NORMAS GENERALES PARA LA AUDITORA DE SISTEMAS DE INFORMACIN

INTRODUCCIN

ISACA es el acrnimo de Information Systems Audit and Control Association (Asociacin de Auditora y
Control de Sistemas de Informacin), una asociacin internacional que apoya y patrocina el desarrollo de
metodologas y certificaciones para la realizacin de actividades auditora y control en sistemas de
informacin.
ISACA ha determinado que la naturaleza especializada de la auditora de los sistemas de informacin y las
habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin
de Normas Generales para la Auditora de los Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y
evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de
procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las
interfaces correspondientes.
Las normas promulgadas por la Asociacin de Auditora y Control de Sistemas de Informacin son aplicables
al trabajo de auditora realizado por miembros de la Asociacin de Auditora y Control de Sistemas de
Informacin y por las personas que han recibido la designacin de Auditor Certificado de Sistemas de
Informacin.

OBJETIVOS
Los objetivos de estas normas son los de informar a los auditores del nivel mnimo de rendimiento aceptable
para satisfacer las responsabilidades profesionales establecidas en el Cdigo de tica Profesional y de
informar a la gerencia y a otras partes interesadas de las expectativas de la profesin con respecto al trabajo
de aquellos que la ejercen.

La naturaleza especializada de la auditora a los sistemas de informacin (SI), as como las destrezas
necesarias para llevar a cabo tales auditoras, requiere de estndares que aplican especficamente a la
auditora de SI. Uno de los objetivos de la Asociacin de Auditora y Control de los Sistemas de Informacin
(Information Systems Audit and Control Association, ISACA) es promover estndares aplicables
internacionalmente para cumplir con su visin. El desarrollo y difusin de los Estndares de Auditora de SI
son una piedra angular de la contribucin profesional de ISACA a la comunidad de auditora. La estructura
para los Estndares de Auditora de SI brinda mltiples niveles de asesoramiento:
Los Estndares definen requisitos obligatorios para la auditora y el reporte de SI. Informan a:
Los auditores de SI respecto al nivel mnimo de desempeo aceptable requerido para cumplir con las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de
sus profesionales.
Los poseedores de la designacin de Auditor Certificado de Sistemas de Informacin (Certified
Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento
de estos estndares puede resultar en una investigacin de la conducta del poseedor del certificado
CISA por parte de la Junta de Directores de ISACA o del comit apropiado de ISACA y, en ltima
instancia, en sanciones disciplinarias.
Las Directrices proporcionan asesoramiento en la aplicacin de los Estndares de Auditora de SI. El
auditor de SI debe considerarlas al determinar cmo lograr la implementacin de los estndares, utilizar
un buen juicio profesional en su aplicacin y estar dispuesto a justificar cualquier desviacin de las
mismas. El objetivo de las Directrices de Auditora de SI es proporcionar mayor informacin con respecto
a cmo cumplir con los Estndares de Auditora de SI.
Los Procedimientos proporcionan ejemplos de procedimientos que podra seguir un auditor de SI en el
curso de un contrato de auditora. Los documentos sobre procedimientos proporcionan informacin
sobre cmo cumplir con los estndares al realizar trabajos de auditora de SI, pero no establecen los

Pgina 1 de 18
 requisitos correspondientes. El objetivo de los Procedimientos de Auditora de SI es proporcionar mayor
informacin con respecto a cmo cumplir con los Estndares de Auditora de SI.

Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las mejores
prcticas. El Marco Referencial de COBIT establece que: "Es responsabilidad de la gerencia salvaguardar
todos los activos de la empresa. Para descargar esta responsabilidad, as como para lograr sus expectativas,
la gerencia debe establecer un adecuado sistema de control interno. "- COBIT proporciona un conjunto
detallado de controles y de tcnicas de control para el entorno de administracin/gestin de sistemas de
informacin. La seleccin del material ms relevante en COBIT aplicable al alcance de la auditora en
particular se basa en la seleccin de procesos especficos de COBIT para TI, considerando adems los
criterios de informacin de COBIT.

Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos est organizado
de acuerdo con el proceso de administracin/gestin de TI. COBIT est destinado para ser utilizado por la
gerencia de la empresa y por la gerencia de TI, as como por los auditores de SI; por lo tanto, su utilizacin
permite la comprensin de los objetivos del negocio, la comunicacin de las mejores prcticas y las
recomendaciones que deben hacerse, basndose en una referencia de estndares comnmente
comprendida y bien respetada. COBIT incluye:
Objetivos de controlDeclaraciones genricas tanto de alto nivel como detalladas de un nivel mnimo
de buen control.
Prcticas de controlMotivaciones prcticas y asesoramiento sobre cmo implementar los objetivos
de control.
Directrices de auditoraAsesoramiento para cada rea de control sobre cmo obtener un
entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles
no se cumplan.
Directrices gerencialesAsesoramiento sobre cmo evaluar y mejorar el desempeo del proceso de TI,
utilizando modelos de madurez, mtricas y factores crticos de xito. Proporcionan un marco de
referencia administrativo orientado hacia una continua y proactiva autoevaluacin del control, enfocada
especficamente en:
Medicin del desempeoQu tan adecuadamente est apoyando la funcin de TI los requisitos
del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluacin, y
tambin se pueden utilizar para apoyar a la gerencia en la implementacin de procedimientos de
monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de TI.
Perfil del control de TICules procesos de TI son importantes? Cules son los factores crticos de
xito para el control?
ConcientizacinCules son los riesgos de no lograr los objetivos?
BenchmarkingQu hacen los dems? Cmo pueden medirse y compararse los resultados? Las
directrices gerenciales proporcionan ejemplos de mtricas que permiten la evaluacin del
desempeo de TI en trminos del negocio. Los indicadores claves de resultados identifican y miden
los resultados de los procesos de TI, y los indicadores claves de desempeo evalan lo bien que estn
funcionando los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de
madurez proporcionan evaluaciones de capacidad as como benchmarking, ayudando a que la
gerencia pueda medir la capacidad de control y pueda identificar vacos de control y determinar
estrategias para su mejora.

Se puede encontrar el glosario de trminos en el sitio web de ISACA www.isaca.org/glossary. Las palabras
auditora y revisin se utilizan indistintamente.

Renuncia: ISACA ha definido este asesoramiento como el nivel mnimo de desempeo aceptable requerido
para cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
ISACA no hace declaracin alguna de que el uso de este producto garantizar un resultado satisfactorio. La
publicacin no debe considerarse como incluyente de cualquier procedimiento y prueba apropiado, o
excluyente de otros procedimientos y pruebas que estn dirigidos razonablemente para la obtencin de los

Pgina 2 de 18
mismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba especficos, el
profesional de control debe aplicar su buen juicio profesional a las circunstancias de control especficas
presentadas por el entorno particular de sistemas o de la tecnologa de informacin.

La Junta de Estndares de ISACA tiene el compromiso de realizar consultas extensas al preparar los
Estndares, las Directrices y los Procedimientos de Auditora de SI. Antes de emitir cualquier documento, la
Junta de Estndares emite borradores de los mismos y los expone a nivel internacional para recibir
comentarios del pblico en general. La Junta de Estndares tambin busca personas con pericia o inters
especial en el tema bajo consideracin para consultarlos, cuando esto sea necesario. La Junta de Estndares
tiene un programa de desarrollo permanente y agradece los comentarios de los miembros de ISACA y de
otras partes interesadas para identificar temas emergentes que requieran estndares nuevos. Toda
sugerencia se deber enviar por correo electrnico a (standards@isaca.org), por fax a (+1.847. 253.1443) o
por correo (direccin al final del documento) a la Sede Internacional de ISACA, a la atencin del director de
investigacin de estndares y relaciones acadmicas. Este material fue emitido el 15 de octubre de 2004.

