G2 REQUISITO DE EVIDENCIA DE AUDITORIA. 1. ANTECEDENTES.1 Relacin con las normas1.1.1 Norma S6 actuacin de la realizacin de las labores de auditoria "Durante el curso de la auditoria, el auditor de SI debe obtener evidencia suficientes, fiables y relevantes para lograr los objetivos de la auditoria. Los resultados de la auditoria y las conclusiones han de ser apoyadas por un anlisis adecuado y la interpretacin de esta evidencia.1.1.2 Norma S9 irregularidades y actos ilcitos de los estados El auditor de SI debe obtener pruebas suficientes y adecuados para determinar si la administracin u otros dentro de la organizacin tiene conocimiento de irregularidades real, supuesta o sospechada y actos ilegales "1.1.3 S13 estndar con el trabajo de otros expertos de los estados El auditor de SI debe proporcionar la opinin de auditora adecuada e incluyen la limitacin del alcance que las pruebas requeridas no se obtiene a travs de procedimientos de ensayo adicionales.1.1.4 Estndar S14 evidencia de auditora de los estados El auditor debe obtener pruebas suficientes y adecuadas para sacar conclusiones razonables en que basar los resultados de auditora. El auditor debe evaluar la suficiencia de las pruebas de auditora obtenidas durante la auditora1.1.5 Procedimiento P7 irregularidades y actos ilegales estados "Aunque el auditor de SI no tiene la responsabilidad explcita de detectar o prevenir las irregularidades, el auditor de SI debe evaluar el nivel de riesgo de posibles irregularidades. El resultado de la evaluacin de riesgos y otros procedimientos realizados durante la planificacin se debe utilizar para determinar la naturaleza, magnitud y oportunidad de los procedimientos realizados durante el enfrentamiento.1.2 Relacin con COBIT1.2.1 ME 2.3 excepciones de control de los estados Informacin de expediente sobre todas las excepciones de control y asegurarse de que conduce a un anlisis de la causa subyacente y las medidas correctivas. La gestin debe decidir qu excepciones deben ser comunicadas a la persona responsable de la funcin y que las excepciones deben ser escalado. Administracin tambin es responsable de informar a las partes afectadas.1.3 Necesidad de lineamiento1.3.1 El propsito de esta gua es orientar al auditor de SI a obtener pruebas de auditora suficiente y adecuada y sacar conclusiones razonables en los que basar los resultados de auditora.1.3.2 Esta gua ofrece orientacin en la aplicacin de las normas de auditora IS. El auditor DE SI debe considerar en la determinacin de la forma de lograr la aplicacin de la citada norma, usar el juicio profesional en su aplicacin y estar preparado para justificar cualquier desviacin.2. PLANEACION.2.1 Tipos de evidencia de auditora2.1.1 Para una descripcin de la evidencia adecuada, fiable y suficiente, consulte la seccin de comentarios en S14 estndar.2.1.2 Al planificar el trabajo de auditora SI, el auditor de SI debe tener en cuenta el tipo de evidencia de auditora que se reunieron, su utilizacin como pruebas de auditora para cumplir los objetivos de auditora y sus diversos niveles de fiabilidad. Entre las cosas que deben considerarse son la independencia y la capacidad profesional del prestador de las pruebas de auditora. Por ejemplo, la evidencia de auditora que corrobora de una tercera parte independiente puede ser ms confiable que la evidencia de auditora de la organizacin auditada. Pruebas de auditora fsica es generalmente ms fiables que las representaciones de un individuo.2.1.3 El auditor tambin debe considerar si las pruebas de los controles ha sido completada y confirmada por un tercero independiente y si se puede confiar en las pruebas.2.1.4 Entre los distintos tipos de evidencia de auditora que el auditor de SI debe considerar se incluyen: Los procesos observados y la existencia de elementos fsicos Pruebas de auditora documental Representaciones Anlisis2.1.5 Procesos observados y la existencia de elementos fsicos pueden incluir observaciones de las actividades, la propiedad y funciones de SI, tales como: Un inventario de los medios de comunicacin en un lugar de almacenamiento fuera de sitio. Una sala de seguridad del sistema informtico en la operacin2.1.6 Pruebas de auditora documental, grabado en papel o por otros medios, pueden incluir: Resultados de las extracciones de datos Los registros de las transacciones Listados de programas Facturas Actividad y el control de los registros Documentacin de desarrollo del sistema2.1.7 Las representaciones de los que estn siendo auditadas pueden ser evidencia de auditora, tales como: Las polticas y procedimientos escritos Sistema de diagramas de flujo Declaraciones escritas u orales2.1.8.1 Los resultados del anlisis de la informacin a travs de comparaciones, simulaciones, clculos y razonamiento tambin se puede utilizar como evidencia de auditora. Los ejemplos incluyen: La evaluacin comparativa es el rendimiento contra otras organizaciones o perodos anteriores Comparacin de las tasas de error entre aplicaciones, transacciones y usuarios2.2 Disponibilidad de pruebas de auditora2.2.1 El auditor de SI debe considerar el tiempo durante el cual la informacin existe o est disponible en la determinacin de la naturaleza, el tiempo, el alcance de las pruebas de fondo y, si procede, las pruebas de cumplimiento. Por ejemplo, la evidencia de auditora elaborados por el intercambio electrnico de datos (EDI), procesamiento de imgenes de documentos (DIP) y los sistemas dinmicos, tales como hojas de clculo puede no ser recuperable despus de un perodo de tiempo especificado si los cambios de los archivos no estn controlados o los archivos no estn respaldados arriba. Disponibilidad de la documentacin tambin se podran ver afectados por las polticas de retencin de la compaa documento.2.3 Seleccin de pruebas de auditora2.3.1 El auditor de SI debe planear el uso ms adecuado, confiable y suficiente evidencia de auditora posible y en consonancia con la importancia del objetivo de la auditora y el tiempo y el esfuerzo necesarios para obtener los datos de auditora.2.3.2 Cuando las pruebas de auditora obtenida en forma de representaciones orales es esencial para el dictamen de auditora o de conclusin, el auditor de SI debera considerar la obtencin de la confirmacin documental de las representaciones, ya sea en papel o por otros medios. El auditor debe tambin considerar otras pruebas para corroborar estas representaciones para garantizar su fiabilidad.3. EJECUCIN DE LAS TAREAS DE AUDITORA3.1 Naturaleza de la evidencia de auditora3.1.1 La evidencia de auditora debera ser suficiente, confiable, relevante y til para formarse una opinin o de apoyo de Los resultados del auditor de SI y las conclusiones. Si, segn el juicio del auditor de SI, la evidencia de auditora no cumple con estos criterios, el auditor de SI debe obtener evidencia de auditora adicional. Por ejemplo, un listado de programa no puede ser evidencia de auditora adecuada hasta que la evidencia de auditora que se ha reunido para comprobar que representa el programa real utilizado en el proceso de produccin.3.2 Recopilacin de pruebas de auditora3.2.1 Los procedimientos utilizados para reunir pruebas de auditora varan segn el sistema de informacin auditado. El auditor debe seleccionar el procedimiento ms adecuado, confiable y suficiente para el objetivo de la auditora. Los siguientes procedimientos deben ser considerados: Investigacin Observacin Inspeccin Confirmacin Seguimiento3.2.2 Lo anterior puede ser aplicado a travs de la utilizacin de procedimientos de control manual, con ayuda de computadora tcnicas de auditora, o una combinacin de ambos. Por ejemplo: -Un sistema que utiliza el control manual de los totales de balance de las operaciones de entrada de datos podra proporcionar evidencia de auditora que el procedimiento de control est en su lugar por medio de un informe debidamente conciliadas y comentados. El auditor debe obtener pruebas de auditora de revisin y control de este informe. -Los registros detallados de transacciones slo est disponible en formato legible por mquina que requiere el auditor de SI para obtener pruebas de auditora asistida por ordenador utilizando tcnicas de auditora. El auditor debe asegurarse de que la versin o tipo (s) de la computadora tcnicas de auditora asistidas (CAAT) que se utilizarn son actualizados y / o totalmente compatible con el formato (s) estructura de los registros detallados de transacciones en cuestin.3.2.3 Si existe la posibilidad de que los datos recabados pasarn a formar parte de un proceso legal, el auditor de SI debe consultar con el asesor jurdico apropiado para determinar si existen requisitos especiales que afectarn la manera en pruebas es necesario recoger, presentado y divulgada.3.3 Documentacin de auditora3.3.1 La evidencia de auditora reunida por el auditor de SI debe estar debidamente documentados y organizados para apoyar los hallazgos y conclusiones del auditor de SI.3.3.2 Para una discusin sobre la proteccin y conservacin de pruebas, consulte la seccin de comentarios en la estndar S14.4. PRESENTACIN DE INFORMES4.1 Restriccin del alcance. 