estandar 1002 y guia 2002 independencia organizacional

Estándares y guías de auditoría y aseguramiento de SI Ref. STD (1002) GD(2002) ISACA

Independencia organizacional

Estándares y guías de auditoría y aseguramiento de SI STD (1002) GD(2002) Independencia organizacionalFacilitador: Lic. David Ricardo Rodríguez Calderón Ing. de Sistemas

Estándar de auditoría y aseguramiento de SI

1002 Independencia organizacional.


Estándar de auditoría y aseguramiento de SI 1002 Independencia organizacional

Términos

Independencia• La libertad de condiciones que

amenazan la objetividad oapariencia de la objetividad.

Dichas amenazas a la objetividaddeben ser gestionadas en los nivelesorganizacionales, funcionales, deasignación y auditor individual.

La independencia incluyeIndependencia de mente eIndependencia en apariencia.


Estándar de auditoría y aseguramiento de SI 1002Independencia organizacional

Términos

Independencia de mente

• El estado de mente quepermite la expresión de unaconclusión sin ser afectadapor influencias quecomprometan el buen juicioprofesional, permitiendo,de ese modo, que unindividuo actúe conintegridad y ejerza laobjetividad y elescepticismo profesional.



Términos

Independencia en apariencia• La evasión de hechos y

circunstancias que son tansignificativos que seríaprobable que un terceroinformado y razonableconcluya, ponderando todoslos hechos y las circunstanciasespecíficas, que la integridad,objetividad o escepticismoprofesional de una firma,función de auditoría omiembro del equipo deauditoría han sidocomprometidos.



Términos

Deterioro• Condición que causa una

debilidad o capacidad disminuidapara ejecutar los objetivos de laauditoría.

• El deterioro de la independenciaorganizacional y objetividadindividual puede incluir:– Conflictos de interés personales;

– Limitaciones del alcance;

– Restricciones al acceso deregistros, personal, equipos oinstalaciones; y

– Limitaciones de recursos• (como fondos o personal).



Términos

Objetividad

• La capacidad de ejercer elbuen juicio, expresaropiniones y presentarrecomendaciones conimparcialidad.



Declaraciones

– 1002.1

• La función de auditoría y aseguramiento de SI seráindependiente del área o actividad que se revise parapermitir la ejecución objetiva de la asignación deauditoría y aseguramiento.



Aspectos clave

• La función de auditoría y aseguramiento de SIdebe:

– Presentar reportes a un nivel dentro de laorganización auditada que brinde Independencia ypermita que la función de auditoría yaseguramiento de SI lleve a cabo susresponsabilidades sin interferencia.



Aspectos clave

• Divulgar los detalles del deterioro a las partes apropiadas si la independencia se deteriora de hecho o en apariencia.



Aspectos clave

• Evitar funciones diferentes de la auditoría enlas iniciativas de SI que requieran la asunciónde responsabilidades de dirección, ya quedichas funciones podrían impedir unaindependencia futura.



Aspectos clave

• Abordar la independencia y la responsabilidadde la función de auditoría en su estatuto y/ocarta de asignación de auditoría.


• Estándar de auditoría y aseguramiento de SI1002 Independencia organizacional

– Este estándar de ISACA entrará en vigencia paratodas las asignaciones de auditoría yaseguramiento de SI a partir del 1 de noviembrede 2013.

Estándar de auditoría y aseguramiento de SI 1001 Estatuto de la función de auditoría

Referencias


Guía de Auditoría y Aseguramiento de SI

2002 Independencia organizacional


Guía de Auditoría y Aseguramiento de SI 2002 Independencia organizacional

Propósito

• P.1.1.1 – El propósito de esta guía es direccionar la

independencia de la función de auditoría yaseguramiento de SI en la empresa. Se consideran tresaspectos importantes:• La posición de la función de auditoría y aseguramiento de SI

dentro de la empresa.

• El nivel al que reporta la función de auditoría yaseguramiento de SI dentro de la empresa.

• El desempeño de servicios distintos de auditoría dentro de laempresa por la gerencia y profesionales de auditoría yaseguramiento de SI.



Propósito

• P.1.1.2

– Ofrece orientación sobre la evaluación de laindependencia organizacional y detalla la relaciónentre la independencia organizacional y la carta yel plan de auditoría.



Propósito

• P.1.1.3

– Los profesionales de auditoría y aseguramiento deSI deben considerar esta guía para determinarcómo implementar el estándar, usar su juicioprofesional en su aplicación, estar preparado parajustificar cualquier desviación y buscar orientaciónadicional si lo considera necesario.



