Upload File

estándares de auditoria de sistemas

27
ESTÁNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACIÓN Producido por el concejo de estándares de la EDP Auditors Foundatión, Inc. CONTENIDO 1. Introducción 2. Objetivo 3. Declaraciones No. 1 Independencia ( Actitud y Apariencia) 4. Declaración No. 2 Independencia (Participación en el proc. De Desarrollo de Sistemas). 5. Declaración No. 3 Ejecución del Trabajo (Requerimiento de Evidencia ) 6. Declaración No. 4 Ejecución del Trabajo(EL debido cuidado profesional) 7. Declaración No. 5 Ejecución del trabajo (El uso de valorización de riesgos en la planeación de la Auditoría) 8. Declaración No. 6 Ejecución del trabajo ( Documentación de la Auditoría) 9. Declaración No. 7 Reportes de Auditoría 10. Declaración No. 8 Ejecución de Trabajo ( consideraciones de Auditoría para irregularidades). 11. Declaración No. 9 Ejecución del Trabajo (Uso de Herramientas de Software de auditoría).

Upload: daniel-escalona

Post on 22-Sep-2015

11 views

Category:

Documents


2 download

Report

DESCRIPTION

estandares

TRANSCRIPT

ESTANDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACION

ESTNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACIN

Producido por el concejo de estndares de la EDP Auditors Foundatin, Inc.

CONTENIDO

1.Introduccin

2.Objetivo

3.Declaraciones No. 1 Independencia

( Actitud y Apariencia)

4.Declaracin No. 2 Independencia

(Participacin en el proc. De Desarrollo

de Sistemas).

5.Declaracin No. 3 Ejecucin del

Trabajo (Requerimiento de Evidencia)

6.Declaracin No. 4 Ejecucin del

Trabajo(EL debido cuidado profesional)

7. Declaracin No. 5 Ejecucin del

trabajo (El uso de valorizacin de riesgos

en la planeacin de la Auditora)

8.Declaracin No. 6 Ejecucin del

trabajo ( Documentacin de la Auditora)

9. Declaracin No. 7 Reportes de

Auditora

10.Declaracin No. 8 Ejecucin de

Trabajo ( consideraciones de Auditora

para irregularidades).

11.Declaracin No. 9 Ejecucin del

Trabajo (Uso de Herramientas de Software

de auditora).

INTRODUCCIN

La E.D.P. Auditors Fundatin, Inc. Determin que la naturaleza de la Auditora de Sistemas de Informacin, y las habilidades necesarias para ejecutar tales auditorias requiere el desarrollo y promulgacin de Estndares de Auditoria de Sistemas de Informacin.

La Auditoria de Sistemas de Informacin est definida como cualquier auditora que abarca la revisin de y evaluacin de todos los aspectos ( alguna porcin) de los sistemas automatizados de procesamiento de informacin, incluyendo procedimientos relacionados no automticos, y las interfaces entre ellos.

Los Estndares promulgados por la E.D.P. Auditors Fundatin Inc, son aplicables al trabajo de la Auditoria de Sistemas de Informacin ejecutado por miembros de la Asociacin de Auditores de la E.D.P. y por los titulares de la designacin CISA. ( Certified, Informatin Systems Auditor).

Ms antecedentes concernientes a la Asociacin de Auditores E.D.P. Inc, la Fundacin de Auditores E.D.P., y su programa de Estndares de Auditoria de Sistemas de Informacin, estn contenidos en el ^Prefacio de Estndares Generales para la Auditoria de Sistemas de Informacin y las declaraciones sobre Estndares de Auditoria de Sistemas de Informacin.

OBJETIVOS

Estos Estndares tienen como objetivo informar a los auditores el nivel del mnimo de desempeo aceptable, necesario para satisfacer las responsabilidades profesionales definidas en el Cdigo de tica Profesional e informar a la administracin y a otras partes interesadas sobre las expectativas de la profesin concernientes al trabajo de sus practicantes.

(*) Electronic Data Processing.

ESTNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIN

Los diez (10) Estndares siguientes son aplicables para la auditoria de Sistemas de Informacin , como se defini anteriormente.

INDEPENDENCIA:

Estndar General No. 1 Actitud y Apariencia.

En todos los asuntos relacionados con auditora, El Auditor de Sistemas de Informacin. Deber ser independiente del auditado en actitud y apariencia.

Estndar General No. 2. Relacin Organizacional.

La funcin de auditora de sistemas de informacin deber ser lo suficientemente independiente del rea que est auditando, para permitir la obtencin del objetivo de la Auditora.

Estndar General No. 3. Cdigo de tica Profesional

El auditor de Sistemas deber adherirse al Cdigo de tica Profesional de la Fundacin de Auditores de E.D.P.

COMPETENCIA TCNICA

Estndar General No. 4 Habilidades y Conocimiento.

