ndice

Introduccin
Cdigo de tica Profesional de ISACA
Guas
Guas generales (series 2000)
Gua de Auditora y Aseguramiento de SI 2001 Estatuto de Auditora
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2002 Independencia Organizacional
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2003 Independencia Profesional
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2004 Expectativa Razonable
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2005 Debido Cuidado Profesional
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2006 Competencia
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2007 Afirmaciones
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2008 Criterios
Vinculacin con Estndares
Guas de rendimiento (series 2200)
Gua de Auditora y Aseguramiento de SI 2201 Planificacin de la Asignacin
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la
Planificacin
Vinculacin con estndares
Gua de Auditora y Aseguramiento de SI 2203 Rendimiento y Supervisin
Vinculacin con estndares
Gua de Auditora y Aseguramiento de SI 2204 Materialidad
Vinculacin con Estndares
Gua de Auditora y Aseguramiento de SI 2205 Evidencia
Vinculacin con estndares
Gua de Auditora y Aseguramiento de SI 2206 Uso del Trabajo de Otros
Expertos
Vinculacin con estndares
Gua de Auditora y Aseguramiento de SI 2207 Actos Irregulares e Ilegales
Vinculacin con estndares
Gua de Auditora y Aseguramiento de SI 2208 Muestreo
Vinculacin con estndares
Guas de presentacin de informes (series 2400)
Gua de Auditora y Aseguramiento de SI 2401 Reportes
Vinculacin con estndares
Contenidos Requeridos del Informe de Trabajo de Auditora
Comunicacin adicional
Gua de Auditora y Aseguramiento de SI 2402 Actividades de Seguimiento
Vinculacin con estndares
Proceso de Seguimiento

Procedimientos de Seguimiento
Posponer las Actividades de Seguimiento
Formas de Respuesta de Seguimiento
Seguimiento de los Profesionales Sobre Recomendaciones de Auditora
Externas
Informe de Actividades de Seguimiento
Conclusin
Bibliografa

Introduccin
En este documento se expone el Cdigo de tica Profesional de ISACA y una serie de
guas diseadas por ISACA con la finalidad de orientar a los profesionales auditores en el
proceso de auditora y establecer un nivel mnimo de desempeo aceptable requerido para
cumplir las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de
ISACA.
Se ha optado para que el eje principal de este documento sea el conjunto de guas,
establecidas por ISACA, por el carcter prctico de las mismas y porque a su vez estn
basadas en los estndares establecidos por ISACA.
Se han descrito, en particular, con ms detalle que las dems, la Gua de Auditora y
Aseguramiento de SI 2401 Reportes y la Gua de Auditora y Aseguramiento de SI 2402
Actividades de Seguimiento, ya que las mismas pertenecen a las series de guas 2400,
dichas series se centran, principalmente, en todo lo relacionado a la presentacin de
informes.

Cdigo de tica Profesional de ISACA

ISACA establece este Cdigo de tica Profesional para guiar la conducta profesional y
personal
de los miembros y/o poseedores de certificaciones de la asociacin.
Los miembros y los poseedores de certificaciones de ISACA debern:
1. Respaldar la implementacin y promover el cumplimiento con estndares y
procedimientos apropiados del gobierno y gestin efectiva de los sistemas de
informacin y la tecnologa de la empresa, incluyendo la gestin de auditora,
control, seguridad y riesgos.
2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado
profesional, de acuerdo con estndares de la profesin.
3. Servir en beneficio de las partes interesadas de un modo legal y honesto y, al
mismo tiempo, mantener altos niveles de conducta y carcter, y no involucrarse en
actos que desacrediten su profesin o a la Asociacin
4. Mantener la privacidad y confidencialidad de la informacin obtenida en el
curso de sus deberes a menos que la divulgacin sea requerida por una autoridad
legal. Dicha informacin no debe ser utilizada para beneficio personal ni revelada a
partes inapropiadas.
5. Mantener la aptitud en sus respectivos campos y asumir slo aquellas
actividades que razonablemente esperen completar con las habilidades,
conocimiento y competencias necesarias
6. Informar los resultados del trabajo realizado a las partes apropiadas,
incluyendo la revelacin de todos los hechos significativos sobre los cuales tengan
conocimiento que, de no ser divulgados, pueden distorsionar el reporte de los
resultados.
7. Respaldar la educacin profesional de las partes interesadas para que
tengan una mejor comprensin del gobierno y la gestin de los sistemas de
informacin y la tecnologa de la empresa, incluyendo la gestin de la auditora,
control, seguridad y riesgos.
El incumplimiento de este Cdigo de tica Profesional puede acarrear una investigacin de
la conducta de un miembro y/o titular de la certificacin y, en ltima instancia, medidas
disciplinarias.

Guas
ISACA establece una serie de guas tiles para auxiliar al auditor en el proceso de
aplicacin de estndares.
ISACA ha diseado estas gua como el nivel mnimo de desempeo aceptable requerido
para cumplir las responsabilidades profesionales indicadas en el Cdigo de tica
Profesional de ISACA.
Las guas, apoyan a los estndares y tambin se dividen en tres categoras:
Guas generales (series 2000).
Guas de rendimiento (series 2200).
Guas de presentacin de informes (series 2400).

