El futuro de la Auditoria

con el poder de los datos

Las bases para un cambio profundo hacia la

Auditoría Ágil y el Monitoreo Continuo e
Integración de las líneas de GRCA
(Gobierno, Riesgo, Cumplimiento y Auditoria)
“Pasión y Perseverancia las llaves del éxito”

1
 Reflexiones

• La alta gerencia espera de los auditores y otras líneas (GRC),

información casi quirúrgica, integrada y continua, del resultado de
la gestión de los riesgos y la efectividad del sistema de control
interno.

• Las áreas de Auditoria y de GRC deben evolucionar en su nivel de ¿Como co-responsables tenemos la certeza
madurez analítica, eliminando los silos y proveer una única fuente de asegurar a la alta gerencia y otros
de resultados de aseguramiento a la alta gerencia. Stakeholders, que nuestro marco y sistema
• La iniciativa debe surgir de la alta dirección, pero los auditores como de GRCA, asegura efectiva y
asesores gerenciales y con visión integral, están llamados a iniciar continuamente el logro de los objetivos
y motivar el cambio. estratégicos?

EL Paradigma del control efectivo de los sistemas de TI.

Los riesgos de errores y fraudes y las fallas de los controles
en sus sistemas de información y datos transaccionales,
pueden permanecer ocultos y ocasionar daños enormes a
su organización.

2
 Reflexiones

Con nuestras pruebas o procedimientos de auditoria / aseguramiento actuales:

• Tenemos la certeza y disponibilidad, a fin de prevenir y/o mitigar riesgos estratégicos y

organizacionales relevantes y emergentes, y generamos KRI, KCI u otros indicadores
aprovechando el poder de los datos (Valor Agregado a la organización)?

• Cubrimos eficazmente un porcentaje suficiente de los procesos y riesgos críticos?

• Analizamos el 100% de las datos (operaciones) y las ejecutamos oportunamente según la ocurrencia
del riesgo, de la ejecución del control, y de la medición del indicador?

• Generamos resultados en tiempo real, para gestión oportuna por otras líneas de defensa
(Storyboards o Dashboards para la alta gerencia).

• Conocemos cuáles podrían ser automatizadas/robotizadas, y los recursos y tiempo requeridos?

• Contamos con una solución analítica especializada para auditoria y aseguramiento, No nos preocupemos,
• Accedemos a las fuentes originales de los datos (independencia de la auditoria)?. pero si tenemos que
ocuparnos y resolver
• Recurrimos a actividades manuales o interfaces entre varios medios o sistemas (uso de hojas de
cálculo u otras herramientas), que podrían afectar la integridad de los resultados, y que se podrían algunos de estos retos y
obviar o reubicar en el ciclo de la prueba según su propósito?. actuar pronto.

3
 Como iniciar u optimizar su proyecto de
Trasformación Analítica en el Sistema de GRCA.

OBJETIVOS SUGERIDOS DEL PROYECTO (Corto y Mediano plazo):

Seleccionar y/o potenciar el uso y

01 valor agregado de las soluciones

analíticas de datos especializadas
para áreas de auditoria y de GRC
Automatizar el aseguramiento continuo de

04 todos los riesgos críticos tradicionales, y

liberar tiempo significativo para predecir los
riesgos emergentes (actuales o nuevos) Ej.

02
Involucrar a todo el equipo y
generar autosuficiencia para Proyectos estratégicos).
implementar y dar sostenibilidad a la
Trasformación Analítica

Evolucionar al optimo el nivel de madurez

03
Evolucionar en la madurez analítica
hasta soluciones de auditoría ágil y
de monitoreo continuo 05 analítica, con la implementación de una
solución de GRCA / IRM, que soporte e
integre la gestión de las líneas de defensa
con el poder de los datos.

4
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Entendimiento del potencial de la solución integral y  Permiten ejecutar de manera integral y eficiente todo el ciclo de la
especializada de Auditoria y GRC (ECOSISTEMA (*) prueba o procedimiento analítico.
0  Aseguran la integridad y confiabilidad de los datos en todo el ciclo de la
(*) La visión integral del Ecosistema por todo el equipo y
auditoria / aseguramiento y por ende de resultados (cadena de custodia).
1 particularmente los Directivos, permite prever e identificar las
posibilidades de expansión (GRC), con base en las necesidades
 Valores agregados y experiencias y conocimientos especializados en
auditoria y GRC de muchos años y en continua evolución. (Gartner,
futuras de la auditoria y/o de las otras líneas.
Forrester).
 Conjunto de aplicaciones de GRCA, con el potencial y viabilidad de
tiempo y presupuesto, para integrar una única solución de GRCA robusta y
eficaz.
 Componente analítico de datos integrado:
o Básico y con funciones predeterminadas disponibles. Grupo
pequeños y/o en niveles de madurez iniciales.
IMPORTANTE: Si aún no se
ha seleccionado una o Avanzado colaborativo y robusto. Grupos mas grandes y/o nivel de
herramienta especializada, madurez superiores.
el inventario (Paso 4)
podría ser la primera  Variedad de conectores para acceso directo a las tablas de muchos
actividad, acompañada con sistemas aplicativos y sistemas de TI (Interacción).
conocedores de su
potencial como medio de  Gestión efectiva de Resultados: Automatización de correcciones y flujos
trasformación..
de trabajo entre los gestores y otros Stakeholders. Interactúa con los
componentes del ECOSISTEMA y hace que el monitoreo sea continuo con
disparadores y medidas.
5
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Conformar el equipo Gerencial para estructurar, gestionar

0 y monitorear los objetivos, la estrategia y el plan preliminar

del proyecto, a fin de mover a la acción al resto de
auditores o usuarios de las otras líneas de defensa (GRC).

2 •

•
Establecer la estrategia y objetivos del plan de
Trasformación Analítica.
Asegurar el involucramiento de todos los miembros
del equipo, y particularmente de aquellos con el mayor
conocimiento de la estrategia y riesgos de la
organización.
• Medir el nivel de Capacidad Analítica (madurez) como
fundamento del proyecto de Trasformación Analítica?
• Identificar si existe disparidad en los niveles de
madurez en los miembros de nuestro equipo.
• Visualizar las etapas del proyecto y las necesidades de
capacitación y expansión de la solución.
• Armonizar con otros proyectos si es del caso.

Este paso es crucial para establecer el liderazgo, e

impulsar la dinámica de cambio hacia la
transformación analítica.
Modelo para la medición del nivel de Capacidad analítica (Madurez)
El plan se modelara y adecuara en la medida que
(Cómo evolucionar del análisis básico de los datos al monitoreo continuo)
se ejecuten las actividades iniciales, hasta el
perfeccionamiento del proyecto.
6
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

0 Ampliar la comprensión y habilidades del uso practico de la analítica de datos, aplicada a las funciones de Auditoria o de aseguramiento
de otras áreas de GRC.

Capacitación para ampliar las habilidades y conocimientos para la Identificación y Diseño

3 conceptual de pruebas y estudios analíticos.
Esta capacitación es esencial, para involucrar y convertir en lideres del cambio a los directivos y todos los profesionales del área
de Auditoria e involucrar a los Stakeholders de otras líneas de defensa (GRC).

