Documente Academic
Documente Profesional
Documente Cultură
3rd Edition
A Professional Practices
Framework for
IS Audit/Assurance
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
Auditor , CISA ) de los requerimientos que deben cumplir. El incumplimiento de estos estndares puede resultar en
una investigacin sobre la conducta del poseedor del certificado CISA por parte del Consejo de direccin de ISACA o
del comit apropiado y, en ltima instancia, en sanciones disciplinarias.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en su trabajo, cuando corresponda, de que la
asignacin se ha llevado a cabo en conformidad con los estndares de auditora y aseguramiento de SI de ISACA u otros estndares
profesionales aplicables.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de SI;
por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende
que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente de
cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn razonablemente
dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba
especficos, los profesionales de control deben utilizar su propio juicio profesional para las circunstancias de control
especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar consultas
extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un borrador del
mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden enviar
comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Aspectos
clave
Trminos
Trmino
Asignacin de
aseguramiento
Estatuto de la
funcin de
auditora
Definicin
Examen objetivo de la evidencia con el propsito de brindar una
evaluacin sobre los procesos de gestin de riesgos, control o
gobierno para la empresa.
Nota de alcance: Los ejemplos pueden incluir asignaciones de
seguridad del sistema, cumplimiento, desempeo y financieras.
Documento aprobado por los responsables del gobierno que
define el propsito, la autoridad y la responsabilidad de la
actividad de auditora interna.
El estatuto debe:
Establecer la posicin de la funcin de auditora interna dentro
de la empresa.
Autorizar el acceso a registros, personal y propiedades fsicas
relevantes para el desempeo de las asignaciones de auditora
y aseguramiento de SI.
Definir el alcance de las actividades de la funcin de auditora.
2013 ISACA
Independencia
Enlace a los
lineamientos
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido
para cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse
incluyente de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se
pueden enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Trminos
Trmino
Deterioro
Independencia
Definicin
Condicin que causa una debilidad o capacidad disminuida para
ejecutar los objetivos de la auditora.
El deterioro de la independencia organizacional y objetividad
individual puede incluir conflictos de inters personales;
limitaciones del alcance; restricciones al acceso de registros,
personal, equipos o instalaciones; y limitaciones de recursos
(como fondos o personal).
La libertad de condiciones que amenazan la objetividad o
apariencia de la objetividad. Dichas amenazas a la objetividad
deben ser gestionadas en los niveles organizacionales,
funcionales, de asignacin y auditor individual.
2013 ISACA
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de SI;
por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende
que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente de
cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn razonablemente
dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba
especficos, los profesionales de control deben utilizar su propio juicio profesional para las circunstancias de control
especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar consultas
extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un borrador del
mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden enviar
comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Trminos
Trmino
Deterioro
Independencia
Definicin
Condicin que causa una debilidad o capacidad disminuida para
ejecutar los objetivos de la auditora.
El deterioro de la independencia organizacional y objetividad
individual puede incluir conflictos de inters personales;
limitaciones del alcance; restricciones al acceso de registros,
personal, equipos o instalaciones; y limitaciones de recursos
(como fondos o personal).
La libertad de condiciones que amenazan la objetividad o
apariencia de la objetividad. Dichas amenazas a la objetividad
deben ser gestionadas en los niveles organizacionales,
funcionales, de asignacin y auditor individual.
2013 ISACA
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
1004.3
Aspectos
clave
Trminos
Trmino
Opinin del
auditor
Definicin
Declaracin formal expresada por el profesional de auditora o
aseguramiento de SI que describe el alcance de la auditora, los
procedimientos utilizados para producir el reporte y si los
hallazgos respaldan o no que los criterios de auditora se hayan
cumplido.
Los tipos de opiniones son:
Opinin no calificada: No observa excepciones o ninguna de
las excepciones observadas conforma una deficiencia
significativa
2013 ISACA
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de SI;
por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende
que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente de
cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn razonablemente
dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba
especficos, los profesionales de control deben utilizar su propio juicio profesional para las circunstancias de control
especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar consultas
extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un borrador del
mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden enviar
comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Trminos
Enlace a los
lineamientos
Fecha de
Vigencia
2013 ISACA
Trmino
Escepticismo
profesional
Definicin
Actitud que incluye una mente interrogativa y una evaluacin
crtica de la evidencia de la auditora. Fuente: Instituto Americano
de Contadores Pblicos Certificados (AICPA) AU 230.07
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
Auditor , CISA ) de los requerimientos que deben cumplir. El incumplimiento de estos estndares puede resultar en
una investigacin sobre la conducta del poseedor del certificado CISA por parte del Consejo de direccin de ISACA o
del comit apropiado y, en ltima instancia, en sanciones disciplinarias.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en su trabajo, cuando corresponda, de que la
asignacin se ha llevado a cabo en conformidad con los estndares de auditora y aseguramiento de SI de ISACA u otros estndares
profesionales aplicables.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Los profesionales de auditora y aseguramiento de SI, junto con otras personas que
ayudan en la asignacin, deben poseer el conocimiento adecuado sobre el tema.
1006.3
Aspectos
clave
Asegurar que los miembros del equipo que no poseen CISA ni otra designacin
profesional relevante y que estn involucrados en la asignacin de auditora y
aseguramiento de SI tengan suficiente educacin, capacitacin y experiencia
laboral.
Trminos
Trmino
Aptitud
Competencia
2013 ISACA
Definicin
La capacidad de realizar una tarea especfica, accin o funcin con
xito.
Poseer habilidades y experiencia.
Enlace a los
lineamientos
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
2006 Competencia
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Trminos
Trmino
Afirmacin
Definicin
Cualquier declaracin formal o conjunto de declaraciones sobre
el tema por parte de la direccin.
Las afirmaciones, en general, deben ser por escrito y,
comnmente, contienen una lista de atributos especficos sobre
el tema especfico o sobre un proceso que involucra al tema.
Enlace a los
lineamientos
Fecha de
Vigencia
2013 ISACA
Tipo
Ttulo
Lineamiento
2007 Afirmaciones
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Aspectos
clave
Objetividad: Los criterios no deben tener sesgo que pudiera afectar adversamente
los hallazgos y las conclusiones del profesional y, en consecuencia, pudieran
ocasionar una interpretacin errnea por parte del usuario del reporte.
Relevancia: Los criterios deben ser relevantes para el tema y contribuir a los
hallazgos y las conclusiones que cumplan con los objetivos de la asignacin de
auditora o aseguramiento de SI.
Mensurabilidad: Los criterios deben permitir una medicin consistente del tema,
ascomo el desarrollo de conclusiones coherentes cuando sean aplicados por
diferentes profesionales en circunstancias similares.
2013 ISACA
ISACA 2013
Trmino
Criterios
Definicin
Estndares y anlisis comparativos (benchmarks) utilizados para
medir y presentar el tema y en el que un auditor de SI evala el
tema.
Los criterios deben ser:
Objetivos: Sin sesgo
Completos: Incluyen todos los factores relevantes para llegar a
una conclusin
Relevantes: Se relacionan con el tema
Medibles: Brindan medicin coherente
En una asignacin de testacin, los anlisis comparativos
(benchmarks) de acuerdo con los que se puede evaluar la
afirmacin escrita de la direccin sobre el tema. El profesional
formula una conclusin sobre el tema al consultar los criterios
adecuados.
Enlace a los
lineamientos
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
2008 Criterios
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
.
Aspectos
clave
2013 ISACA
Aspectos
clave
Contina
Enlace a los
lineamientos
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
Auditor , CISA ) de los requerimientos que deben cumplir. El incumplimiento de estos estndares puede resultar en
una investigacin sobre la conducta del poseedor del certificado CISA por parte del Consejo de direccin de ISACA o
del comit apropiado y, en ltima instancia, en sanciones disciplinarias.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en su trabajo, cuando corresponda, de que la
asignacin se ha llevado a cabo en conformidad con los estndares de auditora y aseguramiento de SI de ISACA u otros estndares
profesionales aplicables.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de SI;
por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende
que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente de
cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn razonablemente
dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba
especficos, los profesionales de control deben utilizar su propio juicio profesional para las circunstancias de control
especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar consultas
extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un borrador del
mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden enviar
comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
2013 ISACA
Trminos
Trmino
Estatuto de la
funcin de
auditora
Riesgo de
auditora
Riesgo de
control
Riesgo de
deteccin
ISACA 2013
Definicin
Documento aprobado por los responsables del gobierno que
define el propsito, la autoridad y la responsabilidad de la
actividad de auditora interna.
El estatuto debe:
Establecer la posicin de la funcin de auditora interna dentro
de la empresa.
Autorizar el acceso a registros, personal y propiedades fsicas
relevantes para el desempeo de las asignaciones de auditora
y aseguramiento de SI.