S1 El Estatuto de Auditora
Introduccin
01 Los Estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras
en negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de este Estndar de Auditora de SI es establecer y proporcionar asesoramiento con respecto
al Estatuto de Auditora utilizado durante el proceso de auditora.
Estndar
03 El propsito, responsabilidad, autoridad y rendicin de cuentas de la funcin de auditora de sistemas
de informacin o de las asignaciones de auditora de sistemas de informacin deben documentarse de
manera apropiada en un estatuto de auditora o carta de compromiso.
04 El estatuto de auditora o la carta de compromiso deben ser aceptados y aprobados en el nivel
apropiado dentro de la organizacin.
Comentario
05 Para una funcin de auditora interna de sistemas de informacin, se debe preparar un estatuto de
auditora para las actividades permanentes. El estatuto de auditora debe someterse a una revisin
anual, o con mayor frecuencia si varan o cambian las responsabilidades. El auditor interno de SI puede
utilizar una carta de compromiso para aclarar o confirmar su participacin en tareas especficas de
auditora o de no auditora. Para el caso de una auditora externa de SI, normalmente debe prepararse
una carta de compromiso para cada tarea de auditora o de no auditora.
06 El estatuto de auditora o la carta de compromiso deben ser lo suficientemente detallados como para
comunicar el propsito, la responsabilidad y las limitaciones de la funcin o de la auditora asignada.
07 El estatuto de auditora o la carta de compromiso deben revisarse peridicamente para garantizar que el
propsito y la responsabilidad hayan sido documentados.
08 La siguiente documentacin debe consultarse para obtener informacin adicional sobre la preparacin
de un estatuto de auditora o una carta de compromiso.
Directrices de Auditora de SI G5, Estatuto de auditora
Marco referencial de COBIT, Objetivo de control M4

S2 Independencia
Introduccin
01 Las Normas de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras en
negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de esta Norma de Auditora de SI es establecer estndares y guas relacionadas con la
independencia durante el proceso de auditora.
Estndar
03 Independencia profesional
En todos los aspectos relacionados con la auditora, el auditor de SI debe ser independiente del
auditado, tanto en actitud como en apariencia.

Pgina 3 de 18
04 Independencia organizacional
La funcin de auditora de SI debe ser independiente del rea o actividad que se est revisando para
permitir una conclusin objetiva de la tarea que se audita.
Comentario
05 El estatuto de auditora o la carta de compromiso debe considerar la independencia y la responsabilidad
de la funcin de auditora.
06 El auditor de SI debe ser, y aparentar ser, independiente tanto en actitud como en apariencia en todo
momento.
07 Si la independencia se ve menoscabada de hecho o en apariencia, los detalles de dicho menoscabo deben
informarse a las partes interesadas.
08 Dentro de la estructura organizacional, el auditor de SI debe ser independiente del rea que se va a
auditar.
09 La independencia debe ser evaluada de manera regular por el auditor de SI, por la gerencia y por el
comit de auditora, en caso de que ste se haya establecido.
10 A menos que lo prohban otras normas profesionales u organizaciones regulatorias, normativas o
legisladoras, no es un requisito que el auditor de SI sea independiente, o parezca serlo, cuando la
naturaleza de su participacin en la iniciativa de SI es en un rol de no auditor o desempea funciones que
no son de auditora.
11 La siguiente documentacin debe consultarse para obtener mayor informacin sobre la independencia
profesional u organizacional:
Gua o Directriz de Auditora de SI G17, Efecto del rol de no auditor en la independencia del auditor
de SI
Gua o Directriz de Auditora de SI G12, Relaciones e independencia organizacional
Marco Referencial de COBIT, Objetivo de control M4

S3 tica y Estndares profesionales

Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras
en negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de esta Norma de Auditora de SI es establecer un estndar y proporcionar una gua para el
auditor de SI con el fin de que cumpla con el Cdigo de tica Profesional de ISACA y ejerza el debido
cuidado profesional al realizar tareas de auditora.
Estndar
03 El auditor de SI debe cumplir con el Cdigo de tica Profesional de ISACA al realizar tareas de auditora.
04 El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estndares
profesionales de auditora aplicables al realizar tareas de auditora.
Comentario
05 El Cdigo de tica Profesional emitido por ISACA ser actualizado cada cierto tiempo para mantenerlo
acorde con las tendencias emergentes y con las exigencias de la profesin de auditora. Los miembros de
ISACA y los auditores de SI deben mantenerse al da con las actualizaciones del Cdigo de tica
Profesional y cumplir con las especificaciones de dicho cdigo al realizar tareas como auditores de SI.
06 Los Estndares de Auditora de SI emitidos por ISACA son revisadas peridicamente para realizar mejoras
continuas, y son actualizados de acuerdo con las necesidades para mantenerse al ritmo de los desafos
que surjan en la profesin de auditora.
Los miembros de ISACA y los auditores de SI deben conocer los Estndares de Auditora de SI ms
recientes que resultaran aplicables, y ejercer el debido cuidado profesional al llevar a cabo tareas de
auditora.
07 El incumplimiento del Cdigo de tica Profesional de ISACA y/o de las Normas de Auditora de SI puede
resultar en una investigacin de la conducta de un miembro de ISACA o del poseedor de la certificacin
CISA y, en ltima instancia, en sanciones disciplinarias.
08 Los miembros de ISACA y los auditores de SI deben comunicarse con los miembros de su equipo y
asegurar que stos cumplan con el Cdigo de tica Profesional y se observen las Normas de Auditora de
SI aplicables al realizar las tareas de auditora.

Pgina 4 de 18
09 Los auditores de SI deben resolver de manera apropiada todas las inquietudes que surjan, con respecto a
la aplicacin de la tica profesional o de las Normas de Auditora de SI durante la realizacin de una tarea
de auditora. Si el cumplimiento de las guas de tica profesional o de las Normas de Auditora de SI se ve
menoscabado o parece menoscabado, el auditor de SI debe considerar suspender su participacin.
10 El auditor de SI debe mantener el ms alto grado de integridad y conducta, y no adoptar ningn mtodo
que pueda considerarse ilegal, no tico o poco profesional para obtener o realizar tareas de auditora.
11 Debe consultarse la siguiente documentacin para obtener mayor informacin sobre la tica y las normas
profesionales:
Guas de Auditora de SI G19, Irregularidades y acciones ilegales
Guas de Auditora de SI G7, Debido cuidado profesional
Guas de Auditora de SI G12, Relacin e independencia organizacional
Marco Referencial de COBIT, Objetivo de control M4

