- Preparar un Estatuto de la funcin de auditora para definir las actividades de la funcin interna de auditora y aseguramiento de SI con los detalles suficientes que comuniquen La autoridad, el propsito, las responsabilidades y las limitaciones de la funcin de auditora y aseguramiento de SI La Independencia y la responsabilidad de la funcin de auditora y aseguramiento de SI Las funciones y las responsabilidades del auditado durante la asignacin de auditora o la asignacin de aseguramiento de SI Los estndares profesionales que el profesional de auditora y aseguramiento de SI respetar durante la realizacin de la asignacin de auditora y aseguramiento de SI - Revisar el estatuto de la funcin de auditora al menos una vez por ao, o con ms frecuencia si cambian las responsabilidades. - Actualizar el estatuto de la funcin de auditora segn sea necesario para asegurar que el propsito y las responsabilidades hayan sido, y continen, documentadas de manera adecuada. - Comunicar formalmente el estatuto de la funcin de auditora al auditado para cada asignacin de auditora y aseguramiento de SI. 2001 ESTATUTO DE AUDITORA - El propsito de esta gua es ayudar a los profesionales de auditora y aseguramiento de SI en la preparacin del Estatuto de auditora. El Estatuto de auditora define el propsito, responsabilidad, autoridad y responsabilidad final de la funcin de auditora y aseguramiento de SI. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua para determinar cmo implementar el estndar, uso de su juicio profesional en su aplicacin, estar preparado para justificar cualquier desvo y buscar guas adicionales si se considera necesario. 1002 INDEPENDENCIA ORGANIZACIONAL La funcin de auditora y aseguramiento de SI debe: - Presentar reportes a un nivel dentro de la organizacin auditada que brinde Independencia y permita que la funcin de auditora y aseguramiento de SI lleve a cabo sus responsabilidades sin interferencia. - Divulgar los detalles del deterioro a las partes apropiadas si la independencia se deteriora de hecho o en apariencia. - Evitar funciones diferentes de la auditora en las iniciativas de SI que requieran la asuncin de responsabilidades de direccin, ya que dichas funciones podran impedir una independencia futura. - Abordar la independencia y la responsabilidad de la funcin de auditora en su estatuto y/o carta de asignacin de auditora. 2002 INDEPENDENCIA ORGANIZACIONAL - El propsito de esta gua es direccionar la independencia de la funcin de auditora y aseguramiento de SI en la empresa. Se consideran tres aspectos importantes: La posicin de la funcin de auditora y aseguramiento de SI dentro de la empresa. El nivel al que reporta la funcin de auditora y aseguramiento de SI dentro de la empresa. El desempeo de servicios distintos de auditora dentro de la empresa por la gerencia y profesionales de auditora y aseguramiento de SI. - Esta gua ofrece orientacin sobre la evaluacin de la independencia organizacional y detalla la relacin entre la independencia organizacional y la carta y plan de auditora. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua para determinar cmo implementar el estndar, usar su juicio profesional en su aplicacin, estar preparado para justificar cualquier desviacin y buscar orientacin adicional si lo considera necesario. 1004 EXPECTATIVA RAZONABLE Los profesionales de auditora y aseguramiento de SI deben: - Realizar la asignacin de auditora o aseguramiento de SI slo si el trabajo puede completarse satisfactoriamente en conformidad con los estndares profesionales. - Realizar la asignacin de auditora o aseguramiento de SI slo si el tema de la asignacin puede evaluarse con los criterios relevantes. - Revisar el alcance de la asignacin de auditora o aseguramiento de SI para determinar que est claramente documentada y permite que se llegue a una conclusin sobre el tema. - Identificar y abordar cualquier restriccin sobre la asignacin que se realiza, incluyendo el acceso a la informacin apropiada, relevante y oportuna. - Considerar si el alcance es suficiente para permitir que se exprese la Opinin del auditor sobre el tema. Las limitaciones del alcance pueden ocurrir cuando la informacin requerida para realizar la asignacin no est disponible, cuando el plazo incluido en la asignacin del aseguramiento del auditor de SI no es suficiente o cuando la direccin intenta limitar el alcance de las reas seleccionadas. En estos casos, pueden considerarse otros tipos de asignaciones, tales como respaldar declaraciones financieras auditadas, revisiones de controles, cumplimiento de los estndares y las prcticas requeridas o cumplimiento con acuerdos, licencias, legislacin y regulacin. 