NORMA 1: ESTATUTO
El propósito, responsabilidad, autoridad y rendición de cuentas de la función de auditoría de sistemas de información o de las asignaciones de auditoría de sistemas de información deben documentarse de manera apropiada en un estatuto de auditoría o carta de compromiso. El estatuto de auditoría o la carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organización.
NORMA 2: INDEPENDENCIA
Independencia profesional en todos los aspectos relacionados con la auditoría, el auditor de SI debe ser independiente del auditado, tanto en actitud como en apariencia.
Independencia organizacional La función de auditoría de SI debe ser independiente del área o actividad que se está revisando para permitir una conclusión objetiva de la tarea que se audita. NORMA 3: ETICA Y ESTANDARES PROFESIONALES
El auditor de SI debe cumplir con el Código de Ética Profesional al realizar tareas de auditoría.
El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de auditoría aplicables al realizar tareas de auditoría.
NORMA 4: COMPETENCIA PROFESIONAL
El auditor de SI debe ser profesionalmente competente y tener las destrezas y los conocimientos para realizar la tarea de auditoría.
El auditor de SI debe mantener competencia profesional por medio de una apropiada educación y capacitación profesional continua.
NORMA 5: PLANEACION
El auditor de SI debe planear la cobertura de la auditoría de sistemas de información para cubrir los objetivos de la auditoría y cumplir con las leyes aplicables y las normas profesionales de auditoría.
El auditor de SI debe desarrollar y documentar un enfoque de auditoría basado en riesgos.
El auditor de SI debe desarrollar y documentar un plan de auditoría que detalle la naturaleza y los objetivos de la auditoría, los plazos y alcance, así como los recursos requeridos.
El auditor de SI debe desarrollar un programa y/o plan de auditoría detallando la naturaleza, los plazos y el alcance de los procedimientos requeridos para completar la auditoría.
NORMA 6: EJECUCION DE LA AUDITORIA
Supervisión—El personal de auditoría de SI debe ser supervisado para brindar una garantía razonable de que se lograrán los objetivos de la auditoría y que se cumplirán las normas profesionales de auditoría aplicables.
Evidencia—Durante el transcurso de la auditoría, el auditor de SI debe obtener evidencia suficiente, confiable y pertinente para alcanzar los objetivos de auditoría. Los hallazgos y conclusiones de la auditoría deberán ser soportados mediante un apropiado análisis e interpretación de dicha evidencia.
Documentación—El proceso de auditoría deberá documentarse, describiendo las labores de auditoría realizadas y la evidencia de auditoría que respalda los hallazgos y conclusiones del auditor de SI.
NORMA 7: REPORTE
El auditor de SI debe suministrar un informe, en un formato apropiado, al finalizar la auditoría. El informe debe identificar la organización, los destinatarios previstos y respetar cualquier restricción con respecto a su circulación.
El informe de auditoría debe indicar el alcance, los objetivos, el período de cobertura y la naturaleza, plazo y extensión de las labores de auditoría realizadas.
El informe debe indicar los hallazgos, conclusiones y recomendaciones, así como cualquier reserva, calificación o limitación que el auditor de SI tuviese en cuanto al alcance de la auditoría.
El auditor de SI debe tener evidencia de auditoría suficiente y apropiada para respaldar los resultados reportados.
Al emitirse, el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los términos del estatuto de auditoría o carta de compromiso.
NORMA 8: actividades de seguimiento
Después de informar/reportar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar y evaluar la información relevante para concluir si la gerencia tomó las acciones apropiadas de manera oportuna.
NORMA 9: IRREGULARIDADES Y ACCIONES ILEGALES
Al planificar y realizar la auditoría para reducir el riesgo de auditoría a un nivel bajo, el auditor de SI debe tener en cuenta el riesgo de irregularidades y acciones ilegales.
El auditor de SI debe documentar todas las comunicaciones, planeación, resultados, evaluaciones y conclusiones relacionadas con irregularidades materiales y acciones ilegales que han sido notificadas a la gerencia, a los responsables del gobierno corporativo, autoridades responsables de la normatividad dentro de la organización y otros.
NORMA 10: GOBERNABILIDAD DE TI
El auditor de SI debe revisar y evaluar si la función de SI está alineada con la misión, visión, valores, objetivos y estrategias de la organización.
El auditor de SI debe revisar si la función de SI tiene una declaración clara en cuanto al desempeño esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento.
El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el desempeño de los procesos administrativos.
El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales, ambientales y de calidad de la información, así como de los requisitos fiduciarios y de seguridad.
El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la función de SI.
El auditor de SI debe revisar y evaluar el ambiente de control de la organización.
El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno de SI.
NORMA 11: USO DE LA EVALUACIÓN DE RIESGOS EN LA PLANEACIÓN DE AUDITORÍA
El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de riesgos al desarrollar el plan general de auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de auditoría de SI.
Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes al área bajo revisión.
NORMA 12: MATERIALIDAD DE LA AUDITORÍA
El auditor de SI debe considerar la materialidad de la auditoría y su relación con el riesgo de auditoría a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditoría.
Mientras planifica la auditoría, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de información.
El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de información.
El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, así como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.
NORMA 13: USO DEL TRABAJO DE OTROS EXPERTOS
El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para realizar la auditoría.
El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos, antes de su contratación.
El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluir el grado de utilidad y la fiabilidad del trabajo del experto.
El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoría. Dicha conclusión debe documentarse claramente.
El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditoría suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la proporciona.
El auditor de SI debe proporcionar una opinión de auditoría apropiada e incluir los límites
NORMA 14: EVIDENCIA DE AUDITORÍA
El auditor de SI debe obtener evidencias de auditoría suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría.
El auditor de SI debe evaluar la suficiencia de las evidencias de auditoría obtenidas durante la misma.
NORMA 15: CONTROLES DE TI
El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno de control interno de la organización.
El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseño, la implementación, la operación y la mejora de controles de TI.
NORMA 16: COMERCIO ELECTRÓNICO
El auditor de SI debe evaluar los controles aplicables, y cotejar los riesgos al revisar entornos de comercio electrónico, para asegurar que las transacciones de comercio electrónico están correctamente controladas.
Deseas saber más?DESCARGAR