AUDITORIA DE SISTEMAS

3. MARCO DE REFERENCIA TÉCNICO

PARA LA AUDITORIA DE SISTEMAS
 CONTENIDO
1. Normas Internacionales de Auditoría y
Control de Calidad- Manual de
Pronunciamientos Internacionales
2. Normas de Auditoría de Sistemas
3. Objetivos de Control para la Información y
Tecnologías Relacionadas
4. IEPS 2 Tecnología de Información para
Contadores Profesionales
- Normas Internacionales de Auditoría y Control
de Calidad
- Manual de Pronunciamientos Internacionales
 Estructura de Pronunciamientos emitidos por el
Consejo de Normas Internacionales de Auditoría y Aseguramiento (IAASB)

Código de Ética para Contadores Profesionales de IFAC

Normas Internacionales de Control de Calidad (NICC)

Marco Internacional de Referencia de Trabajos para Atestiguar Servicios Relacionados

Auditorías y Revisiones de Información Financiera Trabajos para Atestiguar

Histórica Distintos de Auditorías o
Normas Internacionales
Revisiones de Información
de Servicios
Financiera
Relacionados

Normas Internacionales Normas Internacionales Normas Internacionales

de Auditoría de Auditoría de Trabajos para
Atestiguar

NISR´s (ISRS)4400-4410

NIA´s (ISA) 200 899 NITR´s (ISRE) 2000-2699

NITA´s (ISAE) 3000 3402

DIPA´s (IAPS) 1000- 1013

Marco de referencia para trabajos para
atestiguar y servicios relacionados

Auditoría Servicios
relacionados
Tipo de Trabajo de
servicio Trabajo de
Auditoría Revisión procedimientos
convenidos
Compilación

Nivel de certeza
Elevada, pero
(por parte del Moderada Ninguna Ninguna
no absoluta
Contador Público)

Informe del Forma Forma Identificación

Contador positiva de negativa de Informe sobre de la
Publico expresión de expresión de los resultados información
la conclusión la conclusión financiera
 Marco de Internacional de Referencia de Trabajos para
Atestiguar
Definición:
Significa un trabajo en el que un
contador expresa una conclusión
diseñada para mejorar el grado
de confianza de los usuarios
previstos, que no sea la parte
responsable en los resultados de
la evaluación o medición de un
asunto contra los criterios.
El resultado de la evaluación o
medición de un asunto principal
es la información que resulta de
aplicar los criterios al asunto.
Elementos: Características
- Una relación tripartita - El asunto principal es
- Un asunto apropiado apropiado;
- Los criterios que se van a usar
- Criterios adecuados
son adecuados y están
- Evidencia suficiente y disponibles a los usuarios
previstos;
apropiada
- Informe - Existe acceso a evidencia
suficiente y apropiada para
sustentar la conclusión;
- La conclusión del Contador, en
la forma apropiada para un
trabajo para atestiguar ya sea
con seguridad razonable o
seguridad limitada, estará
incluida en un informe escrito; y
-El Contador está satisfecho con
el propósito racional para el
trabajo.
 Elementos de un Trabajo para Atestiguar
Relación Tripartita
• El término Contador según se usa en el marco de referencia de trabajos para atestiguar,
es más amplio que el término auditor según se usa en las NIAs e ISREs, que se refiere
sólo con Contadores que realizan auditorías o trabajos de revisión con respecto a la
Contador información financiera histórica. (Marco de ref. #23)

• La parte responsable es la persona (o personas) que:

• En un trabajo de informe directo, es(son) responsable(s) de la información del asunto; o
Parte • En un trabajo con base en una aseveración, es(son) responsable(s) de la información del
Responsable asunto (la aseveración), y puede ser responsable del asunto. (Marco de ref. #25)

• Los usuarios previstos son la persona, personas, o clase de personas para quienes el
Contador preparara el informe de atestiguar. La parte responsable puede ser uno de los
Usuarios usuarios, pero no el único. (Marco de ref. #27)
previstos
 Elementos de un Trabajo para Atestiguar
Asunto apropiado

