Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Reflexiones
• Las áreas de Auditoria y de GRC deben evolucionar en su nivel de ¿Como co-responsables tenemos la certeza
madurez analítica, eliminando los silos y proveer una única fuente de asegurar a la alta gerencia y otros
de resultados de aseguramiento a la alta gerencia. Stakeholders, que nuestro marco y sistema
• La iniciativa debe surgir de la alta dirección, pero los auditores como de GRCA, asegura efectiva y
asesores gerenciales y con visión integral, están llamados a iniciar continuamente el logro de los objetivos
y motivar el cambio. estratégicos?
2
Reflexiones
• Analizamos el 100% de las datos (operaciones) y las ejecutamos oportunamente según la ocurrencia
del riesgo, de la ejecución del control, y de la medición del indicador?
• Generamos resultados en tiempo real, para gestión oportuna por otras líneas de defensa
(Storyboards o Dashboards para la alta gerencia).
• Contamos con una solución analítica especializada para auditoria y aseguramiento, No nos preocupemos,
• Accedemos a las fuentes originales de los datos (independencia de la auditoria)?. pero si tenemos que
ocuparnos y resolver
• Recurrimos a actividades manuales o interfaces entre varios medios o sistemas (uso de hojas de
cálculo u otras herramientas), que podrían afectar la integridad de los resultados, y que se podrían algunos de estos retos y
obviar o reubicar en el ciclo de la prueba según su propósito?. actuar pronto.
3
Como iniciar u optimizar su proyecto de
Trasformación Analítica en el Sistema de GRCA.
02
Involucrar a todo el equipo y
generar autosuficiencia para Proyectos estratégicos).
implementar y dar sostenibilidad a la
Trasformación Analítica
03
Evolucionar en la madurez analítica
hasta soluciones de auditoría ágil y
de monitoreo continuo 05 analítica, con la implementación de una
solución de GRCA / IRM, que soporte e
integre la gestión de las líneas de defensa
con el poder de los datos.
4
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
Entendimiento del potencial de la solución integral y Permiten ejecutar de manera integral y eficiente todo el ciclo de la
especializada de Auditoria y GRC (ECOSISTEMA (*) prueba o procedimiento analítico.
0 Aseguran la integridad y confiabilidad de los datos en todo el ciclo de la
(*) La visión integral del Ecosistema por todo el equipo y
auditoria / aseguramiento y por ende de resultados (cadena de custodia).
1 particularmente los Directivos, permite prever e identificar las
posibilidades de expansión (GRC), con base en las necesidades
Valores agregados y experiencias y conocimientos especializados en
auditoria y GRC de muchos años y en continua evolución. (Gartner,
futuras de la auditoria y/o de las otras líneas.
Forrester).
Conjunto de aplicaciones de GRCA, con el potencial y viabilidad de
tiempo y presupuesto, para integrar una única solución de GRCA robusta y
eficaz.
Componente analítico de datos integrado:
o Básico y con funciones predeterminadas disponibles. Grupo
pequeños y/o en niveles de madurez iniciales.
IMPORTANTE: Si aún no se
ha seleccionado una o Avanzado colaborativo y robusto. Grupos mas grandes y/o nivel de
herramienta especializada, madurez superiores.
el inventario (Paso 4)
podría ser la primera Variedad de conectores para acceso directo a las tablas de muchos
actividad, acompañada con sistemas aplicativos y sistemas de TI (Interacción).
conocedores de su
potencial como medio de Gestión efectiva de Resultados: Automatización de correcciones y flujos
trasformación..
de trabajo entre los gestores y otros Stakeholders. Interactúa con los
componentes del ECOSISTEMA y hace que el monitoreo sea continuo con
disparadores y medidas.
5
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
2 •
•
Establecer la estrategia y objetivos del plan de
Trasformación Analítica.
Asegurar el involucramiento de todos los miembros
del equipo, y particularmente de aquellos con el mayor
conocimiento de la estrategia y riesgos de la
organización.
• Medir el nivel de Capacidad Analítica (madurez) como
fundamento del proyecto de Trasformación Analítica?
• Identificar si existe disparidad en los niveles de
madurez en los miembros de nuestro equipo.
• Visualizar las etapas del proyecto y las necesidades de
capacitación y expansión de la solución.
• Armonizar con otros proyectos si es del caso.
0 Ampliar la comprensión y habilidades del uso practico de la analítica de datos, aplicada a las funciones de Auditoria o de aseguramiento
de otras áreas de GRC.
La trasformación analítica, requiere del concurso de los diferentes roles y exige puntos de convergencia de las diferentes especialidades, para
lograr una trasformación profunda y perdurable, y minimizar el impacto de la rotación del personal técnico.
7
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
4 o de una transformación Analítica de mayor impacto. (Ver Ejemplo Matriz del Inventario). Incluir las pruebas ya automatizadas?.
