Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Las Direcciones de Auditoría Interna tenemos el reto de dar respuesta a esta de-
manda de aseguramiento y hacerlo de una manera proactiva, proyectiva y conti-
nua.
Esta guía hace un exhaustivo análisis de todas las cuestiones relevantes a consi-
derar y no olvidar cuando se emprende la implantación de un modelo de Audito-
ría Continua, sus beneficios y desafíos.
Felicito a los autores de esta guía por compartir generosamente su valiosa expe-
riencia en la implantación de un modelo de Auditoría Continua que ayuda real-
mente a las Direcciones de Auditoría Interna a afrontar este proyecto estratégico
con menor incertidumbre y mayor probabilidad de éxito.
Ernesto Martínez
Presidente del Instituto de Auditores Internos de España
3
AUDITORÍA INTERNA
Índice
RESUMEN EJECUTIVO 07
INTRODUCCIÓN 08
MODELO DE MADUREZ 14
Desarrollo ...................................................................................................................... 24
Despliegue .................................................................................................................... 27
CASO PRÁCTICO 33
Descripción de la empresa ........................................................................................ 33
Mapa de procesos ....................................................................................................... 35
Modelo de Auditoría Continua implementado .................................................... 36
Modelo de ejecución y mantenimiento continuo del modelo ......................... 39
ANEXOS 41
Glosario ........................................................................................................................... 41
Ejemplos de herramientas de mercado ................................................................. 42
Bibliografía .................................................................................................................... 43
5
AUDITORÍA INTERNA
Resumen Ejecutivo
Los Comités y las Direcciones de Auditoría Interna se enfrentan actualmente a importan-
tes retos: incremento de la complejidad regulatoria, crisis financiera, limitación de recur-
sos, presión sobre objetivos de negocio, exposición al fraude, globalización, cambios tec-
nológicos y operativos, etc. Cuestiones que presuponen, más que nunca, la necesidad de
contar con un “sistema de aseguramiento de la eficacia de los sistemas de control y ges- Los desafíos actuales a
tión de riesgos” fiable, sostenible y continuo. los que se enfrenta la
actividad de Auditoría
Habitualmente, son los auditores internos quienes analizan estos controles, pero lo hacen Interna acentúan la
de forma retrospectiva y cíclica, en ocasiones, mucho después del momento en que se necesidad de contar
producen los hechos y con muestras limitadas de población. Un enfoque que restringe la con un sistema de
cobertura del análisis y el tiempo de respuesta ante eventos relacionados con el cumpli- aseguramiento de la
miento regulatorio o incidencias operativas. eficacia de los sistemas
de control y gestión de
La Auditoría Continua, en cambio, permite evaluar los riesgos y sus controles, y realizar riesgos fiable,
auditorías internas de carácter sustantivo, de manera automática y frecuente. Aunque la sostenible y continuo.
tecnología es un factor clave, la Auditoría Continua implica, además, un cambio de para-
digma: las “revisiones periódicas de una muestra de transacciones” dan paso a “pruebas
de auditoría permanentes sobre la totalidad”. Los resultados de estos análisis integran el
proceso de auditoría interna en todos sus aspectos: desde el desarrollo y mantenimiento
del plan anual, hasta la realización y el seguimiento de auditorías internas específicas.
La guía incluye:
• Definición del concepto de Auditoría Continua, cómo impacta en los procesos de Audi-
toría Interna y su relación con otras funciones de aseguramiento y del negocio en gene-
ral.
• Los beneficios de la Auditoría Continua y una propuesta de modelos de madurez.
• Cómo implantar el enfoque de Auditoría Continua en su organización.
• Un caso práctico para afianzar el contenido teórico expuesto.
• Ejemplos de posibles herramientas que la Auditoría Continua incluye entre sus funcio-
nalidades.
7
AUDITORÍA INTERNA
Introducción
Entre los principales beneficios que los mode- mercados o franquicias comerciales, cade-
los de Auditoría Continua aportan a las orga- nas hoteleras o de restauración, …).
Los modelos de nizaciones que los implantan, destacamos los · Mayor adaptación a cambios en la organi-
Auditoría Continua siguientes: zación (nuevos negocios, productos, activi-
aportan múltiples dades,…) o del entorno (novedades regu-
beneficios: reducen · Reducción de costes de desplazamientos, latorias) que pueden implicar nuevos ries-
costes, incrementan la incremento de productividad y optimización gos.
productividad, facilitan de los equipos de Auditoría Interna, espe- · Mejora del entorno de control, porque cu-
la adaptación al cambio cialmente en el caso de organizaciones con bren ámbitos que no atendía Auditoría In-
y mejoran el entorno de centros de negocio y operativos dispersos terna, al operar con una sistemática, me-
control de la geográficamente (por ejemplo, bancos, dios y herramientas de explotación intensi-
organización . compañías de seguros, cadenas de super- va de datos.