Guas generales (series 2000)

Gua de Auditora y Aseguramiento de SI 2001 Estatuto de Auditora
El propsito de esta gua es ayudar a los profesionales de auditora y aseguramiento de SI
en la preparacin del Estatuto de auditora. El Estatuto de auditora define el propsito,
responsabilidad, autoridad y responsabilidad final de la funcin de auditora y
aseguramiento de SI.
Vinculacin con Estndares
Estndar 1001 Estatuto de auditora.
Estndar 1002 Independencia organizacional.
Estndar 1003 Independencia profesional.

Gua de Auditora y Aseguramiento de SI 2002 Independencia Organizacional

El propsito de esta gua es direccionar la independencia de la funcin de auditora y
aseguramiento de SI en la empresa. Se consideran tres aspectos importantes:
La posicin de la funcin de auditora y aseguramiento de SI dentro de la
empresa.
El nivel al que reporta la funcin de auditora y aseguramiento de SI dentro
de la empresa.
El desempeo de servicios distintos de auditora dentro de la empresa por la
gerencia y profesionales de auditora y aseguramiento de SI.
Esta gua ofrece orientacin sobre la evaluacin de la independencia organizacional y
detalla la relacin entre la independencia organizacional y la carta y plan de auditora.
Vinculacin con Estndares
Estndar 1001 Estatuto de auditora.
Estndar 1002 Independencia organizacional.
Estndar 1003 Independencia profesional.
Estndar 1004 Expectativa razonable.
Estndar 1006 Competencia.

Gua de Auditora y Aseguramiento de SI 2003 Independencia Profesional

El propsito de esta gua es proporcionar un marco que permita a los profesionales de
auditora y aseguramiento de SI a:
Establecer cundo la independencia puede ser o parecer ser daada.
Considerar posibles alternativas potenciales al proceso de auditora cuando
la independencia es, o parece ser daada.
Reducir o eliminar el impacto o independencia de los profesionales de
auditora y aseguramiento de SI al realizar roles, funciones y servicios distintos de
auditora.
Determinar los requisitos de divulgacin cuando la independencia requerida
es, o puede ser, daada.
Los profesionales de auditora y aseguramiento deben considerar esta gua para determinar
cmo implementar el estndar, usar su juicio profesional en su aplicacin, estar preparado
para justificar cualquier desviacin y buscar orientacin adicional si se considera necesario.
Vinculacin con Estndares
Estndar 1002 Independencia Organizacional.
Estndar 1003 Independencia Profesional.
Estndar 1005 Debido Cuidado Profesional.

Gua de Auditora y Aseguramiento de SI 2004 Expectativa Razonable

El propsito de esta gua es asistir a los profesionales de auditora y aseguramiento de SI
en implementar el principio de expectativa razonable en la ejecucin de encargos de
auditora. Las principales caractersticas sobre las que los profesionales deben tener
expectativa razonable son:
El trabajo de auditora se puede realizar de acuerdo con estas normas, otros
estndares o reglamentos aplicables, y dar lugar a una opinin o conclusin
profesional.
El alcance del trabajo de auditora permite expresar una opinin o conclusin
sobre el sujeto.
La administracin les proporcionar informacin apropiada, relevante y
oportuna requerida para realizar el trabajo de auditora.
Esta gua ayuda tambin a los profesionales de auditora y aseguramiento de SI a abordar
las limitaciones del alcance y proporciona orientacin para aceptar un cambio en los
trminos.
Vinculacin con Estndares
Estndar 1001 Estatuto de Auditora.
Estndar 1004 Expectativa Razonable.

Gua de Auditora y Aseguramiento de SI 2005 Debido Cuidado Profesional

El propsito de esta gua es clarificar el trmino debido cuidado profesional que se aplica a
la realizacin de un trabajo de auditora con integridad y cuidado en el cumplimiento con los
Cdigos de tica Profesional de ISACA.
Esta gua explica como los profesionales de auditora y aseguramiento de SI deben aplicar
el debido cuidado profesional en la planificacin, realizacin y presentacin de informes en
un trabajo de auditora.
Vinculacin con Estndares
Estndar 1002 Independencia Organizacional.
Estndar 1003 Independencia Profesional.
Estndar 1005 Debido Cuidado Profesional.
Estndar 1006 Competencia.
Estndar 1205 Evidencia de Auditora.

Gua de Auditora y Aseguramiento de SI 2006 Competencia

Esta gua ofrece orientacin para ayudar a los profesionales de auditora y aseguramiento
de SI a adquirir las habilidades y conocimiento necesario y mantener las competencias
profesionales en el ejercicio de los trabajos de auditora.
Vinculacin con Estndares
Estndar 1005 Debido Cuidado Profesional.
Estndar 1006 Competencia.
Estndar 1201 Planificacin de la Asignacin.
Estndar 1203 Desempeo y Supervisin.

Gua de Auditora y Aseguramiento de SI 2007 Afirmaciones

El propsito de esta gua es detallar las diferentes afirmaciones, guiar a los profesionales de
auditora y aseguramiento de SI en asegurar que el criterio, contra los que se evala la
materia, es compatible con las afirmaciones y proporcionan orientacin para formular una
conclusin y redaccin de un informe sobre las afirmaciones.
Vinculacin con Estndares
Estndar 1007 Afirmaciones.
Estndar 1008 Criterios.
Estndar 1204 Materialidad.
Estndar 1206 Uso del Trabajo de Otros Expertos.
Estndar 1401 Reportes.