Esto permite desde el inicio obtener una visión y proyección del potencial, el alcance, los beneficios (ROI) y los recursos necesarios del proyecto y
estructuración de sus etapas.
Este análisis es esencial para justificar ante la Alta Gerencia el valor agregado del proyecto. (Auditoria tradicional vs Continua (Ágil).
Al finalizar el inventario por cada proceso/Actividad/ciclo del negocio u otros criterios de agrupación, se debe realizar un análisis de conjunto, para
identificar todas las sinergias factibles en los pasos siguientes. Ejemplo: Integración de pruebas/ procedimientos / resultados (Dashboards), etc.
(*) Plan de Auditoria, Programas de Auditoria, Procesos, Ciclos del Negocio (Total o parcial (piloto)).
Lo primero aunque parezca obvio, es identificar las actividades, estudios analíticos y pruebas
ACTUALES y/o de EMERGENCIA, que se deben ejecutar (ya sea por las prioridades de su plan
global de Auditoria o delegadas por la alta gerencia), y que puedan ser transformadas y
automatizadas en corto y mediano plazo, siendo prioritarias aquellas que exigen ser optimizadas
en su oportunidad y profundidad.
Camino
tradicional
Plan Reportes
Plan Auditoria Ejecución Informe Seguimiento
Anual Comités
9
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
10
Roles claves en el proyecto de Trasformación Analítica
y su continuidad.
Diseñador Conceptual
Diseña conceptualmente las pruebas analíticas para su trasformación. Debe tener conocimientos amplios de los procesos riesgo relevantes,
controles claves, y KRI, KCI, KPI. Establece todos los componentes y el flujo y detalle de los procedimientos y de los datos requeridos en cada
prueba, hasta las acciones producto de la gestión de resultados (Usualmente debe ser un equipo de las diferentes especialidades de la
auditoria, y si es del caso de Stakeholders involucrados de otras líneas de defensa y de TI).
Diseñador Técnico y/o Desarrollador Implementador
Diseña los componentes y requerimientos lógicos y técnicos de la prueba, desarrolla los scripts, las pruebas de calidad y la puesta en marcha.
Importante: Según las características y tamaño de cada organización y/o de la complejidad de las pruebas a implementar, los roles de
diseñador técnico (arquitecto / científico de datos) y del implementador (desarrollador / programador) se podrían segregar.
Gestor de Resultados
Todos los consumidores de los resultados (Stakeholders), tales como Director de Auditoría, auditores, directivos y operativos de la primera y
segunda líneas, comités y alta gerencia; y otras partes interesadas internas o externas, que requieren los resultados, para gestionarlos y
transformarlos en alto valor para la organización.
11
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
7 •
detallado, y el flujo y pasos de la prueba.
12
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
0
7
13
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
8 •
•
Validar la capacidad instalada requerida y el plan.
Incluir las funciones mas adecuadas y para elaborar scripts de optima eficacia y eficiencia.
• Evaluar la conveniencia de usar técnicas de desarrollo (Ej. Scrum), según la complejidad y nivel de madurez de las pruebas y
estudios analíticos.
• Establecer el proceso de mantenimiento e integridad de las pruebas y estudios analíticos.
IMPORTANTE: Considerar el realizar un piloto (Ej. Pruebas prioritarias, aseguramiento de un proceso, actividad o ciclo, y
proveer la transferencia del conocimiento y las habilidades (autosuficiencia).
14
Pasos sugeridos para iniciar u optimizar la Trasformación Analítica
de Datos en el Sistema de GRCA
Entrenar a los usuarios (Stakeholders) finales, en las facilidades para configurar y/o gestionar los resultados de las pruebas y estudios analíticos,
9 Para entender como compartir y gestionar los resultados de la auditoria en tiempo real y de manera muy oportuna y proactiva con las diferentes
líneas de defensa. Así mismo, conocer las facilidades para el diseño y publicación (tiempo real) de los resultados mediante Dashboards y Storyboards,
para los directivos responsables de la Gestion de los riesgos y a la Alta Gerencia responsable del logro de los objetivos estratégicos.
16
Algunas pruebas y estudios analíticos
Integrando la Gestión de las Líneas de Defensa (GRCA)
18
Modelo de
Reporte técnico
Capacidad
Analítica de
Auditoría de
Galvanize
Cómo pasar del análisis básico de los datos al monitoreo continuo
Contenido
Introducción 3
Características 4
Beneficios 4
Desafíos 4
Riesgos organizacionales 4
Cómo optimizar 5
Nivel 2 – Aplicado 6
Características 6
Beneficios 6
Desafíos 6
Riesgos organizacionales 7
Cómo optimizar 7
Nivel 3 – Administrado 8
Características 8
Beneficios 8
Desafíos 8
Riesgos organizacionales 8
Estudio de caso: análisis eficiente, seguro y rápido 9
Cómo optimizar 9
Nivel 4 – Automatizado 10
Características 10
Beneficios 10
Desafíos 10
Riesgos organizacionales 10
Cómo optimizar 11
Nivel 5 – Monitoreo 11
Características 11
Beneficios 12
Desafíos 13
Riesgos organizacionales 13
Cómo optimizar 13
Conclusión 14
Acerca de Galvanize 14
2
"El Modelo de Capacidad Analítica de Auditoría de Galvanize es una
guía clara para las organizaciones que buscan mejorar el uso de
estudios analíticos. Es la forma de mostrarle a la empresa del valor de
la auditoría".