2004 EXPECTATIVA RAZONABLE - El propsito de esta gua es asistir a los profesionales de auditora y aseguramiento de SI en implementar el principio de expectativa razonable en la ejecucin de encargos de auditora. Las principales caractersticas sobre las que los profesionales deben tener expectativa razonable son: El trabajo de auditora se puede realizar de acuerdo con estas normas, otros estndares o reglamentos aplicables, y dar lugar a una opinin o conclusin profesional. El alcance del trabajo de auditora permite expresar una opinin o conclusin sobre el sujeto. La administracin les proporcionar informacin apropiada, relevante y oportuna requerida para realizar el trabajo de auditora. - Esta gua ayuda tambin a los profesionales de auditora y aseguramiento de SI a abordar las limitaciones del alcance y proporciona orientacin para aceptar un cambio en los trminos. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua cuando determinen como implementar el estndar, uso de juicio profesional en su aplicacin, estar preparado para justificar cualquier desvo y buscar orientacin adicional si se considera necesario. 1201 PLANIFICACIN DE LA ASIGNACIN Los profesionales de auditora y aseguramiento de SI deben: - Obtener un entendimiento sobre la actividad que se audita. El alcance del conocimiento requerido debe ser determinado por la naturaleza de la empresa, su entorno, las reas de riesgo y los objetivos de la asignacin. - Considerar la direccin y orientacin del tema, segn lo permitido mediante la legislacin, las regulaciones, las normas, las directivas y los lineamientos emitidos por el gobierno o la industria. - Realizar una evaluacin de riesgo que brinde un aseguramiento razonable de que todos los puntos materiales sean cubiertos de manera adecuada durante la asignacin. Luego, se pueden desarrollar estrategias de auditora, niveles de materialidad y requerimientos de los recursos. - Desarrollar el plan de proyecto de la asignacin utilizando las metodologas de gestin de proyectos adecuadas para asegurar que las actividades se mantengan encaminadas y dentro del presupuesto. - Incluir en el plan temas especficos a la asignacin, tales como: Disponibilidad de los recursos con la experiencia, las habilidades y el conocimiento apropiados Identificacin de las herramientas necesarias para recopilar evidencia, realizando pruebas y preparando/resumiendo informacin para la generacin de los reportes Criterios de evaluacin que se utilizan Requerimientos para la generacin de reportes y distribucin - Documentar el plan de proyecto de la asignacin de auditora o aseguramiento de SI para indicar claramente: Objetivo(s), alcance, cronograma y productos Recursos Funciones y responsabilidades reas de riesgo identificadas y su impacto en el plan de la asignacin Herramientas y tcnicas a utilizar Entrevistas de averiguacin de datos a realizar Informacin relevante a obtener Procedimientos para verificar o validar la informacin obtenida y su uso como evidencia Suposiciones sobre el enfoque, la metodologa, los procedimientos y las conclusiones y resultados anticipados - Programar la asignacin en relacin al plazo, la disponibilidad y otros compromisos y requerimientos de la direccin y el auditado, en la medida de lo posible. - Ajustar el plan de proyecto durante la asignacin de auditora o aseguramiento de SI para abordar asuntos que surjan durante la asignacin, como nuevos riesgos, suposiciones incorrectas o hallazgos de procedimientos ya realizados. - Para asignaciones internas: Comunicar el estatuto de la funcin de auditora al auditado; cuando sea necesario, utilizar una carta de asignacin de auditora o equivalente para aclarar ms o confirmar la participacin en asignaciones especficas Comunicar el plan al auditado para que el auditado est totalmente informado y pueda proporcionar el acceso apropiado a individuos, documentos y otros recursos, cuando se requiera - Para asignaciones externas: Preparar una carta de asignacin de auditora diferente para cada asignacin de auditora y aseguramiento de SI externa Preparar un plan de proyecto para cada asignacin de auditora y aseguramiento de SI externa. El plan debe, como mnimo, documentar el(los) objetivo(s) y el alcance de la asignacin. 2201 PLANIFICACIN DE LA ASIGNACIN - Esta gua proporciona ayuda a los profesionales de auditora y aseguramiento de SI. La planificacin adecuada ayuda a garantizar que se dedica la atencin adecuada a las reas importantes de la auditora, se identifican y resuelven los problemas potenciales de manera oportuna, y que el trabajo de auditora est organizado adecuadamente, gestionado y realizado de una forma efectiva y eficaz. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua para determinar cmo implementar el estndar, uso del juicio profesional en su aplicacin, estar preparados para justificar cualquier desviacin y buscar asesoramiento adicional si se considera necesario. 