El asunto, y la información asunto, de un trabajo para atestiguar puede

adoptar muchas formas, como:
– Práctica o condiciones financieras para los que la información del asunto
puede ser el reconocimiento, medición, presentación y revelación planteados
en los estados financieros.
– Práctica o condiciones no financieras para los cuales la información del asunto
principal pueden ser los indicadores clave de eficiencia y eficacia.
– Características físicas para las que la información del asunto puede ser un
documento de especificaciones.
– Sistemas y procesos para los que la información del asunto puede ser una
aseveración sobre eficiencia.
– Conducta para la información del asunto puede ser una declaración de
cumplimiento o una declaración de eficiencia.
Marco de ref.)
 Elementos de un Trabajo para Atestiguar
Asunto apropiado

• Los asuntos tienen diferentes características que afectan:

– La precisión con que puede evaluarse o medirse el asunto contra criterios; y
– Lo convincente de la evidencia disponible.
El informe de atestiguar anota las características de relevancia particular para los
presuntos usuarios. (Marco de referencia #32)

• Un asunto apropiado es:

– Identificable y susceptible a una evaluación o medición consistente contra los
criterios identificados; y
– Aquél cuya información puede sujetarse a procedimientos para obtener
evidencia suficiente y apropiada que apoye una conclusión de seguridad
razonable o de seguridad limitada, según sea el caso. (Marco de ref. #33)
 Elementos de un Trabajo para Atestiguar
Criterios

• Los criterios son los puntos de referencia utilizados para evaluar o medir el
asunto e incluyen, en su caso, puntos de referencia para presentación y
revelación.
– Los criterios pueden ser formales; por ejemplo, en la preparación de estados
financieros, los criterios pueden ser Normas de Información Financiera Internacionales o
Normas Internacionales de Contabilidad del Sector Público.
– Cuando se informa sobre cumplimiento, los criterios pueden ser la ley, reglamento o
contrato aplicable.
(Marco de ref. #34)

• En el contexto del juicio profesional Se requieren criterios adecuados para

evaluación o medición razonablemente consistente de un asunto.
(Marco de ref. #35)
 Integridad

Relevancia Confiabilidad

Características
de los
criterios

Comprensibilidad Neutralidad
 Elementos de un Trabajo para Atestiguar
Criterios

Los criterios adecuados presentan las siguientes características:

– Relevancia. Los criterios relevantes contribuyen a conclusiones que ayudan a la toma de
decisiones por los presuntos usuarios
– Integridad. Los criterios son suficientemente completos cuando no se omiten los
factores relevantes que podrían afectar las conclusiones en el contexto de las
circunstancias del trabajo.
– Confiabilidad. Los criterios confiables permiten la evaluación o medición
razonablemente consistente del asunto incluyendo, cuando sea relevante, la
presentación y revelación, cuando se usan en circunstancias similares por Contadores
con calificaciones similares.
– Neutralidad. Los criterios neutrales contribuyen a conclusiones que están libres de
parcialidad.
– Comprensibilidad. Los criterios comprensibles contribuyen a conclusiones que son
claras, integrales y no están sujetas a interpretaciones significativamente diferentes.
(Marco de ref. #36)
 Elementos de un Trabajo para Atestiguar
Criterios

• El Contador evalúa lo adecuado de los criterios para un trabajo particular

al considerar si reflejan las características mencionadas.
• La materialidad de cada característica para un asunto es cuestión de juicio.
• Los criterios necesitan estar disponibles a los usuarios previstos para
permitirles entender cómo se evaluó o midió el asunto. Los criterios
pueden estar disponibles a los usuarios previstos en una o más de las
maneras siguientes:
– Públicamente
– Mediante inclusión de manera clara en la presentación de la información del asunto
– Mediante inclusión de manera clara en el informe de atestiguar.
– Por entendimiento general.
(Marco de ref. #37/38)
 Elementos de un Trabajo para Atestiguar
Evidencia

