LA AUDITORÌA CONTINUA, UN MODELO

advertisement
LA AUDITORÌA CONTINUA, UN MODELO COMPLEMENTARIO QUE PERMITE
AGREGAR VALOR A LA AUDITORÌA MODERNA.
Por: Francisco Javier Valencia Duque*
CISA-CRISC-COBIT Foundations
Universidad Nacional de Colombia (Sede Manizales)
Presentación
Tratar de adelantarnos en el tiempo para poder aventurarnos a predecir lo que
pasará en el futuro, en este caso el futuro de la auditoría, es poco probable, sin
embargo, podemos intentar anticiparnos a lo que va a suceder, si articulamos
adecuadamente el conocimiento disponible, explotando lo que sabemos del pasado
y del presente. Este es el objetivo del ensayo que a continuación se presenta, el
cual gira alrededor de uno de los temas que ha venido emergiendo desde hace
cerca de 25 años, cuando autores como Groomer y Murthy en 1989 publicaron los
primeros papers alrededor del tema (Kogan, Alles, & Vasarhelyi, 2010), pero que a
la fecha no ha sido aún incorporado de forma masiva en las organizaciones. La
Auditoría Continua.
Para ello se tomará como punto de partida, los retos, tendencias, expectativas y
prioridades que afronta actualmente la auditoría interna, en la búsqueda de agregar
valor a la organización, a través del uso de las Tecnologías de Información y
Comunicaciones (en adelante TIC).
Sin embargo para poder tener una visión
integral de las TIC en los procesos de auditoría, debemos, con una mirada
retrospectiva, comprender históricamente como se ha venido incorporando el uso
de las TIC en el proceso auditor y cuáles han sido los aportes que diferentes autores
y organizaciones cercanas al mundo de la auditoría han planteado para hacer de
esta función estratégica, una labor con mayores niveles de eficacia y eficiencia, en
beneficio del proceso auditor en particular y de la organización en general.
A partir de esta revisión histórica podemos introducirnos en la Auditoría Continua,
una de las tecnologías más importantes para el desarrollo de la auditoría moderna,
considerada por algunos autores, como el nuevo paradigma de la auditoría.
Con una exhaustiva revisión bibliográfica de sus orígenes, conceptos, contrastes
con la auditoría tradicional y un análisis comparativo de las metodologías de
Auditoría Continua planteadas por cuatro (4) de las principales organizaciones a
nivel internacional que agrupan a contadores y auditores, se formulará una
metodología unificada que recoja las principales fases y actividades a desarrollar en
un proceso de Auditoría Continua, como herramienta base para disminuir la
complejidad que puede representar para un auditor el desarrollo de este tipo de
procesos ante la existencia de diversas metodologías.
Es importante destacar que la Auditoría Continua no entra a reemplazar la auditoría
tradicional, lo que hace es complementar una auditoría que mira retrospectivamente
los hechos, con un modelo proactivo, que se fundamenta en una auditoría predictiva
y preventiva, fundamentada en el uso intensivo de las TIC como herramientas que
apalancan el proceso auditor.
1. Retos, tendencias, expectativas y prioridades que afronta la Auditoría
Interna. Una perspectiva desde las TIC.
Las organizaciones han sido transformadas por las Tecnologías de Información y
Comunicaciones, lo que ha permitido que no existan fronteras de espacio, ni de
tiempo para desarrollar los negocios, generando organizaciones ubicuas, con la
capacidad de desarrollar sus operaciones en diferentes partes del mundo de forma
simultánea, las 24 horas del día, los 7 días de la semana, durante los 365 días del
año, dando respuesta en tiempo real a los cambios que se pueden suscitar en su
entorno de negocios inmediato. Sin embargo la auditoría aún no ha evolucionado a
la par de estas organizaciones, desarrollando sus procesos de auditoría de forma
tardía; días, meses e inclusive años después de que ocurren los eventos
económicos en las organizaciones, llevando a cabo un control tardío de los eventos
económicos, detectando anomalías e irregularidades y en general incumplimiento
de reglas de negocio mucho tiempo después de que ocurrieron, y generando
reportes tardíos que ya no tienen valor para la organización, o si aún lo tienen, ya
han perdido mucho de él.
Bajo la premisa de que los negocios en tiempo real, son impulsados por procesos
en tiempo real y por lo tanto requieren de un control en tiempo real, es necesario
que la auditoría responda a estos retos y uno de los mecanismos para lograrlo es
hacer un uso intensivo de las TIC como parte del proceso auditor, que agregue
valor en su función de aseguramiento.
Diversas investigaciones originadas en el sector productivo y la academia plantean
retos que debe afrontar la auditoría interna para cumplir con uno de los principales
elementos que componen su definición –agregar valor- , elemento que ha sido
cuestionado en algunos de estas investigaciones, y que es ratificado por el Instituto
de Auditores Internos, en su editorial del último número de la revista Internal Auditor
al establecer: “En el 2014 las partes interesadas de auditoría interna dejaron
perfectamente en claro que existe una brecha entre lo que esperan de auditoría
interna y lo que reciben” (Millage, 2014,30).
Recientemente el estudio sobre el estado de la profesión de auditoría interna en
2014 elaborado por PricewaterhouseCoopers establece que tan solo el 45% de los
altos directivos consideran que la auditoría interna aporta un valor significativo a la
organización (PWC, 2014), por su parte la encuesta global a Directores miembros
de comités de auditoría de 21 países llevada a cabo por KPMG y dada a conocer
en Marzo de 2013 plantea que tan solo el 37% de las compañías Latinoamericanas,
están convencidos del valor que entrega a la compañía el área de auditoría interna
(KPMG, 2013).
Si bien, son diversos los factores que han llevado a generar estos porcentajes
relativamente bajos, existe un elemento en común que han planteado estos y otros
estudios alrededor de los retos, tendencias, expectativas y prioridades que tiene la
auditoría para incrementar el valor esperado de su función en la organización, y es
el uso intensivo de las Tecnologías de Información y Comunicaciones en los
procesos de auditoría. Ello obedece fundamentalmente a que las TIC ya no son
simplemente recursos de apoyo en la organización, sino que son parte del negocio,
como es el caso específico de las entidades bancarias.
Es así como el Instituto de Auditores internos de España en uno de sus últimos
documentos del tanque del pensamiento, al plantear los retos futuros para la
auditoría interna de las entidades de crédito, establece, en relación con los
controles: “La Auditoría Interna se apoyará cada vez más en un examen del
funcionamiento de controles automáticos y un mayor tratamiento masivo de datos,
para lo que será necesaria la evolución de las herramientas informáticas que
permitan dichas capacidades”(Instituto de Auditores Internos de España, 2014,9); y
en relación a los riesgos: “El empleo de técnicas de tratamiento masivo de datos
facilita alcanzar la cobertura de Auditoría Interna, mejorar la cuantificación de las
incidencias y mejorar la comprensión de los riesgos” (Instituto de Auditores Internos
de España, 2014,32); complementado con
“La tecnología no solo ayudará a
detectar el riesgo de TI, también permitirá su integración en la realización de
trabajos de auditoría a través del análisis masivo de datos. Este hecho
proporcionará la posibilidad de detectar los riesgos de una forma más eficaz sin
incurrir en un mayor coste”(Instituto de Auditores Internos de España, 2014,34).
En el resumen de las tendencias planteadas por este documento para las áreas de
auditoría interna de las entidades de crédito, se plantean 17 tendencias, con
aproximadamente 44 expectativas distribuidas en 4 categorías: recursos humanos,
estructura organizativa, enfoque alcance y organización de revisiones, y recursos
técnicos y medios, de las cuales cerca del 30% de las expectativas, en 3 de las 4
categorías están relacionadas de manera directa con las TIC, como se puede
observar en la tabla 1.
Tabla 1. Retos y expectativas de futuro para la Auditoría Interna de las entidades de crédito relacionadas con Tecnologías
de Información y Comunicaciones.
TENDENCIA
EXPECTATIVA
RECURSOS HUMANOS
Aumentarán las auditorías de No se entiende un proceso de negocio sin la
equipos integrados por miembros tecnología.
con distintas especializaciones, Difícil que un auditor pueda saber de todo,
hasta consolidar la figura del incluido TI.
superauditor
que
conocimientos
de
aglutine No centrarse solo en riesgos de TI.
áreas
relevantes
ENFOQUE, ALCANCE Y ORGANIZACIÓN DE REVISIONES
Disminuirá
progresivamente
la Se intensificará el uso de herramientas que
auditoría tradicional/presencial de permiten auditar a distancia gracias al uso de
oficinas, que pasará a tener la tecnología en los procesos
menos importancia en términos Podrían desaparecer los ciclos de revisión de
oficinas siendo visitadas sólo cuando se
de recursos y número de oficinas produzcan determinadas señales de alerta
revisadas
concretas
Aumentarán los procedimientos Aumentará la auditoría a distancia de otros
de auditoría a distancia y se riesgos ajenos a la red de oficinas (TI, capital,
extenderán a otras áreas distintas liquidez, etc).
al control de la red comercial.
