PRUEBAS DE CUMPLIMENTO VS. PRUEBAS SUSTANTIVAS
Las pruebas de cumplimiento consisten en recolectar evidencia con el propósito de probar el cumplimiento de una organización con procedimientos de control. Esto difiere de la prueba sustantiva, en la que la evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra información.
Una prueba de cumplimiento determina si los controles están siendo aplicados de manera que cumplen con las políticas y los procedimientos de gestión. Por ejemplo, si al auditor de SI le preocupa si los controles de las bibliotecas de programas de producción están funcionando correctamente, el auditor de SI podría seleccionar una muestra de programas para determinar si las versiones fuente y objeto son las mismas. El objetivo amplio de cualquier prueba de cumplimiento es proveer a los auditores de SI una certeza razonable de que un control en particular sobre el cual el auditor de SI planifica poner su confianza está operando como el auditor de SI lo percibió en la evaluación preliminar.
Es importante que el auditor de SI entienda el objetivo especifico de una prueba de cumplimiento y del control que se está probando. Las pruebas de cumplimiento pueden usarse para probar la existencia y efectividad de un proceso definido, el cual puede incluir una pista de evidencia documental y lo automatizada, por ejemplo, para proveer la certeza de que só1o se realizan modificaciones autorizadas a los programas de producción.
Una prueba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencia de la validez e integridad de los saldos en los estados financieros y de las transacciones que respaldan dichos saldos. Los auditores de SI podrían usar pruebas sustantivas para comprobar si hay errores monetarios que afecten directamente a los saldos de los estados financieros u otros datos relevantes de la organización. Adicionalmente, un auditor de SI podría desarrollar
una prueba sustantiva para determinar si los registros del inventario de la biblioteca de cintas son correctos. Pan realizar esta prueba, el auditor de SI podría realizar un inventario completo o podría usar una muestra estadística, que le permita llegar a una conclusión respecto de la exactitud de todo el inventario.
Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas requeridas.
Si los resultados de las pruebas a los controles (pruebas de cumplimiento) revelaran la presencia de controles internos adecuados, entonces el auditor de SI tiene una justificación para minimizar los procedimientos sustantivos. Por el contrario, si la prueba a los controles revelara debilidades en los controles que podrían generar dudas sobre la completitud, exactitud o validez de las cuentas, las pruebas sustantivas pueden responder esas dudas.
Algunos ejemplos de pruebas de cumplimiento de controles en las cuales se podrían considerar las muestras incluyen derechos de acceso de usuarios, procedimientos de control de cambio de programas, procedimientos de documentación, documentación de programas, excepciones de seguimiento, revisión de registros (logs), auditoría de licencia de software, etc.
Algunos ejemplos de pruebas sustantivas en las cuales se podrían considerar las muestras incluyen el desempeño de un cálculo complejo (por ejemplo, interés) en una muestra de cuentas o una muestra de transacciones para garantizar una documentación de respaldo, etc.
El auditor de SI podría también decidir, durante la evaluación preliminar de los controles, incluir algunas pruebas sustantivas
si los resultados de esta evaluación preliminar indican que los controles implementados no son confiables o no existen.
La figura muestra la relación entre las pruebas de cumplimiento y las pruebas sustantivas y describe las dos categorías de pruebas sustantivas.
Nota: El auditor de SI debe tener conocimientos sobre cuando realizar las pruebas de cumplimiento o pruebas sustantivas.
Tomado de http://auditoriadesistemasunah.blogspot.com