Propuesta de definición de controles de auditoría y pruebas sustantivas para la evaluación del proceso de Gestión del Cambio en las organizaciones auditadas, Caso JM Auditores.

Abstract

Establecer controles de auditoría específicos para llevar a cabo evaluaciones sobre la Gestión de Tecnología de Información en las organizaciones auditadas, implica la definición de pruebas sustantivas que respaldan y evalúen cada uno de los escenarios que se pueden presentar en las diferentes empresas. Sin la definición de pruebas sustantivas, la evaluación de un control de auditoría se dificulta por la falta de especificaciones y lineamientos que deben realizar los auditores al momento de ejecutar una evaluación. El presente proyecto se basa en la definición de controles de auditoría y pruebas sustantivas para la evaluación del proceso de Gestión del Cambio en las empresas del mercado industrial, donde por medio de una rúbrica de evaluación se analizaron las metodologías: ITIL v2011, COBIT 5 y la norma ISO/IEC 20000, con el fin de determinar cuál de estas se adapta mejor a las auditorías realizadas por JM Auditores. Como resultado del proyecto se definieron los controles de auditoría para el proceso de Gestión del Cambio y las pruebas sustantivas de cada uno de los controles establecidos por medio de COBIT 5, la cual fue seleccionada como parte del análisis realizado. Además, se realizó una actualización a la Matriz de Controles por medio de macros en Microsoft Excel de forma que permite mantener un documento central de las pruebas que han sido efectivas, inefectivas o que poseen oportunidades de mejora que reportar.

Establishing specific audit controls to conduct Information Technology Management assessments in audited organizations involves defining substantive test that supports and evaluates each of the scenarios that can be presented in different companies. Without definition substantive testing, the evaluation of audit control becomes difficult by the lack of specifications and guidelines that must be made by the auditors when performing an evaluation. The present project is based on the definition of audit controls and substantive tests for evaluated the Change Management process on industrial market companies, where an evaluation rubric was used to analyze three methodologies: ITIL v2011, COBIT 5 and the ISO/IEC 20000 standard, in order to determine which one of these is best adapted to the audits performed by JM Auditores. As project outcome, audit controls were defined for the Change Management process and the substantive tests of each of the controls established through COBIT 5, which was selected as part of the analysis performed. In addition, an update was made to the Control Matrix by means of macros in Microsoft Excel in order to maintain a central document of the tests that have been effective, ineffective or have improvement opportunities to report.