Gua de Auditora y Aseguramiento de SI 2008 Criterios

El propsito de esta gua es ayudar a los profesionales de auditora y aseguramiento de SI a
seleccionar los criterios, contra los que se evaluar la materia, que son adecuados y
proceden de una fuente relevante.

Vinculacin con Estndares

Estndar 1007 Afirmaciones.
Estndar 1008 Criterios.

Guas de rendimiento (series 2200)

Gua de Auditora y Aseguramiento de SI 2201 Planificacin de la Asignacin
Esta gua proporciona ayuda a los profesionales de auditora y aseguramiento de SI. La
planificacin adecuada ayuda a garantizar que se dedica la atencin adecuada a las reas
importantes de la auditora, se identifican y resuelven los problemas potenciales de manera
oportuna, y que el trabajo de auditora est organizado adecuadamente, gestionado y
realizado de una forma efectiva y eficaz.
Vinculacin con Estndares
Estndar 1201 Planificacin de la asignacin.
Estndar 1202 Evaluacin de Riesgos en la Planificacin de Auditora.
Estndar 1203 Desempeo y Supervisin.
Estndar 1204 Materialidad

Gua de Auditora y Aseguramiento de SI 2202 Anlisis de Riesgos en la

Planificacin
El nivel de trabajo de auditora requerido para conseguir los objetivos de auditora es una
decisin subjetiva realizada por los profesionales de auditora y aseguramiento de SI. El
propsito de esta gua es reducir el riesgo de alcanzar una conclusin incorrecta basada en
los hallazgos de auditora y reducir la existencia de errores en el rea auditada.
La gua proporciona ayuda en aplicar una aproximacin de anlisis de riesgos para
desarrollar:
Plan de auditora de SI que cubre todos los trabajos de auditora anuales.
Plan de proyecto del trabajo de auditora que se enfoca en un trabajo de
auditora especifico.
La gua proporciona los detalles de los diferentes tipos de riesgo que se encuentran los
profesionales de auditora y aseguramiento de SI se encontrara.
Vinculacin con estndares
Estndar 1201 Planificacin de la asignacin.
Estndar 1202 Evaluacin de riesgo en planificacin.
Estndar 1203 Desempeo y supervisin.
Estndar 1204 Materialidad.
Estndar 1207 Irregularidades y actos ilegales.

Gua de Auditora y Aseguramiento de SI 2203 Rendimiento y Supervisin

Esta gua proporciona ayuda a los profesionales de auditora y aseguramiento de SI en la
realizacin del trabajo de auditora y supervisor los miembros de los equipos de auditora de
SI. Cubre:
Realizar un trabajo de auditora.
Roles y responsabilidades, conocimiento requerido y habilidades para
realizar trabajos de auditora.

Aspectos claves de la supervisin.

Obtener evidencias.
Documentar el trabajo realizado.
Formular hallazgos y conclusiones.

Vinculacin con estndares

Estndar 1005 Debido Cuidado Profesional.
Estndar 1006 Competencia.
Estndar 1201 Planificacin de la asignacin.
Estndar 1203 Desempeo y supervisin.
Estndar 1205 Evidencia.
Estndar 1401 Reportes.

Gua de Auditora y Aseguramiento de SI 2204 Materialidad

El propsito de esta gua es definir claramente el concepto de materialidad para los
profesionales de auditora y aseguramiento de SI y hacer una clara distincin con el
concepto de materialidad utilizado por los profesionales de auditora y aseguramiento
financiera.
La gua ayuda al profesional de auditora y aseguramiento de SI a evaluar la materialidad
del sujeto y considerar materialidad en relacin con los controles y cuestiones reportables.
Vinculacin con Estndares
Estndar 1201 Planificacin de la asignacin.
Estndar 1202 Evaluacin de riesgo en planificacin.
Estndar 1204 Materialidad.
Estndar 1207 Irregularidades y actos ilegales.

Gua de Auditora y Aseguramiento de SI 2205 Evidencia

El propsito de esta gua es proporcionar ayuda a los profesionales de auditora y
aseguramiento de SI a obtener evidencia suficiente y apropiada, evaluar la evidencia
recibida y preparar la documentacin de auditora apropiada.
Vinculacin con estndares
Estndar 1203 Desempeo y supervisin.
Estndar 1205 Evidencia.
Estndar 1206 Uso del Trabajo de Otros Expertos.

Gua de Auditora y Aseguramiento de SI 2206 Uso del Trabajo de Otros

Expertos
Esta gua proporciona asesoramiento a los profesionales de auditora y garanta de SI
cuando consideren el uso del trabajo de otros expertos. La gua ayuda a evaluar la
adecuacin de los expertos, revisiones y evaluaciones del trabajo de otros expertos, evaluar
las necesidades para realizar procedimientos de pruebas adicionales y expresar una opinin

para el trabajo de auditora, mientras se tiene en cuenta el trabajo realizado por otros
expertos.
Vinculacin con estndares
Estndar 1007 Afirmaciones.
Estndar 1203 Desempeo y supervisin.
Estndar 1206 Uso del Trabajo de Otros Expertos.

