ESTÁNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE

INFORMACIÓN

Producido por el concejo de estándares de la EDP Auditors Foundatión, Inc.

CONTENIDO

1. Introducción

2. Objetivo
3. Declaraciones No. 1 Independencia
( Actitud y Apariencia)
4. Declaración No. 2 Independencia
(Participación en el proc. De Desarrollo
de Sistemas).
5. Declaración No. 3 Ejecución del
Trabajo (Requerimiento de Evidencia)
6. Declaración No. 4 Ejecución del
Trabajo( EL debido cuidado profesional)
7. Declaración No. 5 Ejecución del
trabajo (El uso de valorización de riesgos
en la planeación de la Auditoría)
8. Declaración No. 6 Ejecución del
trabajo ( Documentación de la Auditoría)
9. Declaración No. 7 Reportes de
Auditoría
10. Declaración No. 8 Ejecución de
Trabajo ( consideraciones de Auditoría
para irregularidades).
11. Declaración No. 9 Ejecución del
Trabajo (Uso de Herramientas de Software
de auditoría).

INTRODUCCIÓN

La E.D.P. Auditors Fundatión, Inc. Determinó que la naturaleza de la Auditoría de

Sistemas de Información, y las habilidades necesarias para ejecutar tales
auditorias requiere el desarrollo y promulgación de Estándares de Auditoria de
Sistemas de Información.

La Auditoria de Sistemas de Información está definida como cualquier auditoría

que abarca la revisión de y evaluación de todos los aspectos ( ó alguna porción)
de los sistemas automatizados de procesamiento de información, incluyendo
procedimientos relacionados no automáticos, y las interfaces entre ellos.

Los Estándares promulgados por la E.D.P. Auditors Fundatión Inc, son aplicables
al trabajo de la Auditoria de Sistemas de Información ejecutado por miembros de
la Asociación de Auditores de la E.D.P. y por los titulares de la designación
CISA. ( Certified, Informatión Systems Auditor).

Más antecedentes concernientes a la Asociación de Auditores E.D.P. Inc, la

Fundación de Auditores E.D.P., y su programa de Estándares de Auditoria de
Sistemas de Información, están contenidos en el ^Prefacio de Estándares
Generales para la Auditoria de Sistemas de Información y las declaraciones
sobre Estándares de Auditoria de Sistemas de Información.

OBJETIVOS

Estos Estándares tienen como objetivo informar a los auditores el nivel del
mínimo de desempeño aceptable, necesario para satisfacer las
responsabilidades profesionales definidas en el Código de Ética Profesional e
informar a la administración y a otras partes interesadas sobre las expectativas
de la profesión concernientes al trabajo de sus practicantes.

(*) Electronic Data Processing.

ESTÁNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

Los diez (10) Estándares siguientes son aplicables para la auditoria de Sistemas de
Información , como se definió anteriormente.

INDEPENDENCIA:

Estándar General No. 1 Actitud y Apariencia.

En todos los asuntos relacionados con auditoría, El Auditor de Sistemas de Información.

Deberá ser independiente del auditado en actitud y apariencia.

Estándar General No. 2. Relación Organizacional.

La función de auditoría de sistemas de información deberá ser lo suficientemente

independiente del área que está auditando, para permitir la obtención del objetivo de la
Auditoría.

Estándar General No. 3. Código de Ética Profesional

El auditor de Sistemas deberá adherirse al Código de Ética Profesional de la Fundación

de Auditores de E.D.P.

COMPETENCIA TÉCNICA
Estándar General No. 4 Habilidades y Conocimiento.

El auditor de Sistemas de Información deberá ser técnicamente competente, y poseerá

las capacidades y conocimientos necesarios para desempeñar su trabajo de Auditor.

Estándar General No. 5. Educación Profesional Continua.

El auditor de Sistemas de Información deberá mantener competencia técnica mediante

una apropiada educación continua.

EJECUCIÓN DE TRABAJO.

Estándar General No. 6. Planeación y Supervisión.

Las Auditorias de Sistemas de Información deben ser planeadas y supervisadas para

asegurar que los objetivos de la auditoría se alcanzan y se satisface el cumplimiento
de estos estándares.

Estándar General No. 7. Requerimiento de Evidencia

Durante el curso de la auditoría, el auditor de Sistemas de Información deberá

obtener evidencia esencial y suficiente para soportar los hallazgos y
conclusiones reportados.

Estándar General No. 8. Debido cuidado Profesional.

El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del
trabajo del Auditor de Sistemas de Información, incluyendo la observancia de
auditoria aplicables.