Theodore K. Walter, contador público,
gerente de auditorías financieras, Scripps Health
Introducción
Con cada vez más frecuencia, se exige que la auditoría A medida que las organizaciones aplican una mayor
interna evalúe la eficacia de los procesos de gestión de automatización y procesos continuos de auditoría y
riesgos, además de atender sus tareas habituales de monitoreo, los estudios analíticos posibilitan la detección
aseguramiento. Presupuestos menguantes o fijos, recursos de patrones o tendencias en los asuntos de auditoría y
reducidos y la creciente complejidad del cumplimiento control, y permiten hacer previsiones sobre los cambios o el
normativo aumentan las dificultades. La auditoría interna aumento de los riesgos dentro de los procesos de controles
debe evolucionar para ser más prospectiva y predecir los financieros y de negocios.
riesgos.
Por este motivo, Galvanize desarrolló el Modelo de
Richard Chambers, presidente del Instituto de Auditores Capacidad Analítica de Auditoría, un marco para evaluar los
Internos, lo confirmó en la Conferencia de Gestión General diferentes niveles de las técnicas de estudios analíticos de
de Auditoría de 2010. Explicó que la auditoría debe auditoría y sus beneficios. Este reporte técnico describe el
comprender qué pasó ayer, brindar información sobre lo Modelo, ilustra los cinco niveles progresivos que debería
que está pasando hoy y entender dónde pueden producirse recorrer un departamento de auditoría interna para avanzar
los riesgos organizacionales mañana. En resumen, en el uso de estudios analíticos y describe los componentes
proporcionar análisis retrospectivo, información actual y fundamentales necesarios (personas, proceso y
previsiones. tecnología).
La respuesta para poder ofrecer todo ese conocimiento El Modelo de Capacidad Analítica de Auditoría de Galvanize
está en los datos, pero muchas organizaciones aún no (Figura 1) está pensado para ayudar a las organizaciones a
cuentan con las capacidades de estudios analíticos que se evaluar el uso de los estudios analíticos a medida que
necesitan para extraer esa información valiosa. suben de nivel.
Nivel 5
Previsión Monitoreo
Nivel 4
Automatizado
Contribución de la
auditoría
Nivel 3
Información
Administrado
Nivel 2
Aplicado
Nivel 1
Retrospección
Básico
Sofisticación
En la sección siguiente, exploraremos las características y los beneficios de cada nivel. Además, estudiaremos algunos de
los desafíos que enfrentan los auditores internos cuando usan la tecnología de estudios analíticos, así como los riesgos
que enfrentan las organizaciones en cada nivel. También daremos consejos para la optimización de los recursos humanos,
los procesos y la tecnología para reducir esos riesgos y aumentar la eficacia de los estudios analíticos de auditoría
mientras se avanza hacia el monitoreo continuo.
3
Nivel 1 - Básico
Las organizaciones que se encuentran en este nivel usan la tecnología de análisis de datos específica de auditoría para
realizar consultas y análisis de grandes conjuntos de datos. En general, un auditor comienza a usar estudios analíticos para
generar resúmenes estadísticos y clasificaciones de los datos. Esto permite que el auditor identifique las anomalías y
comprenda mejor las transacciones y los saldos dentro de un área específica. Los problemas obvios, como los duplicados,
se identifican fácilmente con pruebas analíticas prediseñadas. Las transacciones y los datos de referencia pueden
compararse entre sistemas y proporcionar indicadores de errores y fraudes.
CARACTERÍSTICAS
El uso de estudios analíticos de datos es típicamente ad hoc. Suele haber poca participación de la gerencia. A menudo, un
auditor con interés técnico selecciona el software de estudio analítico, que luego utiliza solo esa persona o un número
limitado de especialistas.
BENEFICIOS
Mejor visión de los asuntos relacionados con riesgos y controles dentro de un área dada. El análisis es más profundo de lo
que suele obtenerse con software de uso general o con procedimientos manuales. En consecuencia, los auditores pueden
identificar rápidamente instancias específicas de fraudes, errores o abusos, así como ineficiencias y debilidades de los
controles. En algunos casos, el tiempo que lleva analizar los datos puede reducirse a minutos en comparación con los días
que llevan las técnicas manuales.
