Normas aplicables a la Auditoria de Sistemas

Toda profesión y trabajo relacionado con la auditoría está sujeto a un cumplimiento estricto de normas emitidas por distintas instituciones, dependiendo del trabajo o revisión a realizar. Entre dichas normas están las Declaraciones de Normas de Auditoria (Statements Of Auditing Standards) del Instituto Americano de Contadores Públicos Certificados (AICPA), las Normas de Auditoria Interna emitidas por el Instituto de Auditores Internos (IIA), y las Declaraciones de Normas de Auditoria (DNA) y las Declaraciones de Normas de Auditoria Interna (DNAI) de la Federación de Colegios de Contadores Públicos.

En el caso que  nos compete, por tratarse de Auditoria de Sistemas, las normas aplicables son los Estándares de Auditoria de Sistemas de Información, emitidas por la Asociación de Auditoría y Controles de Sistemas de Información (ISACA). A continuación se detallan cada uno de dichos estándares a manera resumida.

El Estatuto de Auditoria

El Estatuto de Auditoría es el documento que crea formalmente la figura del auditor dentro de la organización, y puede estar representado por un documento interno para el caso de auditoria interna, o un contrato de servicios cuando se trata de un auditor externo. Dicho estatuto debe señalar los objetivos, alcance, autoridad y rendición de cuentas de la función de auditoria de sistemas dentro de la organización, y debe estar aprobado por los niveles apropiados de la gerencia.

Independencia Profesional

El auditor debe ser independiente, tanto del auditado como del área o función sujeta a revisión dentro de la auditoria, tanto en apariencia como en actitud, a fin de proveer de una conclusión objetiva.

Ética Profesional

El auditor debe cumplir con el código de ética profesional de ISACA, y cumplir con los estándares de auditoria aplicables al trabajo a realizar.

Competencia Profesional

El auditor de sistemas de información debe ser competente para realizar las labores asignadas y deberá mantener una educación profesional y capacitación continua. Esto con el fin de mantenerse al día en temas de actualidad, y poseer los conocimientos necesarios para realizar el trabajo asignado de manera correcta y adecuada.

Uso de la Evaluación de Riesgos

Se debe utilizar una técnica apropiada de evaluación y administración de riesgos, a fin de identificar y evaluar los riesgos relevantes al área bajo revisión, determinar las prioridades y asignar adecuadamente los recursos a cada revisión.

Gobierno de TI

El auditor debe revisar y evaluar que la función de Sistemas de Información (o Tecnología de Información) esté alineada con los objetivos y estrategias de la organización, y deberá tener una declaración escrita del desempeño esperado en sus procesos administrativos y eficacia de los recursos. Igualmente, el auditor debe utilizar un enfoque basado en riesgos durante el proceso de auditoría para:

1. Identificar los riesgos adversos al ambiente de TI, y
2. Identificar los riegos producto del incumplimiento de requisitos legales, fiduciarios, seguridad y calidad.

Controles Internos de TI

El auditor de sistemas de información debe revisar, evaluar y supervisar los controles de tecnologías de información que forman parte del ambiente de control interno de la organización. Igualmente, el auditor debe asistir a la gerencia aconsejando sobre el diseño, implementación, operación y mejora de dichos controles.

Planificación del Trabajo de Auditoría

Se debe planificar el trabajo de auditoria detallando los objetivos, plazos, alcances, procedimientos y recursos para completar la auditoria. Adicionalmente, dicha planificación debe realizarse de forma que cumpla con las leyes y regulaciones aplicables al trabajo a realizar, y utilizando un enfoque de auditoria basado en riesgos.

Trabajo de Auditoría

Supervisión

El auditor de sistemas debe ser supervisado para asegurar que se alcanzarán los objetivos planteados en el trabajo a realizar, y que se cumplan las normativas y regulaciones aplicables al trabajo de auditoria.

