Auditoría continua: Implicancias para el aseguramiento, la supervisión y la evaluación de riesgos

Auditoría continua:Implicancias para el aseguramiento,

la supervisión y la evaluaciónde riesgos

Guía de Auditoría de Tecnología Global (GTAG) 3

Auditoría continua: implicancias para el aseguramiento, la supervisión y la evaluación de riesgos

Autor

David Coderre, Policía Montada Real de Canadá (RCMP, en inglés)

Expertos en el tema

John G. Verver, ACL Services Ltd. J. Donald Warren Jr., Center for Continuous Auditing, Rutgers University

Octubre 2005

Copyright © 2005 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Todos los derechos reservados. Impreso en Estados Unidos. Ninguna parte de esta publicación puede ser reproducida, guardada en un sistema de recu-peración o transmitida en forma alguna ni por ningún medio, sea electrónico, mecánico, fotocopia, grabación, o cualquier otro, sin obtener

previamente el permiso por escrito del editor.

El IIA publica este documento con fines informativos y educativos. Este documento tiene como propósito brindar información, pero no sustituye el asesoramiento legal o contable. El IIA no ofrece ese tipo de asesoramiento y no garantiza ningún resultado legal ni contable por medio de la publicación de este documento. Cuando surgen cuestiones legales o contables, se debe recurrir y obtener asistencia profesional.

1. Resumen ejecutivo .............................................................................................................................................................1

Auditoría continua .............................................................................................................................................................1

La necesidad de contar con una auditoría continua o supervisión continua: un enfoque integrado ................................1

Los roles de la actividad de auditoría interna y la dirección ..............................................................................................2

El poder de la auditoría continua .......................................................................................................................................2

Cuestiones relativas a la implementación ..........................................................................................................................2

2. Introducción ........................................................................................................................................................................3

Auditoría continua: una reseña ..........................................................................................................................................3

Entorno de auditoría actual .................................................................................................................................................4

Enfoque de Gestión de Riesgo Empresarial (ERM, en inglés) de COSO ...........................................................................4

Los roles de la actividad de auditoría interna y la dirección ...............................................................................................5

Beneficios de la auditoría y la supervisión continuas .........................................................................................................5

3. Conceptos y términos clave: la necesidad de claridad ........................................................................................................7

Secuencia de la auditoría continua ....................................................................................................................................8

4. Relación de la auditoría continua con el aseguramiento continuo y la supervisión continua .........................................10

Aseguramiento continuo ..................................................................................................................................................10

Supervisión continua ........................................................................................................................................................10

Auditoría continua ...........................................................................................................................................................10

5. Áreas de aplicación de la auditoría continua ....................................................................................................................12

Aplicaciones para la evaluación continua de control .......................................................................................................12

Aplicaciones para la evaluación continua de riesgos ........................................................................................................15

Desarrollo del plan de auditoría ........................................................................................................................................15

Respaldo a la auditoría individual .....................................................................................................................................16

Seguimiento de las recomendaciones de auditoría ..........................................................................................................17

Conclusión .......................................................................................................................................................................17

6. Implementación de la auditoría continua .........................................................................................................................19

Objetivos de la auditoría continua ....................................................................................................................................19

Relación de evaluación continua de riesgos y controles ...................................................................................................24

Gestionar e informar resultados ........................................................................................................................................26

Desafíos y otras consideraciones ........................................................................................................................................27

7. Conclusión .......................................................................................................................................................................29

8. Apéndice A — Ejemplo de auditoría continua aplicado a cuentas a pagar ....................................................................30

9. Apéndice B — Normas relacionadas ...............................................................................................................................33

10. Apéndice C — Autoevaluación de auditoría continua ...................................................................................................34

11. Acerca del autor y el eqipo del proyecto .........................................................................................................................36

12. Referencias .......................................................................................................................................................................37

GTAG — Índice

La necesidad de contar con aseguramiento oportuno y per-manente sobre la eficacia de los sistemas de control y gestión de riesgos es crítica. Las organizaciones están continuamente expuestas a errores, fraudes o ineficiencias importantes que pueden generar pérdidas financieras y mayores niveles de riesgo. Un entorno de regulaciones en desarrollo, mayor glo-balización de los negocios, presión del mercado para mejorar las operaciones y condiciones de negocio de rápido cambio están generando la necesidad de contar con un aseguramien-to permanente y más oportuno para garantizar que los con-troles funcionan eficazmente y que el riesgo se mitiga.

Estas demandas implican mayor presión para los direc-tores ejecutivos de auditoría (DEA) y su personal. Los depar-tamentos de auditoría interna han tenido gran participación en diversos esfuerzos relativos al cumplimiento, en particular por la legislación, como el Artículo 404 de la Ley Sarbanes-Oxley promulgada en Estados Unidos en 2002, y han infor-mado inquietudes no sólo sobre las expectativas cada vez mayores, sino también sobre la capacidad de los auditores internos para mantener la independencia y la objetividad al evaluar la eficacia de los procesos de gestión de riesgos, con-trol y gobierno.

Hoy en día, los auditores internos enfrentan desafíos en diversas áreas:1

Cumplimiento de regulaciones y controles: Evaluación e identificación de problemas y procesos, sostenibilidad, re-cursos, definición de materialidad, prioridades y riesgos de los informes financieros.

Valor e independencia de la auditoría interna: Grandes expectativas de la auditoría interna, problemas cada vez más profundos en los controles internos, confusión en cuanto al rol de la responsabilidad de la auditoría interna, y objetividad e independencia comprometidas.

Fraude: Detección y control, robo de identidad, respon-sabilidad en la gestión de fraude, e incremento de la inciden-cia y el costo de fraudes.

Disponibilidad de recursos calificados: Falta de compe-tencia y habilidades apropiadas, escasez de auditores, reten-ción, y falta de conocimiento sobre riesgos y controles.

Tecnología: Soluciones apropiadas para respaldar el cumplimiento, el modelo de negocio basado en la tecnología, la seguridad de la información, prioridades contrapuestas de tecnología de la información (TI) y la tercerización.

Queda claro que es fundamental contar con un enfoque nuevo que proponga una forma sostenible, productiva y eficaz en relación con su costo para abordar estos problemas.

Auditoría continuaHistóricamente la auditoría interna realizaba pruebas de los controles en forma retrospectiva y cíclica, con frecuencia muchos meses después del momento en el que ocurrían las ac-tividades de negocio. Los procedimientos de prueba a menudo se basaban en un enfoque de muestreo e incluían actividades

como revisiones de políticas, procedimientos, aprobaciones y conciliaciones. En la actualidad, sin embargo, se reconoce que este enfoque sólo ofrece a los auditores internos un al-cance limitado de evaluación y, en general, es muy tarde para representar un valor real en cuanto al desempeño del negocio o al cumplimiento de regulaciones. La auditoría continua es un método empleado para realizar evaluaciones de riesgos y controles de manera automática y más frecuente.

La tecnología es clave para implementar dicho enfoque. La auditoría continua cambia el paradigma de auditoría: se dejan de lado las revisiones periódicas de una muestra de transacciones para dar lugar a pruebas de auditoría perma-nentes de la totalidad de las transacciones. Se convierte en una parte integral de la auditoría moderna en muchos nive-les. También debe estar íntimamente vinculada con activi-dades de gestión, como supervisión de desempeño, cuadro de mando y gestión de riesgo empresarial (ERM, en inglés).

Un enfoque de auditoría continua permite a los audi-tores internos comprender en profundidad los puntos de control crítico, las reglas y las excepciones. Con análisis de datos frecuentes y automatizados, pueden realizar evalu-aciones de riesgos y controles en tiempo real o prácticamente en tiempo real. Pueden analizar los sistemas de negocio clave para detectar tanto anomalías en el nivel de la tran-sacción como indicadores controlados por datos referidos a deficiencias de control y riesgos emergentes. Finalmente, mediante la auditoría continua, los resultados de los análisis se integran al proceso de auditoría en todos sus aspectos, desde el desarrollo y mantenimiento del plan de auditoría empresarial hasta la realización y el seguimiento de auditorías específicas.

La necesidad de contar con una auditoría continua o supervisión continua: un enfoque integradoEn vista de las inquietudes de los DEA por la presión impues-ta en materia de esfuerzos de cumplimiento, falta de recursos y necesidad de mantener independencia en la auditoría, se considera ideal aplicar una estrategia combinada de auditoría continua y supervisión continua.

La supervisión continua abarca los procesos que la direc-ción implementa para garantizar que las políticas, los proced-imientos y los procesos de negocio funcionen eficazmente. Implica la responsabilidad de la dirección en cuanto a evalu-ar la idoneidad y eficacia de los controles. Esto incluye iden-tificar los objetivos de control y las afirmaciones sobre asegu-ramiento, y establecer pruebas automatizadas para destacar las actividades y las transacciones que no cumplen con lo es-tablecido. Muchas de las técnicas de la supervisión continua de los controles que realiza la dirección son similares a las aplicadas por los auditores internos en la auditoría continua.

El uso de procedimientos de supervisión continua por parte de la dirección, junto con la auditoría continua a cargo

GTAG — Resumen ejecutivo — 1

1

1 Informe del Debate de la mesa redonda de los DEA en la Conferencia Internacional 2005 del IIA, julio de 2005.

de los auditores internos, cubrirá las demandas para asegu-rar que los procedimientos de control sean eficaces y que la información producida para la toma de decisiones sea perti-nente y confiable.

Otro beneficio importante para la organización es que, en general, se reducen considerablemente los casos de error y fraude, se incrementa la eficiencia operativa y se mejoran los resultados finales gracias a una combinación de ahorro en los costos y a una reducción de sobrepagos y fugas de ingresos. Las organizaciones que introducen un enfoque de auditoría continua y supervisión de controles suelen lograr un rápido retorno de la inversión.

El entorno del negocio y de las regulaciones, y las nuevas normas de auditoría están impulsando a los auditores y a la dirección a hacer un uso más eficaz de las tecnologías de análisis de datos y de la información, considerándolas una herramienta fundamental para la auditoría continua y la su-pervisión continua.

Los roles de Ia auditoría interna y la direcciónLa dirección tiene como responsabilidad principal la evalu-ación del riesgo, y el diseño, la implementación y el manten-imiento permanente de los controles de una organización. La actividad de auditoría interna es responsable de identificar y evaluar la eficacia del sistema de gestión de riesgos y los controles que implementa la dirección. Los auditores reali-zan una evaluación para brindar aseguramiento al comité de auditoría y a la alta dirección sobre el estado de los sistemas de control y riesgo y, en el caso de legislación como la Ley Sarbanes-Oxley, sobre la confiabilidad de la información de la dirección relativa al estado de los controles. En una situ-ación ideal, la auditoría interna no forma parte del proceso de supervisión de controles y no diseña ni mantiene los con-troles, lo que le permite conservar su independencia.

Si bien la supervisión de controles internos es responsabili-dad de la dirección, la actividad de auditoría interna puede utilizar y aprovechar la auditoría continua para reforzar el en-torno de supervisión y revisión general de una organización. El nivel de supervisión proactiva de la dirección repercutirá directamente en cómo los auditores enfocan la auditoría continua. En los casos en los que la dirección realiza una supervisión continua de los controles, es posible que no se requiera el mismo nivel de pruebas de transacciones detal-ladas durante la auditoría continua. En cambio, los auditores pueden centrarse en los procedimientos para determinar la eficacia del proceso de supervisión de la dirección y, según el resultado de dichas pruebas, ajustar el alcance, la cantidad y la frecuencia de las pruebas de auditoría.

El poder de la auditoría continuaEl poder de la auditoría continua reside en las pruebas con-tinuas, eficientes e inteligentes de controles y riesgos que permiten una notificación oportuna de las brechas y las de-bilidades para dar lugar al seguimiento y la corrección inme-

diatos. Al modificar su enfoque global en este sentido, los auditores lograrán comprender mejor el entorno de negocio y los riesgos para la compañía y le permitirán respaldar el cumplimiento e impulsar el desempeño del negocio.

Cuestiones relativas a la implementación El DEA debe comprender que la auditoría continua

cambiará el paradigma de auditoría, por ejemplo: la naturale-za de la evidencia, los ritmos, los procedimientos y el grado de esfuerzo requerido por los auditores internos. Esto implicará más demandas para el departamento de auditoría. Puntualmente, deberá:

•Lograrysostenerelrespaldodelcomitédeauditoríay la alta dirección para el concepto y la implementación de la auditoría continua.

•Desarrollarymantenerlascompetenciastécnicas, y poner al alcance la tecnología necesaria para acceder, manipular y analizar los datos contenidos en los distintos sistemas de información.

•Utilizar(oimplementar)técnicasdeanálisisdedatos para respaldar los proyectos de auditoría, por ejemplo: el uso de herramientas apropiadas de software analítico y el desarrollo y mantenimiento de técnicas de análisis de datos y pericia en el equipo de auditoría.

•Proponer,promoveryalentarlaadopciónyel respaldo de la supervisión continua por parte de la dirección.

•Asegurarsedequelaauditoríacontinuaseadopte como parte de un enfoque coherente e integrado de la planificación de auditoría orientada a riesgos.

•Gestionaryresponderalosresultadosdelaauditoría continua, determinando el uso, el seguimiento y los mecanismos de generación de informes apropiados. El DEA debe garantizar que se tomen las medidas correspondientes para los hallazgos de la auditoría que se informan a la dirección y que los resultados de la auditoría continua sean tenidos en cuenta por la dirección al evaluar actividades, como supervisión de controles, medición de desempeño y gestión de riesgo empresarial.

Esta Guía de Auditoría de Tecnología Global (GTAG, en inglés) del IIA identifica qué se debe hacer para lograr un uso eficaz de la tecnología a favor de la auditoría con-tinua y destaca las áreas que requieren especial atención. Al leer y seguir los pasos descritos, los auditores internos estarán mejor preparados para usar la tecnología y maximi-zar el retorno de la inversión, así como para demostrar a la dirección la necesidad de hacer inversiones de tecnología apropiadas, y al mismo tiempo, aportar al cumplimiento de los requisitos reglamentarios de la organización y a su solidez y competitividad generales.

GTAG — Resumen ejecutivo —1

2

3

GTAG — Introducción — 2

Esta GTAG se centrará en aspectos de la auditoría continua basados en la tecnología y explicitará:

•Unareseñaylosantecedentesdeconceptossimilares empleados a lo largo de los últimos 30 años.

•Unadefinicióndetérminosytécnicasrelacionados: auditoría continua, evaluación continua de riesgos, evaluación continua de control, supervisión continua y aseguramiento.

•Elroldelaauditoríacontinuaenrelaciónconla supervisión continua.

•Lasáreasenlascuales,unaauditoríacontinua,puede ser aplicada por la actividad de la auditoría interna.

•Losdesafíosylasoportunidadesrelacionadosconla auditoría continua.

•Lasimplicanciasparalaauditoríainterna,elDEAy la dirección.

•Unaherramientadeautoevaluacióndeauditoría continua (Apéndice C, página 34).

Desde 1980, ha habido muchos términos asociados con la noción de ofrecer procedimientos de auditoría permanentes en tiempo real, o prácticamente en tiempo real, por ejemplo: supervisión continua, evaluación continua de control y au-ditoría continua. En esta GTAG, se categorizan los enfoques previos en un concepto unificado de “auditoría continua”. Se analizan la evaluación continua de control y la evaluación continua de riesgos como los principales componentes de la auditoría continua. En esta guía, también se considera a las actividades de supervisión como responsabilidad de la direc-ción, pero, se analiza la interrelación entre la auditoría y la supervisión, y el modo en que los auditores internos brindan aseguramiento adicional para respaldar a la dirección en el desempeño de su función.

Uno de los impulsores actuales y más notables de la au-ditoría continua es el alto costo del cumplimiento de regula-ciones. En Estados Unidos, una encuesta realiza por Finan-cial Executives International (marzo de 2005)2 calculó que el costo del cumplimiento de la Ley Sarbanes-Oxley alcanza un promedio de más de $4 millones por organización. Como la mayoría de estos costos estaban relacionados con procesos manuales, con uso intensivo de mano de obra —sobre la base del uso de recursos internos y consultores externos— no sor-prende que un estudio de AMR Research (enero de 2005)3 haya detectado que se pueden utilizar tecnologías clave para reducir los costos de cumplimiento en más de un 25%.

La presión impuesta por el cumplimiento está llevando a las organizaciones a mejorar sus métodos para realizar una evaluación permanente de los controles internos. En este contexto, la Comisión del Mercado de Valores de Estados Unidos estableció que “tanto la dirección como los auditores deben aportar juicios meditados y un enfoque descendente y basado en riesgos a los procesos de cumplimiento [de la Sec-

ción 404 de la Ley Sarbanes-Oxley]”. Esto ha generado una mayor concentración tanto en la supervisión continua (por parte de la dirección) como en la auditoría continua. Al re-spaldar un conjunto integral de actividades de auditoría, la auditoría continua contribuye a respaldar no sólo el asegura-miento de controles de la actividad de auditoría, sino también la evaluación de riesgos; la identificación de fraude, dispendio y abuso; la planificación de auditoría y el seguimiento de las recomendaciones de auditoría.

Auditoría continua: una reseñaLos orígenes de las pruebas de control automatizadas se remontan a la década de 1960 con la instalación e imple-mentación de módulos de auditoría integrados (EAM, en inglés). Sin embargo, estos módulos eran difíciles de construir y mantener, y eran utilizados en relativamente pocas organizaciones. A fines de los años 1970, los auditores comenzaron a dejar de lado este enfoque. En la década de 1980, algunos profesionales de auditoría comenzaron a adoptar técnicas de auditoría asistidas por computadora (CAATT, en inglés) para análisis e investigaciones ad hoc. Simultáneamente, se presentó, por primera vez, la noción de supervisión continua a los auditores en un gran contex-to académico. La premisa básica era que el uso de análisis de datos automáticos permanente ayudaría a que los audi-tores identifiquen las áreas de mayor riesgo, como punto de partida para determinar sus planes de auditoría. En gen-eral, sin embargo, los auditores no estaban preparados para este tipo de enfoque. Carecían de un acceso sencillo a las herramientas de software apropiadas, de pericia y de recursos técnicos para enfrentar desafíos de acceso a los datos y, sobre todo, de la predisposición de las organizaciones para aceptar el compromiso que implicaba la adopción de una metodología y un enfoque de auditoría notablemente distintos.

Durante los años 1990, en la profesión de auditoría a nivel mundial, hubo una adopción generalizada de soluciones de análisis de datos que se consideraron una herramienta crítica para respaldar las pruebas de eficacia de los con-troles internos. Esta tecnología se empleó para examinar las transacciones en busca de indicadores de incidentes que sucedían porque no se aplicaba un control o porque este no se realizaba correctamente. También identificaba transac-ciones que no cumplían con las normas de control. Además, el análisis de datos respaldaba las pruebas de controles que no se evidenciaban en forma directa por medio de los datos transaccionales. Por ejemplo: se podían analizar las tablas de autorización y acceso de planificación de recursos empresariales (ERP, en inglés) para identificar fallas a fin de mantener una separación adecuada de fun-ciones. No obstante, incluso con esta tecnología como sustento, los procesos de auditoría tradicional a menudo se

2 Encuesta sobre la implementación de la Sección 404 de la Ley SOX realizada por Financial Executives International, marzo de 2005.3 SOX Decisions for 2005: Step Up Technology Investments, John Hagerty, AMR Research, enero de 2005.


basaban en muestras representativas en lugar de evaluar toda la población, y los análisis continuaban luego de haber finalizado la actividad de negocio (transacción). Por eso, había más chances de que los problemas de riesgo y control siguieran avanzando y repercutieran negativamente en el desempeño del negocio.

