Monografias | Registro de evidencia de AuditoríaRegistro de evidencia de AuditoríaResumen: La norma 060.020 (evidencia) establece que “ durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente. Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia”. 1.1. Relación con las normas 1.1.1. La norma 060.020
(evidencia) establece que “ durante el curso de una auditoría, el auditor de
sistemas de información debe obtener evidencia suficiente, confiable, relevante
y útil para lograr los objetivos de la auditoría efectivamente. Los resultados
y conclusiones de la auditoría deben estar apoyados por un apropiado análisis
e interpretación de esta evidencia”. 1.2. Necesidad de esta guía 1.2.1.El propósito de esta guía
es definir la palabra “evidencia” tal como se utiliza en la norma 060.020 de
las normas de auditoría de sistemas de información para direccionar el tipo y
suficiencia de la evidencia de auditoría, utilizada en las auditorías de
sistemas de información. Esta guía establece como el auditor de sistemas de
información debería ajustarse a la norma señalada anteriormente. El ajustarse
a esta guía no es obligatorio, pero el auditor de sistemas de información
debería estar preparado para justificar cualquier desviación de ésta. 2. Planificación 2.1. Tipos de evidencia de
auditoría 2.1.1. Cuando se planifica el
trabajo de auditoría de sistemas de información, el auditor SI debe tomar en
cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de
confiabilidad. Por ejemplo, evidencia de auditoría obtenida de una parte
independiente, es por lo general más confiable que la evidencia proporcionada
por la organización que está siendo auditada. La evidencia física de auditoría
es por lo general más confiable que las representaciones de un individuo. Los
distintos tipos de evidencia de auditoría que el auditor SI debe considerar
son: Evidencia física de auditoría Evidencia documentada de auditoría
Representaciones; y Análisis 2.1.2. La evidencia física de
auditoría puede incluir observación de actividades, propiedad y funciones de
los sistemas de información, tales como: Un inventario de medios magnéticos en
una bodega externa; o Un sistema de seguridad residente en un computador que esté
en operación 2.1.3. La evidencia documentada
de auditoría puede incluir: Resultado de datos extraídos; Registro de
transacciones Programas registrados Facturas; y control de registro Representación
de aquellas auditorías que han sido o pueden ser evidencia documentada como:
Políticas y procedimientos escritos Sistemas flowcharts, y Declaración oral y
escrita Los resultados del análisis de la información a través de
comparaciones, cálculos e índices pueden también ser usados como evidencia de
auditoría. Por ejemplo, incluye: Benchmarking entre sistemas de información en
ejecución en comparación a periodos anteriores; y comparación de índices de
tasas erróneas entre aplicaciones, transacciones y usuarios. Disponibilidad y
evidencia de auditoría El auditor de SI debe considerar el tiempo durante el
cual la información existe o está disponible para determinar la naturaleza,
período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba
de cumplimiento. Por ejemplo la eficiencia de auditoría procesada por
Intercambio Electrónico de Datos (EDI) y Procesamiento de Imágenes en
Documentos (DIP) pueden no ser recuperables después de un período específico
de tiempo si los archivos se cambian o no se respaldan. Selección de evidencia
de auditoría El auditor SI debe planificar el uso de la mejor evidencia de
auditoría que sea consistente con la importancia del objetivo de la auditoría
y el tiempo y esfuerzo involucrado en obtener tal evidencia. 2.1.4. Donde la evidencia de
auditoría obtenida en la forma de representaciones orales es crítica para la
opinión o conclusión de auditoría, el auditor SI debe obtener confirmación
escrita de las afirmaciones. Por ejemplo, donde la única evidencia de auditoría
de que los reportes de excepción se siguen es lo que dice la administración,
este es el caso en que estas afirmaciones deben obtenerse por escrito. 3. Ejecución del trabajo de
auditoría 3.1. Evidencia de auditoría
suficiente La evidencia de auditoría debe
ser suficiente para formarse una opinión o apoyar los resultados y conclusiones
del auditor. Si, en el juicio del auditor, la evidencia de auditoría no es
suficiente para apoyar resultados y conclusiones, el auditor SI debe obtener
evidencia de auditoría adicional. Por ejemplo un listado de programa puede no
ser suficiente evidencia de auditoría hasta que se obtenga evidencia adicional
para verificar que ésta representa el programa que actualmente se utiliza en el
proceso de producción. Obtención de la evidencia de auditoría Los
procedimientos utilizados para obtener evidencia de auditoría varían de
acuerdo al sistema de información que está siendo auditado. El auditor SI debe
seleccionar el procedimiento mas apropiado para el objetivo de la auditoría.
Deben considerarse los siguientes procedimientos: Consultas Observaciones
Inspección Confirmación; y Reejecución Los procedimientos anteriores pueden
aplicarse por medio del uso de procedimientos de auditoría manual, técnicas de
auditoría asistida por computador, o una combinación de ambos, por ejemplo: Un
sistema que utiliza totales de controles manuales para balancear las operaciones
de ingreso de datos puede proveer evidencia de auditoría de que el
procedimiento de control asegura una apropiada conciliación y registro en un
reporte. El auditor SI debe obtener esta evidencia de auditoría revisando y
probando este reporte; Registros de transacciones detallados pueden estar
disponibles solamente en un formato legible para la máquina. Lo que requiere
del auditor SI obtener evidencia de auditoría utilizando técnicas de auditoría
asistidas por computador. 3.2.Revisión General El auditor SI debe efectuar esta
revisión general del sistema de información o del sistema como un todo en la
medida que sea suficiente, en conjunto con las conclusiones derivadas de las
otras evidencias de auditoría obtenidas, para proveer una base razonable de las
conclusiones resultantes. Documentación de auditoría La evidencia de auditoría
obtenida por el auditor SI debe estar apropiadamente documentada y organizada
para apoyar los resultados y conclusiones del auditor SI. 4. Reporte Restricción de
alcance En aquellas situaciones donde el
auditor SI crea que no es posible obtener suficiente evidencia de auditoría,
debe registrar este hecho en una manera consistente con la comunicación de los
resultados de auditoría en un reporte en calidad de restricción al alcance
(limitación). 5. Fecha Efectiva Esta guía es efectiva para todas
las auditorías de sistemas de información que comiencen en o después de la
fecha de esta publicación. Compartir Publicación enviada por Isaca Santiago de Chile Contactar http://www.isaca.cl Código ISPN de la Publicación EpZpFEZluATeSUYVJH Publicado Monday 1 de December de 2003 Ultimas Publicaciones en ilustrados.com
ilustrados.com nace con el fin difundir el conocimiento publicando trabajos de investigación, monografias, tesis, presentaciones powerpoint y afines. Publicar trabajos en ilustrados.com ha alcanzado prestigio y reconocimiento internacional siendo cada vez más el número de académicos, empresas, investigadores, científicos que consultan las publicaciones de nuestro portal. | |||||||||
