S12 Materialidad de la auditora a) Descripcin: El propsito de este estndar de auditora de SI es establecer y proporcionar una gua con respecto al concepto

de materialidad de la auditora y su relacin con el riesgo de auditora. El auditor de SI debe considerar la materialidad de la auditora y su relacin con el riesgo de auditora a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditora. Mientras planifica la auditora, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de informacin. El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de informacin. El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, as como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material. b) Interpretacin: La evaluacin de riesgos es una tcnica usada para examinar unidades auditables dentro del universo de auditora de SI y para seleccionar reas a revisar que tengan la mayor exposicin a riesgos, e incluirlas en el plan anual de SI. S1- estndar es prcticamente una gua para que el auditor considere los diferentes aspectos tanto vulnerabilidades como ausencia de controles, en el mbito material de un sistema de informacin. Tambin recalca los parmetros que deben tener para el desarrollo del informa divulgando los controles ineficaces o la

ausencia de controles, su significado y sus importantes riesgo que como estos conllevan a la debilidad material del SI. La debilidad en el control se considera material si la ausencia del mismo ocasiona que no exista una garanta razonable de que se cumplir con el objetivo de control. Una debilidad clasificada como material implica lo siguiente: Los controles no estn establecidos y/o los controles no son utilizados y/o los controles son inadecuados. Puede producir un escalamiento. Una debilidad material es una deficiencia importante o una combinacin de deficiencias importantes que originan, con una probabilidad ms que remota, que un evento indeseado no sea prevenido o detectado.

c) Aplicacin: La evaluacin de riesgos es una tcnica usada para examinar unidades auditables dentro del universo de auditora de SI y para seleccionar reas a revisar que tengan la mayor exposicin a riesgos, e incluirlas en el plan anual de SI. Una unidad auditable se define como un segmento discreto de la organizacin, junto con sus sistemas. La determinacin del universo de auditora de SI debe basarse en el conocimiento del plan estratgico de TI de la organizacin. Deben efectuarse ejercicios de evaluacin de riesgos para facilitar el desarrollo del plan de auditora de SI, los cuales deben documentarse al menos anualmente. Los planes estratgicos de la organizacin, los objetivos y el marco de administracin de riesgos de la empresa deben considerarse como parte del ejercicio de evaluacin de riesgos. El uso de la evaluacin de riesgos en la seleccin de proyectos de auditora permite al auditor de SI cuantificar y justificar los recursos de auditora de SI. Asimismo, el auditor de SI puede priorizar las revisiones programadas basndose en la percepcin de riesgos y contribuir a la documentacin de marcos de administracin de riesgos.

Un auditor de SI debe realizar una evaluacin preliminar de los riesgos relevantes al rea bajo revisin. Los objetivos del contrato de auditora de SI para cada revisin especfica deben reflejar los resultados de dicha evaluacin de riesgos. Despus de terminar la revisin, el auditor de SI debe asegurarse de que se actualice la estructura de administracin/gestin de riesgos empresariales de la organizacin o su registro de riesgos, en caso de haberse desarrollado alguno, a fin de reflejar los hallazgos y recomendaciones de la revisin as como la actividad subsiguiente. El auditor de SI debe consultar la directriz de auditora de SI G13 Uso de la evaluacin de riesgos en la planeacin de auditora, y el procedimiento de auditora de SI P1 Medicin de la evaluacin de riesgos de SI.

d) Aplicacin:

El riesgo de SI llegue a una conclusin incorrecta basndose en los hallazgos de auditora. El auditor de SI tambin debe tener conciencia de los tres componentes del riesgo de auditora, a saber: el riesgo inherente, el riesgo del control y el riesgo de deteccin, uso de la evaluacin de riesgos en la planificacin de auditora, para obtener una explicacin ms detallada de los riesgos. Mientras planifica y realiza la auditora, el auditor de SI debe intentar reducir el riesgo de auditora a un nivel aceptablemente bajo y cumplir con los objetivos de la

auditora. Esto se logra mediante la evaluacin apropiada de SI y de los controles relacionados. La debilidad en el control se considera material si la ausencia del mismo ocasiona que no exista una garanta razonable deque se cumplir con el objetivo de control. Una debilidad clasificada como material implica lo siguiente: Los controles no estn establecidos y/o los controles no son utilizados y/o los controles son inadecuados. Existe una relacin inversa entre materialidad y el nivel de riesgo de auditora aceptable para el auditor de SI; es decir, cuanto mayor sea el nivel de materialidad, menor ser la capacidad de aceptacin del riesgo de auditora, y viceversa. Al determinar si una deficiencia de control o una combinacin de deficiencias de control representan una deficiencia importante o una debilidad material, el auditor de SI deber evaluar el efecto de los controles compensatorios y si los mismos resultan eficaces. El auditor de SI debe consultar la Directriz de Auditora de SI G6 Conceptos de materialidad de la auditora de sistemas de informacin.