Entorno de auditoría actualEn la actualidad, la proliferación de sistemas de información en el entorno de negocio ofrece a los auditores un acceso más sencillo a una cantidad mayor de información relevante, pero también implica la gestión y la revisión de volúmenes de datos y transacciones mucho más grandes.

Además, el ritmo vertiginoso de los negocios requiere una rápida identificación y respuesta a los problemas de con-trol. Regulaciones como el Artículo 404 de la Ley Sarbanes-Oxley de Estados Unidos exigen una revelación oportuna de las deficiencias de control y las afirmaciones de la dirección con respecto a la idoneidad del esquema de control. Este im-perativo de cumplimiento estatutario, así como los cambios constantes en las normas de auditoría y la evolución del soft-ware de auditoría, están impulsando y permitiendo a los au-ditores adoptar nuevos enfoques para el acceso a información y controles.

El DEA debe poder brindar a la alta dirección evalu-aciones permanentes, en lugar de simples revisiones periódi-cas, relativas al estado de los controles internos y los niveles de riesgo de la organización. Hoy en día, los auditores inter-nos no sólo auditan actividades de control; también observan el perfil de riesgo de una compañía y desempeñan un papel fundamental en la identificación de áreas para mejorar los procesos de gestión de riesgos. Sin embargo, si no compren-den en profundidad los procesos de negocio y los riesgos aso-ciados, los auditores sólo pueden realizar tareas sobre listas de verificación de auditoría tradicional. La auditoría continua permite a los auditores superar los límites de los enfoques de auditoría tradicional y las restricciones de los muestreos, la revisión de informes estándar y las evaluaciones puntuales. Un componente crucial de la auditoría continua es el desar-rollo de un modelo de revisión permanente (continuo) de transacciones en el momento exacto, o aproximado, en el que ocurren.

Como se analizará con mayor detalle en la Sección 4, una cuestión clave que repercute en el enfoque de los auditores internos hacia la auditoría continua es el alcance de la imple-mentación de sistemas por parte de la dirección destinados a supervisar controles en forma continua e identificar deficien-cias de control e indicadores de riesgo.

La auditoría continua mide atributos específicos que, si cumplen con determinados parámetros, generarán el inicio de acciones de los auditores. El concepto paraguas de audi-toría continua engloba dos actividades principales:

•Evaluacióncontinuadecontrol,destinadaacentrarse lo más pronto posible en las deficiencias de control.

•Evaluacióncontinuaderiesgos,destinadaadestacar

los procesos o sistemas que presentan niveles de riesgo más altos de lo esperado.

La frecuencia de la actividad de auditoría continua de-penderá del riesgo inherente al proceso o sistema. Además, es posible comenzar examinando los controles y las áreas de riesgo clave, y luego ampliar la aplicación de auditoría continua a medida que los auditores ganan experiencia y logran resultados medibles que contribuyan al cumplim-iento, la eficacia y la eficiencia operativas y la integridad de los informes financieros.

Enfoque de Gestión de Riesgo Empresarial (ERM, en inglés) de COSOEl Enfoque Integrado de Gestión de Riesgo Empresarial del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, en inglés) alienta a los auditores internos a abordar sus actividades desde la perspectiva con la cual la dirección dirige un negocio: entorno de control, evaluación de riesgos, información y comunicación, y supervisión de riesgos. El enfoque de COSO ERM es una ampliación del en-foque de control interno original de COSO. Pone más énfasis en los controles internos y brinda un análisis más extenso y sólido sobre el concepto más amplio de ERM. Sus cuatro categorías de objetivos — estratégicos, de operaciones, de in-formes y de cumplimiento— implican más presión para los auditores internos en cuanto a analizar el sistema de control interno e identificar y evaluar el riesgo. Para lograr esto, la auditoría interna debe cambiar su rol tradicional a uno cen-trado en las metas corporativas, las estrategias, la gestión de riesgos y los procesos de negocio, así como en las actividades de control crítico.

El enfoque de la auditoría continua no apunta sólo al cumplimiento de controles y regulaciones, sino también a un mayor grado de eficiencia de las operaciones de la orga-nización. La auditoría continua también debe colaborar con el progreso general de la organización, identificando y evalu-ando riesgos y ofreciendo información a la dirección a fin de responder, de la mejor manera, a las cambiantes condiciones de negocio. Ayudará a la auditoría interna en todos los com-ponentes de COSO ERM:

•Entornointernoydefinicióndeobjetivos:cuandose formalizan los objetivos de auditoría continua y el rol de la auditoría interna.

•Identificacióndeincidentes:cuandosedesarrollaun sistema para identificar e informar incidentes y un proceso para abordar estas amenazas y oportunidades.

•Evaluaciónderiesgos:cuandoanalizayevalúalos riesgos, teniendo en cuenta la probabilidad y el impacto, a efectos de formar una base para determinar cómo serán gestionados.

•Respuestaalriesgo:cuantotomaenconsideraciónlas categorías de riesgos y las actividades clave, y cuando desarrolla una metodología controlada por datos para evaluar y responder a los riesgos.

4


•Actividadesdecontrol:cuandoreconocelosrolesde la dirección y de los auditores internos, demostrando que la evaluación de control no es una actividad que se realiza una vez al año, sino una preocupación permanente; y automatizando el proceso de pruebas de controles lo más cercano posible al tiempo real.

•Informaciónycomunicación:cuandocontribuyeal garantizar la confiabilidad de la información y el

•Actividadesdecontrol:cuandoreconocelosrolesdela dirección y de los auditores internos, demostrando que la evaluación de control no es una actividad que se realiza una vez al año, sino una preocupación per-manente; y automatizando el proceso de pruebas de controles lo más cercano posible al tiempo real.

•Informaciónycomunicación:cuandocontribuyealgarantizar la confiabilidad de la información y el informe oportuno de inquietudes.

•Supervisiónyrevisión:cuandobrindaunaevaluación independiente en respaldo de las actividades de supervisión que lleva a cabo la dirección.

La evaluación continua de control permitirá a los au-ditores internos evaluar la idoneidad de las actividades de supervisión de la dirección y proporcionar al comité de audi-toría y a la alta dirección aseguramiento independiente con respecto al funcionamiento eficaz de los controles y la po-sibilidad de que la organización responda rápidamente para corregir las deficiencias que surjan. La evaluación continua de riesgos permite a los auditores identificar áreas emergentes que implican un riesgo para la compañía, dar prioridad a esos riesgos y asignar con mayor eficacia los recursos limitados de auditoría. No obstante, estas actividades de ningún modo deslindan a la dirección de su responsabilidad de implemen-tar una función de supervisión y gestionar el riesgo.

La supervisión y revisión es el último componente de COSO ERM con miras a lograr un enfoque de control eficaz y es un elemento fundamental en los esfuerzos de una orga-nización tendientes a una mejora continua. La supervisión continua abarca los procesos que la dirección implementa para garantizar que las políticas, los procedimientos y los pro-cesos de negocio funcionen eficazmente. Implica la respon-sabilidad de la dirección en cuanto a evaluar la idoneidad y

eficacia de los controles. Esto incluye identificar los objetivos de control y las afirmaciones sobre aseguramiento, y establec-er pruebas automatizadas para destacar las transacciones que no cumplen con los objetivos de control y las afirmaciones sobre aseguramiento relevantes. Muchas de las técnicas de la supervisión continua de los controles que realiza la direc-ción son similares a las que podría aplicar el departamento de auditoría interna en una auditoría continua.

Los roles de Ia actividad de auditoría interna y la direcciónEn su rol de administración, la dirección tiene como re-sponsabilidad principal la evaluación del riesgo, y el diseño, la implementación y el mantenimiento permanente de los controles de una organización. La actividad de auditoría in-terna, en vista de sus responsabilidades hacia la dirección y el consejo, tiene a su cargo identificar y evaluar la eficacia del sistema de gestión de riesgos y controles de la organización implementados por la dirección. La diferencia entre los roles de los auditores y la dirección en cuanto a abordar el riesgo y los controles internos yace en la naturaleza de las respons-abilidades respectivas hacia las partes interesadas. Los audi-tores realizan la evaluación para brindar aseguramiento a las partes interesadas, al comité de auditoría y a la alta dirección sobre el estado de los sistemas de control y riesgo y, en el caso de legislación como la Ley Sarbanes-Oxley, sobre la confi-abilidad de la información de la dirección relativa al estado de los controles. En una situación ideal, los auditores no forman parte del proceso y no diseñan ni mantienen los controles. Por ello, conservan su objetividad e independencia.

Beneficios de la auditoría y la supervisión continuasLos resultados de la auditoría y la supervisión continuas (por parte de la dirección) son similares e involucran notifica-ciones o alertas que indican deficiencias de control o nive-les de riesgo más altos que lo deseado. Las notificaciones o alertas se pueden priorizar y, según la gravedad del riesgo o la deficiencia de control, se les pueden entregar a los asegu-radores del proceso de negocio o del sistema de aplicación, a los directores operativos, a los auditores, a los directores fi-nancieros e incluso a los organismos de control. La respuesta de la dirección a estas notificaciones puede ser corregir una deficiencia de control y una transacción errónea de inme-diato. La respuesta de auditoría a estas advertencias puede abarcar desde una auditoría inmediata del sistema de control identificado hasta la señalización de un área para una futura auditoría.

Por ejemplo, las pruebas de auditoría continua de las tran-sacciones financieras pueden emitir notificaciones cuando un comprobante de diario supera determinado límite e involu-cra asientos entre una combinación inusual de cuentas. La respuesta del auditor puede depender de si considera que es un único caso (la respuesta puede ser enviar un mensaje de correo electrónico a quien haya originado la transacción para

5

pedirle una explicación) o si considera que es un problema sistémico (en cuyo caso se puede solicitar una auditoría fi-nanciera del área). Con una auditoría continua y a través de pruebas adicionales destinadas a determinar la naturaleza de la anomalía, se pueden responder preguntas como:

•¿Elcomprobantedediariogeneraunasientoenuna cuenta transitoria y no se cancela dentro de un período aceptable?

•¿Elcomprobantedediariogeneraasientosentre combinaciones inusuales de cuentas?

•¿Esprobablequelacuentasinvolucradaspuedan,por ejemplo, inflar las ganancias de manera artificial?

•¿Losvolúmenesylostiposdecomprobantesdediario son inusuales en comparación con años anteriores?

•¿Laspersonasquecreanlosasientos,estánenuna posición comprometida de separación de funciones?

•¿Sedebenhacermásestrictosomáslaxosloscriterios para esta prueba?

•¿Loscoeficientesfinancieroscoincidenconlosde compañías similares?

•¿Cuálhasidolatendenciadegananciasenlos últimos años y qué diferencia tiene con la tendencia de compañías similares y el entorno económico general?

La auditoría continua ayuda a los auditores a evaluar la idoneidad de la función de supervisión de la dirección. Esto le permite al DEA brindar al comité de auditoría y a la alta di-rección un aseguramiento independiente de que los controles están funcionando eficazmente y de que los procesos de au-ditoría están bien implementados para identificar y abordar cualquier violación. La auditoría continua también identifica y evalúa áreas de riesgo, y ofrece información a los auditores que se puede comunicar a la dirección en respaldo de sus es-fuerzos para mitigar el riesgo. Además, se puede emplear al desarrollar el plan de auditoría anual, centrando la atención y los recursos de auditoría en áreas de mayor riesgo.

De todos modos, una de las principales ventajas de la auditoría continua es su independencia de los sistemas finan-cieros y operativos subyacentes y de la supervisión que realiza la dirección. Esto mejora los enfoques de control y gestión de la organización y suministra mecanismos que los auditores pueden utilizar para respaldar sus propias actividades de re-visión y evaluación independientes.

La auditoría continua no está exenta de desafíos. Es nec-esario comprender y controlar la tecnología. Los auditores in-ternos deben tener acceso a datos, herramientas de software y técnicas, y contar con el conocimiento necesario para utilizar de manera inteligente la enorme cantidad de información financiera y no financiera de la compañía al alcance de la mano. Las oportunidades que brinda la auditoría continua también conllevan demandas para los auditores y el DEA.


6

Se han hecho varios intentos para alentar a los auditores a que hagan un mejor uso de la información electrónica y au-menten la eficacia y la eficiencia de la actividad de auditoría interna. En el último tiempo, se han aplicado diversos térmi-nos para estas iniciativas, pero sólo han creado más confusión en el ámbito de la profesión. Sin una comprensión clara y unificada de la terminología, será difícil fomentar estas ini-ciativas y se reducirán las posibilidades de éxito. Por lo tanto, uno de los primeros requisitos en la implementación de la au-ditoría continua es el desarrollo y la difusión de definiciones claras para todos los términos relacionados.

Un punto clave para comprender la terminología rela-cionada con la auditoría continua es entender que el control y el riesgo son dos caras opuestas de la misma moneda. Los controles existen para ayudar a mitigar el riesgo. La identifi-cación de deficiencias de control permite destacar áreas de riesgo potencial. En oposición, al examinar el riesgo, los au-ditores pueden identificar áreas donde los controles son nec-esarios o donde no funcionan.

Si bien la evaluación de controles y riesgos siempre involu-cra análisis cualitativos y cuantitativos, el mayor grado de efi-ciencia se logra al maximizar el uso de tecnología. El desafío para los auditores es garantizar la disponibilidad y la utilidad de los datos, comprender los sistemas y los procesos subya-centes de negocio, y maximizar el uso de la automatización. Por eso, el foco de esta GTAG son los procesos asistidos por la tecnología que respaldan la auditoría continua.

El aseguramiento puede considerarse como la opinión que se brinda a un tercero con respecto a determinada situ-ación: una transacción específica, un proceso de negocio o de gobierno, un riesgo o el desempeño financiero global de una operación de negocio. El aseguramiento de auditoría es una declaración sobre la idoneidad y eficacia de los controles, y la integridad de la información.

La supervisión continua de los controles por parte de la dirección es el núcleo de las estrategias de aseguramiento efectivas. No obstante ello, los auditores deben asegurarse que las actividades de la dirección sean adecuadas y eficaces. El enfoque de aseguramiento continuo es la combinación de tareas realizadas por la actividad de auditoría interna para evaluar en forma independiente: el estado de los controles, la gestión de riesgos de la organización y la evaluación de la idoneidad de la función de supervisión de la dirección.

El DEA debe garantizar que todos los auditores, la alta dirección y el comité de auditoría comprendan los roles y las responsabilidades que tienen la actividad de auditoría interna

y la dirección para lograr que la ecuación de aseguramiento continuo sea efectiva. Las siguientes definiciones pueden aportar más comprensión:•Laauditoría continua es todo método utilizado por

los auditores para realizar actividades relacionadas con la auditoría en forma (más) continua. Es la secuencia de actividades que abarcan desde la evaluación continua de control hasta la evaluación continua de riesgos (todas las actividades en la secuencia control-riesgo). La tecnología desempeña un papel fundamental en la automatización de la identificación de excepciones o anomalías, el análisis de patrones de los dígitos de campos numéricos clave, el análisis de tendencias, el análisis de transacciones detalladas con valores límite y umbrales, las pruebas de controles y la comparación del proceso o del sistema a través del tiempo o con otras entidades similares.•Laevaluación continua de control se refiere a las

actividades que realizan los auditores para brindar aseguramiento relacionado con los controles. Con la evaluación continua de control, los auditores brindan aseguramiento al comité de auditoría y a la alta dirección sobre si los controles están funcionando correctamente por medio de la identificación de debilidades y violaciones de control. Las transacciones individuales se supervisan utilizando un conjunto de reglas de control para ofrecer aseguramiento relativo al sistema de controles internos y destacar las excepciones. Un conjunto de reglas de control bien definidas brinda una advertencia temprana cuando los controles sobre un proceso o un sistema no están funcionando como deben o cuando se han violado.

El alcance de las actividades de evaluación continua de control que implementa la actividad de auditoría interna dependerá del grado de cumplimiento de las responsabilidades de la dirección en materia de supervisión continua. Un sistema sólido de super visión de la dirección implicará una menor cantidad de pruebas detalladas para que los auditores puedan brindar aseguramiento sobre los controles.•Laevaluación continua de riesgos se refiere a las

actividades que realizan los auditores para identificar y evaluar los niveles de riesgo. La evaluación continua de riesgos identifica y evalúa los riesgos al examinar tendencias y comparaciones (en un único proceso o sistema, en comparación con su propio desempeño anterior y con otros procesos o sistemas en funcionamiento en la empresa). Por ejemplo: el desempeño de una línea de productos se podría comparar con resultados de años anteriores y se podría evaluar en el contexto del desempeño de una planta contra las demás. Estas comparaciones permiten una advertencia temprana de que un proceso o sistema particular (entidad de auditoría) tiene un nivel mayor de riesgo que años anteriores o que otras entidades. La respuesta

GTAG — Conceptos y términos clave: la necesidad de claridad — 3

7

8

de auditoría variará según la naturaleza y el nivel de riesgo. La evaluación continua de riesgos se puede utilizar en una auditoría de gran alcance para seleccionar las ubicaciones que se visitarán, para identificar auditorías específicas o entidades que se incluirán en el plan de auditoría anual o para generar una auditoría inmediata de una entidad en la cual el riesgo ha aumentado en gran medida sin una explicación adecuada. También se puede utilizar para evaluar las acciones de la dirección, para ver si las recomendaciones de auditoría se han implementado correctamente y si están reduciendo el nivel de riesgo de negocio.•Lasupervisión continua es un proceso que implementa

la dirección para garantizar que las políticas, los procedimientos y los procesos de negocio funcionen eficazmente. La dirección identifica los puntos de control crítico e implementa pruebas automatizadas para determinar si esos controles están funcionado como corresponde. El proceso de supervisión continua habitualmente abarca las pruebas automatizadas de todas las transacciones y las actividades del sistema, dentro de un área de proceso de negocio determinada, utilizando un conjunto de reglas de control. En general, la supervisión se lleva a cabo en forma diaria, semanal o mensual, de acuerdo con la naturaleza del ciclo de negocio subyacente. Según cuál sea la regla de control específica y los parámetros de umbral y prueba relacionados, determinadas transacciones se marcan como excepciones de control y se notifica a la dirección. La función de supervisión de gestión también puede estar vinculada con los indicadores clave de ren- dimiento (KPI, en inglés) y otras actividades de medición de desempeño. Es responsabilidad de la dirección responder a las notificaciones y las alertas de supervisión, solucionar toda deficiencia de control y corregir transacciones defectuosas.

