A continuación se enuncian algunas de las normas que el auditor de sistemas de información debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de información debe estar preparado para justificar cualquier incumplimiento a éstas.
Normas Internacionales de Auditoría emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoría o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras técnicas además de las manuales.
Norma ISA 401, sobre Sistemas de Información por Computadora. SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) dice que en una organización que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reporta las transacciones.
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, plantea la importancia del uso de CAAT en auditorías en un entorno de sistemas de información por computadora.
SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditoría para procesar datos de significancia en un sistema de información.
SAP 1009 describe los procedimientos de auditoría en que pueden ser usados los CAAT:
- Pruebas de detalles de transacciones y balances (recálculos de intereses, extracción de ventas por encima de cierto valor, etc.)
- Procedimientos analíticos, por ejemplo identificación de inconsistencias o fluctuaciones significativas.
- Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones.
- Programas de muestreo para extraer datos.
- Pruebas de control en aplicaciones.
- Recálculos.
No hay comentarios:
Publicar un comentario