deben tener una comprensión de la

industria, el dominio de negocio, procesos de negocios, productos, soporte del proveedor y de medio ambiente en general que se examina.

Actas de las reuniones de revisión de la gestión, las reuniones del comité de auditoría y de auditoría relacionados con otras reuniones.

El programa de auditoría y procedimientos de auditoría que satisfaga los objetivos de la auditoría.

Page 7: G2 G6, G8 G9 G13 y g15

Los procedimientos auditoría realizados y las pruebas de auditoría que se reunieron para evaluar las fortalezas y debilidades de los controles.

Los resultados de la auditoría, las conclusiones y recomendaciones. Cualquier informe emitido como resultado de los trabajos de auditoría. Revisión supervisora.

2.1.3 El alcance de la documentación del auditor depende de las necesidades de una auditoría especial y debe incluir cosas tales como: La comprensión del auditor de las áreas a auditar y su entorno. La comprensión del auditor de los sistemas de procesamiento de la información y el control interno de medio ambiente,

incluido el: Entorno de control Los procedimientos de control Evaluación del riesgo de detección Evaluación de riesgos de control Igualar el riesgo total de auditoria

El autor y la fuente de la documentación de auditoría y la fecha de su conclusión. Los métodos utilizados para evaluar la adecuación del control, la existencia de la debilidad de control o la falta de controles e

identificar los controles de compensación. La evidencia de auditoría, la fuente de la documentación de auditoría y la fecha de finalización, incluyendo:

Pruebas de conformidad, que se basan en las políticas de prueba, los procedimientos y los derechos de la segregación.

Las pruebas de fondo, que se basan en procedimientos analíticos, los saldos de las cuentas detalladas de ensayo y otros procedimientos sustantivos de auditoría.

Acuse de recibo de la persona adecuada de la recepción del informe de auditoría y los resultados. Auditado respuesta a las recomendaciones. El control de versiones, sobre todo cuando la documentación está en los medios de comunicación electrónicos.

2.1.4 La documentación debe incluir la información pertinente requerida por la ley, los reglamentos gubernamentales o las normas profesionales.

2.1.5 La documentación debe ser presentada al comité de auditoría para su revisión y aprobación.

3. DOCUMENTACIÓN 3.1 Custodia, retención y recuperación 3.1.1 Las políticas y procedimientos deben estar en vigencia para comprobar y garantizar la custodia y adecuada conservación de la

documentación que apoya resultados de la auditoría y las conclusiones durante un período suficiente para satisfacción legal, profesional y de requisitos organizacionales.

3.1.2 La documentación debe ser organizada, almacenada y protegida de forma adecuada en los medios en que se mantiene y debe seguir siendo fácilmente recuperable por un tiempo suficiente para satisfacer las políticas y procedimientos definidos anteriormente.

4. FECHA DE VIGENCIA 4.1. Esta directriz revisada esta vigente para todas las auditorias que comiencen a partir del 1 de septiembre de 1999. La guía ha sido

revisada y actualizada a partir del 1 marzo de 2008.

G9 CONSIDERACIONES DE AUDITORÍA DE LAS IRREGULARIDADES Y ACTOS ILÍCITOS

1. ANTECEDENTES

1.1 Relación con las normas

Page 8: G2 G6, G8 G9 G13 y g15

1.1.1 Norma S3 Ética Profesional y los estados de normas: "El auditor debe ejercer la debida diligencia profesional, incluida la observancia de las normas aplicables de auditoría profesional".1.1.2 Norma S5 Planificación: "El auditor debe planificar la cobertura de la auditoría de sistemas de información para abordar los objetivos de auditoría y para cumplir con las leyes y normas profesionales de auditoría".1.1.3 Norma S6 actuación de los Estados trabajo de auditoría: «Durante el curso de la auditoría, el auditor de SI debe obtener evidencia suficiente, confiable y relevante para alcanzar los objetivos de la auditoría. Los resultados de la auditoría y las conclusiones han de ser apoyadas por un análisis adecuado y la interpretación de esta evidencia ".1.1.4 Estándar S7 Estados informantes: "El auditor deberá presentar un informe, en una forma apropiada, a la realización de la auditoría.

El informe de auditoría deberá indicar el alcance, los objetivos, el período de cobertura, y la naturaleza, el calendario y el alcance del trabajo de auditoría realizado. El informe debe indicar los resultados, conclusiones y recomendaciones y las reservas o las cualificaciones o limitaciones en el alcance que el auditor de ha con respecto a la auditoría ".1.1.5 Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones por los auditores es sobre irregularidades y actos ilícitos.

1.2 Relación con COBIT1.2.1 La selección de los materiales más relevantes en COBIT aplicables al ámbito de la auditoría especial se basa en la elección de los procesos de TI de COBIT específicos y la consideración de objetivos de control de COBIT y prácticas de gestión asociadas. Para hacer frente a las consideraciones de auditoría de los auditores es con las irregularidades y actos ilegales, los procesos de COBIT más probabilidades de ser relevantes, seleccionadas y adaptadas se clasifican aquí como primaria y secundaria. El proceso y los objetivos de control para ser seleccionadas y adaptadas pueden variar en función del ámbito específico de aplicación y los términos de referencia de la cesión.1.2.2 Las referencias principales son COBIT:

PO5 Administrar la inversión en TI PO7 Administrar los recursos humanos de TI PO9 Evaluar y manejar los riesgos de TI PO10 Administrar proyectos AI1 Identificar soluciones automatizadas AI5 Procurar recursos de TI Me2 Supervisar y evaluar los controles internos ME3 Asegurar el cumplimiento normativo ME4 Proporcionar el gobierno de TI

1.2.3 Las referencias secundarias son COBIT:PO3 Determinar la dirección tecnológica PO4 Definir los procesos de TI, la organización y las relaciones de PO8 gestión de la calidad DS7 Educar y formar a los usuarios DS10 Administrar los problemas ME1 Monitorear y evaluar el desempeño de TI

1.2.4 Las más relevantes son los criterios de información de COBIT:Primaria: El cumplimiento, la confidencialidad, integridad y disponibilidad Secundaria: La fiabilidad, la eficiencia y la eficacia

1.3 Necesidad de Lineamiento1.3.1 El propósito de esta guía es proporcionar orientación a los auditores es para hacer frente a las actividades irregulares o ilegales

que puedan parecer, durante el desempeño de las tareas de auditoría.1.3.2 Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones de los auditores es con las

irregularidades y actos ilegales. Esta guía ofrece orientación en la aplicación de las normas de auditoría IS. El auditor debe considerar en la determinación de la forma de lograr la aplicación de las normas previamente identificados, usar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación.