El auditor de Sistemas de Informacin deber ser tcnicamente competente, y poseer las capacidades y conocimientos necesarios para desempear su trabajo de Auditor.

Estndar General No. 5. Educacin Profesional Continua.

El auditor de Sistemas de Informacin deber mantener competencia tcnica mediante una apropiada educacin continua.

EJECUCIN DE TRABAJO.

Estndar General No. 6. Planeacin y Supervisin.

Las Auditorias de Sistemas de Informacin deben ser planeadas y supervisadas para asegurar que los objetivos de la auditora se alcanzan y se satisface el cumplimiento de estos estndares.

Estndar General No. 7. Requerimiento de Evidencia

Durante el curso de la auditora, el auditor de Sistemas de Informacin deber obtener evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados.

Estndar General No. 8. Debido cuidado Profesional.

El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del Auditor de Sistemas de Informacin, incluyendo la observancia de auditoria aplicables.

REPORTE

Estndar General No. 9. Reporte del Alcance de la Auditora.

En la preparacin de reportes, el auditor de sistemas de informacin, deber plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensin del trabajo de auditora ejecutado.

Estndar General No. 10. Reporte de hallazgos y conclusiones.

En la preparacin de reportes, el auditor de sistemas de informacin deber plantear los hallazgos y conclusiones relacionados con el trabajo de auditora ejecutado, al igual que cualquier excepcin calificacin que el auditor tenga con respecto a la auditora.

FECHA EFECTIVA

Estos estndares son efectivos para todas las Auditoras de Sistemas de Informacin a partir de Enero 1 de 1.988.

DECLARACION DEL1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN Producidos por el Concejo de Estndares

de las E D P Auditors Foundatin, Inc.

DECLARACIN No. 1: INDEPENDENCIA, Actitud y apariencia en la Relacin Organizacional.

INTRODUCCIN

01) El propsito de esta declaracin sobre los Estndares para la Auditora de Sistemas de Informacin es expandir el significado de independencia con relacin a los Est Estndares de la Auditora de Sistemas de Informacin.

02) Esta declaracin es un suplemento de los Estndares Generales para la Auditora de Sistemas de Informacin promulgados por la EDP Auditors Foundation, y por consiguiente no reemplazara ninguna parte de ellos.

DECLARACIN

03) El Auditor de Sistemas de Informacin ( auditor) tiene la obligacin de asumir una actitud de independencia hacia la auditora. Una actitud de independencia est definida como un punto de vista imparcial que permite al auditor actuar objetivamente y con imparcialidad justicia.

04) El auditor no debera participar en una auditora si la independencia del auditor es perjudicada. Por ejemplo, la independencia del auditor puede ser perjudicada si el auditor, tiene alguna expectativa de ganancia financiera u otra ventaja personal debido a su influencia sobre los resultados de la auditora. Sin embargo, la independencia del auditor no necesariamente podra ser perjudicada como resultado de la ejecucin de una auditora de sistemas de informacin donde las transacciones personales ocurren en el curso normal de negocios.

05) El auditor debera estar enterado que la apariencia de independencia puede ser influenciada por las acciones asociaciones del auditor. Las percepciones de la independencia del auditor, pueden afectar la aceptacin de su trabajo. Si el auditor llega a enterarse que una situacin o relacin es percibida como perjudicial para la independencia del auditor, el auditor podr informar a la administracin de la auditora sobre esta percepcin lo ms pronto posible.

06) El auditor debera tener una independencia organizacional del rea que est siendo auditada. Esto asegura que la auditoria sea objetiva e imparcial. La independencia se debilita si el auditor tiene control directo sobre el rea que esta siendo auditada. La independencia del auditor tambin puede ser perjudicada si el auditor tiene la responsabilidad directa de reportar directamente a los individuos que tienen control directo del rea que esta siendo auditada.

07) En circunstancias donde la independencia es perjudicada y el auditor continua siendo asociado con la auditoria, los factores que rodean el problema de la independencia del auditor deberan ser divulgados. Esta divulgacin debera hacerse de manera consistente con la comunicacin del auditor y la distribucin de los resultados de la auditora.

08) La independencia debera ser continuamente valorada por el auditor y la adminstracin. Esta valoracin debera considerar factores tales como cambios en relaciones personales, intereses financieros y asignaciones y responsabilidades del trabajo anterior.

09) El trabajo y reporte del auditor debera representar una descarga de responsabilidades profesionales que ejemplifiquen la integridad y objetividad. Un auditor debe evitar situaciones que podran perjudicar su independencia.

FECHA EFECTIVA

10) Este informe es efectivo para todos los auditores de Sistemas de Informacin a partir del 1 de Julio de 1.989.

