Estándares ISACA para Auditoría de Sistemas de Información

Los estándares, directrices y procedimientos de ISACA son fundamentales para la práctica profesional de la auditoría de sistemas de información (SI).

Tipos de Documentos ISACA

Estándares

Definen requisitos obligatorios para la auditoría de SI y el informe correspondiente.

Informan a:

• Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.
• La dirección y otras partes interesadas sobre las expectativas de la profesión con respecto al trabajo de sus profesionales.
• Los poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor®, CISA®) respecto a los requisitos que deben cumplir.

Directrices

Proporcionan orientación sobre la aplicación de los Estándares de Auditoría de SI.

Procedimientos

Proporcionan ejemplos de procedimientos que puede seguir un auditor de SI en el curso de la ejecución de una auditoría, pero no establecen requisitos obligatorios.

Estándares Específicos de Auditoría SI (ISACA)

S1 El Estatuto de Auditoría

Asesora sobre el estatuto de auditoría, cuyo propósito, responsabilidad, autoridad y rendición de cuentas deben documentarse apropiadamente y ser aceptados y aprobados en su correspondiente nivel organizacional.

S2 Independencia

Establece estándares y directrices en relación con la independencia durante el proceso de auditoría.

• Independencia profesional: el auditor debe ser independiente del auditado.
• Independencia organizacional: el auditor debe ser externo al área que audita.

S3 Ética y Estándares Profesionales

Proporciona orientación para el cumplimiento del Código de Ética Profesional. El auditor debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de auditoría aplicables al realizar tareas de auditoría.

S4 Competencia Profesional

El auditor de SI debe ser profesionalmente competente y poseer las destrezas y los conocimientos necesarios para realizar la tarea de auditoría, basándose en una educación apropiada y constante capacitación profesional.

S5 Planeación de la Auditoría

Al planificar, se asegura de cubrir los objetivos de la auditoría cumpliendo con las normas profesionales. Debe desarrollar y documentar el enfoque basado en riesgos, los plazos, el alcance y los recursos requeridos. Finalmente, debe detallar el plan de auditoría, incluyendo sus plazos y el alcance de los procesos de auditoría.

S6 Ejecución de la Auditoría

La supervisión garantiza que se logren los objetivos y se cumplan las normas profesionales del auditor. Se debe reunir evidencia confiable para alcanzar estos objetivos, la cual será interpretada y presentada como hallazgos y conclusiones del auditor, quien deberá documentar todo este proceso.

S7 Informe de Auditoría

El informe final debe identificar al auditado y respetar cualquier restricción de circulación. Debe indicar el alcance, los objetivos, los plazos y la extensión de las labores de auditoría. Debe detallar los hallazgos, las conclusiones y las recomendaciones, así como cualquier limitación que el auditor tuviese en el proceso. Todo esto debe estar respaldado con evidencia. Al entregarse, debe firmarse, fecharse y distribuirse.

S8 Actividades de Seguimiento

Después de informar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar y evaluar la información relevante para concluir si la gerencia tomó las acciones apropiadas de manera oportuna.

S10 Gobernanza de TI

El auditor debe revisar y evaluar si la función de SI está alineada con la misión, visión, valores, objetivos y estrategias de la organización y evaluar su desempeño. Además, debe revisar la eficacia de los procesos, evaluar el cumplimiento de los requisitos legales, el ambiente de control y los riesgos que puedan afectar a la organización. Todo esto desde un enfoque basado en riesgos.

S11 Uso de la Evaluación de Riesgos en la Planeación de Auditoría

El enfoque dependerá del plan general de la auditoría, asignando prioridades basadas en la asignación de los recursos para la auditoría. Al planificar revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes para el área bajo revisión.