estandares de auditoria

ESTÁNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACIÓN

Producido por el concejo de estándares de la EDP Auditors Foundatión, Inc.

CONTENIDO

1. Introducción

2. Objetivo3. Declaraciones No. 1 Independencia

( Actitud y Apariencia)4. Declaración No. 2 Independencia

(Participación en el proc. De Desarrollode Sistemas).

5. Declaración No. 3 Ejecución del Trabajo (Requerimiento de Evidencia)

6. Declaración No. 4 Ejecución delTrabajo(EL debido cuidado profesional)

7. Declaración No. 5 Ejecución deltrabajo (El uso de valorización de riesgosen la planeación de la Auditoría)

8. Declaración No. 6 Ejecución del trabajo ( Documentación de la Auditoría)

9. Declaración No. 7 Reportes deAuditoría

10. Declaración No. 8 Ejecución deTrabajo ( consideraciones de Auditoríapara irregularidades).

11. Declaración No. 9 Ejecución delTrabajo (Uso de Herramientas de Software de auditoría).

INTRODUCCIÓN

La E.D.P. Auditors Fundatión, Inc. Determinó que la naturaleza de la Auditoría de Sistemas de Información, y las habilidades necesarias para ejecutar tales auditorias requiere el desarrollo y promulgación de Estándares de Auditoria de Sistemas de Información.

La Auditoria de Sistemas de Información está definida como cualquier auditoría que abarca la revisión de y evaluación de todos los aspectos ( ó alguna porción) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interfaces entre ellos.

Los Estándares promulgados por la E.D.P. Auditors Fundatión Inc, son aplicables al trabajo de la Auditoria de Sistemas de Información ejecutado por miembros de la Asociación de Auditores de la E.D.P. y por los titulares de la designación CISA. ( Certified, Informatión Systems Auditor).

Más antecedentes concernientes a la Asociación de Auditores E.D.P. Inc, la Fundación de Auditores E.D.P., y su programa de Estándares de Auditoria de Sistemas de Información, están contenidos en el ^Prefacio de Estándares Generales para la Auditoria de Sistemas de Información y las declaraciones sobre Estándares de Auditoria de Sistemas de Información.

OBJETIVOS

Estos Estándares tienen como objetivo informar a los auditores el nivel del mínimo de desempeño aceptable, necesario para satisfacer las responsabilidades profesionales definidas en el Código de Ética Profesional e informar a la administración y a otras partes interesadas sobre las expectativas de la profesión concernientes al trabajo de sus practicantes.

(*) Electronic Data Processing.

ESTÁNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

Los diez (10) Estándares siguientes son aplicables para la auditoria de Sistemas de Información , como se definió anteriormente.

INDEPENDENCIA:

Estándar General No. 1 Actitud y Apariencia.

En todos los asuntos relacionados con auditoría, El Auditor de Sistemas de Información. Deberá ser independiente del auditado en actitud y apariencia.

Estándar General No. 2. Relación Organizacional.

La función de auditoría de sistemas de información deberá ser lo suficientemente independiente del área que está auditando, para permitir la obtención del objetivo de la Auditoría.

Estándar General No. 3. Código de Ética Profesional

El auditor de Sistemas deberá adherirse al Código de Ética Profesional de la Fundación de Auditores de E.D.P.

COMPETENCIA TÉCNICA

Estándar General No. 4 Habilidades y Conocimiento.

El auditor de Sistemas de Información deberá ser técnicamente competente, y poseerá las capacidades y conocimientos necesarios para desempeñar su trabajo de Auditor.

Estándar General No. 5. Educación Profesional Continua.

El auditor de Sistemas de Información deberá mantener competencia técnica mediante una apropiada educación continua.

EJECUCIÓN DE TRABAJO.

Estándar General No. 6. Planeación y Supervisión.

Las Auditorias de Sistemas de Información deben ser planeadas y supervisadas para asegurar que los objetivos de la auditoría se alcanzan y se satisface el cumplimiento de estos estándares.

Estándar General No. 7. Requerimiento de Evidencia

Durante el curso de la auditoría, el auditor de Sistemas de Información deberá obtener evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados.

Estándar General No. 8. Debido cuidado Profesional.

El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del Auditor de Sistemas de Información, incluyendo la observancia de auditoria aplicables.

REPORTE

Estándar General No. 9. Reporte del Alcance de la Auditoría.

En la preparación de reportes, el auditor de sistemas de información, deberá plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensión del trabajo de auditoría ejecutado.

Estándar General No. 10. Reporte de hallazgos y conclusiones.

En la preparación de reportes, el auditor de sistemas de información deberá plantear los hallazgos y conclusiones relacionados con el trabajo de auditoría ejecutado, al igual que cualquier excepción ó calificación que el auditor tenga con respecto a la auditoría.

FECHA EFECTIVA

Estos estándares son efectivos para todas las Auditorías de Sistemas de Información a partir de Enero 1 de 1.988.

DECLARACION DEL1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN Producidos por el Concejo de Estándaresde las E D P Auditors Foundatión, Inc.

DECLARACIÓN No. 1: INDEPENDENCIA, Actitud y apariencia en la Relación Organizacional.

INTRODUCCIÓN

01) El propósito de esta declaración sobre los Estándares para la Auditoría de Sistemas de Información es expandir el significado de “ independencia” con relación a los Est Estándares de la Auditoría de Sistemas de Información.

02) Esta declaración es un suplemento de los Estándares Generales para la Auditoría de Sistemas de Información promulgados por la EDP Auditors Foundation, y por consiguiente no reemplazara ninguna parte de ellos.

DECLARACIÓN

03) El Auditor de Sistemas de Información ( auditor) tiene la obligación de asumir una actitud de independencia hacia la auditoría. Una actitud de independencia está definida como un punto de vista imparcial que permite al auditor actuar objetivamente y con imparcialidad ó justicia.

04) El auditor no debería participar en una auditoría si la independencia del auditor es perjudicada. Por ejemplo, la independencia del auditor puede ser perjudicada si el auditor, tiene alguna expectativa de ganancia financiera u otra ventaja personal debido a su influencia sobre los resultados de la auditoría. Sin embargo, la independencia del auditor no necesariamente podría ser perjudicada como resultado de la ejecución de una auditoría de sistemas de información donde las transacciones personales ocurren en el curso normal de negocios.

05) El auditor debería estar enterado que la apariencia de independencia puede ser influenciada por las acciones ó asociaciones del auditor. Las percepciones de la independencia del auditor, pueden afectar la aceptación de su trabajo. Si el auditor llega a enterarse que una situación o relación es percibida como perjudicial para la independencia del auditor, el auditor podrá informar a la administración de la auditoría sobre esta percepción lo más pronto posible.

06) El auditor debería tener una independencia organizacional del área que está siendo auditada. Esto asegura que la auditoria sea objetiva e imparcial. La independencia se debilita si el auditor tiene control directo sobre el área que esta siendo auditada. La independencia del auditor también puede ser perjudicada si el auditor tiene la responsabilidad directa de reportar directamente a los individuos que tienen control directo del área que esta siendo auditada.

07) En circunstancias donde la independencia es perjudicada y el auditor continua siendo asociado con la auditoria, los factores que rodean el problema de la independencia del auditor deberían ser divulgados. Esta divulgación debería hacerse de manera consistente con la comunicación del auditor y la distribución de los resultados de la auditoría.

08) La independencia debería ser continuamente valorada por el auditor y la adminstración. Esta valoración debería considerar factores tales como cambios en relaciones personales, intereses financieros y asignaciones y responsabilidades del trabajo anterior.

09) El trabajo y reporte del auditor debería representar una descarga de responsabilidades profesionales que ejemplifiquen la integridad y objetividad. Un auditor debe evitar situaciones que podrían perjudicar su independencia.

FECHA EFECTIVA

10) Este informe es efectivo para todos los auditores de Sistemas de Información a partir del 1 de Julio de 1.989.

DECLARACIONES 1 A 9 SOBRE LOS ESTÁNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN. Producidos por el Concejo de Estándares de la EDP Auditors Foundation

DECLARACIÓN No. 2: INDEPENDENCIA. Participación en el proceso de Desarrollo de Sistemas

INTRODUCCIÓN

01 El propósito de esta declaración sobre Estándares de Auditoria de sistemas de información es profundizar sobre el significado de la independencia del auditor tal como se relaciona con la revisión de sistemas en desarrollo. Esta declaración esta relacionado con los Estándares Generales No. 1 y 2 de los Estándares Generales para la Auditoria de Sistemas de Información.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de Sistemas de Información como los promulgó la EDP. Auditors Foundation, y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Las siguientes definiciones son proporcionadas para clarificar la utilización de la terminología dentro de esta declaración.

04 Sistema de Aplicación- Un grupo integrado de programas de computador diseñados para realizar una función particular que tiene actividades especificas de entrada (imput) procesamiento y salida (output) (ejemplos: contabilidad general, planeación de recursos de manufactura y administración).

05 Procesos de Desarrollo - Un enfoque usado para planear, diseñar, desarrollar, probar, documentar e implementar un sistema de aplicación. El proceso puede utilizar metodologias tales como un ciclo de vida estructurado del desarrollo de sistemas ó al menos un prototipo interactivo estructurado.

06 Revisión del Desarrollo de una Aplicación - Una evaluación de un sistema de aplicación bajo desarrollo, en el cual se consideran materias tales como : controles apropiados son diseñados dentro del sistema; la aplicación procesará información de una manera completa, exacta y confiable la aplicación funcionará de conformidad con las provisiones estatutarias aplicables, y el sistema se desarrolla en concordancia con el proceso de sistemas de desarrollo establecido.

DECLARACIÓN

07 Al conducir una revisión del desarrollo de una aplicación, el auditor de Sistemas de Información (auditor) deberá mantener una actitud y apariencia de independencia.

08 En el desarrollo de un sistema de Aplicación, el equipo de proyecto es responsable de aplicar el proceso de desarrollo de sistemas, que incluye el diseño e implementación de controles. El auditor deberá ser independiente del equipo de proyecto. El auditor debería independientemente determinar los procedimientos a ser aplicados en la ejecución de la revisión del desarrollo de una aplicación. El auditor puede recomendar el control y otros mejoramientos del sistema, sin perjudicar su independencia.

09 La ejecución de la revisión del desarrollo de una aplicación no puede perjudicar la capacidad del auditor para ejecutar un evaluación independiente de la aplicación después de su implementación.

10 La independencia puede ser debilitada si el auditor llega a involucrarse activamente en el diseño e implementación del sistema de aplicación. Por Ejemplo, si el auditor llega a tomar decisiones como miembro del equipo de proyecto ( es decir, a tomar decisiones respecto a controles especificos), se debilita la capacidad del auditor para ejecutar la revisión de una apliación. Esto también puede perjudicar la capacidad del auditor para ejecutar una evaluación independiente del sistema de aplicación después de su implementación.

11 La participación del auditor como miembro del equipo de proyecto en el diseño e implementación de herramientas y técnicas de auditoría (ejemplo, módulos de auditoría encajados), no perjudica la independencia del auditor.

FECHA EFECTIVA

12 Esta declaración es efectiva para todas las auditorias de Sistemas de Información a partir del 1 de Julio de 1.989.

DECLARACIONES DEL 1 A 9 SOBRE LOS ESTÁNDARES AUDITORIA DE SISTEMAS DE INFORMACIÓN. Producidos por el concejo de Estándares de la EDP. Auditors Foundations, Inc.

DECLARACIÓN No. 3: EJECUCIÓN DE TRABAJO. Requerimiento de Evidencias

INTRODUCCIÓN

01 El propósito sobre esta declaración sobre los Estándares para la Auditoria de Sistemas de Información, es definir la palabra “ EVIDENCIA”, como se utilizó en el Estándar No. 7 de los Estándares Generales para la auditoria de sistemas de información y direccionar la naturaleza y suficiencia de la evidencia usada en la auditoria de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de Sistemas de Información como los promulgó la E.D.P. Auditor Foundation y por consiguiente, no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El Auditor de Sistemas de Información ( auditor) colecciona información en el curso de la ejecución de una Auditoría. La información utilizada por el auditor para satisfacer los objetivos de la auditoría es conocido como evidencia de auditoría ( evidencia). La naturaleza de información es usada como evidencia debería ser revelante y confiable, y la información debe ser suficiente para formar una opinión ó soportar los hallazagos y conclusiones.

04 La evidencia es revelante si está relacionada con los objetivos de la auditoría y tiene una relación lógica con los hallazgos y conclusiones que se soportan en ella.