Gua de Auditora y Aseguramiento de SI 2207 Actos Irregulares e Ilegales

El propsito de esta gua es proporcionar ayuda a los profesionales de auditora y
aseguramiento de SI de cmo manejar las irregularidades y actos ilegales.
La gua detalla las responsabilidades tanto de la gerencia como de los profesionales de
auditora y aseguramiento de SI respecto a las irregularidades y actos ilegales. Asimismo
proporciona ayuda de cmo manejar las irregularidades y actos ilegales durante la
planificacin y realizacin del trabajo de auditora. Finalmente, la gua sugiere buenas
prcticas para reporte interno y externo sobre las irregularidades y actos ilegales.
Vinculacin con estndares
Estndar 1005 Debido Cuidado Profesional.
Estndar 1201 Planificacin de la asignacin.
Estndar 1202 Evaluacin de riesgo en planificacin.
Estndar 1207 Irregularidades y Actos Ilegales.
Estndar 1401 Reportes

Gua de Auditora y Aseguramiento de SI 2208 Muestreo

El propsito de esta gua es proporcionar asesoramiento a los profesionales de auditora y
aseguramiento de SI disear y seleccionar una muestra de auditora y evaluacin de los
resultados de la muestra. Un muestreo y evaluacin apropiados ayudara a lograr los
requerimientos de evidencia suficiente y apropiada.
Vinculacin con estndares
Estndar 1006 Competencia.
Estndar 1202 Evaluacin de riesgo en planificacin.
Estndar 1203 Desempeo y supervisin.
Estndar 1205 Evidencia

Guas de presentacin de informes (series 2400)

Gua de Auditora y Aseguramiento de SI 2401 Reportes
Esta gua ofrece ayuda a los profesionales de auditora y aseguramiento de SI sobre los
diferentes tipos de trabajo de auditora de SI e informes relacionados.
La gua detalla todos los aspectos que se deben incluir en un informe de trabajo de
auditora y proporciona a los profesionales de auditora y aseguramiento de SI con las
consideraciones a realizar cuando se redacta y termina un informe de trabajo de auditora.
Vinculacin con estndares
Estndar 1007 Afirmaciones.
Estndar 1205 Evidencia.
Estndar 1401 Reportes.
Estndar 1402 Actividades de seguimiento.
Contenidos Requeridos del Informe de Trabajo de Auditora
Al desarrollar un informe de trabajo de auditora, se debe considerar toda
evidencia relevante obtenida, independientemente si aparecen corroborando o
contradiciendo la materia. Cuando haya una opinin, debe ser apoyada por los
resultados de los procedimientos de control basados en los criterios identificados.
Los profesionales deben concluir si se ha obtenido evidencia suficiente y apropiada
para apoyar las conclusiones en el informe de trabajo de auditora. Se puede
encontrar ms ayuda detallada en el Estndar 1205 Evidencia.
Cuando se concluya en un trabajo de examen o revisin, los profesionales
deben llegar a una expresin de opinin sobre si, en todos los aspectos materiales,
el diseo y/o operacin de los procedimientos de control en relacin al rea de
actividad fueron efectivos. Esta opinin puede ser:
No cualificadaLos profesionales deben expresar una
opinin no cualificada cuando concluyan que, en todos los aspectos
materiales, el diseo y/o operacin de los procedimientos de control en
relacin al rea de actividad fueron efectivos, de acuerdo con los criterios
aplicables.
CualificadaLos profesionales deben expresar una opinin
cualificada cuando:
Hayan obtenido evidencia suficiente y
apropiada, concluyan que la debilidad del control, individualmente o
en grupo, son materiales, pero no predominante en los objetivos de
auditora de SI
No son capaces de obtener evidencia suficiente
y apropiada en que basar la opinin, pero concluyen que los efectos
posibles sobre los objetivos de auditora de SI de debilidades no
detectadas, si hay, podran ser materiales pero no predominantes.

