UNLZ - CATEDRA DE AUDITORÍA, COMISION DR. COSSIO (h)
Origen: Mexico The Information Systems Audit and Control
Association & FoundationSISAS N°1 - Relación con la Organizació
1.1.1. Relación con los Estándares
Norma 020.010 (Independencia profesional) establece que en todos los aspectos relacionados con la auditoría, el auditor de sistemas de información debe ser independiente en actitud y apariencia.
1.1.2. Relación Organizacionales
Norma 020.020 establece que la función de auditoría de sistema de información debe ser lo suficientemente independiente del área auditada para que permita en su totalidad cumplir con el objetivo de la auditoría.
Norma 030.010 (Código de ética profesional) establece que “El auditor de sistema de información debe adherirse al Código de ética profesional de la Asociación de Auditoría de Sistemas de Información y Control.
Necesidad de la Guía
El propósito de esta guía es profundizar en el significado de “Independencia” utilizado en las normas 020.010 y 020.020 de las normas de auditoría de sistemas de información y señalar la actitud del auditor y su independencia en auditorías en sistemas de información. Esta guía muestra como el IS auditor debería cumplir con las normas antes señaladas.
1.2.3. El ajustarse a esta guía no es obligatorio, pero el auditor de sistema de información debe esta preparado para justificar cualquier incumplimiento a ésta.
2 Independencia
2.1.1 Actitud
La función del auditor debe tratar de ajustarse a los Códigos aplicables de la ética profesional y de las normas de auditoría en todos sus trabajos. Es aconsejable establecer un conjunto de reglas con el fin de prevenir practicas corruptas. Un ejemplo puede ser: - Mantener un registro de antecedentes. -
Mantener un registro de intereses patrimoniales y/o familiares; - Establecer un conjunto de reglas de independencia (ej. mantener un registro de las inversiones que los auditores y sus parientes tienen en relación con las organizaciones, etc.).- Confirmaciones regulares de que los auditores han cumplido con las reglas (ej. cada año). - Etc.3 Planificación
3.1.1. Independencia Durante una auditoría, el auditor de sistemas de información está en una posición crucial en la organización que está siendo Auditada. De acuerdo con la asignación, el auditor entrevista personas, analiza procesos organizacionales, obtiene cooperación del personal de la organización, etc. Por lo cual su apariencia en la independencia debe siempre ser adecuada para enfrentar estas situaciones.
3.1.2 El auditor de sistemas de información durante una auditoría establece muchas relaciones con gente relacionada con la actividad de auditoría y el auditor tiene la oportunidad de explorar más profundamente los aspectos del área que está siendo auditada, frecuentemente de toda la organización. La actitud del auditor debe siempre la correcta de acuerdo a su rol, y la planificación debe tomar en cuenta cualquier relación conocida. El auditor no debe participar En una auditoría si su independencia no es la apropiada. Por ejemplo, la independencia no es la apropiada si el auditor tiene alguna expectativa de ganancia financiera u otro tipo de ventaja personal debido a su influencia en el resultado de la auditoría. Sin embargo, la independencia del auditor no debería ser necesariamente inadecuada como resultado de la ejecución de los sistemas de información de auditoría donde transacciones personales ocurren en el normal curso de los negocios. El auditor debe esta consiente de que el aspecto de independencia puede verse influenciado por sus acciones o asociaciones.
Las percepciones o imagen de independencia del auditor pueden afectar la aceptación del trabajo del auditor.4 Ejecución del Trabajo de Auditoría
4.1.1. Organización
Si el auditor toma conciencia de que una situación o relación se percibe como perjudicial para su independencia, debe informar a la gerencia de auditoría de esta percepción perjudicial lo más pronto posible
4.1.2 El auditor debe ser organizacionalmente independiente del área que está siendo auditada y por ende da la seguridad de que la auditoría será objetiva y justa. La independencia no es la adecuada si el auditor tiene directo control sobre el área que será auditada. La independencia de la auditoría puede también ser perjudicada si el auditor tiene directa responsabilidad en el reporte con los individuos sobre lo cual tiene directo control.4.1.3 En circunstancias donde la independencia del auditor se encuentre perjudicada y continúe ligado con la auditoría, los hechos que rodean los aspectos de la independencia del auditor deben ser revelados. Cada descubrimiento debe ser hecho en modo consistente con la comunicación del auditor y la distribución de los resultados de la auditoría. La independencia debe ser continuamente evaluada por el auditor y la Gerencia. Esta evaluación debe considerar factores tales como cambios en las relaciones personales, intereses financieros, trabajos asignados anteriormente y responsabilidades. COBIT detalla el objetivo de control M2-6 en donde establece que “La gerencia debe buscar independencia en la auditoría de una manera proactiva antes de dar soluciones”. Con el fin de llevar a cabo este objetivo, la gerencia debe establecer un plan de auditoría para asegurar su aplicación en forma regular con independencia a objeto que se obtenga efectividad, eficiencia, economía y seguridad en el control interno. Reuniendo información Entre los diversos items necesitados para obtener un entendimiento de la organización que está siendo auditada, el auditor, con el propósito de considerar su independencia, debe considerar: - Política de la organización y procedimientos relacionados con el proceso de la independencia. - Revisión de cartas, declaración de comités, políticas, procedimientos y normas, informes anteriores y planes de auditoría.