La trasformación analítica, requiere del concurso de los diferentes roles y exige puntos de convergencia de las diferentes especialidades, para
lograr una trasformación profunda y perdurable, y minimizar el impacto de la rotación del personal técnico.
7
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Inventario de pruebas y procedimientos de aseguramiento / autocontrol actuales, para

0 evaluar su factibilidad de automatización y/o Trasformación analítica
Elaborar el inventario de las pruebas y procedimientos actuales (*), para identificar en corto plazo aquellos que son factibles de automatización,

4 o de una transformación Analítica de mayor impacto. (Ver Ejemplo Matriz del Inventario). Incluir las pruebas ya automatizadas?.

Esto permite desde el inicio obtener una visión y proyección del potencial, el alcance, los beneficios (ROI) y los recursos necesarios del proyecto y
estructuración de sus etapas.

Este análisis es esencial para justificar ante la Alta Gerencia el valor agregado del proyecto. (Auditoria tradicional vs Continua (Ágil).

Al finalizar el inventario por cada proceso/Actividad/ciclo del negocio u otros criterios de agrupación, se debe realizar un análisis de conjunto, para
identificar todas las sinergias factibles en los pasos siguientes. Ejemplo: Integración de pruebas/ procedimientos / resultados (Dashboards), etc.

(*) Plan de Auditoria, Programas de Auditoria, Procesos, Ciclos del Negocio (Total o parcial (piloto)).

Lo primero aunque parezca obvio, es identificar las actividades, estudios analíticos y pruebas
ACTUALES y/o de EMERGENCIA, que se deben ejecutar (ya sea por las prioridades de su plan
global de Auditoria o delegadas por la alta gerencia), y que puedan ser transformadas y
automatizadas en corto y mediano plazo, siendo prioritarias aquellas que exigen ser optimizadas
en su oportunidad y profundidad.

IMPORTANTE: Si la organización aún no ha seleccionado

una herramienta (Paso 01), el inventario podría ser la
primera actividad, pero preferiblemente acompañado con
profesionales conocedores del potencial de las
soluciones analíticas especializadas.
8
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Retos que enfrenta el proceso de Auditoria Continua / Ágil / Asertiva

“Innovadores”
Auditoria /Aseguramiento • Trasformación Trabajo de Trabajo de
• Soluciones campo campo
Especializadas
Transformación profunda de la Gestión de la • Automatización
• Robots Comunicar Comunicar
Auditoría con un enfoque eficiente, con
resultados y acciones inmediatas, y proactivas
con la primera y segunda líneas de Defensa. Planear Planear

TIEMPO: Segundos / horas? ??

Camino
tradicional

Auditoria Tradicional Capacidad Analítica

Planeación | Trabajo de campo | Revisión - Supervisión| Informe

TIEMPO: Días / Semanas/ Meses/ Años ???

Plan Reportes
Plan Auditoria Ejecución Informe Seguimiento
Anual Comités
9
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Estructuración de la solución y de la primera ETAPA

0 DEL PROYECTO DE TRANSFORMACIÓN ANALÍTICA
• Alinear a los Objetivos y/o Riesgos Estratégicos y/o
del Plan Global de Auditoria
5 • Analizar el Inventario e Identificar las Pruebas de
Auditoría o estudios analíticos de mayor valor (ROI)
• Análisis del impacto en la estructura funcional, la
arquitectura de TI futuras y otros.
• Identificar con precisión todos los Stakeholders
(roles) involucrados.
• Elaborar plan y cronograma, considerando
prioridades, etapas, tiempo, recursos y otros factores
y VA tales como:
 Emergencia (Efectos Pandemia en la
estrategia)
 Profundidad (100% operaciones)
 Oportunidad (Auditoria Continua)
 Eficiencia (Liberación significativa de tiempo).

10
 Roles claves en el proyecto de Trasformación Analítica
y su continuidad.

Conformar el equipo definitivo y su plan de entrenamiento según sus roles en el proyecto:

0 La identificación e interacción adecuada de los roles de todos y cada uno los Stakeholders involucrados en las pruebas y estudios analíticos, es
esencial para el éxito del Proyecto y asegurar un proceso de madurez y de trasformación analítica continuo. Los roles identifican a cada miembro
6 del equipo con las actividades en las que es más efectivo y eficiente, por su experiencia, especialidad, formación profesional, nivel jerárquico y
remuneración, entre otros aspectos. Nota: Es muy posible que miembros del equipo desempeñen más de un rol.

Identificador de Pruebas y/o Estudios Analíticos

Realiza el inventario y la identificación y descripción general de las pruebas y/o estudios analíticos de alto impacto, alineadas con los objetivos y
riesgos estratégicos actuales y emergentes. Deben ser miembros de la alta gerencia, directivos y supervisores con conocimiento de la
estrategia y de los Riesgos relevantes y Controles claves en el contexto externo e interno de la organización. Nota: Los Usuarios con este perfil,
pueden a su vez realizar el Diseño Conceptual.

Diseñador Conceptual
Diseña conceptualmente las pruebas analíticas para su trasformación. Debe tener conocimientos amplios de los procesos riesgo relevantes,
controles claves, y KRI, KCI, KPI. Establece todos los componentes y el flujo y detalle de los procedimientos y de los datos requeridos en cada
prueba, hasta las acciones producto de la gestión de resultados (Usualmente debe ser un equipo de las diferentes especialidades de la
auditoria, y si es del caso de Stakeholders involucrados de otras líneas de defensa y de TI).
Diseñador Técnico y/o Desarrollador Implementador
Diseña los componentes y requerimientos lógicos y técnicos de la prueba, desarrolla los scripts, las pruebas de calidad y la puesta en marcha.
Importante: Según las características y tamaño de cada organización y/o de la complejidad de las pruebas a implementar, los roles de
diseñador técnico (arquitecto / científico de datos) y del implementador (desarrollador / programador) se podrían segregar.

Gestor de Resultados
Todos los consumidores de los resultados (Stakeholders), tales como Director de Auditoría, auditores, directivos y operativos de la primera y
segunda líneas, comités y alta gerencia; y otras partes interesadas internas o externas, que requieren los resultados, para gestionarlos y
transformarlos en alto valor para la organización.
11
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Elaborar el diseño conceptual detallado de las pruebas y

0 estudios analíticos identificados como prioritarios, para la

primera etapa del proyecto:

• Documentar o complementar el diseño Conceptual

7 •
detallado, y el flujo y pasos de la prueba.

Precisar aquellos supuestos o mediciones estimadas,

en la elaboración previa del inventario.

• Asegurar y precisar el acceso a todos los datos

requeridos, desde su fuente original. (*)

• Involucrar a los miembros del equipo que fueron

capacitados metodológica y técnicamente.

• La identificación y participación de todos los gestores

de resultados y otros Stakeholders involucrados en las
pruebas, tales como: Alta gerencia, directivos, servicios
de TI, y gestores de todas las líneas de defensa (GRC).

