Está en la página 1de 41

Auditoría continua:

Implicancias para el aseguramiento,


la supervisión y la evaluación
de riesgos
Guía de Auditoría de Tecnología Global (GTAG) 3
Auditoría continua: implicancias para el aseguramiento,
la supervisión y la evaluación de riesgos


Autor
David Coderre, Policía Montada Real de Canadá (RCMP, en inglés)


Expertos en el tema
John G. Verver, ACL Services Ltd.
J. Donald Warren Jr., Center for Continuous Auditing, Rutgers University

Octubre 2005

Copyright © 2005 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Todos los
derechos reservados. Impreso en Estados Unidos. Ninguna parte de esta publicación puede ser reproducida, guardada en un sistema de recu-
peración o transmitida en forma alguna ni por ningún medio, sea electrónico, mecánico, fotocopia, grabación, o cualquier otro, sin obtener
previamente el permiso por escrito del editor.

El IIA publica este documento con fines informativos y educativos. Este documento tiene como propósito brindar información, pero no
sustituye el asesoramiento legal o contable. El IIA no ofrece ese tipo de asesoramiento y no garantiza ningún resultado legal ni contable por
medio de la publicación de este documento. Cuando surgen cuestiones legales o contables, se debe recurrir y obtener asistencia profesional.
GTAG — Índice

1. Resumen ejecutivo ..............................................................................................................................................................1


Auditoría continua . ............................................................................................................................................................1
La necesidad de contar con una auditoría continua o supervisión continua: un enfoque integrado .................................1
Los roles de la actividad de auditoría interna y la dirección . .............................................................................................2
El poder de la auditoría continua ........................................................................................................................................2
Cuestiones relativas a la implementación . .........................................................................................................................2
2. Introducción.........................................................................................................................................................................3
Auditoría continua: una reseña . .........................................................................................................................................3
Entorno de auditoría actual..................................................................................................................................................4
Enfoque de Gestión de Riesgo Empresarial (ERM, en inglés) de COSO............................................................................4
Los roles de la actividad de auditoría interna y la dirección................................................................................................5
Beneficios de la auditoría y la supervisión continuas . ........................................................................................................5
3. Conceptos y términos clave: la necesidad de claridad.........................................................................................................7
Secuencia de la auditoría continua .....................................................................................................................................8
4. Relación de la auditoría continua con el aseguramiento continuo y la supervisión continua..........................................10
Aseguramiento continuo . .................................................................................................................................................10
Supervisión continua ........................................................................................................................................................10
Auditoría continua . ..........................................................................................................................................................10
5. Áreas de aplicación de la auditoría continua.....................................................................................................................12
Aplicaciones para la evaluación continua de control........................................................................................................12
Aplicaciones para la evaluación continua de riesgos.........................................................................................................15
Desarrollo del plan de auditoría.........................................................................................................................................15
Respaldo a la auditoría individual......................................................................................................................................16
Seguimiento de las recomendaciones de auditoría ...........................................................................................................17
Conclusión ........................................................................................................................................................................17
6. Implementación de la auditoría continua..........................................................................................................................19
Objetivos de la auditoría continua.....................................................................................................................................19
Relación de evaluación continua de riesgos y controles....................................................................................................24
Gestionar e informar resultados.........................................................................................................................................26
Desafíos y otras consideraciones.........................................................................................................................................27
7. Conclusión ........................................................................................................................................................................29
8. Apéndice A — Ejemplo de auditoría continua aplicado a cuentas a pagar ..................................................................... 30
9. Apéndice B — Normas relacionadas ................................................................................................................................ 33
10. Apéndice C — Autoevaluación de auditoría continua . ..................................................................................................34
11. Acerca del autor y el eqipo del proyecto . ........................................................................................................................36
12. Referencias ........................................................................................................................................................................37
GTAG — Resumen ejecutivo — 1

La necesidad de contar con aseguramiento oportuno y per- como revisiones de políticas, procedimientos, aprobaciones
manente sobre la eficacia de los sistemas de control y gestión y conciliaciones. En la actualidad, sin embargo, se reconoce
de riesgos es crítica. Las organizaciones están continuamente que este enfoque sólo ofrece a los auditores internos un al-
expuestas a errores, fraudes o ineficiencias importantes que cance limitado de evaluación y, en general, es muy tarde para
pueden generar pérdidas financieras y mayores niveles de representar un valor real en cuanto al desempeño del negocio
riesgo. Un entorno de regulaciones en desarrollo, mayor glo- o al cumplimiento de regulaciones. La auditoría continua es
balización de los negocios, presión del mercado para mejorar un método empleado para realizar evaluaciones de riesgos y
las operaciones y condiciones de negocio de rápido cambio controles de manera automática y más frecuente.
están generando la necesidad de contar con un aseguramien- La tecnología es clave para implementar dicho enfoque.
to permanente y más oportuno para garantizar que los con- La auditoría continua cambia el paradigma de auditoría: se
troles funcionan eficazmente y que el riesgo se mitiga. dejan de lado las revisiones periódicas de una muestra de
Estas demandas implican mayor presión para los direc- transacciones para dar lugar a pruebas de auditoría perma-
tores ejecutivos de auditoría (DEA) y su personal. Los depar- nentes de la totalidad de las transacciones. Se convierte en
tamentos de auditoría interna han tenido gran participación una parte integral de la auditoría moderna en muchos nive-
en diversos esfuerzos relativos al cumplimiento, en particular les. También debe estar íntimamente vinculada con activi-
por la legislación, como el Artículo 404 de la Ley Sarbanes- dades de gestión, como supervisión de desempeño, cuadro de
Oxley promulgada en Estados Unidos en 2002, y han infor- mando y gestión de riesgo empresarial (ERM, en inglés).
mado inquietudes no sólo sobre las expectativas cada vez Un enfoque de auditoría continua permite a los audi-
mayores, sino también sobre la capacidad de los auditores tores internos comprender en profundidad los puntos de
internos para mantener la independencia y la objetividad al control crítico, las reglas y las excepciones. Con análisis de
evaluar la eficacia de los procesos de gestión de riesgos, con- datos frecuentes y automatizados, pueden realizar evalu-
trol y gobierno. aciones de riesgos y controles en tiempo real o prácticamente
Hoy en día, los auditores internos enfrentan desafíos en en tiempo real. Pueden analizar los sistemas de negocio
diversas áreas:1 clave para detectar tanto anomalías en el nivel de la tran-
Cumplimiento de regulaciones y controles: Evaluación sacción como indicadores controlados por datos referidos
e identificación de problemas y procesos, sostenibilidad, re- a deficiencias de control y riesgos emergentes. Finalmente,
cursos, definición de materialidad, prioridades y riesgos de los mediante la auditoría continua, los resultados de los
informes financieros. análisis se integran al proceso de auditoría en todos sus
Valor e independencia de la auditoría interna: Grandes aspectos, desde el desarrollo y mantenimiento del plan de
expectativas de la auditoría interna, problemas cada vez más auditoría empresarial hasta la realización y el seguimiento de
profundos en los controles internos, confusión en cuanto al auditorías específicas.
rol de la responsabilidad de la auditoría interna, y objetividad
e independencia comprometidas. La necesidad de contar con una auditoría
Fraude: Detección y control, robo de identidad, respon- continua o supervisión continua: un enfoque
sabilidad en la gestión de fraude, e incremento de la inciden- integrado
cia y el costo de fraudes. En vista de las inquietudes de los DEA por la presión impues-
Disponibilidad de recursos calificados: Falta de compe- ta en materia de esfuerzos de cumplimiento, falta de recursos
tencia y habilidades apropiadas, escasez de auditores, reten- y necesidad de mantener independencia en la auditoría, se
ción, y falta de conocimiento sobre riesgos y controles. considera ideal aplicar una estrategia combinada de auditoría
Tecnología: Soluciones apropiadas para respaldar el continua y supervisión continua.
cumplimiento, el modelo de negocio basado en la tecnología, La supervisión continua abarca los procesos que la direc-
la seguridad de la información, prioridades contrapuestas de ción implementa para garantizar que las políticas, los proced-
tecnología de la información (TI) y la tercerización. imientos y los procesos de negocio funcionen eficazmente.
Queda claro que es fundamental contar con un enfoque Implica la responsabilidad de la dirección en cuanto a evalu-
nuevo que proponga una forma sostenible, productiva y eficaz ar la idoneidad y eficacia de los controles. Esto incluye iden-
en relación con su costo para abordar estos problemas. tificar los objetivos de control y las afirmaciones sobre asegu-
ramiento, y establecer pruebas automatizadas para destacar
Auditoría continua las actividades y las transacciones que no cumplen con lo es-
Históricamente la auditoría interna realizaba pruebas de los tablecido. Muchas de las técnicas de la supervisión continua
controles en forma retrospectiva y cíclica, con frecuencia de los controles que realiza la dirección son similares a las
muchos meses después del momento en el que ocurrían las ac- aplicadas por los auditores internos en la auditoría continua.
tividades de negocio. Los procedimientos de prueba a menudo El uso de procedimientos de supervisión continua por
se basaban en un enfoque de muestreo e incluían actividades parte de la dirección, junto con la auditoría continua a cargo

1
Informe del Debate de la mesa redonda de los DEA en la Conferencia Internacional 2005 del IIA, julio de 2005.

1
GTAG — Resumen ejecutivo —1

de los auditores internos, cubrirá las demandas para asegu- diatos. Al modificar su enfoque global en este sentido, los
rar que los procedimientos de control sean eficaces y que la auditores lograrán comprender mejor el entorno de negocio
información producida para la toma de decisiones sea perti- y los riesgos para la compañía y le permitirán respaldar el
nente y confiable. cumplimiento e impulsar el desempeño del negocio.
Otro beneficio importante para la organización es que,
en general, se reducen considerablemente los casos de error y Cuestiones relativas a la implementación
fraude, se incrementa la eficiencia operativa y se mejoran los El DEA debe comprender que la auditoría continua
resultados finales gracias a una combinación de ahorro en los cambiará el paradigma de auditoría, por ejemplo: la naturale-
costos y a una reducción de sobrepagos y fugas de ingresos. za de la evidencia, los ritmos, los procedimientos y el grado
Las organizaciones que introducen un enfoque de auditoría de esfuerzo requerido por los auditores internos. Esto
continua y supervisión de controles suelen lograr un rápido implicará más demandas para el departamento de auditoría.
retorno de la inversión. Puntualmente, deberá:
El entorno del negocio y de las regulaciones, y las nuevas • Lograr y sostener el respaldo del comité de auditoría y
normas de auditoría están impulsando a los auditores y a la la alta dirección para el concepto y la
dirección a hacer un uso más eficaz de las tecnologías de implementación de la auditoría continua.
análisis de datos y de la información, considerándolas una • Desarrollar y mantener las competencias técnicas,
herramienta fundamental para la auditoría continua y la su- y poner al alcance la tecnología necesaria para
pervisión continua. acceder, manipular y analizar los datos contenidos en
los distintos sistemas de información.
Los roles de Ia auditoría interna y la • Utilizar (o implementar) técnicas de análisis de datos
dirección para respaldar los proyectos de auditoría, por ejemplo:
La dirección tiene como responsabilidad principal la evalu- el uso de herramientas apropiadas de software
ación del riesgo, y el diseño, la implementación y el manten- analítico y el desarrollo y mantenimiento de técnicas
imiento permanente de los controles de una organización. La de análisis de datos y pericia en el equipo de auditoría.
actividad de auditoría interna es responsable de identificar • Proponer, promover y alentar la adopción y el
y evaluar la eficacia del sistema de gestión de riesgos y los respaldo de la supervisión continua por parte de la
controles que implementa la dirección. Los auditores reali- dirección.
zan una evaluación para brindar aseguramiento al comité de • Asegurarse de que la auditoría continua se adopte
auditoría y a la alta dirección sobre el estado de los sistemas como parte de un enfoque coherente e integrado de
de control y riesgo y, en el caso de legislación como la Ley la planificación de auditoría orientada a riesgos.
Sarbanes-Oxley, sobre la confiabilidad de la información de • Gestionar y responder a los resultados de la auditoría
la dirección relativa al estado de los controles. En una situ- continua, determinando el uso, el seguimiento y los
ación ideal, la auditoría interna no forma parte del proceso mecanismos de generación de informes apropiados. El
de supervisión de controles y no diseña ni mantiene los con- DEA debe garantizar que se tomen las medidas
troles, lo que le permite conservar su independencia. correspondientes para los hallazgos de la auditoría
Si bien la supervisión de controles internos es responsabili- que se informan a la dirección y que los resultados de
dad de la dirección, la actividad de auditoría interna puede la auditoría continua sean tenidos en cuenta por la
utilizar y aprovechar la auditoría continua para reforzar el en- dirección al evaluar actividades, como supervisión
torno de supervisión y revisión general de una organización. de controles, medición de desempeño y gestión de
El nivel de supervisión proactiva de la dirección repercutirá riesgo empresarial.
directamente en cómo los auditores enfocan la auditoría
continua. En los casos en los que la dirección realiza una Esta Guía de Auditoría de Tecnología Global (GTAG,
supervisión continua de los controles, es posible que no se en inglés) del IIA identifica qué se debe hacer para lograr
requiera el mismo nivel de pruebas de transacciones detal- un uso eficaz de la tecnología a favor de la auditoría con-
ladas durante la auditoría continua. En cambio, los auditores tinua y destaca las áreas que requieren especial atención.
pueden centrarse en los procedimientos para determinar la Al leer y seguir los pasos descritos, los auditores internos
eficacia del proceso de supervisión de la dirección y, según el estarán mejor preparados para usar la tecnología y maximi-
resultado de dichas pruebas, ajustar el alcance, la cantidad y zar el retorno de la inversión, así como para demostrar a la
la frecuencia de las pruebas de auditoría. dirección la necesidad de hacer inversiones de tecnología
apropiadas, y al mismo tiempo, aportar al cumplimiento de
El poder de la auditoría continua los requisitos reglamentarios de la organización y a su solidez
El poder de la auditoría continua reside en las pruebas con- y competitividad generales.
tinuas, eficientes e inteligentes de controles y riesgos que
permiten una notificación oportuna de las brechas y las de-
bilidades para dar lugar al seguimiento y la corrección inme-

2
GTAG — Introducción — 2

Esta GTAG se centrará en aspectos de la auditoría continua ción 404 de la Ley Sarbanes-Oxley]”. Esto ha generado una
basados en la tecnología y explicitará: mayor concentración tanto en la supervisión continua (por
• Una reseña y los antecedentes de conceptos similares parte de la dirección) como en la auditoría continua. Al re-
empleados a lo largo de los últimos 30 años. spaldar un conjunto integral de actividades de auditoría, la
• Una definición de términos y técnicas relacionados: auditoría continua contribuye a respaldar no sólo el asegura-
auditoría continua, evaluación continua de riesgos, miento de controles de la actividad de auditoría, sino también
evaluación continua de control, supervisión continua la evaluación de riesgos; la identificación de fraude, dispendio
y aseguramiento. y abuso; la planificación de auditoría y el seguimiento de las
• El rol de la auditoría continua en relación con la recomendaciones de auditoría.
supervisión continua.
• Las áreas en las cuales, una auditoría continua, puede Auditoría continua: una reseña
ser aplicada por la actividad de la auditoría interna. Los orígenes de las pruebas de control automatizadas se
• Los desafíos y las oportunidades relacionados con la remontan a la década de 1960 con la instalación e imple-
auditoría continua. mentación de módulos de auditoría integrados (EAM,
• Las implicancias para la auditoría interna, el DEA y en inglés). Sin embargo, estos módulos eran difíciles de
la dirección. construir y mantener, y eran utilizados en relativamente
• Una herramienta de autoevaluación de auditoría pocas organizaciones. A fines de los años 1970, los auditores
continua (Apéndice C, página 34). comenzaron a dejar de lado este enfoque. En la década de
1980, algunos profesionales de auditoría comenzaron a
Desde 1980, ha habido muchos términos asociados con la adoptar técnicas de auditoría asistidas por computadora
noción de ofrecer procedimientos de auditoría permanentes (CAATT, en inglés) para análisis e investigaciones ad hoc.
en tiempo real, o prácticamente en tiempo real, por ejemplo: Simultáneamente, se presentó, por primera vez, la noción
supervisión continua, evaluación continua de control y au- de supervisión continua a los auditores en un gran contex-
ditoría continua. En esta GTAG, se categorizan los enfoques to académico. La premisa básica era que el uso de análisis
previos en un concepto unificado de “auditoría continua”. Se de datos automáticos permanente ayudaría a que los audi-
analizan la evaluación continua de control y la evaluación tores identifiquen las áreas de mayor riesgo, como punto de
continua de riesgos como los principales componentes de la partida para determinar sus planes de auditoría. En gen-
auditoría continua. En esta guía, también se considera a las eral, sin embargo, los auditores no estaban preparados para
actividades de supervisión como responsabilidad de la direc- este tipo de enfoque. Carecían de un acceso sencillo a
ción, pero, se analiza la interrelación entre la auditoría y la las herramientas de software apropiadas, de pericia y de
supervisión, y el modo en que los auditores internos brindan recursos técnicos para enfrentar desafíos de acceso a
aseguramiento adicional para respaldar a la dirección en el los datos y, sobre todo, de la predisposición de las
desempeño de su función. organizaciones para aceptar el compromiso que implicaba
Uno de los impulsores actuales y más notables de la au- la adopción de una metodología y un enfoque de auditoría
ditoría continua es el alto costo del cumplimiento de regula- notablemente distintos.
ciones. En Estados Unidos, una encuesta realiza por Finan- Durante los años 1990, en la profesión de auditoría a
cial Executives International (marzo de 2005)2 calculó que nivel mundial, hubo una adopción generalizada de soluciones
el costo del cumplimiento de la Ley Sarbanes-Oxley alcanza de análisis de datos que se consideraron una herramienta
un promedio de más de $4 millones por organización. Como crítica para respaldar las pruebas de eficacia de los con-
la mayoría de estos costos estaban relacionados con procesos troles internos. Esta tecnología se empleó para examinar las
manuales, con uso intensivo de mano de obra —sobre la base transacciones en busca de indicadores de incidentes que
del uso de recursos internos y consultores externos— no sor- sucedían porque no se aplicaba un control o porque este
prende que un estudio de AMR Research (enero de 2005)3 no se realizaba correctamente. También identificaba transac-
haya detectado que se pueden utilizar tecnologías clave para ciones que no cumplían con las normas de control. Además,
reducir los costos de cumplimiento en más de un 25%. el análisis de datos respaldaba las pruebas de controles
La presión impuesta por el cumplimiento está llevando que no se evidenciaban en forma directa por medio de
a las organizaciones a mejorar sus métodos para realizar los datos transaccionales. Por ejemplo: se podían analizar
una evaluación permanente de los controles internos. En este las tablas de autorización y acceso de planificación de
contexto, la Comisión del Mercado de Valores de Estados recursos empresariales (ERP, en inglés) para identificar
Unidos estableció que “tanto la dirección como los auditores fallas a fin de mantener una separación adecuada de fun-
deben aportar juicios meditados y un enfoque descendente y ciones. No obstante, incluso con esta tecnología como
basado en riesgos a los procesos de cumplimiento [de la Sec- sustento, los procesos de auditoría tradicional a menudo se

2
Encuesta sobre la implementación de la Sección 404 de la Ley SOX realizada por Financial Executives International, marzo de 2005.
3
SOX Decisions for 2005: Step Up Technology Investments, John Hagerty, AMR Research, enero de 2005.

