1. IRREGULARIDADES Y ACCIONES
1.1. Introducción
1.1.1. Procedimientos esenciales identificados en 03 a 11.
1.1.2. El propósito es proporcionar asesorías sobre irregularidades y acciones ilegales que el auditor debe tener en cuenta.
1.2. Estándar
1.2.1. El auditor debe mantener una actitud de escepticismo profesional, reconociendo que podrían existir declaraciones incorrectas debido a irregularidades y acciones ilegales. Este debe obtener un entendimiento de la organización y su entorno incluidos los controles internos.
1.2.2. El auditor debe tener evidencia de la auditoria suficiente y relevante para saber si la gerencia y otras personas tienen conocimientos de las irregularidades o cualquier acción ilegal, sospechosa o alegada.
1.2.3. El auditor debe diseñar y realizar procedimientos para a probar lo adecuado de los controles internos y el riesgo de anulación de los controles.
1.2.4. Cuando el auditor identifica una declaración incorrecta debe evaluar si tal declaración puede indicar la existencia de una irregularidad, si existe tal indicación el auditor debe tener en cuenta las implicaciones en relación con otros aspectos.
1.2.5. El auditor debe obtener declaraciones escritas de la gerencia al menos una vez al año, dependiendo el contrato la gerencia debe: -* Reconocer su responsabilidad en el diseño e implementación de controles internos para prevenir o detectar irregularidades. -*Relevar al auditor los resultados de la evolución de riesgos cuando pueda existir una declaración. -* Relevar al auditor cuando tenga conocimiento de irregularidades que están afectando la organización.
1.2.6. Si el auditor identifica una irregularidad o tiene información material o acción ilegal. Debe ser comunicado sin demora al nivel de dirección apropiado.
2. GOBERNABILIDAD DE TI
2.1. Introducción
2.1.1. Su propósito es establecer asesoría en las áreas de gobernabilidad de TI .
2.2. Estándar
2.2.1. El auditor debe revisar y evaluar si la función esta alineada con la Misión, Visión, Valores, Objetivos y estrategias.
2.2.2. Revisar si la función tiene declaraciones claras en cuanto al desempeño esperado en la empresa(eficacia y eficiencia). El auditor debe evaluar eficacia de los recursos y el desempeño de los procesos administrativos.
2.2.3. Revisar y evaluar el cumplimiento de los requisitos legales, así como los requisitos fiduciarios y de seguridad.
2.2.4. El auditor debe evaluar el ambiente de la organización, y evaluar los riesgos que pueden afectar el entorno SI.
2.3. Guía adicional
2.3.1. El auditor debe evaluar los riesgos del entorno de trabajo que apoyan los procesos del negocio. la auditoria debe asistir ala organización identificando y evaluando las exposiciones significativas al riesgo y ayudar con el mejoramiento de la administración y los sistemas de control.
3. EVALUACIÓN DE RIESGO
3.1. Introducción
3.1.1. Su propósito es establecer normas y asesorías respecto al uso y evolución de riegos.
3.2. Estándar
3.2.1. Se debe utilizar una técnica apropiada para evaluar los riesgos al hace la auditoria.
3.3. Comentario
3.3.1. Esta es una técnica usada para revisar las auditorias dentro del universo para seleccionar áreas a revisar que tengan la mayor exposición a riesgos. La definición del universo debe basarse en el conocimiento del plan estratégico de la organización, estas evaluaciones deben documentarse para facilitar su desarrollo al menos anualmente, esta evaluación permite que el auditor pueda cuantificar y justificar los recursos de auditoria. Después de que se termina la revisión el auditor se debe se asegurar de que la estructura de riesgos empresariales se actualice.
4. MATERIALIDAD DE AUDITORÍA
4.1. Introducción
4.1.1. Su propósito es establecer una guía respecto al concepto de materialidad de la auditoria y su relación con el riesgo.