 Adversa Los profesionales deben expresar una opinin

adversa cuando una o ms deficiencias significativas se une a una debilidad
material y predominante
RenunciaLos profesionales deben renunciar una opinin
cuando no son capaces de obtener evidencia suficiente y apropiada en que
basar la opinin, y concluyen que el posible efecto sobre los objetivos de
auditora de las debilidades no detectadas, si hay, podra ser tanto material
como predominante.
El informe de examen o revisin de los profesionales sobre la efectividad de
procedimientos de control debe incluir los siguientes elementos:
Un ttulo apropiado y distintivo, claramente distinguir el informe
de cualquier otro tipo de informe no sujeto a estndares de auditora.
Identificar los destinatarios a quin se dirige el informe, de
acuerdo a los trminos en la carta de auditora o carta de encargo.
Identificar la parte responsable, incluyendo una declaracin de
la parte responsable para la materia.
Descripcin del alcance del trabajo de auditora, el nombre de
la entidad o componente de la entidad que relata la materia, incluyendo:
Identificacin o descripcin del rea de
actividad
Criterios usados como base para la conclusin
de los profesionales
Fecha o periodo de tiempo en que el trabajo,
evaluacin o medida relata la materia
Declaracin que el mantenimiento de una
estructura de control interno efectiva, incluyendo procedimientos de
control para el rea de actividad, es responsabilidad de la gerencia
Declaracin identificando la fuente de la representacin de la
gerencia sobre la efectividad de los procedimientos de control.
Declaracin que los profesionales han realizado el trabajo de
auditora para expresar una opinin sobre la efectividad de los
procedimientos de control
Identificacin del propsito (ej.: Objetivos de auditora de SI)
para lo que se han preparado los informes de los profesionales y titulados
para confiar en l, y una renuncia de responsabilidad para su uso para
cualquier otro propsito o por cualquier otra persona
Descripcin del criterio o rechazo de la fuente del criterio.
Adems, los profesionales deben considerar revelar:
Cualquier interpretacin significativa hecha para
aplicar el criterio
Mtodos de medicin utilizados cuando el
criterio permite una eleccin entre un nmero de mtodos de
medicin.
Cambios en los mtodos de medicin estndar
utilizados
Declaracin del trabajo de auditora ha sido realizado de
acuerdo con los estndares de auditora y aseguramiento de SI de ISACA u
otros estndares profesionales aplicables. Cualquier no cumplimiento con
estos estndares debe ser mencionado explcitamente en el informe.

 Adems detalles explicativos sobre las variables que afectan a

la aseguramiento proporcionada y otra informacin como adecuada
Hallazgos, conclusiones y recomendaciones para las acciones
correctivas e incluir la respuesta de la gerencia. Para cada respuesta de la
gerencia, los profesionales deben obtener informacin sobre las acciones
propuestas para implementar o direccionar las recomendaciones informadas
y la implementacin planificada o fechas de accin.
La gerencia responsable puede decidir aceptar
el riesgo de no corregir una condicin informada por coste,
complejidad de la accin correctiva o de otras consideraciones. El
comit de directores (o los encargados del Gobierno) deben estar
informados de las recomendaciones por las que la gerencia acepta el
riesgo de no corregir la situacin informada.
Si los profesionales y el auditado no estn de
acuerdo sobre una recomendacin particular o comentario de
auditora, las comunicaciones del trabajo pueden mostrar ambas
posiciones y las razones del desacuerdo. Los comentarios escritos
del auditado pueden ser incluidos como un anexo al informe del
trabajo. Alternativamente, la visin del auditado se puede presentar
en el cuerpo del informe o en una carta de introduccin. La gerencia
ejecutiva, o los encargados del Gobierno, deben tomar una decisin
sobre qu punto de vista apoyan.
Un prrafo indicando que debido a las limitaciones inherentes
de cualquier control interno, pueden ocurrir y no ser detectadas
declaraciones errneas debido a errores o fraude. Adems, el prrafo debe
indicar que las proyecciones de cualquier evaluacin de los controles
internos sobre los informes financieros a periodos futuros est sujeto al
riesgo que los controles internos puedan volverse inadecuados por los
cambios en las condiciones, o que el nivel de cumplimiento con las polticas o
procedimientos podra deteriorar. Un trabajo de auditora no est diseado
para detectar toda debilidad en los procedimientos de control porque no se
realiza continuamente durante el periodo y las pruebas realizadas sobre los
procedimientos de control son en base a muestras.
Un resumen del trabajo realizado, que ayudar a los usuarios
del informe a comprender mejor la naturaleza del aseguramiento comunicado
Una expresin de opinin acerca de si, en todos los aspectos
materiales, el diseo y/o operacin de los procedimientos de control en
relacin al rea de actividad fueron efectivos. Cuando la opinin de los
profesionales es cualificada, se debe incluir un prrafo describiendo las
razones de la cualificacin.
Cuando sea apropiado, referenciar cualquier otro informe
separado que deba ser considerado, como un informe separado que
comunique las vulnerabilidades de seguridad que est protegido frente a
difusin y debe ser distribuido a listas restrictas de destinatarios.
Fecha de emisin del informe del trabajo de auditora. En
muchos casos la fecha del informe se basa en la fecha del evento. Es
recomendable mencionar tambin las fechas en que fue realizado el trabajo
de auditora, si no se mencion ya en el resumen del trabajo realizado.