S4 Competencia profesional
Introduccin
01 Los Estndares de Auditora de SI de ISACA contienen principios bsicos y procedimientos esenciales,
identificados en letras en negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de esta Norma de Auditora de SI es establecer y brindar asesora a fin de que el auditor de SI
logre y mantenga un nivel de competencia profesional.
Estndar
03 El auditor de SI debe ser profesionalmente competente y tener las destrezas y los conocimientos para
realizar la tarea de auditora.
04 El auditor de SI debe mantener competencia profesional por medio de una apropiada educacin y
capacitacin profesional contnua.
Comentario
05 El auditor de SI debe proporcionar una garanta razonable de que dispone de suficientes aptitudes
profesionales (destrezas, conocimiento y experiencia relativa a la tarea planificada) antes de iniciarse las
labores. De no ser as, el auditor de SI deber rechazar o retirarse de la tarea.
06 Si lo tiene, el auditor de SI debe cumplir con los requisitos de educacin o desarrollo profesional
continuos de CISA y otras designaciones profesionales relacionadas con las auditoras. Los miembros de
ISACA que no tengan una designacin CISA u otra designacin profesional relacionada con la auditora
deben haber recibido suficiente educacin formal, capacitacin y tener experiencia laboral.
07 En los casos en que el auditor de SI lidere un equipo para realizar una revisin, el auditor de SI debe
proporcionar una garanta razonable de que todos los miembros del equipo tengan el nivel apropiado de
aptitud profesional para las labores que desempean.
08 Debe consultarse la siguiente documentacin para obtener mayor informacin sobre la aptitud
profesional:
Certificacin CISA y material de capacitacin
Requisitos de certificacin CISA y requisitos de educacin contnua
Marco referencial de COBIT, Objetivos de control M2, M3 y M4

S5 Planeacin
Introduccin
01 Los Estndares de Auditora de SI de ISACA contienen los principios bsicos y procedimientos esenciales,
identificados en letras en negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de esta Norma de Auditora de SI es establecer normas y brindar asesora sobre la
planeacin de una auditora.
Estndar
03 El auditor de SI debe planear la cobertura de la auditora de sistemas de informacin para cubrir los
objetivos de la auditora y cumplir con las leyes aplicables y las normas profesionales de auditora.
04 El auditor de SI debe desarrollar y documentar un enfoque de auditora basado en riesgos.

Pgina 5 de 18
05 El auditor de SI debe desarrollar y documentar un plan de auditora que detalle la naturaleza y los
objetivos de la auditora, los plazos y alcance, as como los recursos requeridos.
06 El auditor de SI debe desarrollar un programa y/o plan de auditora detallando la naturaleza, los plazos
y el alcance de los procedimientos requeridos para completar la auditora.
Comentario
07 Para una funcin de auditora interna, debe desarrollarse/actualizarse un plan, al menos una vez al ao,
para las actividades permanentes. El plan debe servir como marco de referencia para las actividades de
auditora y servir para abordar las responsabilidades establecidas por el estatuto de auditora. El
nuevo/actualizado plan debe ser aprobado por el comit de auditora, en caso de que ste haya sido
establecido.
08 Para el caso de una auditora externa de SI, normalmente debe prepararse un plan para cada una de las
tareas, sean o no de auditora. El plan debe documentar los objetivos de la auditora.
09 El auditor de SI debe obtener un entendimiento de la actividad que est siendo auditada. El grado del
conocimiento requerido debe ser determinado por la naturaleza de la organizacin, su entorno y riesgos,
y por los objetivos de la auditora.
10 El auditor de SI debe realizar una evaluacin de riesgos para brindar una garanta razonable de que todos
los elementos materiales sern cubiertos adecuadamente durante la auditora. En este momento, es
posible establecer las estrategias de auditora, los niveles de materialidad y los recursos necesarios.
11 El programa y/o plan de auditora puede requerir ajustes durante el desarrollo de la auditora para
abordar las situaciones que surjan (nuevos riesgos, suposiciones incorrectas o hallazgos en los
procedimientos ya realizados) durante la auditora.
12 Debe consultarse la siguiente documentacin para obtener ms informacin sobre la preparacin de un
plan de auditora.
Gua de Auditora de SI G6, Conceptos de materialidad para la auditora de SI
Gua de Auditora de SI G15, Planeacin
Gua de Auditora de SI G13, Uso de la evaluacin de riesgos en la planeacin de la auditora
Gua de Auditora de SI G16, Efecto de terceros en los controles de TI de una organizacin
Marco Referencial de COBIT, Objetivos de control

S6 Ejecucin de la auditora
Introduccin
01 Las Normas de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras en
negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de este Estndar de Auditora de SI es establecer normas y proporcionar asesora con
respecto a la realizacin de las labores de auditora.
Estndar
03 SupervisinEl personal de auditora de SI debe ser supervisado para brindar una garanta razonable
de que se lograrn los objetivos de la auditora y que se cumplirn las normas profesionales de
auditora aplicables.
04 EvidenciaDurante el transcurso de la auditora, el auditor de SI debe obtener evidencia suficiente,
confiable y pertinente para alcanzar los objetivos de auditora. Los hallazgos y conclusiones de la
auditora debern ser soportados mediante un apropiado anlisis e interpretacin de dicha evidencia.
05 DocumentacinEl proceso de auditora deber documentarse, describiendo las labores de auditora
realizadas y la evidencia de auditora que respalda los hallazgos y conclusiones del auditor de SI.
Comentario
06 Se deben establecer los roles y responsabilidades del equipo de auditora de SI al iniciarse la auditora, y
como mnimo deben definirse los roles de decisin, ejecucin y revisin.
07 Las labores realizadas durante la ejecucin del trabajo deben organizarse y documentarse siguiendo
procedimientos documentados predefinidos. La documentacin debe incluir aspectos tales como los
objetivos y alcance del trabajo, el programa de auditora, los pasos de auditora realizados, la evidencia
recogida, los hallazgos, conclusiones y recomendaciones.
08 La documentacin de auditora debe ser suficiente para permitir que una tercera entidad independiente
vuelva a realizar todas las tareas realizadas durante la auditora para llegar a las mismas conclusiones.

Pgina 6 de 18
09 La documentacin de auditora debe incluir detalles de quin realiz cada tarea de auditora y sus
funciones. Como regla general, cada tarea, decisin, paso o resultado de la auditora realizado por un
miembro o grupo de miembros del equipo deber ser revisado por otra persona del equipo, nombrada
de acuerdo con la importancia del elemento considerado.
10 El auditor de SI debe planificar el uso de la evidencia de auditora obtenida de manera coherente con la
importancia del objetivo de la auditora y el tiempo y esfuerzo involucrados en obtener la evidencia de
auditora.
11 La evidencia de auditora debe ser suficiente, confiable y pertinente para formar una opinin o respaldar
los hallazgos y conclusiones del auditor de SI. Si, en opinin del auditor de SI, la evidencia de auditora
obtenida no cumple con estos criterios, el auditor de SI deber obtener evidencia de auditora adicional.
12 Debe consultarse la siguiente documentacin para obtener ms informacin sobre la realizacin de las
labores de auditora:
Marco Referencial de COBIT, Objetivos de control