3
GTAG — Introducción — 2

basaban en muestras representativas en lugar de evaluar los procesos o sistemas que presentan niveles de
toda la población, y los análisis continuaban luego de haber riesgo más altos de lo esperado.
finalizado la actividad de negocio (transacción). Por eso,
había más chances de que los problemas de riesgo y control La frecuencia de la actividad de auditoría continua de-
siguieran avanzando y repercutieran negativamente en el penderá del riesgo inherente al proceso o sistema. Además,
desempeño del negocio. es posible comenzar examinando los controles y las áreas
de riesgo clave, y luego ampliar la aplicación de auditoría
Entorno de auditoría actual continua a medida que los auditores ganan experiencia y
En la actualidad, la proliferación de sistemas de información logran resultados medibles que contribuyan al cumplim-
en el entorno de negocio ofrece a los auditores un acceso iento, la eficacia y la eficiencia operativas y la integridad de
más sencillo a una cantidad mayor de información relevante, los informes financieros.
pero también implica la gestión y la revisión de volúmenes de
datos y transacciones mucho más grandes. Enfoque de Gestión de Riesgo Empresarial
Además, el ritmo vertiginoso de los negocios requiere (ERM, en inglés) de COSO
una rápida identificación y respuesta a los problemas de con- El Enfoque Integrado de Gestión de Riesgo Empresarial del
trol. Regulaciones como el Artículo 404 de la Ley Sarbanes- Comité de Organizaciones Patrocinadoras de la Comisión
Oxley de Estados Unidos exigen una revelación oportuna de Treadway (COSO, en inglés) alienta a los auditores internos
las deficiencias de control y las afirmaciones de la dirección a abordar sus actividades desde la perspectiva con la cual la
con respecto a la idoneidad del esquema de control. Este im- dirección dirige un negocio: entorno de control, evaluación
perativo de cumplimiento estatutario, así como los cambios de riesgos, información y comunicación, y supervisión de
constantes en las normas de auditoría y la evolución del soft- riesgos. El enfoque de COSO ERM es una ampliación del en-
ware de auditoría, están impulsando y permitiendo a los au- foque de control interno original de COSO. Pone más énfasis
ditores adoptar nuevos enfoques para el acceso a información en los controles internos y brinda un análisis más extenso
y controles. y sólido sobre el concepto más amplio de ERM. Sus cuatro
El DEA debe poder brindar a la alta dirección evalu- categorías de objetivos — estratégicos, de operaciones, de in-
aciones permanentes, en lugar de simples revisiones periódi- formes y de cumplimiento— implican más presión para los
cas, relativas al estado de los controles internos y los niveles auditores internos en cuanto a analizar el sistema de control
de riesgo de la organización. Hoy en día, los auditores inter- interno e identificar y evaluar el riesgo. Para lograr esto, la
nos no sólo auditan actividades de control; también observan auditoría interna debe cambiar su rol tradicional a uno cen-
el perfil de riesgo de una compañía y desempeñan un papel trado en las metas corporativas, las estrategias, la gestión de
fundamental en la identificación de áreas para mejorar los riesgos y los procesos de negocio, así como en las actividades
procesos de gestión de riesgos. Sin embargo, si no compren- de control crítico.
den en profundidad los procesos de negocio y los riesgos aso- El enfoque de la auditoría continua no apunta sólo al
ciados, los auditores sólo pueden realizar tareas sobre listas de cumplimiento de controles y regulaciones, sino también a
verificación de auditoría tradicional. La auditoría continua un mayor grado de eficiencia de las operaciones de la orga-
permite a los auditores superar los límites de los enfoques de nización. La auditoría continua también debe colaborar con
auditoría tradicional y las restricciones de los muestreos, la el progreso general de la organización, identificando y evalu-
revisión de informes estándar y las evaluaciones puntuales. ando riesgos y ofreciendo información a la dirección a fin de
Un componente crucial de la auditoría continua es el desar- responder, de la mejor manera, a las cambiantes condiciones
rollo de un modelo de revisión permanente (continuo) de de negocio. Ayudará a la auditoría interna en todos los com-
transacciones en el momento exacto, o aproximado, en el que ponentes de COSO ERM:
ocurren. • Entorno interno y definición de objetivos: cuando se
Como se analizará con mayor detalle en la Sección 4, una formalizan los objetivos de auditoría continua y el rol
cuestión clave que repercute en el enfoque de los auditores de la auditoría interna.
internos hacia la auditoría continua es el alcance de la imple- • Identificación de incidentes: cuando se desarrolla un
mentación de sistemas por parte de la dirección destinados a sistema para identificar e informar incidentes y un
supervisar controles en forma continua e identificar deficien- proceso para abordar estas amenazas y oportunidades.
cias de control e indicadores de riesgo. • Evaluación de riesgos: cuando analiza y evalúa los
La auditoría continua mide atributos específicos que, si riesgos, teniendo en cuenta la probabilidad y el
cumplen con determinados parámetros, generarán el inicio impacto, a efectos de formar una base para
de acciones de los auditores. El concepto paraguas de audi- determinar cómo serán gestionados.
toría continua engloba dos actividades principales: • Respuesta al riesgo: cuanto toma en consideración las
• Evaluación continua de control, destinada a centrarse categorías de riesgos y las actividades clave, y cuando
lo más pronto posible en las deficiencias de control. desarrolla una metodología controlada por datos para
• Evaluación continua de riesgos, destinada a destacar evaluar y responder a los riesgos.

4
GTAG — Introducción — 2

RV control: V
H V R QW
• Actividades LFde PH
LRQcuando Ureconoce losLHroles de eficacia de los controles. Esto incluye identificar los objetivos
U D WpJ S H UDF
 L Q IR P SOLP
( V W
la dirección y deH  Rlos auditores
' H internos,
H  X
F demostrando de control y las afirmaciones sobre aseguramiento, y establec-
' '
que la evaluación de control no es una actividad que er pruebas automatizadas para destacar las transacciones que
'HILQLFLyQGHREMHWLYRV
se realiza una vez al año, sino una preocupación no cumplen con los objetivos de control y las afirmaciones
permanente; y automatizando el proceso de pruebas sobre aseguramiento relevantes. Muchas de las técnicas de
de,GHQWLILFDFLyQGHLQFLGHQWHV
controles lo más cercano posible al tiempo real. la supervisión continua de los controles que realiza la direc-

8QLGDGGHQHJRFLR
6XEVLGLDULD
• Información y comunicación: cuando contribuye al ción son similares a las que podría aplicar el departamento de

1LYHOGHODHQWLGDG
garantizar la confiabilidad de la información y el
(YDOXDFLyQGHULHVJRV auditoría interna en una auditoría continua.

'LYLVLyQ
Los roles de Ia actividad de auditoría interna
5HVSXHVWDDOULHVJR
y la dirección
En su rol de administración, la dirección tiene como re-
$FWLYLGDGHVGHFRQWURO sponsabilidad principal la evaluación del riesgo, y el diseño,
la implementación y el mantenimiento permanente de los
,QIRUPDFLyQ\FRPXQLFDFLyQ controles de una organización. La actividad de auditoría in-
terna, en vista de sus responsabilidades hacia la dirección y el
6XSHUYLVLyQ
consejo, tiene a su cargo identificar y evaluar la eficacia del
sistema de gestión de riesgos y controles de la organización
(QIRTXHGH*HVWLyQGH5LHVJR(PSUHVDULDO implementados por la dirección. La diferencia entre los roles
(50HQLQJOpV GH&262 de los auditores y la dirección en cuanto a abordar el riesgo
y los controles internos yace en la naturaleza de las respons-
• Actividades de control: cuando reconoce los roles de abilidades respectivas hacia las partes interesadas. Los audi-
la dirección y de los auditores internos, demostrando tores realizan la evaluación para brindar aseguramiento a las
que la evaluación de control no es una actividad que partes interesadas, al comité de auditoría y a la alta dirección
se realiza una vez al año, sino una preocupación per- sobre el estado de los sistemas de control y riesgo y, en el caso
manente; y automatizando el proceso de pruebas de de legislación como la Ley Sarbanes-Oxley, sobre la confi-
controles lo más cercano posible al tiempo real. abilidad de la información de la dirección relativa al estado de
• Información y comunicación: cuando contribuye al los controles. En una situación ideal, los auditores no forman
garantizar la confiabilidad de la información y el parte del proceso y no diseñan ni mantienen los controles.
informe oportuno de inquietudes. Por ello, conservan su objetividad e independencia.
• Supervisión y revisión: cuando brinda una evaluación
independiente en respaldo de las actividades de Beneficios de la auditoría y la supervisión
supervisión que lleva a cabo la dirección. continuas
Los resultados de la auditoría y la supervisión continuas (por
La evaluación continua de control permitirá a los au- parte de la dirección) son similares e involucran notifica-
ditores internos evaluar la idoneidad de las actividades de ciones o alertas que indican deficiencias de control o nive-
supervisión de la dirección y proporcionar al comité de audi- les de riesgo más altos que lo deseado. Las notificaciones o
toría y a la alta dirección aseguramiento independiente con alertas se pueden priorizar y, según la gravedad del riesgo o
respecto al funcionamiento eficaz de los controles y la po- la deficiencia de control, se les pueden entregar a los asegu-
sibilidad de que la organización responda rápidamente para radores del proceso de negocio o del sistema de aplicación, a
corregir las deficiencias que surjan. La evaluación continua los directores operativos, a los auditores, a los directores fi-
de riesgos permite a los auditores identificar áreas emergentes nancieros e incluso a los organismos de control. La respuesta
que implican un riesgo para la compañía, dar prioridad a esos de la dirección a estas notificaciones puede ser corregir una
riesgos y asignar con mayor eficacia los recursos limitados de deficiencia de control y una transacción errónea de inme-
auditoría. No obstante, estas actividades de ningún modo diato. La respuesta de auditoría a estas advertencias puede
deslindan a la dirección de su responsabilidad de implemen- abarcar desde una auditoría inmediata del sistema de control
tar una función de supervisión y gestionar el riesgo. identificado hasta la señalización de un área para una futura
La supervisión y revisión es el último componente de auditoría.
COSO ERM con miras a lograr un enfoque de control eficaz Por ejemplo, las pruebas de auditoría continua de las tran-
y es un elemento fundamental en los esfuerzos de una orga- sacciones financieras pueden emitir notificaciones cuando un
nización tendientes a una mejora continua. La supervisión comprobante de diario supera determinado límite e involu-
continua abarca los procesos que la dirección implementa cra asientos entre una combinación inusual de cuentas. La
para garantizar que las políticas, los procedimientos y los pro- respuesta del auditor puede depender de si considera que es
cesos de negocio funcionen eficazmente. Implica la respon- un único caso (la respuesta puede ser enviar un mensaje de
sabilidad de la dirección en cuanto a evaluar la idoneidad y correo electrónico a quien haya originado la transacción para

5
GTAG — Introducción — 2

pedirle una explicación) o si considera que es un problema


sistémico (en cuyo caso se puede solicitar una auditoría fi-
nanciera del área). Con una auditoría continua y a través de
pruebas adicionales destinadas a determinar la naturaleza de
la anomalía, se pueden responder preguntas como:
• ¿El comprobante de diario genera un asiento en una
cuenta transitoria y no se cancela dentro de un
período aceptable?
• ¿El comprobante de diario genera asientos entre
combinaciones inusuales de cuentas?
• ¿Es probable que la cuentas involucradas puedan, por
ejemplo, inflar las ganancias de manera artificial?
• ¿Los volúmenes y los tipos de comprobantes de diario
son inusuales en comparación con años anteriores?
• ¿Las personas que crean los asientos, están en una
posición comprometida de separación de funciones?
• ¿Se deben hacer más estrictos o más laxos los criterios
para esta prueba?
• ¿Los coeficientes financieros coinciden con los de
compañías similares?
• ¿Cuál ha sido la tendencia de ganancias en los
últimos años y qué diferencia tiene con la tendencia
de compañías similares y el entorno económico
general?

La auditoría continua ayuda a los auditores a evaluar la


idoneidad de la función de supervisión de la dirección. Esto le
permite al DEA brindar al comité de auditoría y a la alta di-
rección un aseguramiento independiente de que los controles
están funcionando eficazmente y de que los procesos de au-
ditoría están bien implementados para identificar y abordar
cualquier violación. La auditoría continua también identifica
y evalúa áreas de riesgo, y ofrece información a los auditores
que se puede comunicar a la dirección en respaldo de sus es-
fuerzos para mitigar el riesgo. Además, se puede emplear al
desarrollar el plan de auditoría anual, centrando la atención
y los recursos de auditoría en áreas de mayor riesgo.
De todos modos, una de las principales ventajas de la
auditoría continua es su independencia de los sistemas finan-
cieros y operativos subyacentes y de la supervisión que realiza
la dirección. Esto mejora los enfoques de control y gestión de
la organización y suministra mecanismos que los auditores
pueden utilizar para respaldar sus propias actividades de re-
visión y evaluación independientes.
La auditoría continua no está exenta de desafíos. Es nec-
esario comprender y controlar la tecnología. Los auditores in-
ternos deben tener acceso a datos, herramientas de software y
técnicas, y contar con el conocimiento necesario para utilizar
de manera inteligente la enorme cantidad de información
financiera y no financiera de la compañía al alcance de la
mano. Las oportunidades que brinda la auditoría continua
también conllevan demandas para los auditores y el DEA.

6
GTAG — Conceptos y términos clave: la necesidad de claridad — 3

Se han hecho varios intentos para alentar a los auditores a y la dirección para lograr que la ecuación de aseguramiento
que hagan un mejor uso de la información electrónica y au- continuo sea efectiva. Las siguientes definiciones pueden
menten la eficacia y la eficiencia de la actividad de auditoría aportar más comprensión:
interna. En el último tiempo, se han aplicado diversos térmi- • La auditoría continua es todo método utilizado por
nos para estas iniciativas, pero sólo han creado más confusión los auditores para realizar actividades relacionadas con
en el ámbito de la profesión. Sin una comprensión clara y la auditoría en forma (más) continua. Es la secuencia
unificada de la terminología, será difícil fomentar estas ini- de actividades que abarcan desde la evaluación
ciativas y se reducirán las posibilidades de éxito. Por lo tanto, continua de control hasta la evaluación continua
uno de los primeros requisitos en la implementación de la au- de riesgos (todas las actividades en la secuencia
ditoría continua es el desarrollo y la difusión de definiciones control-riesgo). La tecnología desempeña un papel
claras para todos los términos relacionados. fundamental en la automatización de la identificación
Un punto clave para comprender la terminología rela- de excepciones o anomalías, el análisis de patrones de
cionada con la auditoría continua es entender que el control los dígitos de campos numéricos clave, el análisis de
y el riesgo son dos caras opuestas de la misma moneda. Los tendencias, el análisis de transacciones detalladas con
controles existen para ayudar a mitigar el riesgo. La identifi- valores límite y umbrales, las pruebas de controles y
cación de deficiencias de control permite destacar áreas de la comparación del proceso o del sistema a través del
riesgo potencial. En oposición, al examinar el riesgo, los au- tiempo o con otras entidades similares.
ditores pueden identificar áreas donde los controles son nec- • La evaluación continua de control se refiere a las
esarios o donde no funcionan. actividades que realizan los auditores para brindar
Si bien la evaluación de controles y riesgos siempre involu- aseguramiento relacionado con los controles. Con la
cra análisis cualitativos y cuantitativos, el mayor grado de efi- evaluación continua de control, los auditores brindan
ciencia se logra al maximizar el uso de tecnología. El desafío aseguramiento al comité de auditoría y a la alta
para los auditores es garantizar la disponibilidad y la utilidad dirección sobre si los controles están funcionando
de los datos, comprender los sistemas y los procesos subya- correctamente por medio de la identificación de
centes de negocio, y maximizar el uso de la automatización. debilidades y violaciones de control. Las transacciones
Por eso, el foco de esta GTAG son los procesos asistidos por individuales se supervisan utilizando un conjunto de
la tecnología que respaldan la auditoría continua. reglas de control para ofrecer aseguramiento relativo
El aseguramiento puede considerarse como la opinión al sistema de controles internos y destacar las
que se brinda a un tercero con respecto a determinada situ- excepciones. Un conjunto de reglas de control bien
ación: una transacción específica, un proceso de negocio o de definidas brinda una advertencia temprana cuando los
gobierno, un riesgo o el desempeño financiero global de una controles sobre un proceso o un sistema no están
operación de negocio. El aseguramiento de auditoría es una funcionando como deben o cuando se han violado.
declaración sobre la idoneidad y eficacia de los controles, y la El alcance de las actividades de evaluación
integridad de la información. continua de control que implementa la actividad de
La supervisión continua de los controles por parte de auditoría interna dependerá del grado de cumplim-
la dirección es el núcleo de las estrategias de aseguramiento iento de las responsabilidades de la dirección en materia
efectivas. No obstante ello, los auditores deben asegurarse de supervisión continua. Un sistema sólido de super
que las actividades de la dirección sean adecuadas y eficaces. visión de la dirección implicará una menor cantidad
El enfoque de aseguramiento continuo es la combinación de de pruebas detalladas para que los auditores puedan
tareas realizadas por la actividad de auditoría interna para brindar aseguramiento sobre los controles.
evaluar en forma independiente: el estado de los controles, • La evaluación continua de riesgos se refiere a las
la gestión de riesgos de la organización y la evaluación de la actividades que realizan los auditores para identificar
idoneidad de la función de supervisión de la dirección. y evaluar los niveles de riesgo. La evaluación continua
de riesgos identifica y evalúa los riesgos al examinar
tendencias y comparaciones (en un único proceso o
sistema, en comparación con su propio desempeño
anterior y con otros procesos o sistemas en funciona-
miento en la empresa). Por ejemplo: el desempeño de
una línea de productos se podría comparar con
resultados de años anteriores y se podría evaluar en el
contexto del desempeño de una planta contra las
demás. Estas comparaciones permiten una advertencia
El DEA debe garantizar que todos los auditores, la alta temprana de que un proceso o sistema particular (en-
dirección y el comité de auditoría comprendan los roles y las tidad de auditoría) tiene un nivel mayor de riesgo
responsabilidades que tienen la actividad de auditoría interna que años anteriores o que otras entidades. La respuesta