2. DEFINICIONES

2.1 No actividades irregulares fraudulentas2.1.1 No todas las irregularidades deben ser consideradas las actividades fraudulentas. La determinación de las actividades fraudulentas

depende de la definición legal de fraude en la jurisdicción relativa a la auditoría. Las irregularidades incluyen, pero no limitado a, la elusión deliberada de los controles con la intención de ocultar la perpetuación de fraude, uso no autorizado de los bienes o servicios, y la complicidad o la ayuda a ocultar este tipo de actividades. Las irregularidades no fraudulentas pueden incluir:

Violaciones intencional de la política de gestión establecidos. Violaciones intencional de los requisitos reglamentarios. Errores u omisiones deliberadas de la información. En cuanto a la superficie de auditoría o de la organización como un todo. Negligencia grave. No intencionales actos ilegales

2.2 Irregularidades y actos ilícitos2.2.1 Irregularidades y actos ilegales pueden incluir actividades tales como, pero no limitado a:

Page 9: G2 G6, G8 G9 G13 y g15

El fraude, que es cualquier acto que implique el uso de engaño para obtener ventaja ilegal. Los actos que implican el incumplimiento de las leyes y reglamentos, incluyendo el fracaso de los sistemas de TI para cumplir

con las leyes y reglamentos aplicables. Los actos que implican el incumplimiento de los acuerdos de la organización y los contratos con terceros, tales como bancos,

proveedores, vendedores, proveedores de servicios y partes interesadas. La manipulación, la falsificación, la falsificación o alteración de registros o documentos (ya sea en formato electrónico o en

papel). Supresión u omisión de los efectos de las transacciones de los registros o documentos (ya sea en formato electrónico o en

papel). Fugas inapropiado o deliberada de información confidencial. Registro de las transacciones en los registros financieros o de otro tipo (ya sea en formato electrónico o en papel) que carecen

de sustancia y se sabe que son falsos. La apropiación y uso indebido de IS-IS y no activos. Los actos intencionales o no intencionales, que violan la propiedad intelectual (IP), tales como los derechos de autor, marcas o

patentes. La concesión de acceso no autorizado a la información y sistemas. Los errores en los registros financieros o de otro tipo que surgen debido a un acceso no autorizado a los datos y sistemas.

2.2.2 La determinación de si un determinado acto es ilegal por lo general se basa en el asesoramiento de un experto informó calificado para ejercer la abogacía o pueden tener que esperar la determinación final por un tribunal de justicia. El auditor debe preocuparse principalmente con el efecto o el efecto potencial de la acción irregular, con independencia de si el acto ha sido confirmado o presunto de ilegales.

3. RESPONSABILIDADES3.1 Responsabilidades de administración3.1.1 Es principalmente la responsabilidad de gestión para prevenir y detectar las irregularidades y actos ilícitos.3.1.2 Gestión suelen utilizar los siguientes medios para obtener una seguridad razonable de que las irregularidades y actos ilegales

son prevenir o detectar en forma oportuna: Diseñar, implementar y mantener sistemas de control interno para prevenir y detectar irregularidades o actos ilegales. Los controles internos incluyen la revisión de las transacciones y procedimientos de aprobación y revisión de la gestión. Políticas y procedimientos que rigen la conducta de los empleados. Validación de cumplimiento y procedimientos de vigilancia. Diseñar, implementar y mantener sistemas adecuados para la notificación, registro y gestión de los incidentes relacionados

con irregularidades o actos ilegales.3.1.3 La gestión debe revelar al auditor de su conocimiento de las irregularidades o actos ilegales y las zonas afectadas, supuesta,

presunta o probada, y la acción, si las hubiere, adoptadas por la administración.3.1.4 Cuando un acto de irregularidad o ilegalidad se alega, se sospecha ni se detecta, la gestión debería ayudar en el proceso de la

investigación y la indagación.

3.2 Responsabilidades de los Auditores de SI3.2.1 El auditor de SI debería considerar la posibilidad de definir en la carta de auditoría o carta de compromiso de las

responsabilidades de gestión y auditoría con respecto a la prevención, detección e irregularidades de presentación de informes, para que estos se entienden claramente para todos los trabajos de auditoría. Cuando estas funciones ya están documentados en la política de la organización o documento similar, la Carta de Auditoría debe incluir una declaración a ese efecto.

3.2.2 El auditor de SI debe entender que los mecanismos de control no elimina completamente la posibilidad de irregularidades o actos ilegales que ocurren. El auditor de SI es responsable de evaluar el riesgo de irregularidades o actos ilegales que ocurren, evaluar el impacto de las irregularidades detectadas, y el diseño y la realización de pruebas que son apropiadas para la naturaleza de la misión de auditoría. El auditor puede esperarse razonablemente para detectar:

Irregularidades o actos ilegales que podrían tener un efecto material en cualquiera de la zona bajo control o de la organización en su conjunto.

Deficiencias en los controles internos que podrían dar lugar a importantes irregularidades o actos ilegales que no se eviten o detecten.

3.2.3 El auditor no es profesional y responsable para la prevención o detección de irregularidades o actos ilegales. Una auditoría no puede garantizar que las irregularidades se detecten. Incluso cuando una auditoría es proyectado y realizado de forma adecuada, las irregularidades podrían pasar desapercibidas, por ejemplo, si hay colusión entre los empleados, la colusión entre los empleados y los de afuera, o la participación en la gestión de las irregularidades. El auditor también debe considerar la documentación de este punto en la carta de auditoría o carta de compromiso de.

3.2.4 Cuando el auditor de SI dispone de información específica acerca de la existencia de una irregularidad o acto ilegal, el auditor tiene la obligación de realizar los procedimientos para detectar, investigar e informar de ello.

3.2.5 El auditor de SI debe informar al comité de auditoría (o equivalente) y de gestión, cuando él / ella ha identificado situaciones en que un mayor nivel de riesgo existe para un posible irregularidad o acto ilegal, aun cuando no se detecta ninguno.

3.2.6 El auditor de SI debe ser razonablemente familiarizado con el tema a ser capaz de identificar los factores de riesgo que pueden contribuir a la ocurrencia de actos irregulares o ilegales.

3.2.7 Los auditores de SI deben asegurarse de que son independientes de la materia durante la misión de auditoría todo.3.2.8 Los auditores de SI están obligados a consultar la norma S9 irregularidades y actos ilícitos para una discusión detallada sobre

responsabilidades de los auditores de SI.

4. EVALUACIÓN DEL RIESGO

4.1 Planificación de la Evaluación de Riesgos4.1.1 El auditor de SI deberá evaluar el riesgo de ocurrencia de irregularidades o actos ilegales relacionados con el área de auditoría a

raíz de la utilización de la metodología apropiada. En la preparación de esta evaluación, el auditor de SI debe considerar factores tales como : Características organizativas, por ejemplo, la ética empresarial, estructura organizativa, la adecuación de la supervisión, la

indemnización y las estructuras de recompensa, en la medida de las presiones del rendimiento corporativo, dirección organización.

