View
231
Download
0
Category
Preview:
Citation preview
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 1/23
Bibliografía
-ISACA
Ing. Marjorie Chalén Troya.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 2/23
Estándares de Auditoria
Los estándares definen los requerimientos mandatoriospara una auditoria de SI e informe. Informan:
A los auditores de SI el mínimo nivel de desempeñoaceptable requerido para enfrentar un conjunto deresponsabilidades de profesionales dentro del código de
ética. La administración y otras partes interesadas de la
expectativa profesional concerniente al trabajo de los
practicantes.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 3/23
Directrices de Auditoria
Proveen un guía para aplicar los estándares deauditoría. El auditor de SI debe considerarlas al
estándares, haciendo uso de su juicio profesional ensu aplicación y estar preparado para justificar algunadiferencia.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 4/23
Procedimientos de Auditoria
Proveen ejemplos de procesos que debe seguir unauditor de SI en un acuerdo de auditoría. La
información de la manera de cumplir con losestándares donde se está realizando un trabajo deauditoría de SI, pero no establece requerimientos.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 5/23
S1 Carta de Auditoria
El propósito, responsabilidad, autoridad y obligaciónde rendir cuentas de la función de la auditoria de SI o
,
de manera apropiada en una Carta de Auditoria o uncontrato.
La carta de auditoría o contrato debería ser
acordada y aprobada por un nivel apropiado dentrode la organización.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 6/23
S2 Independencia
Independencia profesional. Concierne a todos losmiembros relacionados a auditoria, el auditor de SI
apariencia. Independencia organizacional. La función del auditor
de SI debe ser independiente del área o actividad
revisada para permitir una realización objetiva de laasignación de auditoría.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 7/23
S3 Ética y Estándares Profesionales
El auditor debería acatar el código de éticaprofesional
profesional, incluyendo la observación de laaplicación de los estándares de auditoría profesional.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 8/23
S4 Competencia Profesional
El auditor debería ser profesionalmente competente,teniendo habilidades y el conocimiento para
.
El auditoría debería mantener competenciaprofesional a través de una continua educaciónprofesional adecuada y capacitación.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 9/23
S5 Planeación
El auditor de SI debería planear el alcance de la auditoriade SI considerando los objetivos de auditoría ycumpliendo con las leyes aplicables y los estándares de
au itor a pro esiona es. El auditor de SI debería desarrollar y documentar elenfoque de auditoría basado en riesgos.
El auditor de auditoría debería desarrollar y documentar
el plan de auditoría detallando la naturaleza, losobjetivos, el tiempo, el alcance y los recursos requeridos.
El auditor debería desarrollar un programa yprocedimientos de auditoría.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 10/23
S6 Desempeño del trabajo de auditoria
Supervisión.- El personal de auditoría debería sersupervisado para proveer una certeza razonable que sevan alcanzar los objetivos de auditoría y se observan
.
Evidencia.- Durante el curso de la auditoria, el auditor deSI debería obtener evidencia suficiente, fiable y relevantepara lograr los objetivos de auditoría. Los hallazgos deauditoría y las conclusiones deben ser respaldados por
un análisis e interpretación apropiados a la evidencia. Documentación.- El proceso de auditoría debería ser
documentado, describiendo el trabajo de auditoría y laevidencia de auditoría que respalde los hallazgos y las
conclusiones de auditoría.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 11/23
S7 Informe
El auditor debería proveer un informe, con formato apropiado una vezterminada la revisión. El informe debería identificar la organización,quienes reciben dicho informe, y las restricciones sobre su publicación.
El informe debería establecer el alcance, objetivos, periodo deu y u z , y x u
realizado. El informe debería establecer los hallazgos, conclusiones y
recomendaciones, así como cualquier reserva, restricción o limitacióndel alcance que el auditor de SI tenga respecto a la auditoria.
El auditor debería tener evidencia suficiente y apropiada pararespaldar los resultados expuestos en el informe.