Evaluación de controles La independencia de la auditoría debe ser regularmente supervisada por el gerente. El plan de auditoría debe contener esta verificación.
Esta verificación es evaluado también por pruebas que aseguran la independencia y la suficiente habilidad de detectar compromisos de la independencia. Puede ser considerada una verificación si el auditor se apega a los códigos profesionales aplicables de conductas suficientes para proporcionar evidencia de independencia. Si existe alguna sospecha acerca de que la independencia de la auditoría pueda verse afectada, es aconsejable una revisión del plan de auditoría. Al comienzo de una auditoría, la independencia del auditor puede ser confirmada por firma de declaración de conflictos de interés.5. Informe
5.1 Realización del Informe
El trabajo e informe de la auditoría debe representar una descarga de Responsabilidades profesionales, las cuales ejemplifiquen integridad y objetividad. Un auditor debe evitar situaciones que pudieran perjudicar la independencia.
6 Fecha en Vigor
Esta guía es eficaz para todos las auditorías de sistemas de información anteriores o posteriores a la fecha de la publicación.
SISAS N°2 - Involucramiento en el Proceso de Adquisición e ImplementaciónFundamento
1.1. Relación con los estándares
Norma 020.010 (Independencia profesional) establece que “En todos los problemas relacionados con la auditoría, el auditor de sistemas de información es independiente en actitud y apariencia”.
Norma 020.020 (Relación organizacional) establece “que el auditor de sistemas de información será suficientemente independiente del área a ser auditada para permitir una finalización del objetivo de la auditoría
1.2 Necesidad de la Guía
El propósito de esta guía es profundizar el significado de “independencia del auditor en relación a las revisiones de los sistemas que están siendo desarrollados, adquiridos o implementados. Esta guía establece como el auditor de sistemas de información debería ajustarse a la norma señalada anteriormente. El ajustarse a esta guía no es obligatorio, pero el auditor de sistemas de información debería estar preparado para justificar cualquier desviación de ésta.
2 Definiciones
Algunas definiciones se indican en el glosario para clarificar el uso de cierta terminología dentro de esta guía.
3 Desempeño del trabajo de auditoría Independencia
3.1.1. En la conducción de la revisión de una aplicación en proceso de desarrollo, adquisición o implementación, el auditor de sistemas de información debe mantener una actitud y apariencia de independencia.
3.1.2 En el desarrollo o adquisición de una aplicación el equipo encargado del proyecto es responsable de aplicar la metodología de desarrollo el cual incluye los controles de diseño e implementación. El auditor debe ser independiente del equipo encargado del proyecto. El auditor debe determinar independientemente los procedimientos a aplicar en la ejecución de la revisión del desarrollo o adquisición de una aplicación. El auditor puede recomendar tanto controles como agregar funcionalidad a otro sistema, sin perjudicar su independencia. La ejecución de la revisión del desarrollo, adquisición o implementación de una aplicación, no afecta la habilidad del auditor de llevar a cabo una evaluación independiente de la aplicación después de su implementación.
3.1.3. La independencia puede verse afectada si el auditor se involucra activamente en el diseño e implementación de la aplicación. Por ejemplo, si el auditor pasa a ser un miembro del equipo del proyecto, con capacidad de tomar decisiones (por ejemplo: decisiones acerca de controles específicos), su
habilidad de llevar a cabo una revisión independiente del desarrollo, adquisición o implementación de la aplicación, se ve perjudicada. Esto también puede afectar la habilidad del auditor de llevar a cabo una evaluación independiente del sistema después de su implementación.