 Nombres de las personas o entidad responsable del informe,

firmas adecuadas y lugares.
Los informes de conformidad sobre procedimientos debe ser en forma de
procedimientos y hallazgos. El informe debe contener los siguientes elementos:
Titulo adecuado y distintivo, distinguir claramente el informe de
cualquier otro tipo de informe no sujeto a estndares de auditora. Identificar
la parte responsable, incluyendo una declaracin de la parte responsable de
la materia
Declarar que el trabajo de auditora se ha realizado de
acuerdo con los estndares de auditora y aseguramiento de SI de ISACA u
otros estndares profesionales aplicables. Cualquier no cumplimiento con
estos estndares debe ser mencionado explcitamente en el informe.
Identificacin de la materia (o la afirmacin escrita relacionada
al mismo) y el propsito (ej.: objetivos de auditora de SI) del trabajo de
auditora.
Declarar que los procedimientos realizados fueron los
acordados por las partes responsables identificadas en el informe
Declarar que la suficiencia de los procedimientos es
responsabilidad nica de las partes responsables y un rechazo de
responsabilidad de la suficiencia de esos procedimientos
Una lista de procedimientos realizados (o referencia a los
mismos)
Una descripcin de los hallazgos, incluyendo suficiente detalle
de errores y excepciones encontrados
Declarar que los profesionales slo realizaron la conformidad
sobre procedimientos y, por tanto, no se expresa aseguramiento
Declarar que si los profesionales hubieran realizado
procedimientos adicionales, podran haber surgido otras materias a la
atencin de los profesionales y hubiera sido reportada
Declarar las restricciones sobre el uso del informe ya que es
de uso nico por las partes especficas
Declarar que el informe solo se refiere a los elementos
especficos y que no se extiende ms all de ellos
Referencias a cualquier otro informe separado que se pueda
considerar
Fecha de realizacin del informe del trabajo de auditora. En
muchas instancias, la fecha del informe se basa en la fecha del evento. Se
recomienda mencionar tambin las fechas en que se realiz el trabajo de
auditora, si no se mencion ya en el resumen del trabajo realizado.
Nombres de personas o entidad responsable del informe,
firmas adecuadas y locales.
Hay dos tipos de reporte de examen:
Informes directosSobre la materia en lugar de sobre una
asercin. El informe deber hacer referencia solo al sujeto del trabajo y no
debe hacer ninguna referencia a la asercin de la gerencia sobre la materia.
Informes indirectosBasados en aserciones de la gerencia
sobre la materia.
Se puede encontrar ms ayuda detallada sobre la diferencia entre informe directo e
indirecto en el Estndar 1007 Afirmaciones.

Comunicacin adicional
Los profesionales deben discutir los contenidos del borrador del informe con
la gerencia en el rea antes de finalizar y entregar, e incluir la respuesta a los
hallazgos, conclusiones y recomendaciones de la gerencia en el informe final, si es
aplicable.
Los profesionales deben comunicar deficiencias significativas y debilidades
materiales en el entorno de control a los encargados del Gobierno y, si es aplicable,
a la autoridad responsable. Tambin deben concluir en el informe que han sido
comunicados.
Los profesionales deben comunicar a la gerencia las deficiencias de control
interno que son menos significativas pero ms que inconsecuentes. En esos casos,
los encargados del Gobierno o la autoridad responsable deben ser notificados por
los profesionales que tales deficiencias de control interno se han comunicado a la
gerencia.
Los profesionales deben obtener representacin escrita de la gerencia
reconociendo, al menos, las siguientes afirmaciones:
La responsabilidad de la gerencia para establecer y mantener
los controles internos adecuados y efectivos, incluyendo sistemas de finanza
interna y controles administrativos sobre actividades operativas y SI bajo
revisin, y las actividades para identificar todas las leyes, reglas y
regulaciones, que gobiernan el rea del sujeto bajo revisin, y para asegurar
el cumplimiento con ellos.
Toda informacin solicitada relevante para los objetivos de
trabajo fue proporcionada al equipo de trabajo incluyendo, pero sin limitar:
Registros, datos relacionados, ficheros
electrnicos e informes
Polticas y procedimientos
Personal pertinente
Resultados de auditoras, revisiones y
asignaciones de SI internos y externos relevantes
No ha sucedido ningn evento o se ha descubierto ninguna
materia desde el final del trabajo de campo que pudiera tener un efecto
material sobre el trabajo
La gerencia no tiene conocimiento de ningn fraude o
sospecha de fraude, irregularidad o acto ilegal relacionado al rea bajo
revisin, incluyendo gerencia y empleados con responsabilidad en el control
interno aun no divulgado.
La gerencia no tiene conocimiento de ninguna alegacin de
fraude o sospecha de fraude, irregularidades y actos ilegales que afecten el
rea bajo revisin recibida en comunicacin por empleados, clientes,
contratistas u otros an no concluidos
Conocimiento de responsabilidad del diseo e implementacin
de programas y controles para prevenir y detectar fraude, irregularidades y
actos ilegales.

Gua de Auditora y Aseguramiento de SI 2402 Actividades de Seguimiento

El propsito de esta gua es proporcionar ayuda al profesional de auditora y aseguramiento

