AUDITORÍA

AUDITORÍA

1.4.4 TECNICAS DE RECOPILACIÓN DE EVIDENCIAS

Se establece que " durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente. Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia".

Tipos de evidencia de auditoría

Cuando se planifica el trabajo de auditoría de sistemas de información, el auditor debe tomar en cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de confiabilidad.

Por ejemplo, evidencia de auditoría obtenida de una parte independiente, es por lo general más confiable que la evidencia proporcionada por la organización que está siendo auditada. La evidencia física de auditoría es por lo general más confiable que las representaciones de un individuo. Los distintos tipos de evidencia de auditoría que el auditor debe considerar son:

Evidencia física de auditoría

Evidencia documentada de auditoría

Representaciones y

Análisis

Evidencia física

Puede incluir observación de actividades, propiedad y funciones de los sistemas de información, tales como: Un inventario de medios magnéticos en una bodega externa; o Un sistema de seguridad residente en un computador que esté en operación.

Evidencia documentada

Puede incluir:

Resultado de datos extraídos

2. Registro de transacciones

3. Programas registrados Facturas

4. Control de registro

5. Representación de aquellas auditorías que han sido o pueden ser evidencia documentada como:

5.1 Políticas y procedimientos escritos

b. 5.2 Sistemas flowcharts y

c. 5.3 Declaración oral y escrita

Los resultados del análisis de la información a través de comparaciones, cálculos e índices pueden también ser usados como evidencia de auditoría. Por ejemplo, incluye: Benchmarking entre sistemas de información en ejecución en comparación a periodos anteriores; y comparación de índices de tasas erróneas entre aplicaciones, transacciones y usuarios.

Disponibilidad y evidencia de auditoría.

El auditor de debe considerar el tiempo durante el cual la información existe o está disponible para determinar la naturaleza, período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba de cumplimiento. Por ejemplo la eficiencia de auditoría procesada por Intercambio Electrónico de Datos (EDI) y Procesamiento de Imágenes en Documentos (DIP) pueden no ser recuperables después de un período específico de tiempo si los archivos se cambian o no se respaldan.

Selección de evidencia de auditoría

El auditor debe planificar el uso de la mejor evidencia de auditoría que sea consistente con la importancia del objetivo de la auditoría y el tiempo y esfuerzo involucrado en obtener tal evidencia.

Evidencia por representaciones

Donde la evidencia de auditoría obtenida en la forma de representaciones orales es crítica para la opinión o conclusión de auditoría, el auditor debe obtener confirmación escrita de las afirmaciones. Por ejemplo, donde la única evidencia de auditoría de que los reportes de excepción se siguen es lo que dice la administración, este es el caso en que estas afirmaciones deben obtenerse por escrito.

Evidencia de auditoría suficiente

La evidencia de auditoría debe ser suficiente para formarse una opinión o apoyar los resultados y conclusiones del auditor. Si, en el juicio del auditor, la evidencia de auditoría no es suficiente para apoyar resultados y conclusiones, el auditor debe obtener evidencia de auditoría adicional. Por ejemplo un listado de programa puede no ser suficiente evidencia de auditoría hasta que se obtenga evidencia adicional para verificar que ésta representa el programa que actualmente se utiliza en el proceso de producción.

Obtención de la evidencia de auditoría

Los procedimientos utilizados para obtener evidencia de auditoría varían de acuerdo al sistema de información que está siendo auditado. El auditor debe seleccionar el procedimiento mas apropiado para el objetivo de la auditoría. Deben considerarse los siguientes procedimientos: Consultas, Observaciones, Inspección, Confirmación; y Reejecución.

Los procedimientos anteriores pueden aplicarse por medio del uso de procedimientos de auditoría manual, técnicas de auditoría asistida por computador, o una combinación de ambos, por ejemplo: Un sistema que utiliza totales de controles manuales para balancear las operaciones de ingreso de datos puede proveer evidencia de auditoría de que el procedimiento de control asegura una apropiada conciliación y registro en un reporte. El auditor debe obtener esta evidencia de auditoría revisando y probando este reporte; Registros de transacciones detallados pueden estar disponibles solamente en un formato legible para la máquina. Lo que requiere del auditor obtener evidencia de auditoría utilizando técnicas de auditoría asistidas por computador.

TÉCNICAS DE RECOPILACIÓN DE EVIDENCIA

En realidad, no existen técnicas específicas para la auditoría, más bien, el auditor toma y adapta las técnicas, procedimientos y herramientas tradicionales del análisis de sistemas de información.

Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas.

Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe saber cómo utilizarlas.

1. Entrevistas

Podría entenderse como entrevista a la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos.

Para llevar a cabo una entrevista, primero debe entrevistarse

...