PREPACIO
La serie 5300-5399 de las ISSAI ha sido asignada a las Directrices sobre Auditoría de Tecnología de la Información en el marco de estas normas internacionales. La ISSAI 5300, primera en la serie ISSAI 5300, es de alcance global y contiene principios generales sobre los fundamentos de la auditoría de TI. Aborda los principios, el enfoque y la metodología general para realizar este tipo de auditorías.
La ISSAI 5300 también busca servir como una guía para que las EFS puedan llevar a cabo auditorías de TI, desarrollar la capacidad de auditoría de TI y utilizar los recursos limitados de auditoría de TI, a fin de proporcionar una garantía a las entidades auditadas, al gobierno y al pueblo de un país en materia de integridad, confiabilidad y relación precio-calidad en implementaciones de TI.
La ISSAI 5300 se ha desarrollado en el marco de las ISSAI, mediante la realización de una revisión de las normas existentes en relación con las auditorías de TI/Auditorías de Sistemas de Información, las normas relativas a los sistemas de información, las normas nacionales e internacionales de auditoría, en particular, las ISSAI existentes. Otra característica clave de la ISSAI 5300 es que asegura que la naturaleza básica inherente a las auditorías de TI esté vinculada/integrada adecuadamente, con las diferentes formas de auditoría identificadas en las ISSAI nivel 3.
Además, al ser una orientación nivel 4, el material en esta ISSAI se ha dividido en dos categorías: Requerimientos - elementos esenciales para la realización de una auditoría de TI de buena calidad; seguido por Explicaciones - que interpretan y definen los requerimientos en términos más generales. Esto se ha hecho para asegurar que la ISSAI conserve su función principal de proporcionar orientación y apoyo general como está previsto en el marco de las ISSAI.
La ISSAI 5300 también tiene en cuenta los niveles de madurez de los sistemas de información en el sector gubernamental y el nivel de madurez de las auditorías de TI en diferentes EFS.
Esta ISSAI se estructura en los siguientes subtemas principales:
1. Marco para las auditorías de TI;
La ISSAI 5300 se ha desarrollado en el marco de las ISSAI, mediante la realización de una revisión de las normas existentes en relación con las auditorías de TI/Auditorías de Sistemas de Información, las normas relativas a los sistemas de información, las normas nacionales e internacionales de auditoría, en particular, las ISSAI existentes. Otra característica clave de la ISSAI 5300 es que asegura que la naturaleza básica inherente a las auditorías de TI esté vinculada/integrada adecuadamente, con las diferentes formas de auditoría identificadas en las ISSAI nivel 3.
Además, al ser una orientación nivel 4, el material en esta ISSAI se ha dividido en dos categorías: Requerimientos - elementos esenciales para la realización de una auditoría de TI de buena calidad; seguido por Explicaciones - que interpretan y definen los requerimientos en términos más generales. Esto se ha hecho para asegurar que la ISSAI conserve su función principal de proporcionar orientación y apoyo general como está previsto en el marco de las ISSAI.
La ISSAI 5300 también tiene en cuenta los niveles de madurez de los sistemas de información en el sector gubernamental y el nivel de madurez de las auditorías de TI en diferentes EFS.
Esta ISSAI se estructura en los siguientes subtemas principales:
1. Marco para las auditorías de TI;
2. Requerimientos generales específicamente relacionados con las auditorías de TI;
3. Requerimientos específicos para el proceso de auditoría de TI;
4. Técnicas y herramientas de auditoría de TI;
5. Requerimientos de información de las auditorías de TI.
3. Requerimientos específicos para el proceso de auditoría de TI;
4. Técnicas y herramientas de auditoría de TI;
5. Requerimientos de información de las auditorías de TI.
Es importante destacar que existe un anexo dedicado al análisis de datos.
Esta ISSAI sienta las bases para el desarrollo futuro de las ISSAI de la serie 5300-5399 y/o de guías sobre materias específicas, de interés para la comunidad de la INTOSAI en el ámbito de las auditorías de TI.
La elaboración de este trabajo estuvo a cargo de un equipo compuesto por las EFS de Brasil, India (jefe de proyecto), Indonesia, Japón, Polonia y los EE.UU, EFS que estuvo a cargo de su redacción.
A. MARCO PARA LA AUDITORÍA DE TI
1. Mandato y alcance de la ISSAI 5300
1.1 La ISSAI 5300 establece el marco general para la realización de las auditorías de TI en el marco de las ISSAI.
1.2 El marco establecido en esta ISSAI es coherente con los Principios Fundamentales de Fiscalización del Sector Público (ISSAI 100), los Principios Fundamentales de la Auditoría Financiera (ISSAI 200), los Principios fundamentales de la Fiscalización Operativa (ISSAI 300) y los Principios Fundamentales de la Auditoría de Cumplimiento (ISSAI 400).