Vinculación con estándares

• Estándar 1001 Estatuto de auditoría.

• Estándar 1002 Independencia organizacional.

• Estándar 1003 Independencia profesional.

• Estándar 1004 Expectativa razonable.

• Estándar 1006 Competencia.



Posición en la empresa

2.1 Posición en la empresa2.1.1

Para permitir la independencia organizacional,la función de auditoría necesita tener unaposición en la empresa que le permita realizarsus responsabilidades sin interferencia. Esto sepuede lograr a través de:

a) Establecer la función de auditoría en elEstatuto de Auditoría como una función odepartamento independiente, fuera deldepartamento operacional.

b) La función de auditoría no debe serasignada a ninguna responsabilidad oactividad operacional.

c) Asegurar que la función de auditoríainforma a un nivel dentro de la empresaque le permita lograr la independenciaorganizacional.

d) Informar a la gerencia de un departamentooperacional podría comprometer laindependencia organizacional.



Posición en la empresa

2.1 Posición en la empresa

2.1.2

La función de auditoría debe evitarrealizar roles distintos de auditoríaen las iniciativas que requieran laasunción de responsabilidades de

administración, debido a que estosroles podrían poner en peligro la

independencia futura.

La independencia yresponsabilidad final de la funciónde auditoría debe ser direccionadaen el Estatuto de Auditoría.



Nivel de presentación de informes

2.2 Presentación de informes

2.2.1La función de auditoría debereportar a un nivel dentro de laempresa que le permita actuar conindependencia organizacionaltotal.

La independencia debe estardefinida en la Estatuto deAuditoría y confirmada por lafunción de auditoría a la juntadirectiva y aquellos encargados delGobierno de forma regular, almenos anualmente.




2.2 Presentación de informes2.2.2

Para asegurar la independenciaorganizacional de la función de auditoría,se debe informar de lo siguiente aaquellos encargados del Gobierno(ejemplo, consejo de administración)para su entrada y/o aprobación:

a) Plan y presupuesto de recursos deauditoría.

b) El plan de auditoría (basado enriesgos).

c) Desempeño de seguimientorealizado por la función de auditoríasobre la actividad de auditoría de SI.

d) Seguimiento del alcance significativoo limitaciones de recursos.




2.2 Presentación de informes

2.2.3Para asegurar la independenciaorganizacional de la función deauditoría, se necesita soporteexplícito tanto de la juntadirectiva como de la gerenciaejecutiva



Servicios distintos de auditoría

2.3 Otros servicios

2.3.1En muchas empresas, laexpectativa de la gerencia ypersonal de SI es que la función deauditoría puede estar involucradaen la prestación de serviciosdistintos de auditoría.

Esto implica, tiempo completo oparcial, participación de losprofesionales en iniciativas de SI yequipos de proyecto de SI paraproporcionar funciones deasesoramiento o consultivas




2.3 Otros servicios2.3.2

Las actividades rutinarias yadministrativas o que involucrencuestiones que son generalmenteinsignificantes se consideran sinresponsabilidad de administración y,por tanto, no podrían perjudicar suindependencia.Los servicios distintos de auditoría quetampoco podrían perjudicar laindependencia o la objetividad, si seaplican las salvaguardas adecuadas,incluyen la prestación deasesoramiento rutinario en controles yriesgos de tecnologías de lainformación.




2.3 Otros servicios

2.3.3Prestar servicios distintos de auditoría en áreasque son actualmente, o en el futuro, el sujetode un trabajo de auditoría también creaamenazas a la independencia que puede serdifícil de superar con salvaguardas.

En esta situación, la percepción puede ser quetanto la independencia y objetividad de lafunción de auditoría y profesionales han sidodañados por la realización de servicios distintosde auditoría en esa área específica.

La función de auditoría y los profesionalesdeben determinar si las salvaguardasadecuadas se pueden implementar para mitigarsuficientemente estas amenazas reales opercibidas a la independencia.



Evaluación de la independencia

2.4 Evaluación

2.4.1La independencia debe serevaluada regularmente por lafunción de auditoría y losprofesionales. Esta evaluacióndebe hacerse de forma anual parala función de auditoría y antes decada compromiso con losprofesionales. La evaluación debeconsiderar factores tales como:

Cambios en relaciones personales.

Intereses financieros.

Asignaciones de trabajo yresponsabilidades anteriores.



Evaluación de la independencia

2.4 Evaluación

2.4.2La función de auditoría necesitarevelar los posibles problemasrelacionados con laindependencia organizacional ydiscutirlos con el consejo deadministración o los encargadosdel Gobierno.