REPORTE

Estándar General No. 9. Reporte del Alcance de la Auditoría.

En la preparación de reportes, el auditor de sistemas de información, deberá

plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y
extensión del trabajo de auditoría ejecutado.

Estándar General No. 10. Reporte de hallazgos y conclusiones.

En la preparación de reportes, el auditor de sistemas de información deberá

plantear los hallazgos y conclusiones relacionados con el trabajo de auditoría
ejecutado, al igual que cualquier excepción ó calificación que el auditor tenga
con respecto a la auditoría.
FECHA EFECTIVA

Estos estándares son efectivos para todas las Auditorías de Sistemas de

Información a partir de Enero 1 de 1.988.

DECLARACION DEL1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN Producidos por el Concejo de Estándares
de las E D P Auditors Foundatión, Inc.

DECLARACIÓN No. 1: INDEPENDENCIA, Actitud y apariencia en la Relación

Organizacional.

INTRODUCCIÓN

01) El propósito de esta declaración sobre los Estándares para la Auditoría de

Sistemas de Información es expandir el significado de “ independencia” con
relación a los Est Estándares de la Auditoría de Sistemas de Información.

02) Esta declaración es un suplemento de los Estándares Generales para la

Auditoría de Sistemas de Información promulgados por la EDP Auditors
Foundation, y por consiguiente no reemplazara ninguna parte de ellos.

DECLARACIÓN

03) El Auditor de Sistemas de Información ( auditor) tiene la obligación de

asumir una actitud de independencia hacia la auditoría. Una actitud de
independencia está definida como un punto de vista imparcial que permite al
auditor actuar objetivamente y con imparcialidad ó justicia.

04) El auditor no debería participar en una auditoría si la independencia del

auditor es perjudicada. Por ejemplo, la independencia del auditor puede ser
perjudicada si el auditor, tiene alguna expectativa de ganancia financiera u otra
ventaja personal debido a su influencia sobre los resultados de la auditoría. Sin
embargo, la independencia del auditor no necesariamente podría ser
perjudicada como resultado de la ejecución de una auditoría de sistemas de
información donde las transacciones personales ocurren en el curso normal de
negocios.

05) El auditor debería estar enterado que la apariencia de independencia

puede ser influenciada por las acciones ó asociaciones del auditor. Las
percepciones de la independencia del auditor, pueden afectar la aceptación de
su trabajo. Si el auditor llega a enterarse que una situación o relación es
percibida como perjudicial para la independencia del auditor, el auditor podrá
informar a la administración de la auditoría sobre esta percepción lo más pronto
posible.

06) El auditor debería tener una independencia organizacional del área que
está siendo auditada. Esto asegura que la auditoria sea objetiva e imparcial. La
independencia se debilita si el auditor tiene control directo sobre el área que
esta siendo auditada. La independencia del auditor también puede ser
perjudicada si el auditor tiene la responsabilidad directa de reportar
directamente a los individuos que tienen control directo del área que esta
siendo auditada.

07) En circunstancias donde la independencia es perjudicada y el auditor

continua siendo asociado con la auditoria, los factores que rodean el problema
de la independencia del auditor deberían ser divulgados. Esta divulgación
debería hacerse de manera consistente con la comunicación del auditor y la
distribución de los resultados de la auditoría.

08) La independencia debería ser continuamente valorada por el auditor y la

adminstración. Esta valoración debería considerar factores tales como cambios
en relaciones personales, intereses financieros y asignaciones y
responsabilidades del trabajo anterior.

09) El trabajo y reporte del auditor debería representar una descarga de

responsabilidades profesionales que ejemplifiquen la integridad y objetividad. Un
auditor debe evitar situaciones que podrían perjudicar su independencia.

FECHA EFECTIVA

10) Este informe es efectivo para todos los auditores de Sistemas de

Información a partir del 1 de Julio de 1.989.

DECLARACIONES 1 A 9 SOBRE LOS ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN. Producidos por el Concejo de Estándares de
la EDP Auditors Foundation

DECLARACIÓN No. 2: INDEPENDENCIA. Participación en el proceso de

Desarrollo de Sistemas

INTRODUCCIÓN

01 El propósito de esta declaración sobre Estándares de Auditoria de sistemas

de información es profundizar sobre el significado de la independencia del
auditor tal como se relaciona con la revisión de sistemas en desarrollo. Esta
declaración esta relacionado con los Estándares Generales No. 1 y 2 de los
Estándares Generales para la Auditoria de Sistemas de Información.
02 Esta declaración es un suplemento de los Estándares Generales para la
Auditoría de Sistemas de Información como los promulgó la EDP. Auditors
Foundation, y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Las siguientes definiciones son proporcionadas para clarificar la utilización de

la terminología dentro de esta declaración.