1.3 Este proyecto de ISSAI define los requerimientos para la práctica profesional de la auditoría de TI, seguidos de explicaciones para mejorar la claridad y facilidad de lectura del marco.
1.4 Los requisitos contienen información necesaria para un trabajo de alta calidad en materia de auditoría de TI. Estos permiten que los auditores sepan lo que se espera de ellos y que los grupos de interés sepan lo que pueden esperar de la auditoría de TI realizada por una EFS.
1.5 Las explicaciones describen con más detalle lo que significa un requisito o lo que intenta abarcar.
1.6 Este proyecto de ISSAI ha sido preparado por un equipo de proyecto compuesto por las EFS de Japón, Polonia, Indonesia, India, los EE.UU. y Brasil.
2. Introducción a las Auditorías de TI
2.1 Las entidades gubernamentales han adoptado cada vez más las tecnologías de la información y la comunicación (TIC) para llevar a cabo sus funciones y ofrecer diversos servicios. Tales sistemas basados en las TIC son comúnmente conocidos como Sistemas de Información (SI) o Sistemas de Tecnología de la Información (TI).
2.2 Las Entidades Fiscalizadoras Superiores (EFS) tienen el mandato de auditar al Gobierno y sus entidades, de acuerdo con su respectivo mandato de auditoría. ¹
2.3 Las EFS, por lo tanto, promueven la eficiencia, la rendición de cuentas, la eficacia y la transparencia de la administración pública. ²
2.4 El desarrollo continuo de la tecnología de la información y la comunicación ha hecho posible capturar, almacenar, procesar y entregar información en forma electrónica. Esta transición hacia el procesamiento electrónico ha provocado un cambio significativo en el entorno en el que trabajan las EFS. Por otra parte, el gasto del gobierno en TI está creciendo, por lo tanto se hace imperativo para las EFS desarrollar la capacidad adecuada para llevar a cabo las auditorías de TI.
3. Definición de auditoría de TI
3.1 Las auditorías de TI se definen como:
"Un examen y revisión de los sistemas de TI y controles relacionados que busca obtener seguridad o identificar violaciones a los principios de legalidad, eficiencia, economía y eficacia del sistema de TI y sus controles relacionados."
3.2 Auditoría de TI ³ es por lo tanto, un término amplio que abarca las auditorías financieras ⁴ (para evaluar la exactitud y el cumplimiento de las manifestaciones realizadas en los estados financieros de una organización), las auditorías de cumplimiento ⁵ (evaluación de los controles internos), y las auditorías operativas ⁶ (para evaluar si los sistemas de TI satisfacen las necesidades de los usuarios y no someten a la entidad a riesgos innecesarios). Sin embargo, puede haber casos en que algunas auditorías sólo se destinen a evaluar un determinado componente TI de un sistema.
4. Mandato para las auditorías de TI
4.1 El mandato de la EFS para ejecutar auditorías de TI se deriva del mandato general de la EFS para realizar auditorías.⁷ Algunas EFS también pueden tener un mandato específico para la realización de auditorías de TI o auditoría de los sistemas de TI.
4.2 Para muchas EFS, el mandato para realizar auditorías financieras, auditorías operativas, y auditorías de cumplimiento será mandato suficiente para llevar a cabo las auditorías de TI. Esto se debe a que los sistemas de TI apoyan las principales operaciones de una entidad, que pueden incluir los sistemas financieros. Por lo tanto, la ejecución de auditorías de TI puede no requerir mandatos adicionales.
4.3 El mandato específico, si se proporciona, debe definir el alcance de la auditoría para auditar sistemas de TI, que son utilizados por la entidad para cumplir sus objetivos funcionales. También debe proporcionar un acceso oportuno, ilimitado, directo y libre a todos los documentos necesarios y la información de la entidad ⁸, tanto físicos como electrónicos, ya sea si la función o cualquiera de su partes es realizada por personal interno o subcontratado.
4.4 El mandato de la EFS para llevar a cabo las auditorías de TI debe ajustarse a los principios contenidos en las ISSAI de los niveles 1 y 2.
B. REQUERIMIENTOS GENERALES ESPECÍFICAMENTE RELACIONADOS CON LAS AUDITORÍAS DE TI
5. Enfoque de auditoría basada en riesgos de la Auditoría de TI
A. MARCO PARA LA AUDITORÍA DE TI
1. Mandato y alcance de la ISSAI 5300
1.1 La ISSAI 5300 establece el marco general para la realización de las auditorías de TI en el marco de las ISSAI.
1.2 El marco establecido en esta ISSAI es coherente con los Principios Fundamentales de Fiscalización del Sector Público (ISSAI 100), los Principios Fundamentales de la Auditoría Financiera (ISSAI 200), los Principios fundamentales de la Fiscalización Operativa (ISSAI 300) y los Principios Fundamentales de la Auditoría de Cumplimiento (ISSAI 400).