El informe de auditoría debe ser firmado, fechado y distribuidoconforme a los términos establecidos en la carta de auditoría, cuandosea emitido.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 12/23
S8 Actividades de Seguimiento
Luego de reportar los hallazgos y recomendaciones,el auditor de SI debería solicitar y evaluar
administración tomó acciones apropiadas de maneraoportuna.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 13/23
S9 Irregularidades y Actos Ilícitos
En la planeación y desempeño de la auditoria para reducir el riesgo deauditoría a un nivel menor, el auditor debe considerar el riesgo de actosilegales e irregularidades.
El auditor de SI debe mantener una actitud de escepticismo profesional,
declaraciones erróneas materiales por actos ilegales e irregularidades,independientemente de su evaluación de irregularidades y actos ilícitos. El auditor debería obtener un entendimiento de la organización y su
entorno, incluyendo los controles internos. El auditor debería obtener evidencia de auditoría suficiente y apropiada
para determinar si la administración u otros dentro de la organizacióntiene conocimiento sobre cualquier acto ilegal o irregularidad real,sospechoso o presunto.
El auditor de SI debería diseñar y ejecutar procedimientos para probarqué tan apropiados son los controles internos y el riesgo que la dirección
no respete estos controles.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 14/23
Cuando un auditor de SI identifica una aserción errada, el auditor de SIdebería evaluar si esa aserción podría indicar una irregularidad o un actoilegal. Si sospecha que sea así, el auditor de SI debería considerarimplicaciones en relación a otros aspectos de la revisión, y en particularcomo responde la administración.
El auditor de SI debería obtener declaraciones escritas de laadministración al menos una vez al año o con mayor frecuenciadependiendo del acuerdo de auditoría. Este debería: Reconocer su responsabilidad sobre el diseño e implementación de control
interno para prevenir y detectar irregularidades y actos ilegales.
existencia de aserciones erróneas materiales como resultado de unairregularidad o acto ilegal. Revelar al auditor de SI su conocimiento de las irregularidades o actos ilegales
que afecten a la organización en relación a: La dirección Empleados que tienen roles significativos con respecto al control interno
Revelar cualquier conocimiento de cualquier presunción o sospecha deirregularidades o actos ilícitos que afecten a la organización que hayansido informados por empleados, ex empleados, reguladores u otros.
Si el auditor de SI ha identificado la existencia de irregularidades o actosilegales materiales, el auditor de SI debería comunicar estos asuntos
oportunamente al nivel apropiado de la dirección.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 15/23
Si el auditor ha identificado irregularidades o actos ilegales materiales queinvolucre a la dirección o empleados que tengan roles significativos en el controlinterno, el auditor de SI debería comunicar estos asuntos de manera oportuna alos encargados del gobierno corporativo.
El auditor de SI debería aconsejar al nivel apropiado de dirección y a los
encargados del gobierno corporativo de las debilidades materiales en el diseño eimplementación del control interno para prevenir y detectar irregularidades oactos ilegales que podrían haber sido identificadas por el auditor durante laauditoria.
e au tor ent ca c rcunstanc as excepc ona es que a ecten a capac a que
el auditor de SI continúe con la ejecución de la auditoria debido a irregularidadeso actos ilegales materiales, el auditor de SI debería considerar susresponsabilidades legales y profesionales aplicables en dichas circunstancias,incluso si se requiere al auditor de SI que informe a sus contratantes o en algunoscasos a los encargados del gobierno corporativo o a las autoridades regulatorias obien considerar cancelar su contrato.
El auditor de SI debería documentar todas las comunicaciones, planeación,resultados, evaluaciones o conclusiones relacionadas a las irregularidades o actoslegales materiales que hayan sido reportados a la dirección, encargados del
gobierno corporativo, reguladores y otros.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 16/23
S10 Gobierno TI
¿Qué es el gobierno TI?
• Es el responsable de la mesa directiva y la.
gobierno de la empresa y consiste en liderazgo,estructura organizacional y procesos que aseguren elsustento del área TI de la organización y la extensión
de las estrategias y objetivos del área IT de laorganización.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 17/23
…
El auditor de SI debería revisar y evaluar si la función de SI se alinea con lamisión, visión, valores, objetivos y estrategias de la organización.