4.1.1 En las situaciones en que el auditor cree que no puede obtenerse la evidencia de auditora suficiente, El auditor de SI debe revelar este hecho de forma coherente con la comunicacin de los resultados de la auditora.5. FECHA DE VIGENCIA5.1 Esta directriz es efectiva para todas las auditoras de los sistemas de informacin que comiencen a partir del 1 de diciembre de 1998. La gua ha sido revisada y actualizada a partir del 1 mayo de 2008. G6 CONCEPTO DE MATERIALIDAD PARA LA AUDITORIA DE SISTEMAS DE INFORMACION1. ANTECEDENTES1.1 Relacin con las Normas1.1.1 Estndar S5 Planeacin, El auditor de SI debe planear la cobertura de la auditora de sistemas de informacin para cubrir los objetivos de la auditoria y cumplir con las leyes aplicables y las normas profesionales de auditora.1.1.2 Estndar S10 Gobierno TI, establece que auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales, ambientales, y de la calidad de la informacin, as como los requisitos de fiduciario y seguridad.1.1.3 Estndar S12 Materialidad de La Auditora. El auditor de SI debe considerar la materialidad de la auditora y su relacin con el riesgo de auditora a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditora.. Mientras planifica la auditora, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de informacin. El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de informacin.1.1.4 Estndar S9 Irregularidades y Acciones Ilegales, Si el auditor de SI ha identificado una irregularidad material o accin ilegal que involucra a la gerencia o a empleados que tienen funciones significativas en el control interno, el auditor de SI debe comunicarlo sin demora a los responsables del gobierno corporativo.1.2 Relacin con COBIT1.2.1 El PO5 ( Planear y Organizar) Administrar la Inversin en tecnologa de informacin "satisface el requisito comercial para la TI de continuamente y demostrablemente mejorando la eficiencia costada de tecnologa de la informacin y su contribucin para la rentabilidad comercial con servicios integrados y estandarizados en los que satisfacen las expectativas de usuarios finales enfocando la atencin en decisiones efectivas y de tecnologa de la informacin de eficiente inversin y del portafolio, y sedimentndose y rastreando presupuestos de TI en conformidad con la estrategia de tecnologa de la informacin y las decisiones de inversin"1.2.2 AI1. Identificar soluciones automatizadas "satisface el requisito comercial para las TI de traslado de negocios funcionales y requerimientos de controles en un efectivo y eficiente desempeo de soluciones automatizadas enfocando la atencin en identificar tcnicas factibles y eficientes en base a costos"1.2.3 DS10 Administracin de problemas "satisface el requisito comercial para la tecnologa de la informacin de" usuarios finales "que asegura la satisfaccin con servicio ofrecidos y los niveles de servicio; Reducir entrega de solucin y de servicio defectuosos y revisin enfocado en la atencin esperada, rastreando y resolviendo problemas operacionales; Investigando la raz de la causa de todos los problemas significativos; Y definiendo soluciones para problemas identificados de operaciones "1.2.4 DS13 Administracin de operaciones satisface el requisito comercial para los TI de integridad de mantenimiento de los datos integrados y asegurando que la infraestructura de los TI pueda resistir al encubrimiento de errores y fracasos enfocando la atencin en encontrando niveles operacionales de servicio para datos programados en proceso, protegiendo las salidas sensitiva, y monitoreando el mantenimiento de la infraestructura"1.2.5 El ME4 Proporcionar Gobierno de TI " satisface el requisito comercial para la TI integrando el gobierno de TI con objetivos corporativos de gobierno; Accediendo a leyes y regulaciones enfocado en la preparacin de reportes en estrategias de TI, para acciones y riesgos; y respondiendo a los requisitos de gobierno en conformidad con instrucciones de la direccin1.2.6 La seleccin del material ms pertinente en COBIT aplicable para el alcance de la auditora particular se basa en la eleccin de procesos especficos de tecnologa de la informacin COBIT y consideracin de objetivos de control de COBIT y asociadas con las actividades de la gerencia. Para responsabilizarse por la materialidad del concepto de auditoria de sistemas de informacin, por el auditor de SI, los procesos en COBIT ms probable para ser pertinente, seleccionados y adaptados estn clasificados como primarios y secundarios como sigue. el proceso y control de los objetivos para ser seleccionados y adaptados puede variar dependiendo del alcance especfico y las condiciones de referencia de la asignacin..1.2.7 Referencias Secundarias:a. PO8 Administrar la calidadb. PO9 Evaluar y Administrar los riesgos de TIc. AI2 Adquirir y mantener software Aplicativod. AI3 Adquirir y mantener infraestructura tecnolgicae. AI4 Facilitar la Operacin y el usof. AI5 Adquirir recursos de TIg. AI6 Administrar cambiosh. DS3 Administra el desempeo y la capacidadi. DS5 Garantizar la seguridad de los sistemasj. DS9 Administrar la configuracink. ME1 Monitorear y Evaluar el desempeo de TIl. ME2 Monitorear y Evaluar el control Interno1.2.8 Los criterios de informacin ms pertinentes para auditar materialidad son:a. Primarios: Confidencialidad, integridad, conformidad, fiabilidadb. Secundarios: Eficiencia, Eficacia, disponibilidad.2. NECESIDAD DE LINEAMIENTO2.1 Los Auditorias financieras vrs sistemas de informacin.2.1.1 A diferencia de los auditores financieros, los auditores de sistemas de informacin requieren un criterio diferente para medir la importancia relativa. Los auditores financieros la medida de importancia es normalmente en trminos monetarios, ya que lo que la auditoria tambin se mide y se comunic en trminos monetarios. Los auditores de sistemas de informacin normalmente realizan auditorias de los productos no financieros, E.G, controles de acceso fsico, controles de acceso lgico, los controles de cambio de programa y los sistemas de administracin de personal, control de fabricacin, diseo, control de calidad, la generacin de contraseas, la produccin de tarjetas de crdito y de atencin al cliente, Por tanto, los auditores de sistemas de informacin necesitan la orientacin sobre cmo la importancia relativa que deben ser evaluada para planificar sus auditorias de manera efectiva, cmo concentrar sus esfuerzos en las zonas de alto riesgo y cmo evaluar la gravedad de los errores o insuficiencias detectadas.2.1.2 Esta gua ofrece una orientacin en la aplicacin de las normas de auditora sobre la importancia relativa en la auditora. El auditor de SI debe considerar la determinacin de la forma de lograr la aplicacin de la citada norma, utilizando el juicio profesional en su aplicacin y estar preparado para justificar cualquier desviacin3 PLANEACION3.1 Evaluacin de la materialidad3.1.1 La evaluacin de lo que es material es una cuestin de juicio profesional y se incluye el examen de los efectos y/o el efecto potencial sobre la capacidad de la organizacin para cumplir sus objetivos de negocio en caso de errores, omisiones, irregularidades y actos ilegales que puedan surgir como resultado de deficiencias de control en la zona objeto de la auditora.3.1.2 Para la evaluacin de la materialidad, el auditor de SI debe tener en cuenta: El nivel global de error aceptable para la gestin, el auditor de SI, otros organismos reguladores e interesados El potencial de pequeos errores acumulativos o debilidades convertidas en material.3.1.3 Para cumplir con los objetivos de la auditora, el auditor de SI debe identificar los objetivos de control pertinentes y, con base en la tasa de tolerancia al riesgo, determinar lo que debe ser examinado. Con respecto a un objetivo especfico de control, un control material es un grupo de control o de los controles sin que los procedimientos de control no ofrecen garantas suficientes de que el objetivo de control se cumplirn.3.1.4 Cuando el objetivo de la auditora se refiere a los sistemas o las operaciones que procesan las transacciones financieras, medida que el auditor financiero de importancia deben ser considerados al mismo tiempo la realizacin de la SI de auditora.3.1.5 El auditor SI debe determinar el establecimiento de funciones y responsabilidades, as como una clasificacin de los activos de informacin en trminos de confidencialidad, disponibilidad e integridad, reglas de control de acceso sobre los privilegios de gestin y clasificacin de la informacin basada en el grado de criticidad y riesgo de exposicin. La evaluacin debe incluir la verificacin de: La informacin almacenada El hardware de sistemas de informacin. La arquitectura y el software de sistemas de informacin La infraestructura de la red de los sistemas de informacin. Las operaciones de los sistemas de informacin El Desarrollo y medio ambiente de prueba3.1.6 El auditor SI debe determinar si la deficiencia de TI en general podran convertirse en material. La importancia de estos controles deficientes de TI en general deben ser evaluados en relacin a su efecto en los controles de aplicacin, I. e, si los controles de aplicacin asociados tambin son ineficaces. Si la deficiencia es causada por la aplicacin de control de la TI en general, a continuacin, son materiales. Por ejemplo, si una aplicacin basada en el clculo de impuestos es materialmente mal y fue causado por los controles de cambio de los pobres a las tablas de impuestos, la aplicacin basada en el control (clculo) y el control general (cambios) son materialmente dbiles.3.1.7 El auditor de sistemas de informacin debe evaluar una deficiencia de control de TI en general en relacin a su efecto en los controles de aplicacin y cuando se suman en contra de las deficiencias de control. Por ejemplo, una decisin de gestin para corregir una deficiencia de los controles de TI en general y su reflexin sobre el medio ambiente asociados pueden convertirse en material de control, sumados a las deficiencias de control que afectan el entorno de control.3.1.8 El auditor de sistemas de informacin tambin debe tener en cuenta que el fracaso para remediar una deficiencia podra llegar a ser material. 3.1.9 El auditor de sistemas de informacin debera considerar la posibilidad de obtener cierre de emisin de las partes interesadas apropiadas admitiendo que han revelado la debilidad material existente que se dan dentro de la organizacin. 3.1.10 Los siguientes son ejemplos de medidas que se deben considerar para evaluar la importancia relativa: Importancia de los procesos de negocios apoyados por el sistema de operacin Importancia de las bases de datos soportadas por el sistema de operacin El nmero y tipo de aplicacin desarrollada Nmero de usuarios que utilizan los sistemas de informacin Nmero de gerentes y directores que trabajan con los sistemas de informacin clasificados por los privilegios Importancia de las comunicaciones de red soportada por el sistema de operacin El costo del sistema o la operacin (hardware, software, personal, servicios de terceros, los gastos generales o una combinacin de estos) El costo potencial de errores (posiblemente en trminos de prdida de ventas, reclamos de garanta, los costos de desarrollo irrecuperables, , el costo de publicidad requerido para advertencias, la rectificacin cuesta, salud y la seguridad cuesta, innecesariamente costos de produccin altos, derroche alto, etc.) Costo de la prdida en trminos de informacin crtica y vital de dinero y tiempo para reproducir se La efectividad de contramedidas Nmero de accesos / transacciones / solicitudes tramitadas por cada perodo La naturaleza, duracin y extensin de los informes preparados y archivos mantenidos La naturaleza y cantidades de materiales manipulados (por ejemplo, donde se registran los movimientos de inventario, sin valores) Los requisitos del Acuerdo de Servicio nivel y costo de las sanciones posibles Sanciones por el incumplimiento de requisitos legales, reguladores y contractuales Sanciones por el incumplimiento de los requisitos de seguridad pblica 3.1.11 Los fracasos de control potencialmente pueden conducir al perjuicio econmico, la posicin competitiva, la prdida de confianza o la prdida de reputacin, con la excepcin de daar la imagen corporativa. El auditor de sistema debe evaluar los riesgos frente a las posibles contramedidas.4 PRESENTACION DE INFORMES4.1 Identificacin de cuestiones notificables.4.1.1 Determinando los descubrimientos, conclusiones y las recomendaciones a ser reportado, el auditor de Sistema Informacin debera considerar la materialidad de cualquier error que podra obtenerse como resultado de las debilidades de controles. 