8
AUDITORÍA INTERNA
Además de estos motivos para implantar la abarcan desde la evaluación continua de con-
Auditoría Continua; también son un buen in- trol hasta la evaluación continua de riesgos
centivo los crecientes requerimientos de con- (todas las actividades en la secuencia control- La Monitorización
solidación y supervisión de los sistemas de riesgo)”. Continua es
Control Interno de las organizaciones. responsabilidad directa
Las similitudes entre los conceptos de Audito-
Existen varias definiciones de Auditoría Conti- ría Continua y Monitorización Continua pue- de la Dirección
nua. La Guía de Auditoría de Tecnología Glo- den llevar a confusión, pero son conceptos di- mientras que la
bal sobre Auditoría Continua del Instituto ferentes: la Monitorización Continua es res- Auditoría Continua es
Global de Auditores Internos (GTAG 3) la defi- ponsabilidad directa de la Dirección en mate- responsabilidad de la
ne como “todo método utilizado por los audi- ria de Buen Gobierno y la Auditoría Continua Dirección
tores internos para realizar actividades rela- es responsabilidad de la Dirección de Audito- Auditoría Interna.
cionadas con la auditoría en forma –más– ría Interna, en cuanto a supervisión. Sus dife-
continua. Es la secuencia de actividades que rencias son:
Fuente: Deloitte 2010. Continuous monitoring and continuous auditing: From idea to implementation.
9
AUDITORÍA INTERNA
Respuesta de la Dirección
Monitorización exhaustiva
de los controles internos Esfuerzo
reducido
Baja
monitorización
de controles Esfuerzo significativo/
mayor cantidad
de recursos
10
AUDITORÍA INTERNA
· Contar con una Auditoría Interna con ma- · Reducir la necesidad de viajes y costes de
yor capacidad para mitigar los riesgos. desplazamiento.
· Reforzar el elemento disuasorio, aumentan- · Mejorar la fiabilidad de la información fi-
do la sensación de control. nanciera.
· Reducir errores financieros y la probabili- · Aportar más valor por parte de la Dirección
dad de fraude. de Auditoría Interna y mejorar el entendi-
miento de los procesos, dar mayor cobertu-
· Lograr un enfoque sostenible y un coste efi-
ra a sus trabajos y más agilidad al identifi-
ciente para las actividades de cumplimiento
car y escalar incidencias.
y evaluación del entorno de control.
11
AUDITORÍA INTERNA
que definen el proyecto de Auditoría Conti- Ponga los cimientos: defina el mode-
5 lo antes de definir los indicadores.
nua. Debemos establecer sistemas de medi-
ción que demuestren las mejoras en eficiencia
Aunque resulte paradójico, lo último que debe
y demás beneficios que se producen, mayor
La Dirección es la preocuparnos es la relación de indicadores de
cobertura y fiabilidad, incremento en la sensa-
encargada de fijar los un sistema de Auditoria Continua. Antes tene-
ción de control, etc.. mos que evaluar el ámbito de actuación del
objetivos y criterios de
implantación de un Auditoría Continua no es sinónimo sistema, el diseño conceptual de la platafor-
3 de “reducción de personal”: no lo ma de gestión, cómo involucramos en el pro-
proyecto de Auditoría
Continua, así como de convierta en su principal objetivo. ceso a las áreas tecnológicas y de negocio, los
establecer un sistema cambios en la estructura de la Dirección de
Es habitual convertir la mayor “eficiencia” de Auditoría Interna que permitirán analizar y se-
de medición de dicho
la Auditoría Continua en un argumento para guir los nuevos indicadores, los cambios que
proceso.
reducir los recursos utilizados. La Auditoría realizaremos en la planificación anual (incluso
Continua permite una mayor cobertura del nos preguntamos si el calificativo “anual” si-
universo auditable sin incrementar los recur- gue teniendo sentido). En definitiva, cómo
sos, pero esto no implica necesariamente una cambian nuestra estrategia y programas de
reducción de personal. Todo depende de cuán auditoría interna.
ambiciosa sea la cobertura. El “umbral de to-
Involucre al departamento de tecnolo-
lerancia” que fijamos para cada “indicador” 6
gía cuanto antes.
