Este documento presenta estándares generales para la auditoría de sistemas de información. Incluye secciones sobre la planeación de la auditoría, la independencia del auditor, la realización de labores de auditoría, el informe de auditoría y las actividades de seguimiento. También cubre temas como el estatuto de auditoría, los códigos de ética, la documentación de evidencia y el uso del trabajo de expertos. El objetivo es promover la calidad y profesionalismo en las auditorías de sistemas de información.

1. UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
Facultad de ingeniería industrial y de sistemas
Integrantes
Justo Ureta Aníbal
Cotaquispe Urbina Cesar
Huacho Arroyo Víctor
Alva Rojas Danny

2. Introducción
 Los trabajos de auditoria de sistemas de información
(SI) y las habilidades de los auditores requieren de
estándares. Estos son obligatorios para una auditoría
de calidad y deberán ser promovidos y aplicados por
toda la comunidad de auditores de SI

3. S1 Estatuto de auditoría
 El propósito, responsabilidad y autoridad de la
auditoría de SI debe documentarse en un estatuto, el
cuál debe ser aceptado y aprobado dentro de la
organización

4. Ejemplo de Estatuto
Misión: Coadyuvar en el logro de la organización en el logro de sus objetivos, evaluando y mejorando la eficacia
de los sistemas de información
Propósito
* Revisar y verificar que los SI son adecuados y que cumplen con las políticas de procedimientos y seguridad
Independencia
* Mantener un estado de independencia y objetividad ante las actividades evaluadas y ante la organización
Autoridad
* El auditor tiene el derecho de acceso a los SI relevantes para la ejecución de la auditoría
Alcance
* La auditoría se aplicará sólo al sistema de contabilidad.

5. S2 Independencia
I.Profesional I.Organizacional
• El auditor debe • La función de
ser la auditoría
independiente debe ser
del auditado independiente
del área
revisada

6. Ejemplo
 No sería apropiado que
el auditor tenga
confianzas con el jefe
departamental. Si existe
algún amigo suyo dentro
del área auditada, éste
no debe influir en los
resultados de la auditoría

7. Ejemplo
Alta
dirección
Auditoría
interna
Finanzas Operaciones Sistemas

8. S3 Ética y estándares profesionales
 El auditor debe cumplir con el código de ética
profesional de ISACA al realizar sus tareas de auditoría
 El auditor debe ejercer el debido cuidado profesional,
lo cual incluye cumplir con los estándares

9. Código de ética de profesional de
Isaca
Objetividad Imparcialidad Enseñar
Privacidad y Honestidad y
Aptitud
confidencialidad legalidad
Cumplimiento

10. Competencia profesional
 El auditor debe ser profesionalmente competente y
tener las destrezas y conocimientos para realizar la
auditoría
 El auditor de SI debe mantener competencia
profesional por medio de una apropiada educación y
capacitación profesional continua

11. ¿ Qué debe saber un auditor de SI?
• El proceso de la auditoría de SI
1
• Gobierno de TI
2
• Ciclo de vida de los sistemas
3
• Soporte y entrega de servicios de TI
4
• Continuidad del negocio y recuperación ante desastres
5

12. NORMAS GENERALES PARA LA
AUDITORIA DE SISTEMAS
INFORMACION
S6. Realización de labores de auditoría
S7. Reporte
S8. Actividades de seguimiento

13. S5. PLANEACIÓN
 Planear la cobertura de la auditoría de sistemas
de información para cubrir los objetivos de la
auditoría y cumplir con las leyes aplicables y
las normas profesionales de auditoría.

14. S5. PLANEACIÓN
 Desarrollar y documentar un enfoque de
auditoría basado en riesgos.

15. S5. PLANEACIÓN
 Desarrollar y documentar un plan de auditoría
que detalle la naturaleza y los objetivos de la
auditoría, los plazos y alcance, así como los
recursos requeridos.

