03 El propósito, responsabilidad, autoridad y rendición de cuentas de la función de auditoría de
sistemas de información o de las asignaciones de auditoría de sistemas de información deben
documentarse de manera apropiada en un estatuto de auditoría o carta de compromiso. 04 El
estatuto de auditoría o la carta de compromiso deben ser aceptados y aprobados en el nivel
apropiado dentro de la organización.
03 Independencia profesional En todos los aspectos relacionados con la auditoría, el auditor de SI debe ser
independiente del auditado, tanto en actitud como en apariencia. 04 Independencia organizacional La función de
auditoría de SI debe ser independiente del área o actividad que se está revisando para permitir una conclusión
objetiva de la tarea que se audita.
03 El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al realizar tareas de auditoría. 04
El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares
profesionales de auditoría aplicables al realizar tareas de auditoría.
03 El auditor de SI debe ser profesionalmente competente y tener las destrezas y los conocimientos para
realizar la tarea de auditoría. 04 El auditor de SI debe mantener competencia profesional por medio de una
apropiada educación y capacitación profesional contínua.
03 El auditor de SI debe planear la cobertura de la auditoría de sistemas de información para cubrir los
objetivos de la auditoría y cumplir con las leyes aplicables y las normas profesionales de auditoría. 04 El
auditor de SI debe desarrollar y documentar un enfoque de auditoría basado en riesgos. 05 El auditor de SI
debe desarrollar y documentar un plan de auditoría que detalle la naturaleza y los objetivos de la auditoría,
los plazos y alcance, así como los recursos requeridos. 06 El auditor de SI debe desarrollar un programa y/o
plan de auditoría detallando la naturaleza, los plazos y el alcance de los procedimientos requeridos para
completar la auditoría.
03 Supervisión—El personal de auditoría de SI debe ser supervisado para brindar una garantía razonable de
que se lograrán los objetivos de la auditoría y que se cumplirán las normas profesionales de auditoría
aplicables. 04 Evidencia—Durante el transcurso de la auditoría, el auditor de SI debe obtener evidencia
suficiente, confiable y pertinente para alcanzar los objetivos de auditoría. Los hallazgos y conclusiones de la
auditoría deberán ser soportados mediante un apropiado análisis e interpretación de dicha evidencia. 05
Documentación—El proceso de auditoría deberá documentarse, describiendo las labores de auditoría
realizadas y la evidencia de auditoría que respalda los hallazgos y conclusiones del auditor de SI.
03 El auditor de SI debe suministrar un informe, en un formato apropiado, al finalizar la auditoría. El
informe debe identificar la organización, los destinatarios previstos y respetar cualquier restricción con
respecto a su circulación. 04 El informe de auditoría debe indicar el alcance, los objetivos, el período de
cobertura y la naturaleza, plazo y extensión de las labores de auditoría realizadas. 05 El informe debe indicar
los hallazgos, conclusiones y recomendaciones, así como cualquier reserva, calificación o limitación que el
auditor de SI tuviese en cuanto al alcance de la auditoría. 06 El auditor de SI debe tener evidencia de auditoría
suficiente y apropiada para respaldar los resultados reportados. 07 Al emitirse, el informe del auditor de SI
debe ser firmado, fechado y distribuido de acuerdo con los términos del estatuto de auditoría o carta de
compromiso.
03 Después de informar/reportar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar y
evaluar la información relevante para concluir si la gerencia tomó las acciones apropiadas de manera
oportuna.
03 Al planificar y realizar la auditoría para reducir el riesgo de auditoría a un nivel bajo, el auditor de SI debe
tener en cuenta el riesgo de irregularidades y acciones ilegales. 04 El auditor de SI debe mantener una
actitud de escepticismo profesional durante la auditoría, reconociendo la posibilidad de que podrían existir
declaraciones materialmente incorrectas debido a irregularidades y acciones ilegales, independientemente de
su propia evaluación del riesgo de irregularidades y acciones ilegales. 05 El auditor de SI debe obtener un
entendimiento de la organización y su entorno, incluidos los controles internos. 06 El auditor de SI debe
obtener evidencia de auditoría suficiente y relevante para determinar si la gerencia u otras personas dentro
de la organización tienen conocimientos de cualquier irregularidad y acción ilegal real, sospechada o alegada.
07 Al realizar procedimientos de auditoría para obtener un entendimiento de la organización y su entorno, el
auditor de SI debe c
Estándar 03 El auditor de SI debe revisar y evaluar si la función de SI está alineada con la misión, visión,
valores, objetivos y estrategias de la organización. 04 El auditor de SI debe revisar si la función de SI tiene
una declaración clara en cuanto al desempeño esperado por la empresa (eficacia y eficiencia) y evaluar su
cumplimiento. 05 El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el desempeño de
los procesos administrativos. 06 El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos
legales, ambientales y de calidad de la información, así como de los requisitos fiduciarios y de seguridad. 07 El
auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la función de SI. 08 El auditor de SI
debe revisar y evaluar el ambiente de control de la organización. 09 El auditor de SI debe revisar y evaluar los
riesgos que pueden afectar de manera adversa el entorno de SI.
03 El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de riesgos al desarrollar el
plan general de auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de
auditoría de SI. 04 Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos
relevantes al área bajo revisión.
03 El auditor de SI debe considerar la materialidad de la auditoría y su relación con el riesgo de auditoría a la
vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditoría. 04 Mientras
planifica la auditoría, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si
tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad
material en el sistema de información. 05 El auditor de SI debe considerar el efecto acumulativo de las
deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una
deficiencia significativa o debilidad material en el sistema de información. 06 El informe del auditor de SI
debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, así
como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.
03 El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para
realizar la auditoría. 04 El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales,
competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros
expertos, antes de su contratación. 05 El auditor de SI debe evaluar, revisar y calificar el trabajo de otros
expertos como parte de la auditoría y concluir el grado de utilidad y la fiabilidad del trabajo del experto. 06 El
auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para
permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoría.
Dicha conclusión debe documentarse claramente. 07 El auditor de SI debe aplicar procedimientos de prueba
adicionales para lograr una evidencia de auditoría suficiente y apropiada en circunstancias en las que el
trabajo de otros expertos no l
03 El auditor de SI debe obtener evidencias de auditoría suficientes y apropiadas para llegar a conclusiones
razonables sobre las que basar los resultados de la auditoría. 04 El auditor de SI debe evaluar la suficiencia
de las evidencias de auditoría obtenidas durante la misma.
03 El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno de control
interno de la organización. 04 El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto
al diseño, la implementación, la operación y la mejora de controles de TI.
03 El auditor de SI debe evaluar los controles aplicables, y cotejar los riesgos al revisar entornos de comercio
electrónico, para asegurar que las transacciones de comercio electrónico están correctamente controladas.