Gua de Auditora y Aseguramiento de SI

2202 Anlisis de Riesgos en la

Planificacin
La naturaleza especializada de la auditora y aseguramiento de los sistemas de la informacin (SI) y de las habilidades necesarias
para realizar este tipo de compromisos requiere estndares que apliquen especialmente a las auditoras y aseguramiento de SI. El
desarrollo y diseminacin de los estndares de auditora y aseguramiento de SI son la piedra angular de la contribucin profesional
de ISACA a la comunidad de auditora.

Los estndares de auditora y aseguramiento de SI definen requerimientos obligatorios para la auditora de SI y presentacin de
informes e informan a:
Los profesionales de auditora y aseguramiento de SI de profesionales del nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA.
Expectativas de la gerencia y otras partes interesadas de la profesin respecto al trabajo de los profesionales.
Los poseedores de la Certificacin de Auditora de Sistemas de la Informacin en Ingles Certified Information Systems
Auditor (CISA) la designacin de requisitos. El incumplimiento de estos estndares puede dar lugar a una investigacin
sobre la conducta del poseedor del certificado CISA por la Junta Directiva de ISACA o el comit apropiado y, en ltima
instancia, en una accin disciplinaria.

Los profesionales de auditora y aseguramiento de SI deben incluir una declaracin en sus trabajos, donde sea apropiado,
indicando que el trabajo ha sido realizado de acuerdo con los estndares de auditora y aseguramiento de los SI de ISACA o de
otros posibles estndares aplicables.

ITAF, un marco de trabajo de prcticas profesionales para auditora y aseguramiento de SI, proporciona mltiples niveles de
direccin:
Estndares, divididos en tres categoras:
- Estndares generales (series 1000)-Son los principios rectores bajo los que opera la profesin de auditora y
aseguramiento de SI. Aplican a la realizacin de todas las tareas, y hacen frente a la tica, independencia, objetividad y
debida diligencia del profesional de auditora y aseguramiento de SI, as como los conocimientos, competencia y
habilidades. Las declaraciones de los estndares (en negrita) son obligatorias.
- Estndares de desempeo(series 1200)-Tienen que ver con la forma en que se conduce la asignacin, tales como
planificacin y supervisin, definicin del alcance, riesgos y materialidad, la movilizacin de recursos, supervisin y
administracin de asignaciones, evidencias de auditora y aseguramiento, y el ejercicio de su juicio profesional y debida
diligencia.
- Estndares de presentacin de informes (series 1400)-Direccionan los tipos de informes, medios de comunicacin y la
informacin comunicada.
Guas, apoyan a los estndares y tambin se dividen en tres categoras:
- Guas generales (series 2000).
- Guas de rendimiento (series 2200).
- Guas de presentacin de informes (series 2400).
Herramientas y tcnicas, proporcionan una gua adicional para los profesionales de auditora y aseguramiento de SI, por ej.,
documento tcnico (white paper), programas de auditora / aseguramiento de SI, los productos de la familia de COBIT 5.

Se proporciona un glosario en lnea de los trminos utilizados en ITAF en www.isaca.org/glossary.

Aclaracin: ISACA ha diseado esta gua como el nivel mnimo de desempeo aceptable requerido para cumplir las
responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. ISACA no pretende que el uso de este
producto garantice un resultado exitoso. La publicacin no debe considerarse como incluyente de cualquier procedimiento y
pruebas o excluyente de otros procedimientos y pruebas que estn razonablemente dirigidos a obtener los mismos resultados.
Para determinar la conveniencia de cualquier procedimiento o prueba especfica, los profesionales de controles deben aplicar su
propio juicio profesional a las circunstancias de control especficas presentadas por los sistemas particulares o entorno de SI.

El Comitde Estndares Profesionales y Administracin de Carreras de ISACA, en Ingls ISACA Professional Standards and
Career Management Committee (PSCMC) se ha comprometido a una amplia consulta en la preparacin de estndares y guas.
Antes de emitir cualquier documento, se emite internacionalmente un borrador de la norma para comentar por el pblico general.
Los comentarios pueden tambin presentarse a la atencin del director de desarrollo de estndares profesionales por correo
electrnico (standards@isaca.org), fax (+1.847. 253.1443) o correo postal (ISACA International Headquarters, 3701 Algonquin
Road, Suite 1010, Rolling Meadows, IL 60008-3105, USA).

