Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 16
5. Tipos de pruebas a realizar en el marco de la auditoría. Pruebas sustantivas y pruebas de cumplimiento
ОглавлениеUna de las tareas fundamentales de la auditoría informática son las pruebas de auditoría. Las pruebas clásicas consisten en el desarrollo de un conjunto de técnicas para probar las aplicaciones y sistemas operativos con datos de prueba. Mediante la observación de los datos de entrada, los datos de salida obtenidos y los datos de salida esperados, se pueden realizar comparaciones para verificar la calidad, eficiencia y eficacia de los sistemas evaluados.
En auditoría informática, se distinguen dos tipos de pruebas:
1 Pruebas sustantivas: pruebas que pretenden identificar los errores derivados de la falta de seguridad o confidencialidad de los datos. Evalúan la calidad de los datos y verifican si los controles establecidos por las políticas o procedimientos son eficaces.
2 Pruebas de cumplimiento: las que permiten determinar si un sistema de control interno y/o procedimiento funciona correctamente y si es acorde con las políticas, normativas y procedimientos definidos por la organización.
Mientras que las pruebas de cumplimiento tienen como objeto la obtención de evidencias que prueben el cumplimiento de los procedimientos de control, las pruebas sustantivas pretenden obtener evidencias para evaluar la integridad de los datos y procedimientos individuales.
Las pruebas de cumplimiento verifican la correcta utilización de los controles de un modo acorde con las políticas y procedimientos de la gestión establecidos por la organización. Un ejemplo de estas es la prueba de la auditoría para determinar si los controles de una librería de programas es adecuada: el auditor puede hacer una selección de programas y determinar la adecuación de su utilización con las políticas de la organización.
Sin embargo, las pruebas sustantivas pretenden obtener evidencias de la validez e integridad de los datos almacenados en los equipos y dispositivos. Por ejemplo, una prueba sustantiva sería la revisión del inventario para comprobar si todos los dispositivos magnéticos están correctamente inventariados.
En concreto, las diferencias fundamentales entre ambas pruebas se determinan en la tabla siguiente.
| Tipo de prueba | De cumplimiento | Sustantiva |
| Objetivo | Funcionamiento de los procedimientos y controles internos de la organización. | Validar la integridad y exactitud de los datos del sistema. |
| Objeto auditado | Gestión de la organización. | Sistema de información de la organización. |