Definir el alcance de las actividades de la funcin de auditora.
El riesgo de alcanzar una conclusin incorrecta en base a los
hallazgos de auditora. Los tres componentes del riesgo de
auditora son:
Riesgo de control
Riesgo de deteccin
Riesgo inherente
Riesgo relevante al rea bajo revisin:
Riesgo de negocio (capacidad del cliente para pagar,
solvencia, factores del mercado, etc.)
Riesgo contractual (responsabilidad, precio, tipo,
penalizaciones, etc.)
Riesgo del pas (poltico, entorno, seguridad, etc.)
Riesgo del proyecto (recursos, conjunto de habilidades,
metodologa, estabilidad del producto, etc.)
Riesgo de tecnologa (solucin, arquitectura, red de
infraestructura de hardware y software, canales de entrega,
etc.)
Ver riesgo inherente.
Riesgo de que exista un error material que no sea prevenido o
detectado de manera oportuna por el sistema de control interno.
(Ver riesgo inherente.)
Riesgo de que los procedimientos sustantivos del profesional de
auditora o aseguramiento de SI no detecten un error que pudiera
ser material, individualmente o en combinacin con otros
Evaluacin de
riesgo
Pruebas
sustantivas
Enlace a los
lineamientos
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Estndar de auditor
a y aseguramiento de SI
1203 Desempeo y supervisin
La naturaleza especializada de la auditora y el aseguramiento de los sistemas de informacin (SI), ascomo las
habilidades necesarias para llevarlos a cabo, requieren de estndares que sean especficamente aplicables a la auditora
y el aseguramiento de SI. El desarrollo y la difusin de los estndares de auditora y aseguramiento de SI son una piedra
angular de la contribucin profesional de ISACA a la comunidad de auditora.
Los estndares de auditora y aseguramiento de SI definen los requerimientos obligatorios para la auditora, el reporte e
informe de SI:
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
1203.2
1203.3
1203.4
1203.5
1203.6
Aspectos
clave
2013 ISACA
Enlace a
estndares y
lineamientos
Fecha de
Vigencia
ISACA 2013
cumple con los criterios de ser suficientes y apropiados para formular una opinin
o respaldar los hallazgos y las conclusiones.
Organizar y documentar el trabajo realizado durante la asignacin, despus de los
procedimientos predefinidos aprobados y documentados.
Incluir en la documentacin:
- Objetivos de la auditora y alcance del trabajo, el programa de auditora, los
pasos de auditora realizados, la evidencia recopilada, los hallazgos,
conclusiones y recomendaciones
- Detalle suficiente para permitir que una persona informada y prudente vuelvan
arealizar las tareas realizadas durante la asignacin y alcancen la misma
conclusin
- Identificacin de quin realiz cada tarea y sus funciones al preparar y revisar
la documentacin
- La fecha en que la documentacin fue preparada y revisada
Obtener las manifestaciones escritas relevantes del auditado que claramente
detallen las reas crticas de la asignacin, los problemas que hayan surgido y su
resolucin, y las afirmaciones realizadas por el auditado.
Determinar que las manifestaciones del auditado incorporan la firma y la fecha del
auditado para indicar el reconocimiento de sus responsabilidades con respecto a la
asignacin.
Documentar y conservar en los papeles de trabajo cualquier manifestacin recibida
durante la realizacin de la asignacin, sea escrita u oral.
Tipo
Ttulo
Estndar
Estndar
Estndar
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de SI;
por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende
que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente de
cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn razonablemente
dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba
especficos, los profesionales de control deben utilizar su propio juicio profesional para las circunstancias de control
especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar consultas
extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un borrador del
mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden enviar
comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
1204.3
1204.4
Aspectos
clave
2013 ISACA
Trminos
determinar la materialidad.
Considerar no slo el tamao sino tambin la naturaleza de las deficiencias de
control y las circunstancias particulares de cmo han ocurrido al evaluar su efecto
general en la opinin o conclusin de la auditora.
Trmino
Riesgo de
auditora
Debilidad
material
Definicin
El riesgo de alcanzar una conclusin incorrecta en base a los
hallazgos de auditora. Los tres componentes del riesgo de
auditora son:
Riesgo de control
Riesgo de deteccin
Riesgo inherente
Una deficiencia o una combinacin de deficiencias en un control
interno, por lo cual exista una posibilidad razonable de que una
falsa declaracin importante no sea evitada ni detectada de
manera oportuna.
La debilidad en el control se considera material si la ausencia
del mismo ocasiona que no exista una garanta razonable de
que se cumplir con el objetivo de control. Una debilidad
clasificada como material implica que:
Se garantiza su escalado.
Materialidad
ISACA 2013
Enlace a
estndares y
lineamientos
Fecha de
Vigencia
ISACA 2013
Tipo
Ttulo
Estndar
Estndar
Estndar
Estndar
Lineamiento
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
1205.2
Aspectos
clave
2013 ISACA
contina
Trminos
Enlace a los
lineamientos
Fecha de
Vigencia
ISACA 2013
Trmino
Evidencia
apropiada
Evidencia
suficiente
Definicin
La medida de la calidad de la evidencia.
Tipo
Ttulo
Lineamiento
2205 Evidencia
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
Estndar de auditor
a y aseguramiento de SI 1206 Uso del trabajo de otros expertos
Declaraciones
1206.1
Los profesionales de auditora y aseguramiento de SI deben considerar el uso del
trabajo de otros expertos para la asignacin, cuando sea apropiado.
1206.2
1206.3
1206.4
1206.5
1206.6
1206.7
Aspectos
clave
2013 ISACA
Estndar de auditor
a y aseguramiento de SI 1206 Uso del trabajo de otros expertos
Trminos
Enlace a los
lineamientos
Fecha de
Vigencia
2013 ISACA
Trmino
Otros expertos
Definicin
Interno o externo de la empresa, otro experto podra referirse a:
Un auditor de SI de la empresa contable externa.
Un consultor gerencial.
Un experto en el rea de la asignacin que ha sido asignado
por la alta direccin o por el equipo.
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Estndar de auditor
a y aseguramiento de SI
1207 Irregularidades y actos ilegales
La naturaleza especializada de la auditora y el aseguramiento de los sistemas de informacin (SI), ascomo las
habilidades necesarias para llevarlos a cabo, requieren de estndares que sean especficamente aplicables a la auditora
y el aseguramiento de SI. El desarrollo y la difusin de los estndares de auditora y aseguramiento de SI son una piedra
angular de la contribucin profesional de ISACA a la comunidad de auditora.
Los estndares de auditora y aseguramiento de SI definen los requerimientos obligatorios para la auditora, el reporte e
informe de SI:
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Comit de Gestin de Carreras y Estndares Profesionales de ISACA 2012-2013
Steven E. Sizemore, CISA, CIA, CGAP, Presidente Comisin de Servicios Humanos y Salud de Texas, EE.UU.
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP Servicios de Seguridad de Empresas de HP, Reino Unido
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, EE.UU.
Murari Kalyanaramani, CISA, CISM, CRISC, CISSP, CBCP Servicios de TI Britnico Americano, Malasia
Alisdair McKenzie, CISA, CISSP, ITCP Servicios de Aseguramiento de SI, Nueva Zelanda
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japn
Ian Sanderson, CISA, CRISC, FCA OTAN, Blgica
Timothy Smith, CISA, CISSP, CPA LPL Financial, EE.UU.
Rodolfo Szuster, CISA, CA, CBA, CIA Tarshop S.A., Argentina
1207.3
Aspectos
clave
2013 ISACA
contina
Trminos
Trmino
Irregularidad
Falsa
declaracin
material
Escepticismo
profesional
Enlace a
estndares y
lineamientos
Fecha de
Vigencia
2013 ISACA
Definicin
Violacin de una poltica de gestin establecida o de los
requerimientos regulatorios. Puede constar de falsas
declaraciones u omisiones deliberadas de informacin sobre el
rea que est siendo auditada o sobre la empresa como un todo,
negligencia grave o actos ilegales intencionales.
Declaracin accidental o intencional no verdadera que afecta los
resultados de una auditora a un alcance medible.
Actitud que incluye una mente interrogativa y una evaluacin
crtica de la evidencia de la auditora. Fuente: Instituto Americano
de Contadores Pblicos Certificados (AICPA) AU 230.07
Tipo
Ttulo
Estndar
Estndar
Estndar
Lineamiento
Lineamiento
1008 Criterios
1202 Evaluacin de riesgo en planificacin
1205 Evidencia
2206 Uso del trabajo de otros expertos
2207 Irregularidades y actos ilegales
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Aspectos
clave
2013 ISACA
Trminos
Trmino
Informacin
relevante
Informacin
confiable
Informacin
suficiente
Informacin
adecuada
Informacin
oportuna
Enlace a
estndares y
lineamientos
Fecha de
Vigencia
ISACA 2013
Definicin
Relacionada con controles, le indica al evaluador algo
significativo sobre la operacin de los controles subyacentes o
componente de control. La informacin que directamente
confirma la operacin de los controles es la ms relevante. La
informacin que se relaciona indirectamente a la operacin de
los controles tambin puede ser relevante pero menos
relevante que la informacin directa. Consultar las metas de
calidad de informacin COBIT 5.
