Gobernanza de TI les acerca, de nuevo, las reflexiones del veterano maestro Manolo Palao que ya disfrutaran, en la postrimerías del año 2002, los entonces miembros de la madrileña Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

El autor centra su discurso en los aspectos más operativos de la profesión de Auditor de los Sistemas de Información, de la que la toma de evidencias forma parte inexcusable.

Igualmente inexcusable debería resultar, para quienes están a cargo de dirigir y controlar   -gobernar-  el uso que de tales sistemas se hace dentro de las organizaciones, el hecho de dotarse de mecanismos de medición que les permitieran evidenciar su rendimiento, sustanciando con ello, el verdadero grado en que las Tecnologías de la Información contribuyen a la generación de valor para sus respectivas entidades.

¡Evidencien Uds. mismos la sustancia de este sexto “texticulillo”!

 

Texticulillo nº 6: Evidencia y Auditoría de Sistemas (1)(2)

El Auditor de Sistemas de Información y de Tecnologías de la Información y las Comunicaciones (ASITIC) ha de presentar evidencias.

Según la Norma 060.020 (3) de ISACA (Information Systems Audit and Control Association): “Durante la auditoría, el auditor ha de obtener evidencia suficiente, fiable, pertinente y útil para cumplir con eficacia los objetivos de la auditoría. Los hallazgos y conclusiones de la auditoría tienen que basarse en análisis e interpretaciones adecuados de esa evidencia”.

El ASITIC, durante su auditoría, debe, pues, recoger información o generar  pruebas  -demostraciones-  objetivas y, preferiblemente, reproducibles.

Las pruebas disponibles para el ASITIC pertenecen generalmente a dos categorías: pruebas de cumplimiento y pruebas substantivas.

Las pruebas de cumplimiento tienden a evaluar si un control formalmente existente (por ejemplo, “Los programas en pruebas y en explotación se mantendrán en entornos físicos, o lógicos, claramente separados”) se cumple. Obtener evidencia en casos como éste puede hacerse mediante entrevistas, muestreos, análisis de directorios, etc.

Las pruebas substantivas suelen requerirse cuando en las pruebas de cumplimiento se han detectado incumplimientos, o cuando los controles formales se consideran insuficientes, y la materialidad  -importancia relativa-  del tema lo aconseja. En estas pruebas  -más costosas-  se intenta evaluar el impacto real en la organización del incumplimiento o debilidad detectados.

Para realizar las pruebas substantivas, el auditor dispone de una combinación de técnicas o herramientas de muestreo y análisis estadístico; de CAATT (Técnicas y Herramientas de Auditoría Asistida por Ordenador) que pueden permitir, por ejemplo, reproducir independientemente los cálculos de un programa o reclasificar los contenidos de una base de datos; de “circularizaciones” (confirmaciones externas de saldos); etc.

Es el juicio discrecional del ASITIC el que debe definir el plan de auditoría  -basado en el conocimiento de la empresa y en un estudio preliminar de riesgos-;  el que debe seleccionar, o diseñar, y efectuar las pruebas  -de cumplimiento y, en su caso, substantivas-;  y el que debe reflejarlo en las conclusiones de la auditoría  -y, en todo caso, en los ‘papeles de trabajo’-.

 

Artículos relacionados

  1. Competencia y Auditoría de Sistemas (por Manolo Palao)
  2. Independencia y Auditoría de Sistemas (por Manolo Palao)
  3. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  4. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  5. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  6. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003.

(3) El autor hace referencia aquí a la codificación de Normas de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la norma S14. Audit Evidence de ISACA.