4.1.2 La auditora es usada por la gerencia para obtener una declaracin de seguridad de controles de SI, La suficiencia de controles debe identificar una opinin incompetente es decir que los controles estn de conformidad con los controles generalmente aceptados en la practica para responsabilizarse por los objetivos de control, falta de cualquier prcticas de control material para responsabilizarse por los objetivos de control, falta de cualquier debilidad material de control.4.1.3 Una de las debilidades de control debe ser considerado importante y, por consiguiente, notificada, si la ausencia del resultado de control en el fracaso para proveer seguridad razonable del objetivo de control ser por el que se responsabiliz. Si el trabajo del auditor identifica debilidades materiales de control, entonces el auditor de SI debera considerar dar una opinin adversa conforme al objetivo de la auditora. 4.1.4 Dependiendo de los objetivos de la auditora, el auditor de SI debera de considerar reportar las debilidades a la gerencia que no son materiales, particularmente cundo el costo de fortalecer los controles andan bajos.5. FECHA DE VIGENCIA5.1 Esta Gua ser efectiva para todo comienzo de auditora de SI antes o despus del 1 de septiembre de 1999. La Gua ha sido revisada y actualizada al 1 de septiembre de 2008.G8 DOCUMENTACION DE AUDITORIA1. ANTECEDENTES1.1 Relacin con las normas1.1.1 Norma de auditoria de SI Planeacin (Documento No. S5)El auditor de SI debe desarrollar y documentar un plan de auditoria que detalle la naturaleza y los objetivos de la auditoria, los plazos y alcance, as como los recursos requeridos.1.1.2 Norma de auditoria de SI Realizacin de Labores de auditoria (Documento No. S6)Durante el transcurso de la auditoria, el auditor de SI debe obtener evidencia suficiente, confiable y pertinente para alcanzar los objeticos de auditoria. Los hallazgos y conclusiones de la auditoria debern ser soportados mediante un apropiado anlisis e interpretacin de dicha evidencia. El proceso de auditoria deber documentarse describiendo las labores de auditoria realizadas y la evidencia de auditoria que respalde los hallazgos y conclusiones del auditor de SI.1.1.3 Norma de auditoria de SI Reporte (Documento No. S7)El auditor de SI debe suministrar un informe en un formato apropiado, al finalizar la auditoria. El informe de auditoria deber indicar el alcance, los objetivos, el periodo de cobertura y la naturaleza, plazo y extensin de las labores de auditoria realizadas. El informe debe indicar los hallazgos, conclusiones y recomendaciones, as como cualquier reserva, calificacin o limitacin que el auditor de SI tuviese en cuanto al alcance de la auditoria. Al emitirse el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los trminos del estatuto de auditoria o carta de compromiso.1.1.4 Norma de auditoria de SI Materialidad de auditoria (Documento No. S12)El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, as como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.1.1.5 Norma de auditoria de SI Uso del trabajo de otros expertos (Documento No. S13)El auditor de Si debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoria. Dicha conclusin debe documentarse claramente.1.2 Relacin con COBIT1.2.1 PO1 Definir un plan estratgico de TI, satisface el requisito de negocio de TI de mantener o ampliar la estrategia de negocio y los requisitos de gobierno mientras que ser transparentes acerca de los beneficios, los costos y los riesgos, centrndose en la incorporacin de TI y la gestin empresarial en la traduccin de los negocios a requisitos en las ofertas de servicios y el desarrollo de estrategias para ofrecer estos servicios de manera transparente y eficaz. 1.2.2 PO8 gestin de la calidad, satisface el requisito de negocio de TI de continuo y mensurables la mejora de la calidad de los servicios prestados por IT se centra en la definicin de sistema de gestin de la calidad (SGC), supervisin de la ejecucin en curso contra objetivos definidos y aplicacin de un programa de mejora continua de servicios de TI.1.2.3 AI6 Administrar cambios, satisface el requisito de negocio de TI de responder requisitos en la alineacin con la estrategia de negocios, mientras que la reduccin de la solucin y la prestacin de servicios defectos y trabajo, centrndose en la evaluacin de impacto de control, la autorizacin y ejecucin de todos los cambios a la infraestructura de TI, aplicaciones y soluciones tcnicas, minimizando los errores debidos a la solicitud incompleta, y detener la aplicacin de cambios no autorizados.1.2.4 DS1 Definir y gestionar el servicio, satisface el requisito de negocio de TI para garantizar la alineacin de los principales servicios de TI con la estrategia de negocio, centrndose en la identificacin de necesidades de servicio, de acuerdo los niveles de servicio y control de la consecucin de niveles de servicio. 1.2.5 ME2 Supervisar y evaluar el control interno, cumple el requisito de negocio de TI de la proteccin del logro de los objetivos de TI y el cumplimiento de TI relacionados con las leyes y reglamentos, centrndose en seguimiento del control interno de los procesos de TI relacionados con las actividades y la identificacin acciones de mejora. 1.2.6 ME3 Asegurar el cumplimiento reglamentario, cumple el requisito de negocio de TI para el cumplimiento de las leyes y reglamentos, centrndose en la identificacin de todas las leyes y reglamentos aplicables y el correspondiente nivel de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no - conformidad.1.2.7 Los criterios de informacin ms relevantes son: Primario: fiabilidad, disponibilidad, eficiencia e integridad Secundario: Eficacia y confidencialidad 1.3 Necesidad de Lineamiento 1.3.1 El propsito de esta gua es describir la documentacin que el auditor de SI debe preparar y mantener para apoyo de la auditora. 1.3.2 Esta gua ofrece orientacin en la aplicacin de las normas de auditora IS. El auditor debe considerar determinar la forma de lograr la aplicacin de las normas anteriores, usar el juicio profesional en su aplicacin y estar preparado para justificar cualquier desviacin. 2. PLANIFICACIN Y EJECUCIN 2.1 Documentacin de Contenidos 2.1.1 La documentacin de auditora es el registro de la auditora, de los trabajos realizados y las pruebas de auditora, las conclusiones y recomendaciones. La documentacin de auditora debe ser completa, clara, estructurada, indexado, fcil de usar y de entender por el revisor. El uso potencial de la documentacin incluye, pero no estn limitados a: Demostracin de la medida en que el auditor ha cumplido con las Normas de Auditora. Demostracin de las prestaciones de auditora para cumplir con los requisitos segn la Carta de Auditora. Asistencia en la planificacin, ejecucin y revisin de las auditorias. Facilitacin de comentarios de terceros. Evaluacin del programa de auditora en la funcin de control de calidad. Apoyo en circunstancias tales como reclamaciones de seguros, los casos de fraude, las controversias y demandas. Asistencia con el desarrollo profesional del personal. 2.1.2 La documentacin debe incluir, como mnimo, un registro de: Examen de la documentacin de auditorias anteriores. La planificacin y preparacin del alcance de la auditora y los objetivos. IS auditores deben tener una comprensin de la industria, el dominio de negocio, procesos de negocios, productos, soporte del proveedor y de medio ambiente en general que se examina. Actas de las reuniones de revisin de la gestin, las reuniones del comit de auditora y de auditora relacionados con otras reuniones. El programa de auditora y procedimientos de auditora que satisfaga los objetivos de la auditora. Los procedimientos auditora realizados y las pruebas de auditora que se reunieron para evaluar las fortalezas y debilidades de los controles. Los resultados de la auditora, las conclusiones y recomendaciones. Cualquier informe emitido como resultado de los trabajos de auditora. Revisin supervisora.2.1.3 El alcance de la documentacin del auditor depende de las necesidades de una auditora especial y debe incluir cosas tales como: La comprensin del auditor de las reas a auditar y su entorno. La comprensin del auditor de los sistemas de procesamiento de la informacin y el control interno de medio ambiente, incluido el: Entorno de control Los procedimientos de control Evaluacin del riesgo de deteccin Evaluacin de riesgos de control Igualar el riesgo total de auditoria El autor y la fuente de la documentacin de auditora y la fecha de su conclusin. Los mtodos utilizados para evaluar la adecuacin del control, la existencia de la debilidad de control o la falta de controles e identificar los controles de compensacin. La evidencia de auditora, la fuente de la documentacin de auditora y la fecha de finalizacin, incluyendo: Pruebas de conformidad, que se basan en las polticas de prueba, los procedimientos y los derechos de la segregacin. Las pruebas de fondo, que se basan en procedimientos analticos, los saldos de las cuentas detalladas de ensayo y otros procedimientos sustantivos de auditora. Acuse de recibo de la persona adecuada de la recepcin del informe de auditora y los resultados. Auditado respuesta a las recomendaciones. El control de versiones, sobre todo cuando la documentacin est en los medios de comunicacin electrnicos. 2.1.4 La documentacin debe incluir la informacin pertinente requerida por la ley, los reglamentos gubernamentales o las normas profesionales. 2.1.5 La documentacin debe ser presentada al comit de auditora para su revisin y aprobacin. 3. DOCUMENTACIN 3.1 Custodia, retencin y recuperacin 3.1.1 Las polticas y procedimientos deben estar en vigencia para comprobar y garantizar la custodia y adecuada conservacin de la documentacin que apoya resultados de la auditora y las conclusiones durante un perodo suficiente para satisfaccin legal, profesional y de requisitos organizacionales. 3.1.2 La documentacin debe ser organizada, almacenada y protegida de forma adecuada en los medios en que se mantiene y debe seguir siendo fcilmente recuperable por un tiempo suficiente para satisfacer las polticas y procedimientos definidos anteriormente. 