determina el volumen de “ocurrencias” que el
sistema nos ofrece, e influye en el volumen de Es fundamental la cooperación del departa-
personal que necesitamos para analizarlas. mento de tecnología, especialmente en la ob-
tención de la información. Da igual si la plata-
Además, para impulsar un proyecto de estas forma de la Auditoría Continua es una herra-
características, necesitamos mantener y de- mienta adquirida en el mercado o una solu-
sarrollar las competencias técnicas de nuestro ción a medida; si la desarrolla un proveedor
personal, poner a su alcance la tecnología ne- externo o alguien del Departamento de Audi-
cesaria y los medios para que traten y anali- toría Interna. Para acceder a las fuentes de in-
cen los datos de los sistemas de información. formación que nutren esta herramienta, nos
Un simple “conjunto de consultas” no enfrentamos a diversos retos en los que nece-
4 sitamos la colaboración del departamento de
es un buen modelo de Auditoría Con-
tinua. tecnología por diversas razones:
· Dificultad de acceso a los datos.
Existe Auditoría Continua desde el momento · Diversidad de sistemas de información, con
en que disponemos de una serie de consultas diferentes formatos.
planificadas periódicamente. Sin embargo, un · Datos incompletos, con inconsistencias en
buen modelo realmente se plantea como un la calidad.
“sistema de información” específico que crea · Problemas para acceder a los datos por
y gestiona diferentes indicadores, y centraliza, cuestiones de privacidad o seguridad.
distribuye y analiza los resultados. · Sistemas en constante evolución.
12
AUDITORÍA INTERNA
13
AUDITORÍA INTERNA
Consejo 2320-4
sobre Aseguramiento Continuo
¿Qué dice el Marco Internacional para la De esta forma, el Marco considera que:
Práctica Profesional de Auditoría Interna
· El Plan de Auditoría debe identificar las
(MIPP) sobre el Aseguramiento Continuo?
áreas susceptibles de un enfoque de Audi-
El Consejo 2320-4 Una referencia clave para la Auditoría Conti- toría Continua, de acuerdo con el marco de
sobre “Aseguramiento nua es el Marco Internacional . En su Consejo gestión de riesgos de la organización y del
Continuo” del Marco 2320-4 sobre “Aseguramiento Continuo” proceso de evaluación de riesgos de Audi-
Internacional para la considera que, en aquellos casos en los que el toría Interna.
Práctica Profesional de perfil de riesgo requiera de información fre-
· La frecuencia y el alcance de la Auditoría
Auditoría Interna cuente sobre la efectividad de los sistemas de
Continua depende del perfil de riesgo de la
constituye una control interno, la forma más efectiva es la
organización, y del nivel y naturaleza de las
referencia clave para la combinación de la “monitorización continua”
responsabilidades de Monitorización conti-
Auditoría Continua. de la dirección y la “auditoría continua” de
nua de la Dirección.
Auditoría Interna. El Marco enfatiza el papel
relevante de la tecnología y establece como · La efectividad y la eficiencia de un modelo
clave el que se involucren otras áreas y fun- de Auditoría Continua deben ser evaluadas
ciones de la organización, además del apoyo periódicamente por el auditor interno, con
de la alta dirección, aspectos que trata en el los cambios y ajustes que sean necesarios.
apartado “Cómo implantar un enfoque…”.
Modelo de madurez
El “modelo de madurez” es una herramienta imprescindible para establecer los posteriores
que facilita la identificación de la situación objetivos, diferentes en función del punto de
actual y la definición de planes de acción de partida: ¿tenemos ya algún tipo de herra-
forma gráfica e intuitiva. Conocer el grado de mienta que haga las funciones que busca-
madurez del modelo de Auditoría Continua es mos?, ¿cuál es su grado de evolución? Otro
14
AUDITORÍA INTERNA
- Reconocido como generador de valor para los proyectos de Auditoría Interna para la elección de muestras y pruebas.
- No institucionalizado.
- Recae en grupo central o en un individuo.
- Hay herramientas, pero se emplean de manera no consistente o de manera errónea.
- Utilizadas en, al menos, el 50% del ciclo de vida de auditorías.
ESTABLECIDO
15
AUDITORÍA INTERNA
En el estudio inicial, debemos fijar la estrate- En ocasiones, se elige un enfoque mixto: con
gia de desarrollo de los indicadores de Audi- indicadores fijos y un contenido mínimo, a los
toría Continua según el nivel de cobertura que se incorpora un módulo con el que el
que hayamos definido, con el objetivo de ge- área de Auditoría Interna puede añadir indi-
nerar un modelo completo. Acertar en esta cadores dinámicos cuando el negocio o los
elección será relevante en tiempo y costes. riesgos lo requieran.