DESAFÍOS
La mayor dificultad para los auditores internos en este nivel es el acceso a los datos. Esto incluye comprender qué datos se
necesitan para una prueba específica y cómo obtenerlos.
RIESGOS ORGANIZACIONALES
La obtención de datos puede convertirse en un riesgo significativo y limitar los recursos de la organización si no se planifica
y gestiona el proceso con eficiencia. Dado que el software específico de auditoría puede manejar enormes cantidades de
datos, la seguridad es crítica.
Existe el riesgo de que un auditor saque conclusiones apresuradas basadas en un análisis que no ha comprendido bien. En
este nivel, con frecuencia hay procedimientos mínimos de revisión y aseguramiento de la calidad para garantizar la validez
del trabajo realizado y que el trabajo esté bien enfocado.
4
CÓMO OPTIMIZAR
Centrar la atención en mejorar las áreas relacionadas con las personas, los procesos y la tecnología permite a las
organizaciones superar esas dificultades y riesgos y aumentar la eficacia de los estudios analíticos de auditoría en el nivel
Básico.
Personas Proceso
+ Capacite a su equipo. A pesar de que el análisis de datos + Comience con un plan simple. Identifique dónde usar
específico de auditoría no es difícil de usar en este nivel, análisis de datos, los objetivos de auditoría compatibles,
la capacitación es importante y beneficiosa. el período que se va a cubrir y los plazos.
+ Salvo que el departamento de TI esté obligado a dar + Trabaje con el departamento de TI para identificar los
soporte a la auditoría interna, suele ser una buena idea datos y acceder a ellos.
disponer de una persona con una sólida base técnica que
pueda ayudar a manejar el acceso a los datos. + Asegúrese de que los datos obtenidos sean precisos y
estén completos.
Tecnología + Determine el o los formatos de los reportes y documente
+ Seleccione un software específico de auditoría que los procedimientos.
admita auditoría y monitoreo continuos para el
crecimiento futuro.
5
Nivel 2 – Aplicado
El segundo nivel se basa en el primero, pero es distinto porque los estudios analíticos son mucho más complejos, están
completamente integrados en el proceso de auditoría y comienzan a transformar la forma en que las auditorías se llevan a
cabo. En este nivel, el plan de auditoría toma en cuenta los estudios analíticos para que, siempre que sea beneficioso y
viable, se cumpla un paso de auditoría o un objetivo con ayuda de una prueba analítica específica. Un conjunto completo
de pruebas repetibles está previsto para dar soporte a toda un área de auditoría.
CARACTERÍSTICAS
La mayoría de las organizaciones de auditoría se encuentran en el nivel Aplicado. Sin embargo, dentro de este nivel existe
una amplia gama de habilidades y aplicaciones, y algunas organizaciones están mucho más avanzadas que otras.
Los asuntos relacionados con las personas y los procesos se vuelven cada vez más importantes. La gerencia de auditoría
debe orientar y apoyar, y suele asignar el rol de analista de datos a un especialista para supervisar el desarrollo de los
proyectos y procedimientos analíticos. Se implementan procedimientos de revisión y aseguramiento de la calidad para
confirmar la calidad y la validez de los estudios analíticos de auditoría.
El uso de estudios analíticos es progresivo dentro de este nivel. Después de comenzar con los objetivos más fáciles de
lograr, el uso se amplía a medida que se agregan pruebas adicionales para apoyar un conjunto más amplio de objetivos de
auditoría. Se estudia la mejor forma de aplicar los estudios analíticos en cada auditoría nueva.
BENEFICIOS
+ En esta etapa, los estudios analíticos comienzan a + Se reducen los procedimientos manuales de auditoría,
transformar radicalmente el proceso de auditoría, y muestreo y pruebas. En consecuencia, muchas tareas se
brindan mayores niveles de aseguramiento. llevan a cabo con mayor rapidez y dejan tiempo libre para
que los auditores se dediquen a las áreas donde aparecen
o evolucionan los riesgos.
DESAFÍOS
Son muchos los desafíos que el equipo de auditoría puede enfrentar a medida que generaliza la implementación de los
estudios analíticos y su integración al proceso de auditoría. Por ejemplo, los auditores internos deben reconocer que
existen grandes diferencias entre el uso ocasional de una herramienta analítica y convertir los estudios analíticos en una
parte fundamental del proceso de auditoría. Los programas de estudios analíticos deben tener un responsable y
gestionarse; y las personas, los roles y los procesos deben cambiar, según sea necesario.
6
RIESGOS ORGANIZACIONALES
En este nivel, los mayores riesgos para una organización suelen ser consecuencia del entorno descentralizado y distribuido
que evoluciona a partir de la expansión del número de usuarios finales y el creciente contenido de los estudios analíticos
de auditoría.