4. FECHA DE VIGENCIA 4.1. Esta directriz revisada esta vigente para todas las auditorias que comiencen a partir del 1 de septiembre de 1999. La gua ha sido revisada y actualizada a partir del 1 marzo de 2008. G9 CONSIDERACIONES DE AUDITORA DE LAS IRREGULARIDADES Y ACTOS ILCITOS1. ANTECEDENTES1.1 Relacin con las normas1.1.1 Norma S3 tica Profesional y los estados de normas: "El auditor debe ejercer la debida diligencia profesional, incluida la observancia de las normas aplicables de auditora profesional".1.1.2 Norma S5 Planificacin: "El auditor debe planificar la cobertura de la auditora de sistemas de informacin para abordar los objetivos de auditora y para cumplir con las leyes y normas profesionales de auditora".1.1.3 Norma S6 actuacin de los Estados trabajo de auditora: Durante el curso de la auditora, el auditor de SI debe obtener evidencia suficiente, confiable y relevante para alcanzar los objetivos de la auditora. Los resultados de la auditora y las conclusiones han de ser apoyadas por un anlisis adecuado y la interpretacin de esta evidencia ".1.1.4 Estndar S7 Estados informantes: "El auditor deber presentar un informe, en una forma apropiada, a la realizacin de la auditora. El informe de auditora deber indicar el alcance, los objetivos, el perodo de cobertura, y la naturaleza, el calendario y el alcance del trabajo de auditora realizado. El informe debe indicar los resultados, conclusiones y recomendaciones y las reservas o las cualificaciones o limitaciones en el alcance que el auditor de ha con respecto a la auditora ".1.1.5 Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones por los auditores es sobre irregularidades y actos ilcitos.1.2 Relacin con COBIT1.2.1 La seleccin de los materiales ms relevantes en COBIT aplicables al mbito de la auditora especial se basa en la eleccin de los procesos de TI de COBIT especficos y la consideracin de objetivos de control de COBIT y prcticas de gestin asociadas. Para hacer frente a las consideraciones de auditora de los auditores es con las irregularidades y actos ilegales, los procesos de COBIT ms probabilidades de ser relevantes, seleccionadas y adaptadas se clasifican aqu como primaria y secundaria. El proceso y los objetivos de control para ser seleccionadas y adaptadas pueden variar en funcin del mbito especfico de aplicacin y los trminos de referencia de la cesin.1.2.2 Las referencias principales son COBIT: PO5 Administrar la inversin en TI PO7 Administrar los recursos humanos de TI PO9 Evaluar y manejar los riesgos de TI PO10 Administrar proyectos AI1 Identificar soluciones automatizadas AI5 Procurar recursos de TI Me2 Supervisar y evaluar los controles internos ME3 Asegurar el cumplimiento normativo ME4 Proporcionar el gobierno de TI1.2.3 Las referencias secundarias son COBIT:PO3 Determinar la direccin tecnolgica PO4 Definir los procesos de TI, la organizacin y las relaciones de PO8 gestin de la calidad DS7 Educar y formar a los usuarios DS10 Administrar los problemas ME1 Monitorear y evaluar el desempeo de TI1.2.4 Las ms relevantes son los criterios de informacin de COBIT:Primaria: El cumplimiento, la confidencialidad, integridad y disponibilidad Secundaria: La fiabilidad, la eficiencia y la eficacia1.3 Necesidad de Lineamiento1.3.1 El propsito de esta gua es proporcionar orientacin a los auditores es para hacer frente a las actividades irregulares o ilegales que puedan parecer, durante el desempeo de las tareas de auditora.1.3.2 Norma S9 irregularidades y actos ilegales elabora sobre los requisitos y las consideraciones de los auditores es con las irregularidades y actos ilegales. Esta gua ofrece orientacin en la aplicacin de las normas de auditora IS. El auditor debe considerar en la determinacin de la forma de lograr la aplicacin de las normas previamente identificados, usar el juicio profesional en su aplicacin y estar preparado para justificar cualquier desviacin.2. DEFINICIONES2.1 No actividades irregulares fraudulentas2.1.1 No todas las irregularidades deben ser consideradas las actividades fraudulentas. La determinacin de las actividades fraudulentas depende de la definicin legal de fraude en la jurisdiccin relativa a la auditora. Las irregularidades incluyen, pero no limitado a, la elusin deliberada de los controles con la intencin de ocultar la perpetuacin de fraude, uso no autorizado de los bienes o servicios, y la complicidad o la ayuda a ocultar este tipo de actividades. Las irregularidades no fraudulentas pueden incluir: Violaciones intencional de la poltica de gestin establecidos. Violaciones intencional de los requisitos reglamentarios. Errores u omisiones deliberadas de la informacin. En cuanto a la superficie de auditora o de la organizacin como un todo. Negligencia grave. No intencionales actos ilegales2.2 Irregularidades y actos ilcitos2.2.1 Irregularidades y actos ilegales pueden incluir actividades tales como, pero no limitado a:

El fraude, que es cualquier acto que implique el uso de engao para obtener ventaja ilegal. Los actos que implican el incumplimiento de las leyes y reglamentos, incluyendo el fracaso de los sistemas de TI para cumplir con las leyes y reglamentos aplicables. Los actos que implican el incumplimiento de los acuerdos de la organizacin y los contratos con terceros, tales como bancos, proveedores, vendedores, proveedores de servicios y partes interesadas. La manipulacin, la falsificacin, la falsificacin o alteracin de registros o documentos (ya sea en formato electrnico o en papel). Supresin u omisin de los efectos de las transacciones de los registros o documentos (ya sea en formato electrnico o en papel). Fugas inapropiado o deliberada de informacin confidencial. Registro de las transacciones en los registros financieros o de otro tipo (ya sea en formato electrnico o en papel) que carecen de sustancia y se sabe que son falsos. La apropiacin y uso indebido de IS-IS y no activos. Los actos intencionales o no intencionales, que violan la propiedad intelectual (IP), tales como los derechos de autor, marcas o patentes. La concesin de acceso no autorizado a la informacin y sistemas. Los errores en los registros financieros o de otro tipo que surgen debido a un acceso no autorizado a los datos y sistemas.2.2.2 La determinacin de si un determinado acto es ilegal por lo general se basa en el asesoramiento de un experto inform calificado para ejercer la abogaca o pueden tener que esperar la determinacin final por un tribunal de justicia. El auditor debe preocuparse principalmente con el efecto o el efecto potencial de la accin irregular, con independencia de si el acto ha sido confirmado o presunto de ilegales.3. RESPONSABILIDADES3.1 Responsabilidades de administracin3.1.1 Es principalmente la responsabilidad de gestin para prevenir y detectar las irregularidades y actos ilcitos.3.1.2 Gestin suelen utilizar los siguientes medios para obtener una seguridad razonable de que las irregularidades y actos ilegales son prevenir o detectar en forma oportuna: Disear, implementar y mantener sistemas de control interno para prevenir y detectar irregularidades o actos ilegales. Los controles internos incluyen la revisin de las transacciones y procedimientos de aprobacin y revisin de la gestin. Polticas y procedimientos que rigen la conducta de los empleados. Validacin de cumplimiento y procedimientos de vigilancia. Disear, implementar y mantener sistemas adecuados para la notificacin, registro y gestin de los incidentes relacionados con irregularidades o actos ilegales.3.1.3 La gestin debe revelar al auditor de su conocimiento de las irregularidades o actos ilegales y las zonas afectadas, supuesta, presunta o probada, y la accin, si las hubiere, adoptadas por la administracin.3.1.4 Cuando un acto de irregularidad o ilegalidad se alega, se sospecha ni se detecta, la gestin debera ayudar en el proceso de la investigacin y la indagacin.3.2 Responsabilidades de los Auditores de SI3.2.1 El auditor de SI debera considerar la posibilidad de definir en la carta de auditora o carta de compromiso de las responsabilidades de gestin y auditora con respecto a la prevencin, deteccin e irregularidades de presentacin de informes, para que estos se entienden claramente para todos los trabajos de auditora. Cuando estas funciones ya estn documentados en la poltica de la organizacin o documento similar, la Carta de Auditora debe incluir una declaracin a ese efecto.3.2.2 El auditor de SI debe entender que los mecanismos de control no elimina completamente la posibilidad de irregularidades o actos ilegales que ocurren. El auditor de SI es responsable de evaluar el riesgo de irregularidades o actos ilegales que ocurren, evaluar el impacto de las irregularidades detectadas, y el diseo y la realizacin de pruebas que son apropiadas para la naturaleza de la misin de auditora. El auditor puede esperarse razonablemente para detectar: Irregularidades o actos ilegales que podran tener un efecto material en cualquiera de la zona bajo control o de la organizacin en su conjunto. Deficiencias en los controles internos que podran dar lugar a importantes irregularidades o actos ilegales que no se eviten o detecten.3.2.3 El auditor no es profesional y responsable para la prevencin o deteccin de irregularidades o actos ilegales. Una auditora no puede garantizar que las irregularidades se detecten. Incluso cuando una auditora es proyectado y realizado de forma adecuada, las irregularidades podran pasar desapercibidas, por ejemplo, si hay colusin entre los empleados, la colusin entre los empleados y los de afuera, o la participacin en la gestin de las irregularidades. El auditor tambin debe considerar la documentacin de este punto en la carta de auditora o carta de compromiso de.3.2.4 Cuando el auditor de SI dispone de informacin especfica acerca de la existencia de una irregularidad o acto ilegal, el auditor tiene la obligacin de realizar los procedimientos para detectar, investigar e informar de ello.3.2.5 El auditor de SI debe informar al comit de auditora (o equivalente) y de gestin, cuando l / ella ha identificado situaciones en que un mayor nivel de riesgo existe para un posible irregularidad o acto ilegal, aun cuando no se detecta ninguno.3.2.6 El auditor de SI debe ser razonablemente familiarizado con el tema a ser capaz de identificar los factores de riesgo que pueden contribuir a la ocurrencia de actos irregulares o ilegales.3.2.7 Los auditores de SI deben asegurarse de que son independientes de la materia durante la misin de auditora todo.3.2.8 Los auditores de SI estn obligados a