La historia de la organización, las apariciones pasadas de las irregularidades, y las actividades posteriores adoptadas para mitigar o reducir al mínimo las conclusiones relativas a las irregularidades.

Los recientes cambios en la gestión, las operaciones o los sistemas de IS y la dirección estratégica de la organización actual. Impactos resultantes de las nuevas asociaciones estratégicas.

Los tipos de los activos poseídos, o servicios ofrecidos, y su susceptibilidad a las irregularidades.

Page 10: G2 G6, G8 G9 G13 y g15

Evaluación de la fuerza de los controles pertinentes y las vulnerabilidades de eludir o evadir los controles establecidos. Los requisitos reglamentarios aplicables o jurídicas. Políticas internas tales como "sirena de alerta de política, la política de información privilegiada, y el empleado y el código de

gestión de la ética. Relaciones con los interesados y los mercados financieros. Capacidades de los recursos humanos. La confidencialidad y la integridad del mercado de la información crítica. La historia de las conclusiones de la auditoría de las auditorías anteriores. La industria y el entorno competitivo en que opera la organización. Resultados de las revisiones llevadas a cabo fuera del alcance de la auditoría, tales como las conclusiones de los

consultores, los equipos de control de calidad o investigaciones específicas de gestión. Conclusiones que han surgido durante el día a día de curso de los negocios. Documentación de procesos y un sistema de gestión de calidad. La sofisticación técnica y la complejidad del sistema de información (s) de apoyo a la zona bajo control. Existencia de in-house desarrolladas / gestionada aplicación de sistemas, en comparación con paquetes de software, los

sistemas de negocio. El efecto de la insatisfacción de los empleados. Despidos potenciales, la subcontratación, la cesión o de reestructuración. La existencia de activos que son fácilmente susceptibles a la apropiación indebida. Pobre financieros de organización y / o el rendimiento operativo. La actitud de la Administración con respecto a la ética. Irregularidades y actos ilegales que son comunes a una industria en particular o se han producido en organizaciones

similares.4.1.2 La evaluación de riesgos debe tener en cuenta sólo aquellos factores que son relevantes para la organización y el tema de la

participación, incluyendo los factores de riesgo relativos a: Irregularidades o actos ilegales que afectan a los registros de contabilidad financiera. Irregularidades o actos ilegales que no afectan a los registros financieros, sino que afectan a la organización. Otras irregularidades o actos ilegales que se refieren a la suficiencia de los controles de la organización.

4.1.3 Como parte del proceso de planificación y ejecución de la evaluación de riesgos, el auditor de SI debe consultar a la gestión con respecto a cosas tales como la: Su conocimiento acerca del nivel de riesgo de irregularidades y actos ilegales de la organización. Si tienen conocimiento de irregularidades y actos ilegales que hayan o pudieran haber ocurrido en contra o dentro de la

organización. Como el riesgo de irregularidades o actos ilegales es gestionar o monitorizar. ¿Qué procesos se encuentran para comunicar a los interesados que corresponda sobre la existencia de riesgo de

irregularidades o actos ilegales. Las leyes nacionales y regionales en la jurisdicción opera la empresa y el alcance de la coordinación del departamento

jurídico con el comité de riesgos y el comité de auditoría.

5. PLANEACION DEL TRABAJO DE AUDITORIA5.1 Planificación de la Participación5.1.1 Mientras que El auditor no tiene la responsabilidad explícita a detectar o prevenir actos ilícitos o irregularidades, el auditor de SI

debe diseñar los procedimientos para detectar los actos ilícitos o irregularidades basado en el nivel de riesgo que pudieran producirse.

5.1.2 Al planificar el compromiso, el auditor de SI debe obtener una comprensión de las cosas tales como: Una comprensión básica de las operaciones de la organización y los objetivos. El entorno de control interno. Las políticas y procedimientos que rigen la conducta de los empleados. Validación de cumplimiento y procedimientos de vigilancia. El entorno jurídico y normativo en el que opera la organización. El mecanismo que la organización utiliza para obtener, controlar y garantizar el cumplimiento de las leyes y

reglamentos que afectan a la organización.5.2 Procedimiento de compromiso5.2.1 El auditor debe diseñar procedimientos para la participación que tengan en cuenta el nivel de riesgo de irregularidades y actos

ilegales que han sido identificados.5.2.2 Los resultados de la evaluación de riesgos y otros procedimientos realizados durante la planificación se debe utilizar para

determinar la naturaleza, magnitud y oportunidad de los procedimientos realizados durante un combate.5.2.3. El auditor de SI debe preguntar a la TI y la gestión de usuarios (según corresponda) sobre el cumplimiento de las leyes y

reglamentos.5.2.4. El auditor de SI debe utilizar los resultados de la evaluación de riesgos, para determinar la naturaleza, la oportunidad y el alcance

de las pruebas necesarias para obtener evidencia de auditoría suficiente de certeza razonable de que:Irregularidades que podrían tener un efecto material en la zona bajo control, o en la organización como un todo, se identifican. Las deficiencias de control que no puedan evitar o detectar irregularidades materiales son identificados Todas las deficiencias importantes en el diseño o el funcionamiento de los controles internos que podrían afectar a la capacidad del emisor para registrar, procesar, sintetizar y comunicar los datos de negocio son identificadas.

5.3 Evaluación de los resultados de los procedimientos de compromiso5.3.1 El auditor de SI debe revisar los resultados de los procedimientos de contratación para determinar si indicios de irregularidades o

actos ilegales pueden haber ocurrido.5.3.2 Cuando esta evaluación se realiza, los factores de riesgo identificados en la sección 4 debería revisar los procedimientos

reales que han realizado para ofrecer garantías razonables de que todos los riesgos identificados se han abordado.5.3.3 La evaluación también debe incluir una evaluación de los resultados de los procedimientos para determinar si los

indocumentados existen factores de riesgo.

6. EJECUCIÓN DE LAS TAREAS DE AUDITORÍA

6.1 En respuesta a posibles actos ilegales6.1.1 Durante un enfrentamiento, indicios de que la existencia de irregularidades o actos ilegales pueden venir a la atención de la SI de

los auditores. Si se detectan indicios de un acto ilegal, el auditor de SI debe considerar el efecto potencial sobre la materia objeto de la contratación, el informe y la organización.