4.2. Esrándar
4.2.1. Mientras se planifica la auditoria el auditor debe identificar las posibles debilidades o ausencias de control para ver si estas pueden ocasionar deficiencia o debilidad en el sistema de información
4.3. Guía adicional
4.3.1. El auditor debe tener conciencia de tres componentes: el riesgo inherente, el riesgo del control y de detención. Una debilidad material implica: que los controles no estén establecidos,no utilizados,inadecuados. Puede producir un escalamiento.
5. REFERENCIA DE EXPERTOS
5.1. Introducción
5.1.1. Su propósito es establecer asesoramiento al auditor para que utilice su trabajo con otros expertos.
5.2. Estándares
5.2.1. El auditor debe evaluar y estar satisfecho de las credenciales profesionales. También debe evaluar, revisar y calificar el trabajo de otros y concluir si resulta apropiado para permitir que saquen sus conclusiones. Debe dar una opinión apropiada para incluir los limites cuando no se obtenga la evidencia mediante un procedimiento de prueba adicional.
5.3. Guía adicional
5.3.1. El auditor debe tener acceso a todos los documentos de trabajo, e auditor debe determinar apropiadamente el grado de utilidad y confianza del trabajo del experto. Si el auditor no tiene la habilidad requerida u otras competencias para realizar la auditoria debe buscar competencia de otros expertos.
6. EVIDENCIA DE AUDITORÍA
6.1. Introducción
6.1.1. Proporcionar una guía sobre lo que constituye evidencia de auditoria y la calidad y cantidad de evidencias que deberá tener.
6.2. Estándar
6.2.1. El auditor debe tener evidencias suficientes y apropiadas para llegar a conclusiones razonables
6.3. Evidencia apropiada
6.3.1. *Procedimientos realizados por el auditor. *Resultados de los procedimientos realizados. *Documentos fuente. *Hallazgos y resultados de auditoria.
6.4. Evidencia fiable
6.4.1. En forma escrita *se obtiene de fuentes independientes. *Es obtenida por el auditor. *Certificada por una entidad independiente. *Mantenida por una entidad independiente. El auditor puede tener evidencia por: -Inspección. -Observación. -Consulta y confirmación. - Computación -Procedimientos analíticos.
6.5. Evidencia suficiente
6.5.1. Se considera suficiente si soporta todas la preguntas. La evidencia debe ser objetiva y suficiente para permitir un tercer independiente. Si el auditor cree que no puede obtener las suficientes evidencias deberá reportar este hecho.
6.6. Protección y retención
6.6.1. La evidencia de auditoria debe protegerse de accesos y modificaciones. Esta debe retenerse por el tiempo que sea necesario para cumplir con las leyes.
7. CONTROLES TI
7.1. Introducción
7.1.1. Su propósito ISACA es establecer normas y guías en los controles TI
7.2. Estándar
7.2.1. El auditor debe asistir ala gerencia proporcionando concejos con respecto al diseño.
7.3. Cometario
7.3.1. La gerencia es responsable del entorno y del control interno de una organización. COBIT define el control como las políticas, procedimientos y practicas. estos controles generales minimizan el riesgo en el funcionamiento general de los sistemas .
8. E-COMMERCE
8.1. Introducción
8.1.1. Su propósito es establecer normas y guías relativas para la revisión de entornos de comercio electrónico.
8.2. Estándar
8.2.1. El auditor debe evaluar controles aplicables y cotejar los riesgos al revisar los entornos electrónicos.
8.3. Comentario
8.3.1. El comercio electrónico se define como esos procesos a través de los cuales las organizaciones realizan negocios con clientes, proveedores y otros. El auditor debe utilizar una técnica de enfoque apropiado de evaluación de riesgos.
9. N1.-ESTATUTO DE AUDITORÍA
9.1. Introducción
9.1.1. Esta norma contiene principios básicos y procedimientos esenciales los cuales se identifican con 03 y 04.
9.1.2. El propósito de esta es proporcionar y establecer asesoría respecto ala auditoria utilizada en el proceso
9.2. Estandar
9.2.1. Los estatutos o cartas de auditoria deben ser aceptados y aprobados dentro de la organizacion.
9.2.2. Todo proceso de rendición de cuentas de la auditoria deben documentarse de una manera apropiada en el estatuto o carta de compromiso.