de SI a monitorizar si la gerencia ha tomado las acciones apropiadas y oportunas sobre las
recomendaciones reportadas y hallazgos de auditora.
Vinculacin con estndares
Estndar 1401 Reportes.
Estndar 1402 Actividades de seguimiento.
Proceso de Seguimiento
Las actividades de seguimiento realizadas por los profesionales es un
proceso que ellos determinan la adecuacin, efectividad y tiempos de las acciones
tomadas por la gerencia sobre las observaciones y recomendaciones informadas,
incluyendo las realizadas por auditores externos y otros.
Se debe establecer un proceso de seguimiento para ayudar a proporcionar
garanta razonable de que cada revisin realizada por los profesionales proporciona
beneficio ptimo a la empresa, requiriendo que los acuerdos sobre las conclusiones
de las revisiones se implementan de acuerdo con los compromisos de la gerencia o
la gerencia (ejecutiva) y reconoce y comprende el riesgo de retrasar o no
implementar los resultados y /o recomendaciones propuestas.
Procedimientos de Seguimiento
Los procedimientos de actividades de seguimiento deben establecerse e
incluir:
El registro de un rango de tiempo en que la gerencia debe
responder a las recomendaciones acordadas
Una evaluacin de las respuestas de la gerencia
Una verificacin de la respuesta, si es adecuada
Seguimiento del trabajo, si es adecuado
Procedimiento de comunicacin que escale respuestas
excepcionales y no satisfactorias y/o acciones para el nivel adecuado de la
gerencia y encargados del gobierno
Proceso para obtener asuncin de la gerencia del riesgo
asociado, en el caso que la accin correctiva se retrase o no se proponga
para implementar.
Un sistema de rastreo automatizado o base de datos puede ayudar a llevar a
cabo las actividades de seguimiento.
Los factores que se deben considerar al determinar los procedimientos
adecuados de seguimiento son:
La importancia y el impacto de los hallazgos y
recomendaciones
Cualquier cambio en el entorno de SI que pueda afectar la
importancia y el impacto de los hallazgos y recomendaciones
La complejidad de corregir la situacin reportada
Tiempo, coste y esfuerzo necesario para corregir la situacin
reportada El efecto si corregir la situacin reportada fallase.
La responsabilidad de las acciones de seguimiento, informar y escalar debe
ser definido en la carta de auditora.
Posponer las Actividades de Seguimiento

 Los profesionales son responsables de planificar las actividades de

seguimiento como parte de la planificacin del trabajo a desarrollar. La planificacin
de seguimientos debe basarse en el riesgo y exposicin en cuestin, as como al
grado de dificultad y tiempo necesarios para implementar las acciones correctivas.
Tambin pueden haber casos donde los profesionales juzgan las respuestas
orales o por escrito de la gerencia mostrando que la accin tomada es suficiente
cuando se compara con la importancia relativa de la observacin o recomendacin
del trabajo. En esos casos, las actividades de verificacin de seguimiento actual
pueden realizarse como parte del prximo trabajo que se realice con el sistema o
tema relevante.
Formas de Respuesta de Seguimiento
La manera ms efectiva de recibir respuestas del seguimiento por la gerencia
es por escrito, porque ayuda a reforzar y confirmar la responsabilidad de la gerencia
de la accin de seguimiento y progresos realizados. Adems, las respuestas escritas
garantizan un registro preciso de acciones, responsabilidades y estado actual. Las
respuestas orales pueden recibirse tambin y registrarse por los profesionales y,
cuando sea posible, aprobadas por la gerencia. Tambin se puede suministrar con la
respuesta la prueba de la accin o implementacin de las recomendaciones.
Los profesionales deben pedir y/o recibir actualizaciones peridicas de la
gerencia responsable de implementar las acciones acordadas para evaluar el
progreso que la gerencia ha realizado, particularmente en relacin con cuestiones de
alto riesgo y acciones correctivas con largos plazos de entrega.
Seguimiento de los Profesionales Sobre Recomendaciones de Auditora Externas
Dependiendo del alcance y trminos del trabajo de auditora y de acuerdo con los
estndares de auditora de SI relevantes, los profesionales externos pueden contar con los
profesionales internos para el seguimiento en sus recomendaciones acordadas. Las
responsabilidades en relacin a este seguimiento pueden determinarse en la carta de
auditora o carta de compromiso.

Informe de Actividades de Seguimiento

Se debe presentar al nivel adecuado de la gerencia y a los encargados del
gobierno un informe sobre el estado de las acciones correctivas acordadas que
aparecen en los informes del trabajo de auditora, incluyendo las recomendaciones
acordadas no implementadas. (ej.: comit de auditora).
Si, durante un trabajo de auditora posterior, los profesionales encuentran
que las acciones correctivas que la gerencia haba informado como implementadas
no fueron implementadas, deben comunicar esto al nivel adecuado de la gerencia y
a los encargados del gobierno. Si es apropiado, el profesional debe obtener un plan
de accin correctivo actual y fecha de implementacin planificada.
Cuando todas las acciones correctivas acordadas se han implementado, se
puede enviar un informe detallando todas las acciones implementadas y/o
completadas a la gerencia ejecutiva y a los encargados del gobierno.