Page 11: G2 G6, G8 G9 G13 y g15

6.1.2 Cuando el auditor de se da cuenta de la información relativa a un acto ilegal sea posible, el auditor de SI debe considerar la adopción de los siguientes pasos: Obtenga una comprensión de la naturaleza del acto Comprender las circunstancias en que se produjo. Obtener información de apoyo suficiente para evaluar el efecto de la irregularidad o acto ilegal. Realizar procedimientos adicionales para determinar el efecto de la irregularidad o acto ilegal y si los actos adicionales

existen.6.1.3 El auditor debe trabajar con el personal adecuado en la organización (tales como personal de seguridad de la organización),

incluida la gestión (en un nivel adecuado por encima de los implicados, si es posible), para determinar si una irregularidad o acto ilegal se ha producido y su efecto .

6.1.4 Cuando una irregularidad afecte a un miembro de la gestión, el auditor de SI debe reconsiderar la fiabilidad de las representaciones hechas por la administración. Como se dijo anteriormente, por lo general, el auditor de SI debe trabajar con un nivel adecuado de la gestión por encima de la asociada con la irregularidad o acto ilegal.

6.1.5 A menos que las circunstancias indican claramente lo contrario, el auditor de SI debe asumir que una irregularidad o acto ilegal no es un hecho aislado.

6.1.6 El auditor también deben revisar las partes pertinentes de los controles internos de la organización para determinar por qué no prevenir o detectar la presencia de una irregularidad o acto ilegal.

6.1.7 El auditor debe reconsiderar la evaluación previa de la suficiencia, el funcionamiento y la eficacia de la organización interna de controles.

6.1.8 Cuando el auditor de situaciones en las que ha identificado una irregularidad o acto ilegal existe (ya sea potencial o de hecho), el auditor de SI debe modificar los procedimientos para confirmar o resolver el problema identificado durante la ejecución de la contratación. El alcance de estas modificaciones o procedimientos adicionales depende de la es el juicio del auditor en cuanto a: Tipo de irregularidades o actos ilegales que hayan ocurrido Percepción de riesgo de su aparición Posible efecto sobre la organización, incluyendo las cosas tales como los efectos financieros y la reputación de la

organización La probabilidad de la repetición de irregularidades similares o actos ilegales Posibilidad de que la gestión puede tener conocimiento de, o estar involucrados con la ley, la irregularidad o ilegal Las acciones, en su caso, que el Consejo de Administración y / o de gestión se está Posibilidad de que el incumplimiento de las leyes y reglamentos que se ha producido sin querer Probabilidad de que un bien material o de otras sanciones, por ejemplo, la revocación de un certificado de no esenciales,

pueden ser impuestas como consecuencia de su incumplimiento. Efecto sobre el interés público que pueda resultar de la irregularidad.

6.2 Efecto de la que se detecten irregularidades 6.2.1 Si se han detectado irregularidades, el auditor de SI debe evaluar el efecto de estas actividades en los objetivos de auditoría y

sobre la fiabilidad de las pruebas de auditoría recopilados. Además, el auditor de SI debe considerar la posibilidad de continuar la auditoría cuando: • El efecto de las irregularidades que parece ser tan significativo que suficiente, la evidencia de auditoría confiable no se puede obtener • La evidencia de auditoría indica que los directores, o empleados que tienen un papel importante en los controles internos del emisor, han participado en irregularidades o tolerada

6.3 Efecto de los indicadores de localización de las irregularidades 6.3.1 Si las pruebas de auditoría indica que las irregularidades podrían haber ocurrido, el auditor de que:

• Recomendar a la gestión que el asunto sea investigado en detalle, o las acciones apropiadas. Si la sospecha es que el auditor de gestión está involucrado en la irregularidad, él / ella debe identificar la figura responsable correspondiente en la organización a la que estas conclusiones deben ser reportados. Si la presentación de informes internos resulta imposible, el auditor de SI debe considerar consultar con el comité de auditoría y asesoramiento jurídico sobre la conveniencia y los riesgos de informar sobre los resultados fuera de la organización. • Realizar acciones adecuadas para apoyar las conclusiones de la auditoría, las conclusiones y recomendaciones.

6.4 Consideraciones Legales 6.4.1 Si las pruebas de auditoría indica que una irregularidad que podría implicar un acto ilegal, el auditor de SI debe considerar la

búsqueda de asesoramiento jurídico directamente o recomendar que la gestión de buscar asesoramiento legal. El auditor puede querer definir la responsabilidad de los costes jurídicos en la carta de auditoría o carta de compromiso.

7. PRESENTACIÓN DE INFORMES

7.1 Comunicación Interna 7.1.1 La detección de irregularidades deben ser comunicados a las personas adecuadas en la organización de una manera oportuna.

La notificación debe ser dirigida a un nivel de gestión por encima de aquella en que las irregularidades que se sospecha que se han producido. Además, las irregularidades deben ser reportados a la junta directiva, comité de auditoría de la Junta, u órgano equivalente, salvo para los asuntos que son claramente insignificantes en términos de efectos financieros y las indicaciones de los puntos débiles de control. Si la sospecha es que el auditor de la gestión de todos los niveles están implicados, a continuación, los resultados deben ser reportados de manera confidencial a los órganos rectores de la organización, tales como la junta de directores o gobernadores, síndicos o comité de auditoría, de acuerdo con las regulaciones locales y leyes aplicables.

7.1.2 El auditor debe utilizar su juicio profesional al informar de una irregularidad o acto ilegal. El auditor debe discutir las conclusiones y la naturaleza, la duración y extensión de los procedimientos adicionales para llevar a cabo con un nivel adecuado de gestión que por lo menos un nivel por encima de las personas que parecen estar implicados. En estas circunstancias, es especialmente importante que el auditor de mantiene la independencia. En la determinación de las personas adecuadas para que informe a una irregularidad o acto ilegal, el auditor de SI debe considerar todas las circunstancias pertinentes, incluida la posibilidad de la participación de la alta dirección.

7.1.3 La distribución interna de los informes de irregularidades deben ser considerados cuidadosamente. La presencia y el efecto de las irregularidades es un tema delicado y de informar de ellos conlleva sus propios riesgos, incluyendo:• Más abuso de las debilidades de control como consecuencia de la publicación de detalles de ellos • Pérdida de clientes, proveedores e inversores, cuando la divulgación (autorizadas o no) se produce fuera de la organización • Pérdida de personal clave y de gestión, incluidos los que no participan en la irregularidad, como la confianza en la gestión y el futuro de la organización cae.

Page 12: G2 G6, G8 G9 G13 y g15

7.1.4 El auditor debe considerar la presentación de informes de la irregularidad por separado de cualquier otros problemas de auditoría si esto ayudaría en el control de la distribución del informe.

