2 Conocimientos en administración y finanzas.
3 Experiencia en informática y análisis de sistemas.
4 Experiencia y conocimiento en psicología industrial.
5 Conocimientos específicos de sistemas operativos, bases de datos, redes, etc., según el área que se vaya a auditar.
6 Conocimientos en análisis de riesgos.
Una vez decidido el equipo auditor y el personal que va a colaborar en la auditoría informática, ya se podrá proceder a la elaboración del contrato o carta convenio en la que se definan específicamente los objetivos, miembros, limitaciones, colaboración necesaria por parte de la organización, informes a elaborar y entregar y responsabilidad asumida por los auditores.
Este contrato o carta convenio deberá ser aceptada por la organización y el equipo auditor para poder comenzar con las tareas específicas de la auditoría.
Actividades
4. ¿Por qué es necesario contar con miembros con conocimientos multidisciplinares en el equipo auditor? Aparte de los conocimientos referentes al área informática, ¿considera que hay algún otro conocimiento indispensable que deba tener el auditor? Justifique su respuesta.
5. Tipos de pruebas a realizar en el marco de la auditoría. Pruebas sustantivas y pruebas de cumplimiento
Una de las tareas fundamentales de la auditoría informática son las pruebas de auditoría. Las pruebas clásicas consisten en el desarrollo de un conjunto de técnicas para probar las aplicaciones y sistemas operativos con datos de prueba. Mediante la observación de los datos de entrada, los datos de salida obtenidos y los datos de salida esperados, se pueden realizar comparaciones para verificar la calidad, eficiencia y eficacia de los sistemas evaluados.
En auditoría informática, se distinguen dos tipos de pruebas:
1 Pruebas sustantivas: pruebas que pretenden identificar los errores derivados de la falta de seguridad o confidencialidad de los datos. Evalúan la calidad de los datos y verifican si los controles establecidos por las políticas o procedimientos son eficaces.
2 Pruebas de cumplimiento: las que permiten determinar si un sistema de control interno y/o procedimiento funciona correctamente y si es acorde con las políticas, normativas y procedimientos definidos por la organización.
Mientras que las pruebas de cumplimiento tienen como objeto la obtención de evidencias que prueben el cumplimiento de los procedimientos de control, las pruebas sustantivas pretenden obtener evidencias para evaluar la integridad de los datos y procedimientos individuales.
Las pruebas de cumplimiento verifican la correcta utilización de los controles de un modo acorde con las políticas y procedimientos de la gestión establecidos por la organización. Un ejemplo de estas es la prueba de la auditoría para determinar si los controles de una librería de programas es adecuada: el auditor puede hacer una selección de programas y determinar la adecuación de su utilización con las políticas de la organización.
Sin embargo, las pruebas sustantivas pretenden obtener evidencias de la validez e integridad de los datos almacenados en los equipos y dispositivos. Por ejemplo, una prueba sustantiva sería la revisión del inventario para comprobar si todos los dispositivos magnéticos están correctamente inventariados.
En concreto, las diferencias fundamentales entre ambas pruebas se determinan en la tabla siguiente.
| Tipo de prueba | De cumplimiento | Sustantiva |
| Objetivo | Funcionamiento de los procedimientos y controles internos de la organización. | Validar la integridad y exactitud de los datos del sistema. |
| Objeto auditado | Gestión de la organización. | Sistema de información de la organización. |
5.1. Relación entre las pruebas de cumplimiento y las pruebas sustantivas
Existe una correlación directa entre las pruebas de cumplimiento y las pruebas sustantivas necesarias para una correcta auditoría.
Si los resultados obtenidos de las pruebas de cumplimiento indican que los controles de sistemas aplicados son correctos y adecuados, son motivo de justificación para utilizar menos pruebas sustantivas (se entiende que, si los controles son correctos, se cumple con las políticas de la organización y hay menos probabilidades de detectar errores y fallos de seguridad).
Sin embargo, si los resultados de las pruebas de cumplimiento determinan fallos y debilidades en los controles, las pruebas sustantivas deben ser más detalladas y extensas para comprobar la validez, integridad y exactitud de los datos del sistema (si hay fallos en los controles es muy probable que las políticas de seguridad establecidas en la organización no se cumplan adecuadamente y, por lo tanto, que existan problemas de integridad y validez de los datos).
De este modo, la relación entre los dos tipos de pruebas de auditoría se puede visualizar en la siguiente tabla.
El procedimiento para la obtención y análisis de evidencias que relaciona ambas pruebas se define en varias fases:
1 Revisión de los sistemas de la organización para identificar cuáles son los controles que dispone.
2 Realización de pruebas de cumplimiento que evalúen el correcto funcionamiento de los controles identificados.
3 Evaluación de las evidencias obtenidas en las pruebas de cumplimiento para determinar la extensión y precisión de las pruebas sustantivas.
4 Evaluación de la validez de los datos con las evidencias obtenidas en las pruebas sustantivas.
Actividades
5. Después de conocer con más detalle los distintos pruebas de auditoría, busque ejemplos concretos de pruebas sustantivas y de pruebas de cumplimiento.
Aplicación práctica
En su organización están en pleno proceso de planificación de las tareas de auditoría y no tienen claro qué tipo de pruebas deben realizar. Quieren evaluar la gestión de la organización comprobando sus procedimientos y controles internos para detectar sus posibles debilidades.
¿Qué tipo de pruebas deberían realizar? Si se obtienen buenos resultados con estas pruebas, ¿sería necesario realizar con profundidad el otro tipo de pruebas? ¿Por qué?
SOLUCIÓN
Cuando el objeto auditado es la gestión de la organización y el objetivo principal es comprobar los procedimientos y controles internos de la organización, deben realizarse pruebas de cumplimiento.
En caso de obtener buenos resultados en las pruebas de cumplimiento, no será necesario ejecutar exhaustivamente pruebas sustantivas, ya que los buenos resultados garantizan que los sistemas de control se aplican correctamente y es poco probable encontrar debilidades importantes.
6. Tipos de muestreo a aplicar durante el proceso de auditoría
Los auditores informáticos, para que la auditoría se