Informacin que es precisa, verificable y de una fuente objetiva.
Consultar las metas de calidad de informacin COBIT 5.
La informacin es suficiente cuando los evaluadores han
recolectado suficiente informacin para formular una
conclusin razonable. Sin embargo, para que la informacin sea
suficiente, primero debe ser adecuada. Consultar las metas de
calidad de informacin COBIT 5.
Informacin relevante (es decir, se adapta para su propsito
previsto), confiable (es decir, precisa, verificable y de una fuente
objetiva) y oportuna (es decir, producida y utilizada en un marco
de tiempo apropiado). Consultar las metas de calidad de
informacin COBIT 5.
Producida y utilizada en un marco de tiempo que permite
prevenir o detectar las deficiencias de control antes de que sean
materiales en una empresa. Consultar las metas de calidad de
informacin COBIT 5.
Tipo
Ttulo
Lineamiento
2401 Reportes
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Estndar de auditor
a y aseguramiento de SI
1402 Actividades de seguimiento
La naturaleza especializada de la auditora y el aseguramiento de los sistemas de informacin (SI), ascomo las
habilidades necesarias para llevarlos a cabo, requieren de estndares que sean especficamente aplicables a la auditora
y el aseguramiento de SI. El desarrollo y la difusin de los estndares de auditora y aseguramiento de SI son una piedra
angular de la contribucin profesional de ISACA a la comunidad de auditora.
Los estndares de auditora y aseguramiento de SI definen los requerimientos obligatorios para la auditora, el reporte e
informe de SI:
Profesionales de auditora y aseguramiento de SI con el nivel mnimo de desempeo aceptable exigido para cumplir
con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales.
La estructura de ITAF para el profesional de auditora y aseguramiento de SI brinda mltiples niveles de orientacin:
Lineamientos, que respaldan los estndares y tambin estn divididos en tres categoras:
Lineamientos generales (serie 2000)
Lineamientos de desempeo (serie 2200)
Lineamientos de reportes (serie 2400)
Herramientas y tcnicas, que brindan orientacin adicional para los profesionales de auditora y aseguramiento de
SI; por ejemplo, libros blancos, programas de auditora/aseguramiento de SI, la familia de productos de COBIT 5
Se proporciona un glosario de trminos en lnea utilizado en ITAF en www.isaca.org/glossary.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para
cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no
pretende que el uso de este producto garantice un resultado satisfactorio. La publicacin no debe considerarse incluyente
de cualquier procedimiento y prueba apropiado, o excluyente de otros procedimientos y pruebas que estn
razonablemente dirigidos a la obtencin de los mismos resultados. Para determinar la aplicabilidad de cualquier
procedimiento o prueba especficos, los profesionales de control deben utilizar su propio juicio profesional para las
circunstancias de control especficas presentadas por el entorno particular de sistemas o de SI.
El Comit de Gestin de Carreras y Estndares Profesionales (PSCMC) de ISACA est comprometido a realizar
consultas extensas en la preparacin de estndares y orientacin. Antes de emitir cualquier documento, se emite un
borrador del mismo y se expone a nivel internacional para recibir comentarios del pblico en general. Tambin se pueden
enviar comentarios en atencin del director del desarrollo de los estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (Oficina Central Internacional de ISACA, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, EE.UU.).
Enlace a los
lineamientos
Fecha de
Vigencia
2013 ISACA
Tipo
Ttulo
Lineamiento
Este estndar de ISACA entrar en vigencia para todas las asignaciones de auditora
y aseguramiento de SI a partir del 1 de noviembre de 2013.
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1.1
2.2.1
2.2.2
2.2.3
2014 ISACA
2.2.4
2.2.5
2014 ISACA
2.2 Contenidos
del Estatuto
de Auditora
cont.
2.2.6
2014 ISACA
Cumplir con los estndares que detalla los estndares a los que se
adhiere la funcin de auditora y profesionales, por ej., la funcin de
auditora y profesionales se adherir y actuar de acuerdo con todos los
Estndares de Auditora y aseguramiento y Guas de SI de ISACA.
Proceso de aseguramiento de la calidad (ej., entrevistas, encuestas de
satisfaccin del cliente, encuestas de desempeo de la asignacin) que
establece una comprensin de las necesidades y expectativas.
relevantes del auditado con la funcin de auditora. Estas necesidades
deben ser evaluadas contra el Estatuto de auditora con una visin para
mejorar el servicio o el cambio de la prestacin del servicio o Estatuto
de auditora, segn sea necesario. Revisiones externas de calidad
permiten a la funcin de auditora evaluar su cumplimiento con los
estndares aplicables, el marco de trabajo de riesgos de la empresa y
control, uso ptimo de recursos y uso de las buenas prcticas. Se debe
realizar una revisin de calidad externa independiente de la funcin de
auditora al menos cada cinco aos para mantener la conformidad con
los Estndares de Auditora y Aseguramiento de SI de ISACA.
Reglas de dotacin de personal para trabajos de auditora. por ej.,
establecer un periodo de tiempo mnimo previo en el que los
profesionales no estarn empleados en trabajos de auditora en reas
donde realizaron servicios distintos de la auditora que perjudican la
independencia. El Estatuto de auditora tambin debe establecer si se
permite participar a los profesionales en la realizacin de los servicios
distintos de la auditora y carcter general, oportunidad y alcance de
dichos servicios, para asegurar que la independencia no se ve afectada.
Esto puede eliminar o minimizar la necesidad para obtener mandatos
especficos para cada servicio no auditado en una base caso por caso.
El compromiso de educacin continua de la funcin de auditora a los
profesionales, por ej., la funcin de auditora se compromete a
proporcionar a los profesionales con un mnimo de 40 horas de
formacin anuales.
Acciones acordadas en relacin a la funcin de auditora y la conducta
de los profesionales, por ej., sanciones cuando alguna de las partes no
cumple con sus responsabilidades.
Otros aspectos a tener en cuenta para aadir al Estatuto de auditora son:
Revisin y modificacin de la carta, que es responsabilidad de la funcin
de auditora. Se debe evaluar peridicamente si el propsito,
responsabilidad, autoridad y responsabilidad final, como se define en el
Estatuto de auditora, continua siendo adecuada y comunicado el
resultado de la evaluacin al comit de auditora.
Obtener la aprobacin de las modificaciones al Estatuto de auditora de
los encargados del Gobierno.
Incluir documentos de referencia relacionados como estndares, guas,
polticas, marcos de trabajo, manuales, etc.
Procesos de COBIT 5
MEA02 Monitorear y evaluar el sistema de
controles internos.
2014 ISACA
4. Terminologa
Trmino
Estatuto de
auditora
Compromiso de
Auditora
Independencia
Definicin
Un documento aprobado por los encargados del Gobierno que define el
propsito, autoridad y responsabilidad de la actividad de auditora y
aseguramiento de SI interna.
La carta debe:
Establecer la posicin de la funcin de auditora y aseguramiento de SI
interna dentro de la empresa.
Autorizar acceso a registros, personal y los bienes relevantes para la
realizacin del encargo de auditora y aseguramiento de SI.
Definir el alcance de las actividades de la funcin de auditora y
aseguramiento de SI.
Una asignacin, tarea o actividad de revisin de auditora especfica, como por ej.
una auditora, revisin de control de autoevaluacin, examen de fraude o
consultora.
Un trabajo de auditora puede incluir mltiples tareas o diseo de actividades
para llevar a cabo un conjunto especfico de objetivos relacionados.
La ausencia de condiciones que amenazan la objetividad o apariencia de
objetividad. Estas amenazas a la objetividad deben ser gestionadas a nivel de
auditor individual, compromiso, funcional y organizacional. La independencia
incluye independencia de criterio e independencia en apariencia.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en InglsISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.3 Uso de
Trminos
1.3.1
2014 ISACA
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.
2. Contenido de la Gua
2.0 Introduccin
2.1 Posicin en la
Empresa
2.1.1
2.1.2
2.2 Nivel de
Presentacin
de Informes
2.2.1
2.2.2
2.2.3
2014 ISACA
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2014 ISACA
2.4.1
2.4.2
2.5.1
2.5.2
2014 ISACA
1006 Competencia
Procesos de COBIT 5
EDM01 Asegurar el establecimiento y
mantenimiento del marco de
Gobierno.