DECLARACIONES 1 A 9 SOBRE LOS ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN. Producidos por el Concejo de Estndares de la EDP Auditors Foundation

DECLARACIN No. 2: INDEPENDENCIA. Participacin en el proceso de Desarrollo de Sistemas

INTRODUCCIN01 El propsito de esta declaracin sobre Estndares de Auditoria de sistemas de informacin es profundizar sobre el significado de la independencia del auditor tal como se relaciona con la revisin de sistemas en desarrollo. Esta declaracin esta relacionado con los Estndares Generales No. 1 y 2 de los Estndares Generales para la Auditoria de Sistemas de Informacin.

02 Esta declaracin es un suplemento de los Estndares Generales para la Auditora de Sistemas de Informacin como los promulg la EDP. Auditors Foundation, y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Las siguientes definiciones son proporcionadas para clarificar la utilizacin de la terminologa dentro de esta declaracin.

04 Sistema de Aplicacin- Un grupo integrado de programas de computador diseados para realizar una funcin particular que tiene actividades especificas de entrada (imput) procesamiento y salida (output) (ejemplos: contabilidad general, planeacin de recursos de manufactura y administracin).

05 Procesos de Desarrollo - Un enfoque usado para planear, disear, desarrollar, probar, documentar e implementar un sistema de aplicacin. El proceso puede utilizar metodologias tales como un ciclo de vida estructurado del desarrollo de sistemas al menos un prototipo interactivo estructurado.

06 Revisin del Desarrollo de una Aplicacin - Una evaluacin de un sistema de aplicacin bajo desarrollo, en el cual se consideran materias tales como : controles apropiados son diseados dentro del sistema; la aplicacin procesar informacin de una manera completa, exacta y confiable la aplicacin funcionar de conformidad con las provisiones estatutarias aplicables, y el sistema se desarrolla en concordancia con el proceso de sistemas de desarrollo establecido.

DECLARACIN

07 Al conducir una revisin del desarrollo de una aplicacin, el auditor de Sistemas de Informacin (auditor) deber mantener una actitud y apariencia de independencia.

08 En el desarrollo de un sistema de Aplicacin, el equipo de proyecto es responsable de aplicar el proceso de desarrollo de sistemas, que incluye el diseo e implementacin de controles. El auditor deber ser independiente del equipo de proyecto. El auditor debera independientemente determinar los procedimientos a ser aplicados en la ejecucin de la revisin del desarrollo de una aplicacin. El auditor puede recomendar el control y otros mejoramientos del sistema, sin perjudicar su independencia.

09 La ejecucin de la revisin del desarrollo de una aplicacin no puede perjudicar la capacidad del auditor para ejecutar un evaluacin independiente de la aplicacin despus de su implementacin.

10 La independencia puede ser debilitada si el auditor llega a involucrarse activamente en el diseo e implementacin del sistema de aplicacin. Por Ejemplo, si el auditor llega a tomar decisiones como miembro del equipo de proyecto ( es decir, a tomar decisiones respecto a controles especificos), se debilita la capacidad del auditor para ejecutar la revisin de una apliacin. Esto tambin puede perjudicar la capacidad del auditor para ejecutar una evaluacin independiente del sistema de aplicacin despus de su implementacin.

11 La participacin del auditor como miembro del equipo de proyecto en el diseo e implementacin de herramientas y tcnicas de auditora (ejemplo, mdulos de auditora encajados), no perjudica la independencia del auditor.

FECHA EFECTIVA

12 Esta declaracin es efectiva para todas las auditorias de Sistemas de Informacin a partir del 1 de Julio de 1.989.

DECLARACIONES DEL 1 A 9 SOBRE LOS ESTNDARES AUDITORIA DE SISTEMAS DE INFORMACIN. Producidos por el concejo de Estndares de la EDP. Auditors Foundations, Inc.

DECLARACIN No. 3: EJECUCIN DE TRABAJO. Requerimiento de EvidenciasINTRODUCCIN

01 El propsito sobre esta declaracin sobre los Estndares para la Auditoria de Sistemas de Informacin, es definir la palabra EVIDENCIA, como se utiliz en el Estndar No. 7 de los Estndares Generales para la auditoria de sistemas de informacin y direccionar la naturaleza y suficiencia de la evidencia usada en la auditoria de sistemas de informacin.

02 Esta declaracin es un suplemento de los Estndares Generales para la Auditora de Sistemas de Informacin como los promulg la E.D.P. Auditor Foundation y por consiguiente, no reemplaza ninguna parte de ellos.

DECLARACIN

03 El Auditor de Sistemas de Informacin ( auditor) colecciona informacin en el curso de la ejecucin de una Auditora. La informacin utilizada por el auditor para satisfacer los objetivos de la auditora es conocido como evidencia de auditora ( evidencia). La naturaleza de informacin es usada como evidencia debera ser revelante y confiable, y la informacin debe ser suficiente para formar una opinin soportar los hallazagos y conclusiones.