16
AUDITORÍA INTERNA
ganización, y afecta a las tres líneas de defen- nuevos indicadores para la misma. Por
sa que configuran su Sistema de Control In- ejemplo, a las funciones de Cumplimiento y
terno. Defensa Penal puede aportarles indicadores
que permitan validar el grado de desempe-
En relación al MODELO DE LAS TRES LÍNEAS
ño de una normativa o establezcan alertas
DE DEFENSA, recomendamos la lectura de la
sobre posibles incumplimientos.
Guía del Instituto de Auditores Internos de Es-
· Conviene convertir la segunda línea de de- Un modelo de Auditoría
paña Marco de relaciones de auditoría inter-
fensa en parte del alcance del modelo de Continua afecta
na con otras funciones de aseguramiento:
Auditoría Continua. directamente al
guía práctica, publicada en 2013 dentro del
· La segunda línea da soporte a los gestores Entorno de Control de
marco de LA FÁBRICA DE PENSAMIENTO.
de Auditoría Continua en el análisis de las la Organización e
Primera línea de defensa: causas de las excepciones. impacta en las tres
· El principal objetivo de un modelo de Audi- líneas de defensa que
Tercera línea de defensa: constituyen su Sistema
toría Continua es recorrer los procesos que
la organización considera claves y estable- · El sistema de Auditoría Continua permite de Control Interno.
cer criterios de seguimiento sobre los ries- realizar al área de Auditoría Interna una re-
gos previamente definidos. evaluación continua de los principales ries-
gos, gestionar de forma dinámica el Plan
· Los departamentos responsables de los
Anual de Auditoría Interna y planificar y
procesos cubiertos por Auditoría Continua
ejecutar determinados trabajos.
participan en el seguimiento de las excep-
ciones y en la identificación de sus causas.
ALINEAMIENTO CON EL ENFOQUE GRC
Segunda línea de defensa: (GOBIERNO, RIESGO Y CUMPLIMIENTO) DE
· Un modelo de Auditoría Continua propor- LA ORGANIZACIÓN
ciona indicadores de contraste frente a los Los requerimientos formales referidos a la
implementados por esta segunda línea, o Gestión de Riesgos Corporativos (ERM) o Sis-
17
AUDITORÍA INTERNA
DEPARTAMENTOS AUDITORÍA
OPERATIVOS GRC INTERNA TECNOLOGÍA
Diseño
Desarrollo
Despliegue
Pruebas
Seguimiento/Periodicidad
18
AUDITORÍA INTERNA
19
AUDITORÍA INTERNA
20
AUDITORÍA INTERNA
· Pesos asignados a cada indicador en fun- - Simulación. Pruebas con diferentes pará-
ción de su relevancia en el proceso. metros asociados a los indicadores para
21
AUDITORÍA INTERNA
22
AUDITORÍA INTERNA
23
AUDITORÍA INTERNA
· Agrupar los indicadores en un cuadro de Tanto si se decide por el desarrollo interno co-
mando ordenado por procesos. mo si se adquiere una solución pre-parametri-
zada, hay que adaptar esas herramientas a
· Comprobar que la información obtenida es
los requisitos definidos en el modelo de tra-
consistente con la información gestionada bajo de Auditoría Continua. En el proceso de
por los distintos departamentos. selección, debe estudiarse la existencia de he-
rramientas similares en la propia organiza-
¿Herramienta de mercado o desarrollo ción, que exploten el almacén de datos o que
interno? ya utilicen otras áreas para su trabajo. Adap-
tarlas mejorará el retorno de la inversión.
El éxito de un modelo de Auditoría Continua
depende, en gran medida, de la selección e Ventajas de una herramienta comercial ver-
implantación (o desarrollo) de las herramien- sus una herramienta de desarrollo interno
tas tecnológicas adecuadas y de su utilización · Menor riesgo de incidencias durante el de-
efectiva. Las organizaciones deben evaluar, sarrollo –desviaciones en tiempo o coste,
por tanto, las características y funcionalidades funcionalidades no implementadas de for-
La selección e de las herramientas que se adecúen a sus ne- ma completa, etc.
implantación de las cesidades: coste de implantación, explotación · Productos probados.
herramientas · Puesta en marcha en menor tiempo.
y mantenimiento, agilidad y flexibilidad para
tecnológicas adecuadas adecuarse a cambios organizativos, a distin- Inconvenientes
así como su utilización tos los procesos o a los riesgos e indicadores · Puede no facilitar todas las funcionalidades
efectiva es elemento que se monitoricen. que proporciona un desarrollo a medida o
clave en el éxito de un no adaptarse a las necesidades específicas
Existe un abanico de soluciones –basadas en
modelo de Auditoría de la organización y sus procesos.
herramientas para tratamiento masivo de la · Dependencia externa.