7.1.5 El auditor es el informe debe incluir: • Las políticas de críticas y prácticas adoptadas por la organización

• Si cualquier desviación de las normas generalmente aceptadas, la razón de la dirección de la desviación y dictámenes del auditor sobre tales desviaciones

7.1.6 El auditor debe tratar de evitar alertar a cualquier persona que pueda estar implicado o implicados en la irregularidad o acto ilegal, a la reducir el potencial de los individuos para destruir o eliminar las pruebas.

7,2 Exteriores de informes 7.2.1 Informes externos pueden ser una obligación legal o reglamentario. La obligación puede aplicarse a la gestión de la organización,

o los individuos involucrados en la detección de las irregularidades, o ambas cosas. No obstante lo responsabilidad de una organización para informar de un hecho ilícito o irregularidad, el auditor tiene el deber de confidencialidad a la organización se opone a informar de cualquier irregularidad potencial o identificados o actos ilegales. Sin embargo, en determinadas circunstancias, el auditor de puede ser obligado a revelar una irregularidad o acto ilegal. Estos incluyen cosas tales como: •Cumplimiento de requisitos legales o reglamentarios •Las solicitudes de auditor externo •Citación u orden judicial • Agencia de Financiación o agencia gubernamental, de conformidad con los requisitos para las auditorías de las entidades que reciben asistencia financiera gubernamental.

7.2.2 Si se exige la presentación de informes externos, el informe debe ser aprobado por el nivel adecuado de gestión de la auditoría externa antes de su liberación y también debe ser revisada con la gestión auditada por anticipado, a menos que la normativa aplicable o las circunstancias específicas de la auditoría de prevenir esto. Ejemplos de circunstancias específicas que pueden impedir la obtención de un acuerdo de gestión auditado, se destacan: •La participación activa de gestión auditado en la irregularidad.•Gestión de la aquiescencia pasiva auditado a la irregularidad

7.2.3 Si la administración auditado no está de acuerdo a la versión externa del informe y presentación de informes externos es una obligación legal o reglamentario, el auditor de SI debe considerar consultar con el comité de auditoría y asesoramiento jurídico sobre la conveniencia y los riesgos de informar sobre los resultados fuera de la organización. En algunas jurisdicciones, el auditor de puede ser protegida por el secreto cualificado. Incluso en situaciones en que se auditor son protegidos por el secreto, IS auditores deben buscar asesoramiento jurídico antes de tomar este tipo de divulgación a fin de que en realidad están protegidas por este privilegio.

7.2.4 El auditor, con la aprobación de la gestión de auditoría, debe presentar el informe a los reguladores adecuados en forma oportuna. Si la organización no ponen de manifiesto una irregularidad conocida o acto ilegal o requiere que el auditor de suprimir estos resultados, el auditor de SI debe buscar asesoría legal y asistencia letrada.

7.2.5 Cuando el auditor de gestión es consciente de que está obligada a informar las actividades fraudulentas a una organización independiente, el auditor de informar formalmente a la gestión de esta responsabilidad.

7.2.6 Si la irregularidad se ha detectado por un auditor de que no es parte del equipo de auditoría externa, el auditor de SI debe considerar la presentación del informe de los auditores externos de una manera oportuna.

7.3 Restricción de la Alcance de la auditoría 7.3.1 Cuando el alcance de la auditoría se ha restringido, el auditor de SI debe incluir una explicación de la naturaleza y efecto de esta

restricción en el informe de auditoría. Esta restricción se puede producir si:• El auditor no ha podido llevar a cabo los trabajos que se consideren necesarios para cumplir los objetivos de la auditoría inicial y el apoyo a las conclusiones de auditoría, por ejemplo, debido a las pruebas de auditoría fiables, la falta de recursos o de las restricciones impuestas a las actividades de auditoría de gestión • La administración no ha llevado a cabo las investigaciones recomendadas por el auditor de SI.

8 FECHA DE VIGENCIA

8.1 Esta directriz es efectiva para todas las auditorías es que comiencen a partir del 1 de marzo de 2000. Esta guía ha sido revisada y actualizada, junto con las irregularidades y sustituye G19 y actos ilícitos, a partir del 1 septiembre de 2008.

G13 USO DEL RIESGO DE AUDITORIA EN LA PLANEACION DE LA AUDITORIA

Page 13: G2 G6, G8 G9 G13 y g15

1. ANTECEDENTES

1.1. RELACION CON LAS NORMAS1.1.1. El Standard s5 “planeación de los estados: “el Auditor de SI deberá planear la cobertura de la auditoria para hacer frente a

los objetivos de auditoria, asimismo para cumplir con las leyes aplicables y con los standards profesionales de auditoria.1.1.2. El estándar S6, Desempeño de los trabajos de auditoria, el Auditor de SI deberá obtener evidencia suficiente y relevante,

para lograr los objetivos de auditoria. Los hallazgos de auditoria y sus conclusiones deberán ser respaldadas por un apropiado análisis e interpretación de esta evidencia.

1.1.3. El párrafo 2.4.1 de la Guía de Auditoria de SI G15 planeación del trabajo: “una evaluación del riesgo debe de ser hecho para proveer seguridad razonable de los asuntos materiales, esto deberá ser cubierto adecuadamente durante el trabajo de auditoria. Esta evaluación debe identificar áreas con elevado riesgo de que un problema material exista.

1.2. VRELACION CON LOS PROCEDIMIENTOS

1.2.1. Esta guía puede ser utilizada en combinación con el procedimientos de auditoria de P1 “medición de la evaluación del riesgo de SI”

1.3. RELACIÓN CON EL COBIT

1.3.1. La selección del material más relevante en COBIT aplicables al ámbito especial de la auditoría se basa en la elección que los especifica de los procesos COBIT para procesos de los SI, y las consideraciones de los controles objetivos y las practicas asociadas de manejo de COBIT. Para cumplir con la documentación de auditoria requeridos para los auditores de SI, el proceso en COBIT tiene más probabilidades de ser relevante, selectivo, este los clasifica como primarias y secundarias.

1.3.2. P09 Evaluar y gestionar los riesgos en los SI cumple con los requisitos que demandan los SI de analizar y comunicar los impactos potenciales en procesos de negocios y las metas por enfoque en el desarrollo de una estructura de manejo de riesgo, que este integrada con las estructuras de manejo de riesgo operacional, evaluación de riesgo, litigación de riesgo y la comunicación del riesgo residual.

1.3.3. ME2 Monitorear y evaluar los controles internos, es satisfecho en los negocios por los objetivos de proteger y ejecutar objetivos de los SI, cumpliendo con las leyes, regulaciones y contratos relativos a estos, enfocándose en monitorear el los procesos de control interno, para actividades relacionadas con los SI, e identificando oportunidades de mejora.