Secuencia de auditoría continuaLa auditoría continua ayuda a los auditores a identificar y evaluar el riesgo, además de establecer umbrales dinámicos

e inteligentes que respondan a cambios en la organización. También respalda la identificación y la evaluación de riesgos para todo el universo de la auditoría, colaborando con el de-sarrollo del plan de auditoría anual y de los objetivos de una auditoría específica. Así, la auditoría continua se puede con-siderar una secuencia que opera en muchos niveles. Además, determinados puntos de la secuencia son más adecuados para ciertas tareas y es posible abarcar más de un punto de la secuencia al realizar distintas tareas. El foco de la auditoría continua abarca desde un enfoque basado en controles hasta un enfoque basado en riesgos (con-sulte el diagrama a continuación); las técnicas de análisis abarcan desde una revisión en tiempo real de transacciones detalladas hasta el análisis de tendencias y la comparación de entidades con otras entidades y a través del tiempo.•Enelextremode“controles”delasecuencia,las

actividades relacionadas con la auditoría incluyen el aseguramiento de control y las auditorías de certificación financiera.•Amedidaqueseavanzahaciaelotroextremodela

secuencia, las actividades de auditoría incluyen la identificación de fraude, dispendio y abuso por medio de la evaluación de riesgo para respaldar proyectos de auditoría y elaborar el plan de auditoría anual.•Lasactividadesdegestiónrelacionadasson,por

ejemplo, supervisión continua de los controles, supervisión de desempeño, cuadro de mando, gestión para la calidad total y ERM.

La auditoría continua es una estructura o un enfoque de unificación que reúne aseguramiento de control, evaluación de riesgos, planificación de auditoría, análisis digital y demás herramientas, técnicas y tecnologías de auditoría. Respalda cuestiones de microauditoría, como pruebas de transacciones detalladas para evaluar la eficacia de los controles, y cues-tiones de macroauditoría, como el uso de identificación y evaluación de riesgos para elaborar el plan de auditoría anual. También aborda los requisitos de nivel medio, como el desar-rollo de objetivos de auditoría para auditorías individuales.

La principal diferencia entre la microauditoría y la mac-


Seguimiento de las recomendaciones

de auditoría


roauditoría es el nivel de detalle de la información requeri-da:•Laspruebasdecontrolrequiereninformacióndetallada,

descendiendo hasta las transacciones en el nivel de origen. La evaluación continua de control utiliza reglas cuidadosamente desarrolladas y pruebas de transacciones en tiempo real o prácticamente en tiempo real para lograr el cumplimiento de estas reglas.•Laauditoríaindividualamenudocomienzaconlos

riesgos identificados en el plan de auditoría anual pero, utiliza análisis de datos más detallados y otras técni- cas (por ejemplo: entrevistas, autoevaluaciones de control, inspecciones, cuestionarios, etc.) para definir aún más las principales áreas de riesgo y centrarse en la evaluación de riesgos y las posteriores actividades de auditoría.•Elplandeauditoríaanualrequiereinformacióndealto

nivel (tal vez un cúmulo de datos de varios años) para establecer los factores de riesgo, priorizar los riesgos, y definir los ritmos iniciales y los objetivos para el conjunto de auditorías planificadas.

9

GTAG — Relación de la auditoría continua con el aseguramiento continuo y la supervisión continua — 4

Aseguramiento continuoComo se mencionó anteriormente, el aseguramiento se puede describir como una opinión que se ofrece a un tercero sobre determinada situación. En general, involucra a tres partes:

•Lapersonaoelgrupoquepreparalainformación.•Lapersonaoelgrupoqueutilizalainformaciónpara

tomar decisiones.•Elterceroobjetivo.

Con frecuencia, el aseguramiento se considera una ac-tividad estrictamente relacionada con la auditoría, en gener-al, de naturaleza financiera. Sin embargo, otros profesionales, como los involucrados en el ámbito legal, también brindan servicios de aseguramiento.

El aseguramiento de auditoría es una declaración sobre la idoneidad y eficacia de los controles y la integridad de la información. La supervisión continua de los controles por parte de la dirección es el núcleo de las estrategias de ase-guramiento efectivas; no obstante, la actividad de auditoría también debe asegurar que las actividades de la dirección sean adecuadas y eficaces.

La auditoría interna ofrece servicios de aseguramiento realizando exámenes objetivos de evidencia a fin de brindar una evaluación independiente de las estrategias y las prác-ticas de gestión de riesgos, los enfoques y las prácticas de control de gestión, y la información utilizada para la toma de decisiones y los informes. El aseguramiento continuo se puede ofrecer cuando los auditores realizan una evaluación continua de riesgos y controles (es decir, una auditoría conti-nua) y evalúan la idoneidad de las actividades de supervisión continua de la dirección.

Los auditores examinan las actividades que realiza la dirección, verifican el funcionamiento de los controles, re-comiendan cambios y garantizan que el riesgo se gestione. Si los auditores llevan a cabo su trabajo; revisando y verificando los controles y riesgos, y asegurándose de que la dirección re-alice su trabajo de supervisión; la organización tendrá un nivel de aseguramiento más elevado relativo al funcionamiento de los controles, a la gestión de riesgos y a la integridad de la información utilizada para la toma de decisiones. La direc-ción desempeña un papel en la ecuación de aseguramiento desarrollando, diseñando y supervisando los controles, y ges-tionando los riesgos.

Supervisión continuaLa supervisión continua se refiere a los procesos que la direc-ción implementa para garantizar que las políticas, los proced-imientos y los procesos de negocio funcionen eficazmente. En general, implica la responsabilidad de la dirección en cuanto a evaluar la idoneidad y eficacia de los controles. Muchas de las técnicas que utiliza la dirección para supervisar los con-troles en forma continua son similares a las aplicadas por los auditores internos en la auditoría continua. Los principios de la supervisión continua son sencillos e incluyen los siguientes componentes:

•Definirlospuntosdecontroldeunprocesode negocio determinado, si es posible, de acuerdo con el enfoque de COSO ERM.

•Identificarlosobjetivosdecontrolylasafirmaciones de aseguramiento para cada punto de control.

•Establecerunaseriedepruebasautomatizadaspara indicar si es probable que alguna transacción no haya cumplido con todos los objetivos de control y las afirmaciones de aseguramiento pertinentes.

•Sometertodaslastransaccionesaunconjuntode pruebas en un punto cercano al momento en el que ocurre la transacción.

•Investigartodaslastransaccionesquenohayan pasado alguna prueba de control.

•Sicorresponde,corregirlatransacción.•Sicorresponde,corregirladebilidaddecontrol.

La clave de la supervisión continua es que el proceso debe estar a cargo de y ser ejecutado por la dirección, como parte de su responsabilidad hacia la implementación y el mantenimiento de sistemas de control eficaz. Como la dirección es responsable de los controles internos, debe disponer de medios para determinar en forma permanente si los controles están funcionando como corresponde. Al identificar y corregir problemas de control de manera oportuna, se puede mejorar el sistema de control general.

Otro beneficio habitual para la organización es que se reducen considerablemente los casos de error y de fraude, se incrementa la eficiencia operativa y se mejoran los resultados finales gracias a una combinación de ahorro en los costos y a una reducción de los sobrepagos y fugas de ingresos.

Auditoría continuaExiste una relación inversa entre la idoneidad de las activi-dades de gestión de riesgos y de supervisión que realiza la di-rección, y el alcance de las pruebas detalladas de controles y evaluaciones de riesgos que deben realizar los auditores. El enfoque y el grado de la auditoría continua que aplica la ac-tividad de auditoría dependen del grado de implementación de la supervisión continua a cargo de la dirección.

10

Relación inversa: Nivel de esfuerzo aplicado por la dirección y la actividad de auditoría

GTAG — Relación de la auditoría continua con el aseguramiento continuo y la supervisión continua — 4

En las áreas en las cuales la dirección no haya implemen-tado una supervisión continua, los auditores deben realizar pruebas detalladas mediante técnicas de auditoría continua. En algunos casos, los auditores incluso pueden desempeñar un papel proactivo asistiendo a la organización en el estab-lecimiento de procesos de gestión de riesgos y evaluación de control. Sin embargo, se debe prestar atención para asegura-rse de que los auditores no asuman un rol de propiedad sobre estos procesos, ya que podrían comprometer su independen-cia y objetividad.

En los casos en que la dirección realiza una supervisión continua en función de una base integral en las áreas de proceso de negocio punto a punto, la actividad de auditoría interna ya no necesita aplicar las mismas técnicas detalla-das que, de otro modo, utilizaría en la auditoría continua. En cambio, los auditores deben llevar a cabo otros proced-imientos para determinar si se puede confiar en el proceso de supervisión continua. Esos procesos incluyen:

•Revisióndeanomalíasdetectadasyrespuestadela dirección.

•Revisiónypruebadecontrolessobreelproceso mismo de supervisión continua, como:

•Procesamientoderegistros/pistasdeauditoría.•Conciliacionesdecontroltotal.•Cambiosenlosparámetrosdepruebadelsistema.

En general, estos procedimientos son similares a las prue-bas de control de calidad que se realizan durante el proceso de auditoría normal para garantizar que las técnicas de audi-toría asistidas por computadora (CAAT, en inglés) se hayan aplicado correctamente.

Al evaluar los resultados combinados de los procesos de auditoría y supervisión continuas, los auditores pueden brindar aseguramiento continuo relativo a la eficacia de los controles internos.

11

12

GTAG — Áreas de aplicación de la auditoría continua — 5

La presión para que los departamentos de auditoría interna hagan más cosas en menos tiempo es cada vez mayor. Quizás los desafíos más complicados para los auditores sean ofrecer aseguramiento oportuno sobre la eficacia de los controles in-ternos, identificar y evaluar con mayor precisión los niveles de riesgo, y destacar la falta de cumplimiento de las regulaciones y las políticas rápidamente. En todas estas áreas se puede apli-car la auditoría continua. Las tecnologías propicias pueden abarcar desde hojas de cálculo o guiones desarrollados con software específico de auditoría hasta paquetes de soluciones comerciales o sistemas desarrollados a medida. La solución seleccionada debe ser flexible y escalable, que permita a los auditores comenzar por un área específica y luego aumentar el alcance, el grado y la frecuencia de análisis. Si bien algunos estatutos establecen que las auditorías se deben realizar anualmente, la noción de llevarlas a cabo estrictamente con esa frecuencia ya no alcanza para cumplir con los requisitos reglamentarios y de gestión. La actividad de auditoría interna debe aplicar evaluaciones de riesgos y llevar a cabo actividades de aseguramiento de control en forma per-manente. Si bien los requisitos reglamentarios han puesto especial atención en los aspectos financieros de la auditoría, la auditoría continua respalda todos los tipos y áreas de la ac-tividad de auditoría. La Confederación Europea de Institutos de Auditores Internos (ECIIA, en inglés), por medio de una declaración de posición emitida en 2005, Internal Auditing in Europe4, alienta a los auditores internos a responder a los ries-gos que enfrenta una organización brindando aseguramiento a la dirección relativo a la identificación de riesgos y a su gestión apropiada. Los auditores deben poder revisar y evaluar los ries-gos no sólo financieros, sino también operativos y estratégicos. Esta es un área emergente de atención para la auditoría con-tinua. Las tecnologías de acceso a la información y las apti-tudes técnicas utilizadas para las pruebas de control también pueden ayudar al DEA a ofrecer una colaboración sumamente valiosa a la dirección al respaldar la evaluación de la eficacia constante de las actividades de ERM y la recomendación de mejoras, cuando se justifique. El DEA respalda la función de supervisión ofreciendo evaluaciones independientes de riesgos y controles a la alta dirección. La auditoría continua abarca un amplio rango de funcionalidades que respaldan a las actividades de auditoría y al DEA por medio de metodologías y servicios propicios que incluyen:

•Estrategiasyprácticasdegestiónderiesgos: identificando los riesgos sin demoras.

•Confiabilidaddelenfoquedecontroldegestión: destacando las debilidades de control.

•Informaciónparalatomadedecisiones:examinando la confiabilidad y la posibilidad de acceso a la información que utilizan los directores.

•Seleccióndeproyectosdeauditoríaparasuinclusión en el plan de auditoría anual: identificando áreas de

mayor riesgo.•Implementacióndemedidascorrectivasoportunasy

eficaces: verificando la implementación de recomendaciones de auditoría.

El DEA debe reconocer que hay diversas iniciativas de la dirección que están estrechamente vinculadas con la auditoría continua, como gestión integrada de riesgos, cuadro de mando, mejora continua y supervisión continua. El auditor debe determinar el lugar en el que se adecua la auditoría continua y cómo se puede emplear para evaluar estas iniciativas de la dirección o para utilizar información generada a través de las iniciativas.

Los beneficios esperados a partir de la implementación de un esquema de auditoría continua incluyen:

•Mayorcapacidadparamitigarriesgos.•Reduccionesenelcostoqueimplicalaevaluaciónde

controles internos.•Mayorconfianzaenlosresultadosfinancieros.•Mejorasenlasoperacionesfinancieras.•Reduccionesenloserroresfinancierosylaposibilidad

de fraude.

Además, las organizaciones que han adoptado plena-mente la auditoría continua suelen informar una reducción en los costos operativos y un aumento en los márgenes de ganancia.

Aplicaciones para la evaluación continua de controlIdentificación de las deficiencias de controlCon la promulgación de nuevas regulaciones que exigen que la alta dirección registre y certifique la eficacia del entorno de control y la precisión de la información incluida en los in-formes financieros, los presidentes y los directores financieros están recurriendo a la actividad de auditoría interna para que colabore con el cumplimiento de estas regulaciones. Si bien la concepción general es que la dirección es responsable de la supervisión, el diseño y el mantenimiento de controles, la Norma 2130 del IIA establece que la actividad de auditoría interna “debe colaborar con la organización para mantener controles eficaces evaluando su eficacia y eficiencia, y fo-mentando mejoras continuas”. Como consecuencia de estas presiones internas y externas, especialmente en casos en los que la dirección no cumple en forma proactiva con su rol de supervisión, a menudo se espera que los auditores realicen una evaluación más profunda y ofrezcan una evaluación de control más continua. Esto tiene un gran impacto en los pro-cesos y las metodologías de auditoría interna. La evaluación continua de control brinda al DEA per-spectivas claras sobre la eficacia de los sistemas de control interno. Esto, a su vez, ofrece a los ejecutivos de finanzas, a

4 Internal Auditing in Europe, ECIIA, febrero de 2005.

13


los gerentes de proceso de negocios y a los directores de riesgo y cumplimiento aseguramiento independiente y oportuno con respecto a los controles internos. La evaluación conti-nua de control de datos transaccionales frente a los controles internos permite destacar errores y anomalías rápidamente, informándolos a la dirección para su inmediata revisión y acción. También puede aportar a la confiabilidad e integri-dad de la información operativa y financiera, y a la eficacia y eficiencia de las operaciones. Además, la evaluación continua de control también puede aportar a la evaluación permanente de riesgo y a las actividades de mitigación de la dirección. Las evaluaciones de controles y riesgos son actividades complementarias, que se respaldan mutuamente. Los siguientes análisis describen ejemplos de situaciones en las que la actividad de auditoría interna utiliza evalua-ciones continuas de control para complementar la función de supervisión de gestión en tres áreas: controles financieros, controles del sistema y controles de seguridad.

Controles financieros. Ejemplo: programas de tarjetas corporativas Un gerente nacional de tarjetas corporativas revisó manu-almente una pequeña muestra de transacciones de cada trimestre. Los auditores determinaron que los controles de la dirección sobre las compras realizadas eran deficientes y que el potencial de exposición al riesgo era bastante elevado. Después de revisar las políticas aplicables al uso de tarjetas corporativas, los auditores desarrollaron una serie de pruebas analíticas para identificar los siguientes puntos:

•Usoinapropiadodelatarjeta,porejemplo, transacciones relacionadas con gastos de viaje.

•Compradeartículospersonales(porejemplo:joyas, bebidas alcohólicas, etc.).

•Transaccionessospechosas(porejemplo:usodela tarjeta por parte de una persona no autorizada, doble pase por el lector de banda magnética por el comerciante, compras divididas para evitar límites financieros, etc.).

Se envió el resultado de los análisis a los gerentes de los titulares de las tarjetas para hacer una revisión detallada de las compras cuestionables (cotejo de los comprobantes de la tarjeta corporativa con la mercadería comprada). Así se logró identificar diversas compras inapropiadas y tres casos de fraude.

Después de finalizada la auditoría, las pruebas de apli-cación de evaluación continua de control fueron remitidas al coordinador de tarjetas corporativas para colaborar con los directores operativos en la supervisión de controles de tarjetas en forma mensual.

Controles del sistema. Ejemplo: Separación de funcionesLas pruebas de evaluación continua de control también se pueden ejecutar para verificar que los controles del sistema estén funcionando como corresponde. Con tecnología

analítica, se pueden utilizar las pruebas para comparar tran-sacciones individuales con criterios basados en reglas y revisar todas las transacciones para asegurarse de que el personal no desempeñe funciones incompatibles.

En una organización, la implementación de un nuevo sistema de planificación de recursos empresariales (ERP, en inglés) fue pensada para reemplazar los controles manuales por controles automáticos a fin de garantizar la separación adecuada de funciones. El equipo de programación de ERP, con la colaboración de los propietarios del negocio, desarrolló una serie de perfiles de usuario basados en la función, que establecían permisos para los diversos tipos de transacciones que cada usuario podía ejecutar de acuerdo con su función laboral. Si bien los auditores estaban conformes con el en-foque y los procesos incluidos en el desarrollo de los perfiles basados en la función, les preocupaba la actual asignación de perfiles de usuarios y realizaron una revisión detallada de transacciones, en busca de instancias en las que no se hubiera mantenido la separación de funciones.

Los auditores obtuvieron un extracto de todas las transac-ciones procesadas en el primer trimestre del año y utilizaron tecnología de análisis de datos para calcular la cantidad de transacciones procesadas por cada usuario, por tipo de tran-sacción. Así se identificó a dos usuarios que primero habían creado órdenes de compra y que después habían registrado las transacciones de recepción de bienes para las mismas órdenes de compra. Los resultados indicaron una debilidad en el con-trol de la separación de funciones de los perfiles basados en la función, ya que eran funciones incompatibles.

Mientras el sistema de ERP es sometido a más modi-ficaciones (por ejemplo: el agregado de nuevas funciones o cambios en las funciones existentes), se realizan pruebas de evaluación continua de control para verificar que no existan casos en los que se haya violado la separación de funciones.

Controles de seguridad. Ejemplo: Registros de acceso al sistemaLa evaluación continua de control sirve para probar los con-troles de seguridad, verificando que todos los usuarios del sistema sean empleados válidos y que no existan intentos de piratear el sistema.

En otra situación organizacional, cada semana se envía un extracto del archivo de registro de acceso al sistema al departamento de auditoría interna. Los auditores extraen la información de inicio de sesión y hacen corresponder a cada usuario con un archivo maestro de empleados actuales. Se marcan todos los usuarios que no son empleados y se envía un mensaje de correo electrónico automático al director de seguridad de sistemas para revocar las identificaciones de usuario (ID, en inglés). Además, la prueba busca inicios de sesión fallidos. Así se identificó una instancia a las 3 a. m. en la cual una ID de usuario tuvo 25 intentos de inicio de sesión fallidos a través de una conexión de acceso telefónico. Los auditores utilizaron este informe para justificar el cambio de los parámetros de inicio de sesión para bloquear las ID de

14


usuario después de tres intentos de inicio de sesión fallidos.Los posibles usos de la evaluación continua de control

son prácticamente ilimitados. Siempre que exista una ex-posición, los auditores internos pueden desarrollar una prueba o una serie de análisis para buscar evidencia de personas que intentan aprovechar las brechas o las debilidades de control. En algunos casos, las exposiciones de control incluyen casos potenciales de fraude, dispendio y abuso. La frecuencia y los intervalos de estas pruebas dependerán del riesgo potencial del negocio, y de la idoneidad del esquema de control y la función de supervisión de la dirección.