• Identificar las posibles interfaces con otras plataformas

complementarias de BI, visualización y consulta. (*)

• Proveer un requerimiento muy claro para el Diseño

Técnico y así hacer mas eficiente el desarrollo del
script y asegurar la eficacia y el valor agregado
esperados.

12
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Elaborar el diseño conceptual detallado de las pruebas y estudios analíticos (Continuación……)

0
7

13
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Diseño técnico, desarrollo, test y puesta en marcha de pruebas analíticas.

0 • Precisar y documentar en detalle las estructuras de datos y asegurar la disponibilidad de las fuentes originales de los datos.
• Procesos previos de integridad de las fuentes de datos. (Primer resultado de valor).

8 •
•
Validar la capacidad instalada requerida y el plan.
Incluir las funciones mas adecuadas y para elaborar scripts de optima eficacia y eficiencia.
• Evaluar la conveniencia de usar técnicas de desarrollo (Ej. Scrum), según la complejidad y nivel de madurez de las pruebas y
estudios analíticos.
• Establecer el proceso de mantenimiento e integridad de las pruebas y estudios analíticos.

IMPORTANTE: Considerar el realizar un piloto (Ej. Pruebas prioritarias, aseguramiento de un proceso, actividad o ciclo, y
proveer la transferencia del conocimiento y las habilidades (autosuficiencia).

14
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Entrenar a los usuarios (Stakeholders) finales, en las facilidades para configurar y/o gestionar los resultados de las pruebas y estudios analíticos,

0 desde su generación hasta su cierre y divulgación a la alta gerencia.

Capacitación en la Gestión de los Resultados

9 Para entender como compartir y gestionar los resultados de la auditoria en tiempo real y de manera muy oportuna y proactiva con las diferentes
líneas de defensa. Así mismo, conocer las facilidades para el diseño y publicación (tiempo real) de los resultados mediante Dashboards y Storyboards,
para los directivos responsables de la Gestion de los riesgos y a la Alta Gerencia responsable del logro de los objetivos estratégicos.

Cierre del ciclo completo de Auditoria o

GRC, ojala integrado en una única
plataforma analítica especializada.
15
 Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA

Monitoreo periódico del proyecto por un comité directivo, con

1 presencia de los patrocinadores e involucrados de otras líneas

(GRC), para asegurar el cumplimento de los objetivos y metas,
resolver temas escalados, evaluar el impacto de los cambios en el

0 proyecto y los compromisos.

Revaluar las prioridades de las pruebas de acuerdo con la

dinámica de la estrategia y objetivos de la Organización (Plan
Global de Auditoría).

Lecciones aprendidas para las siguientes etapas para asegurar la

evolución y la sostenibilidad del proyecto de Trasformación
analítica integral.

Establecer con mayor precisión las exigencias y requerimientos de

recursos humanos y de plataforma de TI para la siguiente
etapa, y previsiones para las etapas siguientes.
“En estos momentos de coyuntura, un enfoque de sistemas
aislados que no permitan una visibilidad del riesgo integral, la
existencia de fuentes de datos fragmentadas y poco integradas,
además de una falta de perspectiva sobre controles adecuados,
podrían colocar a las organizaciones en situaciones de alta
vulnerabilidad con impactos negativos en sus resultados y en
su capacidad de mantener su sostenibilidad” - KPMG

16

Integrando la Gestión de las Líneas de Defensa (GRCA)
Auditoria Interna
• Evaluaciones de auditoría
basadas en riesgos.
• Pruebas de Auditoría
Continua (Ágil).
• Prevención o Identificación
de fraudes y anticorrupción
• Encuestas de auditoría de
Cumplimiento.
• Encuestas de Preparación
previas a la Auditoría.
• Encuestas de calidad de la
Auditoría.
• Administración centralizada
de los resultados de los
Estudios Analíticos.
• Visualizar y evaluar
tendencias de KRIs, KCIs y
KPIs.
• Compartir y hacer
seguimiento de los
hallazgos
• Resúmenes Ejecutivos en
Storyboards y Dashboards.
Algunas pruebas y estudios analíticos
Gestión de Riesgos
• Pruebas de monitoreo para la
prevención y detección de
Riesgos.
• Monitoreo continuo de la
efectividad de controles claves.
• Medición de factores de Riesgos
y de Control (KRIs, KCIs) vs los
Objetivos Estratégicos.
• Capturar y evaluar los eventos de
Riesgo y de omisión o falla de
controles.
• Monitoreo y medición de la
Satisfacción del cliente.
• Encuestas de evaluación de
Gestión de riesgos de
proveedores.
• Análisis de tendencias de los
riesgo. (interacción con R y
Python).
• Visualización de resultados en
Storyboards de los estudios de
riesgo.
• Evaluar la cultura de gestión de
riesgos en la organización.
Tecnología de la Contabilidad y Finanzas Cumplimiento
Información • Monitoreo de todos los • Monitoreo continuo de las
procesos financieros: políticas gerenciales.
• Pruebas de integridad de
compras a proveedores, (Gobierno)
las Bases de Datos
(Periódicas y cuentas por pagar, Nómina,
Inventarios, Libro mayor • Encuestas o pruebas para
migraciones).
general, y otros. evaluar regulaciones de:
• División de tareas y • Anticorrupción, fraudes,
controles de acceso al • Monitoreo de Controles
• Ley SOX,
Directorio Activo (AD). Internos sobre los Reportes
Financieros • Políticas Estatales,
• Monitoreo controles SOX • Privacidad y protección
• Preparación de la auditoría
y Generales de TI. de Datos
de declaraciones
• Cumplimiento de normas financieras. • SARLAFT, etc.
de TI (ISO, NIST,
• Evaluación del cumplimento
COBIT). • Monitoreo de los controles
de mejores practicas o
de procesos de
certificaciones (ISO, BASF,
• Monitoreo cibernético de Planificación de recursos
RSC,
KRIs y KCIS de TI. empresariales.
• Evaluación del cumplimiento
• Encuestas de Gestión de • Tendencias de los estudios
del Código de ética y
riesgos de proveedores analíticos de los procesos
Conducta.
de TI. financieros.
• Línea telefónica de
• Autoevaluaciones de • Formulario de aprobación
denuncias (Línea ética).
Seguridad de TI á Línea previa del proveedor.
telefónica de incidente de
• Tratamiento de las
TI. • Pruebas a Riesgos de los
reclamaciones de los
módulos de ERP-SAP. clientes.(PQR's)
17
 Gracias
Por su paciencia y nos veremos pronto en la nueva
normalidad
egonzalez@gitltda.com

18
 Modelo de
Reporte técnico

Capacidad
Analítica de
Auditoría de
Galvanize
Cómo pasar del análisis básico de los datos al monitoreo continuo
Contenido
Introducción 3

Características 4
Beneficios 4
Desafíos 4
Riesgos organizacionales 4
Cómo optimizar 5
Nivel 2 – Aplicado 6

Características 6
Beneficios 6
Desafíos 6
Riesgos organizacionales 7
Cómo optimizar 7
Nivel 3 – Administrado 8