1.3 Este proyecto de ISSAI define los requerimientos para la práctica profesional de la auditoría de TI, seguidos de explicaciones para mejorar la claridad y facilidad de lectura del marco.
1.4 Los requisitos contienen información necesaria para un trabajo de alta calidad en materia de auditoría de TI. Estos permiten que los auditores sepan lo que se espera de ellos y que los grupos de interés sepan lo que pueden esperar de la auditoría de TI realizada por una EFS.
1.5 Las explicaciones describen con más detalle lo que significa un requisito o lo que intenta abarcar.
1.6 Este proyecto de ISSAI ha sido preparado por un equipo de proyecto compuesto por las EFS de Japón, Polonia, Indonesia, India, los EE.UU. y Brasil.
2. Introducción a las Auditorías de TI
2.1 Las entidades gubernamentales han adoptado cada vez más las tecnologías de la información y la comunicación (TIC) para llevar a cabo sus funciones y ofrecer diversos servicios. Tales sistemas basados en las TIC son comúnmente conocidos como Sistemas de Información (SI) o Sistemas de Tecnología de la Información (TI).
2.2 Las Entidades Fiscalizadoras Superiores (EFS) tienen el mandato de auditar al Gobierno y sus entidades, de acuerdo con su respectivo mandato de auditoría. ¹
2.3 Las EFS, por lo tanto, promueven la eficiencia, la rendición de cuentas, la eficacia y la transparencia de la administración pública. ²
2.4 El desarrollo continuo de la tecnología de la información y la comunicación ha hecho posible capturar, almacenar, procesar y entregar información en forma electrónica. Esta transición hacia el procesamiento electrónico ha provocado un cambio significativo en el entorno en el que trabajan las EFS. Por otra parte, el gasto del gobierno en TI está creciendo, por lo tanto se hace imperativo para las EFS desarrollar la capacidad adecuada para llevar a cabo las auditorías de TI.
3. Definición de auditoría de TI
3.1 Las auditorías de TI se definen como:
"Un examen y revisión de los sistemas de TI y controles relacionados que busca obtener seguridad o identificar violaciones a los principios de legalidad, eficiencia, economía y eficacia del sistema de TI y sus controles relacionados."
3.2 Auditoría de TI ³ es por lo tanto, un término amplio que abarca las auditorías financieras ⁴ (para evaluar la exactitud y el cumplimiento de las manifestaciones realizadas en los estados financieros de una organización), las auditorías de cumplimiento ⁵ (evaluación de los controles internos), y las auditorías operativas ⁶ (para evaluar si los sistemas de TI satisfacen las necesidades de los usuarios y no someten a la entidad a riesgos innecesarios). Sin embargo, puede haber casos en que algunas auditorías sólo se destinen a evaluar un determinado componente TI de un sistema.
4. Mandato para las auditorías de TI
4.1 El mandato de la EFS para ejecutar auditorías de TI se deriva del mandato general de la EFS para realizar auditorías.⁷ Algunas EFS también pueden tener un mandato específico para la realización de auditorías de TI o auditoría de los sistemas de TI.
4.2 Para muchas EFS, el mandato para realizar auditorías financieras, auditorías operativas, y auditorías de cumplimiento será mandato suficiente para llevar a cabo las auditorías de TI. Esto se debe a que los sistemas de TI apoyan las principales operaciones de una entidad, que pueden incluir los sistemas financieros. Por lo tanto, la ejecución de auditorías de TI puede no requerir mandatos adicionales.
4.3 El mandato específico, si se proporciona, debe definir el alcance de la auditoría para auditar sistemas de TI, que son utilizados por la entidad para cumplir sus objetivos funcionales. También debe proporcionar un acceso oportuno, ilimitado, directo y libre a todos los documentos necesarios y la información de la entidad ⁸, tanto físicos como electrónicos, ya sea si la función o cualquiera de su partes es realizada por personal interno o subcontratado.
4.4 El mandato de la EFS para llevar a cabo las auditorías de TI debe ajustarse a los principios contenidos en las ISSAI de los niveles 1 y 2.
B. REQUERIMIENTOS GENERALES ESPECÍFICAMENTE RELACIONADOS CON LAS AUDITORÍAS DE TI
5. Enfoque de auditoría basada en riesgos de la Auditoría de TI
Requerimiento:
El auditor deberá considerar los riesgos de la auditoría de TI cuando tome un riesgo basado en el enfoque, método o modelo de auditoría.
Las auditorías de TI deberán llevarse a cabo sobre la base de un enfoque de auditoría basada en riesgos
Explicación:
El auditor deberá considerar los riesgos de la auditoría de TI cuando tome un riesgo basado en el enfoque, método o modelo de auditoría.
Las auditorías de TI deberán llevarse a cabo sobre la base de un enfoque de auditoría basada en riesgos
Explicación:
Baje AQUÍ las Directrices sobre Auditoria de TI
No hay comentarios:
Publicar un comentario