1.1.1. La norma 060.020 (evidencia) establece que “ durante el curso de una auditoría, el auditor de sistemas de información debe obtener evidencia suficiente, confiable, relevante y útil para lograr los objetivos de la auditoría efectivamente. Los resultados y conclusiones de la auditoría deben estar apoyados por un apropiado análisis e interpretación de esta evidencia”. 

1.2. Necesidad de esta guía 

1.2.1.El propósito de esta guía es definir la palabra “evidencia” tal como se utiliza en la norma 060.020 de las normas de auditoría de sistemas de información para direccionar el tipo y suficiencia de la evidencia de auditoría, utilizada en las auditorías de sistemas de información. Esta guía establece como el auditor de sistemas de información debería ajustarse a la norma señalada anteriormente. El ajustarse a esta guía no es obligatorio, pero el auditor de sistemas de información debería estar preparado para justificar cualquier desviación de ésta.

2. Planificación 

2.1. Tipos de evidencia de auditoría 

2.1.1. Cuando se planifica el trabajo de auditoría de sistemas de información, el auditor SI debe tomar en cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de confiabilidad. Por ejemplo, evidencia de auditoría obtenida de una parte independiente, es por lo general más confiable que la evidencia proporcionada por la organización que está siendo auditada. La evidencia física de auditoría es por lo general más confiable que las representaciones de un individuo. Los distintos tipos de evidencia de auditoría que el auditor SI debe considerar son: Evidencia física de auditoría Evidencia documentada de auditoría Representaciones; y Análisis 

2.1.2. La evidencia física de auditoría puede incluir observación de actividades, propiedad y funciones de los sistemas de información, tales como: Un inventario de medios magnéticos en una bodega externa; o Un sistema de seguridad residente en un computador que esté en operación 

2.1.3. La evidencia documentada de auditoría puede incluir: Resultado de datos extraídos; Registro de transacciones Programas registrados Facturas; y control de registro Representación de aquellas auditorías que han sido o pueden ser evidencia documentada como: Políticas y procedimientos escritos Sistemas flowcharts, y Declaración oral y escrita Los resultados del análisis de la información a través de comparaciones, cálculos e índices pueden también ser usados como evidencia de auditoría. Por ejemplo, incluye: Benchmarking entre sistemas de información en ejecución en comparación a periodos anteriores; y comparación de índices de tasas erróneas entre aplicaciones, transacciones y usuarios. Disponibilidad y evidencia de auditoría El auditor de SI debe considerar el tiempo durante el cual la información existe o está disponible para determinar la naturaleza, período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba de cumplimiento. Por ejemplo la eficiencia de auditoría procesada por Intercambio Electrónico de Datos (EDI) y Procesamiento de Imágenes en Documentos (DIP) pueden no ser recuperables después de un período específico de tiempo si los archivos se cambian o no se respaldan. Selección de evidencia de auditoría El auditor SI debe planificar el uso de la mejor evidencia de auditoría que sea consistente con la importancia del objetivo de la auditoría y el tiempo y esfuerzo involucrado en obtener tal evidencia. 

2.1.4. Donde la evidencia de auditoría obtenida en la forma de representaciones orales es crítica para la opinión o conclusión de auditoría, el auditor SI debe obtener confirmación escrita de las afirmaciones. Por ejemplo, donde la única evidencia de auditoría de que los reportes de excepción se siguen es lo que dice la administración, este es el caso en que estas afirmaciones deben obtenerse por escrito.

3. Ejecución del trabajo de auditoría

3.1. Evidencia de auditoría suficiente 

La evidencia de auditoría debe ser suficiente para formarse una opinión o apoyar los resultados y conclusiones del auditor. Si, en el juicio del auditor, la evidencia de auditoría no es suficiente para apoyar resultados y conclusiones, el auditor SI debe obtener evidencia de auditoría adicional. Por ejemplo un listado de programa puede no ser suficiente evidencia de auditoría hasta que se obtenga evidencia adicional para verificar que ésta representa el programa que actualmente se utiliza en el proceso de producción. Obtención de la evidencia de auditoría Los procedimientos utilizados para obtener evidencia de auditoría varían de acuerdo al sistema de información que está siendo auditado. El auditor SI debe seleccionar el procedimiento mas apropiado para el objetivo de la auditoría. Deben considerarse los siguientes procedimientos: Consultas Observaciones Inspección Confirmación; y Reejecución Los procedimientos anteriores pueden aplicarse por medio del uso de procedimientos de auditoría manual, técnicas de auditoría asistida por computador, o una combinación de ambos, por ejemplo: Un sistema que utiliza totales de controles manuales para balancear las operaciones de ingreso de datos puede proveer evidencia de auditoría de que el procedimiento de control asegura una apropiada conciliación y registro en un reporte. El auditor SI debe obtener esta evidencia de auditoría revisando y probando este reporte; Registros de transacciones detallados pueden estar disponibles solamente en un formato legible para la máquina. Lo que requiere del auditor SI obtener evidencia de auditoría utilizando técnicas de auditoría asistidas por computador. 

3.2.Revisión General

El auditor SI debe efectuar esta revisión general del sistema de información o del sistema como un todo en la medida que sea suficiente, en conjunto con las conclusiones derivadas de las otras evidencias de auditoría obtenidas, para proveer una base razonable de las conclusiones resultantes. Documentación de auditoría La evidencia de auditoría obtenida por el auditor SI debe estar apropiadamente documentada y organizada para apoyar los resultados y conclusiones del auditor SI.

4. Reporte Restricción de alcance

En aquellas situaciones donde el auditor SI crea que no es posible obtener suficiente evidencia de auditoría, debe registrar este hecho en una manera consistente con la comunicación de los resultados de auditoría en un reporte en calidad de restricción al alcance (limitación).

5. Fecha Efectiva

Esta guía es efectiva para todas las auditorías de sistemas de información que comiencen en o después de la fecha de esta publicación.