Características 8
Beneficios 8
Desafíos 8
Riesgos organizacionales 8
Estudio de caso: análisis eficiente, seguro y rápido 9

Cómo optimizar 9
Nivel 4 – Automatizado 10

Características 10
Beneficios 10
Desafíos 10
Riesgos organizacionales 10
Cómo optimizar 11
Nivel 5 – Monitoreo 11

Características 11
Beneficios 12
Desafíos 13
Riesgos organizacionales 13
Cómo optimizar 13
Conclusión 14

Acerca de Galvanize 14

2
 "El Modelo de Capacidad Analítica de Auditoría de Galvanize es una
guía clara para las organizaciones que buscan mejorar el uso de
estudios analíticos. Es la forma de mostrarle a la empresa del valor de
la auditoría".
Theodore K. Walter, contador público,
gerente de auditorías financieras, Scripps Health

Introducción
Con cada vez más frecuencia, se exige que la auditoría
interna evalúe la eficacia de los procesos de gestión de
riesgos, además de atender sus tareas habituales de
aseguramiento. Presupuestos menguantes o fijos, recursos
reducidos y la creciente complejidad del cumplimiento
normativo aumentan las dificultades. La auditoría interna
debe evolucionar para ser más prospectiva y predecir los
riesgos.
Richard Chambers, presidente del Instituto de Auditores
Internos, lo confirmó en la Conferencia de Gestión General
de Auditoría de 2010. Explicó que la auditoría debe
comprender qué pasó ayer, brindar información sobre lo
que está pasando hoy y entender dónde pueden producirse
los riesgos organizacionales mañana. En resumen,
proporcionar análisis retrospectivo, información actual y
previsiones.
A medida que las organizaciones aplican una mayor
automatización y procesos continuos de auditoría y
monitoreo, los estudios analíticos posibilitan la detección
de patrones o tendencias en los asuntos de auditoría y
control, y permiten hacer previsiones sobre los cambios o el
aumento de los riesgos dentro de los procesos de controles
financieros y de negocios.
Por este motivo, Galvanize desarrolló el Modelo de
Capacidad Analítica de Auditoría, un marco para evaluar los
diferentes niveles de las técnicas de estudios analíticos de
auditoría y sus beneficios. Este reporte técnico describe el
Modelo, ilustra los cinco niveles progresivos que debería
recorrer un departamento de auditoría interna para avanzar
en el uso de estudios analíticos y describe los componentes
fundamentales necesarios (personas, proceso y
tecnología).

La respuesta para poder ofrecer todo ese conocimiento El Modelo de Capacidad Analítica de Auditoría de Galvanize
está en los datos, pero muchas organizaciones aún no (Figura 1) está pensado para ayudar a las organizaciones a
cuentan con las capacidades de estudios analíticos que se evaluar el uso de los estudios analíticos a medida que
necesitan para extraer esa información valiosa. suben de nivel.

ad hoc repetitivo continuo

Nivel 5
Previsión Monitoreo

Nivel 4
Automatizado
Contribución de la
auditoría

Nivel 3
Información
Administrado

Nivel 2
Aplicado
Nivel 1
Retrospección
Básico

Sofisticación

Figura 1:   Modelo de Capacidad Analítica de Auditoría de Galvanize

En la sección siguiente, exploraremos las características y los beneficios de cada nivel. Además, estudiaremos algunos de
los desafíos que enfrentan los auditores internos cuando usan la tecnología de estudios analíticos, así como los riesgos
que enfrentan las organizaciones en cada nivel. También daremos consejos para la optimización de los recursos humanos,
los procesos y la tecnología para reducir esos riesgos y aumentar la eficacia de los estudios analíticos de auditoría
mientras se avanza hacia el monitoreo continuo.

3
Nivel 1 - Básico
Las organizaciones que se encuentran en este nivel usan la tecnología de análisis de datos específica de auditoría para
realizar consultas y análisis de grandes conjuntos de datos. En general, un auditor comienza a usar estudios analíticos para
generar resúmenes estadísticos y clasificaciones de los datos. Esto permite que el auditor identifique las anomalías y
comprenda mejor las transacciones y los saldos dentro de un área específica. Los problemas obvios, como los duplicados,
se identifican fácilmente con pruebas analíticas prediseñadas. Las transacciones y los datos de referencia pueden
compararse entre sistemas y proporcionar indicadores de errores y fraudes.

CARACTERÍSTICAS
El uso de estudios analíticos de datos es típicamente ad hoc. Suele haber poca participación de la gerencia. A menudo, un
auditor con interés técnico selecciona el software de estudio analítico, que luego utiliza solo esa persona o un número
limitado de especialistas.

BENEFICIOS
Mejor visión de los asuntos relacionados con riesgos y controles dentro de un área dada. El análisis es más profundo de lo
que suele obtenerse con software de uso general o con procedimientos manuales. En consecuencia, los auditores pueden
identificar rápidamente instancias específicas de fraudes, errores o abusos, así como ineficiencias y debilidades de los
controles. En algunos casos, el tiempo que lleva analizar los datos puede reducirse a minutos en comparación con los días
que llevan las técnicas manuales.

Fintrax Group, una compañía de servicios financieros especializada

en conversiones de pagos en diferentes monedas (Dynamic Currency
Conversion [DCC]) y en el reembolso de IVA para turistas, desarrolló un
estudio analítico de auditoría para potenciar la eficiencia de sus procesos
de conciliación de transacciones y proporcionar más información sobre
los riesgos de fraude. Con scripts básicos prediseñados, Fintrax sustituyó
los engorrosos procesos manuales de conciliación de archivos de DCC que
antes demoraban entre cuatro y cinco horas por adquirente. Actualmente,
el proceso se completa en tan solo una hora.

DESAFÍOS
La mayor dificultad para los auditores internos en este nivel es el acceso a los datos. Esto incluye comprender qué datos se
necesitan para una prueba específica y cómo obtenerlos.

RIESGOS ORGANIZACIONALES
La obtención de datos puede convertirse en un riesgo significativo y limitar los recursos de la organización si no se planifica
y gestiona el proceso con eficiencia. Dado que el software específico de auditoría puede manejar enormes cantidades de
datos, la seguridad es crítica.

Existe el riesgo de que un auditor saque conclusiones apresuradas basadas en un análisis que no ha comprendido bien. En
este nivel, con frecuencia hay procedimientos mínimos de revisión y aseguramiento de la calidad para garantizar la validez
del trabajo realizado y que el trabajo esté bien enfocado.

4
CÓMO OPTIMIZAR
Centrar la atención en mejorar las áreas relacionadas con las personas, los procesos y la tecnología permite a las
organizaciones superar esas dificultades y riesgos y aumentar la eficacia de los estudios analíticos de auditoría en el nivel
Básico.

Personas Proceso
+  Capacite a su equipo. A pesar de que el análisis de datos +  Comience con un plan simple. Identifique dónde usar
específico de auditoría no es difícil de usar en este nivel, análisis de datos, los objetivos de auditoría compatibles,
la capacitación es importante y beneficiosa. el período que se va a cubrir y los plazos.