S7 Reporte
Introduccin
01 Las Normas de Auditora de SI de ISACA contienen principios bsicos y procedimientos esenciales,
identificados en letras en negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de esta Norma de Auditora de SI es establecer y proporcionar asesora sobre la generacin
del informe, a fin de que el auditor de SI pueda cumplir con esta responsabilidad.
Estndar
03 El auditor de SI debe suministrar un informe, en un formato apropiado, al finalizar la auditora. El
informe debe identificar la organizacin, los destinatarios previstos y respetar cualquier restriccin con
respecto a su circulacin.
04 El informe de auditora debe indicar el alcance, los objetivos, el perodo de cobertura y la naturaleza,
plazo y extensin de las labores de auditora realizadas.
05 El informe debe indicar los hallazgos, conclusiones y recomendaciones, as como cualquier reserva,
calificacin o limitacin que el auditor de SI tuviese en cuanto al alcance de la auditora.
06 El auditor de SI debe tener evidencia de auditora suficiente y apropiada para respaldar los resultados
reportados.
07 Al emitirse, el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los
trminos del estatuto de auditora o carta de compromiso.
Comentario
08 El formato y contenido del informe generalmente varan segn el tipo de servicio o contrato. Un auditor
de SI puede realizar cualquiera de las siguientes acciones:
Auditora (de manera directa o como testigo)
Revisin (de manera directa o como testigo)
Procedimientos acordados
09 Cuando se requiera que el auditor de SI proporcione una opinin sobre el entorno de control y exista
evidencia de auditora sobre una debilidad material o significativa, el auditor de SI no deber concluir
que los controles internos son eficaces. El informe del auditor de SI debe describir la debilidad material o
significativa y el efecto en el logro de los objetivos de los criterios de control.
10 El auditor de SI debe comentar el contenido del informe en borrador con la gerencia del rea bajo
revisin antes de la finalizacin y divulgacin, e incluir los comentarios de la gerencia en el informe final
cuando corresponda.
11 Cuando el auditor de SI encuentre deficiencias significativas en el entorno de control, el auditor de SI
debe informar sobre estas deficiencias al comit de auditora o a la autoridad responsable y comentar en
el informe que se han comunicado dichas deficiencias significativas.
12 Cuando el auditor de SI emita informes separados, el informe final deber hacer referencia a todos los
informes separados.
13 El auditor de SI debe considerar y evaluar si comunicar a la gerencia acerca de las deficiencias en los
controles internos de menor magnitud que las deficiencias significativas. En tales casos, el auditor de SI

Pgina 7 de 18
 debe informar al comit de auditora o a la autoridad responsable que se han comunicado a la gerencia
dichas deficiencias del control interno.
14 El auditor de SI debe solicitar y evaluar la informacin sobre los hallazgos, las conclusiones y las
recomendaciones de informes anteriores a fin de determinar si se han implementado las acciones
apropiadas de manera oportuna.
15 Debe consultarse la siguiente documentacin para obtener ms informacin sobre la generacin del
informe:
Gua de Auditora de SI G20, Reporte
Marco Referencial de COBIT, Objetivos de control M4.7 y M4.8

S8 Actividades de seguimiento
Introduccin
01 Las Normas de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras en
negrita, los cuales son obligatorios, junto con la documentacin relacionada.
02 El propsito de esta Norma de Auditora de SI es establecer normas y proporcionar asesora con respecto
a las actividades de seguimiento realizadas durante un proceso de auditora de SI.
Estndar
03 Despus de informar/reportar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar
y evaluar la informacin relevante para concluir si la gerencia tom las acciones apropiadas de manera
oportuna.
Comentario
04 Si las acciones propuestas por la gerencia para implementar las recomendaciones notificadas se
proporcionaron al auditor de SI, o se comentaron con ste, dichas acciones debern registrarse en el
informe final como la respuesta de la gerencia.
05 La naturaleza, los plazos y la extensin de las actividades de seguimiento deben tener en cuenta la
importancia de los hallazgos reportados y el impacto, en caso de no haberse tomado las acciones
correctivas. Los plazos de las actividades de seguimiento de una auditora de SI en relacin con el
informe original deben basarse en el juicio profesional y depender de una serie de consideraciones tales
como la naturaleza o magnitud de los riesgos y costos asociados a la entidad.
06 La funcin de auditora interna de SI debe establecer un proceso de seguimiento para monitorear y
asegurar que las acciones de la gerencia efectivamente han sido implementadas o que la gerencia
superior ha aceptado el riesgo de no haber tomado la accin pertinente. La responsabilidad por estas
actividades de seguimiento puede definirse en el estatuto de auditora.
07 Dependiendo del alcance y de los trminos del contrato, los auditores externos de SI pueden recurrir a la
funcin de auditora interna de SI para realizar el seguimiento de sus recomendaciones aceptadas.
08 Cuando la gerencia proporcione informacin sobre las acciones tomadas para implementar las
recomendaciones y el auditor de SI tenga dudas con respecto a la informacin suministrada, se debern
llevar a cabo las pruebas apropiadas u otros procedimientos para determinar la posicin o estado reales
antes de concluir las actividades de seguimiento.
09 Puede presentarse un informe, sobre el estado de las actividades de seguimiento, que incluya las
recomendaciones aceptadas no implementadas, ante el comit de auditora en caso de que ste se haya
establecido, o, como alternativa, al nivel apropiado de la gerencia de la entidad.
10 Como parte de las actividades de seguimiento, el auditor de SI deber evaluar si los hallazgos no
implementados siguen siendo importantes.

S9 Irregularidades y acciones ilegales

Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras
en negrita, que son obligatorios junto con la documentacin relacionada.
02 El propsito de este estndar de ISACA es establecer y proporcionar asesora sobre irregularidades y
acciones ilegales que el auditor de SI debe tener en cuenta durante el proceso de auditora.
Estndar

Pgina 8 de 18
03 Al planificar y realizar la auditora para reducir el riesgo de auditora a un nivel bajo, el auditor de SI
debe tener en cuenta el riesgo de irregularidades y acciones ilegales.
04 El auditor de SI debe mantener una actitud de escepticismo profesional durante la auditora,
reconociendo la posibilidad de que podran existir declaraciones materialmente incorrectas debido a
irregularidades y acciones ilegales, independientemente de su propia evaluacin del riesgo de
irregularidades y acciones ilegales.
05 El auditor de SI debe obtener un entendimiento de la organizacin y su entorno, incluidos los controles
internos.
06 El auditor de SI debe obtener evidencia de auditora suficiente y relevante para determinar si la
gerencia u otras personas dentro de la organizacin tienen conocimientos de cualquier irregularidad y
accin ilegal real, sospechada o alegada.
07 Al realizar procedimientos de auditora para obtener un entendimiento de la organizacin y su
entorno, el auditor de SI debe considerar relaciones inusuales o inesperadas que pueden indicar un
riesgo de declaraciones materialmente incorrectas debido a irregularidades y acciones ilegales.
08 El auditor de SI debe disear y realizar procedimientos para probar lo adecuado de los controles
internos y el riesgo de anulacin de los controles por parte de la gerencia.
09 Cuando el auditor de SI identifica una declaracin incorrecta, el auditor de SI debe evaluar si tal
declaracin incorrecta puede indicar la existencia de una irregularidad o accin ilegal. Si existe tal
indicacin, el auditor de SI debe tener en cuenta las implicaciones en relacin con otros aspectos de la
auditora y, en particular, las declaraciones de la gerencia.
10 El auditor de SI debe obtener declaraciones escritas de la gerencia al menos una vez al ao o con mayor
frecuencia, dependiendo del contrato de auditora. La gerencia debe:
Reconocer su responsabilidad en el diseo e implementacin de controles internos para prevenir y
detectar irregularidades o acciones ilegales
Revelar al auditor de SI los resultados de la evaluacin de riesgos cuando pueda existir una
declaracin materialmente incorrecta como resultado de una irregularidad o accin ilegal
Revelar al auditor de SI cuando tenga conocimiento de irregularidades o acciones ilegales que estn
afectando la organizacin en relacin a:
La gerencia
Empleados que tienen funciones significativas en el control interno
Revelar al auditor de SI cuando tenga conocimiento de cualquier declaracin de irregularidades o
acciones ilegales, o sospechas de irregularidades o acciones ilegales que estn afectando la
organizacin tal como lo hayan comunicado los empleados, ex empleados, funcionarios
responsables de la normatividad dentro de la organizacin y otros
11 Si el auditor de SI ha identificado una irregularidad material o accin ilegal, u obtiene informacin de
que puede existir una irregularidad material o accin ilegal, el auditor de SI debe comunicarlo sin
demora al nivel de direccin apropiado.
12 Si el auditor de SI ha identificado una irregularidad material o accin ilegal que involucra a la gerencia o
a empleados que tienen funciones significativas en el control interno, el auditor de SI debe
comunicarlo sin demora a los responsables del gobierno corporativo.
13 El auditor de SI debe dar recomendaciones al nivel apropiado de la gerencia y a aquellos responsables
del gobierno corporativo sobre las debilidades materiales en el diseo e implementacin del control
interno para prevenir y detectar irregularidades y acciones ilegales que el auditor de SI pueda haber
notado durante la auditora.
14 Si el auditor de SI encuentra circunstancias excepcionales que afectan su capacidad para continuar
ejecutando la auditoria debido a una declaracin materialmente incorrecta o una accin ilegal, el
auditor de SI debe tener en cuenta la responsabilidad legal y profesional aplicable en tales
circunstancias, incluyendo que pueda existir el requisito para el auditor de SI de notificar a aquellos
que celebraron el contrato o, en algunos casos, a los responsables del gobierno corporativo o a las
autoridades responsables de la normatividad dentro de la organizacin o incluso considerar retirarse
del contrato.
15 El auditor de SI debe documentar todas las comunicaciones, planeacin, resultados, evaluaciones y
conclusiones relacionadas con irregularidades materiales y acciones ilegales que han sido notificadas a

Pgina 9 de 18
 la gerencia, a los responsables del gobierno corporativo, autoridades responsables de la normatividad
dentro de la organizacin y otros.
Comentario
16 El auditor de SI debe consultar la Directriz de Auditora de SI G19, Irregularidades y Acciones Ilegales,
para obtener la definicin de que constituye una irregularidad y una accin ilegal.
17 El auditor de SI debe obtener una garanta razonable de que no existen declaraciones materialmente
incorrectas debido a irregularidades y acciones ilegales. Un auditor de SI no puede tener garanta
absoluta con base en factores tales como el buen juicio, el alcance de las pruebas y las limitaciones
inherentes de los controles internos. La evidencia de auditora de que disponga el auditor de SI durante
una auditora debe ser de naturaleza persuasiva y no concluyente.
18 El riesgo de no detectar una declaracin materialmente incorrecta que surge de una accin ilegal es
mayor que el riesgo de no detectar una declaracin materialmente incorrecta que surge de una
irregularidad o error, porque las acciones ilegales pueden involucrar esquemas complejos diseados para
ocultar eventos o declaraciones intencionalmente incorrectas ante el auditor de SI.
19 La experiencia previa del auditor de SI y su conocimiento de la organizacin deben ayudarle al auditor de
SI durante la auditora. Al hacer investigaciones y realizar procedimientos de auditora, no se espera que
el auditor de SI descarte por completo su experiencia previa, pero se espera que mantenga un nivel de
escepticismo profesional. El auditor de SI no debe estar satisfecho con evidencia de auditora que sea
menos que persuasiva basndose en la creencia de que la gerencia y los responsables del gobierno
corporativo son honestos e ntegros. El auditor de SI y el equipo involucrado deben discutir la
susceptibilidad de la organizacin a irregularidades y acciones ilegales como parte del proceso de
planeacin y durante la auditora.
20 Para evaluar el riesgo de la existencia de irregularidades materiales y acciones ilegales, el auditor de SI
debe considerar el uso de:
Sus conocimientos y experiencia previos con la organizacin (incluida su experiencia con respecto a la
honestidad e integridad de la gerencia y los responsables del gobierno corporativo)
Informacin obtenida al entrevistar a la gerencia
Declaraciones de la gerencia y verificaciones firmadas de los controles internos
Otra informacin confiable obtenida durante el curso de la auditora
La evaluacin de la gerencia del riesgo de irregularidades y acciones ilegales, y su proceso para
identificar y responder a tales riesgos
21 Debe consultarse la documentacin siguiente para obtener mayor informacin sobre irregularidades y
acciones ilegales:
Directriz de Auditora de SI G5, Estatuto de auditora
Marco Referencial de COBIT, objetivos de control DS3, DS5, DS9, DS11 y PO6
Ley Sarbanes-Oxley de 2002
Ley sobre Prcticas Extranjeras Corruptas 1977

S10 Gobernabilidad de TI
Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados en letras
en negrita, que son obligatorios junto con la documentacin relacionada.
02 El propsito de este estndar de ISACA es establecer y proporcionar asesora en las reas de
gobernabilidad de TI que el auditor de SI debe tener en cuenta durante el proceso de auditora.
Estndar
03 El auditor de SI debe revisar y evaluar si la funcin de SI est alineada con la misin, visin, valores,
objetivos y estrategias de la organizacin.
04 El auditor de SI debe revisar si la funcin de SI tiene una declaracin clara en cuanto al desempeo
esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento.
05 El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el desempeo de los procesos
administrativos.

Pgina 10 de 18
06 El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales, ambientales y de
calidad de la informacin, as como de los requisitos fiduciarios y de seguridad.
07 El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la funcin de SI.
08 El auditor de SI debe revisar y evaluar el ambiente de control de la organizacin.
09 El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno de
SI.
Gua adicional
10 El auditor de SI debe consultar la Directriz de Auditora de SI G18, Gobernabilidad de TI.
11 El auditor de SI debe revisar y evaluar los riesgos del entorno de trabajo de SI que apoyan los procesos
del negocio. La actividad de auditora de SI debe asistir a la organizacin identificando y evaluando las
exposiciones significativas al riesgo y contribuir al mejoramiento de la administracin de riegos y los
sistemas de control.
12 La Gobernabilidad de TI puede ser revisada por s misma o considerarse en cada revisin de la funcin de
SI.
13 El auditor de SI debe consultar las siguientes guas para obtener mayor informacin sobre Gobernabilidad
de TI:
Guas de auditora de SI:
G5 Estatuto de auditora
G6 Conceptos de materialidad para la auditora de sistemas de informacin
G12 Relaciones e independencia organizacional
G13 Uso de la evaluacin de riesgos en la planeacin de la auditora
G15 Planeacin
G16 Efecto de terceros en los controles de TI de una organizacin
G17 Efecto del rol de no auditor en la independencia del auditor de SI
Directrices Gerenciales de COBIT
Marco referencial de COBIT, Objetivos de control; esta norma est relacionada con todos los objetivos
de control en todos los dominios COBIT.
Informe de la Junta sobre la Gobernabilidad de TI, 2da Edicin, Instituto de Gobernabilidad de TI
Objetivos de control de TI para Sarbanes-Oxley, Instituto de Gobernabilidad de TI
Ley Sarbanes-Oxley de 2002 de EE.UU. y otras normativas especficas que tambin podran ser
aplicables.

S11 Uso de la evaluacin de riesgos en la planeacin de auditora

Introduccin
01 Los Estndares de Auditora de SI de ISACA contienen los principios bsicos y procedimientos esenciales,
identificados en letras en negrita, que son obligatorios junto con la documentacin relacionada.
02 El propsito de este estndar es establecer normas y proporcionar asesora con respecto al uso de la
evaluacin de riesgos en la planeacin de auditora.
Estndar
03 El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de riesgos al desarrollar el
plan general de auditora de SI y al determinar prioridades para la asignacin eficaz de los recursos de
auditora de SI.
04 Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes al
rea bajo revisin.
Comentario
05 La evaluacin de riesgos es una tcnica usada para examinar unidades auditables dentro del universo de
auditora de SI y para seleccionar reas a revisar que tengan la mayor exposicin a riesgos, e incluirlas en
el plan anual de SI.
06 Una unidad auditable se define como un segmento discreto de la organizacin, junto con sus sistemas.
07 La determinacin del universo de auditora de SI debe basarse en el conocimiento del plan estratgico de
TI de la organizacin, en sus operaciones y en discusiones con la gerencia a cargo.
08 Deben efectuarse ejercicios de evaluacin de riesgos para facilitar el desarrollo del plan de auditora de
SI, los cuales deben documentarse al menos anualmente. Los planes estratgicos de la organizacin, los

Pgina 11 de 18
 objetivos y el marco de administracin de riesgos de la empresa deben considerarse como parte del
ejercicio de evaluacin de riesgos.
09 El uso de la evaluacin de riesgos en la seleccin de proyectos de auditora permite al auditor de SI
cuantificar y justificar los recursos de auditora de SI necesarios para completar el plan de auditora de SI
o una revisin en particular. Asimismo, el auditor de SI puede priorizar las revisiones programadas
basndose en la percepcin de riesgos y contribuir a la documentacin de marcos de administracin de
riesgos.
10 Un auditor de SI debe realizar una evaluacin preliminar de los riesgos relevantes al rea bajo revisin.
Los objetivos del contrato de auditora de SI para cada revisin especfica deben reflejar los resultados de
dicha evaluacin de riesgos.
11 Despus de terminar la revisin, el auditor de SI debe asegurarse de que se actualice la estructura de
administracin/gestin de riesgos empresariales de la organizacin o su registro de riesgos, en caso de
haberse desarrollado alguno, a fin de reflejar los hallazgos y recomendaciones de la revisin as como la
actividad subsiguiente.
12 El auditor de SI debe consultar la directriz de auditora de SI G13 Uso de la evaluacin de riesgos en la
planeacin de auditora, y el procedimiento de auditora de SI P1 Medicin de la evaluacin de riesgos de
SI.

S12 Materialidad de la auditora

Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados con letra
negrita, que junto con la documentacin relacionada son obligatorios.
02 El propsito de este estndar de auditora de SI es establecer y proporcionar una gua con respecto al
concepto de materialidad de la auditora y su relacin con el riesgo de auditora.
Estndar
03 El auditor de SI debe considerar la materialidad de la auditora y su relacin con el riesgo de auditora a
la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditora.
04 Mientras planifica la auditora, el auditor de SI debe considerar las posibles debilidades o la ausencia
de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia
importante o una debilidad material en el sistema de informacin.
05 El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de
control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad
material en el sistema de informacin.
06 El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el
significado de estas deficiencias, as como la posibilidad de que estas debilidades ocasionen una
deficiencia importante o debilidad material.
Gua adicional
07 El riesgo de auditora es el riesgo de que el auditor de SI llegue a una conclusin incorrecta basndose en
los hallazgos de auditora. El auditor de SI tambin debe tener conciencia de los tres componentes del
riesgo de auditora, a saber: el riesgo inherente, el riesgo del control y el riesgo de deteccin. Consulte
G13, Uso de la evaluacin de riesgos en la planificacin de auditora, para obtener una explicacin ms
detallada de los riesgos.
08 Mientras planifica y realiza la auditora, el auditor de SI debe intentar reducir el riesgo de auditora a un
nivel aceptablemente bajo y cumplir con los objetivos de la auditora. Esto se logra mediante la
evaluacin apropiada de SI y de los controles relacionados.
09 La debilidad en el control se considera material si la ausencia del mismo ocasiona que no exista una
garanta razonable de que se cumplir con el objetivo de control.
10 Una debilidad clasificada como material implica lo siguiente:
Los controles no estn establecidos y/o los controles no son utilizados y/o los controles son
inadecuados.
Puede producir un escalamiento.
11 Una debilidad material es una deficiencia importante o una combinacin de deficiencias importantes que
originan, con una probabilidad ms que remota, que un evento indeseado no sea prevenido o detectado.

Pgina 12 de 18
12 Existe una relacin inversa entre materialidad y el nivel de riesgo de auditora aceptable para el auditor
de SI; es decir, cuanto mayor sea el nivel de materialidad, menor ser la capacidad de aceptacin del
riesgo de auditora, y viceversa. Esto permite al auditor de SI determinar la naturaleza, los plazos y el
alcance de los procedimientos de auditora. Por ejemplo, al planificar un procedimiento especfico de
auditora, el auditor de SI determina que la materialidad es menor, aumentando por lo tanto el riesgo de
auditora. El auditor de SI querr entonces compensarlo ya sea extendiendo la prueba de los controles
(reducir la evaluacin del riesgo del control) o extendiendo los procedimientos de pruebas sustantivas
(reducir la evaluacin del riesgo de deteccin).
13 Al determinar si una deficiencia de control o una combinacin de deficiencias de control representan una
deficiencia importante o una debilidad material, el auditor de SI deber evaluar el efecto de los controles
compensatorios y si los mismos resultan eficaces.
14 La evaluacin del auditor de SI de la materialidad y del riesgo de auditora puede variar de vez en cuando,
dependiendo de las circunstancias y el entorno cambiante.
15 El auditor de SI debe consultar la Directriz de Auditora de SI G6 Conceptos de materialidad de la
auditora de sistemas de informacin.
16 Consulte la siguiente gua para obtener ms informacin sobre la materialidad de auditora:
Directrices de auditora de SI:
G2 Requisitos de evidencia de auditora
G5 Estatuto de auditora
G8 Documentacin de auditora
G9 Consideraciones de auditora sobre irregularidades
G13 Uso de la evaluacin de riesgos en la planificacin de la auditora
COBIT 4.0, IT Governance Institute, 2005
Objetivos de control de TI de Sarbanes-Oxley, IT Governance Institute, 2004

S13 Uso del trabajo de otros expertos

Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados con letra
negrita, que junto con la documentacin relacionada son obligatorios.
02 El propsito de este Estndar de Auditora de SI es establecer y proporcionar asesoramiento al auditor de
SI que utilice el trabajo de otros expertos durante una auditora.
Estndares
03 El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para
realizar la auditora.
04 El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias,
experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos,
antes de su contratacin.
05 El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditora
y concluir el grado de utilidad y la fiabilidad del trabajo del experto.
06 El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente
para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la
auditora. Dicha conclusin debe documentarse claramente.
07 El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de
auditora suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la
proporciona.
08 El auditor de SI debe proporcionar una opinin de auditora apropiada e incluir los lmites del alcance
cuando no se obtenga la evidencia requerida mediante procedimientos de prueba adicionales.
Gua adicional
09 El auditor de SI debe considerar la incorporacin de otros expertos durante la auditora cuando existan
limitaciones que pudieran perjudicar el trabajo de auditora a realizar o cuando se anticipe una ganancia
en la calidad de la misma. Algunos ejemplos incluyen los conocimientos requeridos debido a la
naturaleza tcnica de las tareas que deben realizarse, escasos recursos de auditora y restricciones de
tiempo.

Pgina 13 de 18
10 Un experto podra ser un auditor de SI procedente de una empresa contable externa, un consultor
gerencial, un experto de TI o un experto en el rea de la auditora que ha sido nombrado por la alta
gerencia o por el equipo de auditora de SI.
11 Un experto podra ser interno o externo a la organizacin. Si un experto es contratado por otra parte de
la organizacin, se puede confiar en el informe del experto. En algunos casos, esto puede disminuir la
necesidad de cobertura de auditora de SI aunque el auditor de SI no tenga acceso a la documentacin
de apoyo y a los documentos de trabajo. El auditor de SI debe tener cuidado al proporcionar una opinin
en tales casos.
12 El auditor de SI debe tener acceso a todos los documentos de trabajo, documentacin de apoyo e
informes de otros expertos, donde dicho acceso no ocasione problemas legales. Donde el acceso del
experto a registros ocasione problemas legales y por tanto, no se dispone del mismo, el auditor de SI
debe determinar y concluir apropiadamente el grado de utilidad y confianza en el trabajo del experto.
13 Las opiniones/relevancia/comentarios del auditor de SI sobre la posibilidad de adoptar el informe del
experto deben formar parte del informe del auditor de SI.
14 El auditor de SI debe consultar el Estndar de Auditora de SI S6, Ejecucin del trabajo de auditora, que
declara que el auditor de SI debe obtener evidencia suficiente, fiable, relevante y til para alcanzar los
objetivos de la auditora.
15 Si el auditor de SI no tiene la habilidad requerida u otras competencias para realizar la auditora, debe
buscar asistencia competente de otros expertos; no obstante, el auditor de SI debe tener buenos
conocimientos del trabajo realizado aunque no debe esperarse que tenga un nivel de conocimientos
equivalente al experto.
16 El auditor de SI debe consultar la Directriz de Auditora de SI G1 Utilizacin del trabajo de otros auditores
y expertos.
17 Consulte la siguiente gua para obtener ms informacin sobre el uso del trabajo de otros auditores y
expertos:
Directrices de auditora de SI:
G5 Estatuto de auditora
G8 Documentacin de auditora
G2 Requisitos de evidencia de auditora
G10 Muestreo de auditora
G13 Uso de la evaluacin de riesgos en la planificacin de la auditora
COBIT 4.0, IT Governance Institute, 2005
Objetivos de control de TI de Sarbanes-Oxley, IT Governance Institute, 2004

S14 Evidencia de auditora

Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados con letra
negrita, que junto con la documentacin relacionada son obligatorios.
02 El propsito de este estndar es establecer estndares y proporcionar una gua sobre lo que constituye
evidencia de auditora, y la calidad y cantidad de evidencias de auditora que deber obtener el auditor
de SI.
Estndar
03 El auditor de SI debe obtener evidencias de auditora suficientes y apropiadas para llegar a
conclusiones razonables sobre las que basar los resultados de la auditora.
04 El auditor de SI debe evaluar la suficiencia de las evidencias de auditora obtenidas durante la misma.
Comentario Evidencia apropiada
05 Evidencia de auditora:
Incluye los procedimientos realizados por el auditor
Incluye los resultados de los procedimientos realizados por el auditor de SI
Incluye los documentos fuente (en formato electrnico o impresos en papel), registros e informacin
de corroboracin utilizados para apoyar la auditora
Incluye los hallazgos y resultados del trabajo de auditora

Pgina 14 de 18
 Demuestra que el trabajo fue realizado y cumple con las leyes, normativas y polticas aplicables
06 Al obtener una evidencia de auditora de una prueba de controles, el auditor de SI debe considerar la
completitud de la evidencia de auditora para apoyar el nivel de riesgo del control evaluado.
07 Es necesario identificar, obtener las referencias cruzadas y catalogar de forma adecuada la evidencia de
auditora.
08 Deben tenerse en cuenta propiedades tales como la fuente, naturaleza (por ejemplo, escrito, oral, visual,
electrnica) y autenticidad (por ejemplo, firmas digitales y manuales, sellos) de la evidencia de auditora
al evaluar su nivel de fiabilidad.
Evidencia fiable
09 En trminos generales, la fiabilidad de la evidencia de auditora es mayor cuando:
Aparece en forma escrita, en lugar de presentarse como expresiones orales
Se obtiene de fuentes independientes
Es obtenida por el auditor de SI en lugar de obtenerlo de la entidad que se est auditando
Es certificada por una entidad independiente
Es mantenida por una entidad independiente
10 El auditor de SI debe considerar la forma ms econmica de recopilar la evidencia necesaria para
satisfacer los objetivos y riesgos de la auditora. Sin embargo, la dificultad o coste no es una razn vlida
para omitir un proceso necesario.
11 Los procedimientos usados para recopilar evidencias de auditora dependen de la temtica auditada (es
decir, su naturaleza, plazos de la auditora, juicio profesional). El auditor de SI debe seleccionar el
procedimiento ms apropiado para cada objetivo de auditora.
12 El auditor de SI puede obtener una evidencia de auditora por:
Inspeccin
Observacin
Consulta y confirmacin
Repeticin de la ejecucin
Repeticin del clculo
Computacin
Procedimientos analticos
Otros mtodos generalmente aceptados
13 El auditor de SI debe considerar la fuente y la naturaleza de cualquier informacin obtenida para evaluar
su fiabilidad y ulteriores requisitos de verificacin.
Evidencia suficiente
14 La evidencia puede considerarse suficiente si soporta todas las preguntas materiales referentes al
objetivo y al alcance de la auditora.
15 La evidencia de auditora debe ser objetiva y suficiente para permitir que un tercero independiente repita
la ejecucin de las pruebas y obtenga los mismos resultados. La evidencia debe ser proporcional a la
materialidad del elemento y a los riesgos involucrados.
16 La suficiencia es una medida de la cantidad de evidencias de auditora, mientras que lo apropiado es la
medida de la calidad de la evidencia de auditora, estando ambos conceptos relacionados entre s. En
este contexto, cuando se obtiene informacin de la organizacin que es utilizada por el auditor de SI
para realizar los procedimientos de auditora, el auditor de SI debe tambin poner nfasis en la precisin
y completitud de la informacin.
17 En aquellas situaciones en las que el auditor de SI cree que no se puede obtener evidencia suficiente de
auditora, el auditor de SI deber reportar este hecho de una manera coherente durante la comunicacin
de los resultados de auditora.
Proteccin y retencin
18 La evidencia de auditora debe protegerse de accesos y modificaciones no autorizados.
19 La evidencia de auditora debe retenerse despus de completarse el trabajo de auditora durante el
tiempo que resulte necesario para cumplir con todas las leyes, normas y polticas aplicables.
Referencia
20 Consulte la siguiente gua para obtener ms informacin sobre la evidencia de auditora:

Pgina 15 de 18
 Estndar de Auditora de SI S6 Ejecucin del trabajo de auditora
Directriz de Auditora de SI G2 Requisitos de evidencia de auditora
Directriz de Auditora de SI G8 Documentacin de auditora
Objetivos de control de COBIT ME2 Monitorizar y evaluar el control interno y ME3 Garantizar el
cumplimiento normativo.