ISACA 2013-2014 Professional Standards and Career Management Committee

Steven E. Sizemore, CISA, CIA, CGAP, Chairperson Texas Health and Human Services Commission, USA
Christopher Nigel Cooper, CISM, CITP, FBCS, M.Inst.ISP HP Enterprises Security Services, UK
Ronald E. Franke, CISA, CRISC, CFE, CIA, CICA Myers and Stauffer LC, USA
Alisdair McKenzie, CISA, CISSP, ITCP IS Assurance Services, New Zealand
Kameswara Rao Namuduri, Ph.D., CISA, CISM, CISSP University of North Texas, USA
Katsumi Sakagawa, CISA, CRISC, PMP JIEC Co. Ltd., Japan
Ian Sanderson, CISA, CRISC, FCA NATO, Belgium
Timothy Smith, CISA, CISSP, CPA LPL Financial, USA
Todd Weinman TheWeinman Group, USA
Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
La gua se presenta en las siguientes secciones:
1. Propsito de la gua y vinculacin con estndares.
2. Contenido de la gua.
3. Relacin con estndares y procesos de COBIT 5.
4. Terminologa.
5. Fecha de vigencia.

1. Propsito de la Gua y Vinculacin con Estndares

1.0 Introduccin Esta seccin clarifica:
1.1 Propsito de la gua.
1.2 Vinculacin con estndares.
1.3 Uso de trminos funcin de auditora y profesionales.

1.1 Propsito 1.1.1 El nivel de trabajo de auditora requerido para conseguir los objetivos de
auditora es una decisin subjetiva realizada por los profesionales de
auditora y aseguramiento de SI. El propsito de esta gua es reducir el
riesgo de alcanzar una conclusin incorrecta basada en los hallazgos de
auditora y reducir la existencia de errores en el rea auditada.
1.1.2 La gua proporciona ayuda en aplicar una aproximacin de anlisis de
riesgos para desarrollar:
Plan de auditora de SI que cubre todos los trabajos de auditora anuales.
Plan de proyecto del trabajo de auditora que se enfoca en un trabajo de
auditora especifico.
1.1.3 La gua proporciona los detalles de los diferentes tipos de riesgo que se
encuentran los profesionales de auditora y aseguramiento de SI se
encontrara.
1.1.4 Los profesionales de auditora y aseguramiento de SI deben considerar esta
gua para determinar cmo implementar el estndar, uso de su juicio
profesional en su aplicacin, estar preparado para justificar cualquier desvo
y buscar guas adicionales si se considera necesario.

1.2 Vinculacin 1.2.1 Estndar 1201 Planificacin de la asignacin.

con estndares 1.2.2 Estndar 1202 Evaluacin de riesgo en planificacin.
1.2.3 Estndar 1203 Desempeo y supervisin.
1.2.4 Estndar 1204 Materialidad.
1.2.5 Estndar 1207 Irregularidades y actos ilegales.

1.3 Uso de 1.3.1 De aqu en adelante:

trminos Funcin de auditora y aseguramiento de SI esta referenciada como
funcin de auditora.
Profesionales de auditora y aseguramiento de SI esta referenciada
como profesionales.

2014 ISACA Todos los derechos reservados. 2

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
2. Contenido de la Gua
2.0 Introduccin La seccin del contenido de la gua est estructurada para proporcionar informacin
sobre los siguientes temas de compromiso clave de auditora y aseguramiento:
1.1 Anlisis de riesgos del plan de auditora de SI.
1.2 Metodologa de anlisis de riesgos.
1.3 Anlisis de riesgos de trabajos de auditora individuales.
1.4 Riesgo de auditora.
1.5 Riesgo inherente.
1.6 Riesgo de control.
1.7 Riesgo de deteccin.