Fraude, dispendio y abusoLa Norma 1210.A2 del IIA exige a los auditores tener cono-cimientos suficientes sobre los indicadores de fraude. La Norma 1210.A3 también exige a los auditores tener cono-cimientos sobre riesgos y controles de tecnología de la in-formación clave, y sobre técnicas basadas en tecnología di-sponible para realizar su trabajo. El uso de tecnologías que respalden la evaluación continua de control puede ayudar a los auditores a examinar transacciones detalladas y datos resumidos, y a identificar anomalías y otros indicadores de fraude, dispendio y abuso. Por ejemplo: al aprovechar las tec-nologías de análisis de datos, los auditores pueden identifi-car fácilmente instancias en las que el límite de la autoridad de contratación es superado (es decir, contratos mayores al límite de contratación del personal) o es evadido (por ejem-plo, contratos divididos). En el área de nómina de salarios, se puede utilizar para identificar personas de la nómina que no están en la base de datos de los empleados o para identificar remuneraciones inusuales. Como el fraude suele ser un delito muy vinculado a las oportunidades, las brechas y las debilidades de control se deben detectar y, de ser posible, eliminar o reducir. Normas y guías de auditoría de amplia circulación abordan directamente esas problemáticas relativas a la exposición, y exigen a los auditores tener conocimientos suficientes de posibles fraudes para poder identificar sus síntomas. Los auditores deben saber qué puede salir mal, cómo puede salir mal y quiénes pueden estar involucrados. Las Declaraciones sobre Normas de Au-ditoría (SAS, en inglés) N.º 99 del Instituto Estadounidense de Contadores Públicos Certificados (AICPA, en inglés), “Consideraciones de fraude en una auditoría de los estados contables”, también fueron desarrolladas para colaborar con los auditores en la detección del fraude. Tienen un alcance mayor que sus antecesoras, las SAS N.º 82, ya que incorporan nuevas disposiciones que incluyen los siguientes puntos:

•Realizarsesionesdetormentadeideassobrelos riesgos de fraude.

•Hacerhincapiéenunmayorgradodeescepticismo profesional.

•Asegurarsedequelosgerentesconozcansobrefraude.•Utilizardiversaspruebasanalíticas.•Detectarcasosenlosqueladireccióneludelos

controles.

También definen los factores de riesgo para los informes financieros fraudulentos y el robo, y se pueden utilizar como un modelo base para la evaluación de riesgo de informes financieros fraudulentos. Los riesgos descritos en las declara-ciones SAS N.º 99 incluyen factores como el estado de la dirección, el entorno competitivo y de negocio, y la estabili-dad operativa y financiera.

Conclusiones y recomendacionesLas técnicas de evaluación continua de control pueden ser similares a las que utiliza la dirección para la supervisión con-tinua. Cuando los auditores internos pueden confiar en el desempeño de la supervisión continua por parte de la direc-ción, no se requiere el mismo nivel de detalle de técnicas de evaluación continua de control. En cambio, los auditores se pueden centrar en llevar a cabo otros procedimientos para ofrecer aseguramiento permanente relativo a los procesos de supervisión continua de la dirección. Sin embargo, cuando la supervisión de la dirección no es suficiente, los auditores deben realizar pruebas detalladas empleando técnicas de evaluación continua de control a fin de valorar la idoneidad de los controles. Por medio de análisis inteligentes basados en la tecnología, los auditores pueden evaluar la idoneidad del enfoque de control interno y ofrecer aseguramiento indepen-diente al comité de auditoría y a la alta dirección. No es necesario ejecutar las evaluaciones continuas de control en tiempo real. La frecuencia del análisis dependerá del nivel de riesgo y del grado de supervisión de controles por parte de la dirección. Por ejemplo: los análisis de tarjetas cor-porativas sólo se pueden ejecutar una vez al mes, al recibir las transacciones de las tarjetas de parte de la compañía emisora de tarjetas de crédito. La nómina de salarios se puede ejecutar en cada período de pago, inmediatamente antes de entregar los cheques. Las pruebas de facturas y pagos duplicados se pueden ejecutar todos los días. En algunos casos, un auditor puede realizar las primeras pruebas de control y derivar la supervisión permanente a la dirección. Otros ejemplos prácticos de aplicación de evaluaciones continuas de control son:

•Examendedatostransaccionales:porejemplo, marcar todos los gastos de tarjetas corporativas que superen el límite de la tarjeta o que involucren a comerciantes prohibidos.

•Revisióndedatosresumidos:porejemplo,totalde gastos del titular de la tarjeta que superen los $10.000 mensuales y cuando el titular de la tarjeta no está dentro de la división de compras.

•Empleodeanálisiscomparativo:porejemplo,total de pagos de horas extras en comparación con el resto de los empleados de la misma calificación y nivel de trabajo para identificar abusos potenciales de horas extras (exceso, falta de autorización, etc.).

•Pruebasdelostotalesporcuentadellibromayor:por ejemplo, señalando cuentas cuyos montos difieren en más de un 25% en comparación con el año anterior, a

15


fin de identificar actividades inusuales, como un incremento en los descuentos.

En todos los casos, los auditores pueden llegar a los detalles de inmediato para descubrir la causa y realizar el seguimiento requerido en forma rápida y sencilla.

Aplicaciones para la evaluación continua de riesgosSi bien la dirección es responsable de desarrollar y mantener un sistema para identificar y mitigar el riesgo, la Norma 2120 del IIA establece que los auditores deben evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos. La Norma 2010 del IIA alienta a los DEA a establecer planes basados en riesgos para determinar las prioridades de la ac-tividad de auditoría interna, en conformidad con las metas de la organización. Estas dos actividades están relacionadas y los auditores pueden utilizar una evaluación continua de riesgos para identificar y evaluar niveles cambiantes de riesgo. Esto les permite evaluar las actividades de mitigación de riesgos de la dirección y respalda el desarrollo de objetivos para audi-torías individuales y del plan de auditoría anual. La evaluación continua de riesgos se puede utilizar para identificar y evaluar el riesgo en forma permanente. Se logra no sólo comparando las transacciones con valores límite sino también utilizando un análisis comparativo de la totalidad de las transacciones. Con este tipo de comparación, los audi-tores pueden examinar la consistencia de un proceso midien-do la variabilidad de diversas dimensiones. En producciones, por ejemplo, medir la variabilidad en la cantidad de defectos es un método para probar la consistencia de una línea de producción. Cuanta más variabilidad haya en la cantidad de defectos, más preocupaciones se generarán acerca del funcio-namiento correcto y consistente de la línea de producción. Esta misma premisa se puede aplicar a la medición de la inte-gridad de un sistema financiero midiendo la variabilidad (por ejemplo: cantidad y valor en dólares de los asientos de ajuste) a través del tiempo y en comparación con otras entidades similares. El concepto de variabilidad es el factor de diferen-ciación clave de la evaluación continua de riesgos frente a los módulos de auditoría integrados e informes de excepción. Al realizar evaluaciones continuas de riesgos, los DEA pueden aplicar un contexto más estratégico al desarrollo de planes de auditoría y hacer ajustes constantes cuando cambian los perfiles de riesgo para mantener el plan de auditoría vigente durante todo el año y para asignar recur-sos de auditoría escasos y con un alto nivel de capacitación a las áreas que representan la mayor exposición al riesgo para la organización. Las evaluaciones continuas de ries-gos también pueden destacar áreas donde no hay controles o donde los controles no funcionan correctamente, indican-do a los auditores que deben realizar evaluaciones continuas de control en áreas específicas. Por lo tanto, la evaluación continua de riesgos puede contribuir no sólo con el plan de auditoría, sino también con las actividades de evaluación

continua de control.Ejemplo: Selección basada en riesgos de sitios de auditoríaCon más de 1.100 tiendas minoristas en distintas partes del país, el departamento de auditoría interna de ABC Food necesitaba una forma eficaz y eficiente de seleccionar audi-torías de tiendas individuales. Antes, los auditores intentaban visitar cada tienda al menos una vez al año para realizar una auditoría basada en el cumplimiento. Sin embargo, esto no resultaba eficaz para abordar las verdaderas áreas de riesgo.

El DEA necesitaba una solución de evaluación de riesgos confiable, con criterios controlados por datos, para poder of-recer aseguramiento a las 1.100 tiendas sin tener que visitar cada una, cada año. Se utilizó la evaluación continua de ries-gos para establecer los análisis necesarios, como la pérdida de inventario informada y la rotación de personal con experi-encia. Ahora, el equipo de auditoría interna puede localizar rápidamente las tiendas con mayor grado de riesgo y desarrol-lar un enfoque de auditoría más oportuno, eficiente y eficaz.

Desarrollo del plan de auditoríaEn lugar de programar auditorías de acuerdo con un ciclo es-tándar de rotaciones de uno, dos o tres años, la frecuencia de las auditorías se debe basar en los factores de riesgo de un proceso de negocio. En un alto nivel, la evaluación continua de riesgos respalda el desarrollo de planes de auditoría, permi-tiendo la identificación controlada por datos y la evaluación de indicadores de riesgo. Respalda tanto el establecimiento del universo de la auditoría como la recopilación de datos cuantitativos, lo que le permite al departamento de auditoría interna centrarse en las prioridades de riesgo más alto de la compañía y destinar los recursos apropiados a áreas nuevas y cambiantes. El primer paso es definir el grado del alcance y la cober-tura de la actividad de auditoría, luego identificar medidas de materialidad e indicadores de riesgo usando datos de di-versos sistemas de negocio, como sistemas de información financiera, operativa y de recursos humanos. En términos de materialidad, un enfoque es analizar el tamaño relativo de cada entidad, mientras que los indicadores de riesgo pueden tener en cuenta la complejidad de la entidad en relación con otras entidades. La evaluación continua de riesgos también debe incluir una revisión de los resultados de la función de supervisión de la dirección, por ejemplo: medidas de desem-peño, control de calidad y separación de funciones.

Ejemplo: Desarrollo del plan de auditoríaEl desarrollo de un plan de auditoría basado en el riesgo

en ABC Corp. requirió el establecimiento de un universo de la auditoría y definiciones de entidades de auditoría; la reco-pilación y el análisis de datos cualitativos como planes de ne-gocio, organigramas, colaboración de la dirección y sesiones simplificadas; la recopilación, la normalización y el análisis de datos cuantitativos como información financiera, operativa y de recursos humanos; y el establecimiento de prioridades de auditorías (entidades) basado en indicadores de riesgo.

16

A continuación se describe de qué forma ABC Corp. uti-lizó la evaluación continua de riesgos para respaldar el desar-rollo del plan de auditoría anual. La evaluación continua de riesgos se utilizó para medir y establecer la prioridad del nivel de riesgo inherente relacionado con las finanzas, los recursos humanos y las operaciones de cada entidad de auditoría.

Medidas e indicadores financieros – La materialidad financiera se abordó principalmente la cantidad total de dólares en gastos, ingresos y activos. Esto varió significativa-mente; por ejemplo: no todas las entidades de auditoría tenían ingresos y algunas no tenían activos. Los indicadores de com-plejidad contemplaron no sólo los cambios en comparación con el año anterior y el tamaño relativo, sino también el-ementos como la cantidad de centros de responsabilidad, el porcentaje de gastos discrecionales y si la entidad tenía que gestionar gastos, ingresos y activos. Por ejemplo: la Entidad A, con $15 millones en gastos (principalmente para pago de salarios) no tendría el mismo nivel de riesgo financiero que la Entidad B, con $5 millones en gastos (de los cuales el 82% son discrecionales), $10 millones en ingresos y $12 millones en activos. Además, si este es el primer año que la Entidad B registra ingresos, el nivel de riesgo financiero será mayor.

Medidas e indicadores de recursos humanos – La mate-rialidad de recursos humanos tuvo en cuenta principalmente la cantidad total de personal, mientras que los indicadores de complejidad analizaron la combinación de personal (por ejemplo: empleados vs. contratistas, de tiempo completo vs. de medio tiempo) así como la rotación de personal y la pér-dida de talentos clave. También analizó los cambios en com-paración con años anteriores (por ejemplo: una organización de rápido crecimiento puede tener distintos riesgos que una organización estable) y la cantidad de ubicaciones (es decir, la distribución geográfica) de la entidad.

Medidas e indicadores operativos – En ABC Corp., las medidas y los indicadores operativos se ocuparon de la cuantía de productos; por eso, la materialidad también estuvo ligada a la cantidad de estos. La complejidad estuvo relacionada no sólo con los cambios en la cantidad y la combinación de pro-ductos, sino también con el tiempo de demora de la produc-ción, la capacidad de respuesta a las demandas de los clientes y la complejidad del proceso de fabricación. La complejidad de la fabricación se desglosó en tres categorías (alta, media y baja) de acuerdo con la cantidad de tiempo involucrado en el proceso de fabricación. El concepto fue que un producto con un proceso de fabricación de 20 horas no sólo insume más tiempo para su producción, sino que acarrea un nivel más alto de riesgo operativo que un producto con un proceso de fabricación de dos horas. El personal de fabricación consideró a esta presunción como un elemento representativo razonable de la complejidad.

Después de que todos los datos de los tres sistemas de negocio fueron recabados, normalizados y analizados para cada entidad de auditoría, se calculó el puntaje relativo para cada entidad. El puntaje se determinó contando la cantidad de veces que la entidad estuvo entre las 10 principales por

los indicadores de riesgo determinados. Las entidades fueron clasificadas teniendo en cuenta las demás entidades, no sus valores límite. Como no se utilizó un número absoluto ni un valor límite para ningún atributo, no fue necesario ajustar los parámetros a medida que mejoraba el desempeño.

Con un entorno de negocio de rápido cambio, es posible que los planes de auditoría anuales no tengan la suficiente capacidad de respuesta para los niveles cambiantes de riesgo. Sin embargo, con actividades asistidas por la tecnología, es sencillo actualizar las evaluaciones de riesgos y supervisar los indicadores de riesgo en forma permanente. Las pruebas de evaluación de riesgos se pueden ejecutar con frecuencia para garantizar que las auditorías planificadas aborden los riesgos actuales o emergentes. Además, al comparar los resultados de las evaluaciones de riesgos a través del tiempo, los auditores pueden anticipar exposiciones a riesgos emergentes antes de que sean graves. Los resultados se pueden utilizar a fin de establecer los parámetros para la acción de auditoría formal y para determinar sus intervalos.

La respuesta de auditoría puede variar en intensidad y urgencia de acuerdo con el nivel de riesgo. La identificación temprana de un riesgo tal vez no requiera una auditoría completa, sino una simple carta a la dirección que resuma la exposición y mediante la cual se solicite una respuesta de la dirección. Así no sólo se centrarán los recursos de auditoría en las áreas de mayor riesgo, sino que también se maximizará la eficacia de esos recursos.

Respaldo a la auditoría individualLa evaluación continua de riesgos también colabora con la auditoría individual al respaldar la identificación y la evalu-ación de riesgos, y el desarrollo del alcance y los objetivos. Además, se puede utilizar para determinar qué ubicaciones se visitarán e identificar criterios específicos (por ejemplo: líneas de consulta). La principal diferencia entre el uso de la evaluación continua de riesgos para desarrollar un plan de auditoría anual para toda la empresa y para respaldar la auditoría individu-al es el grado de información detallada que se emplea para identificar y evaluar el riesgo. Es probable que el plan de au-ditoría para toda la empresa sólo requiera información resu-mida de cada entidad, mientras que para una auditoría indi-vidual, se requiere información más detallada para identificar riesgos a un nivel que respalde la definición del alcance de la auditoría y el desarrollo de objetivos de auditoría para una auditoría determinada.

En una auditoría convencional, el grado y el alcance de los procedimientos de revisión analíticos están limitados por el tipo y la cantidad de datos que se pueden recabar con téc-nicas tradicionales. La auditoría continua permite aumentar la cantidad y el alcance de los datos disponibles para el audi-tor. La implementación de una metodología de auditoría con-tinua posibilita ampliar el alcance y aumentar el grado de los procedimientos de revisión analítica radicalmente. Por ejem-plo: una conciliación anual, una vez automatizada, se puede


17

programar dentro de un procedimiento de auditoría continua

y llevarse a cabo con mayor frecuencia. Los coeficientes que se calculan en las revisiones analíticas se pueden incorporar al software de auditoría continua, computar con más frecuen-cia, y revisar y comparar con valores críticos. De este modo, se pueden marcar variaciones significativas.

Ejemplo: Respaldo a la auditoría de cuentas a pagar (CP)Como parte de la evaluación de riesgos realizada durante la planificación de una auditoría de la función de CP (que se llevará a cabo en diversos sitios en todo el país), el auditor cal-culó el volumen y el costo por transacción procesados por las oficinas de CP, y la cantidad y las aptitudes de la dotación de personal. El análisis general determinó que CP estaba descen-tralizado, sin procesos estándar. Además, diferentes tipos de transacciones se procesaron en oficinas diferentes. Además, los auditores utilizaron “costo por transacción” y “cantidad de transacciones por usuario” para evaluar el impacto de distin-tas operaciones de procesamiento de facturas e identificaron problemas en la eficacia y eficiencia de ciertas oficinas. Los resultados se utilizaron para determinar qué ubicaciones se debían visitar como parte del trabajo en el lugar.

Cuando la misma auditoría se lleva a cabo una vez al año o en distintas ubicaciones, se pueden realizar pruebas de auditoría específicas y los resultados se pueden comparar con otras entidades o a través del tiempo. La evaluación continua de riesgos se puede utilizar para observar riesgos específicos, como no poder usar eficazmente las tarjetas corporativas. Por ejemplo: la comparación de datos de dos años de cada entidad para identificar tendencias permite a los auditores compren-der mejor qué entidades están progresando. La evaluación continua de riesgos también se puede utilizar para evaluar el impacto de cualquier cambio en el proceso llevando a cabo el mismo análisis en años subsiguientes. Por otro lado, se pueden agregar datos de años futuros fácilmente para evaluar el impacto de la implementación de las recomendaciones de auditoría.

Seguimiento de las recomendaciones de auditoríaAl vincular indicadores controlados por datos con recomen-daciones, los auditores pueden utilizar evaluaciones con-tinuas de riesgos para determinar si las recomendaciones se han implementado y si están logrando el efecto deseado de reducir el nivel de riesgo. En particular, si se utilizó la evalu-ación continua de riesgos para identificar y evaluar el riesgo como parte del desarrollo del alcance y los objetivos de audi-toría, se pueden emplear los mismos indicadores para evaluar el impacto de la implementación de las recomendaciones de auditoría. En una situación ideal, cada auditoría identificará indi-cadores controlados por datos para cada recomendación. Esto facilitará el establecimiento de una base y la comparación de resultados, antes y después de implementar la recomen-dación. Sin embargo, los auditores deberán encontrar indi-

cadores apropiados que se puedan medir electrónicamente. Estos indicadores pueden ser elementos representativos de lo que se está midiendo. Por ejemplo: si una auditoría determina que los empleados tienen la moral baja, una recomendación se podría centrar en mejorar las comunicaciones. El auditor puede medir la cantidad de días de ausencia por enfermedad que se registran o la cantidad de reclamos formales denun-ciados. Si bien estos indicadores no miden directamente la moral, el auditor los puede utilizar ya que reflejarían los cam-bios en la moral. La evidencia de una reducción en los días de ausencia por enfermedad y los reclamos formales se podría utilizar para demostrar que se implementaron mejores méto-dos de comunicación y que iban logrando el efecto deseado.