1203 DESEMPEO Y SUPERVISION Los profesionales de auditora y aseguramiento de SI deben: - Asignar a miembros del equipo de modo que coincidan sus habilidades y experiencia con las necesidades de la asignacin. - Agregar recursos externos al equipo de auditora de SI, cuando sea apropiado, y asegurar que su trabajo sea supervisado correctamente. - Gestionar las funciones y las responsabilidades de los miembros del equipo de auditora de SI especficos durante la asignacin, abordando como mnimo: Las funciones de ejecucin y revisin La responsabilidad para designar la metodologa y el enfoque Crear programas de auditora o aseguramiento Realizar el trabajo Enfrentar asuntos, preocupaciones y problemas a medida que surgen Documentar y aclarar los hallazgos Escribir el reporte - Hacer que cada tarea de la asignacin sea ejecutada por un miembro(s) del equipo revisada por otro miembro del equipo apropiado. - Utilizar la mejor evidencia de auditora alcanzable. Debe ser consistente con la importancia del objetivo de la auditora y el tiempo y esfuerzo involucrados para obtener la evidencia. - Obtener evidencia adicional si, a criterio del profesional, la evidencia obtenida no cumple con los criterios de ser suficientes y apropiados para formular una opinin o respaldar los hallazgos y las conclusiones. - Organizar y documentar el trabajo realizado durante la asignacin, despus de los procedimientos predefinidos aprobados y documentados. - Incluir en la documentacin: Objetivos de la auditora y alcance del trabajo, el programa de auditora, los pasos de auditora realizados, la evidencia recopilada, los hallazgos, conclusiones y recomendaciones Detalle suficiente para permitir que una persona informada y prudente vuelvan a realizar las tareas realizadas durante la asignacin y alcancen la misma conclusin Identificacin de quin realiz cada tarea y sus funciones al preparar y revisar la documentacin La fecha en que la documentacin fue preparada y revisada - Obtener las manifestaciones escritas relevantes del auditado que claramente detallen las reas crticas de la asignacin, los problemas que hayan surgido y su resolucin, y las afirmaciones realizadas por el auditado. - Determinar que las manifestaciones del auditado incorporan la firma y la fecha del auditado para indicar el reconocimiento de sus responsabilidades con respecto a la asignacin. - Documentar y conservar en los papeles de trabajo cualquier manifestacin recibida durante la realizacin de la asignacin, sea escrita u oral. 2205 EVIDENCIA - El propsito de esta gua es proporcionar ayuda a los profesionales de auditora y aseguramiento de SI a obtener evidencia suficiente y apropiada, evaluar la evidencia recibida y preparar la documentacin de auditora apropiada. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua para determinar cmo implementar el estndar, uso de su juicio profesional en su aplicacin, estar preparado para justificar cualquier desvo y buscar guas adicionales si se considera necesario. 1207 IRREGULARIDADES Y ACTOS ILEGALES Los profesionales de auditora y aseguramiento de SI deben: - Reducir el riesgo de auditora a un nivel aceptable en la planificacin y realizacin de la asignacin al: Conocer que podran existir errores materiales, deficiencias de control o falsas declaraciones debido a irregularidades o actos ilegales, independientemente de la evaluacin de riesgo de irregularidades y actos ilegales Obtener un entendimiento de la empresa y su entorno, que incluye controles internos que pretenden evitar o detectar irregularidades y actos ilegales que sean relevantes para el tema, el alcance y los objetivos de la asignacin Obtener evidencia suficiente y relevante para determinar si la direccin u otras personas dentro de la empresa poseen conocimientos de cualquier irregularidad y acto ilegal real, sospechado o alegado. - Considerar relaciones inusuales o inesperadas que pueden indicar un riesgo de errores materiales, deficiencias de control o falsas declaraciones debido a irregularidades y actos ilegales al realizar los procedimientos de la auditora. - Disear y realizar procedimientos para probar la adecuacin de los controles internos y el riesgo de que la direccin no respete los controles que pretenden evitar o detectar irregularidades y actos ilegales. - Evaluar si los errores identificados, las deficiencias de control o las falsas declaraciones pueden ser indicios de una Irregularidad o acto ilegal. Si existiera dicho indicio, considerar las implicaciones en relacin a otros aspectos de la asignacin y, en particular, las representaciones de la direccin. - Obtener manifestaciones escritas de la direccin al menos una vez al ao o, ms a menudo, segn la asignacin, para: Reconocer la responsabilidad de la direccin en el diseo y la implementacin de controles internos que prevengan y detecten irregularidades o actos ilegales. Divulgar los resultados pertinentes de cualquier evaluacin de riesgo que indique que puedan existir errores, deficiencias de control o falsas declaraciones como resultado de una irregularidad o acto ilegal. Divulgar el conocimiento de la direccin sobre irregularidades y actos ilegales que afectan a la empresa en relacin a la direccin y los empleados que tienen funciones significativas en el control interno. Divulgar el conocimiento de la direccin sobre cualquier irregularidad y acto ilegal sospechada o alegada que afecte