El aseguramiento de la correcta configuración y operación efectiva de los controles de TI implementados en cada componente o proceso de gestión de TI se logra a través de la realización de pruebas. Las pruebas se constituyen por un procedimiento a seguir para garantizar que un determinado control está en funcionamiento, que es eficiente y que sus resultados son efectivos. Las pruebas pueden incluir la revisión de configuraciones clave, de acuerdo a las especificaciones de fabrica de componentes de equipo o sistemas, la revisión de la documentación que evidencia la realización de un proceso, la revisión de las bitácoras de los sistemas de información, la verificación física de los controles ambientales en centros de datos, tales como la temperatura, humedad y el inventario de medidas de seguridad para garantizar acceso solo a personas autorizadas. En ambientes ERP grandes (SAP, Oracle Business Suite y similares) las pruebas a realizar ya están definidas por los mismos controles implementados en la solución de software. En estos casos el auditor tiene más bien que seleccionar de la amplia gama de controles y formas de prueba disponibles, cuales son los que se realizarán en base a la situación siendo evaluada y el perfil de riesgos de la organización.

Lo verdaderamente retador para un auditor de sistemas es cuando se enfrenta a una situación específica, no estándar, como los desarrollos a la medida que implementan muy frecuentemente en las empresas salvadoreñas y centroamericanas. Incluso hay una gran gama de aplicaciones realizadas por consultores locales, que es frecuente encontrar en diferentes empresas, que tampoco tienen documentados sus controles. En estos casos, un auditor de sistemas tiene que volver a lo básico. Primero, hay que entender como esta diseñado el sistema. Verificar la documentación técnica disponible, los procesos de negocio que soporta, experimentar con el sistema en ambientes de prueba. A partir de este aprendizaje, hay que echar a correr el análisis de riesgos, para identificar en que lugares el software presenta mayores riesgos. El arte esta en formular hipótesis de los riesgos existentes, para luego crear pruebas que comprueben o eliminen una hipótesis. Alguien dirá, el método científico aplicado a la Auditoría de Sistemas, pues bien, ¿Quién dijo que no se podía aplicar? De hecho el desarrollo de la ciencia se basa en el constante interrogatorio de la realidad. Pues bien, un buen auditor de TI siempre estará preguntándose que logra verificar una prueba. Incluso en ambientes que se supone están bien documentados, en programas de auditoría comercializados por los fabricantes, un buen auditor de TI puede encontrar los errores que han cometido los diseñadores del plan a partir de un interrogatorio constante de la efectividad de las pruebas, del análisis de los resultados. Hay que recordar que también el auditor debe de ser eficiente a la hora de realizar sus pruebas, por lo que no solo debe de buscar o diseñar las pruebas a realizar, sino buscar que sean las mejores, las que buscan probar o negar una hipótesis de manera más eficiente.

Es importante mencionar que para diseñar pruebas eficientes, el auditor de TI debe también de conocer de la tecnología. Su primera fortaleza debe de ser conocer la tecnología, eso le permitirá saber cuando una prueba es eficiente y cuando puede ser mejorada.