Ejemplo: Órdenes de compraUn control financiero requiere que cada compra superior a $5.000 haga referencia a una orden de compra. Los audi-tores establecieron una prueba de auditoría continua con la cual examinaron todas las facturas superiores a $5.000 para validar la referencia de la orden de compra requerida. En un principio, se marcaron muchos casos en los cuales los com-pradores no respetaban esta política. Los auditores recom-endaron un cambio en los controles de edición del sistema financiero. Un mes más tarde, después de la implementación del nuevo cotejo de edición, la prueba indicó que todas las transacciones superiores a $5.000 hacían referencia a una orden de compra.

A pesar de que la prueba indicaba que los controles funcionaban, el auditor quería saber si funcionaban cor-rectamente. Se realizó una prueba rápida para determinar la cantidad total de facturas que hacían referencia a una orden de compra y para comparar este total con la cantidad de las órdenes de compra. Como las entregas relacionadas con una orden de compra se pueden recibir en varios envíos, algunas órdenes de compra tenían varias facturas. Sin embargo, el auditor se sorprendió al encontrar órdenes de compra con 100 facturas o más y pagos totales que superaban cientos de veces el monto original de la orden de compra. El auditor determinó que, si bien cada factura superior a $5.000 hacía referencia a una orden compra, algunos usuarios utilizaban la misma orden de compra una y otra vez.

El seguimiento de las recomendaciones de auditoría ex-aminó todas las transacciones superiores a $5.000 y deter-minó que la recomendación inicial había asegurado que las órdenes de compra estuvieran referenciadas, pero no abordó el problema de las facturas que no hacían referencia a la orden de compra correcta.

ConclusiónLa evaluación continua de riesgos no es un sistema estático. La identificación de indicadores y la evaluación de su uso y valor son tareas clave. Los riesgos internos y externos se deben evaluar continuamente para poder abordar los riesgos que se avecinan en forma oportuna y para que la organización responda al entorno de riesgos cambiantes. El DEA debe ga-


18

rantizar que se han implementado sistemas de notificación apropiados que permitan una retroalimentación sobre ries-gos emergentes. Se debe dar prioridad a las alertas de riesgo y se deben gestionar sabiendo claramente quién las recibe, cómo se comunican y qué medida se debe tomar. En segundo lugar, los auditores deben recibir continuamente una retroali-mentación referida a la utilidad de la auditoría continua para la evaluación del riesgo y deben desarrollar estrategias para mejorar el proceso e informar los resultados. En especial, el DEA debe determinar cómo se utilizarán los resultados de la auditoría en la actividad de ERM que realiza la dirección.


19

La noción de auditoría continua no es un concepto complejo; no obstante, los auditores internos no la han implementado en forma generalizada y la alta dirección no ha aceptado ni financiado por completo la tecnología necesaria. La imple-mentación exitosa requiere que todas las partes involucradas estén convencidas y necesita un tratamiento por fases que al principio aborde los sistemas más críticos de negocio. Si bien cada organización es diferente, existen varias activi-dades comunes que deben planificarse y administrarse cui-dadosamente al momento de desarrollar y respaldar el uso de la auditoría continua (consulte “Pasos clave” más abajo). La secuencia de estas actividades puede variar. Además, es posible que haya otras actividades que no estén identificadas a continuación, especialmente cuando se desarrolla la audi-toría continua para respaldar una auditoría específica.

Objetivos de la auditoría continuaMuchas organizaciones han estado evaluando la introduc-ción de la auditoría continua para respaldar los requerimien-tos de evaluación de control que imponen las regulaciones, como Sarbanes-Oxley. Si bien tener un sistema automa-tizado adecuado para los controles de prueba contribuye a la evaluación de los controles internos y al mandato general de lograr un nivel superior de gobierno corporativo, los bene-ficios adicionales de un mejor desempeño del negocio pueden ser igualmente significativos. Es importante que el DEA considere los objetivos de la auditoría continua a corto y largo plazo. El esfuerzo que implica acceder a procesos y sistemas de negocio clave y conocerlos ofrece la posibilidad de reducir la carga de cumplimiento y eliminar los obstáculos para el desempeño del negocio.

GTAG — Implementación de la auditoría continua — 6

PASOS CLAVE

ObjetivOs de la auditOría cOntinua

•Definirlosobjetivosdelaauditoríacontinua.•Obtenerygestionarelrespaldodelaaltadirección.•Determinarelgradoenqueladirecciónestácumpliendosufuncióndesupervisión.•Identificaryestablecerprioridadesentrelasáreasaabordarylostiposdeauditoríacontinuaarealizar.•Identificarsistemasdeinformaciónclaveyfuentesdedatos.•Comprenderlossistemasdeaplicaciónylosprocesossubyacentesdenegocio.•DesarrollarrelacionesconlagestióndeTI.

usO y accesO a datOs

•Seleccionaryadquirirherramientasdeanálisis.•Desarrollarcapacidadesdeaccesoyanálisis.•Desarrollarymantenertécnicasyhabilidadesdeanálisisdelauditor.•Evaluarlaintegridadyfiabilidaddelosdatos.•Depuraryprepararlosdatos.

evaluación cOntinua de cOntrOl

•Identificarpuntosdecontrolcríticos.•Definirreglasdecontrol.•Definirexcepciones.•Diseñarunenfoquetecnológicoparapruebasde control y para identificar deficiencias.

evaluación cOntinua de riesgOs

•Definirlasentidadesaevaluar.•Identificarcategoríasderiesgos.•Identificarindicadoresderiesgo/desempeñocontroladospordatos.•Diseñarpruebasanalíticasparamedirmayoresnivelesderiesgo.

infOrmar y gestiOnar resultadOs

•Establecerprioridadesydeterminarlafrecuenciadelasactividadesdeauditoríacontinua.•Ejecutarpruebasdemaneraregularyoportuna.•Identificardeficienciasdecontrolomayoresnivelesderiesgo.•Establecerprioridadesentrelosresultados.•Iniciarlarespuestadeauditoríacorrespondienteeinformarlosresultadosaladirección.•Gestionarresultados(rastreo,informe,supervisiónyseguimiento).•Evaluarlosresultadosdelasaccionesimplementadas.•Supervisaryevaluarlaeficaciadelprocesodeauditoríacontinua(tantoelanálisis,porejemplo,reglaseindicadores,comolos resultados obtenidos) y modificar los parámetros de prueba, según sea necesario.•Garantizarlaseguridaddelprocesodeauditoríacontinuayasegurarqueexistanlasvinculacionescorrespondientesconlas iniciativas de la dirección, como por ejemplo, la ERM, la supervisión y la medición de desempeño.

20

Ahora es momento de ir más allá del simple análisis trimes-tral de la confiabilidad de los informes financieros, para pasar a adoptar un paradigma de auditoría continua que contribuya con la estabilidad general de la organización y con su eficacia y eficiencia operativas. En especial, el departamento de au-ditoría interna debe ocuparse de los controles del proceso de negocio punto a punto (COSO) y de TI (Objetivos de control de información y tecnologías relacionadas o CoBIT, en inglés) que están presentes prácticamente en todas las actividades de negocio. La confiabilidad de los sistemas del negocio y de los datos transaccionales es esencial, no sólo para el enfoque de control interno y la integridad de los informes financieros, sino también para la eficiencia de las operaciones de nego-cio. Por lo tanto, garantizar la confiabilidad, integridad y di-sponibilidad de los datos y los sistemas de negocio debe ser un objetivo clave del DEA y de la alta dirección. La auditoría continua puede ayudar a que la organización logre su objetivo al facilitar la evaluación de la eficacia de los controles y los niveles de riesgo.

A continuación, se presenta una descripción de los pasos necesarios para implementar una solución de auditoría continua.

Definir los requerimientos de la auditoríaPara cumplir con los objetivos emergentes de la auditoría, los DEA deben comprender los futuros procesos de auditoría y las técnicas de auditoría continua. Los auditores internos deben definir los requerimientos de manera adecuada, con la colaboración de la dirección y de auditores externos. Para esta tarea, los auditores deben comprender los procesos de negocio, la organización y la industria, los controles relacio-nados, además del uso de soluciones tecnológicas. Esto requi-ere una inversión de tiempo; pero si la auditoría continua se va a utilizar para probar los controles, identificar y evaluar el riesgo, detectar y evitar el fraude, o bien, para respaldar otras auditorías, los beneficios merecen el esfuerzo.

Obtener respaldo de la direcciónUna vez que se definieron los objetivos de la auditoría con-tinua, se debe obtener el respaldo del comité de auditoría y de la alta dirección. No sólo deben tener conocimiento de la iniciativa de auditoría continua, sino que además deben respaldarla en forma integral. El comité de auditoría y la alta dirección deben conocer los prerrequisitos, especialmente los requerimientos de acceso y deberán saber cómo y dónde se informarán los resultados. De no ser así, cuando se identi-fiquen anomalías en las transacciones y se pida explicaciones a los gerentes, la legitimidad de la actividad de auditoría con-tinua se podría ver cuestionada. Al intentar obtener una ex-plicación, de parte del gerente, sobre transacciones inusuales, su primera pregunta bien podría ser: “No estaba informado dequehubieseauditoríasaprobadasenestaárea.¿Conquéserelaciona esta auditoría?” Estas preguntas retardan el proceso puesto que el auditor deberá explicar el concepto y los objeti-vos de la auditoría continua antes de ocuparse de la debilidad

de control identificada o del área de riesgo.

Determinar el alcance de las pruebasEl próximo paso del proceso es determinar el alcance de las pruebas detalladas de controles y riesgos que la actividad de auditoría deberá llevar a cabo. Un factor clave para deter-minar esto será la idoneidad de las acciones de la dirección y las actividades de supervisión. El DEA debe examinar el enfoque de control y las áreas abordadas por la Gestión de Riesgo Empresarial (ERM). Si la dirección cuenta con pro-cesos consolidados y en funcionamiento para evaluar los controles y el riesgo, la actividad de auditoría podrá confiar más en los niveles de control y riesgo que se informan. Por el contrario, si el DEA determina que los procesos no son adecuados, los auditores se verán obligados a realizar sus pro-pias evaluaciones detalladas de los controles y los riesgos con mayor frecuencia.

Identificar fuentes de informaciónUna vez que se determinó el alcance de la auditoría continua, el próximo paso es identificar la información requerida para abordar los objetivos definidos y para determinar las posibles fuentes donde obtener esa información. Si bien este paso es similar al realizado para cualquier revisión de control o au-ditoría (ya sea asistida por computadora o no), los auditores deben tratar de evitar que los condicionen antiguos modos de pensamiento. Deben comprender claramente qué están intentando lograr antes de definir los requerimientos de in-formación. Deben identificar qué se debe lograr, no cómo se logrará. El “cómo” se determinará en una etapa posterior.

Negociar el acceso a los datosObtener los datos correctos es una coyuntura crítica en la implementación de la auditoría continua. El DEA debe identificar las aplicaciones de negocio a las que debe obten-er acceso el departamento de auditoría y determinar cuáles de estas aplicaciones son las más críticas. El próximo paso es trabajar en forma conjunta con los propietarios de los sistemas para negociar los derechos de acceso. Es fundamen-tal tener una buena relación laboral con la gestión de TI, ya que generalmente se requiere su ayuda, aún cuando los auditores sean expertos en el uso de herramientas analíticas de datos. A menudo, falta o está desactualizada la documen-tación del sistema correspondiente a la empresa, la computa-dora central o a las aplicaciones desarrolladas a medida que almacenan las fuentes de datos requeridos; y la única fuente de información sobre los conjuntos de datos es el personal de asistencia de TI.

Todos los auditores deben ser conscientes de la impor-tancia que tiene identificar las fuentes electrónicas de in-formación dentro y fuera de la compañía. Por ejemplo, los auditores que realizan trabajo de campo en las oficinas de sucursales podrían buscar aplicaciones desarrolladas por el usuario final que pueden resultar de utilidad para la auditoría continua. Los auditores deben esforzarse por buscar, recop-


21

ilar, analizar, interpretar y documentar fuentes automatizadas de información que respalden sus resultados. La información recopilada debe ser fáctica, relevante y útil, además de estar verificada con la fuente, para brindar un fundamento sólido a los resultados. Al buscar fuentes de información, los audi-tores deben comenzar suponiendo que la información existe en formato electrónico y, cuando sea posible deben:

•Determinarlasposiblesfuentesysistemasde aplicación.

•Identificaralospropietariosdelainformación.(Es posible que los auditores necesiten el permiso de estos antes de que TI pueda otorgarles acceso al sistema de aplicación o a los archivos de datos).

•Identificaralprogramadoroanalistadesistemas responsables del sistema de aplicación.

•Obtenertodaladocumentaciónnecesaria,comodic cionario de datos, disposición de registros, panorama general del sistema y procesos de negocio.

Los auditores no deben limitarse al primer sistema de información que descubran. Al realizar una búsqueda más intensa, generalmente encontrarán mejores fuentes o fuentes que confirman mejor la información requerida. Los propi-etarios del proceso de negocio y del sistema pueden ser de valor incalculable en este proceso. Las conversaciones con los propietarios de los datos y los analistas o programadores de las aplicaciones serán de ayuda a los auditores para deter-minar la mejor fuente de información. Estas conversaciones también pueden servir además para identificar campos clave y otras fuentes de datos útiles. Considere siempre las fuentes de datos tanto de la oficina local como de la casa central. Cuando hay dos fuentes de datos, las comparaciones pueden resultar sumamente productivas para identificar deficiencias de control y exposiciones al riesgo.

Comprender los procesos de negocioUna vez que se identificaron las principales fuentes de datos, los auditores deben comprender no sólo los sistemas de infor-mación, sino también los procesos de negocio respaldados. Se puede lograr una compresión básica a través de la document-ación existente, mediante las siguientes tareas:

•Revisarladocumentacióndescriptivadelsistema general, como manuales del usuario y del programa- dor, diagramas de flujo del sistema, copias de docu- mentos de entrada, ejemplos de informes de salida y descripciones de los controles del sistema.

•Entrevistaraprogramadoresyusuariosdelsistema.•Entrevistaralosgerentesdelprocesodenegocio.•Revisarinformesdeexcepcióneinformesdenormas

existentes.

Se puede obtener un conocimiento más exhaustivo del sistema al:

•Analizardiagramasdeflujodetalladosdelsistemay/o una descripción de los flujos de datos.

•Analizarcopiasdetodoslosdocumentosdeentrada y salida.

•Estudiarlasdisposicionesderegistroscorrespondi entes a todos los archivos de datos, incluso las descripciones de campo y las explicaciones de los posibles valores para cada campo.

•Analizarinformesderesumen,excepcióny recuentos de transacciones y compararlos con otros informes o sistemas.

Al involucrar a todos los auditores en el proceso de iden-tificar posibles fuentes de información, se contribuye a cam-biar la perspectiva de auditoría para pasar del pensamiento tradicional centrado en el pasado a una visión de miras am-plias hacia el futuro en la que se utiliza la auditoría continua como una herramienta de auditoría integral. El resultado fi-nal de este esfuerzo debe ser una comprensión detallada de los sistemas de negocio clave, los controles y los elementos de datos clave. Además, los auditores deben tener derechos de acceso seguro y tener la capacidad necesaria para efectuar la extracción, la normalización y el análisis de los datos.

Identificar riesgos y controles claveLa meta principal de la auditoría continua es garantizar la efi-cacia de todos los controles y ayudar a mitigar riesgos. En la práctica, esto se puede lograr mejor al identificar los controles clave y las categorías de riesgos. Como se observa en las pautas del Consejo de Supervisión Contable de Sociedades Pública (PCAOB, en inglés) para la implementación de la Norma de Auditoría N.º 2, los auditores deben utilizar la evaluación de riesgos para determinar qué controles se deben analizar. El DEA debe dedicarse a las actividades que le proporcionarán el mayor y más inmediato retorno de inversión. Los auditores deben fundamentarse en historias de éxito que demuestren la factibilidad y utilidad de la auditoría continua. Por lo tanto, es necesario establecer la prioridad de los sistemas y proce-sos de negocio predispuestos a la auditoría continua. En la fijación de los objetivos, el DEA también debe determinar el conocimiento, las aptitudes y las disciplinas necesarias para realizar la auditoría continua eficazmente. En especial, los au-ditores deberán tener el tipo y nivel apropiados de experien-cia técnica y acceso a tecnologías específicas y adecuadas.

Uso y acceso a datosAl igual que en el uso de cualquier tecnología, la auditoría continua no es un problema puramente técnico; no obstante, la selección de la tecnología propicia es crítica para el éxito a largo plazo. (Consulte Continuous Auditing: Potential for In-ternal Auditors, Chapter 5 – Enabling Technologies, IIARF, 2003, para obtener una lista de las tecnologías que probable-mente cumplan un rol en el desarrollo de metodologías de auditoría continua). Un conjunto claro de objetivos de au-ditoría continua y un plan para determinar los correspondi-entes riesgos y prioridades servirá de guía para seleccionar el software correspondiente. Al seleccionar el software para la


auditoría continua, el DEA debe tener en cuenta las fuentes de datos, los formatos y los volúmenes de transacciones. Tam-bién es importante analizar el entorno informático de la com-pañía y los futuros planes para los sistemas de negocio clave. A pesar de que es probable que se requieran aplicaciones de auditoría continua más sofisticadas para la sostenibilidad a más largo plazo, también existen opciones para aprovechar la flexibilidad de las soluciones de software analítico específicas de auditoría. El software de auditoría puede leer diversos tipos de datos, como por ejemplo, los sistemas heredados de com-putadora central, cliente-servidor y sistemas de acceso a In-ternet, o bien, aplicaciones de planificación de recursos em-presariales, como SAP, Oracle y PeopleSoft. Puede combinar y analizar fácilmente datos de varios sistemas y plataformas. Como es de esperar, la auditoría continua requiere acceso a datos. Los departamentos de auditoría que no cuentan con acceso electrónico seguro a los datos de su compañía ya no tienen excusas, y quizás, tampoco les quede tiempo. Con los avances tecnológicos (tanto en hardware como en software), el problema de acceso a los datos ya no es un obstáculo técnico importante y no requiere hardware especializado ni tampoco la participación del personal de TI. Con frecuencia, los prob-lemas de accesibilidad surgen de la reticencia de la dirección para dar acceso, a los auditores, a los sistemas de aplicación de la organización. Generalmente, los auditores necesitan el respaldo de la dirección para obtener acceso físico y lógico a la información requerida. Para ello, es posible que se requiera una declaración, por parte de la alta dirección, en el estatu-to de auditoría, como la siguiente: “Los auditores tendrán acceso a todos y cada uno de los sistemas de aplicación y a la información que requieran para desempeñar sus funciones”. Al tener el respaldo asegurado de la dirección para obtener acceso a los sistemas y a la información, los auditores deben garantizar que los propietarios de los datos estén bien infor-mados de sus derechos y requerimientos de acceso. El DEA debe garantizar además que el acceso y uso de los datos de los sistemas de negocio no afecten negativamente el desempeño operativo de esos sistemas y que la tecnología de auditoría sea compatible con el entorno de TI de la empresa.

