Pruebas de cumplimiento para verificar actividades de control específicas

4.2.2 Pruebas de cumplimiento para verificar las actividades de control específicas

4.2.2.1 Software comercial

Se verifican únicamente las actividades de seguimiento manual y las actividades de control de usuario, ya que el auditor está familiarizado con la naturaleza, fortalezas y debilidades del software. Es menos transcendental probar el sistema, ya que los fabricantes del software establecen una serie de pautas de seguridad para evitar alteraciones.

A) Actividades de seguimiento manual:

• Inspección de los informes de excepción verificando la forma como fueron manejadas las excepciones por parte del sub-departamento de control de información.

B) Actividades de control de los usuarios:

• Indagaciones con los usuarios para conocer los mecanismos de prueba aplicados sobre las salidas del computador.
• Inspección de documentación soporte de las evaluaciones efectuadas por los usuarios.

4.2.2.2 Software desarrollado o modificado por el cliente:

El auditor debe probar todas las actividades de control específicas. Para corroborar las actividades de control programadas se utilizan las técnicas de auditoría computarizadas.

Información de prueba: Permite a los auditores hacer seguimiento dentro del sistema a una transacción desde su origen hasta su registro en los estados financieros.

Esta técnica tiene como objetivo determinar si los programas procesan correctamente las transacciones válidas y no válidas. La información de prueba (desarrollada por el auditor o por los programadores del cliente) se procesa bajo el control del auditor, empleando los programas, equipos y personal del cliente. Los registros utilizados en la información de prueba deben codificarse para evitar la contaminación de los registros y archivos del cliente. De manera que el auditor puede eliminar posteriormente las transacciones de prueba de los registros contables de la entidad (DIPA 1009).

La DIPA 1009 reconoce que esta técnica es válida para probar controles específicos en programas como controles en línea de contraseñas y acceso a datos y poner a prueba características específicas de procesamiento de los sistemas.

Ambiente de prueba integrado: Es un subsistema de registros y archivos de prueba anexo al sistema computarizado. Si dicho ambiente de prueba existe, el auditor puede procesar transacciones de prueba simultáneamente con entradas reales al sistema sin afectar los archivos y salidas de información real. Los auditores hacen seguimiento a la información de prueba estudiando los efectos sobre los archivos de pruebas, informes de excepción y demás salidas de prueba. Los datos se procesan bajo el control del auditor, empleando los programas, equipos y personal del cliente.

Un inconveniente con los ambientes de prueba es el peligro de que algún individuo pueda manipular los archivos de información real transfiriendo data hacia o desde los archivos de prueba. Por lo tanto, el cliente debe planificar controles para evitar el acceso no autorizado a los archivos de prueba y el auditor debe probar la existencia y efectividad de dichos controles.