7
GTAG — Conceptos y términos clave: la necesidad de claridad — 3

de auditoría variará según la naturaleza y el nivel de e inteligentes que respondan a cambios en la organización.
riesgo. La evaluación continua de riesgos se puede También respalda la identificación y la evaluación de riesgos
utilizar en una auditoría de gran alcance para selec- para todo el universo de la auditoría, colaborando con el de-
cionar las ubicaciones que se visitarán, para identificar sarrollo del plan de auditoría anual y de los objetivos de una
auditorías específicas o entidades que se incluirán en auditoría específica. Así, la auditoría continua se puede con-
el plan de auditoría anual o para generar una auditoría siderar una secuencia que opera en muchos niveles. Además,
inmediata de una entidad en la cual el riesgo ha determinados puntos de la secuencia son más adecuados
aumentado en gran medida sin una explicación adec- para ciertas tareas y es posible abarcar más de un punto de la
uada. También se puede utilizar para evaluar las secuencia al realizar distintas tareas.
acciones de la dirección, para ver si las recomenda- El foco de la auditoría continua abarca desde un enfoque
ciones de auditoría se han implementado correctamente basado en controles hasta un enfoque basado en riesgos (con-
y si están reduciendo el nivel de riesgo de negocio. sulte el diagrama a continuación); las técnicas de análisis
• La supervisión continua es un proceso que implementa abarcan desde una revisión en tiempo real de transacciones
la dirección para garantizar que las políticas, los detalladas hasta el análisis de tendencias y la comparación de
procedimientos y los procesos de negocio funcionen entidades con otras entidades y a través del tiempo.
eficazmente. La dirección identifica los puntos de • En el extremo de “controles” de la secuencia, las
control crítico e implementa pruebas automatizadas actividades relacionadas con la auditoría incluyen el
para determinar si esos controles están funcionado aseguramiento de control y las auditorías de
como corresponde. El proceso de supervisión continua certificación financiera.
habitualmente abarca las pruebas automatizadas de • A medida que se avanza hacia el otro extremo de la
todas las transacciones y las actividades del sistema, secuencia, las actividades de auditoría incluyen la
dentro de un área de proceso de negocio determinada, identificación de fraude, dispendio y abuso por medio
utilizando un conjunto de reglas de control. En general, de la evaluación de riesgo para respaldar proyectos de
la supervisión se lleva a cabo en forma diaria, semanal auditoría y elaborar el plan de auditoría anual.
o mensual, de acuerdo con la naturaleza del ciclo de • Las actividades de gestión relacionadas son, por
negocio subyacente. Según cuál sea la regla de control ejemplo, supervisión continua de los controles,
específica y los parámetros de umbral y prueba relacio- supervisión de desempeño, cuadro de mando, gestión
nados, determinadas transacciones se marcan como para la calidad total y ERM.
excepciones de control y se notifica a la dirección.
La función de supervisión de gestión también puede La auditoría continua es una estructura o un enfoque de
estar vinculada con los indicadores clave de ren- unificación que reúne aseguramiento de control, evaluación
dimiento (KPI, en inglés) y otras actividades de de riesgos, planificación de auditoría, análisis digital y demás
medición de desempeño. Es responsabilidad de la herramientas, técnicas y tecnologías de auditoría. Respalda
dirección responder a las notificaciones y las alertas de cuestiones de microauditoría, como pruebas de transacciones
supervisión, solucionar toda deficiencia de control y detalladas para evaluar la eficacia de los controles, y cues-
corregir transacciones defectuosas. tiones de macroauditoría, como el uso de identificación y
evaluación de riesgos para elaborar el plan de auditoría anual.
Secuencia de auditoría continua También aborda los requisitos de nivel medio, como el desar-
La auditoría continua ayuda a los auditores a identificar y rollo de objetivos de auditoría para auditorías individuales.
evaluar el riesgo, además de establecer umbrales dinámicos La principal diferencia entre la microauditoría y la mac-

Seguimiento de las
recomendaciones
de auditoría

8
GTAG — Conceptos y términos clave: la necesidad de claridad — 3

roauditoría es el nivel de detalle de la información requeri-


da:
• Las pruebas de control requieren información detallada,
descendiendo hasta las transacciones en el nivel de
origen. La evaluación continua de control utiliza reglas
cuidadosamente desarrolladas y pruebas de transac-
ciones en tiempo real o prácticamente en tiempo real
para lograr el cumplimiento de estas reglas.
• La auditoría individual a menudo comienza con los
riesgos identificados en el plan de auditoría anual pero,
utiliza análisis de datos más detallados y otras técni-
cas (por ejemplo: entrevistas, autoevaluaciones de
control, inspecciones, cuestionarios, etc.) para definir
aún más las principales áreas de riesgo y centrarse en
la evaluación de riesgos y las posteriores actividades
de auditoría.
• El plan de auditoría anual requiere información de alto
nivel (tal vez un cúmulo de datos de varios años) para
establecer los factores de riesgo, priorizar los riesgos, y
definir los ritmos iniciales y los objetivos para el
conjunto de auditorías planificadas.

9
GTAG — Relación de la auditoría continua con el aseguramiento
continuo y la supervisión continua — 4

Aseguramiento continuo • Definir los puntos de control de un proceso de


Como se mencionó anteriormente, el aseguramiento se puede negocio determinado, si es posible, de acuerdo con el
describir como una opinión que se ofrece a un tercero sobre enfoque de COSO ERM.
determinada situación. En general, involucra a tres partes: • Identificar los objetivos de control y las afirmaciones
• La persona o el grupo que prepara la información. de aseguramiento para cada punto de control.
• La persona o el grupo que utiliza la información para • Establecer una serie de pruebas automatizadas para
tomar decisiones. indicar si es probable que alguna transacción no haya
• El tercero objetivo. cumplido con todos los objetivos de control y las
afirmaciones de aseguramiento pertinentes.
Con frecuencia, el aseguramiento se considera una ac- • Someter todas las transacciones a un conjunto de
tividad estrictamente relacionada con la auditoría, en gener- pruebas en un punto cercano al momento en el que
al, de naturaleza financiera. Sin embargo, otros profesionales, ocurre la transacción.
como los involucrados en el ámbito legal, también brindan • Investigar todas las transacciones que no hayan
servicios de aseguramiento. pasado alguna prueba de control.
El aseguramiento de auditoría es una declaración sobre • Si corresponde, corregir la transacción.
la idoneidad y eficacia de los controles y la integridad de la • Si corresponde, corregir la debilidad de control.
información. La supervisión continua de los controles por
parte de la dirección es el núcleo de las estrategias de ase- La clave de la supervisión continua es que el proceso
guramiento efectivas; no obstante, la actividad de auditoría debe estar a cargo de y ser ejecutado por la dirección,
también debe asegurar que las actividades de la dirección como parte de su responsabilidad hacia la implementación
sean adecuadas y eficaces. y el mantenimiento de sistemas de control eficaz. Como
La auditoría interna ofrece servicios de aseguramiento la dirección es responsable de los controles internos, debe
realizando exámenes objetivos de evidencia a fin de brindar disponer de medios para determinar en forma permanente
una evaluación independiente de las estrategias y las prác- si los controles están funcionando como corresponde.
ticas de gestión de riesgos, los enfoques y las prácticas de Al identificar y corregir problemas de control de manera
control de gestión, y la información utilizada para la toma oportuna, se puede mejorar el sistema de control general.
de decisiones y los informes. El aseguramiento continuo se Otro beneficio habitual para la organización es que se
puede ofrecer cuando los auditores realizan una evaluación reducen considerablemente los casos de error y de fraude, se
continua de riesgos y controles (es decir, una auditoría conti- incrementa la eficiencia operativa y se mejoran los resultados
nua) y evalúan la idoneidad de las actividades de supervisión finales gracias a una combinación de ahorro en los costos y a
continua de la dirección. una reducción de los sobrepagos y fugas de ingresos.
Los auditores examinan las actividades que realiza la
dirección, verifican el funcionamiento de los controles, re- Auditoría continua
comiendan cambios y garantizan que el riesgo se gestione. Si Existe una relación inversa entre la idoneidad de las activi-
los auditores llevan a cabo su trabajo; revisando y verificando dades de gestión de riesgos y de supervisión que realiza la di-
los controles y riesgos, y asegurándose de que la dirección re- rección, y el alcance de las pruebas detalladas de controles
alice su trabajo de supervisión; la organización tendrá un nivel y evaluaciones de riesgos que deben realizar los auditores. El
de aseguramiento más elevado relativo al funcionamiento de enfoque y el grado de la auditoría continua que aplica la ac-
los controles, a la gestión de riesgos y a la integridad de la tividad de auditoría dependen del grado de implementación
información utilizada para la toma de decisiones. La direc- de la supervisión continua a cargo de la dirección.
ción desempeña un papel en la ecuación de aseguramiento
desarrollando, diseñando y supervisando los controles, y ges-
tionando los riesgos.

Supervisión continua
La supervisión continua se refiere a los procesos que la direc-
ción implementa para garantizar que las políticas, los proced-
imientos y los procesos de negocio funcionen eficazmente. En
general, implica la responsabilidad de la dirección en cuanto
a evaluar la idoneidad y eficacia de los controles. Muchas de
las técnicas que utiliza la dirección para supervisar los con-
troles en forma continua son similares a las aplicadas por los
auditores internos en la auditoría continua. Los principios de
la supervisión continua son sencillos e incluyen los siguientes
Relación inversa: Nivel de esfuerzo aplicado
componentes: por la dirección y la actividad de auditoría

10
GTAG — Relación de la auditoría continua con el aseguramiento
continuo y la supervisión continua — 4

En las áreas en las cuales la dirección no haya implemen-


tado una supervisión continua, los auditores deben realizar
pruebas detalladas mediante técnicas de auditoría continua.
En algunos casos, los auditores incluso pueden desempeñar
un papel proactivo asistiendo a la organización en el estab-
lecimiento de procesos de gestión de riesgos y evaluación de
control. Sin embargo, se debe prestar atención para asegura-
rse de que los auditores no asuman un rol de propiedad sobre
estos procesos, ya que podrían comprometer su independen-
cia y objetividad.
En los casos en que la dirección realiza una supervisión
continua en función de una base integral en las áreas de
proceso de negocio punto a punto, la actividad de auditoría
interna ya no necesita aplicar las mismas técnicas detalla-
das que, de otro modo, utilizaría en la auditoría continua.
En cambio, los auditores deben llevar a cabo otros proced-
imientos para determinar si se puede confiar en el proceso de
supervisión continua. Esos procesos incluyen:
• Revisión de anomalías detectadas y respuesta de la
dirección.
• Revisión y prueba de controles sobre el proceso
mismo de supervisión continua, como:
• Procesamiento de registros/pistas de auditoría.
• Conciliaciones de control total.
• Cambios en los parámetros de prueba del sistema.

En general, estos procedimientos son similares a las prue-


bas de control de calidad que se realizan durante el proceso
de auditoría normal para garantizar que las técnicas de audi-
toría asistidas por computadora (CAAT, en inglés) se hayan
aplicado correctamente.
Al evaluar los resultados combinados de los procesos
de auditoría y supervisión continuas, los auditores pueden
brindar aseguramiento continuo relativo a la eficacia de los
controles internos.

11
GTAG — Áreas de aplicación de la auditoría continua — 5

La presión para que los departamentos de auditoría interna mayor riesgo.


hagan más cosas en menos tiempo es cada vez mayor. Quizás • Implementación de medidas correctivas oportunas y
los desafíos más complicados para los auditores sean ofrecer eficaces: verificando la implementación de
aseguramiento oportuno sobre la eficacia de los controles in- recomendaciones de auditoría.
ternos, identificar y evaluar con mayor precisión los niveles de
riesgo, y destacar la falta de cumplimiento de las regulaciones El DEA debe reconocer que hay diversas iniciativas
y las políticas rápidamente. En todas estas áreas se puede apli- de la dirección que están estrechamente vinculadas con
car la auditoría continua. Las tecnologías propicias pueden la auditoría continua, como gestión integrada de riesgos,
abarcar desde hojas de cálculo o guiones desarrollados con cuadro de mando, mejora continua y supervisión continua.
software específico de auditoría hasta paquetes de soluciones El auditor debe determinar el lugar en el que se adecua la
comerciales o sistemas desarrollados a medida. La solución auditoría continua y cómo se puede emplear para evaluar
seleccionada debe ser flexible y escalable, que permita a los estas iniciativas de la dirección o para utilizar información
auditores comenzar por un área específica y luego aumentar el generada a través de las iniciativas.
alcance, el grado y la frecuencia de análisis. Los beneficios esperados a partir de la implementación
Si bien algunos estatutos establecen que las auditorías de un esquema de auditoría continua incluyen:
se deben realizar anualmente, la noción de llevarlas a cabo • Mayor capacidad para mitigar riesgos.
estrictamente con esa frecuencia ya no alcanza para cumplir • Reducciones en el costo que implica la evaluación de
con los requisitos reglamentarios y de gestión. La actividad de controles internos.
auditoría interna debe aplicar evaluaciones de riesgos y llevar • Mayor confianza en los resultados financieros.
a cabo actividades de aseguramiento de control en forma per- • Mejoras en las operaciones financieras.
manente. Si bien los requisitos reglamentarios han puesto • Reducciones en los errores financieros y la posibilidad
especial atención en los aspectos financieros de la auditoría, de fraude.
la auditoría continua respalda todos los tipos y áreas de la ac-
tividad de auditoría. La Confederación Europea de Institutos Además, las organizaciones que han adoptado plena-
de Auditores Internos (ECIIA, en inglés), por medio de una mente la auditoría continua suelen informar una reducción
declaración de posición emitida en 2005, Internal Auditing in en los costos operativos y un aumento en los márgenes de
Europe4, alienta a los auditores internos a responder a los ries- ganancia.
gos que enfrenta una organización brindando aseguramiento a
la dirección relativo a la identificación de riesgos y a su gestión
apropiada. Los auditores deben poder revisar y evaluar los ries- Aplicaciones para la evaluación continua
gos no sólo financieros, sino también operativos y estratégicos. de control
Esta es un área emergente de atención para la auditoría con- Identificación de las deficiencias de control
tinua. Las tecnologías de acceso a la información y las apti- Con la promulgación de nuevas regulaciones que exigen que
tudes técnicas utilizadas para las pruebas de control también la alta dirección registre y certifique la eficacia del entorno
pueden ayudar al DEA a ofrecer una colaboración sumamente de control y la precisión de la información incluida en los in-
valiosa a la dirección al respaldar la evaluación de la eficacia formes financieros, los presidentes y los directores financieros
constante de las actividades de ERM y la recomendación de están recurriendo a la actividad de auditoría interna para que
mejoras, cuando se justifique. colabore con el cumplimiento de estas regulaciones. Si bien
El DEA respalda la función de supervisión ofreciendo la concepción general es que la dirección es responsable de
evaluaciones independientes de riesgos y controles a la alta la supervisión, el diseño y el mantenimiento de controles, la
dirección. La auditoría continua abarca un amplio rango de Norma 2130 del IIA establece que la actividad de auditoría
funcionalidades que respaldan a las actividades de auditoría interna “debe colaborar con la organización para mantener
y al DEA por medio de metodologías y servicios propicios que controles eficaces evaluando su eficacia y eficiencia, y fo-
incluyen: mentando mejoras continuas”. Como consecuencia de estas
• Estrategias y prácticas de gestión de riesgos: presiones internas y externas, especialmente en casos en los
identificando los riesgos sin demoras. que la dirección no cumple en forma proactiva con su rol de
• Confiabilidad del enfoque de control de gestión: supervisión, a menudo se espera que los auditores realicen
destacando las debilidades de control. una evaluación más profunda y ofrezcan una evaluación de
• Información para la toma de decisiones: examinando control más continua. Esto tiene un gran impacto en los pro-
la confiabilidad y la posibilidad de acceso a la cesos y las metodologías de auditoría interna.
información que utilizan los directores. La evaluación continua de control brinda al DEA per-
• Selección de proyectos de auditoría para su inclusión spectivas claras sobre la eficacia de los sistemas de control
en el plan de auditoría anual: identificando áreas de interno. Esto, a su vez, ofrece a los ejecutivos de finanzas, a

4
Internal Auditing in Europe, ECIIA, febrero de 2005.

12
GTAG — Áreas de aplicación de la auditoría continua — 5

los gerentes de proceso de negocios y a los directores de riesgo analítica, se pueden utilizar las pruebas para comparar tran-
y cumplimiento aseguramiento independiente y oportuno sacciones individuales con criterios basados en reglas y revisar
con respecto a los controles internos. La evaluación conti- todas las transacciones para asegurarse de que el personal no
nua de control de datos transaccionales frente a los controles desempeñe funciones incompatibles.
internos permite destacar errores y anomalías rápidamente, En una organización, la implementación de un nuevo
informándolos a la dirección para su inmediata revisión y sistema de planificación de recursos empresariales (ERP, en
acción. También puede aportar a la confiabilidad e integri- inglés) fue pensada para reemplazar los controles manuales
dad de la información operativa y financiera, y a la eficacia y por controles automáticos a fin de garantizar la separación
eficiencia de las operaciones. adecuada de funciones. El equipo de programación de ERP,
Además, la evaluación continua de control también con la colaboración de los propietarios del negocio, desarrolló
puede aportar a la evaluación permanente de riesgo y a las una serie de perfiles de usuario basados en la función, que
actividades de mitigación de la dirección. Las evaluaciones establecían permisos para los diversos tipos de transacciones
de controles y riesgos son actividades complementarias, que que cada usuario podía ejecutar de acuerdo con su función
se respaldan mutuamente. laboral. Si bien los auditores estaban conformes con el en-
Los siguientes análisis describen ejemplos de situaciones foque y los procesos incluidos en el desarrollo de los perfiles
en las que la actividad de auditoría interna utiliza evalua- basados en la función, les preocupaba la actual asignación
ciones continuas de control para complementar la función de perfiles de usuarios y realizaron una revisión detallada de
de supervisión de gestión en tres áreas: controles financieros, transacciones, en busca de instancias en las que no se hubiera
controles del sistema y controles de seguridad. mantenido la separación de funciones.
Los auditores obtuvieron un extracto de todas las transac-
Controles financieros. Ejemplo: programas de tarjetas ciones procesadas en el primer trimestre del año y utilizaron
corporativas tecnología de análisis de datos para calcular la cantidad de
Un gerente nacional de tarjetas corporativas revisó manu- transacciones procesadas por cada usuario, por tipo de tran-
almente una pequeña muestra de transacciones de cada sacción. Así se identificó a dos usuarios que primero habían
trimestre. Los auditores determinaron que los controles de creado órdenes de compra y que después habían registrado las
la dirección sobre las compras realizadas eran deficientes y transacciones de recepción de bienes para las mismas órdenes
que el potencial de exposición al riesgo era bastante elevado. de compra. Los resultados indicaron una debilidad en el con-
Después de revisar las políticas aplicables al uso de tarjetas trol de la separación de funciones de los perfiles basados en la
corporativas, los auditores desarrollaron una serie de pruebas función, ya que eran funciones incompatibles.
analíticas para identificar los siguientes puntos: Mientras el sistema de ERP es sometido a más modi-
• Uso inapropiado de la tarjeta, por ejemplo, ficaciones (por ejemplo: el agregado de nuevas funciones o
transacciones relacionadas con gastos de viaje. cambios en las funciones existentes), se realizan pruebas de
• Compra de artículos personales (por ejemplo: joyas, evaluación continua de control para verificar que no existan
bebidas alcohólicas, etc.). casos en los que se haya violado la separación de funciones.
• Transacciones sospechosas (por ejemplo: uso de la
tarjeta por parte de una persona no autorizada, doble Controles de seguridad. Ejemplo: Registros de acceso
pase por el lector de banda magnética por el al sistema
comerciante, compras divididas para evitar límites La evaluación continua de control sirve para probar los con-
financieros, etc.). troles de seguridad, verificando que todos los usuarios del
Se envió el resultado de los análisis a los gerentes de los sistema sean empleados válidos y que no existan intentos de
titulares de las tarjetas para hacer una revisión detallada de piratear el sistema.
las compras cuestionables (cotejo de los comprobantes de En otra situación organizacional, cada semana se envía
la tarjeta corporativa con la mercadería comprada). Así se un extracto del archivo de registro de acceso al sistema al
logró identificar diversas compras inapropiadas y tres casos departamento de auditoría interna. Los auditores extraen la
de fraude. información de inicio de sesión y hacen corresponder a cada
Después de finalizada la auditoría, las pruebas de apli- usuario con un archivo maestro de empleados actuales. Se
cación de evaluación continua de control fueron remitidas marcan todos los usuarios que no son empleados y se envía
al coordinador de tarjetas corporativas para colaborar con un mensaje de correo electrónico automático al director de
los directores operativos en la supervisión de controles de seguridad de sistemas para revocar las identificaciones de
tarjetas en forma mensual. usuario (ID, en inglés). Además, la prueba busca inicios de
sesión fallidos. Así se identificó una instancia a las 3 a. m.
Controles del sistema. Ejemplo: Separación de funciones en la cual una ID de usuario tuvo 25 intentos de inicio de
Las pruebas de evaluación continua de control también se sesión fallidos a través de una conexión de acceso telefónico.
pueden ejecutar para verificar que los controles del sistema Los auditores utilizaron este informe para justificar el cambio
estén funcionando como corresponde. Con tecnología de los parámetros de inicio de sesión para bloquear las ID de