Con la descentralización del entorno de datos, aumenta el riesgo de esfuerzos duplicados. También aumentan los
problemas de seguridad a medida que los datos y resultados proliferan entre múltiples computadoras portátiles y de
escritorio. Es posible que los datos críticos en las computadoras de los auditores internos no estén sujetos a los
estándares de seguridad usuales en las empresas. Los datos confidenciales, como los detalles de las tarjetas de crédito y
los números de seguro social, a menudo no están cifrados ni enmascarados y pueden ser vistos por terceros.
Por último, es muy probable que sean pocas las personas con los conocimientos necesarios y podrían causar una pérdida
de inversión y progreso si deciden dejar la empresa.
CÓMO OPTIMIZAR
Para superar esos desafíos y riesgos y maximizar la eficacia de los estudios analíticos de auditoría en el nivel Aplicado, las
organizaciones deben tener en cuenta lo siguiente.
Personas Proceso
+ Asigne la responsabilidad general del éxito de un + Defina y comunique ampliamente las metas y los
programa de estudios analíticos de auditoría a alguien objetivos del uso de estudios analíticos y establezca una
con habilidades técnicas. estimación realista de los requisitos de recursos e
inversión.
+ Considere la experiencia técnica y de auditoría cuando
determine los roles de liderazgo de la auditoría. (Pocos + Genere procedimientos para el control de calidad del
auditores combinan con éxito las capacidades de análisis desarrollo y el uso de estudios analíticos, como
de datos técnicos y la comprensión profunda de los revisiones independientes para garantizar que la lógica
procesos y los objetivos de los controles y la auditoría). de las pruebas sea correcta.
+ Desarrolle y capacite especialistas en acceso a datos y + Desarrolle un plan integral del programa de estudios
desarrollo de pruebas. analíticos de auditoría que pueda evolucionar para
satisfacer las necesidades de las siguientes etapas del
+ Asegúrese de que la gerencia revise la lógica y los Modelo de Capacidad Analítica de Auditoría. Comience
resultados de las pruebas. (Con demasiada frecuencia, el por los objetivos claves de la auditoría y determine cuáles
diseño de los estudios analíticos se deja a cargo de pueden lograrse con mayor eficacia y eficiencia a través
especialistas con una revisión mínima a nivel gerencial). del análisis de datos.
Tecnología
+ Si existen dificultades para acceder a los datos, tenga en
cuenta los conectores de datos especializados (p. ej., SAP
u otros sistemas empresariales fundamentales).
7
Nivel 3 – Administrado
En este nivel, el objetivo es lograr un análisis de datos en equipo, en el que datos y procesamiento estén centralizados,
seguros, controlados y sean eficientes. Las organizaciones de auditoría que operan en el nivel Administrado deben contar
con las personas, los procesos y la tecnología necesarios para gestionar eficazmente el contenido y las actividades, y que
son esenciales para avanzar en el Modelo.
CARACTERÍSTICAS
El nivel Administrado incluye normalmente el desarrollo de muchas pruebas de estudios analíticos que procesan grandes
volúmenes de datos de diferentes conjuntos. En la mayoría de los casos, hay muchas personas involucradas en este
proceso y la información está dispersa entre varios dispositivos.
Las organizaciones de auditoría que se encuentran en este nivel cuentan, en general, con un entorno de servidores
administrado en forma centralizada y bien estructurada para almacenar y mantener los grandes conjuntos de datos y
contenidos de los procesos de estudios analíticos de auditoría.
El procesamiento complejo de grandes volúmenes de datos suele realizarse en servidores de alta potencia. El acceso y el
uso de los contenidos están controlados, protegidos y sujetos a procesos planificados. Se crean procedimientos,
estándares y documentación.
Lo más significativo es que en este nivel es más factible y común que los auditores no técnicos accedan a los resultados de
las pruebas y los usen con eficiencia.
BENEFICIOS
+ Mejora la eficiencia del equipo a medida que se vuelve + Admite procesos que facilitan el mantenimiento de la
más fácil y eficiente compartir el contenido de los calidad y la integridad del trabajo analítico. La posibilidad
estudios analíticos de auditoría entre todos los de acceder a las pruebas y modificarlas puede
integrantes del equipo y no solo entre los especialistas controlarse con mayor eficiencia y es más fácil mantener
analíticos. Se reduce la dependencia de integrantes los estándares de seguridad de los datos a nivel de
individuales del personal y la continuidad del trabajo no se empresa.
ve tan afectada si se van.
+ Aumenta el relacionamiento eficaz con el departamento
de TI mediante la adopción de estándares más comunes
para el almacenamiento y procesamiento de los datos.
DESAFÍOS
El director de auditoría (CAE, por sus siglas en inglés) y el equipo de auditoría deben prepararse antes de adoptar un
modelo de estudios analíticos administrados. Crear un entorno administrado y centralizado para los estudios analíticos de
auditoría depende de los procesos y las personas en la misma medida que de la tecnología. Esto significa que la
implementación requiere planificación, preparación y recursos.
