S12.

Materialidad de la Auditora

S12. Materialidad de la Auditora

ESTANDAR DE AUDITORA DE SISTEMAS DE INFORMACIN MATERIALIDAD DE AUDITORA DOCUMENTO S12

1. ESTNDAR El estndar dice lo siguiente: 03 El auditor de SI debe considerar la materialidad de la auditora y su relacin con el riesgo de auditora a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditora. 04 Mientras planifica la auditora, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de informacin. 05 El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de informacin. 06 El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, as como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material. 2. GUA ADICIONAL 07 El riesgo de auditora es el riesgo de que el auditor de SI llegue a una conclusin incorrecta Basndose en los hallazgos de auditora. El auditor de SI tambin debe tener conciencia de los tres componentes del riesgo de auditora, a saber: el riesgo inherente, el riesgo del control y el riesgo de deteccin. Consulte G13, Uso de la evaluacin de riesgos en la planificacin de auditora, para obtener una explicacin ms detallada de los riesgos. 08 Mientras planifica y realiza la auditora, el auditor de SI debe intentar reducir el riesgo de auditora a un nivel aceptablemente bajo y cumplir con los objetivos de la auditora. Esto se logra mediante la evaluacin apropiada de SI y de los controles relacionados. 09 La debilidad en el control se considera material si la ausencia del mismo ocasiona que no exista una garanta razonable de que se cumplir con el objetivo de control. 10. Una debilidad clasificada como material implica lo siguiente:

S12. Materialidad de la Auditora

Los controles no estn establecidos y/o los controles no son utilizados y/o los controles son inadecuados. Puede producir un escalamiento.

11 Una debilidad material es una deficiencia importante o una combinacin de deficiencias importantes que originan, con una probabilidad ms que remota, que un evento indeseado no sea prevenido o detectado. 12 Existe una relacin inversa entre materialidad y el nivel de riesgo de auditora aceptable para el auditor de SI; es decir, cuanto mayor sea el nivel de materialidad, menor ser la capacidad de aceptacin del riesgo de auditora, y viceversa. Esto permite al auditor de SI determinar la naturaleza, los plazos y el alcance de los procedimientos de auditora. Por ejemplo, al planificar un procedimiento especfico de auditora, el auditor de SI determina que la materialidad es menor, aumentando por lo tanto el riesgo de auditora. El auditor de SI querr entonces compensarlo ya sea extendiendo la prueba de los controles (reducir la evaluacin del riesgo del control) o extendiendo los procedimientos de pruebas sustantivas (reducir la evaluacin del riesgo de deteccin). 13 Al determinar si una deficiencia de control o una combinacin de deficiencias de control representan una deficiencia importante o una debilidad material, el auditor de SI deber evaluar el efecto de los controles compensatorios y si los mismos resultan eficaces. 14 La evaluacin del auditor de SI de la materialidad y del riesgo de auditora puede variar de vez en cuando, dependiendo de las circunstancias y el entorno cambiante. 15 El auditor de SI debe consultar la Directriz de Auditora de SI G6 Conceptos de materialidad de la auditora de sistemas de informacin. (Ver tem 2.1 para mayor informacin) 16 Consulte la siguiente gua para obtener ms informacin sobre la materialidad de auditora: Directrices de auditora de SI: G2 Requisitos de evidencia de auditora G5 Estatuto de auditora G8 Documentacin de auditora G9 Consideraciones de auditora sobre irregularidades G13 Uso de la evaluacin de riesgos en la planificacin de la auditora

S12. Materialidad de la Auditora

2.1 G6 CONCEPTOS DE MATERIALIDAD DE LA AUDITORA DE SISTEMAS DE INFORMACIN. A. MATERIALIDAD DE LA AUDITORA 1 La evaluacin de lo que es material es un asunto de juicio profesional e incluye la consideracin de los efectos y / o el efecto potencial sobre la capacidad de la organizacin para cumplir sus objetivos de negocio en caso de errores, omisiones, irregularidades y actos ilegales que puedan surgen como resultado de deficiencias de control en el rea objeto de la auditora.

2 Al evaluar la materialidad, el auditor debe considerar: El nivel global de error aceptable para la administracin, el auditor de SI, las agencias reguladoras apropiadas y otras partes interesadas. La posibilidad de que el efecto acumulativo de pequeos errores o debilidades pueda ser utilizado 3 Para cumplir con los objetivos de la auditora, el auditor de SI debe identificar los objetivos de control pertinentes y, con base en la tasa de tolerancia al riesgo, determinar lo que deben ser examinados. Con respecto a un objetivo especfico de control, un control material es un control o un grupo de controles que no ofrecen garantas suficientes para el cumplimiento de objetivos. 4 El auditor debe determinar el establecimiento de los roles y responsabilidades, as como una clasificacin de los activos de informacin en trminos de confidencialidad, disponibilidad e integridad; normas de control de acceso sobre la gestin de privilegios, y clasificacin de la informacin basada en el grado de criticidad y riesgo de exposicin. La evaluacin debe incluir la verificacin de: * La informacin almacenada * Hardware * La arquitectura y el software * Infraestructura de red * Operaciones * Desarrollo y pruebas 5. El auditor de SI debe determinar si la deficiencia de TI en general podra ser material. Las deficiencias de controles generales de TI debern ser evaluadas en relacin a su efecto sobre la aplicacin de controles, es decir, si los controles de aplicacin asociados