2014 ISACA
4. Terminologa
Trmino
Independencia
Objetividad
Definicin
La ausencia de condiciones que amenazan la objetividad o apariencia de
objetividad. Estas amenazas a la objetividad deben ser gestionadas a nivel de
auditor individual, compromiso, funcional y organizacional. La independencia
incluye independencia de criterio e independencia en apariencia.
La capacidad de ejercer un juicio, expresar opiniones y presentar recomendaciones
imparcialmente.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
La naturaleza especializada de la auditora y aseguramiento de los sistemas de la informacin (SI) y de las habilidades necesarias
para realizar este tipo de compromisos requiere estndares que apliquen especialmente a las auditoras y aseguramiento de SI. El
desarrollo y diseminacin de los estndares de auditora y aseguramiento de SI son la piedra angular de la contribucin profesional
de ISACA a la comunidad de auditora.
Los estndares de auditora y aseguramiento de SI definen requerimientos obligatorios para la auditora de SI y presentacin de
informes e informan a:
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comit de Estndares Profesionales y Gestin de Carreras de ISACA, en Ingls ISACA Professional Standards and Career
Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas. Antes de
emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general. Los
comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo electrnico
(standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin Road, Suite
1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.
1.0 Introduccin
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.
2014 ISACA
Contenido de la Gua
2.0 Introduccin
2.1 Marco
Conceptual
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2014 ISACA
2.1.6
2.2.2
2014 ISACA
2.3 Gestin de
amenazas
2014 ISACA
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2014 ISACA
2.4 Servicios o
roles
distintos de
auditora
2.4.1
2.4.2
2.4.3
2.4.4
2014 ISACA
independencia.
La naturaleza actual de la cuestin de la independencia
Lista y descripcin de las amenazas.
La conclusin final alcanzada.
Las salvaguardas para eliminar o reducir las amenazas a un nivel
aceptable.
2.4.5
2.4.6
2.5 Servicios o
Roles Distintos
de la Auditora
que No Daan
la
Independencia
2.5.1
2.5.2
2.5.3
2014 ISACA
2.6 Servicios o
Roles Distintos
de Auditora
que Daan la
Independencia
2.6.1
2.6.2
2014 ISACA
2.7.1
2.7.2
2.7.3
2014 ISACA
10
2.8.1
2.8.2
2.8.3
2.9 Presentacin
de informes
2014 ISACA
2.9.1
11
2014 ISACA
12
4. Terminologa
Trmino
Discapacidad
Escepticismo
profesional
Independencia
Independencia
de mente
Independencia
en apariencia
2014 ISACA
Definicin
Una condicin que causa una debilidad o disminucin de la capacidad para
ejecutar los objetivos de la auditora. La discapacidad para la independencia
organizacional y la objetividad individual pueden incluir conflictos o intereses
personales; limitaciones al alcance; restricciones de acceso a registros, personal,
equipamiento o locales, y limitaciones de recursos (tales como financiacin o
dotacin de personal).
Una actitud que incluye una mente inquisitiva y una evaluacin crtica de la
evidencia de auditora. Fuente: American Institute of Certified Public Accountants
(AICPA) AU 230.07.
La ausencia de condiciones que amenazan la objetividad o apariencia de
objetividad. Estas amenazas a la objetividad deben ser gestionadas a nivel de
auditor individual, compromiso, funcional y organizacional. La independencia
incluye independencia de criterio e independencia en apariencia.
El estado de la mente que permita la expresin de una conclusin sin verse
afectado por influencias que comprometan el juicio profesional, lo que permite a
un individuo actuar con integridad, ejercer objetivamente y con escepticismo
profesional.
Evitar hechos y circunstancias que son tan significativos que una tercera parte
razonable e informada podra concluir, sopesando todos los hechos y
circunstancias especficos, que se ha comprometido un equipo de auditora de SI, o
individuo del equipo de auditora de SI, la integridad, objetividad o escepticismo
profesional.
13
Materialidad
Objetividad
Definicin
La custodia contra la modificacin o destruccin de informacin inadecuada, que
incluye garantizar el no repudio y la autenticidad de la informacin.
La aplicacin de conocimientos y experiencias relevantes para tomar decisiones
informadas acerca de los cursos de acceso que son apropiados en las
circunstancias del encargo de la auditora y aseguramiento de SI.
Un concepto de auditora respecto de la importancia de una informacin respecto
a su impacto o efecto en el sujeto auditado. Una expresin del significado o
importancia relativa de una materia particular en el contexto del encargo o la
empresa en su conjunto.
La capacidad de ejercer un juicio, expresar opiniones y presentar recomendaciones
imparcialmente.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
14
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingls Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comit de Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
1.1 Propsito
1.1.1
1.1.2
1.1.3
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.
2014 ISACA
2.1 Estndares y
Reglamentos
2.1.1
2.1.2
2.1.3
2.2 Alcance
2.2.1
2.2.2
2.2.3
2014 ISACA
2.3.1
2.3.2
2.3.3
2.4 Informacin
2.4.1
2.4.2
2.4.3
2014 ISACA
2.4.4
2.5 Aceptacin de
un Cambio en
los Trminos
de
Compromiso
2.5.1
2.5.2
2.5.3
2.5.4
2014 ISACA
2014 ISACA
Procesos de COBIT 5
MEA02 Monitorear y evaluar el sistema de
controles internos.
4. Terminologa
Trmino
(Ninguno)
Definicin
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la Gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingls Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comit de Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.1.3
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada
como profesionales.
2014 ISACA
2.1 El
Escepticismo y
Competencia
Profesional
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2 Aplicacin
2014 ISACA
2.2.1
2.2 Aplicacin
cont.
2.2.2
2.2.3
2.3.1
2.3.2
2.4 Comunicacin
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.5 Obtener y
Administrar la
Informacin
2.5.1
2.5.2
2014 ISACA
confiar de su trabajo.
El debido cuidado profesional tambin requiere que los profesionales
realicen todos sus trabajos con el concepto de seguridad razonable en
mente.
Los profesionales deben servir en beneficio de los interesados de forma
legal y honesta, mientras que mantienen altos estndares de conducta y
carcter, y no deben participar en actos en detrimento de la profesin.
2.5.3
Nota: Slo se enumeran las declaraciones estndar ms relevantes para esta gua.
Titulo del Estndar
Declaracin Estndar Relevante
1002 Independencia Organizacional La funcin de auditora y aseguramiento de SI deber ser
independiente del rea o actividad a ser revisada para permitir
llevar a cabo objetivamente la asignacin de auditora y
aseguramiento.
1003 Independencia Profesional
Los profesionales de auditora y aseguramiento de SI debern
ser independientes y objetivos, tanto en actitud como en
apariencia en todas las materias relacionadas al trabajo de
auditora y aseguramiento.
1005 Debido Cuidado Profesional
Los profesionales de auditora y aseguramiento de SI ejercern
debido cuidado, incluyendo la observacin de estndares de
auditora profesional aplicables, en la planificacin, desarrollo y
presentacin de los resultados de los trabajos.
1006 Competencia
Los profesionales de auditora y aseguramiento de SI,
colectivamente con otros asistentes de la asignacin, deben
poseer habilidades y competencia adecuadas en la realizacin de
trabajos de auditora y aseguramiento de SI y ser
profesionalmente competentes para realizar el trabajo requerido.
Los profesionales de auditora y aseguramiento de SI, junto con
otros que ayuden en el trabajo, debern poseer el conocimiento
adecuado de la materia.
Los profesionales de auditora y aseguramiento de SI debern
mantener competencia profesional a travs de la adecuada
formacin profesional continua y de entrenamiento.
2014 ISACA
Procesos de COBIT 5
EDM01 Asegurar el establecimiento y
mantenimiento del marco de
Gobierno.
2014 ISACA
Definicin
Nivel probado de capacidad, junto con experiencia profesional, a menudo
vinculado a las calificaciones emitidas por cuerpos profesionales pertinentes y el
cumplimiento de sus cdigos de prctica y estndares.
Una actitud que incluye una mente inquisitiva y una evaluacin critica de la
evidencia de auditora. Fuente: American Institute of Certified Public Accountants
(AICPA) AU 230.07.
La aplicacin de conocimientos y experiencias relevantes para tomar decisiones
informadas acerca de los cursos de acceso que son apropiados en las
circunstancias del encargo de la auditora y aseguramiento de SI.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingls Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comit de Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada
como profesionales.
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2014 ISACA
2.1.1
2.2 Evaluacin
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.2.6
2.2.7
2014 ISACA
2.3.1
2014 ISACA
Nota: Slo se enumeran las declaraciones estndar ms relevantes para esta gua.