consultar la norma S9 irregularidades y actos ilcitos para una discusin detallada sobre responsabilidades de los auditores de SI.4. EVALUACIN DEL RIESGO4.1 Planificacin de la Evaluacin de Riesgos4.1.1 El auditor de SI deber evaluar el riesgo de ocurrencia de irregularidades o actos ilegales relacionados con el rea de auditora a raz de la utilizacin de la metodologa apropiada. En la preparacin de esta evaluacin, el auditor de SI debe considerar factores tales como : Caractersticas organizativas, por ejemplo, la tica empresarial, estructura organizativa, la adecuacin de la supervisin, la indemnizacin y las estructuras de recompensa, en la medida de las presiones del rendimiento corporativo, direccin organizacin. La historia de la organizacin, las apariciones pasadas de las irregularidades, y las actividades posteriores adoptadas para mitigar o reducir al mnimo las conclusiones relativas a las irregularidades. Los recientes cambios en la gestin, las operaciones o los sistemas de IS y la direccin estratgica de la organizacin actual. Impactos resultantes de las nuevas asociaciones estratgicas. Los tipos de los activos posedos, o servicios ofrecidos, y su susceptibilidad a las irregularidades. Evaluacin de la fuerza de los controles pertinentes y las vulnerabilidades de eludir o evadir los controles establecidos. Los requisitos reglamentarios aplicables o jurdicas. Polticas internas tales como "sirena de alerta de poltica, la poltica de informacin privilegiada, y el empleado y el cdigo de gestin de la tica. Relaciones con los interesados y los mercados financieros. Capacidades de los recursos humanos. La confidencialidad y la integridad del mercado de la informacin crtica. La historia de las conclusiones de la auditora de las auditoras anteriores. La industria y el entorno competitivo en que opera la organizacin. Resultados de las revisiones llevadas a cabo fuera del alcance de la auditora, tales como las conclusiones de los consultores, los equipos de control de calidad o investigaciones especficas de gestin. Conclusiones que han surgido durante el da a da de curso de los negocios. Documentacin de procesos y un sistema de gestin de calidad. La sofisticacin tcnica y la complejidad del sistema de informacin (s) de apoyo a la zona bajo control. Existencia de in-house desarrolladas / gestionada aplicacin de sistemas, en comparacin con paquetes de software, los sistemas de negocio. El efecto de la insatisfaccin de los empleados. Despidos potenciales, la subcontratacin, la cesin o de reestructuracin. La existencia de activos que son fcilmente susceptibles a la apropiacin indebida. Pobre financieros de organizacin y / o el rendimiento operativo. La actitud de la Administracin con respecto a la tica. Irregularidades y actos ilegales que son comunes a una industria en particular o se han producido en organizaciones similares.4.1.2 La evaluacin de riesgos debe tener en cuenta slo aquellos factores que son relevantes para la organizacin y el tema de la participacin, incluyendo los factores de riesgo relativos a: Irregularidades o actos ilegales que afectan a los registros de contabilidad financiera. Irregularidades o actos ilegales que no afectan a los registros financieros, sino que afectan a la organizacin. Otras irregularidades o actos ilegales que se refieren a la suficiencia de los controles de la organizacin.4.1.3 Como parte del proceso de planificacin y ejecucin de la evaluacin de riesgos, el auditor de SI debe consultar a la gestin con respecto a cosas tales como la: Su conocimiento acerca del nivel de riesgo de irregularidades y actos ilegales de la organizacin. Si tienen conocimiento de irregularidades y actos ilegales que hayan o pudieran haber ocurrido en contra o dentro de la organizacin. Como el riesgo de irregularidades o actos ilegales es gestionar o monitorizar. Qu procesos se encuentran para comunicar a los interesados que corresponda sobre la existencia de riesgo de irregularidades o actos ilegales. Las leyes nacionales y regionales en la jurisdiccin opera la empresa y el alcance de la coordinacin del departamento jurdico con el comit de riesgos y el comit de auditora.5. PLANEACION DEL TRABAJO DE AUDITORIA5.1 Planificacin de la Participacin5.1.1 Mientras que El auditor no tiene la responsabilidad explcita a detectar o prevenir actos ilcitos o irregularidades, el auditor de SI debe disear los procedimientos para detectar los actos ilcitos o irregularidades basado en el nivel de riesgo que pudieran producirse.5.1.2 Al planificar el compromiso, el auditor de SI debe obtener una comprensin de las cosas tales como: Una comprensin bsica de las operaciones de la organizacin y los objetivos. El entorno de control interno. Las polticas y procedimientos que rigen la conducta de los empleados. Validacin de cumplimiento y procedimientos de vigilancia. El entorno jurdico y normativo en el que opera la organizacin. El mecanismo que la organizacin utiliza para obtener, controlar y garantizar el cumplimiento de las leyes y reglamentos que afectan a la organizacin.5.2 Procedimiento de compromiso5.2.1 El auditor debe disear procedimientos para la participacin que tengan en cuenta el nivel de riesgo de irregularidades y actos ilegales que han sido identificados.5.2.2 Los resultados de la evaluacin de riesgos y otros procedimientos realizados durante la planificacin se debe utilizar para determinar la naturaleza, magnitud y oportunidad de los procedimientos realizados durante un combate.5.2.3. El auditor de SI debe preguntar a la TI y la gestin de usuarios (segn corresponda) sobre el cumplimiento de las leyes y reglamentos.5.2.4. El auditor de SI debe utilizar los resultados de la evaluacin de riesgos, para determinar la naturaleza, la oportunidad y el alcance de las pruebas necesarias para obtener evidencia de auditora suficiente de certeza razonable de que:Irregularidades que podran tener un efecto material en la zona bajo control, o en la organizacin como un todo, se identifican. Las deficiencias de control que no puedan evitar o detectar irregularidades materiales son identificados Todas las deficiencias importantes en el diseo o el funcionamiento de los controles internos que podran afectar a la capacidad del emisor para registrar, procesar, sintetizar y comunicar los datos de negocio son identificadas.5.3 Evaluacin de los resultados de los procedimientos de compromiso5.3.1 El auditor de SI debe revisar los resultados de los procedimientos de contratacin para determinar si indicios de irregularidades o actos ilegales pueden haber ocurrido.5.3.2 Cuando esta evaluacin se realiza, los factores de riesgo identificados en la seccin 4 debera revisar los procedimientos reales que han realizado para ofrecer garantas razonables de que todos los riesgos identificados se han abordado.5.3.3 La evaluacin tambin debe incluir una evaluacin de los resultados de los procedimientos para determinar si los indocumentados existen factores de riesgo.6. EJECUCIN DE LAS TAREAS DE AUDITORA6.1 En respuesta a posibles actos ilegales6.1.1 Durante un enfrentamiento, indicios de que la existencia de irregularidades o actos ilegales pueden venir a la atencin de la SI de los auditores. Si se detectan indicios de un acto ilegal, el auditor de SI debe considerar el efecto potencial sobre la materia objeto de la contratacin, el informe y la organizacin.6.1.2 Cuando el auditor de se da cuenta de la informacin relativa a un acto ilegal sea posible, el auditor de SI debe considerar la adopcin de los siguientes pasos: Obtenga una comprensin de la naturaleza del acto Comprender las circunstancias en que se produjo. Obtener informacin de apoyo suficiente para evaluar el efecto de la irregularidad o acto ilegal. Realizar procedimientos adicionales para determinar el efecto de la irregularidad o acto ilegal y si los actos adicionales existen.6.1.3 El auditor debe trabajar con el personal adecuado en la organizacin (tales como personal de seguridad de la organizacin), incluida la gestin (en un nivel adecuado por encima de los implicados, si es posible), para determinar si una irregularidad o acto ilegal se ha producido y su efecto . 6.1.4 Cuando una irregularidad afecte a un miembro de la gestin, el auditor de SI debe reconsiderar la fiabilidad de las representaciones hechas por la administracin. Como se dijo anteriormente, por lo general, el auditor de SI debe trabajar con un nivel adecuado de la gestin por encima de la asociada con la irregularidad o acto ilegal.6.1.5 A menos que las circunstancias indican claramente lo contrario, el auditor de SI debe asumir que una irregularidad o acto ilegal no es un hecho aislado. 6.1.6 El auditor tambin deben revisar las partes pertinentes de los controles internos de la organizacin para determinar por qu no prevenir o detectar la presencia de una irregularidad o acto ilegal. 6.1.7 El auditor debe reconsiderar la evaluacin previa de la suficiencia, el funcionamiento y la eficacia de la organizacin interna de controles. 6.1.8 Cuando el auditor de situaciones en las que ha identificado una irregularidad o acto ilegal existe (ya sea potencial o de hecho), el auditor de SI debe modificar los procedimientos para confirmar o resolver el problema identificado durante la ejecucin de la contratacin. El alcance de estas modificaciones o procedimientos adicionales depende de la es el juicio del auditor en cuanto a: Tipo de irregularidades o actos ilegales que hayan ocurrido Percepcin de riesgo de su aparicin Posible efecto sobre la organizacin, incluyendo las cosas tales como los efectos financieros y la reputacin de la organizacin La probabilidad de la repeticin de irregularidades similares o actos ilegales Posibilidad de que la gestin puede tener conocimiento de, o estar involucrados con la ley, la irregularidad o ilegal Las acciones, en su caso, que el Consejo de Administracin y / o de gestin se est Posibilidad de que el incumplimiento de las leyes y reglamentos que se ha producido sin querer Probabilidad de que un bien material o de otras sanciones, por ejemplo, la revocacin de un certificado de no esenciales, pueden ser impuestas como consecuencia de su incumplimiento. Efecto sobre el inters pblico que pueda resultar de la irregularidad.6.2 Efecto de la que se detecten irregularidades 6.2.1 Si se han detectado irregularidades, el auditor de SI debe evaluar el efecto de estas actividades en los objetivos de auditora y sobre la fiabilidad de las pruebas de auditora recopilados. Adems, el auditor de SI debe considerar la posibilidad de continuar la auditora cuando: El efecto de las irregularidades que parece ser tan significativo que suficiente, la evidencia de auditora confiable no se puede obtener La evidencia de auditora indica que los directores, o empleados que tienen un papel importante en los controles internos del emisor, han participado en irregularidades o tolerada6.3 Efecto de los indicadores de localizacin de las irregularidades 6.3.1 Si las pruebas de auditora indica que las irregularidades podran haber ocurrido, el auditor de que: Recomendar a la gestin que el asunto sea investigado en detalle, o las acciones apropiadas. Si la sospecha es que el auditor de gestin est involucrado en la irregularidad, l / ella debe identificar la figura responsable correspondiente en la organizacin a la que estas conclusiones deben ser reportados. Si la presentacin de informes internos resulta imposible, el auditor de SI debe considerar consultar con el comit de auditora y asesoramiento jurdico sobre la conveniencia y los riesgos de informar sobre los resultados fuera de la organizacin. Realizar acciones adecuadas para apoyar las conclusiones de la auditora, las conclusiones y recomendaciones.6.4 Consideraciones Legales 6.4.1 Si las pruebas de auditora indica que una irregularidad que podra implicar un acto ilegal, el auditor de SI debe considerar la bsqueda de asesoramiento jurdico directamente o recomendar que la gestin de buscar asesoramiento legal. El auditor puede querer definir la responsabilidad de los costes jurdicos en la carta de auditora o carta de compromiso. 