Continua.
información– que sirven de soporte a la Audi-
toría Continua y que facilitan la interconexión De cualquier forma, en cualquier desarrollo
de sistemas: interno o adaptación hay que considerar su
posterior administración –desde el área de
· Herramientas ofimáticas. Hojas de cálculo o
Auditoría Interna, en la medida de lo posible–
bases de datos, por ejemplo.
y los futuros cambios, bien en el alcance del
· Herramientas estándar de auditoría, herra- proyecto o por cambios en la organización.
mientas CAATT, Computer Assisted Audit
Tools and Techniques.
· Procedimientos convencionales de presen- DESARROLLO
tación de información. Por ejemplo, de un
sistema ERP. Identificar los atributos de la
información que se recopila
· Business intelligence: cuadros de mando,
informes, etc. Para desarrollar los indicadores, es necesario
· Herramientas con módulos específicos de analizar la fuente de los datos y sus atributos,
Auditoría o Monitorización Continua –he- así se podrá calificar adecuadamente la infor-
rramientas de tipo GRC. mación y facilitar su gestión.
24
AUDITORÍA INTERNA
Desarrollo Conexión
Análisis de la Conexión
plataforma / con las Gestión de
fuente de datos con otras Pruebas
Adaptacíon fuentes de incidencias
y sus atributos herramientas
herramienta información
25
AUDITORÍA INTERNA
26
AUDITORÍA INTERNA
vos indicadores con el resto de sistemas, Estas pruebas ayudan a mejorar el diseño del
pruebas de velocidad de proceso de infor- indicador, ajustándolo y reduciendo el número
mación en función de la información fuen- de falsos positivos.
te, etcétera.
· Pruebas de usuario o concepto, que tienen
por objetivo validar los resultados obteni- DESPLIEGUE
dos. En la fase de diseño las define el área
de Auditoría Interna. Las más habituales Implantación
son:
Siempre que el proyecto se presente a la Di-
- Formato de la información: validar el for- rección de forma adecuada y se diseñe en Uno de los principales
mato de los campos del indicador como, una plataforma apropiada, su implantación obstáculos en la
por ejemplo, fechas o importes. no tiene por qué ser complicada. El principal implantación de un
- Totalidad de la información: validar que obstáculo es el limitado conocimiento de la sistema de Auditoría
los resultados que contienen información nueva herramienta que tiene la organización. Continua es el limitado
sobre la población esperada, todas las Hace falta formación impartida por el área de conocimiento existente
zonas geográficas analizadas, todas las Auditoría Interna. en la organización
unidades de negocio analizadas, etcéte- acerca de la nueva
La Auditoría Continua se implementa por mó-
ra. herramienta.
dulos, según una planificación inicial y, a par-
- Coherencia contable: comprobar si la in- tir de pruebas piloto, es recomendable che-
formación se corresponde con los datos quear a las unidades de negocio y, una vez
disponibles en los Estados Financieros u validado el éxito, extender su alcance. Com-
otras fuentes conciliadas contablemente. probado el correcto funcionamiento de la pla-
- Coherencia: validar que los datos obteni- taforma, se realizan los necesarios ajustes en
dos son conceptualmente coherentes, co- la parametrización y pesos de los indicadores.
mo por ejemplo, facturas vencidas que Ajustes que se repetirán periódicamente para
todavía no han sido emitidas. adaptarlos a la dinámica de la organización y
- Coherencia entre indicadores: validar que sus procesos. Las revisiones permiten ajustar
la población de los distintos indicadores paulatinamente la herramienta y detectar y
es homogénea. Por ejemplo, el número reducir las incidencias.
de facturas pendientes de cobro en un
determinado día debe ser la misma para Comunicación a la organización
todos los indicadores que utilicen esta in-
La Dirección y las áreas afectadas por los
formación.
análisis deben considerar la Auditoría Conti-
- Pruebas sobre el indicador en sí mismo: nua como una herramienta de mejora del
verificar la utilidad de los datos obteni- aseguramiento de la organización. Para el
dos, percepción de rendimiento por parte área de Auditoría Interna esta actividad es la
del usuario, etcétera. evolución natural de su trabajo, de la misma
- Resultados: validar que el objetivo del in- forma que evolucionó desde la Auditoría In-
dicador se ha cumplido. terna de cumplimiento, o tradicional, hasta un
27
AUDITORÍA INTERNA
28
AUDITORÍA INTERNA
29
AUDITORÍA INTERNA
30
AUDITORÍA INTERNA
1 Definición de objetivos
Estrategia de desarrollo de indicadores
ARRANQUE DEL PROYECTO Impactos en la Organización
Tres líneas de defensa
Costes y presupuesto Enfoque GRC
Presentación del proyecto a la Dirección Grado de involucración
4 Implantación
DESPLIEGUE Comunicación a la Organización
Análisis tras el despliegue: Fallo en adopción de mejoras
factores de éxito - factores de fracaso
Dificultad para mostrar o
proveer beneficios
Pérdida de interés
o momento
31
AUDITORÍA INTERNA
Caso práctico
33
AUDITORÍA INTERNA
34
AUDITORÍA INTERNA
- Work Flow en la Intranet, con asignación · Para procesos con sistemas de Auditoría
de funciones a todos los empleados de la Continua desarrollado, identificamos indi-
organización, identificando acciones ante cadores.
determinados aspectos programados.