Aumentará
la
evaluación La
Auditoría
Continua
se
usará
para
dinámica de los riesgos para alimentar dinámicamente los riesgos.
determinar
los
trabajos
de
auditoría a realizar
RECURSOS TÉCNICOS Y MEDIOS
Los equipos de Auditoría Interna Las conclusiones de las auditorías se
se
apoyarán
verificación
más
del
en
la basarán cada vez más en:
correcto - Los resultados de pruebas masivas de
funcionamiento de determinados datos y menos en muestreos estadísticos.
controles automáticos y en el - Pruebas de controles automáticos en los
tratamiento masivo de datos para procesos de negocio.
obtener conclusiones e indicios.
Posibilidad de explotar cantidades ingentes
de datos, correlacionando información, para
detectar tendencias y patrones así como
incidencias puntuales.
La evolución de los negocios y de La evolución de la Auditoría Continua
la tecnología irá acompañada de dependerá de la capacidad de la explotación
un
progresivo
uso
de masiva de datos.
herramientas informáticas como Necesidad de herramientas informáticas que
apoyo a las auditorías.
permitan la explotación masiva de datos.
Los
auditores
conocedores
del
internos
manejo
deben
de
ser
estas
herramientas informáticas.
Fuente: construido a partir de (Instituto de Auditores Internos de España, 2014b)
Sin embargo, no es solo este informe el que ha planteado tales retos alrededor de
las TIC, también existen otra serie de estudios e informes de organizaciones
cercanas a la función de auditoría, entre las que se destacan la encuesta aplicada
por Protiviti (2014), a más de 600 ejecutivos de auditoría en diferentes países del
mundo, orientada a conocer las necesidades y capacidades de los auditores
internos frente a los riesgos emergentes y ser proactivo ante los cambios que se
generan en las organizaciones, quienes priorizan los siguientes aspectos
tecnológicos en los procesos de auditoría:
-
Social media, aplicaciones móviles, cloud computing y seguridad
-
Técnicas de Auditoría Asistidas por Computador (CAATs en inglés) y análisis
de datos.
-
Gestión de fraudes centrados en la Tecnología.
-
Cumplimiento de leyes y cambios normativos
-
Colaboración con otros miembros de la empresa para compartir experiencias
y comunicar el valor que aporta la auditoría a la organización.
Por su parte la firma Thomson Reuters Accelus en su encuesta anual del estado
de la Auditoría interna en el 2014, donde participaron cerca de 900 auditores
internos en aproximadamente 50 países del mundo y ante la pregunta de cuáles
deben ser las principales prioridades de la función de auditoría interna en su
organización, se obtuvieron como prioridad, el aseguramiento de los procesos de
control interno, con un 63% aproximadamente, seguido de la seguridad y riesgos de
Tecnologías de Información, con un 54%, incrementándose en relación con la
encuesta aplicada en los dos años anteriores(Thomson Reuters, 2014).
De igual forma, el estudio sobre el estado de la profesión de auditoría interna llevado
a cabo por PricewaterhouseCoopers (PwC) en 2014, plantea a partir de las
respuestas de 1920 directivos relacionados con la auditoría en cerca de 37 países
como hoja de ruta para contar con una auditoría interna eficaz, alinear 8 atributos,
como se puede observar en la figura 1, entre los cuales se encuentra la Tecnología,
donde se requiere el empleo de técnicas avanzadas de análisis de datos, utilizando
las técnicas de Auditoría Continua para incrementar la cobertura y proporcionar
indicadores tempranos de advertencia sobre posibles riesgos(PWC, 2014).
Figura 1. Atributos para una Auditoría Interna eficaz.
Fuente: (PWC, 2014)
Por último, KPMG & Instituto de Auditores Internos de España (2015) a través de
su documento “Visión 2020. Desafíos de Auditoría Interna en el horizonte 2020”
plantea la relación del auditor interno con las nuevas tecnologías en tres niveles
diferentes: En primer lugar, está la forma en que la tecnología está presente
actualmente en todas las transacciones de una empresa, lo que implica un cambio
en la planificación de las pruebas de auditoría tradicionales; en segundo lugar, las
nuevas tecnologías ofrecen al auditor una serie de posibilidades para profundizar
en su trabajo, aumentar el rendimiento del mismo y permitir un mayor control sobre
cualquier tipo de operación; y en tercer lugar, el desarrollo de nuevas tecnologías
conlleva a un nuevo campo que debe ser objeto de supervisión por parte del auditor.
En resumen, son diversos los estudios alrededor de la Auditoría interna que
coinciden en la importancia que representan las TIC para el desarrollo eficaz y
eficiente de los procesos de Auditoría, en la búsqueda permanente de hacer de la
auditoría, una función cada vez más pertinente, ajustada a las necesidades y retos
que impone el negocio, y como medio para agregar valor a la organización.
2. Las Tecnologías de Información y Comunicaciones en los procesos de
Auditoría. Una visión retrospectiva.
Los procesos de Auditoría manual son inadecuados en este entorno cada vez más
complejo (Vasarhelyi, 1984). Estas palabras expresadas en 1984 por uno de los
autores más prolíficos en materia de Auditoría Continua, es mucho más vigente hoy,
que hace 31 años. Sin embargo, a pesar del tiempo y la evolución tecnológica que
han tenido las organizaciones, el uso de las TIC en la auditoría no ha sido un tema
prioritario en las áreas de auditoría, así lo demuestran diferentes estudios realizados
principalmente por las agremiaciones y firmas de auditoría a nivel internacional.
No obstante, históricamente la academia y las agremiaciones de auditores han
aportado a lo que se ha denominado de forma genérica como Técnicas y
Herramientas de Auditoría Asistidas por Computador (en adelante CAATT por sus
siglas en inglés, de Computer Assisted Audit Tools and Techniques) para referirse
al uso de las TIC en auditoría.
De manera inicial, es pertinente resumir las diferentes normas que se han
promulgado alrededor del uso de las TIC en los procesos de auditoría, las cuales
son resumidas en la tabla 2, donde se puede concluir, que en particular los
organismos que agrupan contadores y auditores, no han sido ajenos a la
importancia que representa este importante recurso en los procesos de auditoría.
Tabla 2. Resumen de las principales normas y estándares alrededor de las
Tecnologías de Información y Comunicaciones en la Auditoría.
ENTIDAD
NORMA
DESCRIPCIÓN
SAS No 3
Efectos del procesamiento electrónico de
EMISORA
AICPA
datos sobre el estudio y evaluación de los
controles internos por parte del auditor
AICPA
SAS No 48
Los
efectos
del
procesamiento
en
computador sobre el examen de los estados
financieros
AICPA
SAS No 94
El efecto de la Tecnología de información en
la consideración del control interno del
auditor, en una auditoria de declaraciones
financieras
IFAC
ISA 401
Auditoría en un ambiente de sistemas de
información por computador.
IFAC
Declaración
Ambientes de Sistemas de Información de
Internacional 1001
cómputo
(CIS)-Microcomputadoras
independientes.
IFAC
Declaración
Ambiente de Sistemas de Información de
Internacional 1002
cómputo (CIS)-Sistemas de computadoras
en línea.
IFAC
IFAC
IFAC
IFAC
ISACA
Declaración
Ambientes de Sistemas de Información de
Internacional 1003
cómputo (CIS)-Sistemas de base de datos
Declaración
Evaluación del riesgo y el control interno –
Internacional
Características
1008
Sistema de Información de cómputo (CIS)
Declaración
Técnicas de auditoria con
internacional 1009
computador.
Declaración
Comercio electrónico – efecto en la auditoria
Internacional 1013
de estados financieros
Guía 3
Uso de Técnicas de Auditoría Asistidas por
y
consideraciones
del
ayuda del
Computador
IIA
Consejos
práctica
para
la Debido cuidado profesional. Al ejercer el
1220-2, debido cuidado profesional el auditor interno
Norma relacionada debe
1220.A2
considerar
la
utilización
de
herramientas de auditoria asistidas por
computador y otras técnicas de análisis de
datos.
Fuente: Elaboración propia
Por su parte, la academia no ha estado al margen de la relación TIC-auditoría, y
existe una posición de diversos autores como (Pinilla Forero, 1997;Loh, 2002;
Cerullo & Cerullo,2003;Smieliauskas & Bewley,2010) quienes han planteado un
enfoque para abordar el uso del computador por parte de los auditores, a partir de
tres perspectivas: La auditoría alrededor del computador, la auditoría a través del
computador y la auditoría con el computador.
La auditoría alrededor del computador (Auditing around the computer), consiste
en conciliar los documentos fuente asociados a las transacciones de entrada al
computador con los resultados generados por este, mientras que el procesamiento
realizado por la aplicación de computador es tratado como una caja negra (Braun &
Davis,2003). Para Smieliauskas & Bewley (2010), fue el primer enfoque utilizado
por los auditores, con la aparición del computador, y es adecuado su uso si los
controles y el sistema de información proporcionan suficiente evidencia visible. Es
el enfoque más simple de utilizar, en el cual se requieren bajos conocimientos en
TIC, sin embargo, no es un enfoque adecuado para evaluar la efectividad de los
controles en los sistemas de información.