2.1 Anlisis de 2.1.1 Al desarrollar un plan de auditora de SI completo, se debe seguir un

Riesgos del Plan enfoque de anlisis de riesgos adecuado. Se debe realizar y documentar un
de Auditora de SI anlisis de riesgos al menos una vez al ao para facilitar el procedo de
desarrollo del plan de auditora de SI. Debe tener en cuenta los planes y
objetivos estratgicos organizacionales y el marco e iniciativas de gerencia
del riesgo de la empresa.
2.1.2 Para evaluar correcta y completamente que el riesgo est relacionado al
alcance del rea de auditora de SI, los profesionales deben considerar los
siguientes elementos al desarrollar el plan de auditora de SI:
Cubrir completamente todas las reas del alcance del universo de
auditora de SI, que representa el rango de toda posible actividad de
auditora.
Fiabilidad y adecuacin del anlisis de riesgos proporcionado por la
gerencia.
Los procesos seguidos por la gerencia para supervisar, examinar e
informar posibles riesgos o problemas.
Cubrir el riesgo en actividades conexas relacionadas a las actividades
bajo revisin.
2.1.3 El enfoque de anlisis de riesgos aplicado debe ayudar a priorizar y
planificar los procesos de auditora de SI y el trabajo de aseguramiento.
Debe apoyar la seleccin de reas y temas de inters para la auditora y la
decisin del proceso para disear y llevar a cabo los trabajos de auditora de
SI particulares.
2.1.4 Los profesionales deben asegurarse que el enfoque de anlisis de riesgos
aplicado esta aprobado por los encargados del Gobierno y distribuido a los
diferentes interesados del trabajo.
2.1.5 Los profesionales deben usar el anlisis de riesgos para cuantificar y
justificar la cantidad de recursos de auditora de SI necesarios para
completar el plan de auditora de SI y los requerimientos para los trabajos
especficos.
2.1.6 Basndose en el anlisis de riesgos, los profesionales deben desarrollar un
plan de auditora de SI que acte como marco de trabajo para las
actividades de auditora y aseguramiento de SI. Debe:

2014 ISACA Todos los derechos reservados. 3

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
2.1 Anlisis de Considerar requerimientos y actividades distintos de auditora y
Riesgos del Plan aseguramiento.
de Auditora de SI Actualizarse al menos anualmente.
cont. Estar aprobado por los encargados del Gobierno.
Direccionar las responsabilidades establecidas por la carta de auditora.

Para ms informacin referirse al Estndar 1201 Planificacin de la

asignacin.

2.2 Metodologa 2.2.1 Los profesionales deben considerar la metodologa de anlisis de riesgos
de Anlisis de apropiada para asegurar que se cubre completa y exactamente los trabajos
Riesgos de auditora en el plan de auditora de SI.
2.2.2 Los profesionales deben al menos incluir un anlisis, dentro de la
metodologa, del riesgo para la empresa relacionado con la disponibilidad
de los sistemas, integridad de los datos y confidencialidad de la informacin
del negocio.
2.2.3 Existen muchas metodologas de anlisis de riesgos que apoyan el proceso
de anlisis de riesgos. Estas van desde simples clasificaciones de alto, medo
y bajo, basadas en juicio profesional, a clculos ms cuantitativos y
cientficos proporcionando una clasificacin de riesgo numrico, y otras que
son una combinacin de ambas. Los profesionales deben considerar el nivel
de complejidad y detalle apropiado para la empresa o materia auditada. Se
puede encontrar ayuda especfica en el desarrollo del anlisis de riesgos en
la publicacin de ISACA COBIT 5 para el Riesgo.
2.2.4 Todas las metodologas de anlisis de riesgos se basan en juicios subjetivos
en algn punto del proceso (ejemplo, para asignar pesos a los diferentes
parmetros). Los profesionales deben identificar la decisin subjetiva
requerida para utilizar una metodologa particular y considerar si estos
juicios pueden hacerse y validarse en un nivel adecuado de precisin.
2.2.5 Para decidir cul es la metodologa de anlisis de riesgos ms adecuada, los
profesionales deben considerar:
Tipo de informacin requerida a recoger (algunos sistemas utilizan
efectos financieros como la nica medida esto no siempre es adecuado
para los trabajos de auditora de SI).
Coste del software o de otras licencias requeridas para utilizar la
metodologa.
Grado en que la informacin requerida esta siempre disponible.
Cantidad de informacin adicional requerida para recoger antes de que
se pueda obtener una salida confiable, y los costes de recoger esta
informacin (incluyendo el tiempo necesario a invertir en el ejercicio de
recopilacin).
Opiniones de otros usuarios de la metodologa, y su visin de cmo les
ha ayudado en la mejora de la eficiencia y/o efectividad de sus auditoras.
Disposicin de los encargados del Gobierno del rea de auditora de SI
para aceptar la metodologa como los medios para determinar el tipo y