05 La evidencia es confiable si en la opinión del auditor, esta es valida, objetiva y soportable. Dependiendo del tipo de evidencia reunida, el auditor variará el grado de confianza de la evidencia. Por ejemplo, la evidencia corroborativa de una tercera parte independiente es generalmente más confiable que la evidencia de la organización que se esta auditando. La evidencia física generalmente es más confiable que las representaciones de un individuo.

06 La naturaleza de evidencia está relacionada con el tipo y lo apropiado que sea la evidencia material obtenida durante la ejecución de los procedimientos de auditoría. Son varios los tipos de evidencia que el auditor puede utilizar, incluyendo la evidencia física, evidencia documentaría, representaciones y análisis. La evidencia física puede incluir observaciones de actividades, bienes y funciones de los sistemas de información, tales como un inventario de medios magnéticos en una locación de almacenamiento OFFSITE, ó la operación de un sistema de seguridad en una instalación de computadores. La evidencia documentaria puede incluir resultados de extracciones de datos, registros de transacciones, listados de programas, facturas y logos de control. La evidencia también puede consistir de representaciones de aquello que se esté auditando tales como a las políticas y procedimientos, flujogramas de Sistemas y declaraciones escritas u orales. Los resultados de analizar información por medio de comparaciones, valoraciones, y razonamiento pueden ser también utilizadas como evidencia.

07 La evidencia deberá ser suficiente para soportar los hallazgos y conclusiones de la auditoría. Si, a juicio del Auditor, la evidencia obtenida no es suficiente para soportar los hallazgos y conclusiones, el auditor deberá obtener evidencia adicional. Por ejemplo, un listado de programas puede no ser suficiente evidencia hasta que la evidencia adicional haya sido reunida para verificar que el listado representa el programa actual en proceso de producción. La evidencia suficiente de naturaleza relevante deberá ser obtenida para proveer al auditor con bases razonables para las conclusiones obtenidas. En aquellas situaciones en donde el auditor cree que la evidencia suficiente no puede ser obtenida, entonces el auditor debe divulgar este hecho de una manera consistente con la comunicación de los resultados de la auditoría.

08 Los procedimientos usados para recolectar evidencia pueden variar, dependiendo de los sistemas de información que sean auditadas. Estos procedimientos pueden incluir averiguaciones, observaciones, inspección, confirmación, reejecución pueden ser aplicados por medio de procedimientos de auditoría, manuales técnicas de auditoría con una combinación de ambos. Por ejemplo, un sistema que usa totales de control, manuales para balancear operaciones de entrada de datos, podría suministrar evidencia de los procedimientos de control utilizados mediante un reporte apropiadamente reconciliado y comentado. El auditor podría obtener evidencia al revisar y probar este reporte. Otros sistemas pueden exigir al auditor el uso de diferentes métodos para reunir evidencia. Por ejemplo, un registro detallado de transacciones, puede solamente estar disponible solamente en un formato legible por el computador que requiere el uso de técnicas de auditoría asistidas con el computador para obtener evidencia.

09 La evidencia reunida por el auditor deberá ser apropiadamente documentada y organizada para soportar los hallazgos y conclusiones del auditor.

FECHA EFECTIVA

10 Este informe es efectivo para todas las Auditorias de Sistemas de Información desde el 1 de Julio de 1.991.

DECLARACIÓN DEL 1 A 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN Producidos por en concejo de Estándares de las EDP. Auditors Foundation

DECLARACIÓN No. 4 EJECUCIÓN DE TRABAJO. El débito cuidado profesional

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de Sistemas de Información es clarificar la expresión “ DEBIDO CUIDADO PROFESIONAL” como se aplica a la ejecución de una Auditoría que cumple con el Estándar General No. 8 para la auditoría de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de Sistemas de Información promulgados por la E.D.P. Auditors Foundation y por consiguiente, no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El Estándar de “ debido cuidado “ es ese nivel de diligencia que una persona prudente podría ejercitar bajo un grupo de circunstancias dadas “ El debido cuidado profesiona” aplica al individuo que profesa habilidad para ejecutar actividad tal como en sistemas de información. El debido Cuidado Profesional le

exige al individuo ejercitar esa destreza a un nivel que comúnmente posee los practicantes de esa especialidad.