La auditoría con el computador (Auditing with the computer), es asociado por
autores como Cerullo & Cerullo (2003) y Smieliauskas & Bewley (2010) con el uso
de software generalizado de auditoría (Generalized Audit Software, GAS), que
consiste en utilizar el computador para desarrollar labores en las diferentes fases
del ciclo de auditoría, y cuenta con desarrollos muy importantes en el campo del
análisis de datos, haciendo uso de diferentes aplicaciones, algunas especializadas
y otras que no tienen foco específico en auditoría, pero que cuentan con funciones
que apoyan alguna de sus fases. La auditoría con el computador, hace un uso más
intensivo de las herramientas tecnológicas que de las técnicas de auditoría
propiamente dichas. Dentro de esta categoría, pueden encontrarse desde suites
ofimáticas hasta herramientas especializadas en auditoría.
La auditoría a través del computador (Auditing through the computer), asociado
directamente por Smieliauskas & Bewley (2010) a las CAATT propiamente dichas,
está inscrito en las técnicas que requieren probar controles automatizados, consiste
en que el auditor evalúa la tecnología para determinar la confiabilidad de las
operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad
operacional de los controles relacionados con el computador, según aseguran
Louwers et al. (2011). A diferencia de los dos anteriores, las técnicas que hacen
parte de la auditoría a través del computador, tratan de permear la tecnología, para
evaluar los controles inmersos en esta y hace un uso más intensivo de las técnicas
que de las herramientas tecnológicas, las cuales pueden ser automatizadas por los
mismos auditores que cuenten con conocimientos profundos de tecnología, o con
el apoyo del área de tecnología de información, aunque en ocasiones no es muy
recomendable debido a la pérdida de independencia que puede generar.
En general todos los tipos de auditoría y todos los tipos de auditores pueden tomar
ventaja de las técnicas y herramientas de auditoría asistidas por computador para
ser más eficientes y efectivos (Senft & Gallegos, 2009).
3. La auditoría continúa. El paradigma de la auditoría basada en TIC
3.1.
Conceptos y aclaraciones.
La Auditoría Continua, también llamada auditoria continua en línea, tiene varias
acepciones en la literatura académica y profesional, sin embargo, la más reconocida
es la planteada en 1999, por el Instituto Americano de Contadores Públicos
Certificados (The American Institute of Certified Public Accountants (AICPA)) y el
Instituto Canadiense de Contadores Públicos (The Canadian Institute of Chartered
Accountants (CICA)) quienes la definen como una metodología para la emisión de
informes de auditoría simultáneamente, o un corto periodo de tiempo después de la
ocurrencia de los hechos relevantes (Searcy, Woodroof, & Behn, 2003).
Como complemento, existen dos definiciones alternas, que permiten dar una visión
más amplia de la Auditoría continua, para no limitarnos tan solo a la fase de
informes. La primera planteada por el Instituto de Auditores internos (IIA), a través
de su Guía de Auditoría de Tecnología Global número 3, quien la define como “Todo
método utilizado por los auditores para realizar actividades relacionadas con la
Auditoría en forma (más) continua. Es la secuencia de actividades que abarcan
desde la evaluación continua de control hasta la evaluación continua de riesgos”.
(Coderre, 2005,7)
Por su parte la Asociación de Control y Auditoría de Sistemas de Información
(ISACA), en la directriz número 42 de auditoría de sistemas de información, define
la Auditoría Continua como un método para llevar a cabo evaluación de riesgos y
controles, sobre una base más frecuente. Es un método que utiliza técnicas de
auditoría asistidas por computador que permite a los profesionales de auditoría
monitorear los riesgos y controles en forma continua. Este enfoque permite reunir
evidencia selectiva de auditoría a través del computador (ISACA, 2010).
Retomando los conceptos planteados previamente y a fin de contar con una
definición incluyente en cada una de las etapas de un ciclo de auditoría, se puede
afirmar que La Auditoría Continua es un proceso a través del cual los auditores (de
cualquier tipo) desarrollan su ciclo de auditoría de forma más oportuna y de manera
constante con el apoyo de las TIC, utilizando técnicas de auditoría concurrentes
para evaluar y monitorear permanentemente la ocurrencia de riesgos y el
incumplimiento de controles de aquellos procesos de negocio que utilizan de
manera intensiva las TIC para su desarrollo.
Concomitante con lo anterior, es necesario diferenciar el concepto de Auditoría
Continua con otros conceptos similares que en ocasiones generan confusión y que
es necesario delimitar para no incurrir en equivocaciones.
Inicialmente, el término Auditoría Continua es asociado indistintamente con
monitoreo continuo y aunque las técnicas y tecnologías empleadas son las mismas,
su principal diferencia radica en la propiedad de los procesos. La Auditoría Continua
es responsabilidad del área de auditoría, mientras que el monitoreo continuo es
responsabilidad de la administración o de los dueños del proceso.
De otro lado, términos como monitoreo continuo del control (Continuous Control
Monitoring –CCM-), aseguramiento continuo de datos (Continuous Data Assurance
–CDA-) y monitoreo y evaluación continuo del riesgo (Continuos Risk Monitoring
and Assessment –CRMA-), están estrechamente relacionados, y como lo plantea
Vasarhelyi, Alles, & Williams (2010), es un ciclo, como se puede apreciar en la figura
2, que inicia con la adecuada identificación, monitoreo y evaluación de riesgos
(CRMA), el cual requiere de un flujo constante de datos con ciertos criterios de
calidad, a través de procesos de aseguramiento (CDA), que permiten establecer
procesos de Monitoreo continuo del Control (CCM) en respuesta a los riesgos; y
dentro de este ciclo, la Auditoría Continua, juega un papel importante para
garantizar que estos tres componentes cumplan su función y puedan fluir para dar
respuesta oportuna a los eventos adversos que pueden ocurrir en una organización.
Figura 2. Principales Componentes de la Auditoría Continua
Fuente: (Vasarhelyi et al., 2010)
3.2.
Breve historia
De acuerdo con Blundell (2007), la Auditoría Continua(AC) no es un concepto
totalmente nuevo, ni tampoco es un concepto ampliamente implementado en las
organizaciones. El término AC, ha sido explorado en los círculos de auditoría interna
desde la década de los 70 (Heffes, 2006), pero fue tratado de manera específica,
por primera vez en 1975 por William Sprague en un artículo titulado “Interim
Financial reporting and continuous auditing” publicado en el CPA Journal (Murcia,
2008), aunque algunos autores plantean que los primeros papers publicados fueron
los de Groomer y Murthy en 1989 y los de Vasarhelyi y Halper en 1991(Kogan et
al., 2010).
Tanto la academia como el sector productivo, han sido impulsores permanentes de
la evolución de la Auditoría Continua. La comunidad académica a través de
múltiples
artículos
científicos
y
conferencias
divulgadas
en
congresos
internacionales, destacándose autores como Miklos Vasarhelyi (considerado el
padre de la Auditoría continua), Michael Alles , David Coderre, Alexander Kogan,
Huanzhuo Ye; Centros de investigación como el “Continuous Auditing & Reporting
Lab” (CARLAB) de la Universidad de Rutgers y eventos de difusión de avances y
experiencias en Auditoría continua como el “World Continuous Auditing and
Reporting Systems Symposium” desarrollado por la Universidad de Rutgers, a
través del CARLAB, algunos de los cuales han sido desarrollados en Latinoamérica,
en el marco de la International Conference on Information Systems and Technology
Management (CONTECSI) liderada por la Universidad de Sao Paulo. Por su parte
en el sector productivo, organizaciones como AT&T, Siemens, HCA y UNIBANCO
han sido pioneras en la implementación de procesos de Auditoría continua, hasta
las agremiaciones de profesionales de contadores y auditores a nivel internacional,
quienes han promulgado estándares y guías alrededor del tema.
Un resumen de los sucesos más significativos en el desarrollo y difusión de la
Auditoría Continua, desde sus inicios exploratorios en 1970, y que han marcado el
desarrollo de la Auditoría continua a nivel internacional se puede observar en la
figura 3.
Figura 3. Eventos destacados de la Auditoría Continua
Fuente: (Valencia Duque, 2012)
3.3.
Auditoría continua vs auditoría tradicional
Son diversas las fuentes que han planteado la existencia de un nuevo paradigma
de auditoría en un contexto cada vez más influenciado por las Tecnologías de
Información y Comunicaciones. Es así como (ACL, 2005) establece lo siguiente: La
Auditoría Continua modifica el paradigma de la auditoría, dejando de ser una mera
revisión de ejemplos de transacciones para transformarse en procedimientos
continuos de auditoría que evalúen el 100% de las transacciones, transformando la
naturaleza de las pruebas, el momento en que se las lleva a cabo, los
procedimientos y el nivel de esfuerzo.
En la siguiente tabla, se plantea un paralelo entre la Auditoría tradicional y la
Auditoría continua, desde 7 dimensiones.
Tabla 3. Paralelo entre la Auditoría Tradicional y la Auditoría Continua.