04 La evidencia es revelante si est relacionada con los objetivos de la auditora y tiene una relacin lgica con los hallazgos y conclusiones que se soportan en ella.

05 La evidencia es confiable si en la opinin del auditor, esta es valida, objetiva y soportable. Dependiendo del tipo de evidencia reunida, el auditor variar el grado de confianza de la evidencia. Por ejemplo, la evidencia corroborativa de una tercera parte independiente es generalmente ms confiable que la evidencia de la organizacin que se esta auditando. La evidencia fsica generalmente es ms confiable que las representaciones de un individuo.

06 La naturaleza de evidencia est relacionada con el tipo y lo apropiado que sea la evidencia material obtenida durante la ejecucin de los procedimientos de auditora. Son varios los tipos de evidencia que el auditor puede utilizar, incluyendo la evidencia fsica, evidencia documentara, representaciones y anlisis. La evidencia fsica puede incluir observaciones de actividades, bienes y funciones de los sistemas de informacin, tales como un inventario de medios magnticos en una locacin de almacenamiento OFFSITE, la operacin de un sistema de seguridad en una instalacin de computadores. La evidencia documentaria puede incluir resultados de extracciones de datos, registros de transacciones, listados de programas, facturas y logos de control. La evidencia tambin puede consistir de representaciones de aquello que se est auditando tales como a las polticas y procedimientos, flujogramas de Sistemas y declaraciones escritas u orales. Los resultados de analizar informacin por medio de comparaciones, valoraciones, y razonamiento pueden ser tambin utilizadas como evidencia.

07 La evidencia deber ser suficiente para soportar los hallazgos y conclusiones de la auditora. Si, a juicio del Auditor, la evidencia obtenida no es suficiente para soportar los hallazgos y conclusiones, el auditor deber obtener evidencia adicional. Por ejemplo, un listado de programas puede no ser suficiente evidencia hasta que la evidencia adicional haya sido reunida para verificar que el listado representa el programa actual en proceso de produccin. La evidencia suficiente de naturaleza relevante deber ser obtenida para proveer al auditor con bases razonables para las conclusiones obtenidas. En aquellas situaciones en donde el auditor cree que la evidencia suficiente no puede ser obtenida, entonces el auditor debe divulgar este hecho de una manera consistente con la comunicacin de los resultados de la auditora.

08 Los procedimientos usados para recolectar evidencia pueden variar, dependiendo de los sistemas de informacin que sean auditadas. Estos procedimientos pueden incluir averiguaciones, observaciones, inspeccin, confirmacin, reejecucin pueden ser aplicados por medio de procedimientos de auditora, manuales tcnicas de auditora con una combinacin de ambos. Por ejemplo, un sistema que usa totales de control, manuales para balancear operaciones de entrada de datos, podra suministrar evidencia de los procedimientos de control utilizados mediante un reporte apropiadamente reconciliado y comentado. El auditor podra obtener evidencia al revisar y probar este reporte. Otros sistemas pueden exigir al auditor el uso de diferentes mtodos para reunir evidencia. Por ejemplo, un registro detallado de transacciones, puede solamente estar disponible solamente en un formato legible por el computador que requiere el uso de tcnicas de auditora asistidas con el computador para obtener evidencia.

09 La evidencia reunida por el auditor deber ser apropiadamente documentada y organizada para soportar los hallazgos y conclusiones del auditor.

FECHA EFECTIVA

10 Este informe es efectivo para todas las Auditorias de Sistemas de Informacin desde el 1 de Julio de 1.991.DECLARACIN DEL 1 A 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN Producidos por en concejo de Estndares de las EDP. Auditors Foundation

DECLARACIN No. 4 EJECUCIN DE TRABAJO. El dbito cuidado profesionalINTRODUCCIN

01 El propsito de esta declaracin sobre los Estndares de Auditora de Sistemas de Informacin es clarificar la expresin DEBIDO CUIDADO PROFESIONAL como se aplica a la ejecucin de una Auditora que cumple con el Estndar General No. 8 para la auditora de sistemas de informacin.

02 Esta declaracin es un suplemento de los Estndares Generales para la Auditora de Sistemas de Informacin promulgados por la E.D.P. Auditors Foundation y por consiguiente, no reemplaza ninguna parte de ellos.

DECLARACIN

03 El Estndar de debido cuidado es ese nivel de diligencia que una persona prudente podra ejercitar bajo un grupo de circunstancias dadas El debido cuidado profesiona aplica al individuo que profesa habilidad para ejecutar actividad tal como en sistemas de informacin. El debido Cuidado Profesional le exige al individuo ejercitar esa destreza a un nivel que comnmente posee los practicantes de esa especialidad.