13
GTAG — Áreas de aplicación de la auditoría continua — 5

usuario después de tres intentos de inicio de sesión fallidos. También definen los factores de riesgo para los informes
Los posibles usos de la evaluación continua de control financieros fraudulentos y el robo, y se pueden utilizar como
son prácticamente ilimitados. Siempre que exista una ex- un modelo base para la evaluación de riesgo de informes
posición, los auditores internos pueden desarrollar una prueba financieros fraudulentos. Los riesgos descritos en las declara-
o una serie de análisis para buscar evidencia de personas que ciones SAS N.º 99 incluyen factores como el estado de la
intentan aprovechar las brechas o las debilidades de control. dirección, el entorno competitivo y de negocio, y la estabili-
En algunos casos, las exposiciones de control incluyen casos dad operativa y financiera.
potenciales de fraude, dispendio y abuso. La frecuencia y los
intervalos de estas pruebas dependerán del riesgo potencial Conclusiones y recomendaciones
del negocio, y de la idoneidad del esquema de control y la Las técnicas de evaluación continua de control pueden ser
función de supervisión de la dirección. similares a las que utiliza la dirección para la supervisión con-
tinua. Cuando los auditores internos pueden confiar en el
Fraude, dispendio y abuso desempeño de la supervisión continua por parte de la direc-
La Norma 1210.A2 del IIA exige a los auditores tener cono- ción, no se requiere el mismo nivel de detalle de técnicas de
cimientos suficientes sobre los indicadores de fraude. La evaluación continua de control. En cambio, los auditores se
Norma 1210.A3 también exige a los auditores tener cono- pueden centrar en llevar a cabo otros procedimientos para
cimientos sobre riesgos y controles de tecnología de la in- ofrecer aseguramiento permanente relativo a los procesos de
formación clave, y sobre técnicas basadas en tecnología di- supervisión continua de la dirección. Sin embargo, cuando
sponible para realizar su trabajo. El uso de tecnologías que la supervisión de la dirección no es suficiente, los auditores
respalden la evaluación continua de control puede ayudar deben realizar pruebas detalladas empleando técnicas de
a los auditores a examinar transacciones detalladas y datos evaluación continua de control a fin de valorar la idoneidad
resumidos, y a identificar anomalías y otros indicadores de de los controles. Por medio de análisis inteligentes basados en
fraude, dispendio y abuso. Por ejemplo: al aprovechar las tec- la tecnología, los auditores pueden evaluar la idoneidad del
nologías de análisis de datos, los auditores pueden identifi- enfoque de control interno y ofrecer aseguramiento indepen-
car fácilmente instancias en las que el límite de la autoridad diente al comité de auditoría y a la alta dirección.
de contratación es superado (es decir, contratos mayores al No es necesario ejecutar las evaluaciones continuas de
límite de contratación del personal) o es evadido (por ejem- control en tiempo real. La frecuencia del análisis dependerá
plo, contratos divididos). En el área de nómina de salarios, se del nivel de riesgo y del grado de supervisión de controles por
puede utilizar para identificar personas de la nómina que no parte de la dirección. Por ejemplo: los análisis de tarjetas cor-
están en la base de datos de los empleados o para identificar porativas sólo se pueden ejecutar una vez al mes, al recibir las
remuneraciones inusuales. transacciones de las tarjetas de parte de la compañía emisora
Como el fraude suele ser un delito muy vinculado a las de tarjetas de crédito. La nómina de salarios se puede ejecutar
oportunidades, las brechas y las debilidades de control se en cada período de pago, inmediatamente antes de entregar
deben detectar y, de ser posible, eliminar o reducir. Normas y los cheques. Las pruebas de facturas y pagos duplicados se
guías de auditoría de amplia circulación abordan directamente pueden ejecutar todos los días. En algunos casos, un auditor
esas problemáticas relativas a la exposición, y exigen a los puede realizar las primeras pruebas de control y derivar la
auditores tener conocimientos suficientes de posibles fraudes supervisión permanente a la dirección.
para poder identificar sus síntomas. Los auditores deben saber Otros ejemplos prácticos de aplicación de evaluaciones
qué puede salir mal, cómo puede salir mal y quiénes pueden continuas de control son:
estar involucrados. Las Declaraciones sobre Normas de Au- • Examen de datos transaccionales: por ejemplo,
ditoría (SAS, en inglés) N.º 99 del Instituto Estadounidense marcar todos los gastos de tarjetas corporativas que
de Contadores Públicos Certificados (AICPA, en inglés), superen el límite de la tarjeta o que involucren a
“Consideraciones de fraude en una auditoría de los estados comerciantes prohibidos.
contables”, también fueron desarrolladas para colaborar con • Revisión de datos resumidos: por ejemplo, total de
los auditores en la detección del fraude. Tienen un alcance gastos del titular de la tarjeta que superen los $10.000
mayor que sus antecesoras, las SAS N.º 82, ya que incorporan mensuales y cuando el titular de la tarjeta no está
nuevas disposiciones que incluyen los siguientes puntos: dentro de la división de compras.
• Realizar sesiones de tormenta de ideas sobre los • Empleo de análisis comparativo: por ejemplo, total
riesgos de fraude. de pagos de horas extras en comparación con el resto
• Hacer hincapié en un mayor grado de escepticismo de los empleados de la misma calificación y nivel de
profesional. trabajo para identificar abusos potenciales de horas
• Asegurarse de que los gerentes conozcan sobre fraude. extras (exceso, falta de autorización, etc.).
• Utilizar diversas pruebas analíticas. • Pruebas de los totales por cuenta del libro mayor: por
• Detectar casos en los que la dirección elude los ejemplo, señalando cuentas cuyos montos difieren en
controles. más de un 25% en comparación con el año anterior, a

14
GTAG — Áreas de aplicación de la auditoría continua — 5

fin de identificar actividades inusuales, como un continua de control.


incremento en los descuentos. Ejemplo: Selección basada en riesgos de sitios de auditoría
Con más de 1.100 tiendas minoristas en distintas partes del
En todos los casos, los auditores pueden llegar a los país, el departamento de auditoría interna de ABC Food
detalles de inmediato para descubrir la causa y realizar el necesitaba una forma eficaz y eficiente de seleccionar audi-
seguimiento requerido en forma rápida y sencilla. torías de tiendas individuales. Antes, los auditores intentaban
visitar cada tienda al menos una vez al año para realizar una
Aplicaciones para la evaluación continua auditoría basada en el cumplimiento. Sin embargo, esto no
de riesgos resultaba eficaz para abordar las verdaderas áreas de riesgo.
Si bien la dirección es responsable de desarrollar y mantener El DEA necesitaba una solución de evaluación de riesgos
un sistema para identificar y mitigar el riesgo, la Norma 2120 confiable, con criterios controlados por datos, para poder of-
del IIA establece que los auditores deben evaluar la eficacia recer aseguramiento a las 1.100 tiendas sin tener que visitar
y contribuir a la mejora de los procesos de gestión de riesgos. cada una, cada año. Se utilizó la evaluación continua de ries-
La Norma 2010 del IIA alienta a los DEA a establecer planes gos para establecer los análisis necesarios, como la pérdida de
basados en riesgos para determinar las prioridades de la ac- inventario informada y la rotación de personal con experi-
tividad de auditoría interna, en conformidad con las metas de encia. Ahora, el equipo de auditoría interna puede localizar
la organización. Estas dos actividades están relacionadas y los rápidamente las tiendas con mayor grado de riesgo y desarrol-
auditores pueden utilizar una evaluación continua de riesgos lar un enfoque de auditoría más oportuno, eficiente y eficaz.
para identificar y evaluar niveles cambiantes de riesgo. Esto
les permite evaluar las actividades de mitigación de riesgos de Desarrollo del plan de auditoría
la dirección y respalda el desarrollo de objetivos para audi- En lugar de programar auditorías de acuerdo con un ciclo es-
torías individuales y del plan de auditoría anual. tándar de rotaciones de uno, dos o tres años, la frecuencia
La evaluación continua de riesgos se puede utilizar para de las auditorías se debe basar en los factores de riesgo de un
identificar y evaluar el riesgo en forma permanente. Se logra proceso de negocio. En un alto nivel, la evaluación continua
no sólo comparando las transacciones con valores límite sino de riesgos respalda el desarrollo de planes de auditoría, permi-
también utilizando un análisis comparativo de la totalidad tiendo la identificación controlada por datos y la evaluación
de las transacciones. Con este tipo de comparación, los audi- de indicadores de riesgo. Respalda tanto el establecimiento
tores pueden examinar la consistencia de un proceso midien- del universo de la auditoría como la recopilación de datos
do la variabilidad de diversas dimensiones. En producciones, cuantitativos, lo que le permite al departamento de auditoría
por ejemplo, medir la variabilidad en la cantidad de defectos interna centrarse en las prioridades de riesgo más alto de la
es un método para probar la consistencia de una línea de compañía y destinar los recursos apropiados a áreas nuevas y
producción. Cuanta más variabilidad haya en la cantidad de cambiantes.
defectos, más preocupaciones se generarán acerca del funcio- El primer paso es definir el grado del alcance y la cober-
namiento correcto y consistente de la línea de producción. tura de la actividad de auditoría, luego identificar medidas
Esta misma premisa se puede aplicar a la medición de la inte- de materialidad e indicadores de riesgo usando datos de di-
gridad de un sistema financiero midiendo la variabilidad (por versos sistemas de negocio, como sistemas de información
ejemplo: cantidad y valor en dólares de los asientos de ajuste) financiera, operativa y de recursos humanos. En términos de
a través del tiempo y en comparación con otras entidades materialidad, un enfoque es analizar el tamaño relativo de
similares. El concepto de variabilidad es el factor de diferen- cada entidad, mientras que los indicadores de riesgo pueden
ciación clave de la evaluación continua de riesgos frente a los tener en cuenta la complejidad de la entidad en relación con
módulos de auditoría integrados e informes de excepción. otras entidades. La evaluación continua de riesgos también
Al realizar evaluaciones continuas de riesgos, los DEA debe incluir una revisión de los resultados de la función de
pueden aplicar un contexto más estratégico al desarrollo supervisión de la dirección, por ejemplo: medidas de desem-
de planes de auditoría y hacer ajustes constantes cuando peño, control de calidad y separación de funciones.
cambian los perfiles de riesgo para mantener el plan de
auditoría vigente durante todo el año y para asignar recur- Ejemplo: Desarrollo del plan de auditoría
sos de auditoría escasos y con un alto nivel de capacitación El desarrollo de un plan de auditoría basado en el riesgo
a las áreas que representan la mayor exposición al riesgo en ABC Corp. requirió el establecimiento de un universo de
para la organización. Las evaluaciones continuas de ries- la auditoría y definiciones de entidades de auditoría; la reco-
gos también pueden destacar áreas donde no hay controles pilación y el análisis de datos cualitativos como planes de ne-
o donde los controles no funcionan correctamente, indican- gocio, organigramas, colaboración de la dirección y sesiones
do a los auditores que deben realizar evaluaciones continuas simplificadas; la recopilación, la normalización y el análisis de
de control en áreas específicas. Por lo tanto, la evaluación datos cuantitativos como información financiera, operativa y
continua de riesgos puede contribuir no sólo con el plan de recursos humanos; y el establecimiento de prioridades de
de auditoría, sino también con las actividades de evaluación auditorías (entidades) basado en indicadores de riesgo.

15
GTAG — Áreas de aplicación de la auditoría continua — 5

A continuación se describe de qué forma ABC Corp. uti- los indicadores de riesgo determinados. Las entidades fueron
lizó la evaluación continua de riesgos para respaldar el desar- clasificadas teniendo en cuenta las demás entidades, no sus
rollo del plan de auditoría anual. La evaluación continua de valores límite. Como no se utilizó un número absoluto ni un
riesgos se utilizó para medir y establecer la prioridad del nivel valor límite para ningún atributo, no fue necesario ajustar los
de riesgo inherente relacionado con las finanzas, los recursos parámetros a medida que mejoraba el desempeño.
humanos y las operaciones de cada entidad de auditoría. Con un entorno de negocio de rápido cambio, es posible
Medidas e indicadores financieros – La materialidad que los planes de auditoría anuales no tengan la suficiente
financiera se abordó principalmente la cantidad total de capacidad de respuesta para los niveles cambiantes de riesgo.
dólares en gastos, ingresos y activos. Esto varió significativa- Sin embargo, con actividades asistidas por la tecnología, es
mente; por ejemplo: no todas las entidades de auditoría tenían sencillo actualizar las evaluaciones de riesgos y supervisar los
ingresos y algunas no tenían activos. Los indicadores de com- indicadores de riesgo en forma permanente. Las pruebas de
plejidad contemplaron no sólo los cambios en comparación evaluación de riesgos se pueden ejecutar con frecuencia para
con el año anterior y el tamaño relativo, sino también el- garantizar que las auditorías planificadas aborden los riesgos
ementos como la cantidad de centros de responsabilidad, el actuales o emergentes. Además, al comparar los resultados de
porcentaje de gastos discrecionales y si la entidad tenía que las evaluaciones de riesgos a través del tiempo, los auditores
gestionar gastos, ingresos y activos. Por ejemplo: la Entidad pueden anticipar exposiciones a riesgos emergentes antes de
A, con $15 millones en gastos (principalmente para pago de que sean graves. Los resultados se pueden utilizar a fin de
salarios) no tendría el mismo nivel de riesgo financiero que establecer los parámetros para la acción de auditoría formal y
la Entidad B, con $5 millones en gastos (de los cuales el 82% para determinar sus intervalos.
son discrecionales), $10 millones en ingresos y $12 millones La respuesta de auditoría puede variar en intensidad y
en activos. Además, si este es el primer año que la Entidad B urgencia de acuerdo con el nivel de riesgo. La identificación
registra ingresos, el nivel de riesgo financiero será mayor. temprana de un riesgo tal vez no requiera una auditoría
Medidas e indicadores de recursos humanos – La mate- completa, sino una simple carta a la dirección que resuma la
rialidad de recursos humanos tuvo en cuenta principalmente exposición y mediante la cual se solicite una respuesta de la
la cantidad total de personal, mientras que los indicadores dirección. Así no sólo se centrarán los recursos de auditoría
de complejidad analizaron la combinación de personal (por en las áreas de mayor riesgo, sino que también se maximizará
ejemplo: empleados vs. contratistas, de tiempo completo vs. la eficacia de esos recursos.
de medio tiempo) así como la rotación de personal y la pér-
dida de talentos clave. También analizó los cambios en com- Respaldo a la auditoría individual
paración con años anteriores (por ejemplo: una organización La evaluación continua de riesgos también colabora con la
de rápido crecimiento puede tener distintos riesgos que una auditoría individual al respaldar la identificación y la evalu-
organización estable) y la cantidad de ubicaciones (es decir, la ación de riesgos, y el desarrollo del alcance y los objetivos.
distribución geográfica) de la entidad. Además, se puede utilizar para determinar qué ubicaciones
Medidas e indicadores operativos – En ABC Corp., las se visitarán e identificar criterios específicos (por ejemplo:
medidas y los indicadores operativos se ocuparon de la cuantía líneas de consulta).
de productos; por eso, la materialidad también estuvo ligada La principal diferencia entre el uso de la evaluación
a la cantidad de estos. La complejidad estuvo relacionada no continua de riesgos para desarrollar un plan de auditoría anual
sólo con los cambios en la cantidad y la combinación de pro- para toda la empresa y para respaldar la auditoría individu-
ductos, sino también con el tiempo de demora de la produc- al es el grado de información detallada que se emplea para
ción, la capacidad de respuesta a las demandas de los clientes identificar y evaluar el riesgo. Es probable que el plan de au-
y la complejidad del proceso de fabricación. La complejidad ditoría para toda la empresa sólo requiera información resu-
de la fabricación se desglosó en tres categorías (alta, media y mida de cada entidad, mientras que para una auditoría indi-
baja) de acuerdo con la cantidad de tiempo involucrado en el vidual, se requiere información más detallada para identificar
proceso de fabricación. El concepto fue que un producto con riesgos a un nivel que respalde la definición del alcance de
un proceso de fabricación de 20 horas no sólo insume más la auditoría y el desarrollo de objetivos de auditoría para una
tiempo para su producción, sino que acarrea un nivel más auditoría determinada.
alto de riesgo operativo que un producto con un proceso de En una auditoría convencional, el grado y el alcance de
fabricación de dos horas. El personal de fabricación consideró los procedimientos de revisión analíticos están limitados por
a esta presunción como un elemento representativo razonable el tipo y la cantidad de datos que se pueden recabar con téc-
de la complejidad. nicas tradicionales. La auditoría continua permite aumentar
Después de que todos los datos de los tres sistemas de la cantidad y el alcance de los datos disponibles para el audi-
negocio fueron recabados, normalizados y analizados para tor. La implementación de una metodología de auditoría con-
cada entidad de auditoría, se calculó el puntaje relativo para tinua posibilita ampliar el alcance y aumentar el grado de los
cada entidad. El puntaje se determinó contando la cantidad procedimientos de revisión analítica radicalmente. Por ejem-
de veces que la entidad estuvo entre las 10 principales por plo: una conciliación anual, una vez automatizada, se puede