Titulo del Estndar
1005 Debido Cuidado Profesional
1006 Competencia
1201 Planificacin de la
Asignacin
2014 ISACA
Procesos de COBIT 5
EDM04 Asegurar la optimizacin de los
recursos.
2014 ISACA
Materialidad
Definicin
Poseer habilidades y experiencia.
Nivel probado de capacidad, junto con experiencia profesional, a menudo
vinculado a las calificaciones emitidas por cuerpos profesionales pertinentes y el
cumplimiento de sus cdigos de prctica y estndares.
La aplicacin de conocimientos y experiencias relevantes para tomar decisiones
informadas acerca de los cursos de acceso que son apropiados en las
circunstancias del encargo de la auditora y aseguramiento de SI.
Un concepto de auditora respecto de la importancia de una informacin respecto
a su impacto o efecto en el sujeto auditado. Una expresin del significado o
importancia relativa de una materia particular en el contexto del encargo o la
empresa en su conjunto.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingls Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comit de Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada
como profesionales.
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1 Afirmaciones
2.1.1
2.1.2
2.1.3
2.1.4
2014 ISACA
2.1.5
2.2 Materia y
Criterios
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.3 Afirmaciones
Desarrolladas
por Terceros
2014 ISACA
2.3.1
2.4 Conclusin e
Informe
2.4.1
2.4.2
2014 ISACA
1204 Materialidad
1401 Reportes
Procesos de COBIT 5
EDM01 Asegurar el establecimiento y
mantenimiento del marco de
Gobierno.
2014 ISACA
4. Terminologa
Trmino
Afirmacin
Criterios
Definicin
Cualquier declaracin formal o conjunto de declaraciones sobre la materia hecha
por la gerencia.
Las afirmaciones deben ser generalmente por escrito y comnmente tener una
lista de atributos especficos sobre la materia o sobre un proceso involucrando la
materia.
Los estndares y puntos de referencia utilizados para medir y presentar la materia
y contra el cual el auditor de SI evala la materia.
Los criterios deben ser:
ObjetivosLibres de prejuicios.
CompletosIncluir todos los factores relevantes para alcanzar una conclusin.
RelevanteRelacionado a la materia.
MedibleProporcionar una medicin coherente.
Comprensible.
Juicio profesional
Materia
2014 ISACA
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA
Expectativas de la gestin y otras partes interesadas de la profesin respecto al trabajo de los profesionales
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI esta referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI esta referenciada como
profesionales.
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.2 Idoneidad
2014 ISACA
2.2.1
2.3 Aceptabilidad
2.3.1
2.3.2
2014 ISACA
2014 ISACA
2.4.1
2.5.1
1008 Criterios
2014 ISACA
4. Terminologa
Termino
Afirmacin
Criterios
Definicin
Cualquier declaracin formal o conjunto de declaraciones sobre la materia hecha
por la gerencia.
Las afirmaciones deben ser generalmente por escrito y comnmente tener una
lista de atributos especficos sobre la materia o sobre un proceso involucrando la
materia.
Los estndares y puntos de referencia utilizados para medir y presentar la materia
y contra el cual el auditor de SI evala la materia.
Los criterios deben ser:
ObjetivosLibres de prejuicios.
CompletosIncluir todos los factores relevantes para alcanzar una conclusin.
RelevanteRelacionado a la materia.
MedibleProporcionar una medicin coherente.
Comprensible.
En un trabajo de certificacin, los puntos de referencia contra los que la asercin
por escrito de la gerencia en la materia puede ser evaluada. El facultativo forma
una conclusin sobre la materia haciendo referencia a criterios adecuados.
2014 ISACA
Materia
Definicin
La aplicacin de conocimientos y experiencias relevantes para tomar decisiones
informadas acerca de los cursos de acceso que son apropiados en las
circunstancias del encargo de la auditora y aseguramiento de SI.
La informacin especfica objeto de un informe de un auditor de SI y los
procedimientos relacionados, que puede incluir cosas tales como el diseo o la
operacin de controles internos y cumplimiento de las practicas de privacidad,
estndares, legislacin y regulaciones especificas (rea de actividad).
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.3 Uso de
Trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI esta referenciada como
funcin de auditora
Profesionales de auditora y aseguramiento de SI esta referenciada
como profesionales
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1 Plan de
Auditora de SI
2.1.1
2.1.2
2.1.3
2.2 Objetivos
2.2.1
2.2.2
2.3 Alcance y
Conocimiento
del Negocio
2.3.1
2.3.2
2014 ISACA
2.4 Planteamiento
Basado en el
Riesgo
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.4.6
2.5 Documentar
el Plan de
Proyecto del
Trabajo de
Auditora
2014 ISACA
2.5.1
2.5.2
2.5 Documentar
el Plan de
Proyecto del
Trabajo de
Auditora
cont.
2.5.3
2.5.4
2.5.5
2.5.6
2.5.7
2.6 Cambios
Durante el
Transcurso de
la Auditora
2.6.1
2.6.2
2.6.3
2014 ISACA
1203 Desempeo y
Supervisin
1204 Materialidad
2014 ISACA
Procesos de COBIT 5
MEA01 Supervisar, Evaluar y Valorar
Rendimiento y Conformidad.
MEA02 Monitorear y evaluar el sistema
de controles internos.
4. Terminologa
Termino
Anlisis de
riesgos
Definicin
Un proceso utilizado para identificar y evaluar riesgos y sus efectos potenciales.
Los anlisis de riesgos se utilizan para identificar aquellos elementos o reas que
presentan el riesgo, vulnerabilidad o exposicin ms altos para la empresa para
incluirlos en el plan de auditora anual de SI.
Los anlisis de riesgos se utilizan tambin para gestionar la ejecucin de los proyectos
y el riesgo en beneficio del proyecto.
Materialidad Un concepto de auditora respecto de la importancia de una informacin respecto a su
impacto o efecto en el sujeto auditado. Una expresin del significado o importancia
relativa de una materia particular en el contexto del encargo o la empresa en su
conjunto.
2014 ISACA
Riesgo de
Auditora
Definicin
1. Un plan que contiene la naturaleza, plazos y alcance de los procedimientos de
auditora a realizar por los miembros del equipo de trabajo con el fin de obtener
evidencias apropiadas de auditora suficientes para formar una opinin.
Notas del alcance: Incluyen las reas a auditar, el tipo de trabajo planificado, los
objetivos de alto nivel, y alcance del trabajo, y temas como el presupuesto,
asignacin de recursos, fechas planificadas, tipo de informe, publico objetivo y otros
aspectos generales del trabajo.
2. Una descripcin de alto nivel del trabajo de auditora a realizar en un cierto periodo
de tiempo.
El riesgo de llegar a una conclusin incorrecta basada en los resultados de la auditora.
Los tres componentes de riesgo de auditora son:
Riesgo de control
Riesgo de deteccin
Riesgo inherente
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.1.3
1.1.4
1.2 Vinculacin
con estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.3 Uso de
trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI esta referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI esta referenciada
como profesionales.
2014 ISACA
2. Contenido de la Gua
2.0 Introduccin
2.1 Anlisis de
Riesgos del Plan
de Auditora de SI
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2014 ISACA
2.2 Metodologa
de Anlisis de
Riesgos
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2014 ISACA
2.2.6
2.2.7
2.2.8
2.3 Anlisis de
Riesgos de
Trabajos de
Auditora
Individuales
2.3.1
2.3.2
2.3.3
2.3.4
2014 ISACA
2.3.5
2.4 Riesgo de
Auditora
2.4.1
2.3.6
2.4.2
2.5 Riesgo
Inherente
2.5.1
2.5.2
2.6 Riesgo de
Control
2014 ISACA
2.6.1
Riesgo de Control.
Riesgo de Deteccin.
Riesgo Inherente.
Los profesionales deben considerar cada componente del riesgo para
determinar el nivel de riesgo general. Esto incluye el riesgo de la materia,
que incluye el riesgo inherente y el riesgo de control; juntos con el riesgo de
deteccin se referencian como riesgo de auditora. Puede encontrar ms
informacin de los diferentes componentes del riesgo de auditora en las
secciones 2.5 a 2.7.
2.6.2
2.6.3
2.6.4
2.7 Riesgo de
Deteccin
2.7.1
2.7.2
2014 ISACA
2.7 Riesgo de
Deteccin cont.
2.7.3
cumplimiento.
Cuando mayor sea la evaluacin del riesgo inherente y de control, el
profesional deber obtener normalmente mas evidencia de auditora de la
realizacin de los procedimientos de auditora sustantivos.
2014 ISACA
1204 Materialidad.
Procesos de COBIT 5
EDM01 Asegurar el establecimiento y
mantenimiento del marco de Gobierno.