04 El debido cuidado profesional se aplica para el ejercicio del juicio profesional en la conduccin del trabajo realizado. El debido cuidado profesional no implica que el profesional sea infalible, solo que el profesional enfoque con diligencia los asuntos que requieren un juicio profesional. A pesar del ejercicio del debido cuidado y juicio profesional, puede ocurrir que una conclusin incorrecta resulte de una reversin diligente de los hechos y circunstancias disponibles; por consiguiente el subsecuente descubrimiento de conclusiones incorrectas no indica por si mismo un inadecuado juicio profesional falta de diligencia por parte del auditor de Sistemas de Informacin ( auditor).

05 El debido cuidado profesional deber extenderse a cada aspecto de la auditora, incluyendo la evaluacin del un riesgo de auditora, la formulacin de los objetivos.

De auditora, el establecimiento del alcance de la auditoria, la seleccin de pruebas de auditoria y la evaluacin de los resultados de las pruebas. Al hacer esto, el auditor debera determinar o evaluar.

a. El tipo y nivel de los recursos de auditora necesarios para satisfacer los objetivos de auditora.

b. La significanca de los riesgos identificados y el impacto potencial de tales riesgos en la auditoria.

c. La evidencia recolectada durante la auditora.d. La competencia integridad y conclusiones de otras personas en cuyo trabajo confa el auditor.

06 Los destinatarios de los reportes de auditora tienen la expectativa de que el auditor ha ejercido el debido cuidado profesional en todo el curso de la auditora. El auditor no debera aceptar un empleo a menos que la adecuada capacidad, conocimientos y otros recursos estn disponibles para completar el trabajo de la manera esperada de un profesional.

07 Se espera que el auditor conduzca la auditora con diligencia adhiriendose a los estndares profesionales. El auditor debera divulgar las circunstancias sobre cualquier incumplimiento con los estndares profesionales de manera consistente con la comunicacin de los resultados de Auditora.

FECHA EFECTIVA

08 Esta declaracin se hace efectiva para todas las auditorias de Sistemas de Informacin desde el 1 de Julio de 1.991.

DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN: Producidos por el concejo de Estndares de la EDP. Auditors Foundation.

DECLARACIN No. 5 EJECUCIN DE TRABAJO. El uso de valoracin de riesgos en la Planeacin de la Auditora.

INTRODUCCIN

01 El propsito de estas declaraciones sobre los Estndares para la Auditora de Sistemas de Informacin es describir la evaluacin de los riesgos de acuerdo con los Estndares Generales Nos. 6 y 8 de los Estndares Generales para auditora de sistemas de informacin.

02 Esta declaracin es un suplemento de los Estndares Generales para la auditora de sistemas de informacin promulgados por la E.D.P. Auditors Foundations, Inc. Y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIONES

03 Esta definiciones sirven para clasificar los trminos usados en esta declaracin.

04 Riesgos - La posibilidad de ocurrencia de un acto evento que podra tener un efecto adverso sobre la organizacin y sus sistemas de informacin.

05 Exposicin - El potencial de prdida para un rea a causa de la ocurrencia de un evento adverso. La inhabilidad para procesar las aplicaciones computarizadas durante un periodo de tiempo es una exposicin que podra resultar del incendio del centro de datos. La exposicin puede reducirse mediante la implementacin de controles apropiadamente diseados. Por ejemplo, una alarma de incendio no puede provenir el fuego, pero se establece para reducir los daos del incendio.

06 Valoraciones del Riesgo - Un proceso utilizado para identificar y evaluar los riesgos y su impacto potencial.

DECLARACIN

07 El auditor de Sistemas de Informacin ( auditor), deber utilizar tcnicas de valoracin del Riesgo, en el desarrollo general de auditora y en la planeacin de auditorias especificas. La valoracin del riesgo, en combinacin con otras tcnicas de auditora, facilitan las decisiones de planeacin tales como:

a) La naturaleza extensin y oportunidad de los procedimientos de auditora

b) Las reas o funciones de negocios que sern auditadas.

c) La cantidad de tiempo y recursos que sern asignados para una auditora

08 El auditor deber documentar la tcnica metodologa de valoracin del riesgo utilizado para una auditora especifica. La documentacin debera incluir.

a) Una descripcin de la metodologa utilizada por la valoracin del riesgo.

b) La identificacin de expresiones significativas y los riesgos correspondientes

c) Los riesgos y exposiciones sobre los que enfatizar la auditora.

d) La evidencia utilizada para soportar la valoracin del riesgo del Auditor.

09 No puede esperarse que una nica metodoliga de valoracin del riesgo sea apropiada para todas las situaciones. Las condiciones que afectan las auditorias, pueden cambiar a medida que pase el tiempo. Peridicamente el auditor deber reevaluar lo apropiado de las metodologas escogidas en la valoracin del riesgo.

FECHA EFECTIVA

10 Esta declaracin es efectiva para todas las Auditorias de Sistemas de Informacin a partir del 1 de Noviembre de 1.992.

DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN: Producidos por el concejo de Estndares de la EDP. Auditors Foundation.