04 Sistema de Aplicación- Un grupo integrado de programas de computador

diseñados para realizar una función particular que tiene actividades especificas
de entrada (imput) procesamiento y salida (output) (ejemplos: contabilidad
general, planeación de recursos de manufactura y administración).

05 Procesos de Desarrollo - Un enfoque usado para planear, diseñar, desarrollar,

probar, documentar e implementar un sistema de aplicación. El proceso puede
utilizar metodologias tales como un ciclo de vida estructurado del desarrollo de
sistemas ó al menos un prototipo interactivo estructurado.

06 Revisión del Desarrollo de una Aplicación - Una evaluación de un sistema

de aplicación bajo desarrollo, en el cual se consideran materias tales como :
controles apropiados son diseñados dentro del sistema; la aplicación procesará
información de una manera completa, exacta y confiable la aplicación
funcionará de conformidad con las provisiones estatutarias aplicables, y el
sistema se desarrolla en concordancia con el proceso de sistemas de desarrollo
establecido.

DECLARACIÓN

07 Al conducir una revisión del desarrollo de una aplicación, el auditor de

Sistemas de Información (auditor) deberá mantener una actitud y apariencia de
independencia.

08 En el desarrollo de un sistema de Aplicación, el equipo de proyecto es

responsable de aplicar el proceso de desarrollo de sistemas, que incluye el
diseño e implementación de controles. El auditor deberá ser independiente del
equipo de proyecto. El auditor debería independientemente determinar los
procedimientos a ser aplicados en la ejecución de la revisión del desarrollo de
una aplicación. El auditor puede recomendar el control y otros mejoramientos del
sistema, sin perjudicar su independencia.

09 La ejecución de la revisión del desarrollo de una aplicación no puede

perjudicar la capacidad del auditor para ejecutar un evaluación independiente de
la aplicación después de su implementación.

10 La independencia puede ser debilitada si el auditor llega a involucrarse

activamente en el diseño e implementación del sistema de aplicación. Por
Ejemplo, si el auditor llega a tomar decisiones como miembro del equipo de
proyecto ( es decir, a tomar decisiones respecto a controles especificos), se
debilita la capacidad del auditor para ejecutar la revisión de una apliación. Esto
también puede perjudicar la capacidad del auditor para ejecutar una evaluación
independiente del sistema de aplicación después de su implementación.

11 La participación del auditor como miembro del equipo de proyecto en el

diseño e implementación de herramientas y técnicas de auditoría (ejemplo,
módulos de auditoría encajados), no perjudica la independencia del auditor.

FECHA EFECTIVA

12 Esta declaración es efectiva para todas las auditorias de Sistemas de

Información a partir del 1 de Julio de 1.989.

DECLARACIONES DEL 1 A 9 SOBRE LOS ESTÁNDARES AUDITORIA DE

SISTEMAS DE INFORMACIÓN. Producidos por el concejo de Estándares de
la EDP. Auditors Foundations, Inc.

DECLARACIÓN No. 3: EJECUCIÓN DE TRABAJO. Requerimiento de Evidencias

INTRODUCCIÓN

01 El propósito sobre esta declaración sobre los Estándares para la Auditoria de

Sistemas de Información, es definir la palabra “ EVIDENCIA”, como se utilizó en
el Estándar No. 7 de los Estándares Generales para la auditoria de sistemas
de información y direccionar la naturaleza y suficiencia de la evidencia usada en
la auditoria de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la

Auditoría de Sistemas de Información como los promulgó la E.D.P. Auditor
Foundation y por consiguiente, no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El Auditor de Sistemas de Información ( auditor) colecciona información en

el curso de la ejecución de una Auditoría. La información utilizada por el auditor
para satisfacer los objetivos de la auditoría es conocido como evidencia de
auditoría ( evidencia). La naturaleza de información es usada como evidencia
debería ser revelante y confiable, y la información debe ser suficiente para
formar una opinión ó soportar los hallazagos y conclusiones.

04 La evidencia es revelante si está relacionada con los objetivos de la auditoría

y tiene una relación lógica con los hallazgos y conclusiones que se soportan en
ella.
05 La evidencia es confiable si en la opinión del auditor, esta es valida, objetiva
y soportable. Dependiendo del tipo de evidencia reunida, el auditor variará el
grado de confianza de la evidencia. Por ejemplo, la evidencia corroborativa de
una tercera parte independiente es generalmente más confiable que la
evidencia de la organización que se esta auditando. La evidencia física
generalmente es más confiable que las representaciones de un individuo.