9.3. Comentario
9.3.1. Para preparar un auditoria se debe realizar un estatuto para las actividades permanentes, este estatuto debe someterse a una revision anual
9.3.2. El estatuto o carta de auditoria deben ser suficientemente detallados para comunicar la responsabilidad, esto debe ser revisado periódicamente para garantizar que si haya sido documentado.
10. INDEPENDENCIA
10.1. Introducción
10.1.1. Esta norma tiene principios básicos y su propósito es establecer estándares y guías relacionadas con la independencia durante el proceso.
10.2. Estándar
10.2.1. Independencia profesional, el auditor debe ser independiente del auditado tanto en actitud como en apariencia.
10.2.2. Independencia organizaciónal, esta debe ser independiente del área que se esta revisando para una conclusión objetiva de la tarea auditada.
10.3. Comentario
10.3.1. El estatuto o carta debe considerar la responsabilidad de la función auditoria.
10.3.2. El auditor debe ser independiente tanto en actitud y apariencia.
10.3.3. La independencia debe ser evaluada por la gerencia y comité de auditoria en caso de que se haya establecido.
11. ÉTICA Y NORMAS
11.1. Introducción
11.1.1. El propósito de esta es establecer un estándar y proporcionar una guía para el auditor con el fin de cumplir con el código de ética profesional.
11.2. Estándar
11.2.1. El auditor debe cumplir con el código de ética profesional.
11.2.2. El auditor debe ejercer el debido cuidado profesional , esto incluye cumplir con los estándares de auditoria aplicables.
11.3. Comentario
11.3.1. El código deberá ser actualizado para mantenerlo acorde con las tendencias emergentes y exigencias de la profesión.
11.3.2. El incumplimiento de código de ética y de las normas de auditoria SI puede resaltar una investigación de la conducta de un auditor, y en ultima instancia sanciones disciplinarias.
11.3.3. Los auditores deben comunicarse con los miembros del equipo y asegurar estos cumplan con el código de ética profesional y si observan las normas de auditoria SI.
11.3.4. Si el cumplimiento de las guías de ética profesional o de las normas se ve menoscabado, el auditor debe considerar suspender su participación.
11.3.5. El auditor debe mantener su mas alto grado de integridad y conducta y no adoptar ningún método que se considere ilegal, no ético o poco profesional,
12. LABORES DE AUDITORIA
12.1. Introducción
12.1.1. Contiene principios básicos y procedimientos esenciales que se identifican en 03 a 05.
12.1.2. Su propósito es establecer normas y proporcionar asesoría.
12.2. Estándar
12.2.1. Supervisión: El personal debe ser supervisado para brindar garantía de que se logran los objetivos.
12.2.2. Evidencia: Durante la auditoria el auditor debe obtener las suficiente evidencias para alcanzar los objetivos.
12.2.3. Documentación: El proceso deberá documentarse describiendo las labores realizadas que respalda los hallazgos y conclusiones.
12.3. Comentario
12.3.1. Se deben establecer roles al igual que los roles de decisión, ejecución y revisión.
12.3.2. La documentación debe incluir los objetivos y el alcance del trabajo. Debe ser suficiente para permitir una tercera entidad independiente.
12.3.3. La documentación debe incluir detalles de quien realizo las tareas, y revisada por el miembro del equipo nombrado.
12.3.4. La evidencia de auditoria debe ser suficiente, confiable etc, para formar una opinión o respaldar los hallazgos. Si en la opinión del auditor no cumple con lo criterios, deberá obtener evidencia adicional.
13. INFORME DE AUDITORIA
13.1. Introducion
13.1.1. El propósito de la norma es establecer asesorías sobre la generación del informe, con el fin de que el auditor cumpla.
13.2. Estandar
13.2.1. El auditor debe suministrar la información en un formato apropiado. El informe debe identificar la organización los destinatarios y respetar las restricciones con respeto ala circulación
13.2.2. El informe debe indicar el alcance, objetivos y periodo de cobertura, el plazo de las labores de auditoria. También debe indicar los hallazgos,conclusiones y recomendaciones.