DECLARACIN No. 6 Ejecucin de Trabajo. Documentacin de la Auditora

INTRODUCCIN

01 El propsito de esta declaracin sobre los Estndares de Auditoria de Sistemas de Informacin (auditor), deber preparar y retener para soportar los resultados de la Auditora.

02 Esta declaracin es un suplemento, de los Estndares Generales para la auditora de sistemas de informacin promulgados por la EDPAF, y por consiguiente no reemplaza ninguna parte de ellos.

DECLARACIN

03 La documentacin de la Auditora de Sistemas de Informacin (documentacin) es el registro del trabajo de Auditora y la evidencia que soporta los hallazgos y conclusiones del Auditor. La documentacin demuestra la extensin a la cual el auditor cumpli con los Estndares de Sistemas de Informacin.

04 La documentacin debera incluir, como mnimo, un registro de:

a) La planeacin y preparacin del alcance y objetivos de la Auditora.

b) El programa de auditora c) Los pasos de auditora ejecutados y reunidos.

d) Los hallazgos, conclusiones y recomendaciones de Auditora

e) Cualquier reporte producido como resultado del trabajo de Auditores.

f) Las respuestas del auditado a las recomendaciones del Auditor.

05 La extensin de la documentacin del auditor depender de las necesidades para una auditora particular y deber incluir:

a) El entendimiento del auditor sobre el rea que fue auditada y su ambiente.

b) El entendimiento del Auditor sobre los procesamiento de sistemas de Informacin y el ambiente de control interno.

c) El preparador y la fuente de la documentacin de Auditora y la fecha de su elaboracin. d) La evidencia de revisin y supervisin del trabajo de Auditora.

06 La documentacin debera incluir informacin de auditora que es exigida por ley, por las regulaciones del gobierno o cualquier estndar aplicable.

07 Las polticas y procedimientos que en efecto pueden estar para asegurar custoda apropiada y retencin de la documentacin que soportan hallazgos y conclusiones de auditora, por un tiempo prudente para satisfacer los requerimientos legales, profesionales y organizacionales.

08 La documentacin debera ser organizada almacenada, asegurada de una manera apropiada para el medio en el cual se retiene.

FECHA EFECTIVA

09 Esta declaracin es efectiva para todas las Auditorias de Sistemas de Informacin a a partir del 1 de Noviembre de 1.992

DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN: Producidos por el concejo de Estndares de la EDP. Auditors Foundation.

DECLARACIN No. 7: REPORTES DE AUDITORIA

INTRODUCCIN

01 El propsito de esta declaracin sobre los Estndares de Auditoria de Sistemas de Informacin es describir los requerimientos para preparar y producir un reporte y Sistemas de Informacin (reporte), de acuerdo con los Estndares Generales No. 9 y 10 para la Auditora de Sistemas de Informacin.

02 Esta declaracin es un suplemento, de los Estndares Generales para la auditora de sistemas de informacin promulgados por la E.D.P. Auditors Foundation y por consiguiente no reemplaza ninguna parte de ellos.

DECLARACIN

03 El reporte es el medio formal de comunicacin de los objetivos de la auditora del cuerpo de estndares de auditora utilizados para el alcance de la auditora y los hallazgos y conclusiones. Al preparar el reporte, el auditor deber considerar las necesidades de los destinatarios previsto, los cuales pueden incluir al auditado, La administracin ejecutiva, el concejo de directores su comits de auditora y el gobierno.

04 El reporte deber incluir una declaracin de los objetivos de la auditora para identificar que se propuso realizar la auditora. Si, en la opinin del auditor, algn objetivo de la auditora establecido en el reporte, no fue satisfecho, este hecho deber ser reevaluado en el reporte.

05 El reporte deber identificar los estndares de la organizacin profesionales y del gobierno utilizados ( es decir en los Estndares Generales para la Auditora de Sistemas de la EDPAF), en ejecucin de la Auditora. El reporte deber tambin identificar las excepciones significativas para el uso de esos estndares, las razones para no usarlos y cuando sea apropiado, el impacto potencial sobre los resultados de la Auditora.

06 El reporte deber inclur una declaracin de alcance de la auditora que describe la naturaleza y extensin del trabajo ejecutado. La declaracin del alcance, debera identificar el rea funcional de auditora, el periodo de auditora y los sistemas de informacin aplicaciones los ambientes de procesamiento auditados. El reporte debera identificar circunstancias de limitacin de alcance, en la opinin del auditor no se completaron los procedimientos pruebas para satisfacer los estndares o cuando se impusieron restricciones sobre el trabajo de la auditora por parte de lo auditado.

07 El reporte debera incluir todos los hallazgos importantes de la auditora. Cuando un hallazgo requiere explicacin el auditor puede describir la condicin y el criterio usado para identificar el hallazgo. El auditor puede tambin identificar los criterios organizacionales y profesionales y del gobierno aplicados (e.g. los Objetivos de control de la EDPAF, al escribir la causa de la condicin y su efecto, y proporcionar recomendaciones para su mejoramiento.

