El día martes estuvimos viendo el concepto de independencia del Auditor y lo que ISACA establece y dimos algunos ejemplos de como la Independencia del auditor de SI puede llegar a ser comprometida. Aveces se pide la colaboración a Auditoría en una implementación de sistemas y se manda al auditor de Sistemas a "certificar el proceso" , Puede o no puede ir el Auditor a formar parte del este proyecto?
Tambien vimos Materialidad , lastima que no todos llevaron el material de Estudio pero pueden irlo leyendo.
A continuación lo más relevante en ambos estándares. Recuerden que vamos a tener que orientar a los Auditores de Sistemas a estas normas que son congruentes con las de Auditoría.
S2
Independencia
03 Independencia
profesional
En todos los aspectos relacionados
con la auditoría, el auditor de SI debe ser independiente del
auditado, tanto en actitud como en apariencia.
04 Independencia
organizacional
La función de auditoría
de SI debe ser independiente del área o actividad que se
está revisando para permitir una conclusión objetiva de
la tarea que se audita.
Comentario
05 El estatuto de auditoría o la carta de
compromiso debe considerar la independencia y la responsabilidad de
la función de auditoría.
06 El auditor de SI debe ser, y aparentar ser,
independiente tanto en actitud como en apariencia en todo
momento.
07 Si la independencia se ve menoscabada de hecho
o en apariencia, los detalles de dicho menoscabo deben informarse a
las partes interesadas.
08 Dentro de la estructura organizacional, el
auditor de SI debe ser independiente del área que se va a
auditar.
09 La independencia debe ser evaluada de manera
regular por el auditor de SI, por la gerencia y por el comité
de auditoría, en caso de que éste se haya
establecido.
10 A menos que lo prohíban otras normas
profesionales u organizaciones regulatorias, normativas o
legisladoras, no es un requisito que el auditor de SI sea
independiente, o parezca serlo, cuando la naturaleza de su
participación en la iniciativa de SI es en un rol de no
auditor o desempeña funciones que no son de
auditoría.
S12 Materialidad de la
Auditoría
Estándar
03 El auditor de SI debe
considerar la materialidad de la auditoría y su relación
con el riesgo de auditoría a la vez que determina la
naturaleza, los plazos y el alcance de los procedimientos de
auditoría.
04 Mientras planifica la
auditoría, el auditor de SI debe considerar las posibles
debilidades o la ausencia de controles, y si tales debilidades o
ausencias de controles pueden ocasionar una deficiencia importante
o una debilidad material en el sistema de
información.
05 El auditor de SI debe
considerar el efecto acumulativo de las deficiencias o debilidades
menores de control y la ausencia de controles que pueden traducirse
en una deficiencia significativa o debilidad material en el sistema
de información.
06 El informe del auditor de SI
debe divulgar los controles ineficaces o la ausencia de controles,
y el significado de estas deficiencias, así como la
posibilidad de que estas debilidades ocasionen una deficiencia
importante o debilidad material.
Recuerden el concepto Causa y Efecto de la debilidad de un control
Guía adicional
07 El riesgo de auditoría es el riesgo de que
el auditor de SI llegue a una conclusión incorrecta
basándose en los hallazgos de auditoría. El auditor de SI
también debe tener conciencia de los tres componentes del
riesgo de auditoría, a saber: el riesgo inherente, el riesgo
del control y el riesgo de detección. Consulte G13, Uso de
la evaluación de riesgos en la planificación de
auditoría, para obtener una explicación más
detallada de los riesgos.
08 Mientras planifica y realiza la auditoría,
el auditor de SI debe intentar reducir el riesgo de auditoría
a un nivel aceptablemente bajo y cumplir con los objetivos de la
auditoría. Esto se logra mediante la evaluación apropiada
de SI y de los controles relacionados.
09 La debilidad en el control se considera
“material” si la ausencia del mismo ocasiona que no
exista una garantía razonable de que se cumplirá con el
objetivo de control.
10 Una debilidad clasificada como material implica
lo siguiente:
Los controles no están
establecidos y/o los controles no son utilizados y/o los controles
son inadecuados.
Puede producir un
escalamiento.
11 Una debilidad material es una deficiencia
importante o una combinación de deficiencias importantes que
originan, con una probabilidad más que remota, que un evento
indeseado no sea prevenido o detectado.
12 Existe una relación inversa entre
materialidad y el nivel de riesgo de auditoría aceptable para
el auditor de SI; es decir, cuanto mayor sea el nivel de
materialidad, menor será la capacidad de aceptación del
riesgo de auditoría, y viceversa. Esto permite al auditor de
SI determinar la naturaleza, los plazos y el alcance de los
procedimientos de auditoría. Por ejemplo, al planificar un
procedimiento específico de auditoría, el auditor de SI
determina que la materialidad es menor, aumentando por lo tanto el
riesgo de auditoría. El auditor de SI querrá entonces
compensarlo ya sea extendiendo la prueba de los controles (reducir
la evaluación del riesgo del control) o extendiendo los
procedimientos de pruebas sustantivas (reducir la evaluación
del riesgo de detección).
13 Al determinar si una deficiencia de control o
una combinación de deficiencias de control representan una
deficiencia importante o una debilidad material, el auditor de SI
deberá evaluar el efecto de los controles compensatorios y si
los mismos resultan eficaces.
14 La evaluación del auditor de SI de la
materialidad y del riesgo de auditoría puede variar de vez en
cuando, dependiendo de las circunstancias y el entorno
cambiante.
15 El auditor de SI debe consultar la Directriz de
Auditoría de SI **G6 Conceptos de materialidad de la
auditoría de sistemas de
información.
Los auditores de SI también deben entender el concepto de materialidad, es decir, la importancia relativa de los hallazgos según el impacto en el negocio.
**1 G6 Conceptos de materialidad para la Auditoría de Sistemas de Información, con efecto a partir del 1 de mayo de 2008
- A diferencia de los auditores financieros, los auditores de SI requieren de un criterio distinto para medir materialidad. Los auditores financieros miden normalmente la materialidad en términos monetarios, dado que lo que auditan también se mide y se reporta en términos monetarios. Los auditores de SI realizan auditorías normalmente de aspectos no financieros, por ejemplo, controles de acceso físico, controles de acceso lógico, controles de cambios de programas, y sistemas para la gerencia de personal, control de manufactura, diseño, control de calidad, generación de contraseñas, producción de tarjetas de crédito y atención al paciente. Por consiguiente, los auditores de SI pueden necesitar una guía sobre cómo debe evaluarse la materialidad para planificar sus auditorías en forma efectiva, cómo deben concentrar sus esfuerzos en las
áreas de alto riesgo y cómo evaluar la severidad de cualquier error o debilidad encontrada.
áreas de alto riesgo y cómo evaluar la severidad de cualquier error o debilidad encontrada.
- Esta directriz proporciona una guía para aplicar los estándares sobre la materialidad de la auditoría de SI. El auditor de SI debe tenerla en cuenta para determinar cómo implementar los estándares anteriormente citados, usar su juicio profesional al aplicarla y estar preparado para justificar cualquier diferencia.
No hay comentarios:
Publicar un comentario
Has tus comentarios