· Conexión con otras herramientas: ver cómo
- Paquete contable integrado en SAP, que afectan los nuevos desarrollos.
cuenta con un módulo de gestión de al-
macenes y materiales. Algunas unidades · Reporting a funciones clave.
pueden utilizar otro sistema, aunque la · Seguimiento realizado sobre indicadores:
empresa está en un proceso de unifica- - Por áreas responsables (Monitorización
ción de los mismos. Continua).
- Para gestión de costes y márgenes ope- - Por Auditoría Interna (Auditoría Conti-
rativos cuentan con un sistema de Busi- nua).
ness Intelligence (BI) de reciente implan-
· Sistema para determinar nuevos indicado-
tación.
res y actualización de los existentes.
- Aplicativo de Auditoría Interna enfocado
a un esquema de programas de trabajo y
realización de informes, enfocado a los
sistemas tradicionales de Auditoría Ope- MAPA DE PROCESOS
rativa. La Dirección de FLEXI ACER ha implantado un
Estos son los aspectos previos considerados, modelo de gestión orientado a procesos, don-
antes de definir la implantación de un modelo de las necesidades y la satisfacción del cliente
de Auditoría Continua. Para desarrollarlo, ha- forman el eje de la estrategia del negocio.
ce falta revisar el trabajo que realizan todos
En el proceso de implantación del modelo de
los implicados, pues existe el riesgo de dupli-
Auditoría Continua, la Dirección de Auditoría
car áreas.
Interna decide seguir un enfoque “incremen-
Ahora, en base a este supuesto, se detalla la tal” e “iterativo”. En el alcance inicial del mo-
implantación de un modelo de Auditoría Con- delo se incluyen aquellos procesos relaciona-
tinua, mediante: dos con los riesgos más críticos del negocio y
susceptibles de ser automatizados mediante
· Descripción de procesos.
las herramientas disponibles en FLEXI ACER.
· Asignación de riesgos.
La Dirección de Auditoría Interna dispone de
· Departamentos responsables. Vemos cómo un proceso de monitorización que identifica
afecta la existencia de cambios organizati-
los cambios en el perfil de riesgo de la com-
vos.
pañía o en sus procesos para adaptar los indi-
· Identificamos el nivel de madurez de Audi- cadores, y los indicadores incluidos en el mo-
toría por procesos. delo de Auditoría Continua.
35
AUDITORÍA INTERNA
36
AUDITORÍA INTERNA
zada, en conjunción con el Departamento con las unidades auditadas para solicitar
de Tecnología de FLEXI ACER. El Departa- mayor información, seguimiento centraliza-
mento de Tecnología se encarga del mante- do de ocurrencias, acceso a históricos, etcé-
nimiento y la incorporación de nuevas fun- tera.
cionalidades.
En base a los procesos incorporados por FLE-
· La plataforma utiliza la información exis-
tente en un repositorio para evaluar los di- XI ACER en el modelo de Auditoría Continua,
ferentes indicadores. Este repositorio se ac- se muestran los indicadores establecidos para
tualiza cada noche con un volcado directo dos de los procesos de negocio:
de las tablas existentes en el entorno de
producción. Gestión de Compras
· La plataforma admite la incorporación de - Proveedores duplicados.
indicadores dinámicos que son definidos, - Campos faltantes en el maestro de provee-
desarrollados y parametrizados por los dores.
usuarios de Auditoría Interna. No es nece-
- Pedidos creados tarde/a posteriori (en el
saria la involucración del área de tecnolo-
momento de la primera recepción de mer-
gía para incorporar un nuevo indicador (sal-
cancía o factura).
vo que sea necesario incorporar al reposito-
rio alguna tabla nueva no considerada has- - Pedidos parciales (o troceados, sin contro-
ta ese momento). les de autorización adicionales para pedi-
dos de importe o criticidad más elevada).