2014 ISACA Todos los derechos reservados. 4

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
2.2 Metodologa nivel del trabajo de auditora llevado a cabo.
de Anlisis de 2.2.6 No existe una metodologa nica de anlisis de riesgos que sea apropiada
Riesgos cont. para todas las situaciones. Las condiciones que afectan a la auditora
pueden cambiar en el tiempo. Peridicamente, los profesionales deben
reevaluar la adecuacin de la metodologa de anlisis de riesgos elegida.
2.2.7 Los profesionales deben utilizar las tcnicas de anlisis de riesgos
seleccionadas en el desarrollo del plan de auditora de SI completo y en la
planificacin de los trabajos de auditora especficos. El anlisis de riesgos,
en combinacin con otras tcnicas de auditora, debe ser considerado en la
toma de decisiones de planificacin como:
reas o funciones de negocio a auditar.
Cantidad de tiempo y recursos a asignar a una auditora.
Naturaleza, alcance y tiempos de los procedimientos de auditora.
2.2.8 La metodologa de anlisis de riesgos adoptada debe producir resultados
consistentes, validos, comparables y repetibles. El anlisis de riesgos que
surge de la metodologa debe ser coherente (durante un periodo), valida,
comparable (con evaluaciones anteriores / posteriores usando la misma
metodologa de anlisis) y repetible (dado un conjunto de hechos similar,
utilizando la misma metodologa de anlisis producir una salida similar).

2.3 Anlisis de 2.3.1 Cuando se planifica un trabajo individual, los profesionales deben identificar
Riesgos de y analizar el riesgo relevante para el rea bajo revisin. Los resultados de
Trabajos de este anlisis de riesgos deben estar reflejados en los objetivos del trabajo
Auditora de auditora. Durante el anlisis de riesgos, los profesionales deben
Individuales
considerar:
1. Los resultados de un trabajo de auditora anterior, las revisiones y
hallazgos, incluyendo cualquier actividad correctiva.
2. El proceso de anlisis de riesgos global de la empresa.
3. La probabilidad de suceso de un riesgo particular.
4. El impacto de un riesgo particular (en medida monetaria u otro valor) si
ocurre.
2.3.2 Los profesionales deben garantizar la comprensin completa de las
actividades en el alcance antes del anlisis de riesgos. Deben solicitar
comentarios y sugerencias de interesados y otras partes adecuadas. Es
necesario determinar y examinar correctamente el impacto del posible
riesgo en los trabajos de auditora.
2.3.3 El objetivo del anlisis de riesgos es la reduccin del riesgo de auditora a un
nivel bajo aceptable, e identificar esas partes de una actividad que deben
recibir ms foco de auditora. Esto necesita realizarse por un anlisis
adecuado de la materia de SI y controles relacionados, mientras que se
planifica y realiza la auditora de SI.
2.3.4 Cuando se planifica un procedimiento de auditora y aseguramiento de SI
especifica, los profesionales deben reconocer el hecho que cuando menor
es el nivel de la materialidad, las expectativas de la auditora sern ms
precisas y mayor el riesgo de auditora.

2014 ISACA Todos los derechos reservados. 5

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
2.3 Anlisis de 2.3.5 Cuando se planifica un procedimiento de auditora y aseguramiento de SI
Riesgos de especifico, los profesionales deben considerar los posibles actos ilegales
Trabajos de que pueden requerir una modificacin de la naturaleza, tiempos o
Auditora extensin de los procedimientos existentes. Para ms informacin, consulte
Individuales
el Estndar 1207 Irregularidades y actos ilegales y la Gua 2207.
cont.
2.3.6 Para tener seguridad adicional en los casos donde hay elevado riesgo de
auditora o un umbral de materialidad menor, los profesionales deben
compensar por cualquier extensin al alcance o naturaleza de las pruebas
de auditora de SI o incrementar o extender las pruebas sustantivas.

2.4 Riesgo de 2.4.1 El riesgo de auditora se refiere al riesgo de alcanzar una conclusin
Auditora incorrecta basada en los resultados de la auditora. Los tres componentes
del riesgo de auditora son:
Riesgo de Control.
Riesgo de Deteccin.
Riesgo Inherente.
2.4.2 Los profesionales deben considerar cada componente del riesgo para
determinar el nivel de riesgo general. Esto incluye el riesgo de la materia,
que incluye el riesgo inherente y el riesgo de control; juntos con el riesgo de
deteccin se referencian como riesgo de auditora. Puede encontrar ms
informacin de los diferentes componentes del riesgo de auditora en las
secciones 2.5 a 2.7.