16. S5. PLANEACIÓN
 Desarrollar un programa y/o plan de auditoría
detallando la naturaleza, los plazos y el alcance
de los procedimientos requeridos para
completar la auditoría.

17. S6. REALIZACIÓN DE LABORES
DE AUDITORÍA
 Supervisión—El personal de auditoría de SI debe
ser supervisado para brindar una garantía
razonable de que se lograrán los objetivos de la
auditoría y que se cumplirán las normas
profesionales de auditoría aplicables.

18. S6. REALIZACIÓN DE LABORES
DE AUDITORÍA
 Evidencia—Durante el transcurso de la auditoría, el auditor de
SI debe obtener evidencia suficiente, confiable y pertinente
para alcanzar los objetivos de auditoría. Los hallazgos y
conclusiones de la auditoría deberán ser soportados mediante
un apropiado análisis e interpretación de dicha evidencia.

19. S6. REALIZACIÓN DE LABORES
DE AUDITORIA
 Documentación—El proceso de auditoría
deberá documentarse, describiendo las
labores de auditoría realizadas y la evidencia
de auditoría que respalda los hallazgos y
conclusiones del auditor de SI.

20. S7. REPORTE
 El auditor de SI debe suministrar un informe, en
un formato apropiado, al finalizar la auditoría. El
informe debe identificar la organización, los
destinatarios previstos y respetar cualquier
restricción con respecto a su circulación.

21. S7. REPORTE
 El informe de auditoría debe indicar el
alcance, los objetivos, el período de
cobertura y la naturaleza, plazo y extensión
de las labores de auditoría realizadas.

22. S7. REPORTE
 El informe debe indicar los hallazgos,
conclusiones y recomendaciones, así como
cualquier reserva, calificación o limitación que
el auditor de SI tuviese en cuanto al alcance de
la auditoría.

23. S7. REPORTE
 El auditor de SI
debe tener
evidencia de
auditoría
suficiente y
apropiada para
respaldar los
resultados
reportados.

24. S7. REPORTE
 Al emitirse, el informe del auditor de SI debe
ser firmado, fechado y distribuido de acuerdo
con los términos del estatuto de auditoría o
carta de compromiso.

25. S8. ACTIVIDAD DE SEGUIMIENTO
 Después de informar/reportar sobre los
hallazgos y las recomendaciones, el auditor de
SI debe solicitar y evaluar la información
relevante para concluir si la gerencia tomó las
acciones apropiadas de manera oportuna.

26. FASES DE SEGUIMIENTO
ACTIVIDAD APROPIADA
METODO APROPIADO PARA MONITOREAR
CRONOGRAMA DE SEGUIMIENTO
CONDUCIR LAS ACTIVIDADES
COMUNICAR LOS RESULTADOS

27. Formato de actividades de
seguimiento

29. Estándares
• El auditor de SI debe mantener una actitud de escepticismo profesional
durante la auditoría, reconociendo la posibilidad de que podrían existir
declaraciones materialmente incorrectas debido a irregularidades y
acciones ilegales, independientemente de su propia evaluación del
riesgo de irregularidades y acciones ilegales.
• El auditor de SI debe obtener un entendimiento de la organización y su
entorno, incluidos los controles internos.
• El auditor de SI debe dar recomendaciones al nivel apropiado de la
gerencia y a aquellos responsables del gobierno corporativo sobre las
debilidades materiales en el diseño e implementación del control
interno para prevenir y detectar irregularidades y acciones ilegales que el
auditor de SI pueda haber notado durante la auditoría.
• El auditor de SI debe documentar todas las comunicaciones, planeación,
resultados, evaluaciones y conclusiones relacionadas con irregularidades
materiales y acciones ilegales que han sido notificadas a la gerencia, a los
responsables del gobierno corporativo, autoridades responsables de la
normatividad dentro de la organización y otros.