El auditor de SI debería revisar si la función de SI tiene una declaraciónclara acerca del desempeño esperado por el negocio (efectividad y
.
El auditor de SI debería revisar y evaluar la efectividad de los procesos deadministración de los recursos de SI y desempeño.
El auditor de SI debería revisar y evaluar el cumplimiento con losrequerimientos legales, ambiente, calidad de información, fiduciarios y deseguridad.
El auditor de SI debería usar un enfoque basado en riesgos para evaluar lafunción de SI. El auditor de SI debería revisar y evaluar el ambiente de control de la
organización. El auditor de SI debería revisar y evaluar el ambiente de control que
puedan causar un efecto desfavorable en el ambiente de SI.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 18/23
S11 Uso de Evaluación de Riesgo en laPlaneación de Auditoria El auditor de SI debería usar una técnica o enfoque
apropiado de evaluación de riesgos al desarrollar el
para una asignación efectiva de recursos deauditoría.
Al planear las revisiones individuales, el auditor de SI
debería identificar y evaluar los riesgos relevantespara el área bajo revisión.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 19/23
S12 Materialidad de la auditoria
El auditor de SI debería considerar la materialidad de auditoría y surelación con el riesgo de auditoría mientras determina lanaturaleza, tiempo y extensión de los procesos de auditoría.
Durante la planeación de auditoría, el auditor de SI deberíaconsi erar as e i i a es potencia es o a ausencia e contro es ysi estos podrían resultar en deficiencias significativas o debilidadesmateriales en los SI.
El auditor de SI debería considerar el efecto acumulativo de lasdeficiencias o debilidades menores de control y la ausencia de
controles para traducir en deficiencia significativa o debilidadmaterial en los SI. El informe del auditor de SI debería revelar los controles ineficaces
y la ausencia de controles y la significancia de la deficiencia decontroles y la posibilidad que estas debilidades resulten en una
deficiencia significativa o debilidad material.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 20/23
S13 Utilizar el trabajo de otros expertos
El auditor de SI debería, donde sea apropiado, considerar el uso del trabajo deotros expertos para la auditoria.
El auditor de SI debería evaluar y estar satisfecho con las calificacionesprofesionales, experiencia relevante, recursos, independencia y procesos decontrol de calidad de otros expertos, antes del contrato.
El auditor de SI debería analizar, revisar y evaluar el trabajo de otros expertoscomo parte de la auditoria y concluir la extensión de uso y confianza del trabajode un experto.
El auditor de SI deberá determinar y concluir si el trabajo de otros expertos esadecuado y completo como para permitir al auditor de SI concluir sobre losactuales objetivos de auditoria.
El auditor de SI debe aplicar procedimientos adicionales de prueba para obtenerevidencia suficiente y apropiada de auditoria en circunstancias en las que eltrabajo de otros expertos no provee evidencia suficiente y apropiada de auditoria.
El auditor debería proveer una opinión de auditoria apropiada e incluir limitaciónde alcance donde la evidencia requerida no sea obtenida a través deprocedimientos adicionales de pruebas.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 21/23
S14 Evidencia de Auditoria
El auditor debería obtener evidencia suficienteapropiada para extraer conclusiones razonables que
.
El auditor de SI debería evaluar la suficiencia de laevidencia de auditoria durante la auditoria.
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 22/23
8/3/2019 1.2 Estándares
http://slidepdf.com/reader/full/12-estandares 23/23
S16 E- commerce
El auditor de SI debería evaluar controles aplicables yevaluar el riesgo cuando revise el ambiente de e-commerce para asegurar que las transacciones de e-
commerce sean contro a as apropia amente. Donde e-commerce es definido como procesos mediante
los cuales las organizaciones conducen electrónicamentesus negocios con sus clientes, proveedores y socios
externos del negocio, usando internet como tecnologíahabilitante. Por lo tanto, se incluyen los modelos denegocio B2B (Business to Business) y B2C (Business toConsumer)
Recommended