04 El debido cuidado profesional se aplica para el ejercicio del juicio profesional en la conducción del trabajo realizado. El debido cuidado profesional no implica que el profesional sea infalible, solo que el profesional enfoque con diligencia los asuntos que requieren un juicio profesional. A pesar del ejercicio del debido cuidado y juicio profesional, puede ocurrir que una conclusión incorrecta resulte de una reversión diligente de los hechos y circunstancias disponibles; por consiguiente el subsecuente descubrimiento de conclusiones incorrectas no indica por si mismo un inadecuado juicio profesional ó falta de diligencia por parte del auditor de Sistemas de Información ( auditor).

05 El debido cuidado profesional deberá extenderse a cada aspecto de la auditoría, incluyendo la evaluación del un riesgo de auditoría, la formulación de los objetivos.

De auditoría, el establecimiento del alcance de la auditoria, la selección de pruebas de auditoria y la evaluación de los resultados de las pruebas. Al hacer esto, el auditor debería determinar o evaluar.

a. El tipo y nivel de los recursos de auditoría necesarios para satisfacer los objetivos de auditoría.

b. La significancía de los riesgos identificados y el impacto potencial de tales riesgos en la auditoria.

c. La evidencia recolectada durante la auditoría.

d. La competencia integridad y conclusiones de otras personas en cuyo trabajo confía el auditor.

06 Los destinatarios de los reportes de auditoría tienen la expectativa de que el auditor ha ejercido el debido cuidado profesional en todo el curso de la auditoría. El auditor no debería aceptar un empleo a menos que la adecuada capacidad, conocimientos y otros recursos estén disponibles para completar el trabajo de la manera esperada de un profesional.

07 Se espera que el auditor conduzca la auditoría con diligencia adhiriendose a los estándares profesionales. El auditor debería divulgar las circunstancias sobre cualquier incumplimiento con los estándares profesionales de manera consistente con la comunicación de los resultados de Auditoría.

FECHA EFECTIVA

08 Esta declaración se hace efectiva para todas las auditorias de Sistemas de Información desde el 1 de Julio de 1.991.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN: Producidos por el concejo de Estándares de la EDP. Auditors Foundation.

DECLARACIÓN No. 5 EJECUCIÓN DE TRABAJO. El uso de valoración de riesgos en la Planeación de la Auditoría.

INTRODUCCIÓN

01 El propósito de estas declaraciones sobre los Estándares para la Auditoría de Sistemas de Información es describir la evaluación de los riesgos de acuerdo con los Estándares Generales Nos. 6 y 8 de los Estándares Generales para auditoría de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la auditoría de sistemas de información promulgados por la E.D.P. Auditors Foundations, Inc. Y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Esta definiciones sirven para clasificar los términos usados en esta declaración.

04 Riesgos - La posibilidad de ocurrencia de un acto ó evento que podría tener un efecto adverso sobre la organización y sus sistemas de información.

05 Exposición - El potencial de pérdida para un área a causa de la ocurrencia de un evento adverso. La inhabilidad para procesar las aplicaciones computarizadas durante un periodo de tiempo es una exposición que podría resultar del incendio del centro de datos. La exposición puede reducirse mediante la implementación de controles apropiadamente diseñados. Por ejemplo, una alarma de incendio no puede provenir el fuego, pero se establece para reducir los daños del incendio.

06 Valoraciones del Riesgo - Un proceso utilizado para identificar y evaluar los riesgos y su impacto potencial.

DECLARACIÓN

07 El auditor de Sistemas de Información ( auditor), deberá utilizar técnicas de valoración del Riesgo, en el desarrollo general de auditoría y en la planeación de auditorias especificas. La valoración del riesgo, en combinación con otras técnicas de auditoría, facilitan las decisiones de planeación tales como:

a) La naturaleza extensión y oportunidad de los procedimientos de auditoría

b) Las áreas o funciones de negocios que serán auditadas.

c) La cantidad de tiempo y recursos que serán asignados para una auditoría

08 El auditor deberá documentar la técnica ó metodología de valoración del riesgo utilizado para una auditoría especifica. La documentación debería incluir.

a) Una descripción de la metodología utilizada por la valoración del riesgo.

b) La identificación de expresiones significativas y los riesgos correspondientes

c) Los riesgos y exposiciones sobre los que enfatizará la auditoría.

d) La evidencia utilizada para soportar la valoración del riesgo del Auditor.