• El Contador planifica y realiza un trabajo para

atestiguar con una actitud de escepticismo profesional
para obtener evidencia suficiente y apropiada acerca
de si la información del asunto principal está libre de
errores de significativos.
• El Contador considera la materialidad, el riesgo del
trabajo para atestiguar y la cantidad así como la calidad
de evidencia disponible, en especial cuando determina
la naturaleza, alcance y oportunidad de los
procedimientos para obtener de evidencia.
(Marco de ref. #39)
 Elementos de un Trabajo para Atestiguar
Evidencia

• Suficiencia es la medida de la cantidad de evidencia.

• Apropiado es la medida de la calidad de la evidencia; es

decir, su veracidad y confiabilidad.

• La cantidad de evidencia que se necesita se afecta por el

riesgo de que la información del asunto esté representada
de una manera errónea de importancia relativa y también
por la calidad de dicha evidencia: la suficiencia y lo
apropiado de la evidencia están interrelacionadas.

(Marco de ref. #42)

 Elementos de un Trabajo para Atestiguar
Informe

• El Contador Público provee un informe escrito que contiene una

conclusión que comunica la seguridad obtenida sobre la información del
asunto. Las NIAs, ISREs e ISAEs establecen elementos básicos para los
informes de atestiguamiento.
• En un trabajo basado en una aseveración, la conclusión del Contador
puede ser redactada de dos formas:
– En términos de la aseveración de la parte responsable (por ejemplo « En nuestra
opinión, con base en los criterios XYZ, la aseveración de la parte responsable acerca del
control interno es efectivo , se presenta razonablemente, respecto de todo lo
importante »); o
– Directamente en términos del asunto y de los criterios (por ejemplo: « En nuestra
opinión, con base en los criterios XYZ, el control interno es efectivo, respecto de todo lo
importante »).

(Marco de ref. #56/57)

 Elementos de un Trabajo para Atestiguar
Informe

• En un trabajo para atestiguar con seguridad razonable, el

Contador expresa la conclusión en la forma positiva, por
ejemplo: «En nuestra opinión, con base en los criterios XYZ, el
control interno es efectivo, respecto de todo lo importante»

• En un trabajo para atestiguar con seguridad limitada, el

Contador expresa la conclusión en la forma negativa, por
ejemplo, « Con base en nuestro trabajo descrito en este
informe, no ha llegado a nuestra algo que nos haga creer que
el control interno no es efectivo, respecto de todo lo
importante, con base en criterios XYZ. »
(Marco de referencia #58/59)
- Normas de Auditoria de Sistemas
 ESTANDARES EMITIDOS POR ISACA
• S1- ESTATUTO DE AUDITORIA
• S2- INDEPENDENCIA
• S3- ETICA Y ESTANDARES PROFESIONALES
• S4- COMPETENCIA PROFESIONAL
• S5- PLANEACION
• S6- REALIZACION DE LABORES DE AUDITORIA
• S7- REPORTE
• S8- ACTIVIDADES DE SEGUIMIENTO
• S9- IRREGULARIDADES Y ACCIONES ILEGALES
• S10- GOBERNABILIDAD DE TI
• S11- USO DE LA EVALUACIÓN DE RIESGOS EN LA PLANEACIÓN DE AUDITORÍA
• S12- MATERIALIDAD DE AUDITORÍA
• S13- USO DEL TRABAJO DE OTROS EXPERTOS
• S14- EVIDENCIA DE AUDITORÍA
• S15- CONTROLES DE TI
• S16- COMERCIO ELECTRÓNICO
 S1- Estatuto de Auditoría
• Responsabilidad, autoridad y rendición de
cuentas
• La Carta Compromiso
Revisión anual, o con mayor frecuencia si
varían o cambian las responsabilidades.
– Auditoría interna: puede utilizarla para aclarar o
confirmar su participación en tareas específicas.
– Auditoría externa: debe prepararse para cada
tarea de auditoría o de no auditoría
 S2- INDEPENDENCIA
• Independencia profesional
En todos los aspectos relacionados con la auditoría, el
auditor de SI debe ser independiente del auditado, tanto
en actitud como en apariencia.