2014 ISACA
4. Terminologa
Trmino
Anlisis de Riesgos
Definicin
Un proceso utilizado para identificar y evaluar riesgos y sus efectos potenciales.
Los anlisis de riesgos se utilizan para identificar aquellos elementos o reas que
presentan el riesgo, vulnerabilidad o exposicin ms altos para la empresa para
incluirlos en el plan de auditora anual de SI.
Los anlisis de riesgos se utilizan tambin para gestionar la ejecucin de los
proyectos y el riesgo en beneficio del proyecto.
2014 ISACA
10
Controles de SI
Detallados
Controles de SI
Generalizados
Materialidad
Prueba Sustantiva
Riesgo de
Auditora
Riesgo de Control
Riesgo de
Deteccin
Riesgo Inherente
Definicin
Un documento aprobado por los encargados de Gobierno que define el
propsito, autoridad y responsabilidad de la actividad de auditora y
aseguramiento de SI interna.
La carta debe:
Riesgo de control.
Riesgo de deteccin.
Riesgo inherente.
El riesgo que exista un error material que no se evite o detectado de forma
oportuna por el sistema de control interno. Ver riesgo inherente.
El riesgo que los procedimientos sustantivos del profesional de auditora y
aseguramiento de SI no detectara un error que podra ser material, individual o
en combinacin con otros errores. Ver riesgo de auditora.
El nivel de riesgo o exposicin sin tener en cuenta las acciones que la gerencia ha
tomado o ha podido tomar (ejemplo, implementar controles). Ven riesgo de
control.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
11
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.2.6
1.3 Uso de
trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI esta referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI esta referenciada
como profesionales.
2014 ISACA
2. Contenido de la Gua
2.0 Introduccin
2.1 Realizar el
Trabajo
2.1.1
2.1.2
2014 ISACA
2.3 Supervisin
2014 ISACA
2.2.1 Los profesionales a cargo del trabajo de auditora deben definir y gestionar
los roles y responsabilidades de los miembros del equipo de auditora de SI
durante el trabajo, abordando como mnimo:
Disear la metodologa y enfoque
Creando de programas de trabajo de auditora
Definir los roles de ejecucin y revisin
Tratar las cuestiones, preocupaciones y problemas que surjan
Documentar y aclarar las conclusiones
Escribir el informe
2.2.2 En base a las necesidades del trabajo, los profesionales a cargo deben
considerar las competencias requeridas para el trabajo de auditora
especfico. Deben establecer un equipo del trabajo que tenga habilidades,
conocimiento y experiencia combinados para completar el trabajo de
auditora con xito. Los profesionales deben asegurarse de asignar estos
roles y responsabilidades a los miembros del equipo de auditora de SI que
mejor se ajusten a sus competencias.
2.2.3 Los profesionales solo deben aceptar roles, responsabilidades y tareas
asociadas que estn dentro de sus conocimientos y habilidades. Cuestiones
de tiempo y dinero podran prohibir a los profesionales adquirir todo el
conocimiento y habilidades necesarias antes de comenzar el trabajo de
auditora; Por lo tanto, se permite a los profesionales aceptar roles,
responsabilidades y tareas asociadas si tienen expectativas razonables de
que se tomaran las medidas adecuadas durante el trabajo de auditora para
asegurar la terminacin exitosa. Las siguientes medidas podran permitir
una expectativa razonable:
Aprender en el trabajoEn ciertas circunstancias, ser posible que los
profesionales adquieran las habilidades y conocimiento necesario durante
el trabajo de auditora.
SupervisinLos profesionales a cargo podran organizar una
supervisin adecuada de los miembros del equipo de auditora de SI,
permitindoles conseguir la tarea bajo supervisin exitosamente.
Recursos externosLos profesionales a cargo podran considerar
contratar expertos externos para aquellas reas del trabajo de auditora
que carecen de conocimiento y habilidades internas adecuadas. Los
profesionales a cargo deben considerar promocionar el desarrollo de los
miembros del equipo de auditora de SI interna tenindoles trabajando
junco a los expertos externos para asegurar una transferencia al equipo de
conocimiento y habilidades.
2.2.4 Se detalla la orientacin sobre adquisicin, mantenimiento y monitorizacin
de las competencias requeridas en el Estndar 1006 Competencia
2.3.1 Cada tarea ejecutada durante un trabajo de auditora por los miembros del
equipo de auditora debe ser supervisada por los profesionales que tienen
responsabilidades de supervisin sobre ellos, para asegurar que los objetivos
de auditora y estndares de auditora profesional aplicables se cumplen. El
alcance de la supervisin requerida depender altamente de sus habilidades,
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2014 ISACA
2.5
Documentacin
2014 ISACA
2.5.2
2.5.3
2.5.4
2.5.5
2.5.6
2014 ISACA
2014 ISACA
2014 ISACA
1401 Reportes
2014 ISACA
10
4. Terminologa
Trmino
Diseo Efectivo
Entorno de control
Definicin
Si se operan los controles de la compaa segn lo prescrito por las personas con
la autoridad y competencia necesaria para realizar el control efectivo, satisfacer
los objetivos de control de la compaa y poder prevenir efectivamente o
detectar errores o fraudes que pueden dar lugar a errores materiales en las
declaraciones financieras, se considera que estn diseados efectivamente.
Fuente: PCAOB, Estndar de Auditora No. 5, 2007
La actitud y las acciones de la junta directiva y la administracin respecto de la
importancia del control dentro de la organizacin.
El entorno del control proporciona disciplina y estructura para conseguir los
objetivos primarios del sistema de control interno. El entorno del control incluye
los siguientes elementos:
Integridad y valores ticos
Filosofa de gerencia y estilo operativo
Estructura organizacional
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos
Competencia del personal
Fuente: Estndares Internacionales para la Prctica Profesional de Auditora
Interna, 2010
2014 ISACA
11
Definicin
Si un control es operado como est diseado y la persona que realiza el control
posee la autoridad y competencia necesaria para realizar el control de forma
efectiva, se considera que el control est funcionando de forma efectiva.
Fuente: PCAOB, Estndar de Auditora No. 5, 2007
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
12
La naturaleza especializada de la auditora y aseguramiento de los sistemas de la informacin (SI) y de las habilidades necesarias
para realizar este tipo de compromisos requiere estndares que apliquen especialmente a las auditoras y aseguramiento de SI. El
desarrollo y diseminacin de los estndares de auditora y aseguramiento de SI son la piedra angular de la contribucin profesional
de ISACA a la comunidad de auditora.
Los estndares de auditora y aseguramiento de SI definen requerimientos obligatorios para la auditora de SI y presentacin de
informes e informan a:
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.2
1.1.3
1.2 Vinculacin
con
Estndares
1.2.1
1.2.2
1.2.3
1.2.4
1.3 Uso de
trminos
1.3.1
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.
2014 ISACA
2.1 Trabajos de
Auditora de SI
vs. Financieros
2.1.1
2.2 Evaluacin de
la Materialidad
del Sujeto
2.2.1
2.2.2
Hardware de SI.
Operaciones de SI.
2014 ISACA
2.2.3
2.2.4
2.2.5
2014 ISACA
2.3 Materialidad y
Controles
actual.
2.
Los eventos o cambios en las condiciones desde que se estableci la
materialidad tienen un impacto significativo sobre la capacidad de la empresa
para cumplir con los objetivos de negocio.
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2.3.7
2.3.8
2014 ISACA
Para cumplir con los objetivos de auditora, los profesionales deben identificar
los objetivos de control relevantes y, en base al nivel de tolerancia de riesgo,
determinar que debe examinarse. Con respecto a objetivos de control
especficos, un control o grupo de controles es material si la ausencia de
control resulta en fallo para proporcional aseguramiento razonable que el
objetivo de control se cumpla.
Los profesionales deben considerar la materialidad cuando determinan la
naturaleza, tiempos y extensin de los procedimientos de auditora a aplicar
para probar un control o grupo de controles. Los controles materiales deben
probarse ms a fondo, frecuentemente y de forma extensiva comparados a los
controles no materiales para reducir el riesgo de auditora.
Mientras evalan la materialidad, los profesionales deben considerar:
Tamao.
Naturaleza.
Circunstancias particulares.
Al probar controles materiales, los profesionales deben evaluar el efecto de
controles compensatorios para mitigar el riesgo asociado con una deficiencia
de control descubierta. La deficiencia de control debe ser clasificada como:
2.4 Materialidad y
Cuestiones
Reportables
2.4.1
2.4.2
2.4.3
2.4.4
2014 ISACA
1204 Materialidad
2014 ISACA
Procesos de COBIT 5.
Procesos de COBIT 5
EDM03 Asegurar la optimizacin del riesgo.
2014 ISACA
Gerentes.