Existe un administrador en el área de Audi-
toría Interna que incorpora estos nuevos in- - Facturas afloradas con retraso (facturas en
dicadores (o modifica sus parámetros) una el cajón).
vez han sido aprobados por la Dirección de - Facturas conformadas (validadas, autoriza-
Auditoría Interna. La descripción y detalle das) con retraso.
de los mismos se recoge en una ficha que - Facturas que superan cierto importe y no
se cumplimenta desde la propia platafor- han sido apropiadamente autorizadas.
ma. - Facturas duplicadas.
· La periodicidad de ejecución de cada indi- - Partidas con potenciales problemas de cor-
cador es parametrizable y depende de la te de operaciones.
importancia del mismo. En cualquier caso,
- Partidas abiertas de proveedor por un pe-
dicha periodicidad es –como mínimo– de
ríodo de tiempo muy largo.
un día.
- Porcentaje de facturas sin referencia a pedi-
· La plataforma cuenta con una serie de mó-
do de compra.
dulos que permiten, entre otras funciones,
gestionar y/o incorporar indicadores, con- - Pagos a proveedores en paraísos fiscales.
sultar resultados, asignarlos (de forma ma- - Pagos a personal vinculado a la empresa
nual o predefinida) a los auditores internos (por ejemplo, con misma dirección o cuenta
para su análisis, comunicarse directamente bancaria que el empleado).
37
AUDITORÍA INTERNA
Ficha Indicador
(A cumplimentar como paso previo a su creación o modificación)
Identificador indicador: A-S-005 Tipo indicador: Alarma Ámbito: Prueba sustantiva
Cabecera
Título indicador: Aplicaciones que presentan un alto mantenimiento correctivo
Departamento asignado: Auditoría tecnológica Área auditada: Tecnología
Resumen Tipo Riesgo: Tecnológico Epígrafe: Función de Desarrollo
Breve descripción del indicador: Aplicaciones que registran más X solicitudes de mantenimiento correctivo en Z días
Información a mostrar: * Código de la aplicación * Tiempo de resolución medio *Identificador solicitudes pendientes
* Volumen de solicitudes * Solicitudes pendientes
Información adicional * Tipología de errores, causas identificadas hasta el momento, transacciones afectadas y
a solicitar: posible impacto (y/o impacto real de haberse materializado)…
38
AUDITORÍA INTERNA
CUADRO DE MANDO UTILIZADO POR FLEXI ACER PARA PRESENTAR LOS RESULTADOS DEL MODELO DE AUDITORÍA CONTINUA
Valor 2013 H2
Objetivo América del Sur
según AI TOTAL España Francia Alemania Italia Argentina Brasil Uruguay
en momento Delegada 1% 2% 4% 1,4% 0% 0% 0% 0% 0%
Pedidos recepción Centralizada 1% 0% 0% 0,6% 0% 0% 0% 0% 0%
creados
tarde respecto fecha Delegada 1% 3% 0% 4% 2% 0% 0% 0% 0%
factura
Centralizada 1% 0,9% 0% 1,2% 0% 0% 0% 0% 0%
Directa 15% 13% 7% 13% 13% 0% 0% 0% 40%
Pedidos parciales
Delegada 1% 2% 2% 4% 0% 0% 0% 0% 0%
Facturas afloradas con retraso (>6 meses) 1% 0,4% 1% 0,6% 0,1% 0% 1% 0% 0,7%
Facturas conformadas con retraso (>1 mes) 5% 2% 2% 5% 3% 1% 1% 0% 1%
Facturas FI registradas sin pedido 2% 0,8% 0,4% 1% 0% 1% 0,5% 0,2% 0%
Facturas duplicadas Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple
Corte de operaciones N/A N/A N/A N/A N/A N/A N/A N/A N/A
Partidas abiertas de proveedor Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple
Análisis apuntes manuales Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple
Plazo pago s/ política Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple Cumple
39
AUDITORÍA INTERNA
EVOLUCIÓN DE INDICADORES
Pedidos parciales
El indicador respecto a Compra Directa se mantiene estable respecto a la anterior
Directa ejecución y continua por debajo del umbral definido. Sigue destacando el número de
incidencias en Francia (921k€), Alemania (353k€) y Uruguay (147k€). España destaca
por el bajo nivel de incidencias (80k€). Recomendamos que Compras continúe
monitorizando estas posibles compras troceadas de forma recurrente.
40
AUDITORÍA INTERNA
Anexos
GLOSARIO Indicador
La base de un sistema de auditoría continua es la
Aseguramiento Continuo ejecución de una serie de consultas, análisis y
El aseguramiento continuo puede lograrse mejor pruebas que –en esta guía – se han denominado
mediante una combinación de responsabilidades “indicadores”. Los indicadores pueden tener diver-
de seguimiento continuo de la Dirección y las acti- sas finalidades, por lo que hay diferentes tipos:
vidades de supervisión continua de Auditoría Inter- - Alarmas. Alertas sobre situaciones atípicas cuyo
na. origen podría ser (o no) la materialización de un
determinado riesgo. Es el tipo de indicador más
Auditoría Continua frecuente.