AUDITORÍA
TRADICIONAL
CONTINUA
1. FRECUENCIA
Periódica
Continua ó más frecuente
2. ENFOQUE
Reactivo
Proactivo
3. PROCEDIMIENTOS DE AUDITORÍA
Manuales
Automatizados
4. TRABAJO Y ROL DE LOS AUDITORES
La
mayor
parte
del
trabajo La mayor parte del trabajo realizado se
desarrollado está centrado y es centra en el manejo de excepciones y
intensivo en los procedimientos de procedimientos de Auditoría que requieren
Auditoría
el juicio humano
El papel del auditor externo se convierte en
Roles independientes del auditor el certificador del Sistema de Auditoría
interno y del auditor externo
Continua
5. NATURALEZA, OPORTUNIDAD Y ALCANCE
5.1. NATURALEZA
Las
pruebas
consisten
en Las pruebas consisten en monitoreo de
procedimientos de revisión analíticos controles continuo y aseguramiento de
y pruebas detalladas sustantivas
datos continuo
5.2. OPORTUNIDAD
Las pruebas de controles y las El monitoreo de los controles y las pruebas
pruebas detalladas se producen de detalladas ocurren simultáneamente
forma independiente
5.3. ALCANCE
Muestreo en las pruebas
La población entera se considera en las
pruebas
6. PRUEBAS
Pruebas
desarrolladas
por
personas
las El modelado de datos y el análisis de datos
son usados para monitorear y probar
7. INFORMES
Periódicos
Continuos o muy frecuentes
Fuente: (Chan & Vasarhelyi, 2011)
McNamee en
su texto “Risk Management: Changing the Internal Auditor´s
Paradigm” editado por el IIA Research Foundation, referenciado por (Texeira, 2009),
plantea dos paradigmas de Auditoría, llamadas simplemente Viejo y Nuevo
paradigma, caracterizando en este último, aspectos de la Auditoría continua, como
se puede observar en la siguiente tabla.
Tabla 4. Paralelo de dos paradigmas de la Auditoría Continua
ASPECTO
DE VIEJO PARADIGMA
NUEVO
AUDITORÌA
PARADIGMA
Foco de la Auditoría Control Interno
Riesgos de Negocio
Interna
Respuesta
de
la Reactiva,
Auditoría Interna
después
hechos,
de
los Proactiva, en tiempo
discontinua, real,
monitoreo
observadora de las iniciativas continuo, participante
del plan estratégico
en
los
planes
estratégicos
Evaluación de riesgos
Factores de riesgo
Planeamiento
de
escenarios
Pruebas de Auditoría
Controles Importantes
Riesgos importantes
Métodos de Auditoría
Énfasis en las pruebas de Énfasis
control detalladas y completas
en
importancia
la
y
el
alcance de que los
riesgos del negocio
estén cubiertos
Recomendaciones de Control
Auditoría
Interno: Gestión de Riesgos:
Fortalecimiento,
Evitar/diversificar
Costo/Beneficio,
riesgo
Eficiencia/Eficacia
Compartir/Transferir
el riesgo
el
Controlar/Aceptar
el
riesgo
Informes de Auditoría
Dirigida
a
los
funcionales
Papel
Interno
del
Auditor Función
en
de los procesos.
de
la Independiente.
Organización
controles Dirigida a los riesgos
Evaluación Integración
de
la
gestión de riesgos en
el
gobierno
de
la
organización
Fuente: (Texeira, 2009)
Por último, (Chan & Vasarhelyi, 2011) plantean tres componentes estructurales,
en el análisis de la Auditoría continua, frente a la tradicional: la naturaleza, el tiempo
y la extensión de las pruebas. Con respecto a la naturaleza, plantean los autores
que, en una Auditoría tradicional, el control es manual y las pruebas sustantivas
detalladas son desarrolladas periódicamente para evaluar las afirmaciones de la
administración. Por el contrario en la Auditoría continua, el monitoreo del control es
continuo y automatizado y se requiere un aseguramiento continuo de los datos. En
lo que respecta al tiempo, generalmente en la Auditoría tradicional las pruebas de
control interno ocurren en la planeación y las pruebas sustantivas detalladas ocurren
en la fase de trabajo de campo de la Auditoría. Por el contrario, el monitoreo de los
controles internos y las pruebas de los datos de las transacciones ocurren
simultáneamente en un ambiente de Auditoría continua. En lo atinente a la extensión
de las pruebas, en una Auditoría tradicional, se usa el muestreo, debido a lo
intensivo en tiempo y mano de obra que requieren las pruebas. En contraste, una
auditoria continua considera a toda la población de transacciones en el monitoreo y
las pruebas.
4. Propuesta de una metodología integrada de Auditoría Continua.
Se han desarrollado a través del tiempo diversas formas de llevar a cabo una
Auditoría Continua, denominados por diferentes autores como modelos,
metodologías, esquemas o casos, como se puede observar en la tabla 5. Muchos
de ellos son modelos teóricos, otros están orientados a presentar experiencias de
implementación en organizaciones, y otros son guías de orientación formuladas por
las principales organizaciones que agrupan los auditores y contadores a nivel
internacional.
Tabla 5. Modelos, guías, esquemas y casos de Auditoría Continua
Año
1989
1991
2001
2002
2002
2003
2004
2004
2005
2005
2005
2005
2006
Modelo/Guía/Esquema/Caso de Auditoría Continua
Modelo de Groomer and Murthy
CPAS –The Continuous Process Auditing System
Modelo Woodroof
Modelo Rezaee
Auditoría continua en el gobierno Chino
Modelo Onions
Hospital corporation of America (HCA).
A continuous auditing web services model for XML-based accounting
systems
Model for Transaction-based continuous auditing
Modelo RCMP
Modelo IIA
Embedded Audit Modules in ERP Systems: Implementation and
Functionality
Modelo CMBPC
2007 Continuous Auditing From a Practical Perspective
2007 Continuous Auditing Model in the context of independent audits.
A Theoretical and Technical Model of an external Continuous Auditing
2007 System
A Theoretical and Technical Model of an external Continuous Auditing
2007 System
2008 Modelo WSCAM
2008 AUDIT SERVER
2008 On Application of SOA to Continuous Auditing
CAIMOR – Continuous Auditing Immune Model based on Object-Oriented
2010 Rule base
2010 Six Steps to an Effective Continuous Audit Process
2010 Auditoría Continua: Mejores Prácticas y Caso Real
2010 G42 CONTINUOUS ASSURANCE
2010 Modelo del Instituto de Contadores Pùblicos de Australia
2011 Modelo CRCA (Continuous Risk and Control Assurance)
2011 Innovation and practice of continuous auditing
2011 Metodología Mainardi
2013 The Predictive Audit Framework
2014 Guía para implantar con éxito un modelo de Auditoría Continua
Fuente: Elaboración propia.
Y son precisamente estas últimas las que servirán de base para la construcción de
una metodología integrada que permita desarrollar un proceso de Auditoría
Continua basado en la homogeneización de las principales fases y actividades
propuestas por las principales entidades que agrupan a auditores y contadores de
todo el mundo: El Instituto de Auditores Internos (IIA global), La Asociación de
Control y Auditoría de Sistemas de Información (ISACA), El Instituto de Contadores
Públicos de Australia (The Institute of Chartered Accountants in Australia) y se ha
incluido el Instituto de Auditores Internos de España, con su reciente publicación
de la Fabrica del pensamiento.
El Instituto de Auditores Internos (IIA) en 1995 como parte de sus guías de Auditoría
de Tecnología, difundió la guía número 3, denominada “Continuous Auditing:
Implications for Assurance, Monitoring, and Risk Asessment” cuyo resumen se
puede observar en la tabla 6, y a través de la cual se identifica qué se debe hacer
para lograr un uso eficaz de la tecnología a favor de la Auditoría Continua. Esta guía
se encuentra actualmente en proceso de actualización y está disponible para los
profesionales de Auditoría afiliados al IIA.
Tabla 6. Pasos clave del modelo de Auditoría Continua del Instituto de Auditores
Internos.
1. OBJETIVOS DE LA AUDITORÍA CONTINUA
1.1.
Definir los Objetivos de Auditoría Continua
1.2.
Obtener y gestionar el respaldo de la alta dirección
1.3.
Determinar el grado en que la dirección está cumpliendo su función
de supervisión
1.4.
Identificar y establecer prioridades entre las áreas a abordar y los
tipos de Auditoría Continua a realizar
1.5.
Identificar sistemas de información clave y fuentes de datos
1.6.
Comprender los sistemas de aplicación y los procesos
subyacentes de negocio
1.7.
Desarrollar relaciones con la gestión de TI
2. USO Y ACCESO A DATOS
2.1.
Seleccionar y adquirir herramientas de análisis
2.2.
Desarrollar capacidades de acceso y análisis
2.3.
Desarrollar y mantener técnicas y habilidades de análisis del
auditor.
2.4.
Evaluar la integridad y fiabilidad de los datos
2.5.
Depurar y preparar los datos
3. EVALUACIÓN CONTINUA DE RIESGOS
3.1.
Definir las entidades a evaluar
3.2.
Identificar categorías de riesgos
3.3.
Identificar indicadores de riesgo/desempeño controlados por datos
3.4.
Diseñar pruebas analíticas para medir mayores niveles de riesgo
4. EVALUACIÓN CONTINUA DEL CONTROL
4.1.
Identificar puntos de control críticos
4.2.
Definir reglas de control
4.3.
Definir excepciones
4.4.
Diseñar un enfoque tecnológico para pruebas de control y para
identificar deficiencias.
5. INFORMAR Y GESTIONAR RESULTADOS
5.1.
Establecer prioridades y determinar la frecuencia de las actividades
de Auditoría Continua
5.2.
Ejecutar pruebas de manera regular y oportuna
5.3.
Identificar deficiencias de control o mayores niveles de riesgo
5.4.
Establecer prioridades entre los resultados
5.5.