7. PRESENTACIN DE INFORMES 7.1 Comunicacin Interna 7.1.1 La deteccin de irregularidades deben ser comunicados a las personas adecuadas en la organizacin de una manera oportuna. La notificacin debe ser dirigida a un nivel de gestin por encima de aquella en que las irregularidades que se sospecha que se han producido. Adems, las irregularidades deben ser reportados a la junta directiva, comit de auditora de la Junta, u rgano equivalente, salvo para los asuntos que son claramente insignificantes en trminos de efectos financieros y las indicaciones de los puntos dbiles de control. Si la sospecha es que el auditor de la gestin de todos los niveles estn implicados, a continuacin, los resultados deben ser reportados de manera confidencial a los rganos rectores de la organizacin, tales como la junta de directores o gobernadores, sndicos o comit de auditora, de acuerdo con las regulaciones locales y leyes aplicables. 7.1.2 El auditor debe utilizar su juicio profesional al informar de una irregularidad o acto ilegal. El auditor debe discutir las conclusiones y la naturaleza, la duracin y extensin de los procedimientos adicionales para llevar a cabo con un nivel adecuado de gestin que por lo menos un nivel por encima de las personas que parecen estar implicados. En estas circunstancias, es especialmente importante que el auditor de mantiene la independencia. En la determinacin de las personas adecuadas para que informe a una irregularidad o acto ilegal, el auditor de SI debe considerar todas las circunstancias pertinentes, incluida la posibilidad de la participacin de la alta direccin. 7.1.3 La distribucin interna de los informes de irregularidades deben ser considerados cuidadosamente. La presencia y el efecto de las irregularidades es un tema delicado y de informar de ellos conlleva sus propios riesgos, incluyendo: Ms abuso de las debilidades de control como consecuencia de la publicacin de detalles de ellos Prdida de clientes, proveedores e inversores, cuando la divulgacin (autorizadas o no) se produce fuera de la organizacin Prdida de personal clave y de gestin, incluidos los que no participan en la irregularidad, como la confianza en la gestin y el futuro de la organizacin cae.7.1.4 El auditor debe considerar la presentacin de informes de la irregularidad por separado de cualquier otros problemas de auditora si esto ayudara en el control de la distribucin del informe. 7.1.5 El auditor es el informe debe incluir: Las polticas de crticas y prcticas adoptadas por la organizacin Si cualquier desviacin de las normas generalmente aceptadas, la razn de la direccin de la desviacin y dictmenes del auditor sobre tales desviaciones 7.1.6 El auditor debe tratar de evitar alertar a cualquier persona que pueda estar implicado o implicados en la irregularidad o acto ilegal, a la reducir el potencial de los individuos para destruir o eliminar las pruebas. 7,2 Exteriores de informes 7.2.1 Informes externos pueden ser una obligacin legal o reglamentario. La obligacin puede aplicarse a la gestin de la organizacin, o los individuos involucrados en la deteccin de las irregularidades, o ambas cosas. No obstante lo responsabilidad de una organizacin para informar de un hecho ilcito o irregularidad, el auditor tiene el deber de confidencialidad a la organizacin se opone a informar de cualquier irregularidad potencial o identificados o actos ilegales. Sin embargo, en determinadas circunstancias, el auditor de puede ser obligado a revelar una irregularidad o acto ilegal. Estos incluyen cosas tales como: Cumplimiento de requisitos legales o reglamentarios Las solicitudes de auditor externo Citacin u orden judicial Agencia de Financiacin o agencia gubernamental, de conformidad con los requisitos para las auditoras de las entidades que reciben asistencia financiera gubernamental.7.2.2 Si se exige la presentacin de informes externos, el informe debe ser aprobado por el nivel adecuado de gestin de la auditora externa antes de su liberacin y tambin debe ser revisada con la gestin auditada por anticipado, a menos que la normativa aplicable o las circunstancias especficas de la auditora de prevenir esto. Ejemplos de circunstancias especficas que pueden impedir la obtencin de un acuerdo de gestin auditado, se destacan: La participacin activa de gestin auditado en la irregularidad.Gestin de la aquiescencia pasiva auditado a la irregularidad 7.2.3 Si la administracin auditado no est de acuerdo a la versin externa del informe y presentacin de informes externos es una obligacin legal o reglamentario, el auditor de SI debe considerar consultar con el comit de auditora y asesoramiento jurdico sobre la conveniencia y los riesgos de informar sobre los resultados fuera de la organizacin. En algunas jurisdicciones, el auditor de puede ser protegida por el secreto cualificado. Incluso en situaciones en que se auditor son protegidos por el secreto, IS auditores deben buscar asesoramiento jurdico antes de tomar este tipo de divulgacin a fin de que en realidad estn protegidas por este privilegio. 7.2.4 El auditor, con la aprobacin de la gestin de auditora, debe presentar el informe a los reguladores adecuados en forma oportuna. Si la organizacin no ponen de manifiesto una irregularidad conocida o acto ilegal o requiere que el auditor de suprimir estos resultados, el auditor de SI debe buscar asesora legal y asistencia letrada. 7.2.5 Cuando el auditor de gestin es consciente de que est obligada a informar las actividades fraudulentas a una organizacin independiente, el auditor de informar formalmente a la gestin de esta responsabilidad. 7.2.6 Si la irregularidad se ha detectado por un auditor de que no es parte del equipo de auditora externa, el auditor de SI debe considerar la presentacin del informe de los auditores externos de una manera oportuna. 7.3 Restriccin de la Alcance de la auditora 7.3.1 Cuando el alcance de la auditora se ha restringido, el auditor de SI debe incluir una explicacin de la naturaleza y efecto de esta restriccin en el informe de auditora. Esta restriccin se puede producir si: El auditor no ha podido llevar a cabo los trabajos que se consideren necesarios para cumplir los objetivos de la auditora inicial y el apoyo a las conclusiones de auditora, por ejemplo, debido a las pruebas de auditora fiables, la falta de recursos o de las restricciones impuestas a las actividades de auditora de gestin La administracin no ha llevado a cabo las investigaciones recomendadas por el auditor de SI.8 FECHA DE VIGENCIA

8.1 Esta directriz es efectiva para todas las auditoras es que comiencen a partir del 1 de marzo de 2000. Esta gua ha sido revisada y actualizada, junto con las irregularidades y sustituye G19 y actos ilcitos, a partir del 1 septiembre de 2008.G13 USO DEL RIESGO DE AUDITORIA EN LA PLANEACION DE LA AUDITORIA1. ANTECEDENTES1.1. RELACION CON LAS NORMAS1.1.1. El Standard s5 planeacin de los estados: el Auditor de SI deber planear la cobertura de la auditoria para hacer frente a los objetivos de auditoria, asimismo para cumplir con las leyes aplicables y con los standards profesionales de auditoria.1.1.2. El estndar S6, Desempeo de los trabajos de auditoria, el Auditor de SI deber obtener evidencia suficiente y relevante, para lograr los objetivos de auditoria. Los hallazgos de auditoria y sus conclusiones debern ser respaldadas por un apropiado anlisis e interpretacin de esta evidencia.1.1.3. El prrafo 2.4.1 de la Gua de Auditoria de SI G15 planeacin del trabajo: una evaluacin del riesgo debe de ser hecho para proveer seguridad razonable de los asuntos materiales, esto deber ser cubierto adecuadamente durante el trabajo de auditoria. Esta evaluacin debe identificar reas con elevado riesgo de que un problema material exista.1.2. vRELACION con los procedimientos1.2.1. Esta gua puede ser utilizada en combinacin con el procedimientos de auditoria de P1 medicin de la evaluacin del riesgo de SI1.3. Relacin con el COBIT1.3.1. La seleccin del material ms relevante en COBIT aplicables al mbito especial de la auditora se basa en la eleccin que los especifica de los procesos COBIT para procesos de los SI, y las consideraciones de los controles objetivos y las practicas asociadas de manejo de COBIT. Para cumplir con la documentacin de auditoria requeridos para los auditores de SI, el proceso en COBIT tiene ms probabilidades de ser relevante, selectivo, este los clasifica como primarias y secundarias.1.3.2. P09 Evaluar y gestionar los riesgos en los SI cumple con los requisitos que demandan los SI de analizar y comunicar los impactos potenciales en procesos de negocios y las metas por enfoque en el desarrollo de una estructura de manejo de riesgo, que este integrada con las estructuras de manejo de riesgo operacional, evaluacin de riesgo, litigacin de riesgo y la comunicacin del riesgo residual.1.3.3. ME2 Monitorear y evaluar los controles internos, es satisfecho en los negocios por los objetivos de proteger y ejecutar objetivos de los SI, cumpliendo con las leyes, regulaciones y contratos relativos a estos, enfocndose en monitorear el los procesos de control interno, para actividades