RIESGOS ORGANIZACIONALES
Existen pocos riesgos inmediatos para una organización que evolucionó hasta este nivel. El problema radica más en las
expectativas de la alta gerencia de pasar a procedimientos continuos. En general, en este punto, el departamento de
auditoría creó un conjunto de pruebas e implementó procedimientos para maximizar los beneficios de los estudios
analíticos como soporte de un proceso cíclico de auditoría.
8
Estudio de caso: análisis eficiente, seguro y rápido
CÓMO OPTIMIZAR
Las siguientes son algunas áreas que una organización debería considerar para mejorar la eficacia de los estudios analíticos de
auditoría en el nivel Administrado.
Personas Proceso
+ La implementación del nivel Administrado de estudios + Estructure el repositorio de estudios analíticos de
analíticos de auditoría exige que la gerencia de auditoría auditoría para que el contenido se pueda usar y controlar
ejerza liderazgo y dirección globales. de manera eficiente (p. ej., categorice los datos por área
de auditoría, ubicación y período).
+ Designe un administrador del repositorio que comprenda
la organización y los procesos de la auditoría, además de + Preste especial atención a los requisitos de acceso a las
saber cómo establecer procedimientos eficaces para la cuentas, seguridad y control. Limite el acceso a los datos
seguridad de los contenidos. confidenciales de la nómina y los pagos, e impida que
personas no autorizadas modifiquen las pruebas.
Tecnología
+ Cifre o enmascare los datos confidenciales.
+ Asegúrese de que el software esté diseñado para
administrar y controlar el contenido de los estudios + Confirme la integridad y la validez de los datos del
analíticos de auditoría y admita un acceso eficiente a los repositorio (p. ej., mediante conciliación con datos de
datos. control o saldos del Mayor general).
9
Nivel 4 – Automatizado
Una vez que la gama completa de pruebas está desarrollada y bien administrada, la auditoría está lista para avanzar hacia
la automatización. Sin embargo, para ser eficaz, la auditoría continua requiere algunos cambios fundamentales en el
proceso de auditoría.
Una auditoría cíclica tradicional tiene un plazo claramente definido. La auditoría continua es diferente porque los procesos de
ejecución de pruebas, revisión y generación de reportes son continuados. Los roles y las responsabilidades de la realización de
la auditoría continua también son diferentes en este enfoque.
CARACTERÍSTICAS
El nivel Automatizado se apoya en los niveles anteriores como base de la auditoría y el monitoreo continuos. Se ha
desarrollado y probado una gama completa de pruebas que están disponibles en un entorno central controlado. Lo único
que falta es programar las pruebas para que se ejecuten con regularidad.
Sin embargo, el abordaje de la auditoría continua va mucho más de los asuntos tecnológicos. También suele ser necesario
un cambio significativo de los procesos de auditoría. La mayoría de los departamentos de auditoría comienzan la auditoría
continua en un área y luego la extienden a las demás a lo largo del tiempo, a medida que se establecen los procedimientos
apropiados.
BENEFICIOS
+ Cumple con las crecientes expectativas de los comités de + A modo de ejemplo, el grupo de auditoría corporativa de
auditoría y la gerencia de que la auditoría interna Hawaiian Airlines usó el software Analytics de Galvanize
proporcione información y aseguramiento que sean para crear varios estudios analíticos automatizados
oportunos y más valiosos. específicos para las compañías aéreas. Para garantizar la
aceptación de la alta gerencia, identificaron procesos
+ La capacidad de seguir el estado actual de los asuntos de manuales que podrían automatizarse en otros
auditoría, riesgos y controles aumenta la eficiencia y la departamentos. El resultado fue una reducción de cerca
eficacia del proceso de auditoría en general. Los de 99 % del tiempo necesario para completar esos
auditores pueden hacer un seguimiento de los cambios procesos. Los empleados ahorran cientos de horas de
de los perfiles de riesgo. trabajo manual con las rutinas automatizadas.
+ Ahorra gastos y esfuerzos considerables. Los recursos de + Puede usarse para demostrar a la gerencia de proceso de
auditoría pueden asignarse a áreas de riesgos más negocios el valor de las técnicas analíticas de auditoría.
significativos.
+ El equipo también puede seguir las tendencias con
+ Permite que la gerencia de auditoría proporcione reportes estudios analíticos específicos y promover controles
más rigurosos y de mayor valor al comité de auditoría y a la internos más eficaces.
alta gerencia.
DESAFÍOS
La migración exitosa de los procesos tradicionales de auditoría es difícil de lograr salvo con el liderazgo y el apoyo de los
gerentes sénior de auditoría que comprendan los beneficios y los objetivos, así como la inversión y el esfuerzo necesarios.
Los principales desafíos suelen encontrarse en la asignación de recursos suficientes para apoyar el cambio de enfoque y
en el reconocimiento de que este tipo de cambio requiere revisión continua de la gerencia.