Obtener acceso a los datosPara utilizar la auditoría continua eficazmente (realizar un análisis y seguimiento continuos de los resultados) es necesa-rio obtener acceso a la información en formato electrónico. El método de acceso dependerá de los objetivos establecidos para la auditoría continua y debe contemplar factores como volúmenes de datos, tráfico de red, desempeño del sistema, etc. El DEA deberá garantizar además que se hayan obtenido los derechos de acceso adecuados. Para la computadora cen-tral y los sistemas cliente-servidor, se requiere un acceso con permiso de seguridad y de sólo lectura. La auditoría continua generalmente requiere una combi-nación de varios de los siguientes métodos de acceso:

•Implantarelsoftwaredeauditoríacontinuaenel sistema de negocio para procesar los datos en el lugar.

•Obteneraccesoindependientealosarchivosdedatos del sistema, sin utilizar el software de la aplicación, y extraer y preparar los datos que utilizará el software de auditoría continua.

•Realizarcopiasdelosinformesdenormasyguardar los en formato electrónico para análisis futuro.

•Realizarconsultasogenerarinformesconunescritor de informes.

•Obteneraccesofísicoylógicoalsistemaclientee iniciar sesión como usuario con derechos de acceso de sólo lectura.

La combinación de métodos de acceso utilizada debe permitir que los auditores efectúen la auditoría continua de forma oportuna, además de identificar e informar las transacciones destacadas. También debe permitir que los auditores identifiquen fácilmente las transacciones con parámetros similares y realicen un seguimiento de las tran-sacciones indicadas.

El acceso y el uso de datos de prácticamente cualquier fuente requieren una buena comprensión de la disposición de los registros. Existen varios atributos de archivos posibles cuando se obtiene acceso a los datos o se los transfiere. Es importante comprender la estructura de los archivos de datos, no sólo en el nivel principal (por ejemplo, un archivo plano, un archivo delimitado o varias bases de datos relacio-nales) sino también en el nivel de los campos. La disposición de registros contiene información acerca de cómo se estruc-turan los registros y sobre qué campos se almacenan en un archivo de datos. Se utiliza como referencia al momento de definir los datos para el paquete de análisis, ya que propor-ciona información sobre nombres de campos, tipos de datos, longitudes de los campos y decimales.

Para poder comenzar la auditoría continua, el auditor debe tener acceso al archivo de datos. Esto generalmente requiere que se transfieran los datos del sistema de negocio a la computadora del auditor. En la actualidad, existen varios métodos diferentes para lograr esa transferencia. Las conver-saciones con los propietarios del sistema de negocio pueden ayudar a los auditores a determinar cuál es el mejor método de transferencia y el formato de archivos de datos que mejor se adapta a la auditoría continua.

Desarrollar conocimiento y aptitudes técnicas de auditoríaLa Norma 1210 del IIA requiere que la auditoría interna en su conjunto posea u obtenga los conocimientos, las aptitudes y demás competencias necesarias para desempeñar las respon-sabilidades al respecto. La primera GTAG, que habla sobre controles de tecnología de la información, establece que “Se necesitan diversos niveles de conocimiento de TI en toda la organización para proporcionar un enfoque sistemático y disciplinado que permita evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. Los cono-cimiento sobre cómo se utiliza la TI, sus riesgos asociados y la


22

23

capacidad de utilizar la TI como recurso son esenciales para que el auditor sea eficaz en todos los niveles”.5

El informe de investigación del Instituto Canadiense de Contadores Certificados (CICA, en inglés) y del Insti-tuto Estadounidense de Contadores Públicos Certificados (AICPA, en inglés) sobre auditoría continua también desta-ca que es esencial que los auditores tengan un alto nivel de conocimiento experto en TI y en el tema a auditar. Por consiguiente, el departamento de auditoría debe tener per-sonal competente y capacitado de manera adecuada, o des-ignado específicamente, para respaldar la auditoría conti-nua. En especial, los auditores encargados de desarrollar y mantener las aplicaciones de auditoría continua deberán conocer a fondo los sistemas a los que se accede y los sistemas subyacentes, además de las funciones que generan las tran-sacciones supervisadas.

En la etapa inicial, la susceptibilidad de los parámetros, la solidez de los análisis y otros factores pueden hacer que la auditoría continua marque una gran cantidad de transacciones. Eso es una consecuencia habitualmente es-perable. La carga de trabajo que se requiere para realizar un seguimiento de los resultados disminuirá a medida que me-joren los controles, se redefinan los análisis y se optimice la auditoría continua.

Los resultados preliminares de la auditoría continua también pueden tender a errores de interpretación de los datos o los resultados. Esto generalmente se debe a la falta de compresión y familiaridad con los sistemas de negocio y con la naturaleza de las pruebas que se llevan a cabo. Los auditores deben tener un conocimiento sólido del sistema de información y de los datos subyacentes que lo respaldan. Para que la auditoría continua sea exitosa es esencial compren-der los datos analizados antes de informar los resultados. Si no se comprende qué representan los datos, inevitablemente se establecerán conclusiones falsas que no identifican debili-dades críticas o que identifican debilidades donde no las hay. El tiempo y el esfuerzo dedicados a comprender los datos (y garantizar su precisión e integridad) ayudarán a los auditores a presentar un análisis correcto. Esto se puede lograr reali-zando las siguientes tareas:

•Revisarelementosdedatosycamposdedatosclave.•Revisarmetadatoscreadosporlasfuncionesaplicadas

a los datos.•Determinarlaoportunidaddelosdatos.(¿Lainfor-

maciónestáactualizada?¿Conquéfrecuenciasela actualiza?¿Cuándofuelaúltimaactualización?)

•Determinarsilainformaciónestácompletayes precisa.

•Verificarelanálisisylassuposicionesdelauditorcon los programadores de sistema.

•Verificarlaintegridaddelosdatosalrealizartantas pruebas como sea razonable, cotejos de edición, com- paración con otras fuentes, incluso investigaciones

previas o informes de auditoría (por ejemplo, integridad sintáctica, semántica y pragmática de los datos).

Dado que todos los auditores son una fuente potencial de información en cuanto a aplicaciones locales y corpo-rativas, la comunicación es un tema fundamental para poder entender las fuentes de información. El conocimiento obtenido de manera informal y a través de otros canales también se debe compartir. Los departamentos de auditoría deben desarrollar mecanismos, como Intranet o software para grupos, para garantizar que todos los auditores obten-gan acceso a los sistemas de información y a la document-ación asociada.

Garantizar la integridad de los datosLa integridad de los datos es muy importante para imple-mentar las técnicas de auditoría continua sin problemas. Los auditores deben garantizar la integridad no sólo de su análi-sis, sino también de los datos y de la interpretación de los resultados. Inicialmente, los auditores deberán realizar una evaluación de la integridad de datos de los sistemas de nego-cio.Pero,¿dequémanerayhastaquégradosedebeanalizarlaintegridad?¿Cuándoesdemasiado(esdecir,sobre-auditoría)y cuándo no es suficiente (es decir, subauditoría)? Las respues-tas a esas preguntas se hallarán cuando se evalúen las con-secuencias de confiar en resultados incorrectos y cuando se determine la cantidad de pruebas y verificaciones necesarias para reducir los riesgos de auditoría a un nivel aceptable.

Considerar los usos de los datosAhora que los auditores ya han identificado los sistemas de negocio clave, han obtenido acceso a los datos y han veri-ficado su integridad, deben considerar cómo se utilizarán los datos. Una de las fortalezas de la auditoría continua es la capacidad de extraer datos de diversos sistemas de la organización y combinarlos para lograr un análisis cru-zado más profundo entre las plataformas. Por ejemplo, una organización puede tener un control que determine que todas las compras que superen los $5.000 deben hacer referencia a una orden de compra. No obstante, los datos de la compra y del pago de la factura se encuentran en siste-mas separados. El sistema de auditoría continua podría probar este control al combinar los datos de la compra y del pago de la factura para identificar aquellas facturas que superen los $5.000 y no cuenten con un registro de orden de compra correspondiente. La combinación de datos pro-venientes de sistemas dispares, por lo general, requiere una depuración de datos para eliminar las transacciones con problemas de integridad, modificar formatos de datos, etc. El software de auditoría es especialmente apropiado para depurar datos provenientes de diferentes sistemas a fin de que sea más fácil trabajar con ellos. Por ejemplo, si un sistema captura los números de identificación de empleado


5 GTAG Controles de tecnología de la información, El IIA, marzo de 2005.

en el formato xxx-xxxxxx y el otro sistema tiene el for-mato xx-xxxx-xxx, el software de auditoría puede establecer rápidamente un formato común.

Relación de evaluación continua de riesgos y controlesUn ingrediente clave de la secuencia continua de controles-riesgo es la libre circulación de información en ambas direc-ciones. Los auditores que efectúan evaluaciones continuas de riesgo no sólo deben alimentar las actividades de ERM de la dirección, sino que además deben utilizar los resultados de la evaluación de riesgos como dato de entrada para la evaluación continua de controles. La Norma 2130.A1 del IIA establece lo siguiente:

La actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles en respuesta a los rioesgos del gobierno, operaciones y sistemas de información de la organización….

Como es de esperar, un mayor nivel de riesgo podría indicar fácilmente un control deficiente o no existente. Por otro lado, las deficiencias de control identificadas se deben considerar al momento de analizar los niveles de riesgo. Esto no implica que un mayor riesgo exija controles adicionales ni que las debilidades de control necesariamente generen mayor riesgo. No obstante, los resultados obtenidos de la evaluación de uno de ellos se deben ingresar en la evaluación del otro.

La actividad de auditoría y el DEA pueden agregar un valor significativo al realizar las siguientes tareas:

•Revisarlossistemasdecontrolcríticoyprocesosde gestión de riesgos.

•Evaluarlaeficaciadelasevaluacionesderiesgosdela dirección y los controles internos.

•Proporcionarasesoramientosobreeldiseñodel enfoque de control (y mejoras) y estrategias de mitigación de riesgos.

Evaluación continua de controlNunca se hará suficiente hincapié en la importancia de los controles en los informes financieros y procesos operativos de negocio. La integridad de los procesos de negocio se basa en el cumplimiento, la eficacia y la eficiencia de los con-troles. Los controles deben garantizar confidencialidad, inte-gridad, disponibilidad y confiabilidad de la información. Al proporcionar la evaluación continua de control, los audi-tores deben estar cada vez más atentos para validar que esos

controles sean eficaces. La evaluación continua de control proporciona un análi-sis independiente de los datos transaccionales a través de pruebas de control prediseñadas. Por lo general, estas prue-bas se basan en el enfoque COSO. El uso de la evaluación continua de control permite que el DEA entregue a la dirección una advertencia temprana de las violaciones o de-ficiencias de control. La fortaleza de la evaluación continua de control no radica en la capacidad de identificar simples excepciones, tales como valores que superan un umbral (por ejemplo, transacciones con tarjeta corporativa por encima de $10.000) o casos donde la información requerida está en blanco (por ejemplo, que falte la referencia a una orden de compra). Esos síntomas son conocidos y el sistema de evaluación continua de control puede fácilmente realizar una prueba al respecto.La verdadera fortaleza de la evaluación continua de control está en su capacidad de efectuar pruebas de control más com-plejas y sofisticadas. Esas pruebas pueden utilizar:

•Transaccionesdetalladas(porejemplo,autorización por parte de un usuario que no tiene la autoridad suficiente para el tipo de transacción, o bien, pagos realizados a un proveedor cuyo nombre coincide con el del usuario que aprobó la transacción).

•Latotalidaddelastransacciones(porejemplo, facturas con más de dos desviaciones estándar por encima del promedio).

Las evaluaciones continuas de control también pueden iden-tificar excepciones, que se manifiestan como anomalías. Por ejemplo:

•Proveedoresconunasolafacturaeneltrimestre.•Montodecontrataciónmásaltoqueelesperado

de $49.000, que evita los controles de contratos de más de $50.000 (identificado a través del análisis de la Ley de Benford).

•Casosenlosqueunsolousuarioprocesatodoslos contratos de determinado proveedor y tiene las mismas direcciones que ese proveedor.

Los auditores deben analizar el entorno operativo y sus controles internos para identificar en qué casos las debili-dades y las deficiencias pueden dejar a la compañía expuesta al riesgo. El sistema de controles internos debe ser evaluado y probado para garantizar que funcione según lo esperado. Se deben revisar minuciosamente procesos, puntos de con-trol, participantes clave y riesgos.

Identificación de los objetivos de controlPero,¿pordóndeseempieza?ElenfoqueCOSOoCoBITsepuede utilizar como ayuda en el proceso. El mejor punto de inicio es identificar los controles clave. Inicialmente, la di-rección, con el apoyo del departamento de auditoría interna, debe identificar las principales actividades de negocio y sus


24

25


subprocesos para luego determinar los objetivos de control relacionados. Los objetivos de control se pueden clasificar según los encabezados de COSO de autorización, precisión, integridad, validez, eficacia y eficiencia, separación de fun-ciones y cumplimiento de regulaciones. Por ejemplo, los pro-cesos que afectan a los pedidos de compra incluyen crear, editar, pedir las mercaderías y realizar ajustes.

Identificación de controles claveLa evaluación continua de control comienza con la identifi-cación de los controles de los procesos clave de negocio. Los auditores y la dirección deben ocuparse de la evaluación de los controles para lograr el uso eficaz y eficiente de los recur-sos de la compañía. Los controles sólidos son parte esencial de cualquier defensa contra fraude, desperdicio y abuso; pero es posible que no estén funcionando según lo esperado o que ya no sean adecuados. La reorganización, la reingeniería de negocio o la reducción pueden debilitar o eliminar los con-troles; de la misma manera, la implementación de nuevos sistemas de TI puede crear más posibilidades para que se cometan u oculten situaciones de fraude. También, se debe tener presente en todo momento que es posible que los con-troles obligatorios nominalmente en vigencia se estén apli-cando de manera deficiente o sean irrelevantes.

Definición de análisis adecuados de prueba de controlUna vez que están definidos los procesos clave de negocio, los subprocesos y los objetivos de control relacionados, las auditorías internas deben calificarlos para identificar los puntos de control críticos (mayor impacto y riesgo). Al tomar los puntos de control más importantes, el próximo paso es definir los análisis adecuados para cada objetivo de control.Sedeberesponderunapreguntasimple:“¿Cómoseverían los datos si no se cumpliera el objetivo de control?” Luego se podrán desarrollar pruebas en busca de síntomas de las exposiciones. Por ejemplo, dado el objetivo de con-trol de que los pedidos se deben autorizar adecuadamente y cumplir con los límites establecidos, se pueden desarrollar pruebas para buscar pedidos no autorizados, pedidos autor-izados por personal que no tiene la autoridad adecuada y pedidos que se dividieron en dos o más partes para evitar los límites financieros.

Evaluación continua de riesgosLa gestión de riesgos intenta alinear las estrategias, los procesos, la tecnología y el conocimiento de la organización con el fin de mejorar su capacidad de evaluar y gestionar las incertidumbres que pueden afectar su capacidad de alcanzar los objetivos. La gestión de riesgos, como tal, es una función de gestión esencial. No obstante, la Norma 2120 del IIA establece que las auditorías deben evaluar la eficacia y contribuir a la mejora de los procesos de gestión de riesgos. La Norma 2010 establece además que el plan del departamento de auditoría debe estar basado en una evaluación de riesgos.

Evaluar el enfoque de ERMAl desarrollar una capacidad de evaluación continua de ries-gos, los auditores primero deben determinar si la dirección ha implementado una función de ERM. Si se lleva a cabo esa ERM, los auditores pueden comenzar por revisar la suficien-cia de las actividades de gestión de riesgo puestas en prác-tica. Si la organización no efectúa la ERM adecuadamente, se deberá desarrollar, desde cero, la evaluación continua de riesgos. Esta debe ser más sólida y la actividad de auditoría interna debe ejecutarla con más frecuencia. Un buen punto de inicio es el Enfoque Integrado de Gestión de Riesgo Em-presarial de COSO.

Comprender las áreas de riesgo potencialPara que los auditores identifiquen y evalúen los niveles de riesgo, deben comprender la misión, los objetivos de negocio clave y los subobjetivos de la organización. Además, deben saber cuándo y qué podría suceder en la organización en el curso normal de las operaciones de negocio o como resul-tado de algún otro evento inusual. El DEA debe mantenerse actualizado respecto de lo que está sucediendo en el entorno interno y externo que, a su turno, podría tener un impacto en la capacidad de la organización para lograr sus objetivos. Los auditores deben estar informados no sólo de las áreas en las que su organización podría estar en riesgo, sino también de los impactos potenciales.

Considerar tipos de riesgo y consecuenciasEl próximo paso en la ejecución de la evaluación continua de riesgos es considerar las categorías de riesgos o los tipos de exposiciones. Las categorías de riesgos típicas incluyen:

•Entornoexterno•Legal•Reglamentario•Gobierno•Estratégico

Las categorías de riesgos pueden ayudar a identificar y evaluar los riesgos. Los riesgos que no se gestionan adecu-adamente o no se mitigan representan una exposición para la integridad de la organización. La identificación de las categorías de riesgos ayudará a los auditores a considerar en qué casos los eventos potenciales podrían afectar el logro de los objetivos de negocio.

Identificar las consecuencias de la exposición al riesgoEl próximo paso es identificar las consecuencias de la ex-posiciónalriesgo.¿Elriesgoocasionarápérdidamonetariaorobo de activos, pérdida de datos de propiedad exclusiva o ventaja competitiva? Aún si los auditores pudieran identifi-car todas las posibles exposiciones, es probable que no haya suficientes recursos como para abordarlos a todos. Al centrar la atención de la auditoría de manera eficaz, los auditores no sólo deben identificar y evaluar los riesgos, sino que tam-

•Operativo•Información•Recursoshumanos•Financiero•Tecnología

26


bién deben entender cuál es el grado de aceptación de riesgo asumido por la organización, a la vez, que deben tener una posición tal que les permita establecer prioridades entre los riesgos identificados.

Evaluar el nivel de riesgoUna vez que se identificaron las exposiciones, es importante evaluar el nivel de riesgo. Dos de las medidas de riesgo usuales son la probabilidad y la gravedad. La probabilidad mide el grado de certeza de que la exposición ocasionará una pér-dida. La gravedad mide hasta dónde se sentirá el impacto. La evaluación de riesgos debe incluir el análisis de los controles adoptados para mitigar estos riesgos.