16
GTAG — Áreas de aplicación de la auditoría continua — 5

programar dentro de un procedimiento de auditoría continua cadores apropiados que se puedan medir electrónicamente.
y llevarse a cabo con mayor frecuencia. Los coeficientes que Estos indicadores pueden ser elementos representativos de lo
se calculan en las revisiones analíticas se pueden incorporar que se está midiendo. Por ejemplo: si una auditoría determina
al software de auditoría continua, computar con más frecuen- que los empleados tienen la moral baja, una recomendación
cia, y revisar y comparar con valores críticos. De este modo, se podría centrar en mejorar las comunicaciones. El auditor
se pueden marcar variaciones significativas. puede medir la cantidad de días de ausencia por enfermedad
que se registran o la cantidad de reclamos formales denun-
Ejemplo: Respaldo a la auditoría de cuentas a pagar (CP) ciados. Si bien estos indicadores no miden directamente la
Como parte de la evaluación de riesgos realizada durante la moral, el auditor los puede utilizar ya que reflejarían los cam-
planificación de una auditoría de la función de CP (que se bios en la moral. La evidencia de una reducción en los días
llevará a cabo en diversos sitios en todo el país), el auditor cal- de ausencia por enfermedad y los reclamos formales se podría
culó el volumen y el costo por transacción procesados por las utilizar para demostrar que se implementaron mejores méto-
oficinas de CP, y la cantidad y las aptitudes de la dotación de dos de comunicación y que iban logrando el efecto deseado.
personal. El análisis general determinó que CP estaba descen-
tralizado, sin procesos estándar. Además, diferentes tipos de Ejemplo: Órdenes de compra
transacciones se procesaron en oficinas diferentes. Además, Un control financiero requiere que cada compra superior
los auditores utilizaron “costo por transacción” y “cantidad de a $5.000 haga referencia a una orden de compra. Los audi-
transacciones por usuario” para evaluar el impacto de distin- tores establecieron una prueba de auditoría continua con la
tas operaciones de procesamiento de facturas e identificaron cual examinaron todas las facturas superiores a $5.000 para
problemas en la eficacia y eficiencia de ciertas oficinas. Los validar la referencia de la orden de compra requerida. En un
resultados se utilizaron para determinar qué ubicaciones se principio, se marcaron muchos casos en los cuales los com-
debían visitar como parte del trabajo en el lugar. pradores no respetaban esta política. Los auditores recom-
Cuando la misma auditoría se lleva a cabo una vez al endaron un cambio en los controles de edición del sistema
año o en distintas ubicaciones, se pueden realizar pruebas de financiero. Un mes más tarde, después de la implementación
auditoría específicas y los resultados se pueden comparar con del nuevo cotejo de edición, la prueba indicó que todas las
otras entidades o a través del tiempo. La evaluación continua transacciones superiores a $5.000 hacían referencia a una
de riesgos se puede utilizar para observar riesgos específicos, orden de compra.
como no poder usar eficazmente las tarjetas corporativas. Por A pesar de que la prueba indicaba que los controles
ejemplo: la comparación de datos de dos años de cada entidad funcionaban, el auditor quería saber si funcionaban cor-
para identificar tendencias permite a los auditores compren- rectamente. Se realizó una prueba rápida para determinar la
der mejor qué entidades están progresando. La evaluación cantidad total de facturas que hacían referencia a una orden
continua de riesgos también se puede utilizar para evaluar el de compra y para comparar este total con la cantidad de las
impacto de cualquier cambio en el proceso llevando a cabo órdenes de compra. Como las entregas relacionadas con una
el mismo análisis en años subsiguientes. Por otro lado, se orden de compra se pueden recibir en varios envíos, algunas
pueden agregar datos de años futuros fácilmente para evaluar órdenes de compra tenían varias facturas. Sin embargo, el
el impacto de la implementación de las recomendaciones de auditor se sorprendió al encontrar órdenes de compra con
auditoría. 100 facturas o más y pagos totales que superaban cientos de
veces el monto original de la orden de compra. El auditor
Seguimiento de las recomendaciones de determinó que, si bien cada factura superior a $5.000 hacía
auditoría referencia a una orden compra, algunos usuarios utilizaban la
Al vincular indicadores controlados por datos con recomen- misma orden de compra una y otra vez.
daciones, los auditores pueden utilizar evaluaciones con- El seguimiento de las recomendaciones de auditoría ex-
tinuas de riesgos para determinar si las recomendaciones se aminó todas las transacciones superiores a $5.000 y deter-
han implementado y si están logrando el efecto deseado de minó que la recomendación inicial había asegurado que las
reducir el nivel de riesgo. En particular, si se utilizó la evalu- órdenes de compra estuvieran referenciadas, pero no abordó
ación continua de riesgos para identificar y evaluar el riesgo el problema de las facturas que no hacían referencia a la orden
como parte del desarrollo del alcance y los objetivos de audi- de compra correcta.
toría, se pueden emplear los mismos indicadores para evaluar
el impacto de la implementación de las recomendaciones de Conclusión
auditoría. La evaluación continua de riesgos no es un sistema estático.
En una situación ideal, cada auditoría identificará indi- La identificación de indicadores y la evaluación de su uso
cadores controlados por datos para cada recomendación. Esto y valor son tareas clave. Los riesgos internos y externos se
facilitará el establecimiento de una base y la comparación deben evaluar continuamente para poder abordar los riesgos
de resultados, antes y después de implementar la recomen- que se avecinan en forma oportuna y para que la organización
dación. Sin embargo, los auditores deberán encontrar indi- responda al entorno de riesgos cambiantes. El DEA debe ga-

17
GTAG — Áreas de aplicación de la auditoría continua — 5

rantizar que se han implementado sistemas de notificación


apropiados que permitan una retroalimentación sobre ries-
gos emergentes. Se debe dar prioridad a las alertas de riesgo
y se deben gestionar sabiendo claramente quién las recibe,
cómo se comunican y qué medida se debe tomar. En segundo
lugar, los auditores deben recibir continuamente una retroali-
mentación referida a la utilidad de la auditoría continua para
la evaluación del riesgo y deben desarrollar estrategias para
mejorar el proceso e informar los resultados. En especial, el
DEA debe determinar cómo se utilizarán los resultados de la
auditoría en la actividad de ERM que realiza la dirección.

18
GTAG — Implementación de la auditoría continua — 6

La noción de auditoría continua no es un concepto complejo; Objetivos de la auditoría continua


no obstante, los auditores internos no la han implementado Muchas organizaciones han estado evaluando la introduc-
en forma generalizada y la alta dirección no ha aceptado ni ción de la auditoría continua para respaldar los requerimien-
financiado por completo la tecnología necesaria. La imple- tos de evaluación de control que imponen las regulaciones,
mentación exitosa requiere que todas las partes involucradas como Sarbanes-Oxley. Si bien tener un sistema automa-
estén convencidas y necesita un tratamiento por fases que tizado adecuado para los controles de prueba contribuye a
al principio aborde los sistemas más críticos de negocio. Si la evaluación de los controles internos y al mandato general
bien cada organización es diferente, existen varias activi- de lograr un nivel superior de gobierno corporativo, los bene-
dades comunes que deben planificarse y administrarse cui- ficios adicionales de un mejor desempeño del negocio pueden
dadosamente al momento de desarrollar y respaldar el uso ser igualmente significativos. Es importante que el DEA
de la auditoría continua (consulte “Pasos clave” más abajo). considere los objetivos de la auditoría continua a corto y
La secuencia de estas actividades puede variar. Además, es largo plazo. El esfuerzo que implica acceder a procesos y
posible que haya otras actividades que no estén identificadas sistemas de negocio clave y conocerlos ofrece la posibilidad
a continuación, especialmente cuando se desarrolla la audi- de reducir la carga de cumplimiento y eliminar los obstáculos
toría continua para respaldar una auditoría específica. para el desempeño del negocio.

PASOS CLAVE
Objetivos de la auditoría continua
• Definir los objetivos de la auditoría continua.
• Obtener y gestionar el respaldo de la alta dirección.
• Determinar el grado en que la dirección está cumpliendo su función de supervisión.
• Identificar y establecer prioridades entre las áreas a abordar y los tipos de auditoría continua a realizar.
• Identificar sistemas de información clave y fuentes de datos.
• Comprender los sistemas de aplicación y los procesos subyacentes de negocio.
• Desarrollar relaciones con la gestión de TI.
Uso y acceso a datos
• Seleccionar y adquirir herramientas de análisis.
• Desarrollar capacidades de acceso y análisis.
• Desarrollar y mantener técnicas y habilidades de análisis del auditor.
• Evaluar la integridad y fiabilidad de los datos.
• Depurar y preparar los datos.

Evaluación continua de control Evaluación continua de riesgos


• Identificar puntos de control críticos. • Definir las entidades a evaluar.
• Definir reglas de control. • Identificar categorías de riesgos.
• Definir excepciones. • Identificar indicadores de riesgo/desempeño controlados por datos.
• Diseñar un enfoque tecnológico para pruebas de • Diseñar pruebas analíticas para medir mayores niveles de riesgo.
control y para identificar deficiencias.

Informar y gestionar resultados


• Establecer prioridades y determinar la frecuencia de las actividades de auditoría continua.
• Ejecutar pruebas de manera regular y oportuna.
• Identificar deficiencias de control o mayores niveles de riesgo.
• Establecer prioridades entre los resultados.
• Iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección.
• Gestionar resultados (rastreo, informe, supervisión y seguimiento).
• Evaluar los resultados de las acciones implementadas.
• Supervisar y evaluar la eficacia del proceso de auditoría continua (tanto el análisis, por ejemplo, reglas e indicadores, como los
resultados obtenidos) y modificar los parámetros de prueba, según sea necesario.
• Garantizar la seguridad del proceso de auditoría continua y asegurar que existan las vinculaciones correspondientes con las
iniciativas de la dirección, como por ejemplo, la ERM, la supervisión y la medición de desempeño.

19
GTAG — Implementación de la auditoría continua — 6

Ahora es momento de ir más allá del simple análisis trimes- de control identificada o del área de riesgo.
tral de la confiabilidad de los informes financieros, para pasar
a adoptar un paradigma de auditoría continua que contribuya Determinar el alcance de las pruebas
con la estabilidad general de la organización y con su eficacia El próximo paso del proceso es determinar el alcance de las
y eficiencia operativas. En especial, el departamento de au- pruebas detalladas de controles y riesgos que la actividad de
ditoría interna debe ocuparse de los controles del proceso de auditoría deberá llevar a cabo. Un factor clave para deter-
negocio punto a punto (COSO) y de TI (Objetivos de control minar esto será la idoneidad de las acciones de la dirección
de información y tecnologías relacionadas o CoBIT, en inglés) y las actividades de supervisión. El DEA debe examinar el
que están presentes prácticamente en todas las actividades de enfoque de control y las áreas abordadas por la Gestión de
negocio. La confiabilidad de los sistemas del negocio y de los Riesgo Empresarial (ERM). Si la dirección cuenta con pro-
datos transaccionales es esencial, no sólo para el enfoque de cesos consolidados y en funcionamiento para evaluar los
control interno y la integridad de los informes financieros, controles y el riesgo, la actividad de auditoría podrá confiar
sino también para la eficiencia de las operaciones de nego- más en los niveles de control y riesgo que se informan. Por
cio. Por lo tanto, garantizar la confiabilidad, integridad y di- el contrario, si el DEA determina que los procesos no son
sponibilidad de los datos y los sistemas de negocio debe ser adecuados, los auditores se verán obligados a realizar sus pro-
un objetivo clave del DEA y de la alta dirección. La auditoría pias evaluaciones detalladas de los controles y los riesgos con
continua puede ayudar a que la organización logre su objetivo mayor frecuencia.
al facilitar la evaluación de la eficacia de los controles y los
niveles de riesgo. Identificar fuentes de información
A continuación, se presenta una descripción de los Una vez que se determinó el alcance de la auditoría continua,
pasos necesarios para implementar una solución de auditoría el próximo paso es identificar la información requerida para
continua. abordar los objetivos definidos y para determinar las posibles
fuentes donde obtener esa información. Si bien este paso es
Definir los requerimientos de la auditoría similar al realizado para cualquier revisión de control o au-
Para cumplir con los objetivos emergentes de la auditoría, ditoría (ya sea asistida por computadora o no), los auditores
los DEA deben comprender los futuros procesos de auditoría deben tratar de evitar que los condicionen antiguos modos
y las técnicas de auditoría continua. Los auditores internos de pensamiento. Deben comprender claramente qué están
deben definir los requerimientos de manera adecuada, con intentando lograr antes de definir los requerimientos de in-
la colaboración de la dirección y de auditores externos. Para formación. Deben identificar qué se debe lograr, no cómo se
esta tarea, los auditores deben comprender los procesos de logrará. El “cómo” se determinará en una etapa posterior.
negocio, la organización y la industria, los controles relacio-
nados, además del uso de soluciones tecnológicas. Esto requi- Negociar el acceso a los datos
ere una inversión de tiempo; pero si la auditoría continua se Obtener los datos correctos es una coyuntura crítica en la
va a utilizar para probar los controles, identificar y evaluar el implementación de la auditoría continua. El DEA debe
riesgo, detectar y evitar el fraude, o bien, para respaldar otras identificar las aplicaciones de negocio a las que debe obten-
auditorías, los beneficios merecen el esfuerzo. er acceso el departamento de auditoría y determinar cuáles
de estas aplicaciones son las más críticas. El próximo paso
Obtener respaldo de la dirección es trabajar en forma conjunta con los propietarios de los
Una vez que se definieron los objetivos de la auditoría con- sistemas para negociar los derechos de acceso. Es fundamen-
tinua, se debe obtener el respaldo del comité de auditoría y tal tener una buena relación laboral con la gestión de TI,
de la alta dirección. No sólo deben tener conocimiento de ya que generalmente se requiere su ayuda, aún cuando los
la iniciativa de auditoría continua, sino que además deben auditores sean expertos en el uso de herramientas analíticas
respaldarla en forma integral. El comité de auditoría y la alta de datos. A menudo, falta o está desactualizada la documen-
dirección deben conocer los prerrequisitos, especialmente los tación del sistema correspondiente a la empresa, la computa-
requerimientos de acceso y deberán saber cómo y dónde se dora central o a las aplicaciones desarrolladas a medida que
informarán los resultados. De no ser así, cuando se identi- almacenan las fuentes de datos requeridos; y la única fuente
fiquen anomalías en las transacciones y se pida explicaciones de información sobre los conjuntos de datos es el personal de
a los gerentes, la legitimidad de la actividad de auditoría con- asistencia de TI.
tinua se podría ver cuestionada. Al intentar obtener una ex- Todos los auditores deben ser conscientes de la impor-
plicación, de parte del gerente, sobre transacciones inusuales, tancia que tiene identificar las fuentes electrónicas de in-
su primera pregunta bien podría ser: “No estaba informado formación dentro y fuera de la compañía. Por ejemplo, los
de que hubiese auditorías aprobadas en esta área. ¿Con qué se auditores que realizan trabajo de campo en las oficinas de
relaciona esta auditoría?” Estas preguntas retardan el proceso sucursales podrían buscar aplicaciones desarrolladas por el
puesto que el auditor deberá explicar el concepto y los objeti- usuario final que pueden resultar de utilidad para la auditoría
vos de la auditoría continua antes de ocuparse de la debilidad continua. Los auditores deben esforzarse por buscar, recop-

20
GTAG — Implementación de la auditoría continua — 6

ilar, analizar, interpretar y documentar fuentes automatizadas • Analizar copias de todos los documentos de entrada
de información que respalden sus resultados. La información y salida.
recopilada debe ser fáctica, relevante y útil, además de estar • Estudiar las disposiciones de registros correspondi
verificada con la fuente, para brindar un fundamento sólido entes a todos los archivos de datos, incluso las
a los resultados. Al buscar fuentes de información, los audi- descripciones de campo y las explicaciones de los
tores deben comenzar suponiendo que la información existe posibles valores para cada campo.
en formato electrónico y, cuando sea posible deben: • Analizar informes de resumen, excepción y
• Determinar las posibles fuentes y sistemas de recuentos de transacciones y compararlos con otros
aplicación. informes o sistemas.
• Identificar a los propietarios de la información. (Es
posible que los auditores necesiten el permiso de Al involucrar a todos los auditores en el proceso de iden-
estos antes de que TI pueda otorgarles acceso al tificar posibles fuentes de información, se contribuye a cam-
sistema de aplicación o a los archivos de datos). biar la perspectiva de auditoría para pasar del pensamiento
• Identificar al programador o analista de sistemas tradicional centrado en el pasado a una visión de miras am-
responsables del sistema de aplicación. plias hacia el futuro en la que se utiliza la auditoría continua
• Obtener toda la documentación necesaria, como dic como una herramienta de auditoría integral. El resultado fi-
cionario de datos, disposición de registros, panorama nal de este esfuerzo debe ser una comprensión detallada de
general del sistema y procesos de negocio. los sistemas de negocio clave, los controles y los elementos de
datos clave. Además, los auditores deben tener derechos de
Los auditores no deben limitarse al primer sistema de acceso seguro y tener la capacidad necesaria para efectuar la
información que descubran. Al realizar una búsqueda más extracción, la normalización y el análisis de los datos.
intensa, generalmente encontrarán mejores fuentes o fuentes
que confirman mejor la información requerida. Los propi- Identificar riesgos y controles clave
etarios del proceso de negocio y del sistema pueden ser de La meta principal de la auditoría continua es garantizar la efi-
valor incalculable en este proceso. Las conversaciones con cacia de todos los controles y ayudar a mitigar riesgos. En la
los propietarios de los datos y los analistas o programadores práctica, esto se puede lograr mejor al identificar los controles
de las aplicaciones serán de ayuda a los auditores para deter- clave y las categorías de riesgos. Como se observa en las pautas
minar la mejor fuente de información. Estas conversaciones del Consejo de Supervisión Contable de Sociedades Pública
también pueden servir además para identificar campos clave (PCAOB, en inglés) para la implementación de la Norma de
y otras fuentes de datos útiles. Considere siempre las fuentes Auditoría N.º 2, los auditores deben utilizar la evaluación de
de datos tanto de la oficina local como de la casa central. riesgos para determinar qué controles se deben analizar. El
Cuando hay dos fuentes de datos, las comparaciones pueden DEA debe dedicarse a las actividades que le proporcionarán
resultar sumamente productivas para identificar deficiencias el mayor y más inmediato retorno de inversión. Los auditores
de control y exposiciones al riesgo. deben fundamentarse en historias de éxito que demuestren la
factibilidad y utilidad de la auditoría continua. Por lo tanto,
Comprender los procesos de negocio es necesario establecer la prioridad de los sistemas y proce-
Una vez que se identificaron las principales fuentes de datos, sos de negocio predispuestos a la auditoría continua. En la
los auditores deben comprender no sólo los sistemas de infor- fijación de los objetivos, el DEA también debe determinar el
mación, sino también los procesos de negocio respaldados. Se conocimiento, las aptitudes y las disciplinas necesarias para
puede lograr una compresión básica a través de la document- realizar la auditoría continua eficazmente. En especial, los au-
ación existente, mediante las siguientes tareas: ditores deberán tener el tipo y nivel apropiados de experien-
• Revisar la documentación descriptiva del sistema cia técnica y acceso a tecnologías específicas y adecuadas.
general, como manuales del usuario y del programa-
dor, diagramas de flujo del sistema, copias de docu- Uso y acceso a datos
mentos de entrada, ejemplos de informes de salida y Al igual que en el uso de cualquier tecnología, la auditoría
descripciones de los controles del sistema. continua no es un problema puramente técnico; no obstante,
• Entrevistar a programadores y usuarios del sistema. la selección de la tecnología propicia es crítica para el éxito a
• Entrevistar a los gerentes del proceso de negocio. largo plazo. (Consulte Continuous Auditing: Potential for In-
• Revisar informes de excepción e informes de normas ternal Auditors, Chapter 5 – Enabling Technologies, IIARF,
existentes. 2003, para obtener una lista de las tecnologías que probable-
mente cumplan un rol en el desarrollo de metodologías de
Se puede obtener un conocimiento más exhaustivo del auditoría continua). Un conjunto claro de objetivos de au-
sistema al: ditoría continua y un plan para determinar los correspondi-
• Analizar diagramas de flujo detallados del sistema y/o entes riesgos y prioridades servirá de guía para seleccionar el
una descripción de los flujos de datos. software correspondiente. Al seleccionar el software para la

