Is auditing standars

• 1. UNIVERSIDAD NACIONAL FEDERICO VILLARREALFacultad de ingeniera industrial y de sistemas IntegrantesJusto Ureta Anbal Cotaquispe Urbina Cesar Huacho Arroyo Vctor Alva Rojas Danny

2. Introduccin Los trabajos de auditoria de sistemas de informacin (SI) y las habilidades de los auditores requieren de estndares. Estos son obligatorios para una auditora de calidad y debern ser promovidos y aplicados por toda la comunidad de auditores de SI 3. S1 Estatuto de auditora El propsito, responsabilidad y autoridad de la auditora de SI debe documentarse en un estatuto, el cul debe ser aceptado y aprobado dentro de la organizacin 4. Ejemplo de EstatutoMisin: Coadyuvar en el logro de la organizacin en el logro de sus objetivos, evaluando y mejorando la eficaciade los sistemas de informacinPropsito* Revisar y verificar que los SI son adecuados y que cumplen con las polticas de procedimientos y seguridadIndependencia* Mantener un estado de independencia y objetividad ante las actividades evaluadas y ante la organizacinAutoridad* El auditor tiene el derecho de acceso a los SI relevantes para la ejecucin de la auditoraAlcance* La auditora se aplicar slo al sistema de contabilidad. 5. S2 Independencia I.Profesional I.Organizacional El auditor debe La funcin de ser la auditora independiente debe ser del auditadoindependiente del rea revisada 6. Ejemplo No sera apropiado que el auditor tenga confianzas con el jefe departamental. Si existe algn amigo suyo dentro del rea auditada, ste no debe influir en los resultados de la auditora 7. Ejemplo Altadireccin Auditorainterna Finanzas Operaciones Sistemas 8. S3 tica y estndares profesionales El auditor debe cumplir con el cdigo de ticaprofesional de ISACA al realizar sus tareas de auditora El auditor debe ejercer el debido cuidado profesional,lo cual incluye cumplir con los estndares 9. Cdigo de tica de profesional deIsacaObjetividadImparcialidad EnsearPrivacidad y Honestidad y Aptitudconfidencialidadlegalidad Cumplimiento 10. Competencia profesional El auditor debe ser profesionalmente competente ytener las destrezas y conocimientos para realizar laauditora El auditor de SI debe mantener competenciaprofesional por medio de una apropiada educacin ycapacitacin profesional continua 11. Qu debe saber un auditor de SI? El proceso de la auditora de SI 1 Gobierno de TI 2 Ciclo de vida de los sistemas 3 Soporte y entrega de servicios de TI 4 Continuidad del negocio y recuperacin ante desastres 5 12. NORMAS GENERALES PARA LA AUDITORIA DE SISTEMAS INFORMACIONS6. Realizacin de labores de auditoraS7. ReporteS8. Actividades de seguimiento 13. S5. PLANEACIN Planear la cobertura de la auditora de sistemas de informacin para cubrir los objetivos de la auditora y cumplir con las leyes aplicables y las normas profesionales de auditora. 14. S5. PLANEACIN Desarrollar y documentar un enfoque de auditora basado en riesgos. 15. S5. PLANEACIN Desarrollar y documentar un plan de auditora que detalle la naturaleza y los objetivos de la auditora, los plazos y alcance, as como los recursos requeridos. 16. S5. PLANEACIN Desarrollar un programa y/o plan de auditora detallando la naturaleza, los plazos y el alcance de los procedimientos requeridos para completar la auditora. 17. S6. REALIZACIN DE LABORESDE AUDITORA SupervisinEl personal de auditora de SI debeser supervisado para brindar una garantarazonable de que se lograrn los objetivos de laauditora y que se cumplirn las normasprofesionales de auditora aplicables. 18. S6. REALIZACIN DE LABORESDE AUDITORA EvidenciaDurante el transcurso de la auditora, el auditor deSI debe obtener evidencia suficiente, confiable y pertinentepara alcanzar los objetivos de auditora. Los hallazgos yconclusiones de la auditora debern ser soportados medianteun apropiado anlisis e interpretacin de dicha evidencia. 19. S6. REALIZACIN DE LABORESDE AUDITORIA DocumentacinEl proceso de auditora deber documentarse, describiendo las labores de auditora realizadas y la evidencia de auditora que respalda los hallazgos y conclusiones del auditor de SI. 20. S7. REPORTE El auditor de SI debe suministrar un informe, en un formato apropiado, al finalizar la auditora. El informe debe identificar la organizacin, los destinatarios previstos y respetar cualquier restriccin con respecto a su circulacin. 21. S7. REPORTE El informe de auditora debe indicar el alcance, los objetivos, el perodo de cobertura y la naturaleza, plazo y extensin de las labores de auditora realizadas. 22. S7. REPORTE Elinforme debe indicar los hallazgos, conclusiones y recomendaciones, as como cualquier reserva, calificacin o limitacin que el auditor de SI tuviese en cuanto al alcance de la auditora. 23. S7. REPORTE El auditor de SI debe tener evidencia de auditora suficiente y apropiada para respaldar los resultados reportados. 24. S7. REPORTE Al emitirse, el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los trminos del estatuto de auditora o carta de compromiso. 25. S8. ACTIVIDAD DE SEGUIMIENTO Despus de informar/reportar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar y evaluar la informacin relevante para concluir si la gerencia tom las acciones apropiadas de manera oportuna. 