Iniciar la respuesta de auditoría correspondiente e informar los
resultados a la dirección
5.6.
Gestionar resultados (rastreo, informe, supervisión y seguimiento)
5.7.
Evaluar los resultados de las acciones implementadas
5.8.
Supervisar y evaluar la eficacia del proceso de Auditoría Continua
(tanto el análisis, por ejemplo, reglas e indicadores, como los resultados
obtenidos) y modificar los parámetros de pruebas, según sea necesario.
5.9.
Garantizar la seguridad del proceso de Auditoría continua y
asegurar que existan las vinculaciones correspondientes con las
iniciativas de dirección, como por ejemplo, la ERM, la supervisión y
medición del desempeño.
Fuente: (IIA, 2005b)
La Asociación de Control y Auditoría de Sistemas de Información (ISACA), liberó en
el año 2010, como parte de sus guías de auditoría, la guía 42 denominada
“Continuous Assurance” cuyo resumen se puede observar en la tabla 6, a través de
la cual se pretende dar orientaciones a los profesionales en Auditoría, Control y
Gobierno
de
Tecnologías
de
Información
alrededor
de
la
planeación,
implementación y monitoreo de los procesos y sistemas de aseguramiento continuo
en una empresa. Es importante recordar que ISACA promulga tres tipos de
documentos que orientan la función del auditor de sistemas: los estándares, los
cuales son obligatorios en el cumplimiento de la función de Auditoría de sistemas
(en especial para el auditor que cuenta con la certificación internacional CISA); las
guías o directrices, las cuales proporcionan asesoría y apoyo en la aplicación de los
estándares de Auditoría de sistemas; y los Procedimientos, proporcionan ejemplos
de procedimientos que puede seguir un Auditor de Sistemas para cumplir con los
estándares.
Tabla 7. Fases de la Auditoría Continua de acuerdo a ISACA
1. Priorizar las áreas a cubrir y seleccionar un enfoque adecuado de Auditoría
Continua la disponibilidad de personal clave del cliente.
2. Asegurar
3. Seleccionar la herramienta de análisis adecuada, estas podrían ser rutinas
escritas en la empresa o software proporcionado por un proveedor.
4. Desarrollar rutinas de Auditoría Continua para evaluar controles e identificar
las deficiencias.
5. Determinar la frecuencia de la aplicación de rutinas de Auditoría Continua.
6. Definir los requisitos de salida.
7. Desarrollar un proceso de reportes.
8. Establecer relaciones con la línea relevante y la gestión de TI.
9. Evaluar la integridad de los datos y preparar los datos.
10. Determinar las necesidades de recursos, es decir, el personal, el ambiente
de procesamiento (instalaciones de la empresa de TI o instalaciones de la
auditoría de TI).
11. Entender la medida en la cual la administración está llevando a cabo su
función de supervisión (monitoreo continuo).
Fuente: (ISACA, 2010)
El Instituto de Contadores Públicos de Australia (The Institute of Chartered
Accountants in Australia) liberó en Julio de 2010, un documento titulado “Continuous
Assurance for the Now Economy” cuyo objetivo, como lo plantea en su prólogo, es
promover la discusión sobre el aseguramiento continuo como un concepto, y en
donde no solo las profesiones de contador y auditor se encuentran involucrados,
sino otras instancias tales como los organismos de normalización, los reguladores,
los usuarios gubernamentales y demás stakeholders relacionados con este
concepto.
Figura 3. Fases de Auditoría Continua, de acuerdo al Instituto de Contadores
Públicos de Australia.
Fuente: (Vasarhelyi et al., 2010, 59)
Por último, el Instituto de Auditores Internos de España, en Octubre de 2014 dio a
conocer a través de su programa “La Fábrica del Pensamiento” un documento
titulado “Guía para Implantar con éxito un modelo de Auditoría Continua” donde se
presenta a la comunidad de auditores un esquema de implementación del modelo
de Auditoría continua de acuerdo a la cultura de cada entidad.
Tabla 8. Fases de Auditoría Continua de acuerdo al Instituto de Auditores Internos
de España.
1.1.
1.2.
1.3.
1.4.
1.5.
2.1.
2.2.
1. Arranque del Proyecto
Definición de Objetivos
Estrategia de desarrollo de indicadores
Impactos en la organización
Costes y Presupuesto
Presentación del proyecto a la Dirección
2. Diseño de la plataforma
Arquitectura Inicial
Indicadores iniciales, parámetros y pesos
1. Arranque del Proyecto
2.3. Herramienta Comercial/Desarrollo Interno
3. Desarrollo
3.1. Atributos de la Información Recopilada
3.2. Desarrollo de la plataforma/ Adaptación herramienta comercial
3.3. Conexión con aplicaciones/repositorios
3.4. Conexión con otras herramientas
3.5. Gestión de incidencias
3.6. Pruebas
4. Despliegue
4.1. Implantaciòn
4.2. Comunicación a la Organización
4.3. Análisis tras el despliegue - Factores de éxito y fracaso.
5. Administración de la plataforma
6. Medición de la rentabilidad
7. Cambios en el Área de Auditoría Interna
Fuente: (Instituto de Auditores Internos de España, 2014a)
4.1.
Armonización de los modelos de Auditoría Continua.
La Auditoría Continua se integra al proceso de auditoría en todos sus aspectos,
desde el desarrollo y mantenimiento del plan de auditoría empresarial, hasta la
realización y el seguimiento de auditorías específicas (Coderre, 2005), de allí que la
armonización de las guías de Auditoría Continua propuestas por las organizaciones
antes mencionadas, pretende establecer los elementos comunes alrededor de las
fases generalmente aceptadas de auditoría, a fin de realizar una aproximación a un
guía genérica que integre los elementos generalmente propuestos en cada uno de
ellos y disminuya la complejidad para el área de auditoría de atender varios modelos
al momento de emprender el proceso de implementación.
Para lograrlo, se llevará a cabo la siguiente metodología:
-
Definición del modelo base
-
Análisis de cada una de las actividades propuestas por las diferentes guías
-
Relación de cada actividad con el modelo base
-
Conteo número de veces en que se presenta la actividad en los modelos de
referencia.
-
Estimación porcentual del número de veces en que se presenta la actividad,
sobre el número de modelos objeto de análisis.
El resultado del cálculo porcentual, es lo que denominaremos índice de cohesión,
cuyo significado determina la similitud metodológica que tienen en general todos los
modelos, con el modelo base de referencia y que servirá de base para establecer la
metodología de Auditoría Continua a proponer.
Estos valores utilizarán como base de interpretación, la escala de calificación
planteada por (Pino, Baldassarre, Piattini, & Visaggio, 2010) dada la similitud del
proceso y se complementará con su significado en función de la inclusión o no en
el modelo de referencia y la asignación de colores a cada nivel para una
visualización más amigable, como se puede apreciar en la tabla 8.
Tabla 9. Niveles de valoración del índice de cohesión de los modelos.
Nivel
Rango del índice
Nivel de
Decisión de
de cohesión
relacionamiento
inclusión como
parte del modelo.
MUY ALTO
ALTO
PARCIAL
86-100%
51-85%
21-50%
Fuertemente
Incluir como parte
relacionado
del modelo.
Relacionado en gran Incluir como parte
medida
del modelo.
Parcialmente
Incluir como parte
relacionado
del modelo.
DEBIL
SIN
1-20%
0%
Débilmente
No
Incluir
relacionado
parte del modelo.
No relacionado
No
Incluir
como
como
parte del modelo.
Fuente: Elaboración propia.
Una vez confrontados los 4 modelos guía de Auditoría Continua, los resultados por
son los siguientes:
ETAPA
FASE
1.1.Definición
de
personal,
recursos clave y gestión de
1.Definición de
competencias del auditor
Recursos y
Análisis de Costos 1.2.Evaluación de costos y
beneficios
2.1.Obtener el respaldo de la alta
dirección
2.Relaciones con 2.2.Estado actual del monitoreo
la Administración continuo
2.3.Desarrollar relaciones con la
gestión de TI
3.Plan Anual de
Auditoría
3.1.Establecer áreas prioritarias
4.1.Comprender los procesos de
negocio
4.2.Definición de Objetivos y
alcance de Auditoría Continua
4.3.Identificar
Riesgos
e
Indicadores de Riesgo
4.4.Identificar
Controles
e
Indicadores de Control
4.5.Identificar
y Comprender
4.Planeación
Sistemas de Información clave
Detallada
4.6.Conocer y comprender las
fuentes de datos
4.7.Conexión
con
aplicaciones/repositorios
4.8.Depurar y preparar los datos
4.9.Desarrollar rutinas de auditoría
para evaluar controles e identificar
ocurrencia de riesgos
Índice de
cohesión
Nivel de
relación
Parcial
50%
Parcial
50%
Alto
75%
Parcial
50%
Parcial
50%
Alto
75%
Parcial
50%
Alto
75%
Alto
75%
Parcial
50%
Parcial
50%
Parcial
50%
Parcial
25%
50%
50%
Parcial
Parcial
4.10.Determinar la frecuencias de
los procesos
4.11.Seleccionar
y
adquirir
herramientas de análisis
5.1.Configurar los parámetros de
aseguramiento continuo
5.Ejecución
5.2.Ejecutar pruebas de manera
regular y oportuno para identificar
excepciones
6.1.Supervisar permanentemente
los Resultados de Auditoría
6.Comunicación Continua (Identificar desviaciones
de Resultados
o deficiencias de control)
6.3.Informar a la Dirección
7.1.Seguimiento
a
la
implementación de las acciones
recomendadas
7.Seguimiento
7.2. Garantizar la continuidad del
proceso de Auditoría Continua.