06 La naturaleza de evidencia está relacionada con el tipo y lo apropiado que

sea la evidencia material obtenida durante la ejecución de los procedimientos
de auditoría. Son varios los tipos de evidencia que el auditor puede utilizar,
incluyendo la evidencia física, evidencia documentaría, representaciones y
análisis. La evidencia física puede incluir observaciones de actividades, bienes
y funciones de los sistemas de información, tales como un inventario de medios
magnéticos en una locación de almacenamiento OFFSITE, ó la operación de un
sistema de seguridad en una instalación de computadores. La evidencia
documentaria puede incluir resultados de extracciones de datos, registros de
transacciones, listados de programas, facturas y logos de control. La evidencia
también puede consistir de representaciones de aquello que se esté auditando
tales como a las políticas y procedimientos, flujogramas de Sistemas y
declaraciones escritas u orales. Los resultados de analizar información por
medio de comparaciones, valoraciones, y razonamiento pueden ser también
utilizadas como evidencia.

07 La evidencia deberá ser suficiente para soportar los hallazgos y

conclusiones de la auditoría. Si, a juicio del Auditor, la evidencia obtenida no es
suficiente para soportar los hallazgos y conclusiones, el auditor deberá obtener
evidencia adicional. Por ejemplo, un listado de programas puede no ser
suficiente evidencia hasta que la evidencia adicional haya sido reunida para
verificar que el listado representa el programa actual en proceso de producción.
La evidencia suficiente de naturaleza relevante deberá ser obtenida para proveer
al auditor con bases razonables para las conclusiones obtenidas. En aquellas
situaciones en donde el auditor cree que la evidencia suficiente no puede ser
obtenida, entonces el auditor debe divulgar este hecho de una manera
consistente con la comunicación de los resultados de la auditoría.

08 Los procedimientos usados para recolectar evidencia pueden variar,

dependiendo de los sistemas de información que sean auditadas. Estos
procedimientos pueden incluir averiguaciones, observaciones, inspección,
confirmación, reejecución pueden ser aplicados por medio de procedimientos de
auditoría, manuales técnicas de auditoría con una combinación de ambos. Por
ejemplo, un sistema que usa totales de control, manuales para balancear
operaciones de entrada de datos, podría suministrar evidencia de los
procedimientos de control utilizados mediante un reporte apropiadamente
reconciliado y comentado. El auditor podría obtener evidencia al revisar y probar
este reporte. Otros sistemas pueden exigir al auditor el uso de diferentes métodos
para reunir evidencia. Por ejemplo, un registro detallado de transacciones, puede
solamente estar disponible solamente en un formato legible por el computador
que requiere el uso de técnicas de auditoría asistidas con el computador para
obtener evidencia.

09 La evidencia reunida por el auditor deberá ser apropiadamente documentada

y organizada para soportar los hallazgos y conclusiones del auditor.

FECHA EFECTIVA

10 Este informe es efectivo para todas las Auditorias de Sistemas de Información

desde el 1 de Julio de 1.991.

DECLARACIÓN DEL 1 A 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN Producidos por en concejo de Estándares de
las EDP. Auditors Foundation

DECLARACIÓN No. 4 EJECUCIÓN DE TRABAJO. El débito cuidado profesional

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de

Sistemas de Información es clarificar la expresión “ DEBIDO CUIDADO
PROFESIONAL” como se aplica a la ejecución de una Auditoría que cumple
con el Estándar General No. 8 para la auditoría de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la

Auditoría de Sistemas de Información promulgados por la E.D.P. Auditors
Foundation y por consiguiente, no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El Estándar de “ debido cuidado “ es ese nivel de diligencia que una

persona prudente podría ejercitar bajo un grupo de circunstancias dadas “ El
debido cuidado profesiona” aplica al individuo que profesa habilidad para
ejecutar actividad tal como en sistemas de información. El debido Cuidado
Profesional le exige al individuo ejercitar esa destreza a un nivel que
comúnmente posee los practicantes de esa especialidad.

04 El debido cuidado profesional se aplica para el ejercicio del juicio

profesional en la conducción del trabajo realizado. El debido cuidado
profesional no implica que el profesional sea infalible, solo que el profesional
enfoque con diligencia los asuntos que requieren un juicio profesional. A pesar
del ejercicio del debido cuidado y juicio profesional, puede ocurrir que una
conclusión incorrecta resulte de una reversión diligente de los hechos y
circunstancias disponibles; por consiguiente el subsecuente descubrimiento de
conclusiones incorrectas no indica por si mismo un inadecuado juicio profesional
ó falta de diligencia por parte del auditor de Sistemas de Información ( auditor).
05 El debido cuidado profesional deberá extenderse a cada aspecto de la
auditoría, incluyendo la evaluación del un riesgo de auditoría, la formulación de
los objetivos.