21
GTAG — Implementación de la auditoría continua — 6

auditoría continua, el DEA debe tener en cuenta las fuentes • Obtener acceso independiente a los archivos de datos
de datos, los formatos y los volúmenes de transacciones. Tam- del sistema, sin utilizar el software de la aplicación,
bién es importante analizar el entorno informático de la com- y extraer y preparar los datos que utilizará el software
pañía y los futuros planes para los sistemas de negocio clave. de auditoría continua.
A pesar de que es probable que se requieran aplicaciones de • Realizar copias de los informes de normas y guardar
auditoría continua más sofisticadas para la sostenibilidad a los en formato electrónico para análisis futuro.
más largo plazo, también existen opciones para aprovechar la • Realizar consultas o generar informes con un escritor
flexibilidad de las soluciones de software analítico específicas de informes.
de auditoría. El software de auditoría puede leer diversos tipos • Obtener acceso físico y lógico al sistema cliente e
de datos, como por ejemplo, los sistemas heredados de com- iniciar sesión como usuario con derechos de acceso
putadora central, cliente-servidor y sistemas de acceso a In- de sólo lectura.
ternet, o bien, aplicaciones de planificación de recursos em-
presariales, como SAP, Oracle y PeopleSoft. Puede combinar La combinación de métodos de acceso utilizada debe
y analizar fácilmente datos de varios sistemas y plataformas. permitir que los auditores efectúen la auditoría continua
Como es de esperar, la auditoría continua requiere acceso de forma oportuna, además de identificar e informar las
a datos. Los departamentos de auditoría que no cuentan con transacciones destacadas. También debe permitir que los
acceso electrónico seguro a los datos de su compañía ya no auditores identifiquen fácilmente las transacciones con
tienen excusas, y quizás, tampoco les quede tiempo. Con los parámetros similares y realicen un seguimiento de las tran-
avances tecnológicos (tanto en hardware como en software), sacciones indicadas.
el problema de acceso a los datos ya no es un obstáculo técnico El acceso y el uso de datos de prácticamente cualquier
importante y no requiere hardware especializado ni tampoco fuente requieren una buena comprensión de la disposición
la participación del personal de TI. Con frecuencia, los prob- de los registros. Existen varios atributos de archivos posibles
lemas de accesibilidad surgen de la reticencia de la dirección cuando se obtiene acceso a los datos o se los transfiere. Es
para dar acceso, a los auditores, a los sistemas de aplicación importante comprender la estructura de los archivos de
de la organización. Generalmente, los auditores necesitan el datos, no sólo en el nivel principal (por ejemplo, un archivo
respaldo de la dirección para obtener acceso físico y lógico a plano, un archivo delimitado o varias bases de datos relacio-
la información requerida. Para ello, es posible que se requiera nales) sino también en el nivel de los campos. La disposición
una declaración, por parte de la alta dirección, en el estatu- de registros contiene información acerca de cómo se estruc-
to de auditoría, como la siguiente: “Los auditores tendrán turan los registros y sobre qué campos se almacenan en un
acceso a todos y cada uno de los sistemas de aplicación y a la archivo de datos. Se utiliza como referencia al momento de
información que requieran para desempeñar sus funciones”. definir los datos para el paquete de análisis, ya que propor-
Al tener el respaldo asegurado de la dirección para obtener ciona información sobre nombres de campos, tipos de datos,
acceso a los sistemas y a la información, los auditores deben longitudes de los campos y decimales.
garantizar que los propietarios de los datos estén bien infor- Para poder comenzar la auditoría continua, el auditor
mados de sus derechos y requerimientos de acceso. El DEA debe tener acceso al archivo de datos. Esto generalmente
debe garantizar además que el acceso y uso de los datos de los requiere que se transfieran los datos del sistema de negocio a
sistemas de negocio no afecten negativamente el desempeño la computadora del auditor. En la actualidad, existen varios
operativo de esos sistemas y que la tecnología de auditoría sea métodos diferentes para lograr esa transferencia. Las conver-
compatible con el entorno de TI de la empresa. saciones con los propietarios del sistema de negocio pueden
ayudar a los auditores a determinar cuál es el mejor método
Obtener acceso a los datos de transferencia y el formato de archivos de datos que mejor
Para utilizar la auditoría continua eficazmente (realizar un se adapta a la auditoría continua.
análisis y seguimiento continuos de los resultados) es necesa-
rio obtener acceso a la información en formato electrónico. Desarrollar conocimiento y aptitudes técnicas de
El método de acceso dependerá de los objetivos establecidos auditoría
para la auditoría continua y debe contemplar factores como La Norma 1210 del IIA requiere que la auditoría interna en su
volúmenes de datos, tráfico de red, desempeño del sistema, conjunto posea u obtenga los conocimientos, las aptitudes y
etc. El DEA deberá garantizar además que se hayan obtenido demás competencias necesarias para desempeñar las respon-
los derechos de acceso adecuados. Para la computadora cen- sabilidades al respecto. La primera GTAG, que habla sobre
tral y los sistemas cliente-servidor, se requiere un acceso con controles de tecnología de la información, establece que “Se
permiso de seguridad y de sólo lectura. necesitan diversos niveles de conocimiento de TI en toda
La auditoría continua generalmente requiere una combi- la organización para proporcionar un enfoque sistemático y
nación de varios de los siguientes métodos de acceso: disciplinado que permita evaluar y mejorar la eficacia de los
• Implantar el software de auditoría continua en el procesos de gestión de riesgos, control y gobierno. Los cono-
sistema de negocio para procesar los datos en el lugar. cimiento sobre cómo se utiliza la TI, sus riesgos asociados y la

22
GTAG — Implementación de la auditoría continua — 6

capacidad de utilizar la TI como recurso son esenciales para previas o informes de auditoría (por ejemplo, integri-
que el auditor sea eficaz en todos los niveles”.5 dad sintáctica, semántica y pragmática de los datos).
El informe de investigación del Instituto Canadiense
de Contadores Certificados (CICA, en inglés) y del Insti- Dado que todos los auditores son una fuente potencial
tuto Estadounidense de Contadores Públicos Certificados de información en cuanto a aplicaciones locales y corpo-
(AICPA, en inglés) sobre auditoría continua también desta- rativas, la comunicación es un tema fundamental para
ca que es esencial que los auditores tengan un alto nivel poder entender las fuentes de información. El conocimiento
de conocimiento experto en TI y en el tema a auditar. Por obtenido de manera informal y a través de otros canales
consiguiente, el departamento de auditoría debe tener per- también se debe compartir. Los departamentos de auditoría
sonal competente y capacitado de manera adecuada, o des- deben desarrollar mecanismos, como Intranet o software
ignado específicamente, para respaldar la auditoría conti- para grupos, para garantizar que todos los auditores obten-
nua. En especial, los auditores encargados de desarrollar y gan acceso a los sistemas de información y a la document-
mantener las aplicaciones de auditoría continua deberán ación asociada.
conocer a fondo los sistemas a los que se accede y los sistemas
subyacentes, además de las funciones que generan las tran- Garantizar la integridad de los datos
sacciones supervisadas. La integridad de los datos es muy importante para imple-
En la etapa inicial, la susceptibilidad de los parámetros, mentar las técnicas de auditoría continua sin problemas. Los
la solidez de los análisis y otros factores pueden hacer auditores deben garantizar la integridad no sólo de su análi-
que la auditoría continua marque una gran cantidad de sis, sino también de los datos y de la interpretación de los
transacciones. Eso es una consecuencia habitualmente es- resultados. Inicialmente, los auditores deberán realizar una
perable. La carga de trabajo que se requiere para realizar un evaluación de la integridad de datos de los sistemas de nego-
seguimiento de los resultados disminuirá a medida que me- cio. Pero, ¿de qué manera y hasta qué grado se debe analizar la
joren los controles, se redefinan los análisis y se optimice la integridad? ¿Cuándo es demasiado (es decir, sobre-auditoría)
auditoría continua. y cuándo no es suficiente (es decir, subauditoría)? Las respues-
Los resultados preliminares de la auditoría continua tas a esas preguntas se hallarán cuando se evalúen las con-
también pueden tender a errores de interpretación de los secuencias de confiar en resultados incorrectos y cuando se
datos o los resultados. Esto generalmente se debe a la falta determine la cantidad de pruebas y verificaciones necesarias
de compresión y familiaridad con los sistemas de negocio y para reducir los riesgos de auditoría a un nivel aceptable.
con la naturaleza de las pruebas que se llevan a cabo. Los
auditores deben tener un conocimiento sólido del sistema de Considerar los usos de los datos
información y de los datos subyacentes que lo respaldan. Para Ahora que los auditores ya han identificado los sistemas de
que la auditoría continua sea exitosa es esencial compren- negocio clave, han obtenido acceso a los datos y han veri-
der los datos analizados antes de informar los resultados. Si ficado su integridad, deben considerar cómo se utilizarán
no se comprende qué representan los datos, inevitablemente los datos. Una de las fortalezas de la auditoría continua
se establecerán conclusiones falsas que no identifican debili- es la capacidad de extraer datos de diversos sistemas de la
dades críticas o que identifican debilidades donde no las hay. organización y combinarlos para lograr un análisis cru-
El tiempo y el esfuerzo dedicados a comprender los datos (y zado más profundo entre las plataformas. Por ejemplo, una
garantizar su precisión e integridad) ayudarán a los auditores organización puede tener un control que determine que
a presentar un análisis correcto. Esto se puede lograr reali- todas las compras que superen los $5.000 deben hacer
zando las siguientes tareas: referencia a una orden de compra. No obstante, los datos de
• Revisar elementos de datos y campos de datos clave. la compra y del pago de la factura se encuentran en siste-
• Revisar metadatos creados por las funciones aplicadas mas separados. El sistema de auditoría continua podría
a los datos. probar este control al combinar los datos de la compra y
• Determinar la oportunidad de los datos. (¿La infor- del pago de la factura para identificar aquellas facturas que
mación está actualizada? ¿Con qué frecuencia se la superen los $5.000 y no cuenten con un registro de orden
actualiza? ¿Cuándo fue la última actualización?) de compra correspondiente. La combinación de datos pro-
• Determinar si la información está completa y es venientes de sistemas dispares, por lo general, requiere una
precisa. depuración de datos para eliminar las transacciones con
• Verificar el análisis y las suposiciones del auditor con problemas de integridad, modificar formatos de datos, etc.
los programadores de sistema. El software de auditoría es especialmente apropiado para
• Verificar la integridad de los datos al realizar tantas depurar datos provenientes de diferentes sistemas a fin
pruebas como sea razonable, cotejos de edición, com- de que sea más fácil trabajar con ellos. Por ejemplo, si un
paración con otras fuentes, incluso investigaciones sistema captura los números de identificación de empleado

5
GTAG Controles de tecnología de la información, El IIA, marzo de 2005.

23
GTAG — Implementación de la auditoría continua — 6

en el formato xxx-xxxxxx y el otro sistema tiene el for- controles sean eficaces.


mato xx-xxxx-xxx, el software de auditoría puede establecer La evaluación continua de control proporciona un análi-
rápidamente un formato común. sis independiente de los datos transaccionales a través de
pruebas de control prediseñadas. Por lo general, estas prue-
Relación de evaluación continua de riesgos y bas se basan en el enfoque COSO. El uso de la evaluación
controles continua de control permite que el DEA entregue a la
Un ingrediente clave de la secuencia continua de controles- dirección una advertencia temprana de las violaciones o de-
riesgo es la libre circulación de información en ambas direc- ficiencias de control.
ciones. Los auditores que efectúan evaluaciones continuas La fortaleza de la evaluación continua de control
de riesgo no sólo deben alimentar las actividades de ERM de no radica en la capacidad de identificar simples excepciones,
la dirección, sino que además deben utilizar los resultados tales como valores que superan un umbral (por ejemplo,
de la evaluación de riesgos como dato de entrada para la transacciones con tarjeta corporativa por encima de $10.000)
evaluación continua de controles. La Norma 2130.A1 del IIA o casos donde la información requerida está en blanco
establece lo siguiente: (por ejemplo, que falte la referencia a una orden de compra).
La actividad de auditoría interna debe evaluar la Esos síntomas son conocidos y el sistema de evaluación
adecuación y eficacia de los controles en respuesta a los continua de control puede fácilmente realizar una prueba
rioesgos del gobierno, operaciones y sistemas de información al respecto.
de la organización…. La verdadera fortaleza de la evaluación continua de control
Como es de esperar, un mayor nivel de riesgo podría está en su capacidad de efectuar pruebas de control más com-
indicar fácilmente un control deficiente o no existente. Por plejas y sofisticadas. Esas pruebas pueden utilizar:
otro lado, las deficiencias de control identificadas se deben • Transacciones detalladas (por ejemplo, autorización
considerar al momento de analizar los niveles de riesgo. Esto por parte de un usuario que no tiene la autoridad
no implica que un mayor riesgo exija controles adicionales ni suficiente para el tipo de transacción, o bien, pagos
que las debilidades de control necesariamente generen mayor realizados a un proveedor cuyo nombre coincide con
riesgo. No obstante, los resultados obtenidos de la evaluación el del usuario que aprobó la transacción).
de uno de ellos se deben ingresar en la evaluación del otro. • La totalidad de las transacciones (por ejemplo,
facturas con más de dos desviaciones estándar por
encima del promedio).
(YDOXDFLyQGHFRQWUROHV
OW DGRV
VX
Las evaluaciones continuas de control también pueden iden-
5H

tificar excepciones, que se manifiestan como anomalías.


Por ejemplo:
• Proveedores con una sola factura en el trimestre.
V
WDGR • Monto de contratación más alto que el esperado
(YDOXDFLyQGHULHVJR 5HVXO
de $49.000, que evita los controles de contratos de
más de $50.000 (identificado a través del análisis de
La actividad de auditoría y el DEA pueden agregar un la Ley de Benford).
valor significativo al realizar las siguientes tareas: • Casos en los que un solo usuario procesa todos los
• Revisar los sistemas de control crítico y procesos de contratos de determinado proveedor y tiene las
gestión de riesgos. mismas direcciones que ese proveedor.
• Evaluar la eficacia de las evaluaciones de riesgos de la
dirección y los controles internos. Los auditores deben analizar el entorno operativo y sus
• Proporcionar asesoramiento sobre el diseño del controles internos para identificar en qué casos las debili-
enfoque de control (y mejoras) y estrategias de dades y las deficiencias pueden dejar a la compañía expuesta
mitigación de riesgos. al riesgo. El sistema de controles internos debe ser evaluado
y probado para garantizar que funcione según lo esperado.
Evaluación continua de control Se deben revisar minuciosamente procesos, puntos de con-
Nunca se hará suficiente hincapié en la importancia de los trol, participantes clave y riesgos.
controles en los informes financieros y procesos operativos
de negocio. La integridad de los procesos de negocio se basa Identificación de los objetivos de control
en el cumplimiento, la eficacia y la eficiencia de los con- Pero, ¿por dónde se empieza? El enfoque COSO o CoBIT se
troles. Los controles deben garantizar confidencialidad, inte- puede utilizar como ayuda en el proceso. El mejor punto de
gridad, disponibilidad y confiabilidad de la información. Al inicio es identificar los controles clave. Inicialmente, la di-
proporcionar la evaluación continua de control, los audi- rección, con el apoyo del departamento de auditoría interna,
tores deben estar cada vez más atentos para validar que esos debe identificar las principales actividades de negocio y sus

24
GTAG — Implementación de la auditoría continua — 6

subprocesos para luego determinar los objetivos de control Evaluar el enfoque de ERM
relacionados. Los objetivos de control se pueden clasificar Al desarrollar una capacidad de evaluación continua de ries-
según los encabezados de COSO de autorización, precisión, gos, los auditores primero deben determinar si la dirección
integridad, validez, eficacia y eficiencia, separación de fun- ha implementado una función de ERM. Si se lleva a cabo esa
ciones y cumplimiento de regulaciones. Por ejemplo, los pro- ERM, los auditores pueden comenzar por revisar la suficien-
cesos que afectan a los pedidos de compra incluyen crear, cia de las actividades de gestión de riesgo puestas en prác-
editar, pedir las mercaderías y realizar ajustes. tica. Si la organización no efectúa la ERM adecuadamente,
se deberá desarrollar, desde cero, la evaluación continua de
Identificación de controles clave riesgos. Esta debe ser más sólida y la actividad de auditoría
La evaluación continua de control comienza con la identifi- interna debe ejecutarla con más frecuencia. Un buen punto
cación de los controles de los procesos clave de negocio. Los de inicio es el Enfoque Integrado de Gestión de Riesgo Em-
auditores y la dirección deben ocuparse de la evaluación de presarial de COSO.
los controles para lograr el uso eficaz y eficiente de los recur-
sos de la compañía. Los controles sólidos son parte esencial Comprender las áreas de riesgo potencial
de cualquier defensa contra fraude, desperdicio y abuso; pero Para que los auditores identifiquen y evalúen los niveles de
es posible que no estén funcionando según lo esperado o que riesgo, deben comprender la misión, los objetivos de negocio
ya no sean adecuados. La reorganización, la reingeniería de clave y los subobjetivos de la organización. Además, deben
negocio o la reducción pueden debilitar o eliminar los con- saber cuándo y qué podría suceder en la organización en el
troles; de la misma manera, la implementación de nuevos curso normal de las operaciones de negocio o como resul-
sistemas de TI puede crear más posibilidades para que se tado de algún otro evento inusual. El DEA debe mantenerse
cometan u oculten situaciones de fraude. También, se debe actualizado respecto de lo que está sucediendo en el entorno
tener presente en todo momento que es posible que los con- interno y externo que, a su turno, podría tener un impacto en
troles obligatorios nominalmente en vigencia se estén apli- la capacidad de la organización para lograr sus objetivos. Los
cando de manera deficiente o sean irrelevantes. auditores deben estar informados no sólo de las áreas en las
que su organización podría estar en riesgo, sino también de
Definición de análisis adecuados de prueba de control los impactos potenciales.
Una vez que están definidos los procesos clave de negocio,
los subprocesos y los objetivos de control relacionados, las Considerar tipos de riesgo y consecuencias
auditorías internas deben calificarlos para identificar los El próximo paso en la ejecución de la evaluación continua
puntos de control críticos (mayor impacto y riesgo). Al tomar de riesgos es considerar las categorías de riesgos o los tipos de
los puntos de control más importantes, el próximo paso exposiciones. Las categorías de riesgos típicas incluyen:
es definir los análisis adecuados para cada objetivo de
control. Se debe responder una pregunta simple: “¿Cómo se • Entorno externo • Operativo
verían los datos si no se cumpliera el objetivo de control?” • Legal • Información
Luego se podrán desarrollar pruebas en busca de síntomas • Reglamentario • Recursos humanos
de las exposiciones. Por ejemplo, dado el objetivo de con- • Gobierno • Financiero
trol de que los pedidos se deben autorizar adecuadamente y • Estratégico • Tecnología
cumplir con los límites establecidos, se pueden desarrollar
pruebas para buscar pedidos no autorizados, pedidos autor- Las categorías de riesgos pueden ayudar a identificar y
izados por personal que no tiene la autoridad adecuada y evaluar los riesgos. Los riesgos que no se gestionan adecu-
pedidos que se dividieron en dos o más partes para evitar adamente o no se mitigan representan una exposición para
los límites financieros. la integridad de la organización. La identificación de las
categorías de riesgos ayudará a los auditores a considerar en
Evaluación continua de riesgos qué casos los eventos potenciales podrían afectar el logro de
La gestión de riesgos intenta alinear las estrategias, los los objetivos de negocio.
procesos, la tecnología y el conocimiento de la organización
con el fin de mejorar su capacidad de evaluar y gestionar Identificar las consecuencias de la exposición al riesgo
las incertidumbres que pueden afectar su capacidad de El próximo paso es identificar las consecuencias de la ex-
alcanzar los objetivos. La gestión de riesgos, como tal, es posición al riesgo. ¿El riesgo ocasionará pérdida monetaria o
una función de gestión esencial. No obstante, la Norma robo de activos, pérdida de datos de propiedad exclusiva o
2120 del IIA establece que las auditorías deben evaluar la ventaja competitiva? Aún si los auditores pudieran identifi-
eficacia y contribuir a la mejora de los procesos de gestión car todas las posibles exposiciones, es probable que no haya
de riesgos. La Norma 2010 establece además que el plan suficientes recursos como para abordarlos a todos. Al centrar
del departamento de auditoría debe estar basado en una la atención de la auditoría de manera eficaz, los auditores no
evaluación de riesgos. sólo deben identificar y evaluar los riesgos, sino que tam-