Índice promedio de cohesión
Alto
75%
Alto
75%
Parcial
25%
Parcial
50%
Alto
75%
100%
Muy Alto
Parcial
50%
Parcial
50%
58%
Alto
En resumen, el índice promedio de cohesión de las diferentes etapas y fases de los
4 modelos de auditoría analizados es de un 58%, lo que representa un nivel de
cohesión alto, de acuerdo a los parámetros establecidos para tal fin, lo que permite
establecer un modelo aplicable a cualquier organización, respaldado por las guías
de las principales organizaciones que agrupan profesionales de auditoría y
contaduría a nivel internacional.
4.2.
Aspectos relevantes a tener en cuenta en algunas fases del modelo
de Auditoría Continua integrado.
Si bien el objetivo del presente ensayo, no es presentar en detalle cada una de las
etapas y fases del modelo de Auditoría Continua integrado resultante, sino
demostrar el valor que puede llegar a agregar la Auditoría Continua para la función
de auditoría en su búsqueda de competitividad y pertinencia, y para la organización
en general, es necesario para el propósito del ensayo resaltar y explicar algunos
aspectos que a juicio del autor son importantes tener en cuenta al momento de llevar
a la práctica este modelo. Entre ellos se encuentran los siguientes:
4.2.1. Recursos clave para la Auditoría Continua
La norma 2030 Administración de recursos del IIA establece que el director
ejecutivo de auditoría debe asegurar que los recursos de auditoría son apropiados,
suficientes y eficazmente asignados para cumplir con los planes de auditoría, lo que
incluye una mezcla adecuada de conocimientos, aptitudes y otras competencias
requeridas.
Es necesario, que el área de auditoría, además de los recursos
tradicionales con que cuenta para desarrollar su labor y de acuerdo a su nivel de
madurez y a su disponibilidad de recursos financieros, incorpore plataformas y
herramientas tecnológicas especializadas que faciliten la labor de Auditoría
Continua, en especial herramientas de software, que pueden ir
desde
complementos de las herramientas ofimáticas tradicionales tales como Power pivot
pasando por software especializado en análisis de datos (ej. ACL, IDEA….) que si
bien no cumple la labor específica de Auditoría Continua, puede ser el inicio del
proceso; hasta llegar a las herramientas especializadas en Auditoría Continua (ej.
Caseware monitor, ACL Auditexchange…), siendo estas últimas las más costosas
del mercado.
4.2.2. Competencias del auditor para afrontar los retos de la Auditoría
Continua
Los auditores requieren contar con las competencias necesarias para desarrollar la
Auditoría Continua en la organización, lo que implica además de claridad conceptual
y metodológica en el tema, requiere contar con competencias tecnológicas para
desarrollar el proceso.
De acuerdo con el IIA (2005a), el Comité Internacional de Tecnología Avanzada del
IIA, ha identificado tres categorías de conocimiento de TIC para los auditores
internos:
Categoría 1: Todos los Auditores: Es el conocimiento de TIC necesario para todos
los auditores profesionales, desde las nuevas incorporaciones hasta el director de
auditoría interna. El conocimiento de TIC abarca entender conceptos, como las
diferencias en el software usado en aplicaciones, sistemas operativos y software de
sistemas y redes. Esto implica entender los componentes básicos de seguridad de
TI y de control, tales como seguridad perimetral, detección de intrusos, autenticación
y controles de los sistemas de aplicación. El conocimiento básico incluye entender
cómo los controles de negocio y los objetivos de aseguramiento pueden verse
afectados por vulnerabilidades en las operaciones de negocio y lo relacionado con
los sistemas de soporte y los componentes de redes y datos.
Es fundamental asegurar que los auditores tienen suficiente conocimiento para
centrarse en el entendimiento de los riesgos de TI, sin necesariamente tener
conocimientos técnicos significativos.
Categoría 2: Supervisores de Auditoría: Se aplica al nivel de supervisión de
auditoría. Además de tener el conocimiento básico en TIC, los supervisores de
auditoría deben entender los aspectos y elementos de TIC, de forma suficiente para
considerarlos en las tareas de auditoría de planificación, pruebas, análisis, informe
y seguimiento y en la asignación de las habilidades de los auditores a los proyectos
de auditoría. Esencialmente, el supervisor de auditoría debe:

Entender
las
amenazas
y vulnerabilidades
asociadas
a
procesos
automatizados de negocio.

Entender los controles de negocio y la mitigación del riesgo que debe ser
proporcionada por la TIC.

Planificar y supervisar las tareas de auditoría para considerar las
vulnerabilidades y los controles relacionados con la TIC, así como la eficacia
de la TI en la provisión de controles para las aplicaciones y entornos de
negocio.

Asegurar que el equipo de auditoría tiene competencia suficiente, incluidas
las habilidades en TIC, para las tareas de auditoría.

Asegurar el uso eficaz de las herramientas de TIC en los trabajos de auditoría
y en las pruebas.

Aprobar los planes y las técnicas para probar los controles y la información.

Evaluar los resultados de las pruebas de auditoría para evidenciar las
vulnerabilidades o debilidades de control de la TIC.

Analizar los síntomas detectados y relacionarlos con las causas que pueden
tener su origen en el negocio o en la misma TIC, como planificación,
ejecución, operaciones, gestión de cambios, autenticación, u otras áreas de
riesgo.

Proporcionar recomendaciones de auditoría basadas en los objetivos del
aseguramiento del negocio, centrándose en los orígenes de los problemas
observados, más que en divulgar simplemente los problemas o los errores
detectados.
Categoría 3: Especialistas en Auditoría Técnica de TIC: Esta categoría aplica al
especialista en auditoría de sistemas. Aunque los auditores de TIC pueden
funcionar a nivel de supervisión, deben entender la tecnología subyacente que
respalda a los componentes del negocio y estar familiarizados con las amenazas y
vulnerabilidades asociadas a las tecnologías. Los auditores de TI también pueden
especializarse en ciertas áreas de la tecnología.
Son los auditores los que pueden impulsar la Auditoría Continua en la organización
y ello depende en gran medida de las competencias que en el ámbito tecnológico
posean cada uno de los integrantes del equipo de auditoría.
4.2.3. Los beneficios de la Auditoría Continua
La relación costo beneficio, siempre presente en las diferentes actividades de
gestión de una organización, no es ajena a la Auditoría Continua, y si bien los costos
de formación y actualización del personal de auditoría, sumados a los costos
tecnológicos pueden llegar a ser representativos, los beneficios obtenidos serán
muy superiores en el mediano y largo plazo.
Los beneficios de la Auditoría Continua, como complemento de la labor tradicional
de auditoría son múltiples, y muchos de ellos ya se han mencionado a lo largo del
documento, sin embargo a efectos de compilar algunos de los más significativos se
enuncian a continuación los siguientes:
Tabla 10. Cinco (5) formas de agregar valor de la Auditoría Continua
1. La ubicuidad del auditor
El tiempo y espacio son dos variables que condicionan la función de auditoría. En
este sentido la Auditoría Continua, una vez consolidada, permite que las tareas
de auditoría se logren realizar en menor tiempo, obteniendo una mayor cobertura
y una menor repitencia del proceso auditor, por el mayor nivel de efectividad en
la identificación de riesgos y en la detección del incumplimiento de controles. De
igual forma, el poder hacer presencia de forma simultánea en diferentes partes de
la organización, sin necesidad de la presencia física del auditor, hace de la
Auditoría Continua una potente herramienta de expansión de la función de
aseguramiento.
2. Incremento de la efectividad del control
La esencia del proceso auditor es evaluar la efectividad de los controles internos,
y aunque esta labor se está cumpliendo, de acuerdo a lo establecido por PWC
(2014) donde establece que el 80% de los directivos consideran que esta labor
se está cumpliendo, es menos cierto el tiempo en el cual perdura la efectividad
del control, la cual se atenúa con el tiempo, sufriendo altibajos de acuerdo a la
periodicidad de su revisión y a la tipología de control, como se puede observar en
la Figura 3. La Auditoría Continua incrementa la efectividad de los controles, dada
la tipología del control su frecuencia de revisión y la garantía que proporciona un
control automático que no depende de una persona en particular.
Figura 1. Jerarquía de Controles. Desde la detección manual hasta la
prevención automatizada
Fuente: Traducido de (Klein Tank, 2011)
3. Un auditor más analítico
El auditor debe dejar de ser un profesional que dedica una gran parte de su
tiempo a labores operativas, enfocadas en la búsqueda de evidencia que permita
respaldar sus hallazgos de auditoría a ser un profesional más analítico que sea el
constructor de un control con mayor perdurabilidad, haciendo uso de su
experiencia y delegando muchas de sus labores operativas a la Tecnología. Para
ello debe mejorar sus competencias, incorporando no solo adecuados esquemas
de identificación de riesgos en la estrategia de auditoría orientada a riesgos, sino
en tener capacidades para el análisis de datos, lo que es corroborado por la
encuesta de PWC (2014) donde establece como una de las áreas en las que se
espera mayor participación por parte de los Auditores internos en “Big data y
análisis de datos empresariales” con un 71.5% en promedio .
