Normativas y Procedimientos Clave en la Auditoría de Sistemas de Información

S9: Irregularidades y Acciones Ilegales

Es fundamental considerar el riesgo de encontrar irregularidades; por ello, el auditor debe mantenerse escéptico ante posibles declaraciones incorrectas o acciones ilegales. Para lograrlo, es necesario:

• Comprender el entorno del ente auditado (revisar relaciones inusuales).
• Poner a prueba los controles internos.

En caso de detectar alguna irregularidad, el auditor debe ser capaz de evidenciar el conocimiento de la organización sobre esta situación.

Responsabilidad y Comunicación

Para evitar responsabilidades legales, el auditor debe recibir declaraciones escritas de la gerencia donde se responsabilicen del diseño e implementación de los controles internos. Estas declaraciones deben revelar si existe conocimiento de irregularidades por parte de la gerencia, empleados del área de control interno o cualquier otro miembro de la organización.

Si el auditor detecta una irregularidad, debe informar de inmediato al nivel directivo correspondiente. Si los hechos involucran a la gerencia, la notificación debe dirigirse a los responsables del gobierno corporativo.

El auditor debe emitir recomendaciones sobre las debilidades detectadas en los sistemas de control. Asimismo, toda comunicación, planeación, evaluación y conclusión relacionada con irregularidades materiales y acciones ilegales debe ser debidamente documentada.

S12: Materialidad de la Auditoría

Durante la planificación, se deben considerar las posibles debilidades o ausencias de controles y su efecto acumulado, lo cual podría traducirse en una deficiencia significativa o una debilidad en el Sistema de Información (SI). Estas ineficiencias, junto con sus posibles consecuencias, deben quedar estipuladas en el informe del auditor.

S13: Uso del Trabajo de otros Expertos

Si se estima necesario, se puede contratar a un experto externo. Para ello, se debe contar con documentación que acredite que el profesional posee el conocimiento y las habilidades requeridas.

El auditor es responsable de revisar y evaluar el trabajo de estos expertos para determinar si la información es relevante. En caso de faltar evidencia que respalde el trabajo del experto, el auditor deberá proporcionarla.

S14: Evidencia de Auditoría

El auditor de SI debe obtener evidencias suficientes y apropiadas para llegar a conclusiones razonables que fundamenten los resultados de la auditoría.

S15: Controles de TI

El auditor debe evaluar y supervisar los controles de TI, los cuales son parte integral del entorno de control interno. Ante cualquier deficiencia, debe notificar a la gerencia y presentar propuestas de mejora.

S16: Comercio Electrónico (E-commerce)

El auditor debe evaluar los controles aplicables y cotejar los riesgos en entornos de comercio electrónico para asegurar que las transacciones estén correctamente controladas.

Fases de la Auditoría

1. Identificación: Definir el área a auditar, el propósito de la auditoría y los sistemas, procesos o funciones involucrados.
2. Preauditoría: Determinar habilidades, recursos necesarios y fuentes de información a revisar.
3. Recopilación de información: Definir el método de auditoría y las personas a entrevistar.
4. Revisión de resultados: Examinar el contenido de archivos, documentar aplicaciones automatizadas, registros de sistemas operativos y revisar la documentación técnica.
5. Comunicación: Mantener un flujo constante de información con la gerencia.
6. Informe de auditoría: Probar la eficacia y eficiencia de los procesos, determinar a cuáles se aplicarán controles y establecer los seguimientos correspondientes.