25
GTAG — Implementación de la auditoría continua — 6

bién deben entender cuál es el grado de aceptación de riesgo dos semanas o dos veces por mes). Las pruebas de transac-
asumido por la organización, a la vez, que deben tener una ciones con tarjeta corporativa se implementarán todos los
posición tal que les permita establecer prioridades entre los meses, cuando se reciban los datos de la tarjeta corporativa
riesgos identificados. enviados por la compañía de la tarjeta de crédito. Las evalu-
aciones de riesgos para respaldar el plan de auditoría anual se
Evaluar el nivel de riesgo pueden efectuar en forma cuatrimestral, mientras que las que
Una vez que se identificaron las exposiciones, es importante respaldan la auditoría individual y el rastreo de las recomen-
evaluar el nivel de riesgo. Dos de las medidas de riesgo usuales daciones de auditoría pueden tener lugar todos los días.
son la probabilidad y la gravedad. La probabilidad mide el No hay respuestas simples para la pregunta sobre con qué
grado de certeza de que la exposición ocasionará una pér- frecuencia se deben realizar las pruebas de auditoría conti-
dida. La gravedad mide hasta dónde se sentirá el impacto. La nua, salvo para indicar que siempre es mejor efectuarlas lo
evaluación de riesgos debe incluir el análisis de los controles más frecuentemente posible, en lugar de menos. Al analizar
adoptados para mitigar estos riesgos. la frecuencia, es importante considerar que la automatización
de las pruebas de auditoría continua reducirá el costo de re-
Reunir y analizar los datos alizar evaluaciones de riesgos y verificación de control. Por lo
El último paso en la evaluación continua de riesgos es reunir general, para examinar 200 facturas en forma manual se tar-
y analizar los datos y respaldar los procesos clave de nego- dará el doble que para examinar 100. Las pruebas totalmente
cio y las áreas de mayor riesgo. A menudo, esta información automatizadas son fáciles de escalar (por número y frecuen-
se debe recopilar desde los diferentes niveles de la orga- cia), de manera que la frecuencia de la operación o el volu-
nización para identificar y evaluar riesgos, y para responder men de las transacciones consideradas no impliquen carga
a ellos. Los propietarios del negocio y los profesionales de de trabajo o costo adicionales. Debido a que el software de
TI pueden ayudar a los auditores a desarrollar indicadores auditoría continua efectúa el análisis, analizar un millón de
de riesgo controlados por datos. Estos indicadores deben transacciones por semana no implica más trabajo que revisar
reaccionar según los niveles cambiantes de riesgo y se pueden mil por trimestre.
medir con facilidad. Por último, al determinar con qué frecuencia y dónde
Los resultados de la evaluación continua de riesgos re- se llevará a cabo la auditoría continua, el DEA debe tener
spaldarán la vigencia del plan de auditoría, lo cual posible- en cuenta no sólo los requisitos reglamentarios, sino también
mente haga que se agregue una auditoría específica al plan. hasta qué grado la dirección se ocupa de las exposiciones al
También serán útiles al momento de desarrollar el alcance y riesgo y los impactos potenciales. Cuando la dirección ha
los objetivos de una auditoría individual, y se podrán propor- implementado sistemas de supervisión continua para los con-
cionar a la dirección con fines informativos y de atención. troles, los auditores internos y externos pueden tenerlo en
cuenta y decidir hasta qué punto es posible confiar en los pro-
Gestionar e informar resultados cesos de supervisión continua para reducir pruebas detalladas
Al establecer la oportunidad, el alcance y la cobertura de de controles. Para poder confiar en los procesos, los auditores
las pruebas de auditoría continua, el DEA debe considerar deben tener en cuenta y evaluar lo siguiente:
los objetivos de auditoría continua, el grado de aceptación de • Identificación de los controles internos específicos
riesgo de la organización, el nivel y la naturaleza de la super- abordados.
visión de la dirección y las actividades de riesgo empresarial. • Seguridad del acceso al sistema de supervisión.
En algunos casos, los auditores deben establecer prioridades • Respuesta a las anomalías de control identificadas.
entre los riesgos y seleccionar únicamente algunas pocas • Conciliaciones de control total.
áreas de alto riesgo o puntos de control clave para la primera • Registros de la auditoría para las actividades de
implementación de la auditoría continua. procesamiento.
El próximo paso es determinar con qué frecuencia se eje- • Registros de la auditoría para los cambios realizados
cutarán las pruebas de auditoría continua. La frecuencia de en umbrales y parámetros de prueba.
las actividades de auditoría continua puede variar desde una
revisión en tiempo real de las transacciones detalladas, o casi Una vez que se realizaron las pruebas, el DEA puede re-
en tiempo real, hasta el análisis periódico de transacciones visar los resultados para identificar dónde existen problemas.
detalladas, vistas instantáneas o datos resumidos. La frecuen- Las debilidades de control se ponen en evidencia por medio
cia dependerá no sólo del nivel de riesgo asociado al sistema de las transacciones que no pasan las pruebas de control. Se
o al proceso que se examina, sino también de la suficiencia pueden identificar mayores niveles de riesgo a través de análi-
que tenga la supervisión realizada por la dirección. Los siste- sis comparativos (es decir, al comprar un proceso con otros,
mas críticos con controles clave estarán sujetos a análisis en una entidad con otras, o bien, al realizar las mismas pruebas y
tiempo real de los datos transaccionales. Las pruebas de audi- comparar sus resultados en el transcurso del tiempo).
toría continua de una nómina de salarios se pueden ejecutar Uno de los desafíos prácticos de implementar una au-
justo antes de la ejecución de esa nómina (por ejemplo, cada ditoría continua o un sistema de supervisión es la respuesta

26
GTAG — Implementación de la auditoría continua — 6
eficaz a las excepciones de control y los riesgos que se iden- de los sistemas de datos de origen coincidan con los totales
tifican. Cuando una auditoría continua, o un sistema de su- de las transacciones probadas. Por último, debido a que las
pervisión, se implementan por primera vez, no es inusual que pruebas de auditoría continua pueden identificar situaciones
se identifique una gran cantidad de excepciones, que luego tanto de fraude como de debilidades de control y exposi-
al realizar su investigación, no resultan ser un problema. El ciones al riesgo, el DEA debe garantizar que los parámetros
sistema de auditoría continua debe permitir que los parámet- de prueba y los resultados estén protegidos contra el acceso
ros de prueba se ajusten de manera tal que, cuando sea ap- no autorizado.
ropiado, tales excepciones no den lugar a alertas o notifica- El uso de una aplicación de auditoría continua diseñada
ciones. Una vez que se llevó a cabo el proceso de identificar adecuadamente ayudará a que la actividad de auditoría cum-
tales “falsos positivos”, se puede confiar cada vez más en que pla con su función de proporcionar aseguramiento de que la
el sistema identificará únicamente las deficiencias de control dirección mantiene un marco de control eficaz y gestiona el
o los riesgos que representen un problema significativo. riesgo de manera activa. No obstante, la auditoría continua
Además, la naturaleza de la respuesta de la auditoría debe ser flexible y dar respuesta ante los cambios que se pro-
frente a las transacciones identificadas variará y no todas ducen en las exposiciones y en el entorno de control. No es
requerirán una auditoría o una acción inmediata. Se deben una herramienta que se implementa y luego se deja funcio-
establecer prioridades entre los resultados y tomar medidas nar sola durante meses. El DEA debe revisar periódicamente
en consecuencia. Los detalles a mantener deben incluir: la eficacia y eficiencia del programa de auditoría continua.
• Los resultados obtenidos. Es posible que se deban agregar puntos de control y ex-
• Las decisiones relacionadas con la medida a tomar. posiciones al riesgo, a la par que algunos otros se eliminen.
• A quién se notificó y cuándo. Probablemente se deban ajustar o disminuir los umbrales,
• La fecha de respuesta esperada. las pruebas de control y los parámetros correspondientes a
varios análisis. Durante esta revisión, el DEA también debe
Si una transacción se derivó a la dirección, el auditor garantizar que los resultados de la auditoría continua se
debe solicitar también una respuesta de la dirección donde incluyan en otras actividades de gestión, como por ejem-
se resuma el plan de acción y la fecha. Una vez que se tomó plo, ERM, cuadro de mando y supervisión y medición del
la medida adecuada, el auditor debe implementar nueva- desempeño.
mente la prueba de auditoría continua para ver si la correc-
ción resolvió la debilidad de control o si redujo el nivel de
Desafíos y otras consideraciones
riesgo. En las pruebas posteriores, no se debería identificar el
Prerrequisitos
mismo problema.
Si bien la tecnología facilita el acceso a los datos de una
Es vital que todos comprendan la base lógica de la
manera nunca antes vista y el poder de cálculo hace que el
auditoría continua. Es igualmente importante intentar ob-
análisis en tiempo real sea cada vez más factible, los obstácu-
tener indicadores que no sean factibles de manipulaciones.
los técnicos aún persisten:
El DEA debe comprender y tomar medidas para evitar la
• La información a auditar debe ser generada por
manipulación, los errores de interpretación y la “parálisis
sistemas confiables.
debido al análisis”. Una clave para el éxito es garantizar que
• El proceso de auditoría continua debe estar altamente
los indicadores den respuesta adecuada ante los cambios en
automatizado, con un vínculo eficaz entre el sistema
cuanto a riesgos y controles, que sean fáciles de entender
del auditor y el de la entidad auditada.
para todos los involucrados, que estén protegidos contra ma-
• Se deben desarrollar informes de auditoría continua
nipulación directa o indirecta sin necesidad de cambio en
precisos y comprensibles, y deben estar disponibles de
el comportamiento subyacente y que se centren en las metas
forma oportuna.
organizativas a corto y largo plazo.
• Los auditores deben tener la pericia para realizar tales
Existen varios aspectos de seguridad y control a con-
trabajos de auditoría.
siderar en relación con un sistema de auditoría continua.
Aquí se aplica el problema usual de la confidencialidad de A fin de superar esos desafíos, los auditores deben tener la
determinada información, y el acceso para visualizar los capacidad necesaria para realizar las siguientes actividades:
resultados de la auditoría o el proceso de supervisión se debe • Obtener acceso a datos relevantes de manera
restringir y controlar de manera adecuada. Otra área clave oportuna y ser capaces de unificar los datos prove-
de la seguridad y el control involucra al establecimiento nientes de sistemas dispares de la organización.
de umbrales y parámetros de prueba variables. Para que los • Analizar grandes volúmenes de datos sin comprom-
resultados del sistema de auditoría continua sean confiables, eter el desempeño operativo del sistema.
es necesario que haya controles eficaces, incluso pistas de • Comprender el proceso de negocio lo suficientemente
auditoría a lo largo de los cambios realizados. Tal como bien como para definir los análisis adecuados e iden-
sucede con cualquier aplicación de CAAT, también es im- tificar riesgos potenciales y puntos de control clave.
portante garantizar que los totales de control provenientes

27
GTAG — Implementación de la auditoría continua — 6

• Identificar la fuente de datos más eficaz y los puntos


de control en los que se deben realizar los análisis y
las pruebas de auditoría continua.
• Llevar a cabo un conjunto integral de pruebas y
análisis para abordar puntos de control clave y áreas
de riesgo, e informar los resultados de manera
oportuna.
• Comprender la naturaleza de la prueba o el análisis a
la hora de investigar las excepciones o los procesos y
sistemas que se identificaron como en riesgo (es decir,
¿Por qué usted se centra en este punto?)
• Reunir y cuantificar el total de exposiciones al riesgo.
• Supervisar y modificar las variables utilizadas para la
auditoría continua, ajustando el sistema para generar
resultados manejables.
• Equilibrar el costo y el esfuerzo en función del grado
de exposición.
• Establecer prioridades entre las acciones a efectuar.
• Gestionar las notificaciones de alerta.
• Proteger el acceso al sistema de auditoría continua
para prevenir cambios no autorizados en los trabajos
de análisis, o en los valores de corte o umbral.

Acceso a información personal


A pesar de que la legislación de privacidad en muchos países
permite que los auditores internos obtengan acceso a infor-
mación personal para fines de auditoría, el acceso a la in-
formación personal de los empleados puede ser un problema
serio y se debe resolver al principio del proceso de auditoría
continua. Para cumplir con las exigencias de la legislación,
es posible que el auditor deba explicar quién tendrá acceso a
la información y cómo se la utilizará, almacenará y protegerá
de manera segura.

28
GTAG — Conclusión — 7

A la luz de los desafíos actuales, es imprescindible que los


DEA encuentren nuevas maneras para que la función de au-
ditoría interna pueda responder con eficacia tanto a las de-
mandas de un entorno de negocio siempre cambiante, como
a la carga que implican los crecientes requisitos de cumplim-
iento de regulaciones. El enfoque integral de la auditoría con-
tinua y de la supervisión continua, que es posible gracias a la
tecnología, es la clave para una solución sostenible y eficaz en
relación con su costo y con los recursos.
Estos desafíos pueden considerarse como una oportuni-
dad para la profesión de auditoría interna y para sus líderes
de proporcionar un tremendo valor a la organización. La au-
ditoría interna está excepcionalmente posicionada no sólo
para proporcionar a la organización el aseguramiento de
que se está cumpliendo con las leyes y regulaciones, sino
también para contribuir con la organización en sus esfuer-
zos de mejorar la eficacia y eficiencia de los procesos de ne-
gocio. Los beneficios de la implementación de la auditoría
continua se reflejarán en las mejoras de los resultados finales
de la organización; mejoras obtenidas gracias a la identi-
ficación oportuna de errores y situaciones de fraude, y a la
creación de un entorno de control interno más sólido en
la empresa en su conjunto.

29
GTAG — Apéndice A — Ejemplo de auditoría continua aplicado a
cuentas a pagar — 8

Si bien la auditoría continua se puede utilizar en cualquier los tipos y volúmenes de transacción puede ayudar a iden-
área de la organización, un simple ejemplo que incluye tificar áreas de riesgo, como la escasez de personal o la falta
cuentas a pagar (CP) muestra las fortalezas de este enfoque de personal capacitado para manejar tipos de transacción
cuando se lo aplica a una auditoría específica. En el ejemplo, complejos.
se supone que existen numerosos centros de procesamiento
de CP separados, de diferentes tamaños, que llevan a cabo Tendencias en el desempeño y la eficiencia
funciones similares. El ejemplo se utilizará para analizar Al evaluar las CP, los datos de tendencias identificarán fácil-
cuatro objetivos principales: mente cuestiones de desempeño y eficiencia. Por ejemplo,
• Identificación y evaluación de riesgos en relación con para cada operación de CP, la auditoría continua puede de-
los procesos de CP. terminar:
• Identificación de las tendencias relacionadas con el • Cantidad, clasificación y nivel del personal de CP.
desempeño y la eficiencia. • Cantidad de facturas procesadas por cada usuario en
• Identificación de deficiencias de control, anomalías cada extremo del espectro. (Si la cantidad es excesiva
específicas y fraudes potenciales. o muy reducida, se verá incrementado el riesgo).
• Rastreo de la implementación de recomendaciones de • Costo promedio en dólares para procesar una factura.
auditoría y su efecto en las operaciones de cuentas a • Cantidad promedio de días para procesar un pago.
pagar. • Porcentaje de facturas pagadas de manera atrasada
o anticipada. (Esto, en particular, revelará si no se
En cada caso, el análisis considerará las tendencias en están tomando los descuentos por pago anticipado).
el transcurso del tiempo y comparará la sección de CP bajo • Porcentaje de asientos ajustados.
revisión con los otros grupos de CP de la organización. El • Porcentaje de pagos recurrentes o de pagos con trans-
uso del benchmarking en las operaciones de CP externas ferencia electrónica de fondos.
agregará otra dimensión a la inspección. • Porcentaje de revisiones manuales.
• Porcentaje de facturas que no hacen referencia a una
Evaluación e identificación de riesgos orden de compra.
En la evaluación de riesgos inicial, se debe incluir una gran • Porcentaje de facturas de un monto menor a US$500.
variedad de factores de riesgo controlados por datos y no (Se podría utilizar una tarjeta corporativa para
controlados por datos. La evaluación integral del desempeño lograr mayor eficiencia y menor costo).
del negocio se centra en el costo, la calidad y las medidas de
desempeño basadas en el tiempo. Las medidas de eficiencia permiten a los auditores com-
• Las medidas basadas en el costo cubren el aspecto parar un área de auditoría con otra mediante una represen-
financiero, como por ejemplo, el costo de mano de tación gráfica de los resultados. Por ejemplo, los gráficos A
obra correspondiente a las CP. (más abajo) y B en la siguiente página), ilustran que la División
• Las medidas basadas en la calidad evalúan en qué B procesa la menor cantidad promedio de transacciones por
medida los productos o servicios de una organización usuario e incurre en el costo de mano de obra directa más
satisfacen las necesidades de los clientes, como por alto por transacción; este es claramente un candidato para
ejemplo, la cantidad promedio de errores por factura. implementar mejoras en cuanto a eficiencia operativa.
• Las medidas basadas en el tiempo se centran en la
eficiencia del proceso, como por ejemplo, la cantidad A Cantidad promedio de transacciones por usuario
promedio de días para pagar una factura.
Cant. de transacciones

También es posible determinar, en cada sección de CP,


los tipos de transacciones y los montos en dólares. Por ejem-
plo, considere la cantidad de asientos corregidos en el libro
diario y las revisiones realizadas manualmente. Se trata de
indicadores de carga de trabajo adicional. El análisis le in-
dicará también cuántos tipos diferentes de transacciones se
están procesando. En términos generales, la complejidad es
División
mayor en las operaciones donde se procesan más tipos de
transacción. También puede examinar los componentes de la
estructura organizativa, como las relaciones de suministro de
informes, cantidad, clasificación y nivel del personal, tiempo
en el trabajo, índices de retención y capacitación recibida.
Estos datos deben estar disponibles desde el área de recursos
humanos. La combinación de este tipo de información con

30
GTAG — Apéndice A — Ejemplo de auditoría continua aplicado a
cuentas a pagar — 8

• Proveedores que fueron creados y son utilizados por


B Costo de mano de obra directa por transacción un único y mismo empleado de CP.
• Casos en los que el usuario que ingresa el asiento es
Monto en dólares

el mismo que aprueba el pago.


• Casos en los que el beneficiario de pago es el usu
ario que ingresa el asiento o el que lo aprueba.

Seguimiento de las recomendaciones de


auditoría
División El objetivo final de la evaluación continua de riesgos es el
seguimiento de las recomendaciones. El objetivo es determi-
nar si la dirección ha implementado las recomendaciones y si
Analizar las tendencias puede ayudar a identificar no estas tienen el efecto deseado. Las posibles medidas son:
sólo problemas, sino también esas áreas donde se han real- • Evidencia del aumento del uso de tarjetas corporativa
izado mejoras. El gráfico C muestra que la División D aún para transacciones de poco monto en dólares (por
evidencia el porcentaje más alto de facturas sin referencia ejemplo, reducción del porcentaje de facturas meno-
a su correspondiente orden de compra, pero la división ha res de $500 e incremento del porcentaje de pagos de
experimentado mejoras importantes durante el año anterior, menos de $500 efectuados con tarjeta corporativa).
mientras que el porcentaje de la División G ha aumentado. • Reducción de nombres duplicados en el listado prin-
cipal de proveedores.
• Disminución de la cantidad y el valor en dólares de
facturas duplicadas.
C Porcentaje de facturas sin referencia a su
• Mejoras en cuanto a los montos en función de la
correspondiente orden de compra
fecha de pago (por ejemplo, reducción en los cargos
por pago atrasado; más oportunidades para obtener
Porcentaje

descuentos por pago adelantado).


• Mejoras en las operaciones (por ejemplo, menor costo
por factura, más cantidad de pagos efectuados por
transferencia electrónica de fondos [EFT, en inglés]).
• Riguroso acceso de usuarios basado en sus roles que
División de CP Año fiscal 03/04 limita las posibilidades de fraude, desperdicio y abuso
Año fiscal 04/05
(por ejemplo, menos casos de falta de segregación de
funciones).

