Estandar 1 Estndar 03 El propsito, responsabilidad, autoridad y rendicin de cuentas de la funcin de auditora de sistemas de informacin o de las asignaciones de auditora de sistemas

de informacin deben documentarse de manera apropiada en un estatuto de auditora o carta de compromiso. 04 El estatuto de auditora o la carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organizacin.

Estandar 2

Estndar 03 Independencia profesional En todos los aspectos relacionados con la auditora, el auditor de SI debe ser independiente del auditado, tanto en actitud como en apariencia. 04 Independencia organizacional La funcin de auditora de SI debe ser independiente del rea o actividad que se est revisando para permitir una conclusin objetiva de la tarea que se audita.

Estandar 3 Estndar 03 El auditor de SI debe cumplir con el Cdigo de tica Profesional de ISACA al realizar tareas de auditora. 04 El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estndares profesionales de auditora aplicables al realizar tareas de auditora.

Estandar 4 Estndar 03 El auditor de SI debe ser profesionalmente competente y tener las destrezas y los conocimientos para realizar la tarea de auditora. 04 El auditor de SI debe mantener competencia profesional por medio de una apropiada educacin y capacitacin profesional contnua.

Estandar 5 Estndar 03 El auditor de SI debe planear la cobertura de la auditora de sistemas de informacin para cubrir los objetivos de la auditora y cumplir con las leyes aplicables y las normas profesionales de auditora. 04 El auditor de SI debe desarrollar y documentar un enfoque de auditora basado en riesgos. 05 El auditor de SI debe desarrollar y documentar un plan de auditora que detalle la naturaleza y los objetivos de la auditora, los plazos y alcance, as como los recursos requeridos. 06 El auditor de SI debe desarrollar un programa y/o plan de auditora detallando la naturaleza, los plazos y el alcance de los procedimientos requeridos para completar la auditora.

Estandar 6 Estndar 03 SupervisinEl personal de auditora de SI debe ser supervisado para brindar una garanta razonable de que se lograrn los objetivos de la auditora y que se cumplirn las normas profesionales de auditora aplicables.

04 EvidenciaDurante el transcurso de la auditora, el auditor de SI debe obtener evidencia suficiente, confiable y pertinente para alcanzar los objetivos de auditora. Los hallazgos y conclusiones de la auditora debern ser soportados mediante un apropiado anlisis e interpretacin de dicha evidencia. 05 DocumentacinEl proceso de auditora deber documentarse, describiendo las labores de auditora realizadas y la evidencia de auditora que respalda los hallazgos y conclusiones del auditor de SI.

Estandar 7 Estndar 03 El auditor de SI debe suministrar un informe, en un formato apropiado, al finalizar la auditora. El informe debe identificar la organizacin, los destinatarios previstos y respetar cualquier restriccin con respecto a su circulacin. 04 El informe de auditora debe indicar el alcance, los objetivos, el perodo de cobertura y la naturaleza, plazo y extensin de las labores de auditora realizadas. 05 El informe debe indicar los hallazgos, conclusiones y recomendaciones, as como cualquier reserva, calificacin o limitacin que el auditor de SI tuviese en cuanto al alcance de la auditora. 06 El auditor de SI debe tener evidencia de auditora suficiente y apropiada para respaldar los resultados reportados. 07 Al emitirse, el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los trminos del estatuto de auditora o carta de compromiso.

Estandar 8 Estndar 03 Despus de informar/reportar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar y evaluar la informacin relevante para concluir si la gerencia tom las acciones apropiadas de manera oportuna.

Estandar 9 Estndar 03 Al planificar y realizar la auditora para reducir el riesgo de auditora a un nivel bajo, el auditor de SI debe tener en cuenta el riesgo de irregularidades y acciones ilegales. 04 El auditor de SI debe mantener una actitud de escepticismo profesional durante la auditora, reconociendo la posibilidad de que podran existir declaraciones materialmente incorrectas debido a irregularidades y acciones ilegales, independientemente de su propia evaluacin del riesgo de irregularidades y acciones ilegales. 05 El auditor de SI debe obtener un entendimiento de la organizacin y su entorno, incluidos los controles internos. 06 El auditor de SI debe obtener evidencia de auditora suficiente y relevante para determinar si la gerencia u otras personas dentro de la organizacin tienen conocimientos de cualquier irregularidad y accin ilegal real, sospechada o alegada. 07 Al realizar procedimientos de auditora para obtener un entendimiento de la organizacin y su entorno, el auditor de SI debe considerar relaciones inusuales o inesperadas que pueden indicar un riesgo de declaraciones materialmente incorrectas debido a irregularidades y acciones ilegales. 08 El auditor de SI debe disear y realizar procedimientos para probar lo adecuado de los controles internos y el riesgo de anulacin de los controles por parte de la gerencia. 09 Cuando el auditor de SI identifica una declaracin incorrecta, el auditor de SI debe evaluar si tal declaracin incorrecta puede indicar la existencia de una irregularidad o accin ilegal. Si existe tal indicacin, el auditor de SI debe tener en cuenta las implicaciones en relacin con otros aspectos de la auditora y, en particular, las declaraciones de la gerencia. 10 El auditor de SI debe obtener declaraciones escritas de la gerencia al menos una vez al ao o con mayor frecuencia,