S12. Materialidad de la Auditora

tambin son ineficaces. Si la deficiencia de la aplicacin es causada por el control de TI en general, estos son materiales. 6. El auditor debe evaluar una deficiencia de los controles generales de TI en relacin con su efecto en los controles de aplicacin y cuando se suman las deficiencias de control en contra de otros. Por ejemplo, una decisin de gestin para corregir una deficiencia de los controles de TI en general y su reflejo asociado en el entorno de control pueden ser utilizados cuando se suman a las deficiencias de control que afecte el ambiente de control. 7. El auditor tambin debe tener en cuenta que la falta de remediar una deficiencia puede ser material. 8. Los siguientes son ejemplos de medidas que se deben considerar para evaluar la materialidad: Criticidad de los procesos de negocio soportados por el sistema o la operacin Criticidad de la informacin de bases de datos compatibles con el sistema o la operacin Nmero y tipo de aplicacin desarrollada Nmero de usuarios que utilizan los sistemas de informacin Nmero de gerentes y directores que trabajan con los sistemas de informacin clasificados por privilegios Criticidad de las comunicaciones de red soportada por el sistema o la operacin El costo del sistema o la operacin (hardware, software, personal, servicios de terceros, los gastos generales o una combinacin de estos) El costo potencial de errores (posiblemente en trminos de prdida de ventas, reclamos de garanta, los costos irrecuperables de desarrollo, el costo de la publicidad requerida para las advertencias, los costos de rectificacin, los costos de salud y seguridad, innecesariamente altos costos de produccin, el desperdicio de beb, etc) Costo de la prdida de informacin crtica y vital en trminos de dinero y tiempo para reproducirse Efectividad de las contramedidas Nmero de accesos / transacciones / consultas procesadas por perodo La naturaleza, oportunidad y alcance de los informes elaborados y los archivos de mantenimiento La naturaleza y las cantidades de materiales manejados (por ejemplo, donde se registran los movimientos de inventario sin valores) Servicio de requerimientos de nivel de acuerdo y el costo de posibles sanciones Las sanciones por incumplimiento de los requisitos legales, reglamentarios y contractuales Las sanciones por incumplimiento de la salud pblica y los requisitos de seguridad

S12. Materialidad de la Auditora

9. Control de fallas potenciales que puede conducir con la prdida monetaria, la posicin competitiva, la prdida de confianza o prdida de reputacin, adems de daar la imagen corporativa. El auditor debe evaluar los riesgos frente a las posibles contramedidas.

B. PRESENTACIN DE INFORMES 1 Identificacin de problemas a reportar 1.1 En la determinacin de los hallazgos, conclusiones y recomendaciones a reportar, el auditor debe considerar tanto la materialidad de los errores encontrados y la importancia potencial de errores que podran surgir como resultado de deficiencias de control. 2.1.2 Cuando la auditora es utilizado por las directivas para obtener un reporte sobre fiabilidad de los controles, debe tener una opinin sin reservas sobre la idoneidad de los controles debera significar que los controles establecidos se ajustan a las prcticas generalmente aceptadas de control para cumplir con los objetivos de control, desprovisto de cualquier deficiencia en el control de materiales. 1.3 Una de las debilidades de control debe ser considerado material y, por tanto, debe reportarse, si se oculta estos resultados del control no se podra proporcionar una seguridad razonable de que el objetivo de control se cumplir. 1.4 En funcin de los objetivos de la auditora, el auditor debe considerar la presentacin de informes a las debilidades de gestin que no son materiales, sobre todo cuando los costos de reforzar los controles son bajos.

3. PROCEDIMIENTOS QUE SE DEBEN TENER EN CUENTA PARA EL ESTNDAR 12 MATERIALIDAD DE LA AUDITORA Teniendo en cuenta que el propsito de los procedimientos de auditora es proporcionar mayor informacin con respecto a cmo se puede cumplir con los estndares, es importante tener en cuenta los siguientes procedimientos para tener una mayor efectividad en la evaluacin de controles y debilidades del rea auditar para conocer si existen deficiencias importantes o debilidades materiales. Los procedimientos principales a tener en cuenta para este estndar son los siguientes:
P5. Control Auto-evaluacin de riesgos 01 de agosto 2003 P7. Irregularidades y actos ilegales 01 de noviembre 2003 P8. Evaluacin de la Seguridad-Pruebas de Penetracin y Anlisis de vulnerabilidad de 01 de septiembre 2004

S12. Materialidad de la Auditora

P9. Evaluacin de los controles de gestin sobre las tecnologas de cifrado de Negocios 01 de enero 2005 P10. Aplicacin de control de cambios 01 de octubre 2006

Fuente de informacin: Normas de Auditora. http://www.isaca.org/KNOWLEDGE-CENTER/STANDARDS/Pages/default.aspx Guas http://www.isaca.org/Knowledge-Center/Standards/Pages/IT-Audit-and-AssuranceGuidelines.aspx Procedimientos http://www.isaca.org/Knowledge-Center/Standards/Pages/IT-Audit-and-Assurance-Toolsand-Techniques.aspx