S14. Evidencia de Auditoria
S14. Evidencia de Auditoria
S14. Evidencia de Auditoria
Los recursos de COBIT deben utilizarse como fuente de asesora con respecto a las mejores prcticas. La estructura COBIT indica que: Es
responsabilidad de la direccin salvaguardar todos los activos de la empresa. Para llevar a cabo esta responsabilidad, as como para lograr
sus expectativas, la direccin debe establecer un sistema adecuado de control interno. COBIT proporciona un conjunto detallado de
controles y de tcnicas de control para el entorno de administracin/gestin de sistemas de informacin. La seleccin del material ms
relevante en COBIT aplicable a la auditora en particular se basa en la seleccin de procesos especficos de COBIT para TI, considerando
adems los criterios de informacin de COBIT.
Tal como se define en el Marco de Referencia de COBIT, cada uno de los siguientes elementos est organizado de acuerdo con el proceso
de administracin/gestin de TI. COBIT est destinado a ser utilizado por la gerencia de la empresa y por la gerencia de TI, as como por los
auditores de SI; por lo tanto, su uso permite la comprensin de los objetivos del negocio, la comunicacin de las mejores prcticas y las
recomendaciones que deben hacerse, en base a estndares de referencia comnmente comprendidos y respetados. COBIT incluye:
Objetivos de controlDeclaraciones genricas tanto de alto nivel como detalladas con un nivel mnimo de buen control
Prcticas de controlRazonamiento prctico y guas sobre cmo implementar los objetivos de control
Directrices de auditoraGuas para cada rea de control sobre cmo obtener un entendimiento, juzgar cada control, evaluar su
conformidad y corroborar el riesgo de que los controles no se cumplan
Directrices de gestinGuas sobre evaluacin y mejora de ejecucin del proceso de TI, utilizando modelos de madurez, mtricas y
factores crticos de xito. Proporcionan un marco de referencia de gestin orientado hacia una continua y proactiva auto-evaluacin
del control, enfocada especficamente en:
Evaluacin del rendimientoQu tan adecuadamente est apoyando la funcin de TI los requerimientos del negocio? Las
directrices de gestin se pueden utilizar para apoyar talleres de auto-evaluacin, y tambin para apoyar a la gerencia en la
implementacin de procedimientos de monitorizacin y mejora continuos, como parte de un esquema de gobierno de TI.
Perfil del control de TICules son los procesos de TI importantes? Cules son los factores crticos de xito para el control?
ConcienciacinCules son los riesgos de no lograr los objetivos?
BenchmarkingQu hacen los dems? Cmo se pueden medir y comparar los resultados? Las directrices de gestin
proporcionan ejemplos de mtricas que permiten la evaluacin de la funcin de TI en trminos del negocio. Los indicadores clave
de resultados identifican y miden los resultados de los procesos de TI, y los indicadores clave de rendimiento evalan lo bien que
estn funcionando los procesos, al medir los catalizadores del proceso. Los modelos y atributos de madurez proporcionan
evaluaciones de capacidad as como comparaciones de mercado, ayudando a la gerencia a medir la capacidad de control y
poder identificar vacos de control y determinar estrategias de mejora.
El glosario de trminos se encuentra en el sitio web de ISACA www.isaca.org/glossary. Las palabras auditora y revisin se utilizan
indistintamente.
Lmite de responsabilidad: ISACA ha definido esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir con las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este producto
garantice un resultado satisfactorio. La publicacin no debe considerarse como incluyente de cualquier procedimiento y prueba apropiado,
o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a la obtencin de los mismos resultados. Para
determinar la aplicabilidad de cualquier procedimiento o prueba especficos, el profesional de control debe utilizar su buen juicio profesional
a las circunstancias de control especficas presentadas por el entorno particular de sistemas o de tecnologas de informacin.
La Junta de Estndares de ISACA tiene el compromiso de realizar consultas extensas al preparar los Estndares, las Directrices y los
Procedimientos de Auditora de SI. Antes de emitir cualquier documento, la Junta de Estndares emite borradores de los mismos y los
expone a nivel internacional para recibir comentarios del pblico en general. La Junta de Estndares tambin busca personas con habilidad
o inters especial en el tema bajo consideracin para consultarlos, cuando sea necesario. La Junta de Estndares tiene un programa de
desarrollo permanente y agradece los comentarios de los miembros de ISACA y de otras partes interesadas para identificar temas
emergentes que requieran estndares nuevos. Toda sugerencia se deber enviar por correo electrnico a ([email protected]), por fax a
(+1.847.253.1443) o por correo (direccin al final del documento) a la Sede Internacional de ISACA, a la atencin del director de estndares
de investigacin y relaciones acadmicas. Este material fue publicado el 15 de mayo de 2006.