Identificación de deficiencias de control, El gráfico D muestra cómo se puede utilizar la evaluación


anomalías o fraude potencial continua de riesgos para determinar si en las operaciones de
Dentro de CP, las posibles anomalías y medidas de fraude po- CP de cada división se ha implementado con éxito la reco-
tencial son las siguientes: mendación que exige que se utilicen tarjetas corporativas
• Identificación de pagos duplicados. (Aquí se debe para transacciones de bajo monto en dólares.
incluir una comparación con los años anteriores para
detectar si las operaciones están mejorando).
• Facturas procesadas contra órdenes de compra que D Porcentaje de uso de la tarjeta corporativa
se crearon luego de la fecha de facturación (por en facturas de menos de $500
ejemplo, órdenes de compra con fecha posterior a la
Porcentaje

de la factura).
• Cantidad de facturas que pasan a las cuentas
transitorias.
• Identificación de nombres duplicados en el listado de
proveedores, proveedores con nombres como
C.A.J.A, Sr., Sra. o proveedores sin información de División Año fiscal 03/04
Año fiscal 04/05
contacto, números de teléfono u otra información
clave.
• Identificación de todas las funciones realizadas por
cada usuario para identificar la incompatibilidad o
falta de separación de funciones, como por ejemplo:

31
GTAG — Apéndice A — Ejemplo de auditoría continua aplicado a
cuentas a pagar — 8

Debido a que todos los años ingresan millones de tran-


sacciones en una gran cantidad de centros de procesamiento
de CP, la actividad de auditoría puede resultar eficaz y efi-
ciente mediante el uso de la tecnología de auditoría continua.
La auditoría continua ayuda a definir los objetivos de audi-
toría, a seleccionar oficinas para el trabajo de auditoría en el
lugar y a identificar anomalías y debilidades de control. Por
último, la auditoría continua permite a los auditores realizar
un seguimiento, en forma electrónica, de la implementación
de las recomendaciones de auditoría, sin que sea necesario
trasladarse personalmente a las diversas oficinas para efec-
tuar la revisión manual de las transacciones.

32
GTAG — Apéndice B — Normas relacionadas — 9

Instituto Estadounidense de Contadores


Públicos Certificados (AICPA, en inglés) –
SAS
• SAS N.º 47, Riesgos de auditoría y materialidad al
realizar auditorías.
• SAS N.º 54, Actos ilegales por parte de los clientes.
• SAS N.º 56, Procedimientos analíticos.
• SAS N.º 78, Enmienda a la SAS N.º 55, Evaluación
del control interno en una auditoría de estados
contables.
• SAS N.º 80, Enmienda a la SAS N.º 31, Evidencia
comprobatoria.
• SAS N.º 94, El efecto de la tecnología de la infor-
mación en la evaluación, por parte del auditor, de los
controles internos en una auditoría de estados
contables.
• SAS N.º 99, Evaluaciones de fraude en una auditoría
de estados contables.

Instituto de Auditores Internos


• Norma 1210: Pericia
• Norma 2010: Planificación.
• Norma 2120: Gestión de riesgos
• Norma 2130.A1.
• GTAG. Controles de tecnología de la información.
• GTAG. Controles de gestión de parches y cambios:
Críticos para el éxito de la organización.

Federación Internacional de Contadores –


Norma Internacional de Auditoría (ISA,
en inglés)
• ISA N.º 240, Responsabilidad del auditor para evaluar
situaciones de fraude en la auditoría de estados
contables.

33
GTAG — Apéndice C — Autoevaluación de auditoría continua — 10

El uso de los conceptos, la metodología y la tecnología re- planificación de auditoría, la evaluación de riesgos de
queridos para la auditoría continua no se ha aplicado uni- auditoría o con la evaluación de los controles.
formemente en todos los departamentos de auditoría interna.
Algunos auditores son líderes en adoptar y obtener el ben- En este nivel, el DEA no tiene un plan que le permite
eficio máximo de la auditoría continua, mientras que otros visualizar el avance del departamento de auditoría en sus es-
ni siquiera han iniciado el proceso de implementación. La fuerzos por implementar la auditoría continua. La tecnología
mayoría de las organizaciones se ubican en el punto medio de no está planificada ni prevista en los planes a corto o largo
estos dos extremos. plazo del departamento de auditoría. Generalmente, el uso
Generalmente, el uso de la auditoría continua se puede de la tecnología es poco sistemático y tiene por objetivo
ubicar en una de estas tres categorías principales: nivel intro- tratar un solo problema.
ductorio, nivel moderado y nivel integrado/avanzado. Cada
categoría se puede caracterizar en función del grado de imple- Nivel moderado
mentación de la auditoría continua y de su integración con En el nivel moderado, las técnicas de auditoría continua
los procesos de auditoría. ejercen su impacto sobre las auditorías reales que se estén
El DEA debe saber en qué lugar se encuentra el depar- llevando a cabo. No obstante, el impacto sigue siendo un
tamento de auditoría en términos de auditoría continua y tanto limitado y su uso no se aplica ni gestiona de manera
dónde se desearía que esté. Parte del proceso de pasar a un consistente. Muchas veces, sólo unos pocos auditores están
grado de uso más avanzado de la auditoría continua incluye utilizando las técnicas de auditoría continua y es posible que
una evaluación de las aptitudes y del conocimiento de los sus esfuerzos no estén respaldados por el DEA. Además, es
auditores internos. Se necesitan diversos niveles de cono- posible que la alta dirección de la compañía no tenga cono-
cimiento de TI en la organización para evaluar y mejorar la cimiento del tipo o el alcance de la autoría continua utilizada
eficacia de los procesos de gestión de riesgos, control y gobi- por estos auditores.
erno. Es esencial el conocimiento de los sistemas de negocio, Los tipos de auditorías realizadas, los resultados obteni-
sus riesgos relacionados y problemas de control, además de dos y la metodología empleada no han cambiado; lo único
la capacidad de utilizar la TI como recurso en la implement- que ha cambiado es que se utiliza la tecnología para realizar
ación de la auditoría continua. determinadas funciones. La tecnología puede estar en los
El DEA puede utilizar las siguientes descripciones de planes, pero no hay una visión clara de hacia dónde se dirige
niveles para autoevaluar hasta qué grado el departamento de el uso de la auditoría continua del departamento de auditoría.
auditoría ha adoptado e implementado la auditoría continua. Además, la aplicación de la auditoría continua no está in-
tegrada con el proceso de planificación de auditoría ni con la
Nivel introductorio evaluación de problemas de riesgo y control.
Los departamentos de auditoría que se encuentran en el nivel El uso moderado se caracteriza por lo siguiente:
introductorio no han comenzado a implementar verdadera- • Una comprensión básica de las amenazas y vulnera-
mente las metodologías y tecnologías de auditoría continua. bilidades relacionadas con los sistemas automatizados
A pesar de que algunos auditores pueden haber obtenido de negocio y los controles asociados.
algunos beneficios del uso de la tecnología informática, la • Equipos de auditoría que cuentan con las aptitudes
mayor parte de las tareas de evaluación de riesgos y controles y el conocimiento necesarios para extraer y utilizar
todavía se realizan manualmente. En el nivel introductorio, datos provenientes de sistemas de negocio clave.
el análisis de datos se puede utilizar para respaldar la audi- • Un departamento de auditoría que ha comprado
toría continua pero de manera ad hoc. Los análisis se realizan herramientas de TI para realizar evaluaciones y
una vez, y los resultados se utilizan únicamente para tratar pruebas y las está utilizando.
objetivos de auditoría específicos. • Pruebas de auditoría que se ejecutan, de manera ad
El nivel introductorio se caracteriza por los siguientes hoc, para realizar búsquedas en las transacciones
aspectos: con el propósito de hallar evidencias de puntos
• Una comprensión general de los controles y riesgos vulnerables, riesgos de TI o deficiencias de control.
del negocio. • Síntomas detectados en relación con los sistemas de
• El uso ad hoc de la TI para buscar anomalías o negocio para identificar causas y emitir
excepciones. recomendaciones.
• Evaluaciones de las transacciones en un momento en • Los planes de auditoría para toda la empresa pueden
particular para tratar objetivos de auditoría incluir algunos criterios cuantitativos y cualitativos,
específicos. pero estos se actualizan únicamente durante el pro
• Evaluaciones de riesgos que se basan en criterios ceso de planificación de auditoría anual.
cualitativos y carecen de cuantificación.
• Evaluaciones de control que se realizan manualmente. Estos departamentos de auditoría se encuentran en un
• Uso de tecnología no integrada con los procesos de punto crítico. La implementación de la auditoría continua

34
GTAG — Apéndice C — Autoevaluación de auditoría continua — 10

puede sufrir un retroceso si determinadas personas clave se • Auditoría continua planificada, gestionada y evaluada
retiran de la empresa o si el uso de la auditoría continua no para la mejora continua.
es parte integral del proceso de auditoría.
En la actualidad, no son muchos los departamentos de
Nivel integrado o avanzado auditoría que se encuentran en el nivel integrado/avanzado
En este nivel, el DEA y todos los auditores reconocen de la auditoría continua. Pero el camino para llegar hasta
la importancia de la tecnología y de la auditoría continua. allí se puede adoptar de manera gradual, comenzando con la
La implementación y el mantenimiento de la auditoría identificación de los controles y de los sistemas de negocio
continua disponen de suficientes recursos (humanos y clave. Las primeras aplicaciones de auditoría continua se
financieros) y la tecnología está integrada en los procesos de pueden ejecutar en forma periódica, en lugar de continua. Es
auditoría general. de suma importancia que los DEA entiendan en qué lugar
La auditoría se ha convertido en un proceso continuo, se encuentra actualmente el departamento de auditoría
los auditores realizan evaluaciones de riesgos y controles para desarrollar una perspectiva de dónde quisieran estar y
al examinar las tendencias y analizar las transacciones en planificar cómo llegar hasta allí.
detalle para detectar anomalías o excepciones. Los resulta-
dos se utilizan para activar alarmas y en función de ellas se
establecen prioridades para actuar de inmediato. En este
nivel, la naturaleza de la actividad de auditoría ha cambiado.
Las entradas, las salidas y los procesos no son los mismos
que los de un departamento de auditoría que no ha implemen-
tado la auditoría continua. Los tipos de auditoría implemen-
tados, el ciclo de planificación, el tiempo del ciclo y muchos
otros aspectos se ven afectados por la implementación de
la auditoría continua.
El uso integrado/avanzado se caracteriza por lo siguiente:
• Conocimiento de los procesos de negocio clave y sus
sistemas asociados, además de una buena compren-
sión de los riesgos y problemas de control.
• La identificación de puntos de control críticos,
además de excepciones y reglas de control.
• El departamento de auditoría ha identificado
categorías de riesgos clave e indicadores de riesgo
controlados por datos.
• Ejecución de evaluaciones de riesgo y control en
tiempo real o casi en tiempo real para los procesos de
negocio clave.
• Sistemas de negocio clave que son analizados en
busca de excepciones o anomalías en el nivel de las
transacciones y en busca de tendencias que indiquen
riesgos emergentes.
• Un proceso de planificación de auditoría para toda
la empresa que incluye indicadores de riesgo y
desempeño controlados por datos.
• Auditorías que intentan identificar indicadores
controlados por datos para las recomendaciones de
auditoría, que, a su turno, se analizan para evaluar
la implementación de las recomendaciones por parte
de la dirección.
• Resultados de auditoría continua que se integran en
todos los aspectos del proceso de auditoría y resulta-
dos que están relacionados con ERM, cuadro de
mando e iniciativas de mejora continua.
• Auditores que evalúan y consideran los procesos de
supervisión de la dirección al momento de realizar
auditorías continuas.

35
GTAG — Acerca del autor y el equipo del proyecto — 11

David Coderre es Gerente de Auditoría Continua en la Di- Acerca del equipo del proyecto
visión de Auditoría y Evaluación de la Policía Montada Real
de Canadá. Tiene más de 20 años de experiencia en el campo Autor principal:
de la informática en el entorno universitario, y en sectores
David Coderre, Gerente de Auditoría Continua de
privados y del gobierno federal. Es responsable del uso eficaz y
la Policía Montada Real de Canadá
eficiente del hardware y software como herramienta de audi-
toría. Realiza determinados análisis para respaldar el alcance
y los objetivos de la auditoría individual, y apoya el desar- Gerente de proyecto:
rollo del plan de auditoría anual, mediante la identificación
Peter Millar, Director de Marketing de Producto,
y evaluación de riesgos. Coderre ha respondido a los re-
ACL Services Ltd.
querimientos de cientos de auditorías trabajando con equipos
de auditoría para desarrollar métodos controlados por datos
para tratar los objetivos y el alcance de la auditoría. Entre Patrocinador de proyecto:
esos resultados, se incluye: una auditoría de inventario que
John Verver, Vicepresidente de Servicios
detectó existencias obsoletas por un valor de más de US$100
Profesionales de ACL Services Ltd.
millones; la auditoría de una función de CP que identificó in-
eficiencias de alrededor de US$5 millones y pagos duplicados
por un valor de más de US$1 millón; además de una auditoría Expertos en el tema:
de mantenimiento por contrato que descubrió transacciones
fraudulentas por millones de dólares. John Verver, Vicepresidente de Servicios

Coderre además escribió los libros CAATTs and Other Profesionales de ACL Services Ltd.,
BEASTs for Auditors (Versión 3, 2005) y Fraud Detection: Vancouver, Canadá
A Revealing Look at Fraud (Versión 2, 2004), que describe
técnicas para utilizar software de análisis de datos para de- J. Donald Warren Jr. , Profesor de contabilidad
tectar fraude, desperdicio y abuso. En 2001, publicó The y Director del Centro de Auditoría Continua,
Fraud Toolkit, una combinación de software y texto escrito, Departamento de Contabilidad y Sistemas de
que contiene una serie de casos y notas diseñados específica- Información, Universidad de Rutgers, Newark,
mente para abordar el fraude. También escribió varios artícu- Nueva Jersey, Estados Unidos
los para revistas de auditorías internacionales, entre las que
se cuentan Internal Auditor, The EDP Audit y Control and Contribuyentes:
Security Newsletter (EDPACS), el periódico sobre auditoría
Brian Aiken, Director General de Auditoría y
del Reino Unido.
Evaluación de la Policía Montada Real de Canadá,
Ottawa, Canadá
Información de contacto:
Royal Canadian Mounted Police
Richard B. Lanza, Presidente de Cash Recovery
Audit and Evaluation Branch
Partners LLC, Lake Hopatcong,
295 Coventry Rd. – 2nd Floor
Nueva Jersey, Estados Unidos
Ottawa, Ontario
K1A0R2, CANADÁ
Sylvain Michaud, Director de Auditoría Interna de
+1-613-993-1189
la Policía Montada Real de Canadá,
Dave_Coderre@hotmail.com
Ottawa, Canadá

Robert, L. Onions, Director de Eclectics Ltd, Bude,


Inglaterra

Mary Persson, Directora de Metodología de la


Policía Montada Real de Canadá, Ottawa, Canadá

René-Pierre Tremblay, Director de Revisión de


Gestión/Aseguramiento de Calidad, Policía
Montada Real de Canadá, Ottawa, Canadá

36
GTAG — Referencias — 12

Assurance Services Within the Auditing Profession, Glen Financial Post, Andrew Parker, Tuesday, May 17, 2005.
L. Gray y Maryann, J. Gray, La Fundación de Fraud Detection: A Revealing Look at Fraud, David G.
Investigaciones del IIA, Altamonte Springs, Florida., Coderre, Ekaros, Vancouver, Canadá, 2004.
Estados Unidos, 2000.
The Future of Continuous Assurance and Risk Management,
“Beyond Traditional Audit Techniques”, Paul E. Lindow Tim J. Leech, Paisley Consulting, 2005.
y Jill D. Race, AICPA, Online Journal of
Accountancy, julio de 2002 / Volumen 194, N.º 1. GTAG Information Technology Controls, El IIA,
Altamonte Springs, Florida, Estados Unidos,
Building and Implementing a Continuous Controls marzo de 2005
Monitoring and Auditing Framework – A White
Paper, John G. Verver, ACL Services, 2005. Internal Auditing in Europe, ECIIA, febrero de 2005.

CAATTs and Other BEASTs for Auditors, David G. Internal Control – Integrated Framework, COSO, 1992.
Coderre, Global Audit Publications, Vancouver,
Canadá, 1998. Professional Practices Framework, “Guidance on
Implementing Auditing Standard #2”, La Fundación
CoBIT, IT Governance Institute y la Asociación de de Investigaciones del IIA, Altamonte Springs,
Auditoría y Control de Sistemas de Información. Florida, Estados Unidos, 2004.

Continuous Auditing, Instituto Canadiense de Informe del Debate de la mesa redonda de los DEA
Contadores Certificados, Toronto, Canadá, 1999. en la Conferencia Internacional 2005 del IIA,
julio de 2005.
“Continuous Auditing: The Audit of the Future”,
Zabihollah Rezaee, Rick Elan y Ahmad Sarbanes-Oxley Implementation Costs, A.R.C. Morgan,
Sharbatoghlie, Managerial Accounting Journal 16/3, febrero de 2005.
páginas 150-158, MCB University Press.
Sawyer’s Internal Auditing (5th Edition): The Practice of
Continuous Auditing: Implications of the Current Modern Auditing, Lawrence B. Sawyer, Mortimer A.
Technological, Regulatory and Corporate Environment, Dittenhofer y James H. Scheiner, Altamonte
J. Donald Warren Jr., Texas A&M University, mayo Springs, Florida, Estados Unidos, 2003.
de 2004.
SOX Compliance and Automation: A Benchmark Report,
Continuous Auditing: Potential for Internal Auditors, J. Aberdeen Group, marzo de 2005.
Donald Warren Jr. y Xenia L. Parker, La Fundación
de Investigaciones del IIA, Altamonte Springs, SOX Decisions for 2005: Step Up Technology
Florida, Estados Unidos, 2003. Investments, John Hagerty, AMR Research,
enero de 2005.
Continuous Monitoring: An Effective Strategy for
Effective Controls, John G. Verver, The 16th Annual Survey on SOX 404 Implementation, Ejecutivos de
Super Strategies: Audit Best-Practices Conference, Finanzas Internacionales, marzo de 2005.
MIS Training Institute, 2005.
Technology Risk and Controls: What You Need to Know,
“Detecting Accounts Payable Abuse Through Protiviti Independent Risk Consulting, 2004.
Continuous Auditing”, Larry Potla, ITAudit, El
IIA, Altamonte Springs, Florida, Estados Unidos,
Volumen 6, noviembre de 2003.

Enterprise Risk Management: An Analytical Approach,


Tillinghast-Toweres Perrin, 2000.

Enterprise Risk Management – Integrated Framework,


COSO, 2004.

37
Auditoría continua: implicancias para el aseguramiento, la supervisión y
la evaluación de riesgos
Esta guía se centra en ayudar a los directores ejecutivos de auditoría a identifi-
car qué se debe llevar a cabo para utilizar la tecnología de manera eficaz con el
objetivo de respaldar la auditoría continua. Ofrece pautas sobre cómo utilizar la
auditoría continua para beneficiar a la organización mediante la reducción sig-
nificativa de errores y fraudes, aumentando la eficiencia operativa y mejorando
los resultados finales a través de una combinación de ahorro y reducción de
sobrepagos y fuga de ingresos.

¿Qué es la GTAG?
La Guía de Auditoría de Tecnología Global (GTAG, en inglés) ha sido prepa-
rada por el Instituto de Auditores Internos y está escrita en un lenguaje de
negocios claro y directo para abordar, en forma oportuna, un problema relacio-
nado con la gestión, el control o la seguridad de la tecnología de la informa-
ción. La GTAG es una colección de recursos lista para ser utilizada por los
directores ejecutivos de auditoría para educar a los miembros del Consejo de
Administración y del Comité de Auditoría, la Dirección, los propietarios de los
procesos y otros en lo que respecta a riesgos asociados a la tecnología y prácti-
cas recomendadas.

www.theiia.org

También podría gustarte