26. FASES DE SEGUIMIENTO ACTIVIDAD APROPIADAMETODO APROPIADO PARA MONITOREAR CRONOGRAMA DE SEGUIMIENTO CONDUCIR LAS ACTIVIDADESCOMUNICAR LOS RESULTADOS 27. Formato de actividades deseguimiento 28. Estndares El auditor de SI debe mantener una actitud de escepticismo profesionaldurante la auditora, reconociendo la posibilidad de que podran existirdeclaraciones materialmente incorrectas debido a irregularidades yacciones ilegales, independientemente de su propia evaluacin delriesgo de irregularidades y acciones ilegales. El auditor de SI debe obtener un entendimiento de la organizacin y suentorno, incluidos los controles internos. El auditor de SI debe dar recomendaciones al nivel apropiado de lagerencia y a aquellos responsables del gobierno corporativo sobre lasdebilidades materiales en el diseo e implementacin del controlinterno para prevenir y detectar irregularidades y acciones ilegales que elauditor de SI pueda haber notado durante la auditora. El auditor de SI debe documentar todas las comunicaciones, planeacin,resultados, evaluaciones y conclusiones relacionadas con irregularidadesmateriales y acciones ilegales que han sido notificadas a la gerencia, a losresponsables del gobierno corporativo, autoridades responsables de lanormatividad dentro de la organizacin y otros. 29. Estndares El auditor de SI debe revisar y evaluar si la funcin de SI estalineada con la misin, visin, valores, objetivos y estrategias de laorganizacin. El auditor de SI debe revisar si la funcin de SI tiene unadeclaracin clara en cuanto al desempeo esperado por la empresa(eficacia y eficiencia) y evaluar su cumplimiento. El auditor de SI debe revisar y evaluar la eficacia de los recursos deSI y el desempeo de los procesos administrativos. El auditor de SI debe revisar y evaluar el cumplimiento de losrequisitos legales, ambientales y de calidad de la informacin, ascomo de los requisitos fiduciarios y de seguridad. El auditor de SI debe utilizar un enfoque basado en riesgos paraevaluar la funcin de SI. El auditor de SI debe revisar y evaluar elambiente de control de la organizacin. El auditor de SI debe revisar y evaluar los riesgos que puedenafectar de manera adversa el entorno de SI. 30. Estndares El auditor de SI debe utilizar una tcnica o enfoqueapropiado de evaluacin de riesgos al desarrollar elplan general de auditora de SI y al determinarprioridades para la asignacin eficaz de los recursosde auditora de SI. Al planear revisiones individuales, el auditor de SIdebe identificar y evaluar los riesgos relevantes al reabajo revisin. 31. Estndares El auditor de SI debe considerar la materialidad de la auditora y surelacin con el riesgo de auditora a la vez que determina la naturaleza,los plazos y el alcance de los procedimientos de auditora. Mientras planifica la auditora, el auditor de SI debe considerar lasposibles debilidades o la ausencia de controles, y si tales debilidades oausencias de controles pueden ocasionar una deficiencia importante ouna debilidad material en el sistema de informacin. El auditor de SI debe considerar el efecto acumulativo de las deficienciaso debilidades menores de control y la ausencia de controles que puedentraducirse en una deficiencia significativa o debilidad material en elsistema de informacin. El informe del auditor de SI debe divulgar los controles ineficaces o laausencia de controles, y el significado de estas deficiencias, as como laposibilidad de que estas debilidades ocasionen una deficienciaimportante o debilidad material. 32. USO DEL TRABAJO DE UNEXPERTOEstndares El auditor de SI debe, donde resulte apropiado, considerarel uso del trabajo de otros expertos para realizar laauditora. El auditor de SI debe evaluar y estar satisfecho con lascredenciales profesionales, competencias, experienciarelevante, recursos, independencia y procesos de control decalidad de otros expertos, antes de su contratacin. El auditor de SI debe evaluar, revisar y calificar el trabajo deotros expertos. 33. El propsito :Determinacin de la necesidad de usar el trabajo de un expertoEl auditor deber evaluar la competencia profesional del experto.El auditor deber evaluar la objetividad del experto.Evaluacin del trabajo del experto 34. EVIDENCIA DE AUDITORAEstndar : El auditor de SI debe obtener evidencias de auditorasuficientes y apropiadas para llegar a conclusionesrazonables sobre las que basar los resultados de laauditora. El auditor de SI debe evaluar la suficiencia de lasevidencias de auditora obtenidas durante la misma. 35. Propsito: El auditor deber obtener evidencia suficiente apropiada deauditora para poder extraer conclusiones razonables sobre lascuales basar la opinin de auditora.Procedimientos para obtener evidencia deauditora: Inspeccin Observacin Investigacin y confirmacin 36. Controles de TIEstndar : El auditor de SI debe evaluar y supervisar los controles deTI que son parte integral del entorno de control interno dela organizacin. El auditor de SI debe asistir a la gerencia proporcionandoconsejos con respecto al diseo, la implementacin, laoperacin y la mejora de controles de TI. 37. E-COMMERCEEstndar: El auditor de SI debe evaluar los controles aplicables, ycotejar los riesgos al revisar entornos de comercioelectrnico, para asegurar que las transacciones decomercio electrnico estn correctamente controladas.