a la empresa segn lo comunican los empleados, ex empleados, reguladores y otros. - Comunicar, de manera oportuna, a: El nivel apropiado de direccin sobre cualquier informacin identificada u obtenida que pudiera existir una irregularidad material o acto ilegal. Los responsables del gobierno sobre cualquier irregularidad material y actos ilegales que involucren a la direccin o los empleados que tengan funciones significativas en el control interno. - Presentar reportes a los responsables del gobierno cualquier sobre cualquier debilidad material en el diseo y la implementacin de controles internos que pretenden prevenir y detectar cualquier irregularidad y acto ilegal que sea identificado durante la asignacin, incluso si se encuentran fuera del alcance. - Considerar los requerimientos de reportes profesionales y legales aplicables en las circunstancias. - Considerar retirarse de la asignacin si los errores materiales, las deficiencias de control, las falsas declaraciones o los actos ilegales afectan el desempeo continuo de la asignacin. - Documentar todas las comunicaciones, planificacin, resultados, evaluaciones y conclusiones relacionadas con las irregularidades materiales y los actos ilegales que han sido notificadas a la direccin, los responsables del gobierno, reguladores y otros. 2207 ACTOS IRREGULARES E ILEGALES - El propsito de esta gua es proporcionar ayuda a los profesionales de auditora y aseguramiento de SI de cmo manejar las irregularidades y actos ilegales. - La gua detalla las responsabilidades tanto de la gerencia como de los profesionales de auditora y aseguramiento de SI respecto a las irregularidades y actos ilegales. Asimismo proporciona ayuda de cmo manejar las irregularidades y actos ilegales durante la planificacin y realizacin del trabajo de auditora. Finalmente, la gua sugiere buenas prcticas para reporte interno y externo sobre las irregularidades y actos ilegales. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua para determinar cmo implementar el estndar, uso de su juicio profesional en su aplicacin, estar preparado para justificar cualquier desvo y buscar guas adicionales si se considera necesario. 1401 REPORTES Los profesionales de auditora y aseguramiento de SI deben: - Obtener las manifestaciones escritas relevantes del auditado que claramente detallen las reas crticas de la asignacin, los problemas que hayan surgido y su resolucin, y las afirmaciones realizadas por el auditado. - Determinar que las manifestaciones del auditado incorporan la firma y la fecha el auditado para indicar el reconocimiento de las responsabilidades del auditado con respecto a la asignacin. - Documentar y conservar en el papel de trabajo cualquier manifestacin, tanto escrita como oral, recibida durante la realizacin de la asignacin. Para las asignaciones de atestacin, las manifestaciones del auditado se deben obtener por escrito para reducir posibles malas interpretaciones. - Adaptar la forma y el contenido del reporte para que respalde el tipo de asignacin realizada, tales como: Auditora (dirigir o certificar) Revisin (dirigir o certificar) Procedimientos acordados - Describir las debilidades significativas o materiales y su efecto en el logro de los objetivos de la asignacin en el reporte. - Discutir el contenido del borrador del reporte con la direccin en el rea antes de la finalizacin y divulgacin, e incluir la respuesta de la direccin a hallazgos, conclusiones y recomendaciones en el reporte final, cuando corresponda. - Comunicar las deficiencias significativas y debilidades materiales en el ambiente de control a los responsables del gobierno y, cuando corresponda, a la autoridad responsable, y divulgar en el reporte que stas han sido comunicadas. - Hacer referencia a cualquier reporte diferente en el reporte final. - Comunicar a la direccin del auditado sobre las deficiencias del control interno que sean menos que significativas pero ms que irrelevantes. En esos casos, los responsables del gobierno o la autoridad responsable deben ser notificadas que dichas deficiencias del control interno han sido comunicadas a la direccin del auditado. - Identificar los estndares aplicados en la realizacin de la asignacin y comunicar cualquier incumplimiento de estos estndares, segn corresponda. 2401 REPORTES - Esta gua ofrece ayuda a los profesionales de auditora y aseguramiento de SI sobre los diferentes tipos de trabajo de auditora de SI e informes relacionados. - La gua detalla todos los aspectos que se deben incluir en un informe de trabajo de auditora y proporciona a los profesionales de auditora y aseguramiento de SI con las consideraciones a realizar cuando se redacta y termina un informe de trabajo de auditora. - Los profesionales de auditora y aseguramiento de SI deben considerar esta gua para determinar cmo implementar el estndar, uso de su juicio profesional en su aplicacin, estar preparado para justificar cualquier desvo y buscar guas adicionales si se considera necesario.