+  Salvo que el departamento de TI esté obligado a dar
soporte a la auditoría interna, suele ser una buena idea
disponer de una persona con una sólida base técnica que
pueda ayudar a manejar el acceso a los datos.
Tecnología
+  Seleccione un software específico de auditoría que
admita auditoría y monitoreo continuos para el
crecimiento futuro.
+  Trabaje con el departamento de TI para identificar los
datos y acceder a ellos.
+  Asegúrese de que los datos obtenidos sean precisos y
estén completos.
+  Determine el o los formatos de los reportes y documente
los procedimientos.

+  Asegúrese de que los sistemas de hardware admitan

almacenamiento y procesamiento de grandes volúmenes
de datos.

+  Use las capacidades integradas para garantizar que se

registren las actividades de auditoría.

"Con la automatización del análisis de datos y los reportes diarios de

auditoría, la tecnología de Galvanize fortaleció nuestros controles
internos y aportó una valiosa supervisión corporativa".
Paul O’Sullivan, auditor interno, Fintrax Group

5
Nivel 2 – Aplicado
El segundo nivel se basa en el primero, pero es distinto porque los estudios analíticos son mucho más complejos, están
completamente integrados en el proceso de auditoría y comienzan a transformar la forma en que las auditorías se llevan a
cabo. En este nivel, el plan de auditoría toma en cuenta los estudios analíticos para que, siempre que sea beneficioso y
viable, se cumpla un paso de auditoría o un objetivo con ayuda de una prueba analítica específica. Un conjunto completo
de pruebas repetibles está previsto para dar soporte a toda un área de auditoría.

CARACTERÍSTICAS
La mayoría de las organizaciones de auditoría se encuentran en el nivel Aplicado. Sin embargo, dentro de este nivel existe
una amplia gama de habilidades y aplicaciones, y algunas organizaciones están mucho más avanzadas que otras.

Los asuntos relacionados con las personas y los procesos se vuelven cada vez más importantes. La gerencia de auditoría
debe orientar y apoyar, y suele asignar el rol de analista de datos a un especialista para supervisar el desarrollo de los
proyectos y procedimientos analíticos. Se implementan procedimientos de revisión y aseguramiento de la calidad para
confirmar la calidad y la validez de los estudios analíticos de auditoría.

El uso de estudios analíticos es progresivo dentro de este nivel. Después de comenzar con los objetivos más fáciles de
lograr, el uso se amplía a medida que se agregan pruebas adicionales para apoyar un conjunto más amplio de objetivos de
auditoría. Se estudia la mejor forma de aplicar los estudios analíticos en cada auditoría nueva.

BENEFICIOS
+  En esta etapa, los estudios analíticos comienzan a
transformar radicalmente el proceso de auditoría, y
brindan mayores niveles de aseguramiento.
+  Se reducen los procedimientos manuales de auditoría,
muestreo y pruebas. En consecuencia, muchas tareas se
llevan a cabo con mayor rapidez y dejan tiempo libre para
que los auditores se dediquen a las áreas donde aparecen
o evolucionan los riesgos.

Los auditores de la ciudad de Oklahoma usaron estudios analíticos para

auditar los ingresos del estado por concepto de impuestos a las ventas y
para identificar pagos faltantes, aplicación incoherente de estatutos y tasas y
reportes indebidos de los proveedores. En un proyecto, el equipo de auditoría
descubrió pérdidas de ingresos municipales por un valor de USD 45 millones
y ese descubrimiento generó cambios en la forma de cobrar los impuestos a
las ventas en todas las ciudades del estado.

DESAFÍOS
Son muchos los desafíos que el equipo de auditoría puede enfrentar a medida que generaliza la implementación de los
estudios analíticos y su integración al proceso de auditoría. Por ejemplo, los auditores internos deben reconocer que
existen grandes diferencias entre el uso ocasional de una herramienta analítica y convertir los estudios analíticos en una
parte fundamental del proceso de auditoría. Los programas de estudios analíticos deben tener un responsable y
gestionarse; y las personas, los roles y los procesos deben cambiar, según sea necesario.

6
RIESGOS ORGANIZACIONALES
En este nivel, los mayores riesgos para una organización suelen ser consecuencia del entorno descentralizado y distribuido
que evoluciona a partir de la expansión del número de usuarios finales y el creciente contenido de los estudios analíticos
de auditoría.

Con la descentralización del entorno de datos, aumenta el riesgo de esfuerzos duplicados. También aumentan los
problemas de seguridad a medida que los datos y resultados proliferan entre múltiples computadoras portátiles y de
escritorio. Es posible que los datos críticos en las computadoras de los auditores internos no estén sujetos a los
estándares de seguridad usuales en las empresas. Los datos confidenciales, como los detalles de las tarjetas de crédito y
los números de seguro social, a menudo no están cifrados ni enmascarados y pueden ser vistos por terceros.

Por último, es muy probable que sean pocas las personas con los conocimientos necesarios y podrían causar una pérdida
de inversión y progreso si deciden dejar la empresa.

CÓMO OPTIMIZAR
Para superar esos desafíos y riesgos y maximizar la eficacia de los estudios analíticos de auditoría en el nivel Aplicado, las
organizaciones deben tener en cuenta lo siguiente.

Personas
+  Asigne la responsabilidad general del éxito de un
programa de estudios analíticos de auditoría a alguien
con habilidades técnicas.
+  Considere la experiencia técnica y de auditoría cuando
determine los roles de liderazgo de la auditoría. (Pocos
auditores combinan con éxito las capacidades de análisis
de datos técnicos y la comprensión profunda de los
procesos y los objetivos de los controles y la auditoría).
Proceso
+  Defina y comunique ampliamente las metas y los
objetivos del uso de estudios analíticos y establezca una
estimación realista de los requisitos de recursos e
inversión.
+  Genere procedimientos para el control de calidad del
desarrollo y el uso de estudios analíticos, como
revisiones independientes para garantizar que la lógica
de las pruebas sea correcta.

+  Desarrolle y capacite especialistas en acceso a datos y
desarrollo de pruebas.
+  Asegúrese de que la gerencia revise la lógica y los
resultados de las pruebas. (Con demasiada frecuencia, el
diseño de los estudios analíticos se deja a cargo de
especialistas con una revisión mínima a nivel gerencial).
+  Desarrolle un plan integral del programa de estudios
analíticos de auditoría que pueda evolucionar para
satisfacer las necesidades de las siguientes etapas del
Modelo de Capacidad Analítica de Auditoría. Comience
por los objetivos claves de la auditoría y determine cuáles
pueden lograrse con mayor eficacia y eficiencia a través
del análisis de datos.

Tecnología
+  Si existen dificultades para acceder a los datos, tenga en
cuenta los conectores de datos especializados (p. ej., SAP
u otros sistemas empresariales fundamentales).

7
Nivel 3 – Administrado
En este nivel, el objetivo es lograr un análisis de datos en equipo, en el que datos y procesamiento estén centralizados,
seguros, controlados y sean eficientes. Las organizaciones de auditoría que operan en el nivel Administrado deben contar
con las personas, los procesos y la tecnología necesarios para gestionar eficazmente el contenido y las actividades, y que
son esenciales para avanzar en el Modelo.