1.3.4. Referencias Secundarias: ME3 Garantías del cumplimiento normativo ME4 proveer al gobierno que rigen los SI

1.3.5 Los atributos de la información mas relevantes son: Primarios: confidencialidad, integridad, disponibilidad Secundarios: Efectividad, eficiencia, cumplimiento y fiabilidad

1.4 NECESIDAD POR UNA GUÍA

1.4.1 El nivel del trabajo de auditoria requerido para cumplir un objetivo especifico, es una decisión subjetiva hecha por el auditor de SI, el riesgo de llegar a una conclusión incorrecta basada en los hallazgos (dentro de auditoria basada en riesgo) es uno de los aspectos a ser tomados en cuenta por esta decisión. otro seria el considerado riesgo de error ocurrido in el área que esta siendo auditada (riesgo de Error). Practicas son recomendadas para la evaluación del riesgo en la realización de auditorias financieras, estas se basan en estándares de auditoria efectuadas por los auditores financieros, pero una guía es requerida sobre como aplicar dichas técnicas a la auditoria de SI.

1.4.2 Miembros de la administración también basan sus decisiones en cuanto a que nivel de control evaluación del riesgo es apropiado aceptar. Por ejemplo, la incapacidad de que una computadora no procese un periodo de tiempo, es una exposición que puede resultar en eventos indeseables e inesperados. Estas exposiciones pueden ser reducidas por una implementación adecuada de controles. Estos controles son ordinariamente, basados en estimaciones probabilísticas de ocurrencia de eventos adversos, y están destinados a disminuir estos. Por ejemplo, una alarma de fuego no previene el fuego, pero esta destinada a reducir el daño causado por este.

1.4.3 La presente guía provee el lineamiento aplicación de los estándares de auditoria de SI. El auditor en SI debe considerar esta, al determinar como lograr una implementación de los estándares S5 y S6, deberá usar su juicio profesional para esta tarea, y deberá estar preparada para justificar cualquier desviación.

2 PLANEACIÓN.

2.1 Selección de la metodología de evaluación de riesgo.2.1.1 Existen muchas metodologías de evaluación del riesgo disponibles, dentro de las cuales los auditores en SI deben escoger.

Estas van desde las más simples hasta las más complicadas, estas se basan en el juicio del auditor, las hay para efectuar cálculos complejos y aparentemente científicos, para proveer una valoración. El auditor de SI deberá considerar el nivel de complejidad y detallar apropiadamente la metodología para la organización que esta siendo auditada.

2.1.2 Los auditores en SI deben incluir, como mínimo, un análisis (con su metodología) de los riesgos en la entidad resultado de pérdida o disponibilidad de soporte de controles, integridad de los datos, o perdida de la confidencialidad de la información.

2.1.3 Todas las metodologías de evaluación del riesgo, confían en juicios subjetivos en algún punto del proceso (EJ, ponderación de parámetros). El auditor en SI deberá identificar las decisiones subjetivas requeridas, para usar una metodología en particular, y considerar si esos juicios pueden ser validados en un nivel de precisión adecuado.

2.1.4 A la hora de decidir cual es la metodología de evaluación del riesgo mas apropiada, el auditor en SI debe considerar lo siguiente: El tipo de información a ser recolectada (algunos sistemas usan los criterios financieros como una medida, eso no es

apropiado para la auditoria de SI) El costo del programa o de las licencias requeridas para usar tal o cual metodología. En que medida la información requerida estará disponible. En monto adicional de información requerida o que será recolectada antes de que la información fiable pueda ser obtenida,

y el costo de recolectar esta información (incluyendo el tiempo requerido que será invertido en el ejercicio de recolección) La opinión de otros usuarios a cerca de la metodología, y sus revisiones de que tan bien les ha ayudado a promover la

eficiencia y/o efectividad en sus auditorias. La voluntad de la administración para aceptar la metodología, como medio de determinar el tipo de nivel de trabajo de

auditoria llevada a cabo.

Page 14: G2 G6, G8 G9 G13 y g15

2.1.5 Una sola metodología de evaluación de riesgo no puede esperarse que sea apropiada en todas las situaciones, las condiciones que afectan las auditorias pueden cambiar todo el tiempo. Periódicamente el auditor de SI deberá reevaluar que tan apropiada sigue siendo la metodología de evaluación del riesgo adoptada.

2.2 Uso de la evaluación del riesgo2.2.1 Los auditores de SI debes usar las técnicas de evaluación de riesgos seleccionadas, en el desarrollo de todo el plan de la

auditoria y su planeación especifica. La evaluación del riesgo, en combinación con otras técnicas de auditoria, deben ser consideradas in orden de efectuar decisiones de planeación tales como: la naturaleza, extensión y tiempo en los que se efectuaran los procedimientos de auditoria las áreas del negocio que serán auditados la cantidad de tiempo y los recursos que serán utilizados en la auditoria

2.2.2 El auditor de SI debe considerar cada uno de los siguientes tipos de riesgo, determinando su nivel de totalidad: riesgo inherente riesgo de control riesgo de detección

2.3 RIESGO INHERENTE2.3.1 El riesgo inherente es la susceptibilidad que un área posee a un error, en el sentido que puede ser material individual o

conjuntamente con otros errores, asumiendo que esos errores no están relacionados al control interno. Por ejemplo, el riesgo inherente asociado con seguridad en los sistemas operativos, es ordinariamente alto, ya que el cambio, o incluso la divulgación de los datos o programas, a través de las debilidades de seguridad del sistema operativo, podría dar lugar a un falso manejo de la información o desventajas competitivas. En contraste el riesgo inherente asociado con la seguridad de una PC que no esta conectada a una red, cuando un apropiado análisis demuestra que estas no son utilizadas para propósitos de negocios-delicados, su riesgo es bajo.

2.3.2 El riesgo inherente para la mayoría de las auditorias en los sistemas de información, es alto, ya que los efectos de los errores se replican a muchas áreas de negocio. Sistemas y a muchos usuarios.

2.3.3 Dentro de la evaluación del riesgo inherente, el auditor de SI, debe considerar generalizada y detalladamente los controles de SI. Esto no aplica para circunstancias donde el auditor de SI esta asignado a evaluar únicamente los controles generales

2.3.4 Dentro de los controles generalizados, el nivel de control deberá ser considerado por el auditor de SI, para determinar el nivel apropiado de control dentro del área en cuestión deberá considerarse:

La integridad del manejo de los SI así como la experiencia y conocimiento Cambios en el manejo Presiones en el manejo de los SI que pueden predisponer, ocultar o declarar errónea la información (ejemplo:

proyectos de negocio grandes y críticos, actividad maliciosa de hackers). La naturaleza del negocio de la organización y sus sistemas (Ej.: el plan de e-commerce, complejidad de los sistemas,

la falta de sistemas integrados) Factores que afectan a la industria a la cual la compañía evaluada pertenece (Ej.: cambios en las tecnologías,

disponibilidad de soporte técnico) El nivel de la influencia de terceros en el control de los sistemas auditados (Ej.: debidos a la cadena de abastecimiento,

procesos de SI mercerizados, negocios conjuntos, acceso directo de los clientes) Verificar las fechas de auditorias previas.