Reunir y analizar los datosEl último paso en la evaluación continua de riesgos es reunir y analizar los datos y respaldar los procesos clave de nego-cio y las áreas de mayor riesgo. A menudo, esta información se debe recopilar desde los diferentes niveles de la orga-nización para identificar y evaluar riesgos, y para responder a ellos. Los propietarios del negocio y los profesionales de TI pueden ayudar a los auditores a desarrollar indicadores de riesgo controlados por datos. Estos indicadores deben reaccionar según los niveles cambiantes de riesgo y se pueden medir con facilidad. Los resultados de la evaluación continua de riesgos re-spaldarán la vigencia del plan de auditoría, lo cual posible-mente haga que se agregue una auditoría específica al plan. También serán útiles al momento de desarrollar el alcance y los objetivos de una auditoría individual, y se podrán propor-cionar a la dirección con fines informativos y de atención.

Gestionar e informar resultadosAl establecer la oportunidad, el alcance y la cobertura de las pruebas de auditoría continua, el DEA debe considerar los objetivos de auditoría continua, el grado de aceptación de riesgo de la organización, el nivel y la naturaleza de la super-visión de la dirección y las actividades de riesgo empresarial. En algunos casos, los auditores deben establecer prioridades entre los riesgos y seleccionar únicamente algunas pocas áreas de alto riesgo o puntos de control clave para la primera implementación de la auditoría continua. El próximo paso es determinar con qué frecuencia se eje-cutarán las pruebas de auditoría continua. La frecuencia de las actividades de auditoría continua puede variar desde una revisión en tiempo real de las transacciones detalladas, o casi en tiempo real, hasta el análisis periódico de transacciones detalladas, vistas instantáneas o datos resumidos. La frecuen-cia dependerá no sólo del nivel de riesgo asociado al sistema o al proceso que se examina, sino también de la suficiencia que tenga la supervisión realizada por la dirección. Los siste-mas críticos con controles clave estarán sujetos a análisis en tiempo real de los datos transaccionales. Las pruebas de audi-toría continua de una nómina de salarios se pueden ejecutar justo antes de la ejecución de esa nómina (por ejemplo, cada

dos semanas o dos veces por mes). Las pruebas de transac-ciones con tarjeta corporativa se implementarán todos los meses, cuando se reciban los datos de la tarjeta corporativa enviados por la compañía de la tarjeta de crédito. Las evalu-aciones de riesgos para respaldar el plan de auditoría anual se pueden efectuar en forma cuatrimestral, mientras que las que respaldan la auditoría individual y el rastreo de las recomen-daciones de auditoría pueden tener lugar todos los días. No hay respuestas simples para la pregunta sobre con qué frecuencia se deben realizar las pruebas de auditoría conti-nua, salvo para indicar que siempre es mejor efectuarlas lo más frecuentemente posible, en lugar de menos. Al analizar la frecuencia, es importante considerar que la automatización de las pruebas de auditoría continua reducirá el costo de re-alizar evaluaciones de riesgos y verificación de control. Por lo general, para examinar 200 facturas en forma manual se tar-dará el doble que para examinar 100. Las pruebas totalmente automatizadas son fáciles de escalar (por número y frecuen-cia), de manera que la frecuencia de la operación o el volu-men de las transacciones consideradas no impliquen carga de trabajo o costo adicionales. Debido a que el software de auditoría continua efectúa el análisis, analizar un millón de transacciones por semana no implica más trabajo que revisar mil por trimestre. Por último, al determinar con qué frecuencia y dónde se llevará a cabo la auditoría continua, el DEA debe tener en cuenta no sólo los requisitos reglamentarios, sino también hasta qué grado la dirección se ocupa de las exposiciones al riesgo y los impactos potenciales. Cuando la dirección ha implementado sistemas de supervisión continua para los con-troles, los auditores internos y externos pueden tenerlo en cuenta y decidir hasta qué punto es posible confiar en los pro-cesos de supervisión continua para reducir pruebas detalladas de controles. Para poder confiar en los procesos, los auditores deben tener en cuenta y evaluar lo siguiente:

•Identificacióndeloscontrolesinternosespecíficos abordados.

•Seguridaddelaccesoalsistemadesupervisión.•Respuestaalasanomalíasdecontrolidentificadas.•Conciliacionesdecontroltotal.•Registrosdelaauditoríaparalasactividadesde

procesamiento.•Registrosdelaauditoríaparaloscambiosrealizados

en umbrales y parámetros de prueba.

Una vez que se realizaron las pruebas, el DEA puede re-visar los resultados para identificar dónde existen problemas. Las debilidades de control se ponen en evidencia por medio de las transacciones que no pasan las pruebas de control. Se pueden identificar mayores niveles de riesgo a través de análi-sis comparativos (es decir, al comprar un proceso con otros, una entidad con otras, o bien, al realizar las mismas pruebas y comparar sus resultados en el transcurso del tiempo).

Uno de los desafíos prácticos de implementar una au-ditoría continua o un sistema de supervisión es la respuesta

27


eficaz a las excepciones de control y los riesgos que se iden-tifican. Cuando una auditoría continua, o un sistema de su-pervisión, se implementan por primera vez, no es inusual que se identifique una gran cantidad de excepciones, que luego al realizar su investigación, no resultan ser un problema. El sistema de auditoría continua debe permitir que los parámet-ros de prueba se ajusten de manera tal que, cuando sea ap-ropiado, tales excepciones no den lugar a alertas o notifica-ciones. Una vez que se llevó a cabo el proceso de identificar tales “falsos positivos”, se puede confiar cada vez más en que el sistema identificará únicamente las deficiencias de control o los riesgos que representen un problema significativo.

Además, la naturaleza de la respuesta de la auditoría frente a las transacciones identificadas variará y no todas requerirán una auditoría o una acción inmediata. Se deben establecer prioridades entre los resultados y tomar medidas en consecuencia. Los detalles a mantener deben incluir:

•Losresultadosobtenidos.•Lasdecisionesrelacionadasconlamedidaatomar.•Aquiénsenotificóycuándo.•Lafechaderespuestaesperada.

Si una transacción se derivó a la dirección, el auditor debe solicitar también una respuesta de la dirección donde se resuma el plan de acción y la fecha. Una vez que se tomó la medida adecuada, el auditor debe implementar nueva-mente la prueba de auditoría continua para ver si la correc-ción resolvió la debilidad de control o si redujo el nivel de riesgo. En las pruebas posteriores, no se debería identificar el mismo problema.

Es vital que todos comprendan la base lógica de la auditoría continua. Es igualmente importante intentar ob-tener indicadores que no sean factibles de manipulaciones. El DEA debe comprender y tomar medidas para evitar la manipulación, los errores de interpretación y la “parálisis debido al análisis”. Una clave para el éxito es garantizar que los indicadores den respuesta adecuada ante los cambios en cuanto a riesgos y controles, que sean fáciles de entender para todos los involucrados, que estén protegidos contra ma-nipulación directa o indirecta sin necesidad de cambio en el comportamiento subyacente y que se centren en las metas organizativas a corto y largo plazo.

Existen varios aspectos de seguridad y control a con-siderar en relación con un sistema de auditoría continua. Aquí se aplica el problema usual de la confidencialidad de determinada información, y el acceso para visualizar los resultados de la auditoría o el proceso de supervisión se debe restringir y controlar de manera adecuada. Otra área clave de la seguridad y el control involucra al establecimiento de umbrales y parámetros de prueba variables. Para que los resultados del sistema de auditoría continua sean confiables, es necesario que haya controles eficaces, incluso pistas de auditoría a lo largo de los cambios realizados. Tal como sucede con cualquier aplicación de CAAT, también es im-portante garantizar que los totales de control provenientes

de los sistemas de datos de origen coincidan con los totales de las transacciones probadas. Por último, debido a que las pruebas de auditoría continua pueden identificar situaciones tanto de fraude como de debilidades de control y exposi-ciones al riesgo, el DEA debe garantizar que los parámetros de prueba y los resultados estén protegidos contra el acceso no autorizado.

El uso de una aplicación de auditoría continua diseñada adecuadamente ayudará a que la actividad de auditoría cum-pla con su función de proporcionar aseguramiento de que la dirección mantiene un marco de control eficaz y gestiona el riesgo de manera activa. No obstante, la auditoría continua debe ser flexible y dar respuesta ante los cambios que se pro-ducen en las exposiciones y en el entorno de control. No es una herramienta que se implementa y luego se deja funcio-nar sola durante meses. El DEA debe revisar periódicamente la eficacia y eficiencia del programa de auditoría continua. Es posible que se deban agregar puntos de control y ex-posiciones al riesgo, a la par que algunos otros se eliminen. Probablemente se deban ajustar o disminuir los umbrales, las pruebas de control y los parámetros correspondientes a varios análisis. Durante esta revisión, el DEA también debe garantizar que los resultados de la auditoría continua se incluyan en otras actividades de gestión, como por ejem-plo, ERM, cuadro de mando y supervisión y medición del desempeño.

Desafíos y otras consideracionesPrerrequisitosSi bien la tecnología facilita el acceso a los datos de una manera nunca antes vista y el poder de cálculo hace que el análisis en tiempo real sea cada vez más factible, los obstácu-los técnicos aún persisten:

•Lainformaciónaauditardebesergeneradapor sistemas confiables.

•Elprocesodeauditoríacontinuadebeestaraltamente automatizado, con un vínculo eficaz entre el sistema del auditor y el de la entidad auditada.

•Sedebendesarrollarinformesdeauditoríacontinua precisos y comprensibles, y deben estar disponibles de forma oportuna.

•Losauditoresdebentenerlapericiapararealizartales trabajos de auditoría.

A fin de superar esos desafíos, los auditores deben tener la capacidad necesaria para realizar las siguientes actividades:

•Obteneraccesoadatosrelevantesdemanera oportuna y ser capaces de unificar los datos provenientes de sistemas dispares de la organización.

•Analizargrandesvolúmenesdedatossincomprom- eter el desempeño operativo del sistema.

•Comprenderelprocesodenegociolosuficientemente bien como para definir los análisis adecuados e identificar riesgos potenciales y puntos de control clave.

28


•Identificarlafuentededatosmáseficazylospuntos de control en los que se deben realizar los análisis y las pruebas de auditoría continua.

•Llevaracabounconjuntointegraldepruebasy análisis para abordar puntos de control clave y áreas de riesgo, e informar los resultados de manera oportuna.

•Comprenderlanaturalezadelapruebaoelanálisisa la hora de investigar las excepciones o los procesos y sistemas que se identificaron como en riesgo (es decir, ¿Porquéustedsecentraenestepunto?)

•Reunirycuantificareltotaldeexposicionesalriesgo.•Supervisarymodificarlasvariablesutilizadasparala

auditoría continua, ajustando el sistema para generar resultados manejables.

•Equilibrarelcostoyelesfuerzoenfuncióndelgrado de exposición.

•Establecerprioridadesentrelasaccionesaefectuar.•Gestionarlasnotificacionesdealerta.•Protegerelaccesoalsistemadeauditoríacontinua

para prevenir cambios no autorizados en los trabajos de análisis, o en los valores de corte o umbral.

Acceso a información personalA pesar de que la legislación de privacidad en muchos países permite que los auditores internos obtengan acceso a infor-mación personal para fines de auditoría, el acceso a la in-formación personal de los empleados puede ser un problema serio y se debe resolver al principio del proceso de auditoría continua. Para cumplir con las exigencias de la legislación, es posible que el auditor deba explicar quién tendrá acceso a la información y cómo se la utilizará, almacenará y protegerá de manera segura.

29

GTAG — Conclusión — 7

A la luz de los desafíos actuales, es imprescindible que los DEA encuentren nuevas maneras para que la función de au-ditoría interna pueda responder con eficacia tanto a las de-mandas de un entorno de negocio siempre cambiante, como a la carga que implican los crecientes requisitos de cumplim-iento de regulaciones. El enfoque integral de la auditoría con-tinua y de la supervisión continua, que es posible gracias a la tecnología, es la clave para una solución sostenible y eficaz en relación con su costo y con los recursos. Estos desafíos pueden considerarse como una oportuni-dad para la profesión de auditoría interna y para sus líderes de proporcionar un tremendo valor a la organización. La au-ditoría interna está excepcionalmente posicionada no sólo para proporcionar a la organización el aseguramiento de que se está cumpliendo con las leyes y regulaciones, sino también para contribuir con la organización en sus esfuer-zos de mejorar la eficacia y eficiencia de los procesos de ne-gocio. Los beneficios de la implementación de la auditoría continua se reflejarán en las mejoras de los resultados finales de la organización; mejoras obtenidas gracias a la identi-ficación oportuna de errores y situaciones de fraude, y a la creación de un entorno de control interno más sólido en la empresa en su conjunto.

30

GTAG — Apéndice A — Ejemplo de auditoría continua aplicado a cuentas a pagar — 8

Si bien la auditoría continua se puede utilizar en cualquier área de la organización, un simple ejemplo que incluye cuentas a pagar (CP) muestra las fortalezas de este enfoque cuando se lo aplica a una auditoría específica. En el ejemplo, se supone que existen numerosos centros de procesamiento de CP separados, de diferentes tamaños, que llevan a cabo funciones similares. El ejemplo se utilizará para analizar cuatro objetivos principales:

•Identificaciónyevaluaciónderiesgosenrelacióncon los procesos de CP.

•Identificacióndelastendenciasrelacionadasconel desempeño y la eficiencia.

•Identificacióndedeficienciasdecontrol,anomalías específicas y fraudes potenciales.

•Rastreodelaimplementaciónderecomendacionesde auditoría y su efecto en las operaciones de cuentas a pagar.

En cada caso, el análisis considerará las tendencias en el transcurso del tiempo y comparará la sección de CP bajo revisión con los otros grupos de CP de la organización. El uso del benchmarking en las operaciones de CP externas agregará otra dimensión a la inspección.

Evaluación e identificación de riesgosEn la evaluación de riesgos inicial, se debe incluir una gran variedad de factores de riesgo controlados por datos y no controlados por datos. La evaluación integral del desempeño del negocio se centra en el costo, la calidad y las medidas de desempeño basadas en el tiempo.

•Lasmedidasbasadasenelcostocubrenelaspecto financiero, como por ejemplo, el costo de mano de obra correspondiente a las CP.

•Lasmedidasbasadasenlacalidadevalúanenqué medida los productos o servicios de una organización satisfacen las necesidades de los clientes, como por ejemplo, la cantidad promedio de errores por factura.

•Lasmedidasbasadaseneltiemposecentranenla eficiencia del proceso, como por ejemplo, la cantidad promedio de días para pagar una factura.

También es posible determinar, en cada sección de CP, los tipos de transacciones y los montos en dólares. Por ejem-plo, considere la cantidad de asientos corregidos en el libro diario y las revisiones realizadas manualmente. Se trata de indicadores de carga de trabajo adicional. El análisis le in-dicará también cuántos tipos diferentes de transacciones se están procesando. En términos generales, la complejidad es mayor en las operaciones donde se procesan más tipos de transacción. También puede examinar los componentes de la estructura organizativa, como las relaciones de suministro de informes, cantidad, clasificación y nivel del personal, tiempo en el trabajo, índices de retención y capacitación recibida. Estos datos deben estar disponibles desde el área de recursos humanos. La combinación de este tipo de información con

los tipos y volúmenes de transacción puede ayudar a iden-tificar áreas de riesgo, como la escasez de personal o la falta de personal capacitado para manejar tipos de transacción complejos.

Tendencias en el desempeño y la eficienciaAl evaluar las CP, los datos de tendencias identificarán fácil-mente cuestiones de desempeño y eficiencia. Por ejemplo, para cada operación de CP, la auditoría continua puede de-terminar:

•Cantidad,clasificaciónyniveldelpersonaldeCP.•Cantidaddefacturasprocesadasporcadausuarioen

cada extremo del espectro. (Si la cantidad es excesiva o muy reducida, se verá incrementado el riesgo).

•Costopromedioendólaresparaprocesarunafactura.•Cantidadpromediodedíasparaprocesarunpago.•Porcentajedefacturaspagadasdemaneraatrasada

o anticipada. (Esto, en particular, revelará si no se están tomando los descuentos por pago anticipado).

•Porcentajedeasientosajustados.•Porcentajedepagosrecurrentesodepagoscontrans-

ferencia electrónica de fondos.•Porcentajederevisionesmanuales.•Porcentajedefacturasquenohacenreferenciaauna

orden de compra.•PorcentajedefacturasdeunmontomenoraUS$500.

(Se podría utilizar una tarjeta corporativa para lograr mayor eficiencia y menor costo).

Las medidas de eficiencia permiten a los auditores com-parar un área de auditoría con otra mediante una represen-tación gráfica de los resultados. Por ejemplo, los gráficos A (más abajo) y B en la siguiente página), ilustran que la División B procesa la menor cantidad promedio de transacciones por usuario e incurre en el costo de mano de obra directa más alto por transacción; este es claramente un candidato para implementar mejoras en cuanto a eficiencia operativa.

Cantidad promedio de transacciones por usuario

Can

t. de

tran

sacc

ione

s

División

A

31


Analizar las tendencias puede ayudar a identificar no sólo problemas, sino también esas áreas donde se han real-izado mejoras. El gráfico C muestra que la División D aún evidencia el porcentaje más alto de facturas sin referencia a su correspondiente orden de compra, pero la división ha experimentado mejoras importantes durante el año anterior, mientras que el porcentaje de la División G ha aumentado.

Identificación de deficiencias de control, anomalías o fraude potencialDentro de CP, las posibles anomalías y medidas de fraude po-tencial son las siguientes:

•Identificacióndepagosduplicados.(Aquísedebe incluir una comparación con los años anteriores para detectar si las operaciones están mejorando).

•Facturasprocesadascontraórdenesdecompraque se crearon luego de la fecha de facturación (por ejemplo, órdenes de compra con fecha posterior a la de la factura).

•Cantidaddefacturasquepasanalascuentas transitorias.

•Identificacióndenombresduplicadosenellistadode proveedores, proveedores con nombres como C.A.J.A, Sr., Sra. o proveedores sin información de contacto, números de teléfono u otra información clave.

•Identificacióndetodaslasfuncionesrealizadaspor cada usuario para identificar la incompatibilidad o falta de separación de funciones, como por ejemplo:

•Proveedoresquefueroncreadosysonutilizadospor un único y mismo empleado de CP.

•Casosenlosqueelusuarioqueingresaelasientoes el mismo que aprueba el pago.

•Casosenlosqueelbeneficiariodepagoeselusu ario que ingresa el asiento o el que lo aprueba.

Seguimiento de las recomendaciones de auditoríaEl objetivo final de la evaluación continua de riesgos es el seguimiento de las recomendaciones. El objetivo es determi-nar si la dirección ha implementado las recomendaciones y si estas tienen el efecto deseado. Las posibles medidas son:

•Evidenciadelaumentodelusodetarjetascorporativa para transacciones de poco monto en dólares (por ejemplo, reducción del porcentaje de facturas meno- res de $500 e incremento del porcentaje de pagos de menos de $500 efectuados con tarjeta corporativa).

•Reduccióndenombresduplicadosenellistadoprin- cipal de proveedores.

•Disminucióndelacantidadyelvalorendólaresde facturas duplicadas.

•Mejorasencuantoalosmontosenfuncióndela fecha de pago (por ejemplo, reducción en los cargos por pago atrasado; más oportunidades para obtener descuentos por pago adelantado).

•Mejorasenlasoperaciones(porejemplo,menorcosto por factura, más cantidad de pagos efectuados por transferencia electrónica de fondos [EFT, en inglés]).

•Rigurosoaccesodeusuariosbasadoensusrolesque limita las posibilidades de fraude, desperdicio y abuso (por ejemplo, menos casos de falta de segregación de funciones).