Se necesita encontrar unaresolución y confirmarla en lacarta o plan de auditoría.



Carta y plan de auditoría

2.5 Carta y plan

2.5.1La Estatuto de Auditoría debedetallar, en virtud de la‘responsabilidad’ laimplementación deindependencia organizacional dela función de auditoría.

Además de detallar laindependencia, el Estatuto deAuditoría debe también incluirposibles impedimentos a laindependencia.



Carta y plan de auditoría

2.5 Carta y plan

2.5.2La independencia organizacionaldebe estar reflejada en el plan deauditoría.

La función de auditoría tiene queser capaz de determinar elalcance del planindependientemente, sinrestricciones impuestas por lagerencia ejecutiva.


Guía de Auditoría y Aseguramiento de SI 2002Independencia organizacional

3. Relación con estándares y procesos de CobiT 53.1 Relación con Estándares

Título del Estándar

• 1002 Independencia Organizacional

Declaración Estándar relevante

– La función de auditoría yaseguramiento de SI deberáser independiente del área oactividad a ser revisada parapermitir llevar a caboobjetivamente la asignaciónde auditoría y aseguramiento.





• 1003 Independencia Profesional


– Los profesionales de auditoríay aseguramiento de SIdeberán ser independientes yobjetivos, tanto en actitudcomo en apariencia en todaslas materias relacionadas altrabajo de auditoría yaseguramiento.





• 1004 Expectativa Razonable


– Los profesionales de auditoríay aseguramiento de SI debentener expectativa razonableque el alcance del trabajopermite concluir sobre lamateria y se ocupa de lasrestricciones.





• 1006 Competencia


– Los profesionales de auditoríay aseguramiento de SI,colectivamente con otrosasistentes de la asignación,deben poseer habilidades ycompetencia adecuadas en larealización de trabajos deauditoría y aseguramiento deSI y ser profesionalmentecompetentes para realizar eltrabajo requerido.



3. Relación con estándares y procesos de CobiT 53.2 Relación con Procesos de CobiT 5

Proceso de CobiT 5

• EDM01 – Asegurar el establecimiento y

mantenimiento del marco de Gobierno.

Propósito de los Procesos– Proporcionar un enfoque

consistente integrado y alineadocon el enfoque de Gobierno de laempresa.

– Para asegurar que las decisionesrelacionadas con TI se hacen enlínea con las estrategias y objetivosde la empresa, asegurando que losprocesos relacionados con TI sonsupervisados de forma efectiva ytransparente, se confirma elcumplimiento con losrequerimientos legales yregulatorios, y se cumplen losrequerimientos de Gobierno de losmiembros del consejo.




Proceso de CobiT 5

• APO01 – Gestionar el marco de

gerencia de TI.

Propósito de los Procesos

– Proporcionar un enfoque degerencia consistente quepermita conseguir losrequerimientos de Gobiernode la empresa, que abarca losprocesos de gerencia,estructuras organizacionales,roles y responsabilidades,actividades confiables yrepetibles y las habilidades ycompetencias.




Proceso de CobiT 5

• MEA02 – Monitorear y evaluar el

sistema de controles internos.

Propósito de los Procesos

– Obtener transparencia paralos interesados clave en laadecuación de los sistemas decontrol interno y, por tanto,proporcionar confianza en lasoperaciones, confianza en ellogro de objetivosempresariales y unaadecuada comprensión delriesgo residual.



3. Relación con estándares y procesos de CobiT 53.3 Otras guías

• En la implementación deestándares y guías, se insta a losprofesionales a buscar otras guíascuando se considere necesario.

• Esto podría ser con el apoyo de:

– Colegas dentro de la empresa.– Gerentes.– Órganos de gobierno dentro de la

empresa, ej., comité de auditoría.– Organizaciones profesionales.– Otras guías profesionales (por ej.,

libros, papeles, otras guías) deáreas de auditoría de SI yaseguramiento.


• Guía de Auditoría y Aseguramiento de SI2002 Independencia organizacional

– Esta guía revisada es efectiva para toda asignaciónde auditoría y aseguramiento de SI con fecha deinicio igual o posterior al 1 de Septiembre de2014.


Referencias


• Facilitador: Lic. David Ricardo Rodríguez Calderón, Ingeniero de Sistemas Master en Administración de Empresas con énfasis en Gerencia de Proyectos

– E-mail [email protected]

mailto:[email protected]

estandar 1002 y guia 2002 independencia organizacional

Technology