NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓNINTRODUCCIÓN

        1. NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓNINTRODUCCIÓNLa Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturalezaespecializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a caboeste tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría delos Sistemas de Información.La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión yevaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos deprocesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y lasinterfaces correspondientes.Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicablesal trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas deInformación y por las personas que han recibido la designación de Auditor Certificado de Sistemas deInformación.OBJETIVOSLos objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptablepara satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y deinformar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajode aquellos que la ejercen.La naturaleza especializada de la auditoría a los sistemas de información (SI), así como las destrezasnecesarias para llevar a cabotales auditorías, requiere de estándares que aplican específicamente a laauditoría de SI. Uno de los objetivos de la Asociación deAuditoría y Control de los Sistemas de Información(InformationSystemsAudit and Control Association®, ISACA®) es promoverestándares aplicablesinternacionalmente para cumplir con su visión. El desarrollo y difusión de los Estándares de Auditoría de SIsonuna piedra angular de la contribución profesional de ISACA a la comunidad de auditoría. La estructurapara los Estándares de Auditoríade SI brinda múltiples niveles de asesoramiento: Los Estándares definen requisitos obligatorios para la auditoría y el reporte de SI. Informan a: – Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidadesprofesionales indicadas en el Código de Ética Profesional de ISACA. – La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales. – Los poseedores de la designación de Auditor Certificado de Sistemas de Información (CertifiedInformationSystems Auditor®,CISA®) respecto a los requisitos que deben cumplir. El incumplimiento de estos estándares puede resultar en unainvestigación de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comitéapropiado de ISACA y, en última instancia, en sanciones disciplinarias. Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de SI. El auditor de SI debeconsiderarlas al determinar cómo lograr la implementación de los estándares, utilizar un buen juicio profesional en su aplicación yestar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de SI es proporcionarmayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI. Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de SI en el curso de un contrato deauditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizartrabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría deSI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI.Los recursos de COBIT® deben utilizarse como fuente de asesoramiento con respecto a las mejoresprácticas. El Marco Referencial deCOBIT establece que: "Es responsabilidad de la gerencia salvaguardartodos los activos de la empresa. Para descargar estaresponsabilidad, así como para lograr sus expectativas,

2. la gerencia debe establecer un adecuado sistema de control interno. "COBITproporciona un conjuntodetallado de controles y de técnicas de control para el entorno de administración/gestión de sistemasdeinformación. La selección del material más relevante en COBIT aplicable al alcance de la auditoría enparticular se basa en la selecciónde procesos específicos de COBIT para TI, considerando además los criteriosde información de COBIT.Tal como se define en el Marco Referencial de COBIT, cada uno de los siguientes elementos está organizadode acuerdo con elproceso de administración/gestión de TI. COBIT está destinado para ser utilizado por lagerencia de la empresa y por la gerencia de TI,así como por los auditores de SI; por lo tanto, su utilizaciónpermite la comprensión de los objetivos del negocio, la comunicación de lasmejores prácticas y lasrecomendaciones que deben hacerse, basándose en una referencia de estándares comúnmentecomprendida ybien respetada. COBIT incluye: Objetivos de control—Declaraciones genéricas tanto de alto nivel como detalladas de un nivel mínimo de buen control. Prácticas de control—Motivaciones prácticas y asesoramiento sobre “cómo implementar” los objetivos de control. Directrices de auditoría—Asesoramiento para cada área de control sobre cómo obtener un entendimiento, evaluar cada control,evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan. Directrices gerenciales—Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de TI, utilizando modelos demadurez, métricas y factores críticos de éxito. Proporcionan un marco de referencia administrativo orientado hacia una continua yproactiva autoevaluación del control, enfocada específicamente en: – Medición del desempeño—¿Qué tan adecuadamente está apoyando la función de TI los requisitos del negocio? Lasdirectrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación, y también se pueden utilizar para apoyar ala gerencia en la implementación de procedimientos de monitoreo y mejora continuos, como parte de un esquema degobernabilidad de TI. – Perfil del control de TI—¿Cuáles procesos de TI son importantes? ¿Cuáles son los factores críticos de éxito para el control? – Concientización—¿Cuáles son los riesgos de no lograr los objetivos? – Benchmarking—¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados? Las directrices gerencialesproporcionan ejemplos de métricas que permiten la evaluación del desempeño de TI en términos del negocio. Losindicadores claves de resultados identifican y miden los resultados de los procesos de TI, y los indicadores claves dedesempeño evalúan lo bien que están funcionando los procesos, al medir los facilitadores del proceso. Los modelos y losatributos de madurez proporcionan evaluaciones de capacidad así como benchmarking, ayudando a que la gerencia puedamedir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora.Se puede encontrar el glosario de términos en el sitio web de ISACA www.isaca.org/glossary. Las palabrasauditoría y revisión seutilizan indistintamente.Renuncia: ISACA ha definido este asesoramiento como el nivel mínimo de desempeño aceptable requeridopara cumplir con lasresponsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.ISACA no hace declaración alguna de que eluso de este producto garantizará un resultado satisfactorio. Lapublicación no debe considerarse como incluyente de cualquierprocedimiento y prueba apropiado, oexcluyente de otros procedimientos y pruebas que estén dirigidos razonablemente para laobtención de losmismos resultados. Para determinar la aplicabilidad de cualquier procedimiento o prueba específicos, elprofesional decontrol debe aplicar su buen juicio profesional a las circunstancias de control específicaspresentadas por el entorno particular desistemas o de la tecnología de información.La Junta de Estándares de ISACA tiene el compromiso de realizar consultas extensas al preparar losEstándares, las Directrices y losProcedimientos de Auditoría de SI. Antes de emitir cualquier documento, la

...