De auditoría, el establecimiento del alcance de la auditoria, la selección de

pruebas de auditoria y la evaluación de los resultados de las pruebas. Al hacer
esto, el auditor debería determinar o evaluar.

a. El tipo y nivel de los recursos de auditoría necesarios para satisfacer los

objetivos de auditoría.

b. La significancía de los riesgos identificados y el impacto potencial de tales

riesgos en la auditoria.

c. La evidencia recolectada durante la auditoría.

d. La competencia integridad y conclusiones de otras personas en cuyo trabajo

confía el auditor.

06 Los destinatarios de los reportes de auditoría tienen la expectativa de que el

auditor ha ejercido el debido cuidado profesional en todo el curso de la auditoría.
El auditor no debería aceptar un empleo a menos que la adecuada capacidad,
conocimientos y otros recursos estén disponibles para completar el trabajo de la
manera esperada de un profesional.

07 Se espera que el auditor conduzca la auditoría con diligencia adhiriendose a

los estándares profesionales. El auditor debería divulgar las circunstancias sobre
cualquier incumplimiento con los estándares profesionales de manera
consistente con la comunicación de los resultados de Auditoría.

FECHA EFECTIVA

08 Esta declaración se hace efectiva para todas las auditorias de Sistemas de

Información desde el 1 de Julio de 1.991.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN: Producidos por el concejo de Estándares de
la EDP. Auditors Foundation.

DECLARACIÓN No. 5 EJECUCIÓN DE TRABAJO. El uso de valoración de

riesgos en la Planeación de la Auditoría.

INTRODUCCIÓN

01 El propósito de estas declaraciones sobre los Estándares para la Auditoría de

Sistemas de Información es describir la evaluación de los riesgos de acuerdo con
los Estándares Generales Nos. 6 y 8 de los Estándares Generales para auditoría
de sistemas de información.

02 Esta declaración es un suplemento de los Estándares Generales para la

auditoría de sistemas de información promulgados por la E.D.P. Auditors
Foundations, Inc. Y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Esta definiciones sirven para clasificar los términos usados en esta

declaración.

04 Riesgos - La posibilidad de ocurrencia de un acto ó evento que podría tener

un efecto adverso sobre la organización y sus sistemas de información.

05 Exposición - El potencial de pérdida para un área a causa de la ocurrencia de

un evento adverso. La inhabilidad para procesar las aplicaciones computarizadas
durante un periodo de tiempo es una exposición que podría resultar del incendio
del centro de datos. La exposición puede reducirse mediante la implementación
de controles apropiadamente diseñados. Por ejemplo, una alarma de incendio no
puede provenir el fuego, pero se establece para reducir los daños del incendio.

06 Valoraciones del Riesgo - Un proceso utilizado para identificar y evaluar los

riesgos y su impacto potencial.

DECLARACIÓN

07 El auditor de Sistemas de Información ( auditor), deberá utilizar técnicas de

valoración del Riesgo, en el desarrollo general de auditoría y en la planeación
de auditorias especificas. La valoración del riesgo, en combinación con otras
técnicas de auditoría, facilitan las decisiones de planeación tales como:

a) La naturaleza extensión y oportunidad de los procedimientos de auditoría

b) Las áreas o funciones de negocios que serán auditadas.

c) La cantidad de tiempo y recursos que serán asignados para una auditoría

08 El auditor deberá documentar la técnica ó metodología de valoración del

riesgo utilizado para una auditoría especifica. La documentación debería incluir.

a) Una descripción de la metodología utilizada por la valoración del riesgo.

b) La identificación de expresiones significativas y los riesgos correspondientes

c) Los riesgos y exposiciones sobre los que enfatizará la auditoría.

 d) La evidencia utilizada para soportar la valoración del riesgo del Auditor.

09 No puede esperarse que una única metodoligía de valoración del riesgo sea
apropiada para todas las situaciones. Las condiciones que afectan las auditorias,
pueden cambiar a medida que pase el tiempo. Periódicamente el auditor deberá
reevaluar lo apropiado de las metodologías escogidas en la valoración del riesgo.

FECHA EFECTIVA

10 Esta declaración es efectiva para todas las Auditorias de Sistemas de

Información a partir del 1 de Noviembre de 1.992.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN: Producidos por el concejo de Estándares de
la EDP. Auditors Foundation.