Introduccin
01 Los estndares de ISACA contienen principios bsicos y procedimientos esenciales, identificados con letra negrita, que junto con
la documentacin relacionada son obligatorios.
02 El propsito de este estndar es establecer estndares y proporcionar una gua sobre lo que constituye evidencia de auditora, y
la calidad y cantidad de evidencias de auditora que deber obtener el auditor de SI.
Estndar
03 El auditor de SI debe obtener evidencias de auditora suficientes y apropiadas para llegar a conclusiones razonables sobre
las que basar los resultados de la auditora.
04 El auditor de SI debe evaluar la suficiencia de las evidencias de auditora obtenidas durante la misma.
Comentario
Evidencia apropiada
05 Evidencia de auditora:
Incluye los procedimientos realizados por el auditor
Incluye los resultados de los procedimientos realizados por el auditor de SI
Incluye los documentos fuente (en formato electrnico o impresos en papel), registros e informacin de corroboracin
utilizados para apoyar la auditora
Incluye los hallazgos y resultados del trabajo de auditora
Demuestra que el trabajo fue realizado y cumple con las leyes, normativas y polticas aplicables
06 Al obtener una evidencia de auditora de una prueba de controles, el auditor de SI debe considerar la completitud de la evidencia
de auditora para apoyar el nivel de riesgo del control evaluado.
07 Es necesario identificar, obtener las referencias cruzadas y catalogar de forma adecuada la evidencia de auditora.
08 Deben tenerse en cuenta propiedades tales como la fuente, naturaleza (por ejemplo, escrito, oral, visual, electrnica) y
autenticidad (por ejemplo, firmas digitales y manuales, sellos) de la evidencia de auditora al evaluar su nivel de fiabilidad.
Evidencia fiable
09 En trminos generales, la fiabilidad de la evidencia de auditora es mayor cuando:
Aparece en forma escrita, en lugar de presentarse como expresiones orales
Se obtiene de fuentes independientes
Es obtenida por el auditor de SI en lugar de obtenerlo de la entidad que se est auditando
Es certificada por una entidad independiente
Es mantenida por una entidad independiente
10 El auditor de SI debe considerar la forma ms econmica de recopilar la evidencia necesaria para satisfacer los objetivos y
riesgos de la auditora. Sin embargo, la dificultad o coste no es una razn vlida para omitir un proceso necesario.
11 Los procedimientos usados para recopilar evidencias de auditora dependen de la temtica auditada (es decir, su naturaleza,
plazos de la auditora, juicio profesional). El auditor de SI debe seleccionar el procedimiento ms apropiado para cada objetivo de
auditora.
12 El auditor de SI puede obtener una evidencia de auditora por:
Inspeccin
Observacin
Consulta y confirmacin
Repeticin de la ejecucin
Repeticin del clculo
Computacin
Procedimientos analticos
Otros mtodos generalmente aceptados
13 El auditor de SI debe considerar la fuente y la naturaleza de cualquier informacin obtenida para evaluar su fiabilidad y ulteriores
requisitos de verificacin.
Evidencia suficiente
14 La evidencia puede considerarse suficiente si soporta todas las preguntas materiales referentes al objetivo y al alcance de la
auditora.
15 La evidencia de auditora debe ser objetiva y suficiente para permitir que un tercero independiente repita la ejecucin de las
pruebas y obtenga los mismos resultados. La evidencia debe ser proporcional a la materialidad del elemento y a los riesgos
involucrados.
16 La suficiencia es una medida de la cantidad de evidencias de auditora, mientras que lo apropiado es la medida de la calidad de
la evidencia de auditora, estando ambos conceptos relacionados entre s. En este contexto, cuando se obtiene informacin de la
organizacin que es utilizada por el auditor de SI para realizar los procedimientos de auditora, el auditor de SI debe tambin
poner nfasis en la precisin y completitud de la informacin.
Proteccin y retencin
18 La evidencia de auditora debe protegerse de accesos y modificaciones no autorizados.
19 La evidencia de auditora debe retenerse despus de completarse el trabajo de auditora durante el tiempo que resulte necesario
para cumplir con todas las leyes, normas y polticas aplicables.
Referencia
20 Consulte la siguiente gua para obtener ms informacin sobre la evidencia de auditora:
Estndar de Auditora de SI S6 Ejecucin del trabajo de auditora
Directriz de Auditora de SI G2 Requisitos de evidencia de auditora
Directriz de Auditora de SI G8 Documentacin de auditora
Objetivos de control de COBIT ME2 Monitorizar y evaluar el control interno y ME3 Garantizar el cumplimiento normativo.
Fecha de Vigencia
21 Este estndar entrar en vigor para todas las auditoras de sistemas de informacin que comiencen a partir del 1 de julio de 2006.
Copyright 2006
Information Systems Audit and Control Association (ISACA)
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EE.UU.
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
Correo electrnico: [email protected]
Sitio web: www.isaca.org