Los Estándares de Auditoria y Aseguramiento de SI

Cruz Guerra

Los Estándares de Auditoria y Aseguramiento de SI

La naturaleza especializada de la auditoría y el aseguramiento de los sistemas de información (SI), así como las habilidades necesarias para llevarlos a cabo, requieren de estándares que sean específicamente aplicables a la auditoría y el aseguramiento de SI. El desarrollo y la difusión de los estándares de auditoría y aseguramiento de SI son una piedra angular de la contribución profesional de ISACA® a la comunidad de auditoría. Los estándares de auditoría y aseguramiento de SI definen los requerimientos obligatorios para la auditoría, el reporte e informe de SI:

·         Profesionales de auditoría y aseguramiento de SI con el nivel mínimo de desempeño aceptable exigido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional de ISACA.

·         La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales.

·         Poseedores de la designación de Auditor Certificado de Sistemas de Información (Certified Information Systems Auditor® , CISA® ) de los requerimientos que deben cumplir. El incumplimiento de estos estándares puede resultar en una investigación sobre la conducta del poseedor del certificado CISA por parte del Consejo de dirección de ISACA o del comité apropiado y, en última instancia, en sanciones disciplinarias.

Los profesionales de auditoría y aseguramiento de SI deben incluir una declaración en su trabajo, cuando corresponda, de que la asignación se ha llevado a cabo en conformidad con los estándares de auditoría y aseguramiento de SI de ISACA u otros estándares profesionales aplicables.

La estructura de ITAF™ para el profesional de auditoría y aseguramiento de SI brinda múltiples niveles de orientación:

·         Estándares, divididos en tres categorías:

o   Estándares generales (serie 1000): Los principios de orientación según los cuales operan los profesionales de auditoría y aseguramiento de SI. Se refieren a la realización de todas las asignaciones y se ocupan de la ética, independencia, objetividad, debido cuidado, conocimiento, competencia y habilidad de los profesionales de auditoría y aseguramiento de SI. Las declaraciones de los estándares (en negrita) son obligatorias.

o   Estándares de desempeño (serie 1200): Se refieren a la realización de la asignación; es decir, planificación y supervisión, alcance, riesgo e importancia, movilización de recursos, gestión de supervisión y asignaciones, evidencia de auditoría y aseguramiento, y la puesta en práctica del juicio profesional y debido cuidado.

o   Estándares de reportes (serie 1400): Se refieren a los tipos de reportes, medios de comunicación y a la información comunicada.

·         Lineamientos, que respaldan los estándares y también están divididos en tres categorías:

o   Lineamientos generales (serie 2000)

o   Lineamientos de desempeño (serie 2200)

o   Lineamientos de reportes (serie 2400)

·         Herramientas y técnicas, que brindan orientación adicional para los profesionales de auditoría y aseguramiento de SI; por ejemplo, libros blancos, programas de auditoría/aseguramiento de SI, la familia de productos de COBIT

La función de auditoría y aseguramiento de SI debe:

·         Preparar un Estatuto de la función de auditoría para definir las actividades de la función interna de auditoría y aseguramiento de SI con los detalles suficientes que comuniquen:

o    La autoridad, el propósito, las responsabilidades y las limitaciones de la función de auditoría y aseguramiento de SI

o    La Independencia y la responsabilidad de la función de auditoría y aseguramiento de SI - Las funciones y las responsabilidades del auditado durante la asignación de auditoría o la asignación de aseguramiento de SI

o    Los estándares profesionales que el profesional de auditoría y aseguramiento de SI respetará durante la realización de la asignación de auditoría y aseguramiento de SI

·         Revisar el estatuto de la función de auditoría al menos una vez por año, o con más frecuencia si cambian las responsabilidades.

·         Actualizar el estatuto de la función de auditoría según sea necesario para asegurar que el propósito y las responsabilidades hayan sido, y continúen, documentadas de manera adecuada.

Comunicar formalmente el estatuto de la función de auditoría al auditado para cada asignación de auditoría y aseguramiento de SI.

Análisis crítico

ffgfgdfgfdgfgdf