DECLARACIÓN No. 6 Ejecución de Trabajo. Documentación de la Auditoría

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoria de

Sistemas de Información (auditor), deberá preparar y retener para soportar los
resultados de la Auditoría.

02 Esta declaración es un suplemento, de los Estándares Generales para la

auditoría de sistemas de información promulgados por la EDPAF, y por
consiguiente no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 La documentación de la Auditoría de Sistemas de Información

(documentación) es el registro del trabajo de Auditoría y la evidencia que soporta
los hallazgos y conclusiones del Auditor. La documentación demuestra la
extensión a la cual el auditor cumplió con los Estándares de Sistemas de
Información.

04 La documentación debería incluir, como mínimo, un registro de:

a) La planeación y preparación del alcance y objetivos de la Auditoría.

b) El programa de auditoría

c) Los pasos de auditoría ejecutados y reunidos.

d) Los hallazgos, conclusiones y recomendaciones de Auditoría

e) Cualquier reporte producido como resultado del trabajo de Auditores.

 f) Las respuestas del auditado a las recomendaciones del Auditor.

05 La extensión de la documentación del auditor dependerá de las necesidades

para una auditoría particular y deberá incluir:

a) El entendimiento del auditor sobre el área que fue auditada y su ambiente.

b) El entendimiento del Auditor sobre los procesamiento de sistemas de Información y

el ambiente de control interno.

c) El preparador y la fuente de la documentación de Auditoría y la fecha de su

elaboración.

d) La evidencia de revisión y supervisión del trabajo de Auditoría.

06 La documentación debería incluir información de auditoría que es exigida

por ley, por las regulaciones del gobierno o cualquier estándar aplicable.

07 Las políticas y procedimientos que en efecto pueden estar para asegurar

custodía apropiada y retención de la documentación que soportan hallazgos y
conclusiones de auditoría, por un tiempo prudente para satisfacer los
requerimientos legales, profesionales y organizacionales.

08 La documentación debería ser organizada almacenada, asegurada de una

manera apropiada para el medio en el cual se retiene.

FECHA EFECTIVA

09 Esta declaración es efectiva para todas las Auditorias de Sistemas de

Información a a partir del 1 de Noviembre de 1.992

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN: Producidos por el concejo de Estándares de
la EDP. Auditors Foundation.

DECLARACIÓN No. 7: REPORTES DE AUDITORIA

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoria de

Sistemas de Información es describir los requerimientos para preparar y producir
un reporte y Sistemas de Información (reporte), de acuerdo con los Estándares
Generales No. 9 y 10 para la Auditoría de Sistemas de Información.
02 Esta declaración es un suplemento, de los Estándares Generales para la
auditoría de sistemas de información promulgados por la E.D.P. Auditors
Foundation y por consiguiente no reemplaza ninguna parte de ellos.

DECLARACIÓN

03 El reporte es el medio formal de comunicación de los objetivos de la

auditoría del cuerpo de estándares de auditoría utilizados para el alcance de la
auditoría y los hallazgos y conclusiones. Al preparar el reporte, el auditor deberá
considerar las necesidades de los destinatarios previsto, los cuales pueden
incluir al auditado, La administración ejecutiva, el concejo de directores ó su
comités de auditoría y el gobierno.

04 El reporte deberá incluir una declaración de los objetivos de la auditoría para

identificar que se propuso realizar la auditoría. Si, en la opinión del auditor, algún
objetivo de la auditoría establecido en el reporte, no fue satisfecho, este hecho
deberá ser reevaluado en el reporte.

05 El reporte deberá identificar los estándares de la organización profesionales

y del gobierno utilizados ( es decir en los Estándares Generales para la
Auditoría de Sistemas de la EDPAF), en ejecución de la Auditoría. El reporte
deberá también identificar las excepciones significativas para el uso de esos
estándares, las razones para no usarlos y cuando sea apropiado, el impacto
potencial sobre los resultados de la Auditoría.

06 El reporte deberá incluír una declaración de alcance de la auditoría que

describe la naturaleza y extensión del trabajo ejecutado. La declaración del
alcance, debería identificar el área funcional de auditoría, el periodo de auditoría
y los sistemas de información aplicaciones ó los ambientes de procesamiento
auditados. El reporte debería identificar circunstancias de limitación de alcance,
en la opinión del auditor no se completaron los procedimientos ó pruebas para
satisfacer los estándares o cuando se impusieron restricciones sobre el trabajo de
la auditoría por parte de lo auditado.