3.1.4. El involucramiento del auditor en el equipo responsable del proyecto en las etapas de diseño e implementación de herramientas y técnicas de auditoría (por ejemplo: módulo integrado de auditoría) no afecta la independencia del auditor.
3.1.5. Para sustanciar y reducir el riesgo de que objetivos de control no sean satisfechos durante la auditoría, el auditor debe identificar y monitorear la competencia, autoridad e independencia del personal que participa en la revisión de los controles de sistemas de información dentro de la organización.
4 Fecha efectiva
4.1 Esta guía es efectiva para todas las auditorias de sistemas de información que comienzan en o después de la fecha de esta publicación.
SISAS N°3 - Registro de Evidencia de Auditoría
1.1. Relación con las normas
1.1.1. La norma 060.020 (evidencia) establece que “ durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente. Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia”.
1.2. Necesidad de esta guía1.2.1.El propósito de esta guía es definir la palabra “evidencia” tal como se utiliza en la norma 060.020 de las normas de auditoría de sistemas de información para direccionar el tipo y suficiencia de la evidencia de auditoría, utilizada en las auditorías de sistemas de información. Esta guía establece como el auditor de sistemas de información debería ajustarse a la norma señalada anteriormente. El ajustarse a esta guía no es obligatorio, pero el auditor de sistemas de información debería estar preparado para justificar cualquier desviación de ésta.
2. Planificación
2.1. Tipos de evidencia de auditoría
2.1.1. Cuando se planifica el trabajo de auditoría de sistemas de información, el auditor SI debe tomar en cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de confiabilidad. Por ejemplo, evidencia de auditoría obtenida de una parte independiente, es por lo general más confiable que la evidencia proporcionada por la organización que está siendo auditada. La evidencia física de auditoría es por lo general más confiable que las representaciones de un individuo. Los distintos tipos de evidencia de auditoría que el auditor SI debe considerar son: Evidencia física de auditoría Evidencia documentada de auditoría Representaciones; y Análisis
2.1.2. La evidencia física de auditoría puede incluir observación de actividades, propiedad y funciones de los sistemas de información, tales como: Un inventario de medios magnéticos en una bodega externa; o Un sistema de seguridad residente en un computador que esté en operación
2.1.3. La evidencia documentada de auditoría puede incluir: Resultado de datos extraídos; Registro de transacciones Programas registrados Facturas; y control de registro Representación de aquellas auditorías que han sido o pueden ser evidencia documentada como: Políticas y procedimientos escritos Sistemas flowcharts, y Declaración oral y escrita Los resultados del análisis de la información a través de comparaciones, cálculos e índices pueden también ser usados como evidencia de auditoría. Por ejemplo, incluye: Benchmarking entre sistemas de información en ejecución en comparación a periodos anteriores; y comparación de índices de tasas erróneas entre aplicaciones, transacciones y usuarios. Disponibilidad y evidencia de auditoría El auditor de SI debe considerar el tiempo durante el cual la información existe o está disponible para determinar la naturaleza, período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba de cumplimiento. Por ejemplo la eficiencia de auditoría procesada por Intercambio Electrónico de Datos (EDI) y Procesamiento de Imágenes en Documentos (DIP) pueden no ser recuperables después de un período específico de tiempo si los archivos se cambian o no se respaldan.
Selección de evidencia de auditoría El auditor SI debe planificar el uso de la mejor evidencia de auditoría que sea consistente con la importancia del objetivo de la auditoría y el tiempo y esfuerzo involucrado en obtener tal evidencia.2.1.4. Donde la evidencia de auditoría obtenida en la forma de representaciones orales es crítica para la opinión o conclusión de auditoría, el auditor SI debe obtener confirmación escrita de las afirmaciones. Por ejemplo, donde la única evidencia de auditoría de que los reportes de excepción se siguen es lo que dice la administración, este es el caso en que estas afirmaciones deben obtenerse por escrito.