2.5 Riesgo 2.5.1 El riesgo inherente es la susceptibilidad de errar un rea de auditora de

Inherente forma que puede ser importante, individual o en combinacin con otros
errores, asumiendo que no hubo controles internos relacionados. Por
ejemplo, el riesgo inherente asociado con sistemas operativos sin controles
apropiados es generalmente alto, ya que los cambios, o incluso la
divulgacin, de datos o programas a travs de los fallos de seguridad del
sistema operativo podran llevar a informacin de administracin falsa o
desventaja competitiva. Por contraste, el riesgo inherente asociado con la
seguridad para un PC independiente sin controles es bajo generalmente,
cuando un anlisis adecuado demuestra que no se usa para fines de negocio
crticos.
2.5.2 Los riesgos inherentes para la mayora de las reas de auditora es alto ya
que los efectos potenciales de errores generalmente abarca varios sistemas
de negocio y muchos usuarios.

2.6 Riesgo de 2.6.1 El riesgo de control es el riesgo que pueda suceder un error en un rea de
Control auditora y podra ser material, individual o una combinacin con otros
errores, no ser prevenido, detectado ni corregido oportunamente por el
sistema de control interno. Por ejemplo, el riesgo de control asociado con

2014 ISACA Todos los derechos reservados. 6

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
2.6 Riesgo de revisiones manuales de logs de ordenador puede ser alto por el volumen de
Control cont. la informacin de log. El riesgo de control asociado con los procedimientos
de validacin de datos por ordenador generalmente es bajo porque los
procesos se aplican coherentemente.
2.6.2 Los profesionales debern evaluar el riesgo de control como alto a menos
existan controles internos relevantes:
Identificados.
Evaluados como efectivos.
Se prueba y demuestra que funcionan adecuadamente.
2.6.3 Los profesionales deben considerar tanto los controles de SI generalizados
como los controles de SI detallados:
Controles de SI generalizados considerados un subconjunto de
controles generales; son controles que se centran en la gerencia y
monitorizacin del entorno de SI. Por lo tanto afectan a todas las
actividades relacionadas con SI. El efecto de los controles de SI
generalizados en el trabajo de los profesionales no se limita a la
fiabilidad de los controles de aplicacin en el sistema de proceso del
negocio. Tambin afectan a la fiabilidad de los controles de SI
detallados sobre, por ejemplo, desarrollo de programas,
implementacin de sistemas, administracin de seguridad y
procedimientos de backup. Los controles de SI generalizados dbiles, y
por lo tanto la gerencia y monitorizacin dbil del entorno de SI, debe
alertar a los profesionales a la posibilidad de un alto riesgo que los
controles diseados a operar en el nivel detallado pueden ser
inefectivos.
Los controles de SI detallados se componen de los controles de
aplicacin ms aquellos controles generales no incluidos en los
generalizados. Siguiendo el marco de trabajo COBIT, son los controles
sobre los sistemas y servicios de SI de adquisicin, implementacin,
entrega y soporte.
2.6.4 Un riesgo que deben considerar los profesionales es la limitaciones y
deficiencias en los controles de SI detallados que son inducidos por
insuficiencias de los controles de SI generalistas.

2.7 Riesgo de 2.7.1 El riesgo de deteccin es el riesgo de que los procedimientos sustantivos de
Deteccin los profesionales no detecten un error que podra ser material, individual o
una combinacin con otros errores. Por ejemplo, el riesgo de deteccin
asociado con la identificacin de brechas de seguridad en una aplicacin
generalmente es alto porque los logs para el periodo completo de la
auditora no estn disponibles en el momento de la auditora. El riesgo de
deteccin asociado con la identificacin de la falta de planes de
recuperacin de desastres generalmente es bajo, ya que se comprueba
fcilmente.
2.7.2 Para determinar el nivel de pruebas sustantivas requeridas, los
profesionales deben considerar:

2014 ISACA Todos los derechos reservados. 7

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
2.7 Riesgo de Anlisis del riesgo inherente.
Deteccin cont. Conclusiones sobre el riesgo de control tras las pruebas de
cumplimiento.
2.7.3 Cuando mayor sea la evaluacin del riesgo inherente y de control, el
profesional deber obtener normalmente mas evidencia de auditora de la
realizacin de los procedimientos de auditora sustantivos.