CARACTERÍSTICAS
El nivel Administrado incluye normalmente el desarrollo de muchas pruebas de estudios analíticos que procesan grandes
volúmenes de datos de diferentes conjuntos. En la mayoría de los casos, hay muchas personas involucradas en este
proceso y la información está dispersa entre varios dispositivos.

Las organizaciones de auditoría que se encuentran en este nivel cuentan, en general, con un entorno de servidores
administrado en forma centralizada y bien estructurada para almacenar y mantener los grandes conjuntos de datos y
contenidos de los procesos de estudios analíticos de auditoría.

El procesamiento complejo de grandes volúmenes de datos suele realizarse en servidores de alta potencia. El acceso y el
uso de los contenidos están controlados, protegidos y sujetos a procesos planificados. Se crean procedimientos,
estándares y documentación.

Lo más significativo es que en este nivel es más factible y común que los auditores no técnicos accedan a los resultados de
las pruebas y los usen con eficiencia.

BENEFICIOS
+  Mejora la eficiencia del equipo a medida que se vuelve
más fácil y eficiente compartir el contenido de los
estudios analíticos de auditoría entre todos los
integrantes del equipo y no solo entre los especialistas
analíticos. Se reduce la dependencia de integrantes
individuales del personal y la continuidad del trabajo no se
ve tan afectada si se van.
+  Admite procesos que facilitan el mantenimiento de la
calidad y la integridad del trabajo analítico. La posibilidad
de acceder a las pruebas y modificarlas puede
controlarse con mayor eficiencia y es más fácil mantener
los estándares de seguridad de los datos a nivel de
empresa.
+  Aumenta el relacionamiento eficaz con el departamento
de TI mediante la adopción de estándares más comunes
para el almacenamiento y procesamiento de los datos.

DESAFÍOS
El director de auditoría (CAE, por sus siglas en inglés) y el equipo de auditoría deben prepararse antes de adoptar un
modelo de estudios analíticos administrados. Crear un entorno administrado y centralizado para los estudios analíticos de
auditoría depende de los procesos y las personas en la misma medida que de la tecnología. Esto significa que la
implementación requiere planificación, preparación y recursos.

RIESGOS ORGANIZACIONALES
Existen pocos riesgos inmediatos para una organización que evolucionó hasta este nivel. El problema radica más en las
expectativas de la alta gerencia de pasar a procedimientos continuos. En general, en este punto, el departamento de
auditoría creó un conjunto de pruebas e implementó procedimientos para maximizar los beneficios de los estudios
analíticos como soporte de un proceso cíclico de auditoría.

8
 Estudio de caso: análisis eficiente, seguro y rápido

Take-Two Interactive Software es un desarrollador global de videojuegos

con un equipo de auditoría interna de ocho personas geográficamente
dividido entre Nueva York y el Reino Unido. La empresa está usando
el software Analytics de Galvanize para optimizar el acceso a los datos
corporativos, realizar consultas específicas y analizar una variedad de
actividades críticas del negocio.

El equipo tiene acceso directo e independiente a las bases de datos de

producción de la empresa y puede extraer, consultar, ordenar y analizar
los datos con gran flexibilidad. No necesitan esperar que el departamento
de TI los ayude; por eso, incluso las solicitudes urgentes de la gerencia y
las investigaciones internas pueden atenderse inmediatamente. También
han optimizado el muestreo de datos y pueden estratificar segmentos y
seleccionar áreas específicas con facilidad, además de probar poblaciones
completas de datos.

El equipo almacena los scripts aprobados en un repositorio central de

auditoría, lo cual facilita la tarea de compartir rutinas de análisis entre
auditores que trabajan en EE. UU. y en Europa. Los auditores pueden acceder
rápidamente a los scripts existentes y personalizarlos para el sistema
de planificación de recursos empresariales. Esto evita que los auditores
comiencen de cero cada vez que quieren realizar una prueba específica de
datos.

CÓMO OPTIMIZAR
Las siguientes son algunas áreas que una organización debería considerar para mejorar la eficacia de los estudios analíticos de
auditoría en el nivel Administrado.

Personas
+  La implementación del nivel Administrado de estudios
analíticos de auditoría exige que la gerencia de auditoría
ejerza liderazgo y dirección globales.
+  Designe un administrador del repositorio que comprenda
la organización y los procesos de la auditoría, además de
saber cómo establecer procedimientos eficaces para la
seguridad de los contenidos.
Tecnología
+  Asegúrese de que el software esté diseñado para
administrar y controlar el contenido de los estudios
analíticos de auditoría y admita un acceso eficiente a los
datos.
Proceso
+  Estructure el repositorio de estudios analíticos de
auditoría para que el contenido se pueda usar y controlar
de manera eficiente (p. ej., categorice los datos por área
de auditoría, ubicación y período).
+  Preste especial atención a los requisitos de acceso a las
cuentas, seguridad y control. Limite el acceso a los datos
confidenciales de la nómina y los pagos, e impida que
personas no autorizadas modifiquen las pruebas.
+  Cifre o enmascare los datos confidenciales.
+  Confirme la integridad y la validez de los datos del
repositorio (p. ej., mediante conciliación con datos de
control o saldos del Mayor general).

+  Asegúrese de que el hardware del servidor esté +  Estandarice la ubicación y la estructura de la

implementado para soportar la plataforma central de documentación de datos, pruebas y procedimientos.
estudios analíticos administrados en el servidor.

9
Nivel 4 – Automatizado
Una vez que la gama completa de pruebas está desarrollada y bien administrada, la auditoría está lista para avanzar hacia
la automatización. Sin embargo, para ser eficaz, la auditoría continua requiere algunos cambios fundamentales en el
proceso de auditoría.

Una auditoría cíclica tradicional tiene un plazo claramente definido. La auditoría continua es diferente porque los procesos de
ejecución de pruebas, revisión y generación de reportes son continuados. Los roles y las responsabilidades de la realización de
la auditoría continua también son diferentes en este enfoque.

CARACTERÍSTICAS
El nivel Automatizado se apoya en los niveles anteriores como base de la auditoría y el monitoreo continuos. Se ha
desarrollado y probado una gama completa de pruebas que están disponibles en un entorno central controlado. Lo único
que falta es programar las pruebas para que se ejecuten con regularidad.

Sin embargo, el abordaje de la auditoría continua va mucho más de los asuntos tecnológicos. También suele ser necesario
un cambio significativo de los procesos de auditoría. La mayoría de los departamentos de auditoría comienzan la auditoría
continua en un área y luego la extienden a las demás a lo largo del tiempo, a medida que se establecen los procedimientos
apropiados.