relacionadas con los SI, e identificando oportunidades de mejora.1.3.4. Referencias Secundarias: ME3 Garantas del cumplimiento normativo ME4 proveer al gobierno que rigen los SI1.3.5 Los atributos de la informacin mas relevantes son: Primarios: confidencialidad, integridad, disponibilidad Secundarios: Efectividad, eficiencia, cumplimiento y fiabilidad1.4 Necesidad por una Gua1.4.1 El nivel del trabajo de auditoria requerido para cumplir un objetivo especifico, es una decisin subjetiva hecha por el auditor de SI, el riesgo de llegar a una conclusin incorrecta basada en los hallazgos (dentro de auditoria basada en riesgo) es uno de los aspectos a ser tomados en cuenta por esta decisin. otro seria el considerado riesgo de error ocurrido in el rea que esta siendo auditada (riesgo de Error). Practicas son recomendadas para la evaluacin del riesgo en la realizacin de auditorias financieras, estas se basan en estndares de auditoria efectuadas por los auditores financieros, pero una gua es requerida sobre como aplicar dichas tcnicas a la auditoria de SI.1.4.2 Miembros de la administracin tambin basan sus decisiones en cuanto a que nivel de control evaluacin del riesgo es apropiado aceptar. Por ejemplo, la incapacidad de que una computadora no procese un periodo de tiempo, es una exposicin que puede resultar en eventos indeseables e inesperados. Estas exposiciones pueden ser reducidas por una implementacin adecuada de controles. Estos controles son ordinariamente, basados en estimaciones probabilsticas de ocurrencia de eventos adversos, y estn destinados a disminuir estos. Por ejemplo, una alarma de fuego no previene el fuego, pero esta destinada a reducir el dao causado por este.1.4.3 La presente gua provee el lineamiento aplicacin de los estndares de auditoria de SI. El auditor en SI debe considerar esta, al determinar como lograr una implementacin de los estndares S5 y S6, deber usar su juicio profesional para esta tarea, y deber estar preparada para justificar cualquier desviacin.2 Planeacin.2.1 Seleccin de la metodologa de evaluacin de riesgo.2.1.1 Existen muchas metodologas de evaluacin del riesgo disponibles, dentro de las cuales los auditores en SI deben escoger. Estas van desde las ms simples hasta las ms complicadas, estas se basan en el juicio del auditor, las hay para efectuar clculos complejos y aparentemente cientficos, para proveer una valoracin. El auditor de SI deber considerar el nivel de complejidad y detallar apropiadamente la metodologa para la organizacin que esta siendo auditada.2.1.2 Los auditores en SI deben incluir, como mnimo, un anlisis (con su metodologa) de los riesgos en la entidad resultado de prdida o disponibilidad de soporte de controles, integridad de los datos, o perdida de la confidencialidad de la informacin.2.1.3 Todas las metodologas de evaluacin del riesgo, confan en juicios subjetivos en algn punto del proceso (EJ, ponderacin de parmetros). El auditor en SI deber identificar las decisiones subjetivas requeridas, para usar una metodologa en particular, y considerar si esos juicios pueden ser validados en un nivel de precisin adecuado.2.1.4 A la hora de decidir cual es la metodologa de evaluacin del riesgo mas apropiada, el auditor en SI debe considerar lo siguiente: El tipo de informacin a ser recolectada (algunos sistemas usan los criterios financieros como una medida, eso no es apropiado para la auditoria de SI) El costo del programa o de las licencias requeridas para usar tal o cual metodologa. En que medida la informacin requerida estar disponible. En monto adicional de informacin requerida o que ser recolectada antes de que la informacin fiable pueda ser obtenida, y el costo de recolectar esta informacin (incluyendo el tiempo requerido que ser invertido en el ejercicio de recoleccin) La opinin de otros usuarios a cerca de la metodologa, y sus revisiones de que tan bien les ha ayudado a promover la eficiencia y/o efectividad en sus auditorias. La voluntad de la administracin para aceptar la metodologa, como medio de determinar el tipo de nivel de trabajo de auditoria llevada a cabo.2.1.5 Una sola metodologa de evaluacin de riesgo no puede esperarse que sea apropiada en todas las situaciones, las condiciones que afectan las auditorias pueden cambiar todo el tiempo. Peridicamente el auditor de SI deber reevaluar que tan apropiada sigue siendo la metodologa de evaluacin del riesgo adoptada.2.2 Uso de la evaluacin del riesgo2.2.1 Los auditores de SI debes usar las tcnicas de evaluacin de riesgos seleccionadas, en el desarrollo de todo el plan de la auditoria y su planeacin especifica. La evaluacin del riesgo, en combinacin con otras tcnicas de auditoria, deben ser consideradas in orden de efectuar decisiones de planeacin tales como: la naturaleza, extensin y tiempo en los que se efectuaran los procedimientos de auditoria las reas del negocio que sern auditados la cantidad de tiempo y los recursos que sern utilizados en la auditoria2.2.2 El auditor de SI debe considerar cada uno de los siguientes tipos de riesgo, determinando su nivel de totalidad: riesgo inherente riesgo de control riesgo de deteccin2.3 Riesgo inherente2.3.1 El riesgo inherente es la susceptibilidad que un rea posee a un error, en el sentido que puede ser material individual o conjuntamente con otros errores, asumiendo que esos errores no estn relacionados al control interno. Por ejemplo, el riesgo inherente asociado con seguridad en los sistemas operativos, es ordinariamente alto, ya que el cambio, o incluso la divulgacin de los datos o programas, a travs de las debilidades de seguridad del sistema operativo, podra dar lugar a un falso manejo de la informacin o desventajas competitivas. En contraste el riesgo inherente asociado con la seguridad de una PC que no esta conectada a una red, cuando un apropiado anlisis demuestra que estas no son utilizadas para propsitos de negocios-delicados, su riesgo es bajo.2.3.2 El riesgo inherente para la mayora de las auditorias en los sistemas de informacin, es alto, ya que los efectos de los errores se replican a muchas reas de negocio. Sistemas y a muchos usuarios.2.3.3 Dentro de la evaluacin del riesgo inherente, el auditor de SI, debe considerar generalizada y detalladamente los controles de SI. Esto no aplica para circunstancias donde el auditor de SI esta asignado a evaluar nicamente los controles generales2.3.4 Dentro de los controles generalizados, el nivel de control deber ser considerado por el auditor de SI, para determinar el nivel apropiado de control dentro del rea en cuestin deber considerarse: La integridad del manejo de los SI as como la experiencia y conocimiento Cambios en el manejo Presiones en el manejo de los SI que pueden predisponer, ocultar o declarar errnea la informacin (ejemplo: proyectos de negocio grandes y crticos, actividad maliciosa de hackers). La naturaleza del negocio de la organizacin y sus sistemas (Ej.: el plan de e-commerce, complejidad de los sistemas, la falta de sistemas integrados) Factores que afectan a la industria a la cual la compaa evaluada pertenece (Ej.: cambios en las tecnologas, disponibilidad de soporte tcnico) El nivel de la influencia de terceros en el control de los sistemas auditados (Ej.: debidos a la cadena de abastecimiento, procesos de SI mercerizados, negocios conjuntos, acceso directo de los clientes) Verificar las fechas de auditorias previas.2.3.5 En los controles de SI detallados, el auditor de SI debe considerar, el nivel apropiado, para la auditoria en cuestin de: Los hallazgos de las auditorias previas La complejidad de los sistemas en cuestin El nivel de manualidad de los procesos La susceptibilidad de perdida o apropiacin indebida de los activos controlados por el sistema (Ej.: el inventario, la planilla) La falta de picos de actividad en cierto tiempo durante el periodo auditado Actividades fuera de la rutina del da a da, del proceso de los SI (Ej.: uso de sistemas utilitarios para modificar info.) La integridad experiencia y habilidades del equipo que maneja y esta aplicando los controles de los SI.2.4 Riesgo de Control2.4.1 El riesgo de control es aquel riesgo de sufrir algn error en el rea auditada, y que este pueda ser material, individual o combinado con otros errores, no ser prevenido o detectado y corregido a tiempo basado en el sistema de control interno. Por ejemplo, el riesgo de control asociado con revisiones manuales de accesos a computadoras puede ser alto porque las actividades que requirieren investigacin son a menudo extraviadas fcilmente, debido al volumen de accesos al equipo. El riesgo de control asociado con procedimiento de validacin de la informacin computarizada, es ordinariamente bajo porque los procesos son consistentemente aplicados.2.4.2 El auditor de SI debe evaluar el riesgo de control como alto, a menos que los controles relevantes sean: Identificados Evaluados como efectivos Probados, y que funciones apropiadamente2.5 Riesgo de Deteccion2.5.1 El riesgo de deteccin es aquel que los procedimientos sustantivos del auditor de SI no logran detectar un error que puede ser material, individual o combinado con otros errores, Por ejemplo, el riesgo de deteccin asociado con la identificacin de infracciones de seguridad en un sistema es algo porque los registros de todo el periodo auditado no estn disponibles al momento de la auditoria. La deteccin del riesgo asociado con la identificacin de la falta de planes de recuperacin en caso de desastre es ordinariamente bajo, debido a que es verificable fcilmente.2.5.2 En determinado nivel de pruebas sustantivas, el auditor de Si debe considerar lo siguiente: La evaluacin del riesgo inherente La conclusin alcanzada en el riesgo de control siguiendo las pruebas de cumplimiento.2.5.3 A un mayor riesgo de control se necesita mayor control y evidencia de auditoria. La mayor parte de la evidencia de auditoria debe obtenerse de los procedimientos sustantivos y de detalle.3. EJECUCION DEL TRABAJO DE AUDITORIA3.1 DOCUMENTACIONEl auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para realizar la auditora.El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos, antes de su contratacin.El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditora y concluir el grado de utilidad y la fiabilidad del trabajo del experto.El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditora. Dicha conclusin debe documentarse claramente.El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditora suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la proporciona.3.1.1 El auditor de SI debe considerar documentar las tcnicas o metodologas utilizadas