09 No puede esperarse que una única metodoligía de valoración del riesgo sea apropiada para todas las situaciones. Las condiciones que afectan las auditorias, pueden cambiar a medida que pase el tiempo. Periódicamente el auditor deberá reevaluar lo apropiado de las metodologías escogidas en la valoración del riesgo.

FECHA EFECTIVA

10 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir del 1 de Noviembre de 1.992.


DECLARACIÓN No. 6 Ejecución de Trabajo. Documentación de la Auditoría

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoria de Sistemas de Información (auditor), deberá preparar y retener para soportar los resultados de la Auditoría.

02 Esta declaración es un suplemento, de los Estándares Generales para la auditoría de sistemas de información promulgados por la EDPAF, y por consiguiente no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 La documentación de la Auditoría de Sistemas de Información (documentación) es el registro del trabajo de Auditoría y la evidencia que soporta los hallazgos y conclusiones del Auditor. La documentación demuestra la extensión a la cual el auditor cumplió con los Estándares de Sistemas de Información.

04 La documentación debería incluir, como mínimo, un registro de:

a) La planeación y preparación del alcance y objetivos de la Auditoría.

b) El programa de auditoría

c) Los pasos de auditoría ejecutados y reunidos.

d) Los hallazgos, conclusiones y recomendaciones de Auditoría

e) Cualquier reporte producido como resultado del trabajo de Auditores.

f) Las respuestas del auditado a las recomendaciones del Auditor.

05 La extensión de la documentación del auditor dependerá de las necesidades para una auditoría particular y deberá incluir:

a) El entendimiento del auditor sobre el área que fue auditada y su ambiente.

b) El entendimiento del Auditor sobre los procesamiento de sistemas de Información y el ambiente de control interno.

c) El preparador y la fuente de la documentación de Auditoría y la fecha de su elaboración.

d) La evidencia de revisión y supervisión del trabajo de Auditoría.

06 La documentación debería incluir información de auditoría que es exigida por ley, por las regulaciones del gobierno o cualquier estándar aplicable.

07 Las políticas y procedimientos que en efecto pueden estar para asegurar custodía apropiada y retención de la documentación que soportan hallazgos y conclusiones de auditoría, por un tiempo prudente para satisfacer los requerimientos legales, profesionales y organizacionales.

08 La documentación debería ser organizada almacenada, asegurada de una manera apropiada para el medio en el cual se retiene.

FECHA EFECTIVA

09 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a a partir del 1 de Noviembre de 1.992


DECLARACIÓN No. 7: REPORTES DE AUDITORIA

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoria de Sistemas de Información es describir los requerimientos para preparar y producir un reporte y Sistemas de Información (reporte), de acuerdo con los Estándares Generales No. 9 y 10 para la Auditoría de Sistemas de Información.

02 Esta declaración es un suplemento, de los Estándares Generales para la auditoría de sistemas de información promulgados por la E.D.P. Auditors Foundation y por consiguiente no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El reporte es el medio formal de comunicación de los objetivos de la auditoría del cuerpo de estándares de auditoría utilizados para el alcance de la auditoría y los hallazgos y conclusiones. Al preparar el reporte, el auditor deberá considerar las necesidades de los destinatarios previsto, los cuales pueden incluir al auditado, La administración ejecutiva, el concejo de directores ó su comités de auditoría y el gobierno.

04 El reporte deberá incluir una declaración de los objetivos de la auditoría para identificar que se propuso realizar la auditoría. Si, en la opinión del auditor, algún objetivo de la auditoría establecido en el reporte, no fue satisfecho, este hecho deberá ser reevaluado en el reporte. 05 El reporte deberá identificar los estándares de la organización profesionales y del gobierno utilizados ( es decir en los Estándares Generales para la Auditoría de Sistemas de la EDPAF), en ejecución de la Auditoría. El reporte deberá también identificar las excepciones significativas para el uso de esos estándares, las razones para no usarlos y cuando sea apropiado, el impacto potencial sobre los resultados de la Auditoría.