08 El reporte debera expresar una conclusin que es la evaluacin del auditor sobre el rea auditada. La conclusin que es la evaluacin total mltiples evaluaciones relaciondas con los objetivos especficos de la auditora. El reporte deber tambin describir cualquier excepcin calificacin importante de las conclusiones.

09 El formato del reporte deber reflejar en una presentacin lgica y organizada . El reporte deber contener suficiente informacin para que sea comprendida por los destinatarios y acciones correctivas.

10 El reporte deber producirse oportunamente para asegurar una pronta accin correctiva. Cuando sea apropiado, el auditor puede comunicar los hallazgos importantes a las personas apropiadas , antes de la produccin del reporte. La comunicacin anticipada de los hallazgos significativos no debera alterar la intensin y contenido del reporte.

11 El reporte debera identificar al auditado e indicar la fecha de su emisin. Cuando sea apropiado, el reporte deber especificar que este es nicamente para informacin y uso de las partes intersadas, tales como el auditado, el concejo de directores, administracin y otras partes interesadas fuera de la organizacin ( e.g. una agencia del gobierno). El reporte deber tambin establecer cualquier restriccin sobre su distribucin.

FECHA EFECTIVA

12 Esta declaracin es efectiva para todas alas auditorias de Sistemas de Informacin a partir de Septiembre 1 de 1.993.

DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN: Producidos por el concejo de Estndares de la EDP. Auditors Foundation.

DECLARACIN No. 8: EJECUCION DE TRABAJO. Consideracin de Auditora para irregularidades

INTRODUCCIN

01 El propsito de esta declaracin sobre los Estndares de Auditora de Informacin es describir los requerimientos de los Estndares Generales para la Auditora de Sistemas de Informacin Nos. 6, 7, y 8.

02 Esta declaracin es un suplemento de los Estndares Generales para la Auditora de Sistemas de Informacin promulgados por la EDPAF y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIN

03 Las irregularidades, para el propsito de esta declaracin, son violaciones intencionales de las polticas administrativas establecidas u omisiones de informacin del rea bajo una auditora o de organizacin. Algunas irregularidades pueden ser consideradas como actividades fraudulentas dependen de la definicin legal de fraude en la jurisdiccin perteneciente a la auditora. Las irregularidades incluye, pero no estn limitadas a engaos deliberados de controles con la intencin de encubrir la perpetuacin de irregularidades, fraude, uso no autorizado de activos y ayudas para encubrir esos tipos de actividades.

DECLARACIN

04 La Administracin tiene la responsabilidad de establecer un efectivo sistema de controles internos diseados e implementados para proporcionar seguridad razonables de la prevencin y deteccin de irregularidades.

05 El auditor de Sistemas de Informacin ( auditor) deber evaluar el riesgo de ocurrencia de irregularidades conectadas con el rea bajo auditora. Al preparar esta evaluacin , el auditor deber considerar factores tales como:

a) Caractersticas organizacionales. ( e.g. tica corporativa, estructura organizacional). Lo adecuada que es la supervisin compensacin y estructura de recompensa).

b) Los tipos de activos que posee o servicios ofrecidos y su suceptibilidad a irregularidades.

c) El sistema de controles internos d) Regulaciones y requerimientos legales aplicables.

06 Basados en la valoracin del riesgo, el auditor tiene la responsabilidad de disear y ejecutar pruebas de auditora que puedan ser razonablemente apropiadas para detectar irregularidades que pudieran tener impacto significativo en el rea de auditora o en la organizacin.

07 Si la evidencia indica que una irregularidad podra involucrar un acto ilegal, el auditor debera recomendar que la administracin busque asesora jurdica o debera buscar directamente la asesora jurdica.

08 Una auditora no puedo garantizar que las irregularidades sern detectadas aun cuando una auditora sea apropiadamente planeada y ejecutada, las irregularidades podran no ser detectadas ( e.g. cuando hay confabulacin entre empleados, entre empleado y otros externos, la administracin se involucra en las irregularidades).

09 Si las irregularidades han sido detectadas, el auditor deber evaluar el impacto de estas actividades sobre los objetivos de auditora y sobre la confiabilidad de la evidencia recolectada. Adems, el auditor debe considerar si contina la auditora cuando.

a)Elimcto de las irregularidades es tan significativa que no puede obtenerse evidencia de auditora suficiente y confiable.

b) La evidencia de auditora sugiere que la administracin particip en irregularidades. En estas situaciones, el auditor debe tambin considerar los requerimientos apropiados para el reporte.