3. Ejecución del trabajo de auditoría
3.1. Evidencia de auditoría suficiente
La evidencia de auditoría debe ser suficiente para formarse una opinión o apoyar los resultados y conclusiones del auditor. Si, en el juicio del auditor, la evidencia de auditoría no es suficiente para apoyar resultados y conclusiones, el auditor SI debe obtener evidencia de auditoría adicional. Por ejemplo un listado de programa puede no ser suficiente evidencia de auditoría hasta que se obtenga evidencia adicional para verificar que ésta representa el programa que actualmente se utiliza en el proceso de producción. Obtención de la evidencia de auditoría Los procedimientos utilizados para obtener evidencia de auditoría varían de acuerdo al sistema de información que está siendo auditado. El auditor SI debe seleccionar el procedimiento mas apropiado para el objetivo de la auditoría. Deben considerarse los siguientes procedimientos: Consultas Observaciones Inspección Confirmación; y Reejecución Los procedimientos anteriores pueden aplicarse por medio del uso de procedimientos de auditoría manual, técnicas de auditoría asistida por computador, o una combinación de ambos, por ejemplo: Un sistema que utiliza totales de controles manuales para balancear las operaciones de ingreso de datos puede proveer evidencia de auditoría de que el procedimiento de control asegura una apropiada conciliación y registro en un reporte. El auditor SI debe obtener esta evidencia de auditoría revisando y probando este reporte; Registros de transacciones detallados pueden estar disponibles solamente en un formato legible para la máquina. Lo
que requiere del auditor SI obtener evidencia de auditoría utilizando técnicas de auditoría asistidas por computadora.
3.2.Revisión GeneralEl auditor SI debe efectuar esta revisión general del sistema de información o delsistema como un todo en la medida que sea suficiente, en conjunto con las conclusiones derivadas de las otras evidencias de auditoría obtenidas, para proveer una base razonable de las conclusiones resultantes. Documentación de auditoría La evidencia de auditoría obtenida por el auditor SI debe estar apropiadamente documentada y organizada para apoyar los resultados y conclusiones del auditor SI.
4. Reporte Restricción de alcance
En aquellas situaciones donde el auditor SI crea que no es posible obtener suficiente evidencia de auditoría, debe registrar este hecho en una manera consistente con la comunicación de los resultados de auditoría en un reporte en calidad de restricción al alcance (limitación).
5. Fecha Efectiva
Esta guía es efectiva para todas las auditorías de sistemas de información que comiencen en o después de la fecha de esta publicación.
SISAS N°7 - Contenido y Formato del Informe
1.1. Relación con las normas
La norma 070.010 (contenido y formato del reporte), establece que “el auditor SI proveerá un reporte, en un formato adecuado, a las partes interesadas después de finalizado el trabajo de auditoría. El reporte de auditoría establecerá el alcance, objetivos, período de cobertura, y la naturaleza y extensión del trabajo e auditoría realizado. El reporte identificará la organización, las partes
interesadas y cualquier restricción acerca de su distribución. El reporte incluirá resultados, conclusiones, y recomendaciones y cualquier reserva o calificación que el auditor tenga respecto de la auditoría”.1.2.Necesidad de esta guía
El propósito de esta guía es describir y recomendar prácticas para preparación y emisión de un reporte de auditoría de sistemas de información (“reporte”) de acuerdo con el estándar anteriormente descrito. El ajustarse a esta guía no es obligatorio, pero el auditor debe estar preparado para justificar cualquier desviación de ella.
2. Reporte Propósito y contenido del reporte
El reporte es el medio formal para comunicar los objetivos de la auditoría, las normas de auditoría utilizadas, el alcance y resultados, conclusiones y recomendaciones de la auditoría.
2.1.Partes interesadas
En la preparación del reporte, el auditor debe considerar las necesidades de las partes interesadas, las cuales pueden ser los propios auditores, administración ejecutiva, panel de directores o su comité de auditoría y el gobierno.
2.2. Estilo y contenido
El estilo del reporte debe ser el apropiado para las partes interesadas y puede estar en forma escrito, oral u otro medio. Un reporte escrito debe identificar la organización auditada e incluir un título una firma y una fecha. El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.
2.3. Establecimiento de objetivos
El reporte debe incluir una especificación de los objetivos de la auditoría para identificar para que se llevó a cabo la auditoría. Si, en la opinión del auditor, algún objetivo de auditoría establecido en el reporte no fue satisfecho, éste hecho debe notificarse en el reporte. Alcance, naturaleza, oportunidad y extensión del trabajo de auditoría realizado El reporte debe incluir una declaración del alcance de la auditoría que describa la naturaleza, tiempo y extensión del trabajo realizado. La declaración del alcance debe identificar el área funcional de auditoría, el período de auditoría cubierto, los sistemas de información, aplicaciones o ambiente de auditoría revisado. El reporte debe identificar las circunstancias de la limitación del alcance cuando, en opinión del auditor, las pruebas y los procedimientos apropiados para conocer las normas no han sido suficientes o cuando las restricciones en el trabajo de auditoría han sido
impuestas por el auditado.2.4. Restricciones en la distribución
El reporte debe identificar al auditado e indicar la fecha de emisión de éste. Cuando sea apropiado el reporte debe especificar cuales son sólo para información y cuales destinados a un grupo como los auditores, panel de directores, gerencia y cuales son destinados a personas fuera de la institución (ejemplo, agencias de gobierno). El reporte debe también declarar cualquier restricción que haya para su distribución.
2.5. Hallazgos significativos a ser reportadosEl reporte debe incluir hallazgos significativos. Cuando un hallazgo incluye una aclaración, el auditor debe describir las condiciones, describir la causa y efecto del estado y el criterio usado para la identificación. El auditor debe también identificar el criterio organizacional, profesional y gubernamental utilizado.
2.6. Conclusión
Donde corresponde, el reporte debe expresar una conclusión que es la evaluación del auditor del área que está siendo auditada. La conclusión puede ser una evaluación general o una evaluación multiple que detalle los objetivos específicos de auditoría. Recomendaciones Donde corresponde, el reporte debe expresar recomendaciones para acciones correctivas. Las recomendaciones deben incluir los puntos encontrados.
2.7. Requisitos
El reporte debe describir cualquier reserva o calificación
2.8. Presentación lógica para su entendimiento
El formato del reporte debe reflejar una presentación lógica y organizada. El reporte debe contener suficiente información para que sea comprendido por las partes involucradas y facilitar una acción correctiva. Oportunidad del reporte El reporte debe ser editado en un tiempo y de un modo que anime a una pronta corrección. Cuando sea apropiado, el auditor debe comunicar los hallazgos significativos a las personas apropiadas antes de la edición del informe. La comunicación previa a la edición del reporte de los resultados significativos no debería alterar la intención o contenido del reporte.
2.9. Consideración de eventos subsecuentes
Antes de editar la versión final del reporte, el auditor SI debe establecer si ha habido cambios materiales en la organización o su ambiente que pudieran afectar los resultados conclusiones y recomendaciones del reporte. Cuando se identifica cualquiera de estos cambios el auditor SI debe tomar las acciones apropiadas para alertar a las partes y a los receptores del reporte acerca de los potenciales efectos de estos cambios. Ejemplos de estos eventos materiales son: Un fraude descubierto después de una revisión de auditoría de un sistema.
Un daño significativo por causa de un incendio en la efectividad de los controles.
Outsourcing de la función IT auditada. Falla en los sistemas en la implementación, retraso en la implementación o término del proyecto. Falla del principal cliente y/o proveedor, mayores litigios, o falla en la producción con consecuentes cambios en los riesgos claves del negocio. Redudancias que afectan al personal que ha estado implementando las recomendaciones.3. Etica y estándares profesionales
3.1.Identificación de los estándares
El reporte debe identificar los estándares organizacionales, profesionales y/o gubernamentales o los códigos utilizados (por ejemplo: Estándares ISACA, para la auditoría de sistemas de información) en el desempeño de la auditoría. El reporte debe identificar las excepciones significativas respecto del uso de estos estándares, las razones de no utilizarlos, y, cuando corresponda los efectos potenciales de los resultados de la auditoría.
4. Actividades de seguimientoRequerimientos de una respuesta Cuando corresponda, el auditor SI debe requerir una respuesta, que incluya las acciones que él o los receptores intenten tomar como resultado de los puntos detallados en el reporte.
5. Fecha efectiva
Esta guía es efectiva para todas las auditorías de sistemas de información que comiencen en o después de la fecha de esta publicación.
SISAS N°9 - Uso de Técnicas Asistidas por Computador – CAATs
1.1. Relación con los estándares
La norma 060.020 (evidencia) establece que “ durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente.
Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia”.La norma 050.010 (planificación de auditoría) establece que el auditor de sistemas de información debe proponer los sistemas de información para el trabajo de auditoría para dirigir los objetivos de ésta y cumplir con las normas profesionales de auditoría.