31. Estándares
• El auditor de SI debe revisar y evaluar si la función de SI está
alineada con la misión, visión, valores, objetivos y estrategias de la
organización.
• El auditor de SI debe revisar si la función de SI tiene una
declaración clara en cuanto al desempeño esperado por la empresa
(eficacia y eficiencia) y evaluar su cumplimiento.
• El auditor de SI debe revisar y evaluar la eficacia de los recursos de
SI y el desempeño de los procesos administrativos.
• El auditor de SI debe revisar y evaluar el cumplimiento de los
requisitos legales, ambientales y de calidad de la información, así
como de los requisitos fiduciarios y de seguridad.
• El auditor de SI debe utilizar un enfoque basado en riesgos para
evaluar la función de SI. El auditor de SI debe revisar y evaluar el
ambiente de control de la organización.
• El auditor de SI debe revisar y evaluar los riesgos que pueden
afectar de manera adversa el entorno de SI.

33. Estándares
• El auditor de SI debe utilizar una técnica o enfoque
apropiado de evaluación de riesgos al desarrollar el
plan general de auditoría de SI y al determinar
prioridades para la asignación eficaz de los recursos
de auditoría de SI.
• Al planear revisiones individuales, el auditor de SI
debe identificar y evaluar los riesgos relevantes al área
bajo revisión.

35. Estándares
• El auditor de SI debe considerar la materialidad de la auditoría y su
relación con el riesgo de auditoría a la vez que determina la naturaleza,
los plazos y el alcance de los procedimientos de auditoría.
• Mientras planifica la auditoría, el auditor de SI debe considerar las
posibles debilidades o la ausencia de controles, y si tales debilidades o
ausencias de controles pueden ocasionar una deficiencia importante o
una debilidad material en el sistema de información.
• El auditor de SI debe considerar el efecto acumulativo de las deficiencias
o debilidades menores de control y la ausencia de controles que pueden
traducirse en una deficiencia significativa o debilidad material en el
sistema de información.
• El informe del auditor de SI debe divulgar los controles ineficaces o la
ausencia de controles, y el significado de estas deficiencias, así como la
posibilidad de que estas debilidades ocasionen una deficiencia
importante o debilidad material.

36. USO DEL TRABAJO DE UN
EXPERTO
Estándares
 El auditor de SI debe, donde resulte apropiado, considerar
el uso del trabajo de otros expertos para realizar la
auditoría.
 El auditor de SI debe evaluar y estar satisfecho con las
credenciales profesionales, competencias, experiencia
relevante, recursos, independencia y procesos de control de
calidad de otros expertos, antes de su contratación.
 El auditor de SI debe evaluar, revisar y calificar el trabajo de
otros expertos.

37. El propósito :
Determinación de la necesidad de usar el trabajo de un experto
El auditor deberá evaluar la competencia profesional del experto.
El auditor deberá evaluar la objetividad del experto.
Evaluación del trabajo del experto

38. EVIDENCIA DE AUDITORÍA
Estándar :
 El auditor de SI debe obtener evidencias de auditoría
suficientes y apropiadas para llegar a conclusiones
razonables sobre las que basar los resultados de la
auditoría.
 El auditor de SI debe evaluar la suficiencia de las
evidencias de auditoría obtenidas durante la misma.

39. Propósito:
 El auditor deberá obtener evidencia suficiente apropiada de
auditoría para poder extraer conclusiones razonables sobre las
cuales basar la opinión de auditoría.
Procedimientos para obtener evidencia de
auditoría:
• Inspección
• Observación
• Investigación y confirmación

40. Controles de TI
Estándar :
 El auditor de SI debe evaluar y supervisar los controles de
TI que son parte integral del entorno de control interno de
la organización.
 El auditor de SI debe asistir a la gerencia proporcionando
consejos con respecto al diseño, la implementación, la
operación y la mejora de controles de TI.

41. E-COMMERCE
Estándar:
 El auditor de SI debe evaluar los controles aplicables, y
cotejar los riesgos al revisar entornos de comercio
electrónico, para asegurar que las transacciones de
comercio electrónico están correctamente controladas.