10 La deteccin de irregularidades deber comunicarse a las personas apropiadas en la organizacin de una manera oportuna. La notificacin debe dirigirse a nivel administrativo superior al que se sospecha que ocurrieron adems las irregularidades debern reportarse al consejo de directores, al comit de auditora del consejo o al un cuerpo equivalente, excepto por cosas que son claramente insignificantes. Adems de esto la auditora puede ser requerida para soportar actividades fraudalentas a las organizaciones externas tales como una agencia gubernamental de vigilancia.

FECHA EFECTIVA

11 Esta declaracin es efectiva para todas las Auditorias de Sistemas de Informacin a partir del 1 de Septiembre de 1.993

DECLARACIONES DEL 1 AL 9 SOBRE ESTNDARES DE AUDITORIA DE SISTEMAS DE INFORMACIN: Producidos por el concejo de Estndares de la EDP. Auditors Foundation.

DECLARACIN No. 9: EJECUCION DE TRABAJO. Uso Herramientas de Sofware de Auditora.

INTRODUCCIN

01 El propsito de esta declaracin sobre los Estndares de Auditora de Informacin es definir las responsabilidades del Auditor de Sistemas de Informacin ( auditor) en el control del desarrollo integridad y uso de las herramientas Software de Auditora. La declaracin describe los requerimientos de los Estndares Generales para la Auditora de Sistemas de Informacin Nos. 6, 7, y 8.

02 Esta declaracin es un suplemento de los Estndares Generales para la Auditora de Sistemas de Informacin como los promulgo la ( EDPAF) y por consiguiente no reemplaza ninguna parte de ellos.

DEFINICIN

03 Las herramientas de Software de auditora son programas de computador que pueden ser utilizados para proporcionar informacin para el uso de auditora. Ejemplos de herramientas para el Software de auditora usados para propsitos de la auditora incluyen:

a) Software encajado en los sistemas que estn en produccin.

b) Software escrito adquirido para propsitos de auditora.

c) Softftware de utilidad (utilities).

DECLARACIN

04 El auditor deber obtener razonable seguridad de la integridad y utilidad de la herramienta en Software a travs de la apropiada planeacin . diseo prueba y reversin de la documentacin . Estos deber realizarse antes que la confianza sea dada a la herramienta de software de auditora.

05 Cuando se usa una herramienta software de auditora para tener acceso a los datos de produccin , el auditor deber seguir pasos apropiados para proteger la integridad del Sistema de Informacin y de los datos.

06 Las herramientas de software de auditora pueden utilizarse para extraer datos sensitivos que debern ser de uso confidencial. El auditor deber salvaguardar los datos extrados con un nivel apropiado de confidencialidad y seguridad.

07 El auditor deber usar y documentar los resultados de procedimientos apropiados para garantizar la integridad, confiabilidad y seguridad de la herramienta de software de auditora. Por ejemplo esto podra incluir una revisin del programa de mantenimiento y controles de cambios de programas sobre software de auditora encajado para determinar que solamente algunos cambios autorizados se hicieron a la herramienta de software de auditora.

08 El auditor deber evaluar el impacto que los cambios a los sistemas en produccin que pudo tener en el uso de el software de auditora. Al hacer esto, el auditor debe considerar el impacto de esos cambios en la integridad y la utilidad de la herramienta de auditora, as como sobre integridad de los datos usados por el auditor.

09 Cuando la herramienta del software de auditora reside en que no esta bajo en control del auditor, un apropiado nivel de control debe efectuarse para identificar cambios en la herramienta de software de auditora. Cundo una herramienta de software de auditora. Cuando una herramienta de software de auditora es cambiada , el auditor debe obtener seguridad de su integridad y utilidad a travs de una apropiada planeacin, diseo, prueba y revisin de la documentacin antes de dar confianza a la herramienta de software de auditora

FECHA EFECTIVA

10 Esta declaracin es efectiva para todas las Auditorias de Sistemas de informacin a partir del 1 de Julio de 1.994


Auditoria de sistemas

Estándares de Auditoria en sistemas

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Auditoria de Sistemas Auditoria Centro de Computo

Enfoques y Estándares de Auditoria – ITIL v3 y eTOMauditoriauc20102miju02.wikispaces.com/file/view/Compilacion+ITIL... · Enfoques y Estándares de Auditoria – ITIL v3 y eTOM

Auditoria sistemas estudiar

ESTÁNDARES GENERALES PARA LA AUDITORIA EN SISTEMAS DE INFORMACIÓN

Auditoria de-sistemas

Normas y estándares aplicables a la auditoria informática

Auditoria Sistemas

AUDITORIA DE SISTEMAS INFORMATICOS - cotana.informatica…cotana.informatica.edu.bo/downloads/normas de auditoria de sistemas... · AUDITORIA DE SISTEMAS INFORMATICOS ... 3 Para la

Auditoria en Sistemas

AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria de... · AUDITORIA DE SISTEMAS INFORMATICOS 4. Normas de Auditoria de Sistemas 1