13.2.3. El auditor debe tener una evidencia suficiente y apropiada para los resultados reportados. El auditor debe firmar, fechar y distribuir de acuerdo con los términos del estatuto.
13.3. Comentario
13.3.1. El formato y contenido generalmente varían según el servicio o contrato las cuales pueden realizar las siguientes acciones: - Auditoria(directa o testigo) -Revisión(directa o testigo) -Procedimientos acordados.
13.3.2. Cuando se requiera que el auditor proporcione una opinión sobre el entorno, una debilidad material o significativa, el auditor no deberá concluir que los controles internos son eficaces.
13.3.3. El auditor debe comentar el contenido del informe en un borrador con la gerencia del área bajo revisión antes de finalizar, y incluir los detalles de la gerencia cuando corresponda.
13.3.4. Si el auditor encuentra deficiencias debe informar sobre estas al comité de auditoria y comentar que se han comunicado dichas deficiencias.
13.3.5. El audito debe solicita y evaluar la información de los hallazgos y las recomendaciones de los informes anteriores con el fin de determinar si se han implementado las acciones apropiadas.
14. SEGUIMIENTO
14.1. Introducción
14.1.1. Su propósito es establecer normas y proporcionar asesoría con respecto a las actividades durante el proceso.
14.2. Estándar
14.2.1. Después de reportar los hallazgos y recomendaciones, el auditor debe solicitar y evaluar la información y concluir si la gerencia tomó las acciones apropiadas.
14.3. Comentario
14.3.1. Si las propuestas por la gerencia, las recomendaciones se proporcionan al auditor, dichas acciones debe registrarse en el informe final.
14.3.2. La función de auditoria interna debe establecer un seguimiento para asegurar que las acciones de la gerencia han sido implementadas . La responsabilidad de esta pueden definirse en el estatuto de auditoria.
14.3.3. Dependiendo del alcance y termino del contrato, los auditores externos pueden recurrir ala función de auditoria interna para realizar el seguimiento de las recomendaciones.
14.3.4. Cuando la gerencia proporcione información sobre las acciones tomadas y el auditor tenga dudas de la información suministrada se deben llevar acabo las pruebas apropiadas para determinar el estado antes de concluir las actividades.
14.3.5. Como parte de las actividades de seguimiento el auditor debe evaluar si los hallazgos siguen siendo importantes.
15. COMPETENCIA PROFESIONAL
15.1. Introducción
15.1.1. El propósito de esta es establecer y brindar asesoría a fin de que el auditor logre y mantenga un nivel de competencia profecional.
15.2. Estándar
15.2.1. El auditor debe mantener competencia profesional por medio de la educación y capacitación.
15.2.2. El auditor debe ser profesionalmente capaz de ser competente y tener las destrezas y conocimientos para realizar sus tareas.
15.3. Comentario
15.3.1. El auditor debe proporcionar una garantía razonable de que dispone aptitudes profesionales antes de iniciar las labores, de no cumplir con esto debe de rechazar o retirarse de la tarea.
15.3.2. El auditor debe tener certificación u otra designación profesional relacionada con la auditoria y tener experiencia profesional.
15.3.3. En caso de que el audito lidere un equipo, el debe proporcionar una garantía razonable de que todos o miembros tengan un nivel apropiado para desempeñar su labores.
16. PLANEACION
16.1. Introducción
16.1.1. El propósito de esta es establecer normas y brindar accesoria sobre la planeación de una auditoria.
16.2. Estándar
16.2.1. El auditor debe planear la cobertura de la auditoria para cubrir los objetivos, leyes aplicables y normas de auditoria.
16.2.2. El auditor debe documentar el enfoque basado en riesgos.
16.2.3. El auditor debe desarrollar un programa detallando la naturaleza de los procedimientos requeridos.
16.3. Comentario
16.3.1. Para una función de auditoria interna se debe desarrollar un plan, al menos una vez al año.
16.3.2. En el caso de una auditoria externa se debe presentar un plan para cada una de las tareas sean uno de auditoria.
16.3.3. El auditor debe realizar una evaluación de riesgos para brindar una garantía razonable de que los materiales se cubran adecuadamente.