• Independencia organizacional
La función de auditoría de SI debe ser independiente del
área o actividad que se está revisando para permitir una
conclusión objetiva de la tarea que se audita.
 S3- ETICA Y ESTANDARES
PROFESIONALES
• El auditor de SI debe cumplir con el Código de
Ética Profesional de ISACA al realizar tareas de
auditoría.
• El auditor de SI debe ejercer el debido cuidado
profesional, lo cual incluye cumplir con los
estándares profesionales de auditoría
aplicables al realizar tareas de auditoría.
 S4- COMPETENCIA PROFESIONAL
• El auditor de SI debe ser profesionalmente
competente y tener las destrezas y los
conocimientos para realizar la tarea de
auditoría.
• El auditor de SI debe mantener competencia
profesional por medio de una apropiada
educación y capacitación profesional continua.
 S5- PLANEACION
• Se debe planear la cobertura de la auditoría de sistemas de
información para cubrir los objetivos de la auditoría y
cumplir con las leyes aplicables y las normas profesionales
de auditoría.
• Se debe desarrollar y documentar un enfoque de auditoría
basado en riesgos.
• Se debe desarrollar y documentar un plan de auditoría
que detalle la naturaleza y los objetivos de la auditoría, los
plazos y alcance, así como los recursos requeridos.
• El auditor de SI debe desarrollar un programa y/o plan de
auditoría detallando la naturaleza, los plazos y el alcance
de los procedimientos requeridos para completar la
auditoría.
 S-6 REALIZACIÓN DE LABORES DE
AUDITORÍA
• Supervisión
El personal de auditoría de SI debe ser supervisado para brindar
una garantía razonable de que se lograrán los objetivos de la
auditoría y que se cumplirán las normas profesionales de auditoría
aplicables.
• Evidencia
Durante el transcurso de la auditoría, el auditor de SI debe obtener
evidencia suficiente, confiable y pertinente para alcanzar los
objetivos de auditoría. Los hallazgos y conclusiones de la auditoría
deberán ser soportados mediante un apropiado análisis e
interpretación de dicha evidencia.
• Documentación
• El proceso de auditoría deberá documentarse, describiendo las
labores de auditoría realizadas y la evidencia de auditoría que
respalda los hallazgos y conclusiones del auditor de SI.
 S-7 REPORTE
• El auditor de SI debe suministrar un informe, en un formato apropiado, al
finalizar la auditoría. El informe debe identificar la organización, los
destinatarios previstos y respetar cualquier restricción con respecto a su
circulación.
• El informe de auditoría debe indicar el alcance, los objetivos, el período de
cobertura y la naturaleza, plazo y extensión de las labores de auditoría
realizadas.
• El informe debe indicar los hallazgos, conclusiones y recomendaciones, así
como cualquier reserva, calificación o limitación que el auditor de SI
tuviese en cuanto al alcance de la auditoría.
• El auditor de SI debe tener evidencia de auditoría suficiente y apropiada
para respaldar los resultados reportados.
• Al emitirse, el informe del auditor de SI debe ser firmado, fechado y
distribuido de acuerdo con los términos del estatuto de auditoría o carta
de compromiso.
 S-8 ACTIVIDADES DE SEGUIMIENTO
Después de informar/reportar sobre los hallazgos y las recomendaciones, el auditor
de SI debe solicitar y evaluar la información relevante para concluir si la gerencia
tomó las acciones apropiadas de manera oportuna.
• Si las acciones propuestas por la gerencia para implementar las recomendaciones
notificadas se proporcionaron, o se comentaron con éste, dichas acciones deberán
registrarse en el informe final como la respuesta de la gerencia .
• La naturaleza, los plazos y la extensión de las actividades de seguimiento deben
tener en cuenta la importancia de los hallazgos reportados y el impacto, en caso
