Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 17

Existe una correlación directa entre las pruebas de cumplimiento y las pruebas sustantivas necesarias para una correcta auditoría.

Si los resultados obtenidos de las pruebas de cumplimiento indican que los controles de sistemas aplicados son correctos y adecuados, son motivo de justificación para utilizar menos pruebas sustantivas (se entiende que, si los controles son correctos, se cumple con las políticas de la organización y hay menos probabilidades de detectar errores y fallos de seguridad).

Sin embargo, si los resultados de las pruebas de cumplimiento determinan fallos y debilidades en los controles, las pruebas sustantivas deben ser más detalladas y extensas para comprobar la validez, integridad y exactitud de los datos del sistema (si hay fallos en los controles es muy probable que las políticas de seguridad establecidas en la organización no se cumplan adecuadamente y, por lo tanto, que existan problemas de integridad y validez de los datos).

De este modo, la relación entre los dos tipos de pruebas de auditoría se puede visualizar en la siguiente tabla.

El procedimiento para la obtención y análisis de evidencias que relaciona ambas pruebas se define en varias fases:

1 Revisión de los sistemas de la organización para identificar cuáles son los controles que dispone.

2 Realización de pruebas de cumplimiento que evalúen el correcto funcionamiento de los controles identificados.

3 Evaluación de las evidencias obtenidas en las pruebas de cumplimiento para determinar la extensión y precisión de las pruebas sustantivas.

4 Evaluación de la validez de los datos con las evidencias obtenidas en las pruebas sustantivas.

Actividades

5. Después de conocer con más detalle los distintos pruebas de auditoría, busque ejemplos concretos de pruebas sustantivas y de pruebas de cumplimiento.

Aplicación práctica

En su organización están en pleno proceso de planificación de las tareas de auditoría y no tienen claro qué tipo de pruebas deben realizar. Quieren evaluar la gestión de la organización comprobando sus procedimientos y controles internos para detectar sus posibles debilidades.

¿Qué tipo de pruebas deberían realizar? Si se obtienen buenos resultados con estas pruebas, ¿sería necesario realizar con profundidad el otro tipo de pruebas? ¿Por qué?

SOLUCIÓN

Cuando el objeto auditado es la gestión de la organización y el objetivo principal es comprobar los procedimientos y controles internos de la organización, deben realizarse pruebas de cumplimiento.

En caso de obtener buenos resultados en las pruebas de cumplimiento, no será necesario ejecutar exhaustivamente pruebas sustantivas, ya que los buenos resultados garantizan que los sistemas de control se aplican correctamente y es poco probable encontrar debilidades importantes.