dependiendo del contrato de auditora. La gerencia debe: Reconocer su responsabilidad en el diseo e implementacin de controles internos para prevenir y detectar irregularidades o acciones ilegales Revelar al auditor de SI los resultados de la evaluacin de riesgos cuando pueda existir una declaracin materialmente incorrecta como resultado de una irregularidad o accin ilegal Revelar al auditor de SI cuando tenga conocimiento de irregularidades o acciones ilegales que estn afectando la organizacin en relacin a: La gerencia Empleados que tienen funciones significativas en el control interno Revelar al auditor de SI cuando tenga conocimiento de cualquier declaracin de irregularidades o acciones ilegales, o sospechas de irregularidades o acciones ilegales que estn afectando la organizacin tal como lo hayan comunicado los empleados, ex empleados, funcionarios responsables de la normatividad dentro de la organizacin y otros 11 Si el auditor de SI ha identificado una irregularidad material o accin ilegal, u obtiene informacin de que puede existir una irregularidad material o accin ilegal, el auditor de SI debe comunicarlo sin demora al nivel de direccin apropiado. 12 Si el auditor de SI ha identificado una irregularidad material o accin ilegal que involucra a la gerencia o a empleados que tienen funciones significativas en el control interno, el auditor de SI debe comunicarlo sin demora a los responsables del gobierno corporativo. 13 El auditor de SI debe dar recomendaciones al nivel apropiado de la gerencia y a aquellos responsables del gobierno corporativo sobre las debilidades materiales en el diseo e implementacin del control interno para prevenir y detectar irregularidades y acciones ilegales que el auditor de SI pueda haber notado durante la auditora. 14 Si el auditor de SI encuentra circunstancias excepcionales que afectan su capacidad para continuar ejecutando la auditoria debido a una declaracin materialmente incorrecta o una accin ilegal, el auditor de SI debe tener en cuenta la responsabilidad legal y profesional aplicable en tales circunstancias, incluyendo que pueda existir el requisito para el auditor de SI de notificar a aquellos que celebraron el contrato o, en algunos casos, a los responsables del gobierno corporativo o a las autoridades responsables de la normatividad dentro de la organizacin o incluso considerar retirarse del contrato. 15 El auditor de SI debe documentar todas las comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades materiales y acciones ilegales que han sido notificadas a la gerencia, a los responsables del gobierno corporativo, autoridades responsables de la normatividad dentro de la organizacin y otros.

Estandar 10 Estndar 03 El auditor de SI debe revisar y evaluar si la funcin de SI est alineada con la misin, visin, valores, objetivos y estrategias de la organizacin. 04 El auditor de SI debe revisar si la funcin de SI tiene una declaracin clara en cuanto al desempeo esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento. 05 El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el desempeo de los procesos administrativos. 06 El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales, ambientales y de calidad de la informacin, as como de los requisitos fiduciarios y de seguridad. 07 El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la funcin de SI. 08 El auditor de SI debe revisar y evaluar el ambiente de control de la organizacin. 09 El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno de SI.

Estandar 11 Estndar 03 El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de riesgos al desarrollar el plan general de auditora de SI y al determinar prioridades para la asignacin eficaz de los recursos de auditora de SI.

04 Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes al rea bajo revisin.

Estandar 12 Estndar 03 El auditor de SI debe considerar la materialidad de la auditora y su relacin con el riesgo de auditora a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditora. 04 Mientras planifica la auditora, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de informacin. 05 El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de informacin. 06 El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, as como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.

Estandar 13
Estndares 03 El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para realizar la auditora. 04 El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos, antes de su contratacin. 05 El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditora y concluir el grado de utilidad y la fiabilidad del trabajo del experto. 06 El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditora. Dicha conclusin debe documentarse claramente. 07 El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditora suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la proporciona. 08 El auditor de SI debe proporcionar una opinin de auditora apropiada e incluir los lmites del alcance cuando no se obtenga la evidencia requerida mediante procedimientos de prueba adicionales.

Estandar 14

Estndar 03 El auditor de SI debe obtener evidencias de auditora suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditora. 04 El auditor de SI debe evaluar la suficiencia de las evidencias de auditora obtenidas durante la misma.

Estandar 15

Estndar 03 El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno de control interno de la organizacin. 04 El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseo, la implementacin, la operacin y la mejora de controles de TI.

Estndar 16 Estndar 03 El auditor de SI debe evaluar los controles aplicables, y cotejar los riesgos al revisar entornos de comercio electrnico, para asegurar que las transacciones de comercio electrnico estn correctamente controladas.

Fases de la auditoria de sistemas

Fase I:

Conocimientos del Sistema

1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente

1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.

Fase II:

Anlisis de transacciones y recursos

2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2.Anlisis de las transacciones Establecer el flujo de los documentos

En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas

2.4.Relacin entre transacciones y recursos

Fase III:

Anlisis de riesgos y amenazas

3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores

3.2.Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones

3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento.

Fase IV:

Anlisis de controles

4.1.Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2.Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. 4.3.Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.

Fase V:

Evaluacin de Controles

5.1.Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes

5.2.Plan de pruebas de los controles

Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba.

5.3.Pruebas de controles 5.4.Anlisis de resultados de las pruebas

Fase VI:
6.1. 6.2. 6.3.

El Informe de auditoria

Informe detallado de recomendaciones Evaluacin de las respuestas Informe resumen para la alta gerencia

Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones

Fase VII:
7.1. 7.2.

Seguimiento de las Recomendaciones

Informes del seguimiento Evaluacin de los controles implantados