Conclusin
Los puntos ms relevantes respecto al formato de un informe de auditora segn las guas
establecidas por ISACA, en especial la gua Gua de Auditora y Aseguramiento de SI
2401 Reportes la cual pertenece a las series 2400 de Guas de presentacin de
informes, han sido resumidos de la siguiente manera:
Se debe considerar toda evidencia relevante obtenida,
independientemente si aparecen corroborando o contradiciendo la materia.
Un ttulo apropiado y distintivo, claramente distinguir el
informe de cualquier otro tipo de informe no sujeto a estndares de auditora.
Identificar los destinatarios a quin se dirige el informe,
de acuerdo a los trminos en la carta de auditora o carta de encargo.
Identificar la parte responsable, incluyendo una
declaracin de la parte responsable para la materia.
Descripcin del alcance del trabajo de auditora, el
nombre de la entidad o componente de la entidad que relata la materia, incluyendo:
Identificacin o descripcin del rea de
actividad
Criterios usados como base para la
conclusin de los profesionales
Fecha o periodo de tiempo en que el
trabajo, evaluacin o medida relata la materia
Declaracin que el mantenimiento de
una estructura de control interno efectiva, incluyendo procedimientos de
control para el rea de actividad, es responsabilidad de la gerencia.
Declaracin identificando la fuente de la representacin
de la gerencia sobre la efectividad de los procedimientos de control. (Representante
de la gerencia?).
Declaracin que los profesionales han realizado el
trabajo de auditora para expresar una opinin sobre la efectividad de los
procedimientos de control.
Identificacin del propsito (ej.: Objetivos de auditora
de SI).
Descripcin del criterio o rechazo de la fuente del
criterio.
Declaracin del trabajo de auditora ha sido realizado
de acuerdo con los estndares de auditora y aseguramiento de SI de ISACA u otros
estndares profesionales aplicables.
Adems detalles explicativos sobre las variables que
afectan a la aseguramiento proporcionada y otra informacin como adecuada.
Establecer hallazgos, conclusiones y
recomendaciones.
Un prrafo indicando que debido a las limitaciones
inherentes de cualquier control interno, pueden ocurrir y no ser detectadas
declaraciones errneas debido a errores o fraude.
Cuando sea apropiado, referenciar cualquier otro
informe separado que deba ser considerado.

 Fecha de emisin del informe del trabajo de auditora.

Es recomendable mencionar tambin las fechas en que fue realizado el trabajo de
auditora, si no se mencion ya en el resumen del trabajo realizado.
Nombres de las personas o entidad responsable del
informe, firmas adecuadas y lugares.

Bibliografa
1.
Cdigo de tica Profesional de ISACA: https://www.isaca.org/AboutISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-Spanish.pdf
2.
Guas generales (series 2000)
2.1.
Gua de Auditora y Aseguramiento de SI 2001 Estatuto de
Auditora: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2001_gui_Spa_0415.pdf
2.2.
Gua de Auditora y Aseguramiento de SI 2002 Independencia
Organizacional: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2002_gui_Spa_0415.pdf
2.3.
Gua de Auditora y Aseguramiento de SI 2003 Independencia
Profesional: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2003_gui_Spa_0415.pdf
2.4.
Gua de Auditora y Aseguramiento de SI 2004 Expectativa
Razonable: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2004_gui_Spa_0415.pdf
2.5.
Gua de Auditora y Aseguramiento de SI 2005 Debido
Cuidado Profesional: http://www.isaca.org/Knowledge-Center/ITAF-ISAssurance-Audit-/IS-Audit-andAssurance/Documents/2005_gui_Spa_0415.pdf
2.6.
Gua de Auditora y Aseguramiento de SI 2006 Competencia:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2006_gui_Spa_0415.pdf
2.7.
Gua de Auditora y Aseguramiento de SI 2007 Afirmaciones:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2007_gui_Spa_0415.pdf
2.8.
Gua de Auditora y Aseguramiento de SI 2008 Criterios:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2008_gui_Spa_0415.pdf
3.
Guas de rendimiento (series 2200)
3.1.
Gua de Auditora y Aseguramiento de SI 2201 Planificacin de
la Asignacin: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2201_gui_Spa_0415.pdf
3.2.
Gua de Auditora y Aseguramiento de SI 2202 Anlisis de
Riesgos en la Planificacin: http://www.isaca.org/Knowledge-Center/ITAF-ISAssurance-Audit-/IS-Audit-andAssurance/Documents/2202_gui_Spa_0415.pdf
3.3.
Gua de Auditora y Aseguramiento de SI 2203 Rendimiento y
Supervisin: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2203_gui_Spa_0415.pdf
3.4.
Gua de Auditora y Aseguramiento de SI 2204 Materialidad:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2204_gui_Spa_0415.pdf

4.

3.5.
Gua de Auditora y Aseguramiento de SI 2205 Evidencia:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2205_gui_Spa_0415.pdf
3.6.
Gua de Auditora y Aseguramiento de SI 2206 Uso del Trabajo
de Otros Expertos: http://www.isaca.org/Knowledge-Center/ITAF-ISAssurance-Audit-/IS-Audit-andAssurance/Documents/2206_gui_Spa_0415.pdf
3.7.
Gua de Auditora y Aseguramiento de SI 2207 Actos
Irregulares e Ilegales: http://www.isaca.org/Knowledge-Center/ITAF-ISAssurance-Audit-/IS-Audit-andAssurance/Documents/2207_gui_Spa_0415.pdf
3.8.
Gua de Auditora y Aseguramiento de SI 2208 Muestreo:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2208_gui_Spa_0415.pdf
Guas de presentacin de informes (series 2400)
4.1.
Gua de Auditora y Aseguramiento de SI 2401 Reportes:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Auditand-Assurance/Documents/2401_gui_Spa_0415.pdf
4.2.
Gua de Auditora y Aseguramiento de SI 2402 Actividades de
Seguimiento: http://www.isaca.org/Knowledge-Center/ITAF-IS-AssuranceAudit-/IS-Audit-and-Assurance/Documents/2402_gui_Spa_0415.pdf