Evaluacin de la

Gestin de TI

Ing. Ernesto Karlo Celi Arvalo

Pruebas de cumplimiento
Son aquellas pruebas diseadas para recolectar evidencia

con el propsito de probar el cumplimiento de una

organizacin con procedimientos de control
Determinan si los controles estn siendo aplicados de
manera que cumplen con las polticas y los procedimientos
de gestin.
El objetivo amplio de cualquier prueba de cumplimiento es
proveer a los auditores de SI una certeza razonable de que
un control en particular est operando como se planific
preliminarmente.

Pruebas de cumplimiento
Es importante que el auditor de SI entienda el objetivo

especfico del control que se est probando.

Las pruebas de cumplimiento pueden usarse para probar la
existencia y efectividad de un proceso definido, el cual
puede incluir una pista de evidencia documental y/o
automatizada

Ejemplos de pruebas de cumplimiento

Verificar :
derechos de acceso de usuarios,
procedimientos de control de cambio de programas,
procedimientos de documentacin,
documentacin de programas,
excepciones de seguimiento,
revisin de registros (logs),
licencia de software,
Etc.

Pruebas sustantivas
Verifican el grado de confiabilidad del SI y su soporte

tecnolgico
Verifican la exactitud, integridad y validez de la
informacin
Se suelen obtener mediante observacin, clculos,
muestreos, entrevistas, tcnicas de examen analtico,
revisiones y conciliaciones

Tipos de Pruebas sustantivas

Pruebas para identificar errores en el procesamiento o de

falta de seguridad o confidencialidad.

Prueba para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de datos.
Prueba para comparar con los datos fsicos.
Confirmacin de datos con fuentes externas
Pruebas para confirmar la adecuada comunicacin.
Prueba para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad

Evidencias de las Pruebas sustantivas

Las pruebas sustanciales se orientan a obtener evidencia de la
siguiente manera:
Evidencia fsica: permite identificar la existencia fsica de
activos, cuantificar las unidades en poder de la empresa, y
en ciertos casos especificar la calidad de los activos.
Evidencia documental: consistente en verificar documentos
(procedimientos, reglamentos operativos, planes, etc.)
Evidencia por medio de registros: resume todo el proceso
Evidencia por medio de comparaciones y ratios: Es un
medio de localizar cambios significativos que debern ser
explicados al auditor

Evidencias de las Pruebas sustantivas

Las pruebas sustantivas se orientan a obtener evidencia de la
siguiente manera:
Evidencia por medio de clculos: realizacin de clculos y
pruebas globales para verificar la precisin aritmtica de
saldos, registros y documentos
Evidencia verbal: por medio de preguntas a empleados y
ejecutivos
El control interno como evidencia: es un medio de obtener
evidencia sustantiva y al mismo tiempo de determinar el
alcance e intensidad con el que se deben aplicar los otros
tipos de evidencia indicados

Pruebas sustantivas

Ejemplos:
comprobar si hay errores o determinar si los registros de
las transacciones son correctos. Para realizar esta prueba, el
auditor de SI podra realizar un inventario completo de las
transacciones o podra usar una muestra estadstica, que le
permita llegar a una conclusin respecto de la exactitud de
todo el inventario.
proveer la certeza de que solo se realizan modificaciones
autorizadas a los programas de produccin

Auditoria de base de datos

Prueba de Cumplimiento:
Listar los privilegios y perfiles existentes en el SGBD.
Si estas pruebas detectan inconsistencias en los controles, o bien, si los controles
no existen, se pasa a disear otro tipo de pruebas (pruebas sustantivas) que
permitan dimensionar el impacto de estas deficiencias.

Prueba sustantiva:
Comprobar si la informacin ha sido corrompida comparndola con otra
fuente, o revisando los documentos de entrada de datos y las transacciones que
se han ejecutado.

Auditoria de redes de datos y comunicaciones

Prueba de Cumplimiento:
Verificar la existencia de mecanismos para medir el grado de
satisfaccin de los usuarios,
Verificar la existencia, bondad y cumplimiento de Polticas, Normas y
Procedimientos de apoyo a las telecomunicaciones en la empresa
auditada
Ubicacin de los centros de procesos y de los servidores locales y en
general cualquier elemento a proteger.
Llevar a cabo una revisin de los procedimientos de aviso contra
incendio, cambios de clima, problemas elctricos y procedimientos de
alarma, as como las respuestas esperadas en los distintos escenarios
para los diferentes niveles de emergencias ambientales

Auditoria de redes de datos y comunicaciones

Prueba Sustantivas:
Proteccin de los soportes magnticos en cuanto a acceso,
almacenamiento y posible transporte.
Adecuacin de la red a lo solicitado por el usuario.

Auditoria del desarrollo de sistemas

Prueba de Cumplimiento:
Verificar la existencia de mecanismos para medir el grado de
satisfaccin de los usuarios,
Verificar la existencia, bondad y cumplimiento de Polticas, Normas y
Procedimientos de apoyo a las telecomunicaciones en la empresa
auditada
Ubicacin de los centros de procesos y de los servidores locales y en
general cualquier elemento a proteger.
Llevar a cabo una revisin de los procedimientos de aviso contra
incendio, cambios de clima, problemas elctricos y procedimientos de
alarma, as como las respuestas esperadas en los distintos escenarios
para los diferentes niveles de emergencias ambientales