para la evaluacin del riesgo, usadas para la auditoria en cuestin. La documentacin por lo general debera incluir: Una descripcin de la metodologa de evaluacin del riesgo utilizada La identificacin de exposiciones significantes y sus correspondientes riesgos El riesgo y sus exposiciones, que la auditoria proponer abordar La evidencia de auditoria utilizad apara respaldar la evolucin del riesgo del auditor de SI.El auditor de SI debe considerar la incorporacin de otros expertos durante la auditora cuando existan limitaciones que pudieran perjudicar el trabajo de auditora a realizar o cuando se anticipe una ganancia en la calidad de la misma. Algunos ejemplos incluyen los conocimientos requeridos debido a la naturaleza tcnica de las tareas que deben realizarse, escasos recursos de auditora y restricciones de tiempo.Un experto podra ser un auditor de SI procedente de una empresa contable externa, un consultor gerencial, un experto de TI o un experto en el rea de la auditora que ha sido nombrado por la alta gerencia o por el equipo de auditora de SI.Un experto podra ser interno o externo a la organizacin. Si un experto es contratado por otra parte de la organizacin, se puede confiar en el informe del experto. En algunos casos, esto puede disminuir la necesidad de cobertura de auditora de SI aunque el auditor de SI no tenga acceso a la documentacin de apoyo y a los documentos de trabajo. El auditor de SI debe tener cuidado al proporcionar una opinin en tales casos4. Fecha Efectiva4.1 esta gua entrara en vigencia para todos las auditorias de SI comenzadas en o despus del 1 de septiembre de 2000. La gua ha sido revisada y actualizada a la fecha de agosto 2008G15 PLANIFICACIN 1. ANTECEDENTES 1.1 Relacin con las normas de ISACA 1.1.1 Norma S5 Planificacin, "El auditor debe planificar la cobertura de la auditora de sistemas de informacin para abordar los objetivos de auditora y para cumplir con las leyes y normas profesionales de auditora." 1.2 Necesidad de lineamiento1.2.1 El propsito de esta gua es definir los componentes del proceso de planificacin como se indica en el estndar de la S5 IS normas de auditora. 1.2.2 Esta gua tambin ofrece para la planificacin en el proceso de auditora para cumplir los objetivos fijados por COBIT. 2. PLANIFICACIN 2.1 Requerimientos del Negocio 2.1.1 Esta directriz se refiere a un proyecto de auditora especficos en lugar de el plan completo de un departamento de auditora o de grupo. 2.1.2 El auditor debe desarrollar un plan de auditora que tiene en cuenta los objetivos de la entidad auditada relativos al rea de auditora y de su infraestructura tecnolgica. En su caso, El auditor tambin debe considerar el rea en estudio y su relacin con la organizacin (estratgico, financiero y / o de derecho) y obtener informacin sobre el plan estratgico, incluido el plan estratgico. 2.1.3 El auditor debe tener una comprensin de la arquitectura de la informacin de la entidad auditada y de la direccin tecnolgica de la entidad auditada para que puedas disear un plan adecuado para el presente y, en su caso, la tecnologa de futuro de la entidad auditada. 2.1.4 Condiciones de referencia debe ser parte del plan de auditora. 2.1.5 Una evaluacin de riesgos y la priorizacin de los riesgos identificados para el rea en estudio y de la organizacin es el medio ambiente deben llevarse a cabo en la medida necesaria. Vase la Auditora de la Orientacin G13 Uso de evaluacin de riesgos en la planificacin de auditora. 2.2 Conocimiento de la Organizacin de 2.2.1 Antes del comienzo de un proyecto de auditora, la labor del auditor de SI debe ser planificado de una manera apropiada para alcanzar los objetivos de la auditora. Como parte del proceso de planificacin es auditores deben obtener una comprensin de la organizacin y sus procesos. Adems de dar el auditor de la comprensin de las operaciones de la organizacin y sus necesidades es, este ayudar al auditor de determinar la importancia de los recursos es objeto de revisin en lo que respecta a los objetivos de la organizacin. auditores tambin deben establecer el alcance del trabajo de auditora y realizar una evaluacin preliminar de control interno sobre la funcin de una revisin. 2.2.2 El grado de conocimiento de la organizacin y sus procesos requeridos por el auditor de ser determinado por la naturaleza de la organizacin y el nivel de detalle con el que el trabajo de auditora se est realizando. El auditor puede requerir conocimientos especializados cuando se trata de operaciones inusuales o complejos. Un conocimiento ms amplio de la organizacin y sus procesos normalmente ser necesaria cuando el objetivo de la auditora comprende una amplia gama de funciones de sistema de informacin ms que cuando los objetivos son para funciones limitadas. Por ejemplo, una revisin con el objetivo de evaluar el control de sistema de nmina de una organizacin normalmente requerira un entendimiento ms profundo de la organizacin de una revisin con el objetivo de las pruebas de control de un sistema especfico de programa de la biblioteca. 2.2.3 El auditor debe obtener una comprensin de los tipos de eventos, transacciones y prcticas que pueden tener un efecto significativo en la organizacin especfica, una funcin, proceso o los datos que es objeto del proyecto de auditora. El conocimiento de la organizacin debera incluir el negocio, financieros y de los riesgos inherentes que enfrenta la organizacin, as como las condiciones en el mercado de la organizacin. Tambin debera incluir la medida en que la organizacin se basa en la contratacin externa para cumplir sus objetivos. El auditor debe usar esta informacin para identificar los posibles problemas, la formulacin de los objetivos y el alcance de la obra, realizacin de las obras y acciones de gestin para considerar que el auditor de SI debe estar alerta. 2.3 Materialidad2.3.1 En el proceso de planificacin, el auditor de SI ordinariamente debera establecer niveles de planificacin de importancia tal que el trabajo de auditora ser suficiente para cumplir los objetivos de la auditora y utilizar los recursos de auditora de manera eficiente. Por ejemplo, en la revisin de un sistema existente el auditor de SI deber evaluar la importancia relativa de los diversos componentes del sistema en la planificacin del programa de auditora de la labor a realizar. El auditor debe considerar los aspectos cualitativos y cuantitativos en la determinacin de la materialidad. Para ms informacin sobre la materialidad, consulte la Gua de Auditora de G6 materialidad Conceptos para la Auditora de Sistemas de Informacin. 2.4 Evaluacin de Riesgos 2.4.1 La evaluacin de riesgos debe hacerse para ofrecer garantas razonables de que todos los elementos materiales estarn debidamente cubiertos durante los trabajos de auditora. Esta evaluacin debera identificar las reas con riesgo relativamente alto de la existencia de problemas materiales. 2.5 Evaluacin de Control Interno 2.5.1 Auditora de los proyectos debera incluir el examen de los controles internos, ya sea directamente como parte de los objetivos del proyecto de auditora o como base para la dependencia de la informacin recopilada como parte del proyecto de auditora. Cuando el objetivo es la evaluacin de los controles internos de la IS auditor debe considerar la medida en que ser necesario revisar esos controles. Cuando el objetivo es evaluar la eficacia de los controles durante un perodo de tiempo que el plan de auditora debe incluir procedimientos adecuados para el cumplimiento de los objetivos de la auditora, y esos procedimientos deberan incluir las pruebas de conformidad de los controles. Cuando el objetivo no es evaluar la eficacia de los controles durante un perodo de tiempo, sino de identificar los procedimientos de control en un punto en el tiempo, las pruebas de conformidad de los controles pueden ser excluidas. 2.5.2 Cuando el auditor de evaluar los controles internos con el fin de poner la confianza en los procedimientos de control en apoyo de la informacin recopilada como parte de la auditora, el auditor es, debe realizar una evaluacin preliminar de los controles y desarrollar el plan de auditora sobre la base de esta evaluacin. Durante una revisin, el auditor de estudiar la conveniencia de esta evaluacin para determinar el grado en que los controles pueden ser invocadas durante la prueba. Por ejemplo, en el uso de programas de ordenador para probar los archivos de datos, el auditor de SI debe evaluar los controles de la coleccin de programas que contienen los programas sean utilizados para fines de auditora para determinar el grado en que los programas estn protegidos de la modificacin no autorizada. 3. DOCUMENTACIN 3.1 Planificacin de Documentacin 3.1.1 El IS papeles de trabajo del auditor debe incluir el plan de auditora y el programa. 3.1.2 El plan de auditora puede ser documentado en papel o en otra forma adecuada y recuperable. 3.2 Aprobacin del Plan 3.2.1 En la medida en su caso, el plan de auditora, programa de auditora y cualquier modificacin posterior deber ser aprobado por la gestin de auditora. 3.3 Programa de Auditora 3.3.1 Un programa preliminar para una revisin de ordinario debe ser establecido por el auditor de antes del comienzo de la obra. Este programa de auditora deben documentarse de manera que permita el auditor de registro de terminacin de los trabajos de auditora y determinar el trabajo que queda por hacer. Conforme avanza el trabajo, el auditor de SI debe evaluar la adecuacin del programa, basados en la informacin recopilada durante la auditora. Cuando el auditor de determina que los procedimientos previstos no son suficientes, el auditor de SI debe modificar el programa en consecuencia. 3.3.2 Dependiendo de los recursos de auditora requeridos, el auditor de SI debe incluir la gestin de los recursos de personal necesarios en el plan de auditora. 3.3.3 El plan de auditora debe estar preparado para que sea en el cumplimiento de los requisitos relativos exterior adems de la de Auditora de Normas. 3.3.4 Adems de un listado de los trabajos a realizar, el auditor de SI debe, en la medida de lo posible, preparar una lista de personal y otros recursos necesarios para completar el trabajo, un calendario de trabajo y un presupuesto. 3.3.5 En el curso de los trabajos, el auditor de SI debe considerar cambios en el programa de auditora basado en la SI de evaluacin del auditor de la adecuacin del programa y el ES conclusiones preliminares del auditor. 4. FECHA DE VIGENCIA 4.1 Esta directriz es efectiva para todas las auditoras de los sistemas de informacin que comiencen a partir del 1 de Marzo de 2002