3. Relacin con Estndares y Procesos de COBIT 5

3.0 Introduccin Esta seccin proporciona una visin general relevante de:
3.1Relacin con Estndares.
3.2Relacin con los procesos de COBIT 5.
3.3Otras guas.

3.1 Relacin con La tabla proporciona una visin general de:

Estndares Los estndares ms relevantes de ISACA que estn directamente soportados por
esta gua.
Las declaraciones estndar ms relevantes para esta gua.

Nota: Solo se enumeran las declaraciones estndar ms relevantes para esta gua.

Titulo del Estndar Declaracin Estndar Relevante

1201 Planificacin de la asignacin.
1202 Evaluacin de Riesgos en la
Planificacin de Auditora.
Los profesionales de auditora y aseguramiento de SI deben
planear cada trabajo de auditora y aseguramiento de SI para
dirigir:
Objetivo(s), alcance, lnea de tiempo y entregables.
Cumplimiento con leyes aplicables y estndares de
auditora profesionales.
Uso de enfoque basado en riesgos, cuando sea adecuado
Cuestiones especificas del trabajo.
Requisitos de documentacin y presentacin de
informes.
La funcin de auditora y aseguramiento de SI deber utilizar
un enfoque apropiado y el apoyo de metodologa de anlisis
de riesgos para desarrollar el plan de auditora de SI general
y determinar las prioridades para la asignacin efectiva de
recursos de auditora de SI.

Los profesionales de auditora y aseguramiento de SI

debern identificar y analizar los riesgos relevantes al rea
bajo revisin, en la planificacin de trabajos individuales.

Los profesionales de auditora y aseguramiento debern

considerar el riesgo de la materia, riesgo de auditora y
exposiciones relacionadas con la empresa.

2014 ISACA Todos los derechos reservados. 8

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
Titulo del Estndar Declaracin Estndar Relevante
1203 Desempeo y Supervisin. Los profesionales de auditora y aseguramiento de SI
debern conducir el trabajo de acuerdo al plan de auditora
de SI aprobado para cubrir los riesgos identificados y dentro
del plan acordado.
1204 Materialidad. Los profesionales de auditora y aseguramiento de SI
debern considerar las debilidades o ausencias de controles
potenciales mientras planifican un trabajo, y si tal debilidad
o ausencia de control podra resultar en una deficiencia
significativa o debilidad material.

Los profesionales de auditora y aseguramiento de SI

debern considerar la materialidad y su relacin con el
riesgo de auditora mientras determinan la naturaleza,
tiempos y extensin de los procedimientos de auditora.

Los profesionales de auditora y aseguramiento de SI

debern considerar el efecto acumulativo de las deficiencias
o debilidades de control menor y si la ausencia de controles
se traduce en una deficiencia significativa o debilidad
material.

Los profesionales de auditora y aseguramiento revelaran lo

1207 Irregularidades y actos ilegales.
siguiente en el informe de auditora:
Ausencia de controles o controles inefectivos.
Importancia de la deficiencia de los controles.
Probabilidad de estas debilidades resulten en una
deficiencia significativa o debilidad material.
Los profesionales de auditora y aseguramiento de SI
debern considerar el riesgo de actos irregulares e ilegales
durante el trabajo.

3.2 Relacin con La tabla proporciona una visin general de los ms relevantes:
los procesos de Procesos de COBIT 5.
COBIT 5 Propsito de los procesos de COBIT 5.

Se encuentran actividades especficas realizadas como parte de la ejecucin de

estos procesos en COBIT 5: Habilitacin de Procesos.

Procesos de COBIT 5 Propsito de los Procesos

EDM01 Asegurar el establecimiento y
mantenimiento del marco de Gobierno.
Proporcionar un enfoque consistente integrado y
alineado con el enfoque de Gobierno de la
empresa. Para asegurar que las decisiones
relacionadas con TI se hacen en lnea con las
estrategias y objetivos de la empresa, asegurando
que los procesos relacionados con TI son