BENEFICIOS
+  Cumple con las crecientes expectativas de los comités de
auditoría y la gerencia de que la auditoría interna
proporcione información y aseguramiento que sean
oportunos y más valiosos.
+  La capacidad de seguir el estado actual de los asuntos de
auditoría, riesgos y controles aumenta la eficiencia y la
eficacia del proceso de auditoría en general. Los
auditores pueden hacer un seguimiento de los cambios
de los perfiles de riesgo.
+  Ahorra gastos y esfuerzos considerables. Los recursos de
auditoría pueden asignarse a áreas de riesgos más
significativos.
+  Permite que la gerencia de auditoría proporcione reportes
más rigurosos y de mayor valor al comité de auditoría y a la
alta gerencia.
+  A modo de ejemplo, el grupo de auditoría corporativa de
Hawaiian Airlines usó el software Analytics de Galvanize
para crear varios estudios analíticos automatizados
específicos para las compañías aéreas. Para garantizar la
aceptación de la alta gerencia, identificaron procesos
manuales que podrían automatizarse en otros
departamentos. El resultado fue una reducción de cerca
de 99 % del tiempo necesario para completar esos
procesos. Los empleados ahorran cientos de horas de
trabajo manual con las rutinas automatizadas.
+  Puede usarse para demostrar a la gerencia de proceso de
negocios el valor de las técnicas analíticas de auditoría.
+  El equipo también puede seguir las tendencias con
estudios analíticos específicos y promover controles
internos más eficaces.

DESAFÍOS
La migración exitosa de los procesos tradicionales de auditoría es difícil de lograr salvo con el liderazgo y el apoyo de los
gerentes sénior de auditoría que comprendan los beneficios y los objetivos, así como la inversión y el esfuerzo necesarios.

Los principales desafíos suelen encontrarse en la asignación de recursos suficientes para apoyar el cambio de enfoque y
en el reconocimiento de que este tipo de cambio requiere revisión continua de la gerencia.

RIESGOS ORGANIZACIONALES
El mayor riesgo para una organización en esta etapa es que los hallazgos no se compartan con la gerencia o no se les dé una
respuesta que agregue valor al negocio con una mejora de los controles y el desempeño.

10
CÓMO OPTIMIZAR
A continuación, se incluyen algunas áreas que una organización debería considerar cuando intenta mejorar la eficacia de
los estudios analíticos de auditoría en el nivel Automatizado.

Personas
+  Designe un gerente del programa de auditoría continua
que sea responsable de liderar y coordinar los esfuerzos
entre personas, procesos y tecnología.
+  Modifique los procesos de trabajo para que las
responsabilidades de auditoría continua de cada auditor
individual se integren con otros roles de auditoría.
Tecnología
+  Tenga presente que la mayoría de los problemas
tecnológicos están relacionados con la obtención de los
datos adecuados de forma automatizada. Cuando haya
problemas, comience por confirmar que los datos
correctos estén disponibles.
Proceso
+  Desarrolle un plan para priorizar las áreas de negocios
que requieren auditoría continua. ¿Debe aplicarse la
auditoría continua primero a las áreas comunes de
negocios como compra a pago o tarjetas de compra? ¿O a
las áreas complejas de mayor riesgo?
+  Determine la frecuencia apropiada de las pruebas para
cada actividad de auditoría (p. ej., semanal o quincenal
para la nómina; diaria, semanal o mensual para compras
y pagos).
+  Asigne la responsabilidad de revisar los resultados de las
pruebas de auditoría continua. Defina las medidas que
deban tomarse en función los resultados de la auditoría
continua.

+  Cree procedimientos para modificar las pruebas cuando

los resultados indiquen que se necesitan cambios.

+  Garantice la validez y la integridad de los datos. (La

disponibilidad de datos precisos en el momento oportuno
es crucial para la auditoría continua).

+  Determine los procedimientos que deban llevarse a cabo

si una prueba no se puede ejecutar.

Nivel 5 – Monitoreo
Una vez implementados todos los componentes de los niveles precedentes, están dadas las condiciones para aplicar los
estudios analíticos de auditoría a otras áreas de negocios y aprovechar mejor sus ventajas.

La auditoría interna suele estar en condiciones óptimas de demostrar a la gerencia de procesos de negocios el valor
práctico de los estudios analíticos de auditoría para detectar incumplimientos de las políticas, problemas de control y
también mejoras del desempeño operativo. Cuando se recomienda y se apoya la implementación del monitoreo continuo,
los beneficios de las técnicas de estudios analíticos de auditoría resultan evidentes para un público más amplio. Por
ejemplo, no es inusual escuchar a un responsable de procesos de negocios comentar que estuvo buscando algún sistema
de reporte de excepciones que le aportara más información sobre el desempeño operativo y que se siente aliviado cuando
la auditoría puede proporcionarlo.

El monitoreo continuo también puede convertirse en un componente importante de los procesos de gestión de riesgos de
una organización porque permite darle a la empresa un panorama más claro de los riesgos, los problemas y las
tendencias.

La visión de la profesión de auditoría interna es que la responsabilidad del monitoreo continuo debería pasarse a la gerencia
de negocios. El resultado deseado de este enfoque es que la auditoría continua esté a cargo del departamento de auditoría y
el monitoreo continuo, de la gerencia.

11
CARACTERÍSTICAS
Los niveles más altos de estudios analíticos de auditoría se generan cuando los resultados de las pruebas de transacciones
y controles repetidas con regularidad (continuas) se entregan directamente a la gerencia para darles respuesta. El
monitoreo continuo es una progresión natural de la auditoría continua, que involucra muchos procesos y tecnologías
similares. Si bien la mayoría de los auditores coinciden en que el monitoreo continuo es responsabilidad de la gerencia, la
auditoría está preparada para aconsejar y guiar a la gerencia.

Estudio analítico de ejemplo

Cuentas por
✔ Compras duplicadas pagar

✔ Transacciones
✔ Restricción de códigos de Compras

categoría de comerciante en
tarjetas de crédito
Gestión de excepciones Nómina
✔ Riesgos regulatorios
Distribuya
✔ Entradas de diario sospechosas automáticamente las
excepciones Contabilidad
✔ Coincidencia de empleado y encontradas durante
proveedor las pruebas de
análisis de datos
✔ Superación del límite de compra entre múltiples Cuentas por
cobrar
partes interesadas

Figura 2:   Cómo funciona el monitoreo continuo

Además de la "propiedad" de los procesos, la principal diferencia característica entre el Nivel 4 (auditoría continua) y el
Nivel 5 (monitoreo continuo) son los procesos de los flujos de trabajo por los que un área de negocios recibe las
notificaciones de excepciones y les da respuesta, así como el uso de tableros de mando para los reportes en general. Los
resultados de las pruebas generalizadas pueden ser acumulativos y reportarse para mostrar la evolución de los riesgos y
las tendencias.

BENEFICIOS
Los mayores beneficios del uso de estudios analíticos para auditorías y pruebas de controles se dan cuando el área de
proceso de negocios asume la responsabilidad del monitoreo continuo de las transacciones y puede atender las señales
de alarma en cuanto se producen. Si la implementación de este nivel está completa, la auditoría puede tomar distancia
para revisar y evaluar los resultados del proceso de monitoreo continuo. La auditoría puede evaluar las actividades de
respuesta y corrección que realiza la gerencia para determinar si se necesitan procedimientos adicionales de auditoría y
cuáles serían. Esto aumenta la productividad de la auditoría ya que puede centrarse en aquellas áreas en las que no se
aplican estas técnicas.