La norma 030.020 (Cuidado profesional adecuado) establece que “El cuidadoprofesional adecuado y la observación de las normas de auditorías deben ser utilizadas en todos los aspectos de los trabajos del auditor de sistemas de información.1.2. Necesidad de esta guía
Las técnicas de auditoría asistidas por computador son de suma importancia para el auditor SI cuando realiza una auditoría. CAAT´s incluyen distintos tipos de herramientas y de técnicas, las que más se utilizan son los softwares de auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. CAAT´s se pueden utilizar para realizar varios procedimientos de auditoría incluyendo: Prueba de los detalles de operaciones y saldosProcedimientos de revisión analíticos, Pruebas de cumplimiento de los controles generales de sistemas de información, Pruebas de cumplimiento de los controles de aplicación. CAAT´s pueden generar una gran parte de la evidencia
de la auditoría que provienen de las auditorías de sistemas de información ycomo consecuencia el auditor de sistemas de información debe planificar cuidadosamente y mostrar el cuidado profesional debido cuando se utiliza los CAAT. Esta guía muestra como el auditor de sistemas de información debe cumplir con las normas mencionadas. El ajustarse a esta guía no es obligatorio, pero el auditor de sistema de información debe esta preparado para justificar cualquier incumplimiento a ésta.2. Planificación
2.1. Los factores a tomar en cuenta cuando se toma la decisión de utilizar CAAT Cuando se planifica la auditoría, el auditor de sistemas de información debe considerar una combinación apropiada de las técnicas manuales y las técnicas de auditoría asistidas por computador. Cuando se determina utilizar CAAT los factores a considerar son los siguientes:
Conocimientos computacionales, pericia y experiencia del auditor de sistemas de información. Disponibilidad de los CAAT y de los sistemas de información.
Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas manuales Restricciones de tiempo
Pasos para la planificación de los CAAT
Los pasos más importantes que el auditor de sistemas de información debe considerar cuando prepara la aplicación de los CAAT’s seleccionados son los siguientes: Establecer los objetivos de auditoría de los CAAT Determinar accesibilidad y disponibilidad de los sistemas de información, los programas/sistemas y datos de la organización. Definir los procedimientos a seguir (por ejemplo: una muestra estadística, recálculo, confirmación, etc). Definir los requerimientos de output. Determinar los requerimientos de recursos
Documentar los costos y los beneficios esperados Obtener acceso a las facilidades de los sistemas de información de la organización, sus programas/sistemas y sus datos. Documentar los CAAT’s a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar . Acuerdo con el cliente (auditado) Los archivos de datos, tanto como los archivos de operación detallados (transaccionales, por ejemplo), a menudo son guardados sólo por un período corto, por lo tanto, el auditor de sistemas de información debe arreglarque estos archivos sean guardados por el marco de tiempo de la auditoría.
Organizar el acceso a los sistemas de información de la organización, programas/sistemas y datos con anticipación para minimizar el efecto en elambiente productivo de la organización.El auditor de sistemas de información debe evaluar el efecto que los cambios a los programas/sistemas de producción puedan tener en el uso de los CAAT.
Cuando el auditor de sistemas de información lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAAT’s, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de información. Probando los CAAT’s El auditor de sistemas de información debe obtener una garantía razonable de la integridad, confiabilidad, utilidad y seguridad de los CAAT’s por medio de una planificación, diseño, prueba, procesamiento y revisión adecuados de la documentación. Esto debe ser hecho antes de depender de los CAAT’s. La naturaleza, el tiempo y extensión de las pruebas depende de la disponibilidad y la estabilidad de los CAAT’s.La seguridad de los datos y de los CAAT’s Los CAAT’s pueden ser utilizados para extraer información de programas/sistemas y datos de producción confidenciales. El auditor de sistemas de información debe salvaguardar la información de los programas/sistemas y los datos de producción con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organización a la cual pertenecen los datos. El auditor de sistemas de información debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAAT’s. Por ejemplo, debe incluir una revisión del mantenimiento de los programas ycontroles de los cambios de programa de auditoría para determinar que sólo se hacen los cambios autorizados al CAAT.
Cuando los CAAT están en un ambiente que no está bajo el control del auditor de sistemas de información. Un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT.