4. Terminologa
Trmino
Debilidad material
Definicin
Una deficiencia o combinacin de deficiencias en controles internos, como que
hay una posibilidad razonable de un error material, no sea prevenido o detectado
de forma oportuna.
La debilidad en el control se considera material si la ausencia de control
resulta en fallo para proporcional seguridad razonable que el objetivo de
control se alcanzara. Una debilidad clasificada como material implica:
Se garantiza la escalada.
Deficiencia
significativa
Materialidad
Riesgo de
Auditora
Riesgo de control.
Riesgo de deteccin.
Riesgo inherente.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.2 Vinculacin
1.2.1 Estndar 1203 Desempeo y supervisin
con estndares 1.2.2 Estndar 1205 Evidencia
2.Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2 Obtener
Evidencia
2.2.1
2.2.2
2014 ISACA
2.2.3
2.2.4
2014 ISACA
2.2.5
2.2.6
2.2.7
2.2.8
2.3 Evaluar
Evidencia
2.3.1
2.3.2
2014 ISACA
2.4 Preparar
Documentaci
n de Auditora
2.4.1
2.4.2
2014 ISACA
2.4.3
2.4.4
2014 ISACA
Procesos de COBIT 5
MEA02 Monitorear y evaluar el sistema de
controles internos.
4. Terminologa
Trmino
Evidencia
apropiada
Evidencia
suficiente
Representacin
Definicin
La medida de calidad de la evidencia
La medida de la cantidad de evidencia; apoya todas las cuestiones materiales al
objetivo y alcance de la auditora. Ver evidencia.
Una declaracin firmada u oral emitida por la gerencia a los profesionales, donde
la gerencia declara que un hecho actual o futuro (por ejemplo, proceso, sistema,
procedimiento, poltica) esta o estar en cierto estado, para el mejor
conocimiento de la gerencia
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.2 Vinculacin
1.2.1
con estndares 1.2.2
1.3 Uso de
trminos
2014 ISACA
2.1 Considerar el
Uso del
Trabajo de
Otros Expertos
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.2 Evaluar la
Adecuacin de
Otros Expertos
2014 ISACA
2.2.1 Cuando un trabajo de auditora implica el uso del trabajo de otros expertos,
los profesionales deben considerar la adecuacin de los otros expertos
mientras planean el trabajo de auditora de SI. Incluye:
Evaluar la independencia y objetividad de los otros expertos
Evaluar sus cualificaciones profesionales, experiencia relevante,
recursos y uso de procesos de control de la calidad
2.2.2
2.3 Planificar y
Revisar el
Trabajo de
Otros Expertos
2014 ISACA
2.5
2.5.1
2.5.2
2.6.1
Procedimiento
s de Prueba
Adicionales
2.6 Opinin o
Conclusin de
Auditora
2.6.2
2.6.3
2014 ISACA
2.6.4
2014 ISACA
Procesos de COBIT 5
MEA02 Monitorear y evaluar el sistema de
controles internos.
2014 ISACA
4. Terminologa
Trmino
Otro experto
Definicin
Interno o externo a una empresa, otro experto puede referirse a:
Un consultor de gestin
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.1.3
1.2 Vinculacin
1.2.1
con estndares 1.2.2
1.3 Uso de
trminos
2014 ISACA
2. Contenido de la Gua
2.0 Introduccin
2.1
2.1.1
Irregularidades
y Actos
Ilegales
2.1.2
2014 ISACA
2.1.3
2.1.4
2.2
2.2.1
Responsabilida
des de la
Gerencia
2014 ISACA
2.2.2
empresa.
Actos, intencionales o no, que violan los derechos de propiedad
intelectual (IP), como derechos de autor, marca registrada o patentes.
Permitir el acceso no autorizado a informacin y sistemas
Errores en registros financieros u otros que surjan por el acceso no
autorizado a datos y sistemas
La determinacin de si un acto particular es ilegal por lo general se basa en
el asesoramiento de un calificado experto informado para ejercer la
abogaca o puede tener que esperar a la determinacin final de un tribunal
de justicia. Los profesionales deben preocuparse principalmente del efecto
o efecto potencial de la accin irregular, con independencia de si el acto es
una sospecha o se ha demostrado ilegal.
No todas las irregularidades se deben considerar actividades fraudulentas.
La determinacin de actividad fraudulenta depende de la definicin legal de
fraude en la jurisdiccin respectiva. Las irregularidades fraudulentas
incluyen:
Elusin deliberada de controles con la intencin de ocultar la
perpetuacin de fraude
Uso no autorizado de activos o servicios
Complicidad o ayuda a ocultar este tipo de actividades
Las irregularidades no fraudulentas pueden incluir:
Violacin intencionada de polticas de gerencia establecidas
Violacin intencionada de requerimientos regulatorios
Errores deliberados u omisiones de informacin sobre el rea bajo
auditora o la empresa en su conjunto
Negligencia grave
Actos ilegales no intencionados
2.2.3
Responsabilida
des de la
Gerencia cont.
2.3
2.2.4
2.3.1
Responsabilida
des de los
Profesionales
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2.4
2.4.1
Irregularidades
y Actos
Ilegales
Durante la
Planificacin
del Trabajo
2014 ISACA
2.4.2
2014 ISACA
2.5 Diseo y
Revisin de
Procedimiento
s de Trabajo
2.5.1
2.5.2
2.5.3
2.5.4
2.6 Responder a
2.6.1
Irregularidades
y Actos
Ilegales
2.6.2
2014 ISACA
2.6 Responder a
Irregularidades
y Actos
Ilegales cont.
2.6.3
2.6.4
2.6.5
2.7 Informes
Internos
2.7.1
2014 ISACA
2.7.2
2.7.3
2.7.4
2.7.5
2.7.6
2.8 Informes
Externos
2.8.1
2.8.2
2014 ISACA
2.8.3
2.8.4
2.8.5
2.8.6
2014 ISACA
10
1401 Reportes
2014 ISACA
11
Procesos de COBIT 5
EDM03 Asegurar la optimizacin del riesgo.
2014 ISACA
12
4. Terminologa
Trmino
Escepticismo
profesional
Irregularidad
Definicin
Una actitud que incluye una mente inquisitiva y una evaluacin crtica de la
evidencia de auditora. Fuente: American Institute of Certified Public Accountants
(AICPA) AU 230.07
La violacin de una poltica de gerencia o requerimiento regulatorio establecido.
Puede consistir en errores deliberados u omisin de informacin concerniente al
rea auditada o la empresa completa, negligencia grave o actos ilegales no
intencionados.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
13
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
1.2.1
con estndares 1.2.2
1.2.3
1.2.4
1.3 Uso de
trminos
1.3.1
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1.1
2.1.2
2.2 Diseo de la
Muestra
2.2.1
2.2.2
2.2.3
2014 ISACA
2.2 Diseo de la
Muestra cont.
2.2.4
2.2.5
2.2.6
2.2.7
2.2.8
2.2.9
2014 ISACA
2.3 Seleccin de la
Muestra
2.3.1
2.3.2
2.3.3
2014 ISACA
2.3.4
2.3.5
2014 ISACA
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.4.6
2.5
2.5.1
Documentaci
n
2014 ISACA
2.5
Documentaci
n cont.
2014 ISACA
Procesos de COBIT 5
APO12 Gestionar el riesgo.
2014 ISACA
Estratificacin de
muestreo
Muestreo de
auditora
Muestreo
estadstico
Muestreo no
estadstico
Muestreo por
atributos
Muestreo variable
Poblacin
Riesgo de
Muestreo
Definicin
El error mximo en la poblacin que los profesionales estn dispuestos a aceptar
y concluir que se ha logrado el objetivo de la prueba. Para pruebas sustantivas, el
error tolerable est relacionado al juicio de los profesionales sobre la
materialidad. En las pruebas de cumplimiento, es el ratio mximo de desviacin
de un procedimiento de control prescrito que los profesionales estn dispuestos
a aceptar.
El proceso de dividir una poblacin en grupos con caractersticas similares
definidas explcitamente, de forma que cada unidad de muestra solo puede
pertenecer a un estrato.
La aplicacin de procedimientos de auditora a menos del 100% de los elementos
dentro de la poblacin para obtener evidencia de auditora sobre una
caracterstica particular de la poblacin
Mtodo de seleccionar una porcin de la poblacin, por medio de clculos y
probabilidades matemticas, con el propsito de hacer sondeos cientficos y
matemticos respecto de las caractersticas de la poblacin entera.
Mtodo de seleccin de una porcin de la poblacin, por medios de juicio propio
y experiencia, con la intencin de confirmar rpidamente una proposicin. Este
mtodo no permite obtener conclusiones matemticas sobre la poblacin entera.
