TÉCNICAS DE RECOPILACIÓN DE EVIDENCIAS 

Se establece que " durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente. Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia".

Tipos de evidencia de auditoría

Cuando se planifica el trabajo de auditoría de sistemas de información, el auditor debe tomar en cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de confiabilidad.

Por ejemplo, evidencia de auditoría obtenida de una parte independiente, es por lo general más confiable que la evidencia proporcionada por la organización que está siendo auditada. La evidencia física de auditoría es por lo general más confiable que las representaciones de un individuo. Los distintos tipos de evidencia de auditoría que el auditor debe considerar son:

• Evidencia física de 
auditoria 
• Evidencia documentada de auditoria 
• Representaciones y 
• Análisis

Evidencia física

Puede incluir observación de actividades, propiedad y funciones de los sistemas de información, tales como: Un inventario de medios magnéticos en una bodega externa; o Un sistema de seguridad residente en un computador que esté en operación.

Evidencia documentada

Puede incluir:

1. Resultado de datos extraídos
2. Registro de transacciones
3. Programas registrados Facturas
4. Control de registro
5. Representación de aquellas auditorías que han sido o pueden ser evidencia documentada como:

a. 5.1 Políticas y procedimientos escritos
b. 5.2 Sistemas flowcharts y
c. 5.3 Declaración oral y escrita

Los resultados del análisis de la información a través de comparaciones, cálculos e índices pueden también ser usados como evidencia de auditoría. Por ejemplo, incluye: Benchmarking entre sistemas de información en ejecución en comparación a periodos anteriores; y comparación de índices de tasas erróneas entre aplicaciones, transacciones y usuarios.

Disponibilidad y evidencia de auditoría.

El auditor de debe considerar el tiempo durante el cual la información existe o está disponible para determinar la naturaleza, período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba de cumplimiento. Por ejemplo la eficiencia de auditoría procesada por Intercambio Electrónico de Datos (EDI) y Procesamiento de Imágenes en Documentos (DIP) pueden no ser recuperables después de un período específico de tiempo si los archivos se cambian o no se respaldan.

Selección de evidencia de auditoría

El auditor debe planificar el uso de la mejor evidencia de auditoría que sea consistente con la importancia del objetivo de la auditoría y el tiempo y esfuerzo involucrado en obtener tal evidencia.

Evidencia por representaciones

Donde la evidencia de auditoría obtenida en la forma de representaciones orales es crítica para la opinión o conclusión de auditoría, el auditor debe obtener confirmación escrita de las afirmaciones. Por ejemplo, donde la única evidencia de auditoría de que los reportes de excepción se siguen es lo que dice la administración, este es el caso en que estas afirmaciones deben obtenerse por escrito.

Evidencia de auditoría suficiente

La evidencia de auditoría debe ser suficiente para formarse una opinión o apoyar los resultados y conclusiones del auditor. Si, en el juicio del auditor, la evidencia de auditoría no es suficiente para apoyar resultados y conclusiones, el auditor debe obtener evidencia de auditoría adicional. Por ejemplo un listado de programa puede no ser suficiente evidencia de auditoría hasta que se obtenga evidencia adicional para verificar que ésta representa el programa que actualmente se utiliza en el proceso de producción.


Ruben Marín: rubenjmarinf18@gmail.com