GTAG 3 lo define como todo método utilizado por - Key Performance Indicators (KPI) y Key Risk Indi-
los auditores para realizar actividades relacionadas cators (KRI). Ratios e indicadores clave. Por
con la auditoría de forma (más) continua. Es la se- ejemplo, el volumen de horas de mantenimiento
cuencia de actividades que abarcan desde la eva- correctivo que, anualmente, se realiza sobre una
luación continua de control hasta la evaluación aplicación.
continua de riesgos (todas las actividades en la se- - Pre-auditorías. La ejecución de una determinada
prueba de auditoría (por ejemplo, el recálculo de
cuencia control-riesgo).
la facturación de un servicio) o la obtención de
Auditoría a distancia información general (por ejemplo, listados de
clientes).
Es aquella auditoría que pretende facilitar el segui-
- Excepciones. Avisos sobre fallos en el funciona-
miento de los diversos riesgos sin necesidad de
miento de una transacción, un control, etc.
realizar una visita in situ a la ubicación física obje-
to de la auditoría. Indicador Fijo / Indicador Dinámico
- En un modelo de Auditoría Continua basado en
Falso positivo
indicadores fijos, cada vez que se desea incorpo-
Cuando una ocurrencia, normalmente ligada a un rar un indicador es necesario programarlo “a
indicador tipo alarma, no refleja realmente una si- medida” dentro de la plataforma. Normalmente
tuación anómala o atípica. Normalmente no se de- la programación la lleva a cabo el departamento
be a un fallo en la configuración o programación de tecnología, un proveedor externo o la empre-
del indicador, sino a que éste no está lo suficiente- sa que ha desarrollado la herramienta de Audi-
mente elaborado o su umbral de tolerancia es muy toría Continua utilizada.
bajo. - En cambio, los indicadores dinámicos se pueden
ir incorporando a la plataforma mediante la pa-
GTAG - Global Tecnology Audit Guide rametrización de determinados elementos exis-
Guía de Auditoría de Tecnología Global, emitida tentes en la misma, para que no sea necesario
por el Instituto Internacional de Auditores Internos. modificar su programación (salvo que se quiera
41
AUDITORÍA INTERNA
Ocurrencia
Resultado o resultados que devuelve cada indica-
dor.
lo habitual es que sea al revés (en función del per- Fuente: Gartner Magic Quadrant for Enterprise Governan-
sonal disponible se ajusta el umbral). ce, Risk and Compliance Platforms, 2013.
42
AUDITORÍA INTERNA
BIBLIOGRAFÍA
- Auditoría Continua y Supervisión Continua. Pre- - Gartner Magic Quadrant for Enterprise Governan-
sente y futuro. Estudio de KPMG en la región ce, Risk and Compliance Platforms, 2013.
EMA. Diciembre 2012.
- GTAG-3-Guía de Auditoría de Tecnología Global.
- Auditoría Continua y Supervisión Continua. Resul- Auditoria continua: implicaciones para el asegura-
tado del estudio en España. KPMG. 2010. miento, la supervisión y la evaluación de riesgos.
David Coderre. Octubre 2005.
- Auditoría tecnológicamente avanzada: Auditoría a
distancia y Auditoria Continua. Partida doble, nº. - Guía Práctica: Marco de relaciones de Auditoría
204. Manuel Mendiola. Noviembre 2008. Interna con otras funciones de Aseguramiento.
Instituto de Auditores Internos de España. Diciem-
- Beyong Continuous Auditing. Norman Marks. De-
bre 2013.
cember 2010.
- Implementing a continuous audit process. The Ins-
- “Consejo para la práctica 2320-4: Aseguramiento titute of Internal Auditors. December 2010.
Continuo”. Marco Internacional para la Práctica
Profesional de la Auditoría Interna. - The Forrester Wave: Governance, Risk, and Com-
pliance Platforms. Christopher McClean, Nick Ha-
- Continuous monitoring and continuous auditing. yes and Renee Murphy. January 27, 2014.
From idea to implementation. Deloitte. 2010.
- Transforming Internal Audit: A Maturity Model
- Continuous process monitoring: your primary pro- from Data Analytics to Continuous Assurance.
cesses, structurally in control. EY. 2011. KPMG.
43
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
ISBN: 978-84-941921-8-0
Impresión: IAG, SL