de no haberse tomado las acciones correctivas. Los plazos de las actividades de
seguimiento de una auditoría de SI en relación con el informe original deben
basarse en el juicio profesional y depender de una serie de consideraciones tales
como la naturaleza o magnitud de los riesgos y costos asociados a la entidad.
• La función de auditoría interna de SI debe establecer un proceso de seguimiento
para monitorear y asegurar que las acciones de la gerencia efectivamente han sido
implementadas o que la gerencia superior ha aceptado el riesgo de no haber
tomado la acción pertinente. La responsabilidad por estas actividades de
seguimiento puede definirse en el estatuto de auditoría.
 S-8 ACTIVIDADES DE SEGUIMIENTO
• Dependiendo del alcance y de los términos del contrato, los auditores
externos de SI pueden recurrir a la función de auditoría interna de SI para
realizar el seguimiento de sus recomendaciones aceptadas.
• Cuando la gerencia proporcione información sobre las acciones tomadas
para implementar las recomendaciones y se tenga dudas con respecto a la
información suministrada, se deberán llevar a cabo las pruebas apropiadas
u otros procedimientos para determinar la posición o estado reales antes
de concluir las actividades de seguimiento.09 Puede presentarse un
informe, sobre el estado de las actividades de seguimiento, que incluya las
recomendaciones aceptadas no implementadas, ante el comité de
auditoría en caso de que éste se haya establecido, o, como alternativa, al
nivel apropiado de la gerencia de la entidad.
• Como parte de las actividades de seguimiento, el auditor de SI deberá
evaluar si los hallazgos no implementados siguen siendo importantes.
 S-9 IRREGULARIDADES Y ACCIONES
ILEGALES
• Al planificar y realizar la auditoría para reducir el riesgo de auditoría
a un nivel bajo, el auditor de SI debe tener en cuenta el riesgo de
irregularidades y acciones ilegales.
• El auditor de SI debe mantener una actitud de escepticismo
profesional durante la auditoría, reconociendo la posibilidad de que
podrían existir declaraciones materialmente incorrectas debido a
irregularidades y acciones ilegales, independientemente de su
propia evaluación del riesgo de irregularidades y acciones ilegales.
• El auditor de SI debe obtener un entendimiento de la organización
y su entorno, incluidos los controles internos.
• El auditor de SI debe obtener evidencia de auditoría suficiente y
relevante para determinar si la gerencia u otras personas dentro de
la organización tienen conocimientos de cualquier irregularidad y
acción ilegal real, sospechada o alegada.
 S-9 IRREGULARIDADES Y ACCIONES
ILEGALES
• Al realizar procedimientos de auditoría para obtener un
entendimiento de la organización y su entorno, el auditor de SI
debe considerar relaciones inusuales o inesperadas que pueden
indicar un riesgo de declaraciones materialmente incorrectas
debido a irregularidades y acciones ilegales.
• El auditor de SI debe diseñar y realizar procedimientos para probar
lo adecuado de los controles internos y el riesgo de anulación de
los controles por parte de la gerencia.
• Cuando el auditor de SI identifica una declaración incorrecta, el
auditor de SI debe evaluar si tal declaración incorrecta puede
indicar la existencia de una irregularidad o acción ilegal. Si existe tal
indicación, el auditor de SI debe tener en cuenta las implicaciones
en relación con otros aspectos de la auditoría y, en particular, las
declaraciones de la gerencia.
 S-9 IRREGULARIDADES Y ACCIONES
ILEGALES
• El auditor de SI debe obtener declaraciones escritas de la gerencia al menos una
vez al año o con mayor frecuencia, dependiendo del contrato de auditoría.
• La gerencia debe:
– Reconocer su responsabilidad en el diseño e implementación de controles
internos para prevenir y detectar irregularidades o acciones ilegales
– Revelar al auditor de SI los resultados de la evaluación de riesgos cuando
pueda existir una declaración materialmente incorrecta como resultado de
una irregularidad o acción ilegal
– Revelar al auditor de SI cuando tenga conocimiento de irregularidades o
acciones ilegales que estén afectando la organización en relación a:
• La gerencia
• Empleados que tienen funciones significativas en el control interno
– Revelar al auditor de SI cuando tenga conocimiento de cualquier declaración
de irregularidades o acciones ilegales, o sospechas de irregularidades o
acciones ilegales que estén afectando la organización tal como lo hayan
comunicado los empleados, ex empleados, funcionarios responsables de la
normatividad dentro de la organización y otros
 S-9 IRREGULARIDADES Y ACCIONES
ILEGALES
• Qué hacer en estos casos?:
• Se han identificado o se tienen indicios que puedan existir :comunicarlo sin
demora al nivel de dirección apropiado.
• Si involucra a la gerencia la gerencia o a empleados que tienen funciones
significativas en el control interno, el auditor de SI debe comunicarlo sin
demora a los responsables del gobierno corporativo.
• Dar recomendaciones al nivel apropiado de la gerencia y a aquellos
responsables del gobierno corporativo sobre las debilidades materiales en
el diseño e implementación del control interno para prevenir y detectar
dichas acciones.
• Evaluar si continúa o no la ejecución de la auditoria
• Documentar todas las comunicaciones, planeación, resultados,
evaluaciones y conclusiones relacionadas con irregularidades materiales y
acciones ilegales que han sido notificadas a la gerencia, a los responsables
del gobierno corporativo, autoridades responsables de la normatividad
dentro de la organización y otros.
 S10- Gobernabilidad de TI
• El auditor de SI debe revisar y evaluar si la función de SI está alineada
con la misión, visión, valores, objetivos y estrategias de la organización.
• El auditor de SI debe revisar si la función de SI tiene una declaración
clara en cuanto al desempeño esperado por la empresa (eficacia y
eficiencia) y evaluar su cumplimiento.
• El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el
desempeño de los procesos administrativos.
• El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos
legales, ambientales y de calidad de la información, así como de los
requisitos fiduciarios y de seguridad.
• El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar
la función de SI.
• El auditor de SI debe revisar y evaluar el ambiente de control de la
organización.
• El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de
manera adversa el entorno de SI.
 S11- USO DE LA EVALUACIÓN DE RIESGOS
EN LA PLANEACIÓN DE AUDITORÍA
• El auditor de SI debe utilizar una técnica o
enfoque apropiado de evaluación de riesgos
al desarrollar el plan general de auditoría de
SI y al determinar prioridades para la
asignación eficaz de los recursos de auditoría
de SI.
• Al planear revisiones individuales, el auditor
de SI debe identificar y evaluar los riesgos
relevantes al área bajo revisión.
 S12- MATERIALIDAD DE AUDITORÍA
• El auditor de SI debe considerar la materialidad de la auditoría y su
relación con el riesgo de auditoría a la vez que determina la
naturaleza, los plazos y el alcance de los procedimientos de auditoría.
• Mientras planifica la auditoría, el auditor de SI debe considerar las
posibles debilidades o la ausencia de controles, y si tales debilidades o
ausencias de controles pueden ocasionar una deficiencia importante o
una debilidad material en el sistema de información.