06 El reporte deberá incluír una declaración de alcance de la auditoría que describe la naturaleza y extensión del trabajo ejecutado. La declaración del alcance, debería identificar el área funcional de auditoría, el periodo de auditoría y los sistemas de información aplicaciones ó los ambientes de procesamiento auditados. El reporte debería identificar circunstancias de limitación de alcance, en la opinión del auditor no se completaron los procedimientos ó pruebas para satisfacer los estándares o cuando se impusieron restricciones sobre el trabajo de la auditoría por parte de lo auditado.

07 El reporte debería incluir todos los hallazgos importantes de la auditoría. Cuando un hallazgo requiere explicación el auditor puede describir la condición y el criterio usado para identificar el hallazgo. El auditor puede también identificar los criterios organizacionales y profesionales y del gobierno aplicados (e.g. los Objetivos de control de la EDPAF, al escribir la causa de la condición y su efecto, y proporcionar recomendaciones para su mejoramiento.

08 El reporte debería expresar una conclusión que es la evaluación del auditor sobre el área auditada. La conclusión que es la evaluación total ó múltiples evaluaciones relaciondas con los objetivos específicos de la auditoría. El reporte deberá también describir cualquier excepción ó calificación importante de las conclusiones.

09 El formato del reporte deberá reflejar en una presentación lógica y organizada . El reporte deberá contener suficiente información para que sea comprendida por los destinatarios y acciones correctivas.

10 El reporte deberá producirse oportunamente para asegurar una pronta acción correctiva. Cuando sea apropiado, el auditor puede comunicar los hallazgos importantes a las personas apropiadas , antes de la producción del reporte. La comunicación anticipada de los hallazgos significativos no debera alterar la intensión y contenido del reporte.

11 El reporte debería identificar al auditado e indicar la fecha de su emisión. Cuando sea apropiado, el reporte deberá especificar que este es únicamente para información y uso de las partes intersadas, tales como el auditado, el concejo de directores, administración y otras partes interesadas fuera de la organización ( e.g. una agencia del gobierno). El reporte deberá también establecer cualquier restricción sobre su distribución.

FECHA EFECTIVA

12 Esta declaración es efectiva para todas alas auditorias de Sistemas de Información a partir de Septiembre 1 de 1.993.


DECLARACIÓN No. 8: EJECUCION DE TRABAJO. Consideración de Auditoría para irregularidades

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de Información es describir los requerimientos de los Estándares Generales para la Auditoría de Sistemas de Información Nos. 6, 7, y 8.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de Sistemas de Información promulgados por la EDPAF y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIÓN

03 Las irregularidades, para el propósito de esta declaración, son violaciones intencionales de las políticas administrativas establecidas u omisiones de información del área bajo una auditoría o de organización. Algunas irregularidades pueden ser consideradas como actividades fraudulentas dependen de la definición legal de fraude en la jurisdicción perteneciente a la auditoría. Las irregularidades incluye, pero no están limitadas a engaños deliberados de controles con la intención de encubrir la perpetuación de irregularidades, fraude, uso no autorizado de activos y ayudas para encubrir esos tipos de actividades.

DECLARACIÓN

04 La Administración tiene la responsabilidad de establecer un efectivo sistema de controles internos diseñados e implementados para proporcionar seguridad razonables de la prevención y detección de irregularidades.

05 El auditor de Sistemas de Información ( auditor) deberá evaluar el riesgo de ocurrencia de irregularidades conectadas con el área bajo auditoría. Al preparar esta evaluación , el auditor deberá considerar factores tales como:

a) Características organizacionales. ( e.g. ética corporativa, estructura organizacional). Lo adecuada que es la supervisión compensación y estructura de recompensa).

b) Los tipos de activos que posee o servicios ofrecidos y su suceptibilidad a irregularidades.

c) El sistema de controles internos

d) Regulaciones y requerimientos legales aplicables.

06 Basados en la valoración del riesgo, el auditor tiene la responsabilidad de diseñar y ejecutar pruebas de auditoría que puedan ser razonablemente apropiadas para detectar irregularidades que pudieran tener impacto significativo en el área de auditoría o en la organización.

07 Si la evidencia indica que una irregularidad podría involucrar un acto ilegal, el auditor debería recomendar que la administración busque asesoría jurídica o debería buscar directamente la asesoría jurídica.