RIESGOS ORGANIZACIONALES
El mayor riesgo para una organización en esta etapa es que los hallazgos no se compartan con la gerencia o no se les dé una
respuesta que agregue valor al negocio con una mejora de los controles y el desempeño.
10
CÓMO OPTIMIZAR
A continuación, se incluyen algunas áreas que una organización debería considerar cuando intenta mejorar la eficacia de
los estudios analíticos de auditoría en el nivel Automatizado.
Personas Proceso
+ Designe un gerente del programa de auditoría continua + Desarrolle un plan para priorizar las áreas de negocios
que sea responsable de liderar y coordinar los esfuerzos que requieren auditoría continua. ¿Debe aplicarse la
entre personas, procesos y tecnología. auditoría continua primero a las áreas comunes de
negocios como compra a pago o tarjetas de compra? ¿O a
+ Modifique los procesos de trabajo para que las las áreas complejas de mayor riesgo?
responsabilidades de auditoría continua de cada auditor
individual se integren con otros roles de auditoría. + Determine la frecuencia apropiada de las pruebas para
cada actividad de auditoría (p. ej., semanal o quincenal
Tecnología para la nómina; diaria, semanal o mensual para compras
y pagos).
+ Tenga presente que la mayoría de los problemas
tecnológicos están relacionados con la obtención de los + Asigne la responsabilidad de revisar los resultados de las
datos adecuados de forma automatizada. Cuando haya pruebas de auditoría continua. Defina las medidas que
problemas, comience por confirmar que los datos deban tomarse en función los resultados de la auditoría
correctos estén disponibles. continua.
Nivel 5 – Monitoreo
Una vez implementados todos los componentes de los niveles precedentes, están dadas las condiciones para aplicar los
estudios analíticos de auditoría a otras áreas de negocios y aprovechar mejor sus ventajas.
La auditoría interna suele estar en condiciones óptimas de demostrar a la gerencia de procesos de negocios el valor
práctico de los estudios analíticos de auditoría para detectar incumplimientos de las políticas, problemas de control y
también mejoras del desempeño operativo. Cuando se recomienda y se apoya la implementación del monitoreo continuo,
los beneficios de las técnicas de estudios analíticos de auditoría resultan evidentes para un público más amplio. Por
ejemplo, no es inusual escuchar a un responsable de procesos de negocios comentar que estuvo buscando algún sistema
de reporte de excepciones que le aportara más información sobre el desempeño operativo y que se siente aliviado cuando
la auditoría puede proporcionarlo.
El monitoreo continuo también puede convertirse en un componente importante de los procesos de gestión de riesgos de
una organización porque permite darle a la empresa un panorama más claro de los riesgos, los problemas y las
tendencias.
La visión de la profesión de auditoría interna es que la responsabilidad del monitoreo continuo debería pasarse a la gerencia
de negocios. El resultado deseado de este enfoque es que la auditoría continua esté a cargo del departamento de auditoría y
el monitoreo continuo, de la gerencia.
11
CARACTERÍSTICAS
Los niveles más altos de estudios analíticos de auditoría se generan cuando los resultados de las pruebas de transacciones
y controles repetidas con regularidad (continuas) se entregan directamente a la gerencia para darles respuesta. El
monitoreo continuo es una progresión natural de la auditoría continua, que involucra muchos procesos y tecnologías
similares. Si bien la mayoría de los auditores coinciden en que el monitoreo continuo es responsabilidad de la gerencia, la
auditoría está preparada para aconsejar y guiar a la gerencia.
✔ Transacciones
✔ Restricción de códigos de Compras
categoría de comerciante en
tarjetas de crédito
Gestión de excepciones Nómina
✔ Riesgos regulatorios
Distribuya
✔ Entradas de diario sospechosas automáticamente las
excepciones Contabilidad
✔ Coincidencia de empleado y encontradas durante
proveedor las pruebas de
análisis de datos
✔ Superación del límite de compra entre múltiples Cuentas por
cobrar
partes interesadas
Además de la "propiedad" de los procesos, la principal diferencia característica entre el Nivel 4 (auditoría continua) y el
Nivel 5 (monitoreo continuo) son los procesos de los flujos de trabajo por los que un área de negocios recibe las
notificaciones de excepciones y les da respuesta, así como el uso de tableros de mando para los reportes en general. Los
resultados de las pruebas generalizadas pueden ser acumulativos y reportarse para mostrar la evolución de los riesgos y
las tendencias.
BENEFICIOS
Los mayores beneficios del uso de estudios analíticos para auditorías y pruebas de controles se dan cuando el área de
proceso de negocios asume la responsabilidad del monitoreo continuo de las transacciones y puede atender las señales
de alarma en cuanto se producen. Si la implementación de este nivel está completa, la auditoría puede tomar distancia
para revisar y evaluar los resultados del proceso de monitoreo continuo. La auditoría puede evaluar las actividades de
respuesta y corrección que realiza la gerencia para determinar si se necesitan procedimientos adicionales de auditoría y
cuáles serían. Esto aumenta la productividad de la auditoría ya que puede centrarse en aquellas áreas en las que no se
aplican estas técnicas.