2.3.5 En los controles de SI detallados, el auditor de SI debe considerar, el nivel apropiado, para la auditoria en cuestión de: Los hallazgos de las auditorias previas La complejidad de los sistemas en cuestión El nivel de manualidad de los procesos La susceptibilidad de perdida o apropiación indebida de los activos controlados por el sistema (Ej.: el inventario, la

planilla) La falta de picos de actividad en cierto tiempo durante el periodo auditado Actividades fuera de la rutina del día a día, del proceso de los SI (Ej.: uso de sistemas utilitarios para modificar info.) La integridad experiencia y habilidades del equipo que maneja y esta aplicando los controles de los SI.

2.4 RIESGO DE CONTROL2.4.1 El riesgo de control es aquel riesgo de sufrir algún error en el área auditada, y que este pueda ser material, individual o

combinado con otros errores, no será prevenido o detectado y corregido a tiempo basado en el sistema de control interno. Por ejemplo, el riesgo de control asociado con revisiones manuales de accesos a computadoras puede ser alto porque las actividades que requirieren investigación son a menudo extraviadas fácilmente, debido al volumen de accesos al equipo. El riesgo de control asociado con procedimiento de validación de la información computarizada, es ordinariamente bajo porque los procesos son consistentemente aplicados.

2.4.2 El auditor de SI debe evaluar el riesgo de control como alto, a menos que los controles relevantes sean: Identificados Evaluados como efectivos Probados, y que funciones apropiadamente

2.5 RIESGO DE DETECCION2.5.1 El riesgo de detección es aquel que los procedimientos sustantivos del auditor de SI no logran detectar un error que puede ser

material, individual o combinado con otros errores, Por ejemplo, el riesgo de detección asociado con la identificación de infracciones de seguridad en un sistema es algo porque los registros de todo el periodo auditado no están disponibles al momento de la auditoria. La detección del riesgo asociado con la identificación de la falta de planes de recuperación en caso de desastre es ordinariamente bajo, debido a que es verificable fácilmente.

2.5.2 En determinado nivel de pruebas sustantivas, el auditor de Si debe considerar lo siguiente: La evaluación del riesgo inherente La conclusión alcanzada en el riesgo de control siguiendo las pruebas de cumplimiento.

2.5.3 A un mayor riesgo de control se necesita mayor control y evidencia de auditoria. La mayor parte de la evidencia de auditoria debe obtenerse de los procedimientos sustantivos y de detalle.

3. EJECUCION DEL TRABAJO DE AUDITORIA

3.1 DOCUMENTACION

Page 15: G2 G6, G8 G9 G13 y g15

El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para realizar la auditoría.El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos, antes de su contratación.El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluir el grado de utilidad y la fiabilidad del trabajo del experto.El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoría. Dicha conclusión debe documentarse claramente.El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditoría suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la proporciona.

3.1.1 El auditor de SI debe considerar documentar las técnicas o metodologías utilizadas para la evaluación del riesgo, usadas para la auditoria en cuestión. La documentación por lo general debería incluir:

Una descripción de la metodología de evaluación del riesgo utilizada La identificación de exposiciones significantes y sus correspondientes riesgos El riesgo y sus exposiciones, que la auditoria proponer abordar La evidencia de auditoria utilizad apara respaldar la evolución del riesgo del auditor de SI.

El auditor de SI debe considerar la incorporación de otros expertos durante la auditoría cuando existan limitaciones que pudieran perjudicar el trabajo de auditoría a realizar o cuando se anticipe una ganancia en la calidad de la misma. Algunos ejemplos incluyen los conocimientos requeridos debido a la naturaleza técnica de las tareas que deben realizarse, escasos recursos de auditoría y restricciones de tiempo.

Un “experto” podría ser un auditor de SI procedente de una empresa contable externa, un consultor gerencial, un experto de TI o un experto en el área de la auditoría que ha sido nombrado por la alta gerencia o por el equipo de auditoría de SI.

Un experto podría ser interno o externo a la organización. Si un experto es contratado por otra parte de la organización, se puede confiar en el informe del experto. En algunos casos, esto puede disminuir la necesidad de cobertura de auditoría de SI aunque el auditor de SI no tenga acceso a la documentación de apoyo y a los documentos de trabajo. El auditor de SI debe tener cuidado al proporcionar una opinión en tales casos

4. FECHA EFECTIVA4.1 esta guía entrara en vigencia para todos las auditorias de SI comenzadas en o después del 1 de septiembre de 2000. La guía ha sido revisada y actualizada a la fecha de agosto 2008

G15 PLANIFICACIÓN 1. ANTECEDENTES

1.1 Relación con las normas de ISACA

Page 16: G2 G6, G8 G9 G13 y g15

1.1.1 Norma S5 Planificación, "El auditor debe planificar la cobertura de la auditoría de sistemas de información para abordar los objetivos de auditoría y para cumplir con las leyes y normas profesionales de auditoría."

1.2 Necesidad de lineamiento

1.2.1 El propósito de esta guía es definir los componentes del proceso de planificación como se indica en el estándar de la S5 IS normas de auditoría.

1.2.2 Esta guía también ofrece para la planificación en el proceso de auditoría para cumplir los objetivos fijados por COBIT.

2. PLANIFICACIÓN

2.1 Requerimientos del Negocio

2.1.1 Esta directriz se refiere a un proyecto de auditoría específicos en lugar de el plan completo de un departamento de auditoría o de grupo.

2.1.2 El auditor debe desarrollar un plan de auditoría que tiene en cuenta los objetivos de la entidad auditada relativos al área de auditoría y de su infraestructura tecnológica. En su caso, El auditor también debe considerar el área en estudio y su relación con la organización (estratégico, financiero y / o de derecho) y obtener información sobre el plan estratégico, incluido el plan estratégico.

2.1.3 El auditor debe tener una comprensión de la arquitectura de la información de la entidad auditada y de la dirección tecnológica de la entidad auditada para que puedas diseñar un plan adecuado para el presente y, en su caso, la tecnología de futuro de la entidad auditada.

2.1.4 Condiciones de referencia debe ser parte del plan de auditoría. 2.1.5 Una evaluación de riesgos y la priorización de los riesgos identificados para el área en estudio y de la organización es el medio

ambiente deben llevarse a cabo en la medida necesaria. Véase la Auditoría de la Orientación G13 Uso de evaluación de riesgos en la planificación de auditoría.