Un estudio reciente llevado a cabo por Lombardi, Bloch, & Vasarhelyi (2014),
producto del consenso entre expertos, utilizando el método Delphi, en un periodo
de seis (6) meses, concluye entre otros aspectos, “La automatización puede ser
utilizada para tareas más tediosas, de manera que los auditores puedan usar su
juicio experto para asuntos más apremiantes”(p. 29).
4. Disminución de la latencia entre los procesos organizacionales y los
procesos de control
La Auditoría continua disminuye la latencia existente entre el momento en que
ocurre un evento adverso en la organización y el momento en que es detectado
por el auditor.
5. Incremento del autocontrol
Para explicar la forma como la Auditoría Continua aporta al autocontrol, se acudirá
a una teoría desarrollada por el filósofo Jeremy Bentham, quien en 1791 acuño el
término Panóptico, pensado inicialmente para reducir el costo de operación de las
cárceles británicas. El propósito de dicha teoría era la observación de los presos
de una cárcel que superaban en número a los vigilantes de ésta, desde un punto
único sin que estos se dieran cuenta. Una analogía interesante para explicar el
autocontrol, si se tiene en cuenta que la implementación de la Auditoría Continua,
provee un efecto panóptico sobre el control, al poder observar desde un punto
único (la tecnología de Auditoría Continua) las acciones que desarrolla la
administración, sin que estos se den cuenta. Sin embargo si se divulga la
existencia de controles embebidos que están monitoreando constante los
procesos organizacionales, seguramente aquellas personas que deseen cometer
un fraude o incumplir reglas de control se inhibirán y ejercerán el autocontrol.
Como ejemplo de aplicación de este concepto, se puede acudir a los
comparendos electrónicos, a través de los cuales los organismos de transito
instalan cámaras en sitios estratégicos de la ciudad para detectar en línea y de
forma electrónica aquellos infractores de tránsito, quienes al momento de conocer
la ubicación de las cámaras en los diferentes puntos de la ciudad, se inhiben de
cometer la infracción, por el comparendo que ello genera, creando conciencia e
incrementando el autocontrol en los conductores.
4.2.4. Plan Anual de Auditoría continua
El plan anual de Auditoría Continua hace parte del plan anual de auditoría que debe
elaborar la función de auditoría interna, y no es que sea otro plan independiente, es
parte del plan, tal como lo promulga el numeral 5 del consejo para la práctica 23204 sobre aseguramiento continuo del IIA, donde establece: ”el plan anual de auditoría
debe identificar áreas potencialmente sujetas a Auditoría Continua”(IIA, 2013,1).
Un aspecto importante a considerar en esta fase es tratar de iniciar con un proyecto
de Auditoría Continua, cuyos procesos hubieren sido auditados de forma tradicional
previamente, y que hayan sufrido alguna transformación, debido a su
automatización o informatización, dado el conocimiento que ya se tiene del proceso,
de sus riesgos y de sus controles.
Para cumplir con este propósito se requiere establecer los criterios de Auditoría
Continua para ser parte del plan, y si bien esto es propio de cada organización, se
recomienda tener en cuenta las siguientes variables, además de las que son propias
del plan anual de auditoría : nivel de automatización del proceso sujeto de control,
nivel de importancia del proceso, nivel de importancia del riesgo, experiencia previa
en la auditoría del proceso (como una alternativa evolutiva de los procesos
actuales).
4.2.5. Identificación de los riesgos, controles y sus respectivos KRI y KCI
Siendo coherentes con el actual enfoque de auditoría, y dado que ya es una práctica
generalizada por parte de la comunidad de auditores, se toma como base el enfoque
RBA (Risk Based Approach), ello lleva a identificar los riesgos relacionados y la
identificación a partir de ellos de los KRI (Key Risk Indicators) o indicadores claves
de riesgo, definido de forma general por el comité de organizaciones patrocinadoras
de la comisión Treadway (COSO) a través de (Beasley, Branson, Hancock, &
Landes, 2010) como métricas usadas por las organizaciones para proveer una señal
temprana de incremento de la exposición al riesgo en varias áreas de la empresa;
y definidos desde una perspectiva financiera por (Delfiner & Pailhé, 2008) como
variables de carácter financiero u operacional que ofrecen una base razonable para
estimar la probabilidad y severidad de uno o más eventos de riesgo operacional.
Los KRI tienen una cualidad muy específica que ningún otro programa de riesgo
operacional ofrece y es información sobre la exposición al riesgo en “tiempo real”,
similar a la forma en que el combustible, la presión de aceite, los indicadores de
temperatura del motor y el velocímetro de un coche proporcionan información vital
acerca de la seguridad en un viaje por carretera, y los KRI son el único mecanismo
de gestión para obtener información en tiempo real, necesaria para realizar los
ajustes cuando se requieran. Esto es esencial para el logro de los objetivos de
negocio y la seguridad de la organización (KRIEX, 2015). Lo anterior conlleva a que
los KRI deben estar asociados a datos que son gestionados por sistemas de
información.
Uno de los sectores que más ha desarrollado este tema es la industria bancaria,
quienes a través una iniciativa denominada “KRI Library and Services” reúne
información referida a KRI de las entidades participantes, y cuyo marco de
referencia y KRI’s puede ser consultada en http://www.kriex.org/.
En general existen dos tipos de KRI, predictivos y detectivos, los primeros están
basados en información histórica y modelos de regresión y correlación que pueden
generar tendencias a través del cual se generarán las alarmas respectivas, de
acuerdo a los umbrales definidos. Los KRI detectivos son más puntuales y están
basados en el aspecto puntual que genera la alarma bajo el umbral definido.
Con respecto a los controles, es importante tener en cuenta que el control es una
variable dependiente del riesgo, es decir, la razón de ser de los controles es aportar
en la mitigación del riesgo, por lo tanto se deben identificar los controles, con base
en los riesgos y a partir de los controles identificar los KCI (Key Control Indicators)
definidos como indicadores que miden el posible incumplimiento de un control, de
forma tal que el deterioro de una KCI puede indicar un incremento en la probabilidad
o impacto de un riesgo.
4.2.6. Diseño y desarrollo de rutinas de auditoría para evaluar controles e
identificar ocurrencia de riesgos.
Para el diseño de las rutinas de auditoría que se implementaran sobre el sistema
objeto de análisis, existen dos métodos tradicionalmente usados en los diferentes
modelos de Auditoría Continua: el primero denominado Módulos embebidos de
auditoría (EAM por sus siglas en inglés, de Embedded Audit Modules) y el segundo
como una capa de monitoreo y control externa denominada (MCL por sus siglas en
inglés, de Monitoring and Control Layer).
El método de módulos embebidos de auditoría (EAM), consiste en insertar código
de control en el sistema de información que soporta el proceso de negocio que es
objeto de auditoría, el cual se puede albergar como parte del código del sistema de
información o en la capa de base de datos en el cual se soporta el sistema de
información.
La Capa de Monitoreo y Control es una solución de software independiente, no
integrada con el sistema de información, para lo cual se usa middleware para extraer
datos y realizar análisis, frente a unas reglas previamente definidas (Best,
Rikhardsson, & Toleman, 2009), este enfoque surgió como una alternativa a EAM,
propuesto por una gran cantidad de modelos. Este tipo de técnica, es un módulo de
software que opera de forma independiente al sistema objeto de monitoreo.
La selección de uno u otro método depende del nivel de acceso que podemos tener
al sistema de información, de la disponibilidad del código fuente y del tipo de equipo
auditor con que se cuenta. Sin embargo, el método más utilizado actualmente por
la arquitectura con la cual se construyen los sistemas de información y por las
complejidades de diversa índole, que conlleva acceder al código fuente de una
aplicación, en cualquier organización, es el MCL.
5. Conclusiones
El ensayo pone de manifiesto los planteamientos realizados por diferentes estudios
acerca de los retos y expectativas que generan las Tecnologías de Información y
Comunicaciones para agregar valor a la función de auditoría. En contraste se realiza
una breve retrospectiva de las normas y las posiciones académicas acerca de cómo
las TIC han venido siendo incorporadas en la función de auditoría, para finalmente
y una vez establecidas las bases de lo que es considerado por algunos autores
como el nuevo paradigma de auditoría, proponer un modelo de Auditoría Continua
que integre las 4 guías de auditoría continua propuestas por el IIA global, ISACA, el
Instituto de Contadores públicos de Australia y el Instituto de Auditores Internos de
España, con el fin de presentar un modelo guía unificado que facilite la labor de las
áreas de auditoría, ante la proliferación de modelos, y pueda agregar el valor
esperado y la integración entre la auditoría continua y el monitoreo continuo, con el
efecto panóptico esperado.
A partir de esta integración de conceptos se puede concluir lo siguiente:
1. La sociedad moderna impone constantemente la necesidad de cambios,
cambios innovadores que agreguen valor y que se ajusten a las realidades
que impone el medio a las organizaciones, y la Auditoría Continua es uno de
esos cambios necesarios y requeridos que adecuadamente implementados
y de manera progresiva, llevarán a la función de auditoría a agregar valor y
alinearse con los retos tecnológicos que afrontan las organizaciones.