Con el monitoreo continuo, las organizaciones se benefician de la mayor eficacia de los controles y requieren menos
procedimientos de control porque todas las transacciones se monitorean automáticamente. Se reducen los fraudes, los
errores, la ineficiencia y los abusos; hay una mejora directa de los resultados finales y el desempeño de negocios, y una
disminución de los riesgos asociados.
El monitoreo continuo ayuda a que las áreas de negocios sean más conscientes de los beneficios de las técnicas de
auditoría, y generan "negocios sensibles a la auditoría". También puede propiciar una relación de trabajo más cercana
entre la auditoría y la gerencia de negocios con respecto a los impactos de los riesgos y controles en la cual la auditoría se
hace más consciente de los asuntos de negocios: "el equipo de auditoría sensible a los negocios".
12
DESAFÍOS
En general, los desafíos en esta etapa se deben a componentes anteriores (procesos, roles y tecnologías) incorrectamente
establecidos o a que la gerencia no acaba de comprender o aceptar su rol crítico y sus responsabilidades.
Uno de los problemas más comunes es que la gerencia tenga criterios diferentes con respecto a las excepciones. Es
posible que la gerencia no esté preocupada por la debilidad de los controles que le importan a la auditoría y esté más
interesada en los asuntos relacionados con el desempeño. Es una oportunidad para la que gerencia y la auditoría trabajen
juntas para mejorar su entendimiento común de las necesidades y oportunidades de la organización.
Los falsos positivos también son comunes. Si el monitoreo continuo genera repetidamente un gran número de positivos
falsos o insignificantes, es común que el proceso se frene.
RIESGOS ORGANIZACIONALES
Es posible que los procesos de monitoreo continuo no revelen instancias significativas de fallas de los controles. Desde el
punto de vista de la auditoría, la falta de excepciones puede indicar que existe el aseguramiento de que los controles están
funcionando con eficacia, pero el resultado puede ser que los responsables de negocios no vean el valor del proceso y
desechen o terminen el programa de auditoría.
CÓMO OPTIMIZAR
Las siguientes son áreas que una organización debería considerar cuando intenta mejorar la eficacia de los estudios
analíticos de auditoría en el nivel Monitoreo Continuo.
Personas Proceso
+ Asigne la responsabilidad global del éxito continuado de + Establezca las responsabilidades y los respectivos roles
los procesos de monitoreo continuo a la persona de la auditoría y la gerencia de procesos de negocios. En
adecuada. (Ya no es un proyecto, sino un nuevo proceso principio, la auditoría interna debería ser independiente
de negocios). del proceso de monitoreo continuo y pasarle toda la
responsabilidad a la gerencia de negocios.
+ Asigne recursos para la revisión y el seguimiento de las
excepciones en función de la naturaleza y gravedad de + Una vez evaluados los procesos de monitoreo continuo y
las excepciones identificadas. los resultados, el auditor debe decidir su impacto sobre
los procedimientos de auditoría.
Tecnología
+ Los requisitos de tecnología del monitoreo continuo son + Las pruebas del monitoreo continuo deberían validarse
muy similares a los de la auditoría continua, aunque para garantizar que se identifiquen correctamente las
suelen agregarse capacidades de apoyo para gestionar y fallas de controles específicos y las transacciones
reportar las excepciones. problemáticas, y para reducir el problema de los falsos
positivos.
+ Los tableros de mando del estado del monitoreo continuo
y los resultados durante un plazo dado suelen ser
valiosos para evaluar los patrones generales de riesgo y
destacar las tendencias.
13
Conclusión
Acerca de Galvanize
Galvanize es el creador del premiado software de seguridad, gestión de riesgos, cumplimiento y auditoría con base en la
nube, para impulsar el cambio en algunas de las organizaciones más grandes del mundo. Asumimos la misión de unir y
fortalecer a individuos y organizaciones enteras mediante la plataforma HighBond de software integrado. Con más de
7,000 organizaciones clientes en 140 países, Galvanize conecta equipos en más del 60 % de las organizaciones de
Fortune 1,000; 72 % de las S&P 500; y cientos de organizaciones gubernamentales, bancarias, manufactureras y de la
salud.
Ya sea que estos profesionales gestionen amenazas, evalúen riesgos, midan controles, monitoreen cumplimiento o
amplíen la cobertura de aseguramiento, HighBond automatiza las tareas manuales, combina los datos de toda la
organización y los transmite en tableros de mando y reportes fáciles de compartir. Pero no solo creamos tecnología;
proveemos herramientas que inspiran a las personas a alcanzar logros importantes y realizar un trabajo heroico en el
proceso.