El gráfico D muestra cómo se puede utilizar la evaluación continua de riesgos para determinar si en las operaciones de CP de cada división se ha implementado con éxito la reco-mendación que exige que se utilicen tarjetas corporativas para transacciones de bajo monto en dólares.

Porcentaje de facturas sin referencia a su correspondiente orden de compra

Por

cent

aje

División de CP Año fiscal 03/04Año fiscal 04/05

Año fiscal 04/05Año fiscal 03/04

Porcentaje de uso de la tarjeta corporativa en facturas de menos de $500

Por

cent

aje

División

D

División

Costo de mano de obra directa por transacción

Mon

to e

n dó

lare

s

B

C

32


Debido a que todos los años ingresan millones de tran-sacciones en una gran cantidad de centros de procesamiento de CP, la actividad de auditoría puede resultar eficaz y efi-ciente mediante el uso de la tecnología de auditoría continua. La auditoría continua ayuda a definir los objetivos de audi-toría, a seleccionar oficinas para el trabajo de auditoría en el lugar y a identificar anomalías y debilidades de control. Por último, la auditoría continua permite a los auditores realizar un seguimiento, en forma electrónica, de la implementación de las recomendaciones de auditoría, sin que sea necesario trasladarse personalmente a las diversas oficinas para efec-tuar la revisión manual de las transacciones.

33

GTAG — Apéndice B — Normas relacionadas — 9

Instituto Estadounidense de Contadores Públicos Certificados (AICPA, en inglés) – SAS•SASN.º47,Riesgosdeauditoríaymaterialidadal

realizar auditorías.•SASN.º54,Actosilegalesporpartedelosclientes.•SASN.º56,Procedimientosanalíticos.•SASN.º78,EnmiendaalaSASN.º55,Evaluación

del control interno en una auditoría de estados contables.•SASN.º80,EnmiendaalaSASN.º31,Evidencia

comprobatoria.•SASN.º94,Elefectodelatecnologíadelainfor-

mación en la evaluación, por parte del auditor, de los controles internos en una auditoría de estados contables.•SASN.º99,Evaluacionesdefraudeenunaauditoría

de estados contables.

Instituto de Auditores Internos•Norma1210:Pericia•Norma2010:Planificación.•Norma2120:Gestiónderiesgos•Norma2130.A1.•GTAG.Controlesdetecnologíadelainformación.•GTAG.Controlesdegestióndeparchesycambios:

Críticos para el éxito de la organización.

Federación Internacional de Contadores – Norma Internacional de Auditoría (ISA, en inglés)•ISAN.º240,Responsabilidaddelauditorparaevaluar

situaciones de fraude en la auditoría de estados contables.

34

GTAG — Apéndice C — Autoevaluación de auditoría continua — 10

El uso de los conceptos, la metodología y la tecnología re-queridos para la auditoría continua no se ha aplicado uni-formemente en todos los departamentos de auditoría interna. Algunos auditores son líderes en adoptar y obtener el ben-eficio máximo de la auditoría continua, mientras que otros ni siquiera han iniciado el proceso de implementación. La mayoría de las organizaciones se ubican en el punto medio de estos dos extremos. Generalmente, el uso de la auditoría continua se puede ubicar en una de estas tres categorías principales: nivel intro-ductorio,nivelmoderadoynivel integrado/avanzado.Cadacategoría se puede caracterizar en función del grado de imple-mentación de la auditoría continua y de su integración con los procesos de auditoría. El DEA debe saber en qué lugar se encuentra el depar-tamento de auditoría en términos de auditoría continua y dónde se desearía que esté. Parte del proceso de pasar a un grado de uso más avanzado de la auditoría continua incluye una evaluación de las aptitudes y del conocimiento de los auditores internos. Se necesitan diversos niveles de cono-cimiento de TI en la organización para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobi-erno. Es esencial el conocimiento de los sistemas de negocio, sus riesgos relacionados y problemas de control, además de la capacidad de utilizar la TI como recurso en la implement-ación de la auditoría continua. El DEA puede utilizar las siguientes descripciones de niveles para autoevaluar hasta qué grado el departamento de auditoría ha adoptado e implementado la auditoría continua.

Nivel introductorioLos departamentos de auditoría que se encuentran en el nivel introductorio no han comenzado a implementar verdadera-mente las metodologías y tecnologías de auditoría continua. A pesar de que algunos auditores pueden haber obtenido algunos beneficios del uso de la tecnología informática, la mayor parte de las tareas de evaluación de riesgos y controles todavía se realizan manualmente. En el nivel introductorio, el análisis de datos se puede utilizar para respaldar la audi-toría continua pero de manera ad hoc. Los análisis se realizan una vez, y los resultados se utilizan únicamente para tratar objetivos de auditoría específicos. El nivel introductorio se caracteriza por los siguientes aspectos:

•Unacomprensióngeneraldeloscontrolesyriesgos del negocio.

•ElusoadhocdelaTIparabuscaranomalíaso excepciones.

•Evaluacionesdelastransaccionesenunmomentoen particular para tratar objetivos de auditoría específicos.

•Evaluacionesderiesgosquesebasanencriterios cualitativos y carecen de cuantificación.

•Evaluacionesdecontrolqueserealizanmanualmente.•Usodetecnologíanointegradaconlosprocesosde

planificación de auditoría, la evaluación de riesgos de auditoría o con la evaluación de los controles.

En este nivel, el DEA no tiene un plan que le permite visualizar el avance del departamento de auditoría en sus es-fuerzos por implementar la auditoría continua. La tecnología no está planificada ni prevista en los planes a corto o largo plazo del departamento de auditoría. Generalmente, el uso de la tecnología es poco sistemático y tiene por objetivo tratar un solo problema.

Nivel moderadoEn el nivel moderado, las técnicas de auditoría continua ejercen su impacto sobre las auditorías reales que se estén llevando a cabo. No obstante, el impacto sigue siendo un tanto limitado y su uso no se aplica ni gestiona de manera consistente. Muchas veces, sólo unos pocos auditores están utilizando las técnicas de auditoría continua y es posible que sus esfuerzos no estén respaldados por el DEA. Además, es posible que la alta dirección de la compañía no tenga cono-cimiento del tipo o el alcance de la autoría continua utilizada por estos auditores. Los tipos de auditorías realizadas, los resultados obteni-dos y la metodología empleada no han cambiado; lo único que ha cambiado es que se utiliza la tecnología para realizar determinadas funciones. La tecnología puede estar en los planes, pero no hay una visión clara de hacia dónde se dirige el uso de la auditoría continua del departamento de auditoría. Además, la aplicación de la auditoría continua no está in-tegrada con el proceso de planificación de auditoría ni con la evaluación de problemas de riesgo y control. El uso moderado se caracteriza por lo siguiente:

•Unacomprensiónbásicadelasamenazasyvulnera- bilidades relacionadas con los sistemas automatizados de negocio y los controles asociados.

•Equiposdeauditoríaquecuentanconlasaptitudes y el conocimiento necesarios para extraer y utilizar datos provenientes de sistemas de negocio clave.

•Undepartamentodeauditoríaquehacomprado herramientas de TI para realizar evaluaciones y pruebas y las está utilizando.

•Pruebasdeauditoríaqueseejecutan,demaneraad hoc, para realizar búsquedas en las transacciones con el propósito de hallar evidencias de puntos vulnerables, riesgos de TI o deficiencias de control.

•Síntomasdetectadosenrelaciónconlossistemasde negocio para identificar causas y emitir recomendaciones.

•Losplanesdeauditoríaparatodalaempresapueden incluir algunos criterios cuantitativos y cualitativos, pero estos se actualizan únicamente durante el pro ceso de planificación de auditoría anual.

Estos departamentos de auditoría se encuentran en un punto crítico. La implementación de la auditoría continua

35

GTAG — Apéndice C — Autoevaluación de auditoría continua — 10

puede sufrir un retroceso si determinadas personas clave se retiran de la empresa o si el uso de la auditoría continua no es parte integral del proceso de auditoría.

Nivel integrado o avanzadoEn este nivel, el DEA y todos los auditores reconocen la importancia de la tecnología y de la auditoría continua. La implementación y el mantenimiento de la auditoría continua disponen de suficientes recursos (humanos y financieros) y la tecnología está integrada en los procesos de auditoría general. La auditoría se ha convertido en un proceso continuo, los auditores realizan evaluaciones de riesgos y controles al examinar las tendencias y analizar las transacciones en detalle para detectar anomalías o excepciones. Los resulta-dos se utilizan para activar alarmas y en función de ellas se establecen prioridades para actuar de inmediato. En este nivel, la naturaleza de la actividad de auditoría ha cambiado. Las entradas, las salidas y los procesos no son los mismos que los de un departamento de auditoría que no ha implemen-tado la auditoría continua. Los tipos de auditoría implemen-tados, el ciclo de planificación, el tiempo del ciclo y muchos otros aspectos se ven afectados por la implementación de la auditoría continua. Elusointegrado/avanzadosecaracterizaporlosiguiente:

•Conocimientodelosprocesosdenegocioclaveysus sistemas asociados, además de una buena compren- sión de los riesgos y problemas de control.

•Laidentificacióndepuntosdecontrolcríticos, además de excepciones y reglas de control.

•Eldepartamentodeauditoríahaidentificado categorías de riesgos clave e indicadores de riesgo controlados por datos.

•Ejecucióndeevaluacionesderiesgoycontrolen tiempo real o casi en tiempo real para los procesos de negocio clave.

•Sistemasdenegocioclavequesonanalizadosen busca de excepciones o anomalías en el nivel de las transacciones y en busca de tendencias que indiquen riesgos emergentes.

•Unprocesodeplanificacióndeauditoríaparatoda la empresa que incluye indicadores de riesgo y desempeño controlados por datos.

•Auditoríasqueintentanidentificarindicadores controlados por datos para las recomendaciones de auditoría, que, a su turno, se analizan para evaluar la implementación de las recomendaciones por parte de la dirección.

•Resultadosdeauditoríacontinuaqueseintegranen todos los aspectos del proceso de auditoría y resultados que están relacionados con ERM, cuadro de mando e iniciativas de mejora continua.

•Auditoresqueevalúanyconsideranlosprocesosde supervisión de la dirección al momento de realizar auditorías continuas.

•Auditoríacontinuaplanificada,gestionadayevaluada para la mejora continua.

En la actualidad, no son muchos los departamentos de auditoríaqueseencuentranenelnivelintegrado/avanzadode la auditoría continua. Pero el camino para llegar hasta allí se puede adoptar de manera gradual, comenzando con la identificación de los controles y de los sistemas de negocio clave. Las primeras aplicaciones de auditoría continua se pueden ejecutar en forma periódica, en lugar de continua. Es de suma importancia que los DEA entiendan en qué lugar se encuentra actualmente el departamento de auditoría para desarrollar una perspectiva de dónde quisieran estar y planificar cómo llegar hasta allí.

36

GTAG — Acerca del autor y el equipo del proyecto — 11

David Coderre es Gerente de Auditoría Continua en la Di-visión de Auditoría y Evaluación de la Policía Montada Real de Canadá. Tiene más de 20 años de experiencia en el campo de la informática en el entorno universitario, y en sectores privados y del gobierno federal. Es responsable del uso eficaz y eficiente del hardware y software como herramienta de audi-toría. Realiza determinados análisis para respaldar el alcance y los objetivos de la auditoría individual, y apoya el desar-rollo del plan de auditoría anual, mediante la identificación y evaluación de riesgos. Coderre ha respondido a los re-querimientos de cientos de auditorías trabajando con equipos de auditoría para desarrollar métodos controlados por datos para tratar los objetivos y el alcance de la auditoría. Entre esos resultados, se incluye: una auditoría de inventario que detectó existencias obsoletas por un valor de más de US$100 millones; la auditoría de una función de CP que identificó in-eficiencias de alrededor de US$5 millones y pagos duplicados por un valor de más de US$1 millón; además de una auditoría de mantenimiento por contrato que descubrió transacciones fraudulentas por millones de dólares. Coderre además escribió los libros CAATTs and Other BEASTs for Auditors (Versión 3, 2005) y Fraud Detection: A Revealing Look at Fraud (Versión 2, 2004), que describe técnicas para utilizar software de análisis de datos para de-tectar fraude, desperdicio y abuso. En 2001, publicó The Fraud Toolkit, una combinación de software y texto escrito, que contiene una serie de casos y notas diseñados específica-mente para abordar el fraude. También escribió varios artícu-los para revistas de auditorías internacionales, entre las que se cuentan Internal Auditor, The EDP Audit y Control and Security Newsletter (EDPACS), el periódico sobre auditoría del Reino Unido.

Información de contacto:Royal Canadian Mounted Police Audit and Evaluation Branch295 Coventry Rd. – 2nd FloorOttawa, OntarioK1A0R2, CANADÁ[email protected]

Acerca del equipo del proyecto

Autor principal:

David Coderre, Gerente de Auditoría Continua de la Policía Montada Real de Canadá

Gerente de proyecto:

Peter Millar, Director de Marketing de Producto, ACL Services Ltd.

Patrocinador de proyecto:

John Verver, Vicepresidente de Servicios Profesionales de ACL Services Ltd.

Expertos en el tema:

John Verver, Vicepresidente de Servicios Profesionales de ACL Services Ltd., Vancouver, Canadá

J. Donald Warren Jr. , Profesor de contabilidad y Director del Centro de Auditoría Continua, Departamento de Contabilidad y Sistemas de Información, Universidad de Rutgers, Newark, Nueva Jersey, Estados Unidos

Contribuyentes:

Brian Aiken, Director General de Auditoría y Evaluación de la Policía Montada Real de Canadá, Ottawa, Canadá

Richard B. Lanza, Presidente de Cash Recovery Partners LLC, Lake Hopatcong, Nueva Jersey, Estados Unidos

Sylvain Michaud, Director de Auditoría Interna de la Policía Montada Real de Canadá, Ottawa, Canadá

Robert, L. Onions, Director de Eclectics Ltd, Bude, Inglaterra

Mary Persson, Directora de Metodología de la Policía Montada Real de Canadá, Ottawa, Canadá

René-Pierre Tremblay, Director de Revisión de Gestión/AseguramientodeCalidad,Policía Montada Real de Canadá, Ottawa, Canadá

37

GTAG — Referencias — 12

Assurance Services Within the Auditing Profession, Glen L. Gray y Maryann, J. Gray, La Fundación de Investigaciones del IIA, Altamonte Springs, Florida., Estados Unidos, 2000.

“Beyond Traditional Audit Techniques”, Paul E. Lindow y Jill D. Race, AICPA, Online Journal of Accountancy,juliode2002/Volumen194,N.º1.

Building and Implementing a Continuous Controls Monitoring and Auditing Framework – A White Paper, John G. Verver, ACL Services, 2005.

CAATTs and Other BEASTs for Auditors, David G. Coderre, Global Audit Publications, Vancouver, Canadá, 1998.

CoBIT, IT Governance Institute y la Asociación de Auditoría y Control de Sistemas de Información.

Continuous Auditing, Instituto Canadiense de Contadores Certificados, Toronto, Canadá, 1999.

“Continuous Auditing: The Audit of the Future”, Zabihollah Rezaee, Rick Elan y Ahmad Sharbatoghlie,ManagerialAccountingJournal16/3, páginas 150-158, MCB University Press.

Continuous Auditing: Implications of the Current Technological, Regulatory and Corporate Environment, J. Donald Warren Jr., Texas A&M University, mayo de 2004.

Continuous Auditing: Potential for Internal Auditors, J. Donald Warren Jr. y Xenia L. Parker, La Fundación de Investigaciones del IIA, Altamonte Springs, Florida, Estados Unidos, 2003.

Continuous Monitoring: An Effective Strategy for Effective Controls, John G. Verver, The 16th Annual Super Strategies: Audit Best-Practices Conference, MIS Training Institute, 2005.

“Detecting Accounts Payable Abuse Through Continuous Auditing”, Larry Potla, ITAudit, El IIA, Altamonte Springs, Florida, Estados Unidos, Volumen 6, noviembre de 2003.

Enterprise Risk Management: An Analytical Approach, Tillinghast-Toweres Perrin, 2000.

Enterprise Risk Management – Integrated Framework, COSO, 2004.

Financial Post, Andrew Parker, Tuesday, May 17, 2005. Fraud Detection: A Revealing Look at Fraud, David G. Coderre, Ekaros, Vancouver, Canadá, 2004.

The Future of Continuous Assurance and Risk Management, Tim J. Leech, Paisley Consulting, 2005.

GTAG Information Technology Controls, El IIA, Altamonte Springs, Florida, Estados Unidos, marzo de 2005

Internal Auditing in Europe, ECIIA, febrero de 2005.

Internal Control – Integrated Framework, COSO, 1992.

Professional Practices Framework, “Guidance on Implementing Auditing Standard #2”, La Fundación de Investigaciones del IIA, Altamonte Springs, Florida, Estados Unidos, 2004.

Informe del Debate de la mesa redonda de los DEA en la Conferencia Internacional 2005 del IIA, julio de 2005.

Sarbanes-Oxley Implementation Costs, A.R.C. Morgan, febrero de 2005.

Sawyer’s Internal Auditing (5th Edition): The Practice of Modern Auditing, Lawrence B. Sawyer, Mortimer A. Dittenhofer y James H. Scheiner, Altamonte Springs, Florida, Estados Unidos, 2003.

SOX Compliance and Automation: A Benchmark Report, Aberdeen Group, marzo de 2005.

SOX Decisions for 2005: Step Up Technology Investments, John Hagerty, AMR Research, enero de 2005.

Survey on SOX 404 Implementation, Ejecutivos de Finanzas Internacionales, marzo de 2005.

Technology Risk and Controls: What You Need to Know, Protiviti Independent Risk Consulting, 2004.

www.theiia.org

Auditoría continua: implicancias para el aseguramiento, la supervisión yla evaluación de riesgos

Esta guía se centra en ayudar a los directores ejecutivos de auditoría a identifi-car qué se debe llevar a cabo para utilizar la tecnología de manera eficaz con elobjetivo de respaldar la auditoría continua. Ofrece pautas sobre cómo utilizar laauditoría continua para beneficiar a la organización mediante la reducción sig-nificativa de errores y fraudes, aumentando la eficiencia operativa y mejorandolos resultados finales a través de una combinación de ahorro y reducción desobrepagos y fuga de ingresos.

¿Qué es la GTAG?

La Guía de Auditoría de Tecnología Global (GTAG, en inglés) ha sido prepa-rada por el Instituto de Auditores Internos y está escrita en un lenguaje denegocios claro y directo para abordar, en forma oportuna, un problema relacio-nado con la gestión, el control o la seguridad de la tecnología de la informa-ción. La GTAG es una colección de recursos lista para ser utilizada por losdirectores ejecutivos de auditoría para educar a los miembros del Consejo deAdministración y del Comité de Auditoría, la Dirección, los propietarios de losprocesos y otros en lo que respecta a riesgos asociados a la tecnología y prácti-cas recomendadas.

Auditoría continua: Implicancias para el aseguramiento, la supervisión y la evaluación de riesgos

Documents

Transcript of Auditoría continua: Implicancias para el aseguramiento, la supervisión y la evaluación de riesgos