Evidencia

El auditor de sistemas debe asegurar la recolección de evidencia suficiente, competente y apropiada para sustentar el trabajo realizado y respaldar las observaciones, hallazgos y recomendaciones que señale en su informe.

Documentación

El auditor de sistemas de información deberá documentar adecuadamente su trabajo a fin de respaldar las observaciones, hallazgos y recomendaciones de su informe.

Evidencia de Auditoría

Se deben obtener evidencias suficientes, apropiadas y competentes, no solo para llegar a conclusiones razonables del trabajo de auditoria, sino también que respalden el trabajo realizado para llegar a dichas conclusiones.

Reporte de Auditoría

El Informe de Auditoría debe estar en el formato apropiado, firmado y fechado, y debidamente respaldado con la evidencia apropiada, indicando: Alcance de la Auditoría. Objetivos de la Auditoría. Períodos Cubiertos. Extensión de las labores realizadas. Hallazgos. Conclusiones y recomendaciones. Reservas, Calificaciones y Limitaciones. Dicho informe debe ser distribuido en los términos establecidos en la carta de compromiso y/o estatuto de auditoria.

Seguimiento de Auditoría

El auditor debe obtener información suficiente para formarse una opinión sobre si la gerencia tomó las acciones y/o cursos de acción acordados de manera oportuna.

Uso del Trabajo de Otros Expertos

Se debe considerar el uso del trabajo de otros expertos para realizar la auditoria, debiendo satisfacerse de las credenciales, competencias, experiencias, recursos, independencia y procesos de control y calidad de dichos expertos. El auditor debe evaluar, revisar y calificar el trabajo realizado por otros expertos, y aplicar procedimientos de auditoria adicionales que permitan obtener evidencia suficiente para emitir una conclusión. El informe de auditoria debe señalar, de forma apropiada, las limitaciones al alcance encontradas para encontrar evidencia suficiente cuando se utiliza el trabajo de otros expertos.

Materialidad

La materialidad del compromiso debe determinarse al mismo tiempo que se determinan los plazos y alcance de los procedimientos de auditoria. Se debe tomar en consideración la posibilidad de encontrar debilidades y/o ausencia de controles que puedan ocasionar debilidades y/o deficiencias materiales, bien sea de manera individual o en conjunto. El informe debe señalar los controles ineficaces y/o ausencia de los controles, junto con el significado de las deficiencias encontradas.

Comercio Electrónico

Se deben cotejar, revisar y evaluar los riesgos y controles aplicables al momento de revisar los entornos de comercio electrónico. Igualmente, se debe asegurar que las transacciones de comercio electrónico están debidamente controladas.

Ilícitos e Irregularidades

Se debe tener conocimiento del ambiente de control interno de la organización, y verificar que existan controles diseñados para evitar irregularidades y actos ilegales. Se debe tener en cuenta el riesgo de ocurrencia de irregularidades y actos ilegales, debido a declaraciones materialmente incorrectas. Obtener al menos una vez al año una declaración de la gerencia:

1. Reconocimiento de responsabilidad de la gerencia en el diseño y puesta en marcha de controles.
2. Resultados de la evaluación de riesgos cuando puedan existir declaraciones incorrectas.
3. Conocimiento de irregularidades, hechos y actos ilegales que puedan estar afectando la organización.
4. Documentar todas las actividades relacionadas con irregularidades, actos y/o hechos ilegales.

Al encontrar una irregularidad, hecho o acción ilegal se debe:

1. Comunicarlo al nivel apropiado de la gerencia.
2. Comunicarlo al gobierno corporativo.
3. Comunicarlo al comité de auditoria.
4. Comunicarlo a quienes celebraron el contrato de auditoria.
5. Retirarse del contrato de auditoria si es necesario, tomando en cuenta la responsabilidad legal y profesional aplicable.
6. Recomendar al nivel apropiado de la gerencia sobre debilidades materiales en el diseño e implantación de controles.