Cuando se hacen cambios a los CAATel auditor de sistemas de información debe asegurarse de su integridad, confiabilidad, utilidad y seguridad por medio de una planificación, diseño, prueba, procesamiento y revisión apropiados de la documentación, antes de
confiar en ellos.3. Realización de la auditoría
3.1. Recolectar evidencia de la auditoría
El uso de los CAAT debe ser controlado por el auditor de sistemas de información para asegurar razonablemente que se cumple con los objetivos de la auditoría y las especificaciones detalladas de los CAAT . El auditor debe:
Realizar una conciliación de los totales de control; Realizar una revisión independiente de la lógica de los CAAT Realizar una revisión de los controles generales de los sistemas de información de la organización que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios enlos programas y el acceso a los archivos de sistema, programa y/o datos).
3.2. El software de auditoría generalizado
Cuando el auditor de sistema de información utiliza el software de auditoría generalizado para acceder a los datos de producción, se debe tomar las medidas apropiadas para proteger la integridad de los datos de la organización.
Además, el auditor de sistemas de información tendrá que estar involucrado en el diseño del sistema y las técnicas que se utilizaron para el desarrollo y mantención de los programas/sistemas de aplicación de la organización.
3.3. Software utilitarioCuando el auditor de sistemas de información utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervención no planificada durante el procesamiento y que éste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisión del log de la consola del sistema o de la información de contabilidad del sistema. El auditor de sistemas de información también debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organización, puesto que estos utilitarios podrían fácilmente dañar el sistema y sus archivos.
3.4. Datos de prueba
Cuando el auditor de sistemas de información utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que ésta técnica no evalúa los datos de producción en su ambiente real. El auditor de sistemas de información también debe estarconsiente de que el análisis de los datos de prueba pueden resultar extremadamente complejos y extensos, dependiendo de el número de operaciones procesadas, el número de programas sujetos a pruebas y la complejidad de los programas/sistemas.
3.5. Localización y maping del software de aplicación
Cuando el auditor de sistemas de información utiliza el software de aplicación para sus pruebas CAT, debe confirmar que el programa fuente que está evaluando es lo mismo que se utiliza actualmente en producción.
El auditor de sistemas de información debe estar consiente de que el software de aplicación sólo indica el potencial de un proceso erróneo, no evalúa los datos de producción en su ambiente real. Los sistemas de auditoría especializados Cuando el auditor de sistemas de información utiliza los sistemas de auditoría especializados debe conocer profundamente las operaciones del sistema par confirmar que las sendas de decisión seguidas son apropiadas para el ambiente/situación de auditoría.
4. La documentación de los CAAT’s Papeles de trabajo
Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT’s deben estar registrados en los papeles de trabajode la auditoría. Las conclusiones acerca del funcionamiento del sistema deinformación y de la confiabilidad de los datos deben estar registrados en los papeles de trabajo de la auditoría. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de información. Específicamente los papeles de trabajo deben contener la documentación suficiente para describir la aplicación de los CAAT incluyendo los detalles que se mencionan en los párrafos siguientes.
Planificación La documentación debe incluir lo siguiente:
Los objetivos de los CAAT Los CAAT a utilizar
Los controles a implementar
El personal involucrado, el tiempo que tomará y los costos.
Ejecución
La documentación debe incluir: Los procedimientos de la preparación y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lógica) y los outputs (ejemplo: archivos log, reportes). Evidenciade auditoría La documentación debe incluir lo siguiente:
El output producido Unadescripción del trabajo de análisis de auditoría que se realizó para el output.
Resultado de la auditoría Conclusiones de la auditoría Otros La documentación debe incluir lo siguiente: Las recomendaciones de la auditoría5. Informe/Reporte Descripción de los CAAT
La sección del informe donde se tratan los objetivos, la extensión y metodología debe incluir una clara descripción de los CAAT utilizados. Esta descripción no debe ser muy detallada, pero debe proporcionar una buena visión general al lector. La descripción de los CAAT utilizados también debe ser incluida en elinforme donde se discute el hallazgo específico relacionado con el uso de los
CAAT. Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la sección del informedonde se tratan los objetivos, extensión y metodología y una referencia anexa para el lector, con una descripción más detallada.6. Fecha efectiva
6.1. Esta pauta es efectiva para todos los auditores de los sistemas de información que comiencen durante o después (de la fecha de emisión).