2014 ISACA Todos los derechos reservados. 9

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
Procesos de COBIT 5
EDM03 Asegurar la optimizacin del riesgo.
APO12 Gestionar el riesgo.
MEA02 Monitorear y evaluar el sistema de
controles internos.
MEA03 Supervisar, evaluar y valorar la conformidad
con los requerimientos externos.
Propsito de los Procesos
supervisados de forma efectiva y transparente, se
confirma el cumplimiento con los requerimientos
legales y regulatorios, y se cumplen los
requerimientos de Gobierno de los miembros del
consejo.
Asegurar que el riesgo empresarial relacionado
con TI no excede el riesgo aceptado y la
tolerancia de riesgo, el impacto de riesgo de TI al
valor de la empresa est identificado y
gestionado, y la posibilidad de fallos de
cumplimiento esta minimizada.
Integrar la gerencia de riesgos empresariales
relacionados con TI con el ERM en general, y el
balance de costes y beneficios de la gerencia de
riesgos empresariales relacionados con TI.
Obtener transparencia para los interesados clave
en la adecuacin de los sistemas de control
interno y, por tanto, proporcionar confianza en
las operaciones, confianza en el logro de
objetivos empresariales y una adecuada
comprensin del riesgo residual.
Asegurar que la empresa cumple con todos los
requerimientos externos.

3.3 Otras Guas En la implementacin de estndares y guas, se insta a los profesionales a buscar
otras guas cuando se considere necesario. Esto podra ser desde auditora y
aseguramiento de SI:
Colegas dentro y fuera de la empresa, por ejemplo, a travs de asociaciones
profesionales o grupos de redes sociales profesionales.
Gerentes.
rganos de Gobierno dentro de la empresa, ejemplo, comit de auditora
Otras guas profesionales (por ejemplo, libros, papeles, otras guas).

4. Terminologa
Trmino Definicin
Anlisis de Riesgos Un proceso utilizado para identificar y evaluar riesgos y sus efectos potenciales.

Los anlisis de riesgos se utilizan para identificar aquellos elementos o reas que
presentan el riesgo, vulnerabilidad o exposicin ms altos para la empresa para
incluirlos en el plan de auditora anual de SI.

Los anlisis de riesgos se utilizan tambin para gestionar la ejecucin de los

proyectos y el riesgo en beneficio del proyecto.

2014 ISACA Todos los derechos reservados. 10

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
Trmino Definicin
Carta de Auditora Un documento aprobado por los encargados de Gobierno que define el
propsito, autoridad y responsabilidad de la actividad de auditora y
aseguramiento de SI interna.

La carta debe:
Establecer la posicin de la funcin de auditora y aseguramiento de SI
interna dentro de la empresa.
Autorizar acceso a registros, personal y los bienes relevantes para la
realizacin del encargo de auditora y aseguramiento de SI.
Definir el alcance de las actividades de la funcin de auditora y
aseguramiento de SI.
Controles de SI Controles sobre las adquisicin, implementacin, entrega y soporte de sistemas y
Detallados servicios de SI formado por los controles de aplicacin ms aquellos controles
generales no incluidos en los controles generales.
Controles de SI Controles generales diseados para gestionar y monitorear el entorno de SI y
Generalizados que, por tanto, afecta a todas las actividades relacionadas con SI.
Materialidad Un concepto de auditora respecto de la importancia de una informacin
respecto a su impacto o efecto en el sujeto auditado. Una expresin del
significado o importancia relativa de una materia particular en el contexto del
encargo o la empresa en su conjunto.
Prueba Sustantiva La obtencin de evidencia de auditora sobre la integridad, exactitud o existencia
de actividades o transacciones durante el periodo de la auditora.
Riesgo de El riesgo de llegar a una conclusin incorrecta basada en los resultados de la
Auditora auditora. Los tres componentes de riesgo de auditora son:
Riesgo de control.
Riesgo de deteccin.
Riesgo inherente.
Riesgo de Control El riesgo que exista un error material que no se evite o detectado de forma
oportuna por el sistema de control interno. Ver riesgo inherente.
Riesgo de El riesgo que los procedimientos sustantivos del profesional de auditora y
Deteccin aseguramiento de SI no detectara un error que podra ser material, individual o
en combinacin con otros errores. Ver riesgo de auditora.
Riesgo Inherente El nivel de riesgo o exposicin sin tener en cuenta las acciones que la gerencia ha
tomado o ha podido tomar (ejemplo, implementar controles). Ven riesgo de
control.

5. Fecha de Vigencia
5.1 Fecha de Esta gua revisada es efectiva para todo compromiso de auditora y aseguramiento
Vigencia de SI con fecha de inicio igual o posterior al 1 de Septiembre de 2014.

2014 ISACA Todos los derechos reservados. 11