Con el monitoreo continuo, las organizaciones se benefician de la mayor eficacia de los controles y requieren menos
procedimientos de control porque todas las transacciones se monitorean automáticamente. Se reducen los fraudes, los
errores, la ineficiencia y los abusos; hay una mejora directa de los resultados finales y el desempeño de negocios, y una
disminución de los riesgos asociados.

El monitoreo continuo ayuda a que las áreas de negocios sean más conscientes de los beneficios de las técnicas de
auditoría, y generan "negocios sensibles a la auditoría". También puede propiciar una relación de trabajo más cercana
entre la auditoría y la gerencia de negocios con respecto a los impactos de los riesgos y controles en la cual la auditoría se
hace más consciente de los asuntos de negocios: "el equipo de auditoría sensible a los negocios".

"El software Analytics de Galvanize transformará radicalmente la forma

en la que gestionamos los gastos y evaluamos el cumplimiento. Reportes
que antes no existían ahora brindarán a los directivos un panorama claro
de nuestro entorno de control".

Hal Laughlin, Gerente de Auditoría de TI, Dun & Bradstreet

12
DESAFÍOS
En general, los desafíos en esta etapa se deben a componentes anteriores (procesos, roles y tecnologías) incorrectamente
establecidos o a que la gerencia no acaba de comprender o aceptar su rol crítico y sus responsabilidades.

Uno de los problemas más comunes es que la gerencia tenga criterios diferentes con respecto a las excepciones. Es
posible que la gerencia no esté preocupada por la debilidad de los controles que le importan a la auditoría y esté más
interesada en los asuntos relacionados con el desempeño. Es una oportunidad para la que gerencia y la auditoría trabajen
juntas para mejorar su entendimiento común de las necesidades y oportunidades de la organización.

Los falsos positivos también son comunes. Si el monitoreo continuo genera repetidamente un gran número de positivos
falsos o insignificantes, es común que el proceso se frene.

RIESGOS ORGANIZACIONALES
Es posible que los procesos de monitoreo continuo no revelen instancias significativas de fallas de los controles. Desde el
punto de vista de la auditoría, la falta de excepciones puede indicar que existe el aseguramiento de que los controles están
funcionando con eficacia, pero el resultado puede ser que los responsables de negocios no vean el valor del proceso y
desechen o terminen el programa de auditoría.

CÓMO OPTIMIZAR
Las siguientes son áreas que una organización debería considerar cuando intenta mejorar la eficacia de los estudios
analíticos de auditoría en el nivel Monitoreo Continuo.

Personas
+  Asigne la responsabilidad global del éxito continuado de
los procesos de monitoreo continuo a la persona
adecuada. (Ya no es un proyecto, sino un nuevo proceso
de negocios).
+  Asigne recursos para la revisión y el seguimiento de las
excepciones en función de la naturaleza y gravedad de
las excepciones identificadas.
Tecnología
+  Los requisitos de tecnología del monitoreo continuo son
muy similares a los de la auditoría continua, aunque
suelen agregarse capacidades de apoyo para gestionar y
reportar las excepciones.
+  Los tableros de mando del estado del monitoreo continuo
y los resultados durante un plazo dado suelen ser
valiosos para evaluar los patrones generales de riesgo y
destacar las tendencias.
Proceso
+  Establezca las responsabilidades y los respectivos roles
de la auditoría y la gerencia de procesos de negocios. En
principio, la auditoría interna debería ser independiente
del proceso de monitoreo continuo y pasarle toda la
responsabilidad a la gerencia de negocios.
+  Una vez evaluados los procesos de monitoreo continuo y
los resultados, el auditor debe decidir su impacto sobre
los procedimientos de auditoría.
+  Las pruebas del monitoreo continuo deberían validarse
para garantizar que se identifiquen correctamente las
fallas de controles específicos y las transacciones
problemáticas, y para reducir el problema de los falsos
positivos.

13
 Conclusión

Este documento es una introducción al Modelo de Capacidad Analítica de

Auditoría de Galvanize. Cada organización enfrentará desafíos particulares
en el proceso de optimizar los beneficios en los diferentes niveles, además
de los problemas típicos relacionados con las personas, los procesos y la
tecnología.
Cuando la auditoría continua se combina con monitoreo continuo, se
puede lograr un nivel de aseguramiento continuo sobre la eficacia de los
controles y la integridad de las transacciones en áreas del proceso de
negocios que no sería posible de otra manera.

En un nivel alto, el modelo proporciona a la auditoría interna una forma de

evaluar el nivel actual de uso de los estudios analíticos de auditoría e identificar
el nivel de uso deseado, junto con una comprensión básica de algunos de
los asuntos que es necesario abordar. Puede usarse como mapa de ruta para
comunicar planes y presentar un argumento de negocios a la gerencia para
crear una estrategia de estudios analíticos de auditoría.

En general, el Modelo apoya a la auditoría aumentando la conciencia de las

áreas de negocios sobre los beneficios de las técnicas de auditoría, además de
ayudar a la auditoría a hacerse más consciente de lo que sucede en las áreas
de negocios. El resultado es un aumento del valor que la auditoría aporta a la
organización.
Los departamentos de auditoría interna con visión de futuro están pasando a la
acción con implementaciones cuidadosamente planificadas y ejecutadas que
ayudan a las organizaciones a potenciar el valor de la información de calidad y
las mejores previsiones en cada etapa del proceso.

Acerca de Galvanize
Galvanize es el creador del premiado software de seguridad, gestión de riesgos, cumplimiento y auditoría con base en la
nube, para impulsar el cambio en algunas de las organizaciones más grandes del mundo. Asumimos la misión de unir y
fortalecer a individuos y organizaciones enteras mediante la plataforma HighBond de software integrado. Con más de
7,000 organizaciones clientes en 140 países, Galvanize conecta equipos en más del 60 % de las organizaciones de
Fortune 1,000; 72 % de las S&P 500; y cientos de organizaciones gubernamentales, bancarias, manufactureras y de la
salud.

Ya sea que estos profesionales gestionen amenazas, evalúen riesgos, midan controles, monitoreen cumplimiento o
amplíen la cobertura de aseguramiento, HighBond automatiza las tareas manuales, combina los datos de toda la
organización y los transmite en tableros de mando y reportes fáciles de compartir. Pero no solo creamos tecnología;
proveemos herramientas que inspiran a las personas a alcanzar logros importantes y realizar un trabajo heroico en el
proceso.

©2021 El software de Galvanize, Galvanize, el logotipo de Galvanize, HighBond y el logotipo

Conozca más acerca de lo que puede lograr con Galvanize de HighBond son marcas comerciales o marcas registradas de ACL Services Ltd. dba
Galvanize.
1 604 646 4254 | wegalvanize.com | info@wegalvanize.com Todas las demás marcas son propiedad de sus respectivos dueños. 14
white-paper-audit-analytic-capability-model-a4-es-mx