Mtodo para seleccionar una parte de la poblacin basada en la presencia o
ausencia de una cierta caracterstica
Una tcnica de muestreo usada para estimar el valor medio o total de la
poblacin basndose en una muestra; un modelo estadstico usado para
proyectar una caracterstica cuantitativa, como una cantidad monetaria.
El conjunto entero de datos del que se selecciona una muestra y del que un
auditor de SI desea obtener conclusiones.
La probabilidad que un auditor de SI alcance una conclusin incorrecta por
probar una muestra de auditora, en lugar de toda la poblacin.
mbito de las notas: Mientras el riesgo de muestreo puede reducirse a un nivel
bajo aceptable usando un tamao de muestra apropiado y un mtodo de
seleccin, nunca puede ser eliminado.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
10
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en InglsISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.1.3
1.2 Vinculacin
1.2.1
con estndares 1.2.2
1.2.3
1.2.4
1.3 Uso de
trminos
1.3.1
2014 ISACA
De aqu en adelante:
Funcin de auditora y aseguramiento de SI est referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI est referenciada como
profesionales.
2.1 Tipos de
Trabajo
2.1.1
2.1.2
2.1.3
2.1.4
2014 ISACA
2.2 Contenidos
Requeridos del
Informe de
Trabajo de
Auditoria
2.1.5
2.2.1
2.2.2
2.2.3
2014 ISACA
2014 ISACA
2.2.4
2014 ISACA
2.2 Contenidos
Requeridos del
Informe de
Trabajo de
Auditoria cont.
2.2.5
Declarar que los procedimientos realizados fueron los acordados por las
partes responsables identificadas en el informe
Declarar que la suficiencia de los procedimientos es responsabilidad
nica de las partes responsables y un rechazo de responsabilidad de la
suficiencia de esos procedimientos
Una lista de procedimientos realizados (o referencia a los mismos)
Una descripcin de los hallazgos, incluyendo suficiente detalle de
errores y excepciones encontrados
Declarar que los profesionales solo realizaron la conformidad sobre
procedimientos y, por tanto, no se expresa aseguramiento
Declarar que si los profesionales hubieran realizado procedimientos
adicionales, podran haber surgido otras materias a la atencin de los
profesionales y hubiera sido reportada
Declarar las restricciones sobre el uso del informe ya que es de uso
nico por las partes especificas
Declarar que el informe solo se refiere a los elementos especficos y que
no se extiende mas all de ellos
Referencias a cualquier otro informe separado que se pueda considerar
Fecha de realizacin del informe del trabajo de auditora. En muchas
instancias, la fecha del informe se basa en la fecha del evento. Se
recomienda mencionar tambin las fechas en que se realizo el trabajo
de auditora, si no se menciono ya en el resumen del trabajo realizado.
Nombres de personas o entidad responsable del informe, firmas
adecuadas y locales.
Hay dos tipos de reporte de examen:
Informes directosSobre la materia en lugar de sobre una asercin. El
informe deber hacer referencia solo al sujeto del trabajo y no debe
hacer ninguna referencia a la asercin de la gerencia sobre la materia.
Informes indirectosBasados en aserciones de la gerencia sobre la
materia.
Se puede encontrar ms ayuda detallada sobre la diferencia entre informe
directo e indirecto en el Estndar 1007 Afirmaciones.
2.3Eventos
Posteriores
2.3.1
2.3.2
2014 ISACA
2.4.1
2.4.2
2.4.3
2.4.4
2014 ISACA
Los profesionales deben discutir los contenidos del borrador del informe con
la gerencia en el rea antes de finalizar y entregar, e incluir la respuesta a los
hallazgos, conclusiones y recomendaciones de la gerencia en el informe
final, si es aplicable.
Los profesionales deben comunicar deficiencias significativas y debilidades
materiales en el entorno de control a los encargados del Gobierno y, si es
aplicable, a la autoridad responsable. Tambin deben concluir en el informe
que han sido comunicados.
Los profesionales deben comunicar a la gerencia las deficiencias de control
interno que son menos significativas pero ms que inconsecuentes. En esos
casos, los encargados del Gobierno o la autoridad responsable deben ser
notificados por los profesionales que tales deficiencias de control interno se
han comunicado a la gerencia.
Los profesionales deben obtener representacin escrita de la gerencia
reconociendo, al menos, las siguientes afirmaciones:
La responsabilidad de la gerencia para establecer y mantener los controles
internos adecuados y efectivos, incluyendo sistemas de finanza interna y
controles administrativos sobre actividades operativas y SI bajo revisin, y
las actividades para identificar todas las leyes, reglas y regulaciones, que
gobiernan el rea del sujeto bajo revisin, y para asegurar el cumplimiento
con ellos.
Toda informacin solicitada relevante para los objetivos de trabajo fue
proporcionada al equipo de trabajo incluyendo, pero sin limitar:
Registros, datos relacionados, ficheros electrnicos e informes
Polticas y procedimientos
Personal pertinente
Resultados de auditoras, revisiones y asignaciones de SI internos y
externos relevantes
No ha sucedido ningn evento o se ha descubierto ninguna materia desde
el final del trabajo de campo que pudiera tener un efecto material sobre el
trabajo
La gerencia no tiene conocimiento de ningn fraude o sospecha de fraude,
irregularidad o acto ilegal relacionado al rea bajo revisin, incluyendo
gerencia y empleados con responsabilidad en el control interno aun no
divulgado.
La gerencia no tiene conocimiento de ninguna alegacin de fraude o
sospecha de fraude, irregularidades y actos ilegales que afecten el rea bajo
revisin recibida en comunicacin por empleados, clientes, contratistas u
otros aun no concluidos
Conocimiento de responsabilidad del diseo e implementacin de
programas y controles para prevenir y detectar fraude, irregularidades y
actos ilegales.
1401 Reportes
2014 ISACA
Procesos de COBIT 5
EDM05 Asegurar la transparencia hacia las partes
interesadas.
2014 ISACA
10
Evidencia
apropiada
Evidencia
suficiente
Definicin
Una deficiencia es inconsecuente si una persona razonable podra concluir, tras
considerar la posibilidad de mas deficiencias no detectadas, que las deficiencias,
ya sean individuales o en conjunto con otras deficiencias, podran ser claramente
triviales a la material. Si una persona razonable pudiera no alcanzar tal conclusin
respecto a una deficiencia particular, esa deficiencia es ms que intrascendente.
La medida de calidad de la evidencia
La medida de la cantidad de evidencia; apoya todas las cuestiones materiales al
objetivo y alcance de la auditora. Ver evidencia.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA
11
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA). El incumplimiento de estos estndares puede dar lugar a una investigacin sobre la conducta del poseedor
del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima instancia, en una accin disciplinaria.
Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.
ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por
ejemplo, documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de
COBIT 5.
Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.
Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.
El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en InglsISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).
ISACA 2013-2014 Professional Standards and Career Management Committee
Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman The Weinman Group, USA
1.1 Propsito
1.1.1
1.1.2
1.2 Vinculacin
con
estndares
1.3 Uso de
trminos
2. Contenido de la Gua
2.0 Introduccin
2014 ISACA
2.1.1
2.1.2
2.2 Acciones
Propuestas de
la Gerencia
2.2.1
2.2.2
2.2.3
2.3.1
2.3.2
2.3.3
2014 ISACA
2.4.1
Procedimiento
s de
Seguimiento
2.5 Tiempos y
Planificacin
de las
Actividades de
Seguimiento
2.5.2
2.5.3
2.5.4
2014 ISACA
2.6.1
2.6.2
2.6.3
2.6.4
2.6.5
2.6.6
2.7.1
2.7.2
2.8 Formas de
Respuesta de
Seguimiento
2014 ISACA
2.8.1
2.8.2
2.9 Seguimiento
de los
Profesionales
Sobre
Recomendacio
nes de
Auditora
Externas
2.9.1
2.10 Informe de
Actividades de
Seguimiento
2014 ISACA
Procesos de COBIT 5
EDM01 Asegurar el establecimiento y
mantenimiento del marco de
gobierno.
2014 ISACA
4. Terminologa
Termino
Actividad de
seguimiento
Juicio profesional
Definicin
Un proceso por el cual los auditores internos evalan la adecuacin, efectividad y
oportunidad de las acciones tomadas por la gerencia sobre las observaciones y
recomendaciones reportadas, incluyendo las realizadas por los auditores externos
y otros.
Fuente: Instituto de Auditores InternosPractice Advisory 2500.A1-1; Copyright
por The Institute of Internal Auditors, Inc. Todos los derechos reservados.
La aplicacin de conocimientos y experiencias relevantes para tomar decisiones
informadas acerca de los cursos de acceso que son apropiados en las
circunstancias del encargo de la auditora y aseguramiento de SI.
5. Fecha de Vigencia
5.1 Fecha de
Vigencia
2014 ISACA