2. El futuro de la auditoría depende en gran medida del aprovechamiento del
poder de la tecnología, y el concepto de Auditoría Continua explota al máximo
las posibilidades que proporciona la tecnología, sin embargo, se debe
concebir como una forma alterna y a la vez complementaria de la auditoría
tradicional, concebida no simplemente como una serie de técnicas modernas
basadas
en
tecnología,
sino
como
un
concepto
que
potencia
tecnológicamente todas las fases de auditoría.
3. La auditoría continua debe ser concebida como un modelo complementario
y no sustituto de la auditoría tradicional, por lo que puede ser incorporado
como parte del Plan Anual de Auditoría que desarrolla cualquier
organización.
4. Existe un alto nivel de integración entre las cuatro (4) guías de auditoría
continua propuestas por las entidades que sumados sus miembros
representan la mayor cantidad de profesionales de auditoría en el mundo, y
como tal la guía final puede ser aplicada, con la garantía que integra las
mejores prácticas de Auditoría Continua.
5. La búsqueda del autocontrol puede avanzar a partir del efecto panóptico
esperado que representa la implementación de la Auditoría Continua y su
integración al monitoreo continuo.
BIBLIOGRAFIA.
ACL. (2005). Auditoría permanente: Implicancias para el aseguramiento, el
monitoreo y la evaluación de riesgos.
Baksa, R., & Turoff, M. (2010). The Current State of Continuous Auditing and
Emergency Management ’ s Valuable Contribution. In 7th International ISCRAM
Conference (pp. 1–10).
Beasley, M. S., Branson, B. C., Hancock, B. V, & Landes, C. (2010). Developing Key
Risk Indicators To Strengthen Enterprise Risk Management. Risk Management.
COSO. Retrieved from http://www.coso.org/documents/COSOKRIPaperFullFINALforWebPostingDec110.pdf
Best, P. J., Rikhardsson, P., & Toleman, M. (2009). Continuous Fraud Detection in
Enterprise Systems through Audit Trail Analysis. Journal of Digital Forensics,
Security and Law, 4(1), 39–61.
Blundell, A. (2007, July). Continuous auditing technologies and models. Computers
& Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved
from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964
Braun, R. L., & Davis, H. E. (2003). Computer-assisted audit tools and techniques:
analysis and perspectives. Managerial Auditing Journal, 18(9), 725–731.
doi:10.1108/02686900310500488
Cerullo, M. V., & Cerullo, M. J. (2003). Impact of SAS No. 94 on Computer Audit
Techniques. Information Systems Control Journal, 1(94).
Chan, D. Y., & Vasarhelyi, M. A. (2011). Innovation and practice of continuous
auditing. International Journal of Accounting Information Systems, 12(2), 152–
160. doi:10.1016/j.accinf.2011.01.001
Delfiner, M., & Pailhé, C. (2008). Técnicas cualitativas para la gestión del riesgo
operacional.
González Tallón, J. M. (2011). ¿ Puede la auditoría realizarse al mismo tiempo que
la gestión auditada y seguir siendo auditoría ? Auditoría Pública, 54, 33 – 42.
Retrieved from http://www.auditoriapublica.com/hemeroteca/Pag 33-42 no
54.pdf
Heffes, E. (2006). Theory to practice; continuous auditing gains. Financial Executive,
17–18.
Retrieved
from
http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Theory+to+P
ractice:Continuous+Auditing+Gains#0
IIA. (2005a). GTAG 1. Controles de Tecnología de la Información (No. 1a Edición).
Altamonte Springs (Florida).
IIA. (2005b). Guide 3: Continuous Auditing: Implications for Assurance, Monitoring,
and Risk Assessment. The Institute of Internal Auditors.
IIA. (2013). Practice Advisory 2320-4 : Continuous Assurance. Retrieved from
https://na.theiia.org/standards-guidance/Member Documents/PA_2320-4.pdf
Instituto de Auditores Internos de España. (2014a). Guía para implantar con éxito
un modelo de Auditoría Continua.
Instituto de Auditores Internos de España. (2014b). Retos y Expectativas de Futuro
para la Auditoría Interna de las Entidades de Crédito Retos y Expectativas de
Futuro para la Auditoría Interna de las Entidades de Crédito.
ISACA. (2010). IS Auditing Guideline: G42 Continuous Assurance. ISACA.
Retrieved
from
http://www.isaca.org/KnowledgeCenter/Standards/Documents/G42-Continuous-Assurance-18Feb10.pdf
Klein Tank, K. (2011). Continuous Auditing & Continuous Monitoring in a Broader
Perspective The Performance Management Potential of CA & CM. Risk
Management. University of Twente.
Kogan, A., Alles, M. G., & Vasarhelyi, M. A. (2010). Analytical Procedures for
Continuous Data Level Auditing : Continuity Equations. Accounting and
Finance.
KPMG. (2013). Encuesta Global a directores miembros de Comités de Auditoría.
Retrieved from www.kpmg.com/aci
KPMG, & Instituto de Auditores Internos de España. (2015). Visión 2020. Desafìos
de Auditorìa Interna en el horizonte 2020.
KRIEX. (2015). Setting Up a Key Risk Indicator Program. Retrieved from
http://www.kriex.org/Public.KRIServices.aspx
Loh, S. (2002). Using Continuous Assurance to Detect Fraud in e-commerce
Transactions. Design. The University of New South Wales.
Lombardi, D., Bloch, R., & Vasarhelyi, M. A. (2014). The future of Audit. Journal of
Information Systems and Technology Management, 11(1), 21–32.
Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., & Thibodeau, J.
(2011). Auditing & Assurance Services (4th ed.). New York: McGraw-Hill.
Millage, A. (2014). La Auditoría Interna en el 2015. Nota del Editor. Internal Auditor,
LXXI(VI).
Murcia, F. D. (2008). Continuous Auditing : A Literature Review Auditoria Contínua :
uma revisão da literatura. Organizações Em Contexto, 4(7), 1–17.
Pinilla Forero, J. D. (1997). Auditoría de Sistemas en funcionamiento (1a ed., p.
278). Santafé de Bogota: ROESGA.
Pino, F. J., Baldassarre, M. T., Piattini, M., & Visaggio, G. (2010). Harmonizing
maturity levels from CMMI-DEV and ISO/IEC 15504. Journal of Software
Maintenance and Evolution: Research and Practice., (22), 279–296.
doi:10.1002/spip
Protiviti. (2014). Assessing the Top Priorities for Internal Audit Functions.
PWC. (2014). Estudio sobre el estado de la profesiòn de Auditorìa Interna de 2014.
Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations,
benefits, problems, and challenges identified by partners of a Big 4 accounting
firm. In 36th Annual Hawaii International Conference on System Sciences (Vol.
00, pp. 1–10). Ieee. doi:10.1109/HICSS.2003.1174565
Senft, S., & Gallegos, F. (2009). Information Technology Control and Audit (3a ed.,
p. 767). Taylor & Francis Group LLC.
Smieliauskas, W., & Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I
NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION
SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach
(5th
ed.,
pp.
1–28).
Retrieved
from
http://highered.mcgrawhill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdf
Texeira, C. R. (2009). A Importância atribuída pelos Empresários da da Rocha Alves
da Silva Grande Lisboa ao Controlo Interno.
Thomson Reuters. (2014). State of Internal Audit Survey 2014 – Adapting to
Complex Challenges?
Thornton, G. (2011). Looking to the future : Perspectives and trends from internal
audit leaders. Risk Management (p. 20).
Valencia Duque, F. J. (2012). La Auditorìa Continua, gènesis, evoluciòn, estado
actual y aplicaciòn en el sector pùblico Colombiano. In Congreso
Latinoamericano de Auditoría Interna 2012. Asunciòn (Paraguay): Federaciòn
Latinoamericana de Auditorìa Interna.
Vasarhelyi, M. A. (1984). Automation and changes in audit process. Auditing: A
Journal of Practice & Theory, 4(1).
Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010). Continuous Assurance for the
Now Economy (First Edit.). Sidney (Australia): The Institute of Chartered
Accountants in Australia.
*Curriculum Vitae
Francisco Javier Valencia Duque
c.c. 10’280.374
fjvalenciad@unal.edu.co
Certificaciones Internacionales
Certified Information Systems Auditor (CISA)
Certified in Risk and Information Systems Control (CRISC)
COBIT Foundations
Datos académicos
Magister en Administraciòn de Tecnologìas de Informaciòn
Instituto Tecnològico de Estudios Superiores de Monterrey. 2008
Especialista en Diseño de Sistemas de Auditorìa
Universidad Nacional de Colombia. 1998
Ingeniero de Sistemas
Universidad Antonio Nariño. 2004. Tarjeta Profesional 17255136083
Administrador de Empresas
Universidad Nacional de Colombia. 1994. Tarjeta Profesional 18761
Datos Profesionales
Docente/Investigador
Universidad Nacional de Colombia (sede Manizales)
2010- a la fecha
Director del programa de Especialización en Auditoría de Sistemas
Universidad Nacional de Colombia
2010- a la fecha
Auditor de Sistemas de Información/Experto en gestión de riesgos
Independiente.
2008-2010
Coordinador de Auditoría y Verificación
UNE EMTELSA S.A. E.S.P.
1999-2008
Descargar