07 El reporte debería incluir todos los hallazgos importantes de la auditoría.

Cuando un hallazgo requiere explicación el auditor puede describir la condición
y el criterio usado para identificar el hallazgo. El auditor puede también identificar
los criterios organizacionales y profesionales y del gobierno aplicados (e.g. los
Objetivos de control de la EDPAF, al escribir la causa de la condición y su
efecto, y proporcionar recomendaciones para su mejoramiento.

08 El reporte debería expresar una conclusión que es la evaluación del auditor

sobre el área auditada. La conclusión que es la evaluación total ó múltiples
evaluaciones relaciondas con los objetivos específicos de la auditoría. El reporte
deberá también describir cualquier excepción ó calificación importante de las
conclusiones.
09 El formato del reporte deberá reflejar en una presentación lógica y
organizada . El reporte deberá contener suficiente información para que sea
comprendida por los destinatarios y acciones correctivas.

10 El reporte deberá producirse oportunamente para asegurar una pronta acción

correctiva. Cuando sea apropiado, el auditor puede comunicar los hallazgos
importantes a las personas apropiadas , antes de la producción del reporte. La
comunicación anticipada de los hallazgos significativos no debera alterar la
intensión y contenido del reporte.

11 El reporte debería identificar al auditado e indicar la fecha de su emisión.

Cuando sea apropiado, el reporte deberá especificar que este es únicamente
para información y uso de las partes intersadas, tales como el auditado, el
concejo de directores, administración y otras partes interesadas fuera de la
organización ( e.g. una agencia del gobierno). El reporte deberá también
establecer cualquier restricción sobre su distribución.

FECHA EFECTIVA

12 Esta declaración es efectiva para todas alas auditorias de Sistemas de

Información a partir de Septiembre 1 de 1.993.

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN: Producidos por el concejo de Estándares de
la EDP. Auditors Foundation.

DECLARACIÓN No. 8: EJECUCION DE TRABAJO. Consideración de

Auditoría para irregularidades

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de

Información es describir los requerimientos de los Estándares Generales para la
Auditoría de Sistemas de Información Nos. 6, 7, y 8.

02 Esta declaración es un suplemento de los Estándares Generales para la

Auditoría de Sistemas de Información promulgados por la EDPAF y por
consiguiente no reemplaza ninguna parte de ellos.

DEFINICIÓN

03 Las irregularidades, para el propósito de esta declaración, son violaciones

intencionales de las políticas administrativas establecidas u omisiones de
información del área bajo una auditoría o de organización. Algunas
irregularidades pueden ser consideradas como actividades fraudulentas
dependen de la definición legal de fraude en la jurisdicción perteneciente a la
auditoría. Las irregularidades incluye, pero no están limitadas a engaños
deliberados de controles con la intención de encubrir la perpetuación de
irregularidades, fraude, uso no autorizado de activos y ayudas para encubrir
esos tipos de actividades.

DECLARACIÓN

04 La Administración tiene la responsabilidad de establecer un efectivo sistema

de controles internos diseñados e implementados para proporcionar seguridad
razonables de la prevención y detección de irregularidades.

05 El auditor de Sistemas de Información ( auditor) deberá evaluar el riesgo de

ocurrencia de irregularidades conectadas con el área bajo auditoría. Al preparar
esta evaluación , el auditor deberá considerar factores tales como:

a) Características organizacionales. ( e.g. ética corporativa, estructura

organizacional). Lo adecuada que es la supervisión compensación y estructura
de recompensa).

b) Los tipos de activos que posee o servicios ofrecidos y su suceptibilidad a

irregularidades.

c) El sistema de controles internos

d) Regulaciones y requerimientos legales aplicables.

06 Basados en la valoración del riesgo, el auditor tiene la responsabilidad de

diseñar y ejecutar pruebas de auditoría que puedan ser razonablemente
apropiadas para detectar irregularidades que pudieran tener impacto
significativo en el área de auditoría o en la organización.

07 Si la evidencia indica que una irregularidad podría involucrar un acto ilegal,

el auditor debería recomendar que la administración busque asesoría jurídica o
debería buscar directamente la asesoría jurídica.

08 Una auditoría no puedo garantizar que las irregularidades serán detectadas

aun cuando una auditoría sea apropiadamente planeada y ejecutada, las
irregularidades podrían no ser detectadas ( e.g. cuando hay confabulación
entre empleados, entre empleado y otros externos, ó la administración se
involucra en las irregularidades).