S15 Controles de TI
Introduccin
01 Los estndares de ISACA contienen principios bsicos y obligatorios, as como procedimientos esenciales,
identificados con letra negrita, junto con la documentacin relacionada.
02 El propsito de este estndar de ISACA es el de establecer normas y proporcionar guas relativas a los
controles de TI.
Estndar
03 El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno de
control interno de la organizacin.
04 El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseo, la
implementacin, la operacin y la mejora de controles de TI.
Comentario
05 La gerencia es responsable del entorno de control interno de una organizacin, incluidos los controles de
TI. Un entorno de control interno proporciona la disciplina, el marco de referencia y la estructura para
lograr el objetivo principal del sistema de control interno.
06 COBIT define el control como las polticas, procedimientos, prcticas y estructuras organizativas
diseadas para proporcionar una garanta razonable de que se lograrn los objetivos del negocio, y que
los eventos indeseados sern prevenidos o detectados y corregidos. Adems, COBIT define un objetivo
de control como una declaracin del resultado deseado o propsito que debe lograrse al implementar
procedimientos de control en un proceso en particular.
07 Los controles de TI estn compuestos por controles generales de TI, que incluyen controles transversales,
controles detallados y controles de aplicacin, referidos a controles sobre la adquisicin,
implementacin, entrega y soporte a los sistemas y servicios de TI.
08 Los controles generales de TI son controles que minimizan el riesgo en el funcionamiento general de los
sistemas e infraestructura de TI de la organizacin, y un extenso conjunto de soluciones automatizadas
(aplicaciones).
09 Los controles de aplicacin son un conjunto de controles incrustados dentro de las aplicaciones.
10 Los controles de TI transversales son controles generales de TI que estn diseados para
administrar/gestionar y monitorizar el entorno de TI y, por tanto, afectan a todas las actividades
relacionadas con TI. Son un subconjunto de controles generales TI enfocados en la
administracin/gestin y monitorizacin de TI.
11 Los controles detallados de TI estn compuestos por controles de aplicacin, ms aquellos controles
generales de TI no incluidos en controles transversales de TI.
12 El auditor de SI debe utilizar una tcnica o enfoque apropiados de evaluacin de riesgos al desarrollar el
plan general de auditora de SI, y al determinar prioridades para una asignacin eficaz de los recursos de
auditora de SI, y para proporcionar una garanta con respecto al estado de los procesos de control de TI.
Los procesos de control son las polticas, procedimientos y actividades que forman parte de un entorno
de control, diseados para asegurar que los riesgos se mantienen dentro de los niveles de tolerancia
establecidos por el proceso de administracin/gestin de riesgos.
13 El auditor de SI debe considerar la utilizacin de tcnicas de anlisis de datos, incluida la utilizacin de
una garanta continua, que permita a los auditores de SI monitorizar la fiabilidad del sistema de forma
continua y, recoger evidencias selectivas de auditora por medio del ordenador/computadora al revisar
los controles de TI.
14 Cuando las organizaciones utilizan a terceros, stos pueden convertirse en un componente clave de los
controles de la organizacin y su logro de objetivos de control relacionados. El auditor de SI debe evaluar
el rol que el tercero desempea en relacin con el entorno de TI, los controles relacionados y los
objetivos de control de TI.

Pgina 16 de 18
15 La siguiente gua de ISACA y de IT Governance Institute (ITGI) debe consultarse para obtener mayor
informacin sobre los controles de TI:
Gua GF3 Utilizacin de tcnicas de auditora asistida por ordenadores/computadoras (Computer-
Assisted Audit Techniques, CAAT)
Gua G11 El efecto de los controles transversales de SI
Gua G13 Uso de la evaluacin de riesgos en la planificacin de la auditora
Gua G15 Planificacin
Gua G16 Efecto de terceros en los controles de TI de una organizacin
Gua G20 Preparacin de informes
Gua G36 Controles biomtricos
Gua G38 Controles de acceso
Marco de referencia COBIT y objetivos de control

S16 Comercio electrnico

Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados con letra
negrita, que junto con la documentacin relacionada son obligatorios.
02 El propsito de este estndar de ISACA es el de establecer normas y proporcionar guas relativas a la
revisin de entornos de comercio electrnico.
Estndar
03 El auditor de SI debe evaluar los controles aplicables, y cotejar los riesgos al revisar entornos de
comercio electrnico, para asegurar que las transacciones de comercio electrnico estn
correctamente controladas.
Comentario
04 El comercio electrnico se define como aquellos procesos, a travs de los cuales, las organizaciones
realizan negocios por medios electrnicos con sus clientes, proveedores y otros socios comerciales
externos, utilizando Internet como una tecnologa habilitadora. Por lo tanto, incluye modelos de
comercio electrnico de negocio a negocio (B2B), y de negocio a consumidor (B2C).
05 El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de riesgos para desarrollar el
plan general de auditora de SI debe cubrir los entornos de comercio electrnico.
06 El auditor de SI debe considerar la utilizacin de tcnicas de anlisis de datos, incluida la utilizacin de
una garanta continua, que permita a los auditores de SI monitorizar la fiabilidad del sistema de forma
continua, y recoger evidencias selectivas de auditora por medio del ordenador/computadora, al revisar
las actividades de comercio electrnico.
07 El nivel de habilidad y conocimiento requerido, para comprender las implicaciones de control y
administracin/gestin de riesgos del comercio electrnico, vara con la complejidad de las actividades
de comercio electrnico de la organizacin.
08 El auditor de SI debe comprender la naturaleza y la criticidad del proceso del negocio soportado por la
aplicacin de comercio electrnico antes de comenzar la auditora, de modo que los resultados puedan
evaluarse en el contexto apropiado.
09 Debe consultarse la gua siguiente para obtener mayor informacin con respecto al comercio electrnico:
Gua G21 Revisin de sistemas de planificacin de recursos empresariales (Enterprise Resource
Planning, ERP)
Gua G22 Revisin de comercio electrnico del negocio al consumidor (B2C)
Gua G24 Banca en Internet
Gua G25 Revisin de redes privadas virtuales (Virtual Private Networks, VPN)
Gua G33 Consideraciones generales respecto al uso de Internet
Procedimiento P6 Cortafuegos (firewalls)
Marco de referencia COBIT y objetivos de control

Pgina 17 de 18
Fecha de Vigencia
10 Este estndar de ISACA entrar en vigor para las auditoras de sistemas de informacin que comiencen a
partir del 1 de febrero de 2008.

Junta de Estndares de ISACA 2007-2008

Presidente, Ravi Muthukrishnan, CISA, CISM, FCA, ISCA Capco IT Services India Private Limited, India
Brad David Chin, CISA, CPA Google Inc., EE.UU.
Sergio Fleginsky, CISA ICI Paints, Uruguay
Mara Gonzlez, CISA Oficina Principal, Espaa
John Ho Chi, CISA, CISM, CBCP, CFE Ernst & Young, Singapur
Andrew MacLeod, CISA, CIA, FCPA, MACS, PCP Consejo Municipal de Brisbane, Australia
John G. Ott, CISA, CPA AmerisourceBergen, EE.UU.
Jason Thompson, CISA, CIA KPMG LLP, EE.UU.
Meera Venkatesh, CISA, CISM, ACS, CISSP, CWA Microsoft Corp., EE.UU.
2007 ISACA. Todos los derechos reservados.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrnico: standards@isaca.org
Sitio web: www.isaca.org

Enlaces

Web oficial de ISACA

http://www.isaca.org/spanish/Pages/default.aspx

CISA (Certified Information Systems Auditor), Certificacin de Auditores de Sistemas de

Informacin respaldada por ISACA
http://www.isaca.org/Certification/CISA-Certified-Information-Systems-
Auditor/Pages/default.aspx

COBIT (Control Objectives for Information and related Technology) es una gua de
prcticas y modelo de referencia para la gestin de las IT
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Pgina 18 de 18