2.2 Conocimiento de la Organización de

2.2.1 Antes del comienzo de un proyecto de auditoría, la labor del auditor de SI debe ser planificado de una manera apropiada para alcanzar los objetivos de la auditoría. Como parte del proceso de planificación es auditores deben obtener una comprensión de la organización y sus procesos. Además de dar el auditor de la comprensión de las operaciones de la organización y sus necesidades es, este ayudará al auditor de determinar la importancia de los recursos es objeto de revisión en lo que respecta a los objetivos de la organización. auditores también deben establecer el alcance del trabajo de auditoría y realizar una evaluación preliminar de control interno sobre la función de una revisión.

2.2.2 El grado de conocimiento de la organización y sus procesos requeridos por el auditor de será determinado por la naturaleza de la organización y el nivel de detalle con el que el trabajo de auditoría se está realizando. El auditor puede requerir conocimientos especializados cuando se trata de operaciones inusuales o complejos. Un conocimiento más amplio de la organización y sus procesos normalmente será necesaria cuando el objetivo de la auditoría comprende una amplia gama de funciones de sistema de información más que cuando los objetivos son para funciones limitadas. Por ejemplo, una revisión con el objetivo de evaluar el control de sistema de nómina de una organización normalmente requeriría un entendimiento más profundo de la organización de una revisión con el objetivo de las pruebas de control de un sistema específico de programa de la biblioteca.

2.2.3 El auditor debe obtener una comprensión de los tipos de eventos, transacciones y prácticas que pueden tener un efecto significativo en la organización específica, una función, proceso o los datos que es objeto del proyecto de auditoría. El conocimiento de la organización debería incluir el negocio, financieros y de los riesgos inherentes que enfrenta la organización, así como las condiciones en el mercado de la organización. También debería incluir la medida en que la organización se basa en la contratación externa para cumplir sus objetivos. El auditor debe usar esta información para identificar los posibles problemas, la formulación de los objetivos y el alcance de la obra, realización de las obras y acciones de gestión para considerar que el auditor de SI debe estar alerta.

2.3 Materialidad

2.3.1 En el proceso de planificación, el auditor de SI ordinariamente debería establecer niveles de planificación de importancia tal que el trabajo de auditoría será suficiente para cumplir los objetivos de la auditoría y utilizará los recursos de auditoría de manera eficiente. Por ejemplo, en la revisión de un sistema existente el auditor de SI deberá evaluar la importancia relativa de los diversos componentes del sistema en la planificación del programa de auditoría de la labor a realizar. El auditor debe considerar los aspectos cualitativos y cuantitativos en la determinación de la materialidad. Para más información sobre la materialidad, consulte la Guía de Auditoría de G6 materialidad Conceptos para la Auditoría de Sistemas de Información.

2.4 Evaluación de Riesgos

2.4.1 La evaluación de riesgos debe hacerse para ofrecer garantías razonables de que todos los elementos materiales estarán debidamente cubiertos durante los trabajos de auditoría. Esta evaluación debería identificar las áreas con riesgo relativamente alto de la existencia de problemas materiales.

2.5 Evaluación de Control Interno

2.5.1 Auditoría de los proyectos debería incluir el examen de los controles internos, ya sea directamente como parte de los objetivos del proyecto de auditoría o como base para la dependencia de la información recopilada como parte del proyecto de auditoría. Cuando el objetivo es la evaluación de los controles internos de la IS auditor debe considerar la medida en que será necesario revisar esos controles. Cuando el objetivo es evaluar la eficacia de los controles durante un período de tiempo que el plan de auditoría debe incluir procedimientos adecuados para el cumplimiento de los objetivos de la auditoría, y esos procedimientos deberían incluir las pruebas de conformidad de los controles. Cuando el objetivo no es evaluar la eficacia de los controles

Page 17: G2 G6, G8 G9 G13 y g15

durante un período de tiempo, sino de identificar los procedimientos de control en un punto en el tiempo, las pruebas de conformidad de los controles pueden ser excluidas.

2.5.2 Cuando el auditor de evaluar los controles internos con el fin de poner la confianza en los procedimientos de control en apoyo de la información recopilada como parte de la auditoría, el auditor es, debe realizar una evaluación preliminar de los controles y desarrollar el plan de auditoría sobre la base de esta evaluación. Durante una revisión, el auditor de estudiará la conveniencia de esta evaluación para determinar el grado en que los controles pueden ser invocadas durante la prueba. Por ejemplo, en el uso de programas de ordenador para probar los archivos de datos, el auditor de SI debe evaluar los controles de la colección de programas que contienen los programas sean utilizados para fines de auditoría para determinar el grado en que los programas están protegidos de la modificación no autorizada.

3. DOCUMENTACIÓN

3.1 Planificación de Documentación

3.1.1 El IS papeles de trabajo del auditor debe incluir el plan de auditoría y el programa. 3.1.2 El plan de auditoría puede ser documentado en papel o en otra forma adecuada y recuperable.

3.2 Aprobación del Plan

3.2.1 En la medida en su caso, el plan de auditoría, programa de auditoría y cualquier modificación posterior deberá ser aprobado por la gestión de auditoría.

3.3 Programa de Auditoría

3.3.1 Un programa preliminar para una revisión de ordinario debe ser establecido por el auditor de antes del comienzo de la obra. Este programa de auditoría deben documentarse de manera que permita el auditor de registro de terminación de los trabajos de auditoría y determinar el trabajo que queda por hacer. Conforme avanza el trabajo, el auditor de SI debe evaluar la adecuación del programa, basados en la información recopilada durante la auditoría. Cuando el auditor de determina que los procedimientos previstos no son suficientes, el auditor de SI debe modificar el programa en consecuencia.

3.3.2 Dependiendo de los recursos de auditoría requeridos, el auditor de SI debe incluir la gestión de los recursos de personal necesarios en el plan de auditoría.

3.3.3 El plan de auditoría debe estar preparado para que sea en el cumplimiento de los requisitos relativos exterior además de la de Auditoría de Normas.

3.3.4 Además de un listado de los trabajos a realizar, el auditor de SI debe, en la medida de lo posible, preparar una lista de personal y otros recursos necesarios para completar el trabajo, un calendario de trabajo y un presupuesto.

3.3.5 En el curso de los trabajos, el auditor de SI debe considerar cambios en el programa de auditoría basado en la SI de evaluación del auditor de la adecuación del programa y el ES conclusiones preliminares del auditor.

4. FECHA DE VIGENCIA

4.1 Esta directriz es efectiva para todas las auditorías de los sistemas de información que comiencen a partir del 1 de Marzo de 2002