• El auditor de SI debe considerar el efecto acumulativo de las

deficiencias o debilidades menores de control y la ausencia de
controles que pueden traducirse en una deficiencia significativa o
debilidad material en el sistema de información.

• El informe del auditor de SI debe divulgar los controles ineficaces o la

ausencia de controles, y el significado de estas deficiencias, así como
la posibilidad de que estas debilidades ocasionen una deficiencia
importante o debilidad material.
 S 13- USO DEL TRABAJO DE OTROS EXPERTOS

• Se debe evaluar y estar satisfecho con las credenciales profesionales,

competencias, experiencia relevante, recursos, independencia y
procesos de control de calidad de otros expertos, antes de su
contratación.
• Se debe evaluar, revisar y calificar el trabajo de otros expertos como
parte de la auditoría y concluir el grado de utilidad y la fiabilidad del
trabajo del experto.
• El auditor de SI debe determinar y concluir si el trabajo de otros expertos
resulta adecuado y suficiente para permitir que el auditor de SI saque
sus conclusiones con respecto a los objetivos actuales de la auditoría.
Dicha conclusión debe documentarse claramente.
• El auditor de SI debe aplicar procedimientos de prueba adicionales para
lograr una evidencia de auditoría suficiente y apropiada en
circunstancias en las que el trabajo de otros expertos no la proporciona.
• El auditor de SI debe proporcionar una opinión de auditoría apropiada e
incluir los límites del alcance cuando no se obtenga la evidencia
requerida mediante procedimientos de prueba adicionales.
 S 14- EVIDENCIA DE AUDITORÍA
• Se debe obtener evidencias de auditoría
suficientes y apropiadas para llegar a
conclusiones razonables sobre las que basar
los resultados de la auditoría.
• El auditor de SI debe evaluar la suficiencia de
las evidencias de auditoría obtenidas durante
la misma.
 S 14- EVIDENCIA DE AUDITORÍA
• Evidencia apropiada
■ Incluye los procedimientos realizados por el auditor
■ Incluye los resultados de los procedimientos
realizados por el auditor de SI
■ Incluye los documentos fuente (en formato
electrónico o impresos en papel), registros e
información de corroboración utilizados para apoyar la
auditoría
■ Incluye los hallazgos y resultados del trabajo de
auditoría
■ Demuestra que el trabajo fue realizado y cumple con
las leyes, normativas y políticas aplicables
 S 14- EVIDENCIA DE AUDITORÍA
• Evidencia fiable
■ Aparece en forma escrita, en lugar de
presentarse como expresiones orales
■ Se obtiene de fuentes independientes
■ Es obtenida por el auditor de SI en lugar de
obtenerlo de la entidad que se está auditando
■ Es certificada por una entidad independiente
■ Es mantenida por una entidad independiente
 S 14- EVIDENCIA DE AUDITORÍA
Evidencia suficiente
• Puede considerarse suficiente si soporta todas las
preguntas materiales referentes al objetivo y al
alcance de la auditoría.
• Debe ser objetiva y suficiente para permitir que
un tercero independiente repita la ejecución de
las pruebas y obtenga los mismos resultados.
• Debe ser proporcional a la materialidad del
elemento y a los riesgos involucrados.
• La suficiencia es una medida de la cantidad de
evidencias de auditoría
 S15 Controles de TI
• Se debe evaluar y supervisar los controles de
TI que son parte integral del entorno de
control interno de la organización.
• El auditor de SI debe asistir a la gerencia
proporcionando consejos con respecto al
diseño, la implementación, la operación y la
mejora de controles de TI.
 S15 Controles de TI
Controles generales
• Incluyen controles transversales, controles
detallados y controles de aplicación, referidos a
controles sobre la adquisición, implementación,
entrega y soporte a los sistemas y servicios de TI.
• Son controles que minimizan el riesgo en el
funcionamiento general de los sistemas e
infraestructura de TI de la organización, y un
extenso conjunto de soluciones automatizadas
(aplicaciones).
Controles de aplicación
• Son un conjunto de controles incrustados dentro
de las aplicaciones.
 S16 Comercio electrónico
• El auditor de SI debe evaluar los controles
aplicables, y cotejar los riesgos al revisar
entornos de comercio electrónico, para
asegurar que las transacciones de comercio
electrónico están correctamente controladas.
• Objetivos de Control para la Información y
Tecnologías Relacionadas