09 Si las irregularidades han sido detectadas, el auditor deberá evaluar el

impacto de estas actividades sobre los objetivos de auditoría y sobre la
confiabilidad de la evidencia recolectada. Además, el auditor debe considerar si
continúa la auditoría cuando.

a)Elimcto de las irregularidades es tan significativa que no puede obtenerse

evidencia de auditoría suficiente y confiable.
 b) La evidencia de auditoría sugiere que la administración participó en
irregularidades. En estas situaciones, el auditor debe también considerar los
requerimientos apropiados para el reporte.

10 La detección de irregularidades deberá comunicarse a las personas apropiadas en

la organización de una manera oportuna. La notificación debe dirigirse a nivel
administrativo superior al que se sospecha que ocurrieron además las irregularidades
deberán reportarse al consejo de directores, al comité de auditoría del consejo o al un
cuerpo equivalente, excepto por cosas que son claramente insignificantes. Además de
esto la auditoría puede ser requerida para soportar actividades fraudalentas a las
organizaciones externas tales como una agencia gubernamental de vigilancia.

FECHA EFECTIVA

11 Esta declaración es efectiva para todas las Auditorias de Sistemas de Información a partir del 1
de Septiembre de 1.993

DECLARACIONES DEL 1 AL 9 SOBRE ESTÁNDARES DE AUDITORIA DE

SISTEMAS DE INFORMACIÓN: Producidos por el concejo de Estándares de
la EDP. Auditors Foundation.

DECLARACIÓN No. 9: EJECUCION DE TRABAJO. Uso Herramientas de

Sofware de Auditoría.

INTRODUCCIÓN

01 El propósito de esta declaración sobre los Estándares de Auditoría de

Información es definir las responsabilidades del Auditor de Sistemas de
Información ( auditor) en el control del desarrollo integridad y uso de las
herramientas Software de Auditoría. La declaración describe los requerimientos
de los Estándares Generales para la Auditoría de Sistemas de Información Nos.
6, 7, y 8.

02 Esta declaración es un suplemento de los Estándares Generales para la

Auditoría de Sistemas de Información como los promulgo la ( EDPAF) y por
consiguiente no reemplaza ninguna parte de ellos.

DEFINICIÓN

03 Las herramientas de Software de auditoría son programas de computador

que pueden ser utilizados para proporcionar información para el uso de
auditoría. Ejemplos de herramientas para el Software de auditoría usados para
propósitos de la auditoría incluyen:

a) Software encajado en los sistemas que están en producción.

b) Software escrito ó adquirido para propósitos de auditoría.

 c) Softftware de utilidad (utilities).

DECLARACIÓN

04 El auditor deberá obtener razonable seguridad de la integridad y utilidad de

la herramienta en Software a través de la apropiada planeación . diseño prueba
y reversión de la documentación . Estos deberá realizarse antes que la
confianza sea dada a la herramienta de software de auditoría.

05 Cuando se usa una herramienta software de auditoría para tener acceso a

los datos de producción , el auditor deberá seguir pasos apropiados para
proteger la integridad del Sistema de Información y de los datos.

06 Las herramientas de software de auditoría pueden utilizarse para extraer

datos sensitivos que deberán ser de uso confidencial. El auditor deberá
salvaguardar los datos extraídos con un nivel apropiado de confidencialidad y
seguridad.

07 El auditor deberá usar y documentar los resultados de procedimientos

apropiados para garantizar la integridad, confiabilidad y seguridad de la
herramienta de software de auditoría. Por ejemplo esto podría incluir una
revisión del programa de mantenimiento y controles de cambios de programas
sobre software de auditoría encajado para determinar que solamente algunos
cambios autorizados se hicieron a la herramienta de software de auditoría.

08 El auditor deberá evaluar el impacto que los cambios a los sistemas en

producción que pudo tener en el uso de el software de auditoría. Al hacer esto,
el auditor debe considerar el impacto de esos cambios en la integridad y la
utilidad de la herramienta de auditoría, así como sobre integridad de los datos
usados por el auditor.

09 Cuando la herramienta del software de auditoría reside en que no esta bajo

en control del auditor, un apropiado nivel de control debe efectuarse para
identificar cambios en la herramienta de software de auditoría. Cundo una
herramienta de software de auditoría. Cuando una herramienta de software de
auditoría es cambiada , el auditor debe obtener seguridad de su integridad y
utilidad a través de una apropiada planeación, diseño, prueba y revisión de la
documentación antes de dar confianza a la herramienta de software de auditoría

FECHA EFECTIVA

10 Esta declaración es efectiva para todas las Auditorias de Sistemas de

información a partir del 1 de Julio de 1.994