08 Una auditoría no puedo garantizar que las irregularidades serán detectadas aun cuando una auditoría sea apropiadamente planeada y ejecutada, las irregularidades podrían no ser detectadas ( e.g. cuando hay confabulación entre empleados, entre empleado y otros externos, ó la administración se involucra en las irregularidades).

09 Si las irregularidades han sido detectadas, el auditor deberá evaluar el impacto de estas actividades sobre los objetivos de auditoría y sobre la confiabilidad de la evidencia recolectada. Además, el auditor debe considerar si continúa la auditoría cuando.

a)Elimcto de las irregularidades es tan significativa que no puede obtenerse evidencia de auditoría suficiente y confiable.

b) La evidencia de auditoría sugiere que la administración participó en irregularidades. En estas situaciones, el auditor debe también considerar los requerimientos apropiados para el reporte.

10 La detección de irregularidades deberá comunicarse a las personas apropiadas en la organización de una manera oportuna. La notificación debe dirigirse a nivel administrativo superior al que se sospecha que ocurrieron además las irregularidades deberán reportarse al consejo de directores, al comité de auditoría del consejo o al un cuerpo equivalente, excepto por cosas que son claramente insignificantes. Además de esto la auditoría puede ser requerida para soportar actividades fraudalentas a las organizaciones externas tales como una agencia gubernamental de vigilancia. FECHA EFECTIVA

11 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir del 1 de Septiembre de 1.993


DECLARACIÓN No. 9: EJECUCION DE TRABAJO. Uso Herramientas de Sofware de Auditoría.

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de Información es definir las responsabilidades del Auditor de Sistemas de Información ( auditor) en el control del desarrollo integridad y uso de las herramientas Software de Auditoría. La declaración describe los requerimientos de los Estándares Generales para la Auditoría de Sistemas de Información Nos. 6, 7, y 8.

02 Esta declaración es un suplemento de los Estándares Generales para la Auditoría de Sistemas de Información como los promulgo la ( EDPAF) y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIÓN

03 Las herramientas de Software de auditoría son programas de computador que pueden ser utilizados para proporcionar información para el uso de auditoría. Ejemplos de herramientas para el Software de auditoría usados para propósitos de la auditoría incluyen:

a) Software encajado en los sistemas que están en producción.

b) Software escrito ó adquirido para propósitos de auditoría.

c) Softftware de utilidad (utilities).

DECLARACIÓN

04 El auditor deberá obtener razonable seguridad de la integridad y utilidad de la herramienta en Software a través de la apropiada planeación . diseño prueba y reversión de la documentación . Estos deberá realizarse antes que la confianza sea dada a la herramienta de software de auditoría.

05 Cuando se usa una herramienta software de auditoría para tener acceso a los datos de producción , el auditor deberá seguir pasos apropiados para proteger la integridad del Sistema de Información y de los datos.

06 Las herramientas de software de auditoría pueden utilizarse para extraer datos sensitivos que deberán ser de uso confidencial. El auditor deberá

salvaguardar los datos extraídos con un nivel apropiado de confidencialidad y seguridad.

07 El auditor deberá usar y documentar los resultados de procedimientos apropiados para garantizar la integridad, confiabilidad y seguridad de la herramienta de software de auditoría. Por ejemplo esto podría incluir una revisión del programa de mantenimiento y controles de cambios de programas sobre software de auditoría encajado para determinar que solamente algunos cambios autorizados se hicieron a la herramienta de software de auditoría.

08 El auditor deberá evaluar el impacto que los cambios a los sistemas en producción que pudo tener en el uso de el software de auditoría. Al hacer esto, el auditor debe considerar el impacto de esos cambios en la integridad y la utilidad de la herramienta de auditoría, así como sobre integridad de los datos usados por el auditor.

09 Cuando la herramienta del software de auditoría reside en que no esta bajo en control del auditor, un apropiado nivel de control debe efectuarse para identificar cambios en la herramienta de software de auditoría. Cundo una herramienta de software de auditoría. Cuando una herramienta de software de auditoría es cambiada , el auditor debe obtener seguridad de su integridad y utilidad a través de una apropiada planeación, diseño, prueba y revisión de la documentación antes de dar confianza a la herramienta de software de auditoría

FECHA EFECTIVA

10 Esta declaración es efectiva para todas las Auditorias de Sistemas de información a partir del 1 de Julio de 1.994

estandares de auditoria

Documents