1. REVISIÓN DEL SISTEMA
1.1. Aporta valor, ya que se realiza un análisis de la totalidad de la información del sistema de gestión y la extracción de conclusiones sobre la alineación con los procesos estratégicos de la empresa. Se necesita realizar la revisión del sistema por la dirección para permitir que una empresa tome decisiones gracias a la información que aporta su sistema.
2. PRUEBAS
2.1. El nivel de evidencia a obtener por el auditor, referido a los hechos económicos y otras circunstancias, debe estar relacionado con la razonabilidad de los mismos y proporcionarle información sobre las circunstancias en que se produjeron, con el fin de formarse el juicio profesional que le permita emitir una opinión. Es necesario confiar en pruebas que son más convincentes que concluyentes, por tanto, con frecuencia puede buscar evidencia de diferentes fuentes o de distinta naturaleza para apoyar un mismo hecho o dato. La evidencia es adecuada cuando sea pertinente para que el auditor emita su juicio profesional.
2.1.1. 1. Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas.
2.1.2. 2. Pruebas sustantivas: Aportan al auditor informático suficientes evidencias para que se pueda realizar un juicio imparcial. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifica asimismo la exactitud, integridad y validez de la información obtenida.
2.1.3. 3. Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización).