GTAG – Resumen Ejecutivo

Auditoría Continua:
Coordinar Auditoría
Continua y Monitoreo
para proveer
Aseguramiento
Continuo
2da Edición

1
 GTAG – Resumen Ejecutivo

Guía de Auditoría de Tecnología Global (GTAG® 3)

Coordinar Auditoría Continua
y Monitoreo para proveer
Aseguramiento Continuo
2ª Edición

Marzo de 2015

2
 GTAG – Resumen Ejecutivo

GTAG - Tabla de Contenidos

RESUMEN EJECUTIVO 4

INTRODUCCIÓN 5

MARCO BASICO DE ASEGURAMIENTO CONTINUO 7

MARCO OPTIMIZADO DE ASEGURAMIENTO CONTINUO 11

APLICACIONES PRÁCTICAS DE AUDITORÍA CONTINUA 13

IMPLEMENTACIÓN DE AUDITORÍA CONTINUA 15

ANEXO

ESTUDIOS DE CASOS 21

Autores, revisores y contribuyentes 28

3

Resumen Ejecutivo
Un entorno regulatorio en evolución, la creciente
globalización, la presión del mercado para mejorar las
operaciones, y la rápida evolución de las condiciones de
negocios, están generando una necesidad a las
organizaciones de desarrollar programas de auditoría
continua dirigidos tanto a los datos financieros como
operacionales. Dichos programas apoyan la capacidad
de auditoría interna de proporcionar aseguramiento
continuo respecto de una gestión eficaz del riesgo y el
control por parte de quienes gobiernan.
La auditoría continua comprende la constante
evaluación de riesgos y controles, realizado a través
dela tecnología y facilitada por un nuevo paradigma de
auditoría que está cambiando, de evaluaciones
periódicas de los riesgos y controles basados en una
muestra de operaciones, a evaluaciones continuas de
una mayor proporción de las transacciones. La auditoría
continua también incluye el análisis de otras fuentes de
datos que pueden revelar valores atípicos en los sistemas
de negocios, como los niveles de seguridad, registro de
incidentes, datos no estructurados y cambios en las
configuraciones de TI, controles de aplicación y
controles en la segregación de tareas.
A través de la auditoría continua, los departamentos de
auditoría interna pueden realizar aumentos
significativos en la eficiencia e incrementar los niveles
de perspicacia. Los pasos clave para la implementación
de la auditoría continua incluyen:
1. Establecer una estrategia de auditoría continua.
2. Adquirir datos para su uso rutinario.
3. Construir indicadores de auditoría continua
(evaluación continua de riesgos y evaluación de
continua de controles).
4. Definir informes y gestionar los resultados.
Sin embargo, para liberar todo el potencial de un
programa de auditoría continua se debe coordinar con
los programas de monitoreo continuos realizados por las
funciones operativas y de supervisión de las gerencias de
la organización.
Las organizaciones idealmente utilizan el marco de
1
gestión de riesgos y control de las tres líneas de defensa .
La primera línea de defensa comprende funciones de
1
Documento del IIA: Las Tres Líneas de Defensa para una gestión
de riesgos y controles efectiva.
4
GTAG – Resumen Ejecutivo
gestión operativa de quienes son dueños y gestionan los
riesgos. La segunda línea de defensa incluye funciones
de gestión tales como los departamentos de
cumplimiento (compliance) y de gestión de riesgos que
supervisan los riesgos. La tercera línea de defensa es la
función de auditoría interna que proporciona
aseguramiento objetivo sobre la eficacia del gobierno, la
gestión de riesgos y control interno. El monitoreo
continuo abarca los esfuerzos permanentes de la primera
y segunda líneas de defensa para asegurar que las
políticas, procedimientos y procesos de negocios están
operando de manera efectiva. Ello involucra identificar
objetivos de control aplicables, asegurar las decisiones y
establecer pruebas automatizadas para las actividades
principales y las transacciones que no cumplan con las
normas esperadas. La auditoría interna puede
proporcionar a la organización aseguramiento continuo
mediante la realización de pruebas permanentes de
monitoreo continuo de manera concurrente con sus
actividades de auditoría continua.
La auditoría continua se puede aplicar tanto para el
desarrollo del plan de auditoría, para apoyo al trabajo de
auditoría como para el seguimiento de los hallazgos de
la auditoría. Los Directores Ejecutivos de Auditoría
(DEA) deben ser conscientes de que la auditoría
continua cambiará la naturaleza de la evidencia, la
oportunidad, los procedimientos, y el nivel de esfuerzo
requerido a los auditores internos. La coordinación de la
auditoría continua, monitoreo continuo y las pruebas
de auditoría sobre el monitoreo continuo ayudará a la
auditoría interna y a la Gerencia a maximizar sus
respectivos retornos sobre el esfuerzo invertido,
logrando alcanzar los objetivos de cumplimiento y
proveer la oportunidad de contribuir a la salud general y
competitividad de la organización.
El esfuerzo coordinado repercute en la oportuna
notificación de las deficiencias y debilidades en la
gestión de riesgos y control, crea un entorno en el que
se concreta seguimiento oportuno y se mejora el
tratamiento de temas. La coordinación del monitoreo
continuo de la organización y los esfuerzos auditoría
continua pueden mejorar la comprensión general de la
organización respecto de los datos, el riesgo y el control,
y maximizar la capacidad de auditoría interna para
proporcionar aseguramiento continuo eficaz a la Alta
Gerencia y el Consejo.

Introducción
El enfoque de la auditoría interna para evaluar la eficacia
de la gestión de riesgos y control interno tradicionalmente
ha sido retrospectivo, con pruebas de los controles
realizados de manera cíclica, a menudo meses después que
ocurrieron las actividades de negocios. Existen dos factores
que están impulsando los esfuerzos de los auditores
internos a modificar su enfoque históricamente
retrospectivo:
 La organización necesita seguir el ritmo del negocio
respondiendo más oportunamente a tasas crecientes de
cambio en los riesgos emergentes.
 Los avances en la tecnología han permitido
evaluaciones de riesgos y controles “en marcha”.
La primera edición de esta guía, Guía de A uditoría de
T ecnología Global del IIA (GT A G®) 3: A uditoría Continua
- Implicancias para el aseguramiento, Monitoreo y Evaluación
de Riesgos, se centró en el monitoreo transaccional y
estableció la relación entre la Auditoría Continua y el
Marco Integrado de Control Interno (COSO-1992). Esta
segunda edición relaciona la Auditoría Continua con las
tres líneas de defensa en la gestión eficaz de los riesgos y el
control y amplía su foco para incluir, no sólo los datos de
transacciones, sino también otras fuentes de datos como
los niveles de seguridad, registros, incidentes, datos no
estructurados, cambios a configuraciones de TI, controles
de aplicación y segregación de controles.
Importancia de los negocios
En muchas organizaciones, la Gerencia y la Dirección
exhiben saturación por la duplicación o superposición de
evaluaciones de gestión de riesgos y controles entre las tres
líneas de defensa. La auditoría continua tiene el potencial
para mitigar esta sensación de fatiga por:
 Optimizar el equilibrio entre los esfuerzos de revisión
de auditoría interna y las Gerencias.
 Promover un uso más eficiente de los recursos de la
organización.
 Reducir el costo de evaluación y ofrecer aseguramiento
sobre los controles internos.
 Proporcionar una evaluación permanente de riesgos y
controles.
 Proporcionar comunicación temprana de las
deficiencias y debilidades facilitando la toma de
acciones correctivas oportunas.
 Proporcionar flexibilidad necesaria para priorizar la
corrección.
5
GTAG – Resumen Ejecutivo
 Promover una mejor comprensión del negocio, riesgos
y cumplimiento.
 Permitir a la Auditoría Interna proporcionar
aseguramiento continuo respecto de controles, riesgos
y oportunidades.
Guías IIA relacionadas
Las guías del Marco Internacional para la Práctica
Profesional relacionadas con la auditoría continua,
supervisión continua y el aseguramiento continuo
incluyen:
Norma 1210: Aptitud
Los auditores internos deben poseer los conocimientos,
habilidades y otras competencias necesarias para cumplir
con sus responsabilidades individuales. La actividad de
auditoría interna en su conjunto debe poseer u obtener
los conocimientos, habilidades y otras competencias
necesarias para cumplir con sus responsabilidades.
Norma 2010: Planificación
El DEA debe establecer un plan basado en riesgos para
determinar las prioridades de las actividades de Auditoría
Interna, en línea con los objetivos de la organización.
Norma 2120: Gestión de Riesgos
La actividad de auditoría interna debe evaluar la eficacia y
contribuir a la mejora de los procesos de gestión de riesgos.
Norma 2130: Control
La actividad de Auditoría Interna debe asistir a la
organización en el mantenimiento de la efectividad de los
controles, evaluando su eficacia y eficiencia y
promoviendo su mejora continua.
2130. A1 - La actividad de auditoría interna debe
evaluar la adecuación y eficacia de los controles en
respuesta a los riesgos del gobierno, operaciones y
sistemas de información de la organización respecto de
lo siguiente:
 Logro de los objetivos estratégicos de la
organización.
 Fiabilidad de integridad de la información
financiera y operativa.
 Eficacia y eficiencia de las operaciones y programas.
 Protección de los activos.
 Cumplimiento de las leyes, regulaciones, políticas,
procedimientos y contratos.
 GTAG – Resumen Ejecutivo

están funcionando eficazmente (PA 2320-4:

Norma 2320: Análisis y Evaluación
Los auditores internos deben basar sus conclusiones y los
resultados del trabajo de análisis y evaluaciones adecuadas.
Consejo para la Práctica (PA) 2320-4: Aseguramiento
continuo
Aseguramiento Continuo).
Evaluación Continua de Controles - la evaluación
continua de los controles internos respecto de un estado
inicial, cambios posteriores y control de configuraciones,
mediante el uso de técnicas de auditoría basados en la
tecnología.

GTAG 14: Auditoría de aplicaciones desarrolladas por Evaluación Continua de Riesgos - la identificación y
el usuario evaluación continua de los riesgos para el logro de los
objetivos de negocio, mediante el uso de técnicas de
GTAG 16: Tecnologías de análisis de datos auditoría basados en la tecnología.

Definiciones de conceptos clave T écnicas de Auditoría Basadas en T ecnología -cualquier

herramienta de auditoría automatizada como programas
Primera línea de defensa - funciones de gestión operativa genéricos de auditoría, generadores de datos de prueba,
de quienes son dueños y gestionan los riesgos. programas de auditoría computarizada, utilidades de
auditoría especializadas y CAATs (normas internacionales
Segunda Línea de Defensa - funciones que supervisan los
para el Ejercicio Profesional de la A uditoría Interna del IIA ).
riesgos, tales como Cumplimiento y Gestión de Riesgos.
Datos T ransaccionales - flujo de datos dinámicos
T ercera línea de defensa - función de auditoría interna
detallado, normalmente relacionado con un proceso de
que proporciona una garantía independiente.
negocios o un evento económico como un pedido, una
T écnicas de Auditoría Asistidas por Computadora factura o un pago.
(CAAT ) - técnicas de auditoría automatizadas tales como
Datos No Estructurados - datos que no se encuentran
software generalizado de auditoría, software utilitario,
limitados a un campo fijo en una hoja de cálculo o base de
datos de prueba, software aplicativo de mapeo y
datos. Ejemplos de datos no estructurados que pueden ser
trazabilidad y sistemas expertos de auditoría que ayudan a
consultados mediante la auditoría continua y técnicas de
los auditores internos a construir los controles de
monitoreo continuo incluyen texto, audio, vídeo y datos
cumplimiento integrados dentro de sistemas de
multimedia.
información y datos en archivos informáticos. (A uditoría
Interna de A seguramiento y Servicios de A sesoramiento, 3° Funciones y responsabilidades
ed., Fundación para la investigación del IIA).
El rendimiento y la coordinación de la auditoría continua
Configuración - ajustes de control, niveles de seguridad, y monitoreo continuo para proporcionar aseguramiento
parámetros y datos de referencia que ejecutan la continuo requiere una comprensión clara de las funciones
autorización, exactitud e integridad del procesamiento de y responsabilidades, tal como se indica en la Tabla 1.
transacciones. Las opciones de configuración afectan a la
funcionalidad del sistema, al desempeño y a los controles
automatizados.
Aseguramiento Continuo - realizado por auditoría interna,
el aseguramiento continuo es una combinación de
auditoría continua y pruebas sobre el monitoreo continuo
de las primera y segunda líneas de defensa.

Auditoría Continua – es la combinación de las

evaluaciones continuas de riesgos y controles apoyada a
través de la tecnología. La auditoría continua está
diseñada para que el auditor interno pueda reportar sobre
un determinado tema en un plazo mucho menor que bajo
el enfoque tradicional.

Monitoreo Continuo - un proceso de gestión, que

monitorea en forma permanente si los controles internos

6
 GTAG – Resumen Ejecutivo

Tabla 1: Funciones y Responsabilidades de Aseguramiento Continuo

ROL RESPONSABILIDADES

 Establecer la credibilidad de las actividades de auditoría continua garantizando la capacidad de los auditores internos y la
Director Ejecutivo de
suficiencia de sus herramientas, las medidas de seguridad de datos, y el presupuesto.
Auditoría (DEA)
 Educar a los auditores internos, la alta Gerencia y el Consejo sobre las funciones y responsabilidades de la actividad de
Auditoría Interna y las Gerencias.
 Comprometerse con una estrategia de varios años para incrementar el apoyo de las partes interesadas.
 Comunicar los resultados de la evaluación de auditoría interna respecto de la eficacia del monitoreo continuo.
 Planear la auditoría continua conjuntamente con las primera y segunda líneas de la defensa.
Auditoría Interna
 Ejecutar la auditoría continua:
(tercera línea de
defensa)
o Vinculada al análisis de los objetivos de negocio.
o Alinear factores de riesgo y actividades de control.
o Añadir valor como un “asesor de confianza” mediante la evaluación de los nuevos riesgos de negocios.
 Realizar pruebas de cumplimiento sobre el Monitoreo Continuo.
 Proveer aseguramiento continuo en relación con los objetivos de auditoría tales como integridad, exactitud y seguridad.
 Mantener efectivas las medidas de seguridad sobre datos.
 Diseñar y realizar monitoreo continuo para evaluar la adecuación y eficacia de la gestión de riesgos y controles.
Gerencia
 Hacer uso de los conocimientos sobre el proceso y gestión de riesgos. Desarrollar e implementar las acciones correctivas
(Primera y segunda que aborden las causas origen de los problemas.
línea de Defensa)  Acortar el tiempo de toma de acciones.

Marco básico de aseguramiento continuo

El marco inicial o básico de aseguramiento continuo abarca el proceso de Auditoría Continua y las pruebas del monitoreo
continuo. Como tercera línea de defensa en gestión de riesgos y controles, la Auditoría Interna se esfuerza en detectar áreas
de interés dentro de su marco de control y, a su vez, proporcionar a la organización el más alto nivel de aseguramiento.

7
 GTAG – Resumen Ejecutivo

Figura 1: Marco Básico de Aseguramiento Continuo

El aseguramiento continuo se logra mediante las siguientes

actividades de Auditoría Interna:
• Pruebas del Monitoreo Continuo de las Primera y Segunda
Línea de Defensa.
• Auditoría Continua.

Tercera Línea de
Defensa:
Prueba de Auditoría
Auditoría Interna
sobre el Monitoreo
Provee aseguramiento
independiente Continuo de la 1ra y
2da línea de defensa
Auditoría
continua
Segunda Línea de basada en
Defensa: tecnología
Funciones de
Supervisión de Evaluación
Riesgos (Ej: gestión Continua de
de riesgos, Riesgos y
cumplimiento)
Controles

Monitoreo
Continuo
Primera Línea de
Defensa:
Gerencia de
Operaciones
Es dueña y gestiona
los Riesgos

Auditoría Continua
La auditoría continua se logra a través de evaluaciones permanentes de riesgos y controles, gracias a las técnicas de auditoría
basadas en tecnología tales como el software generalizado de auditoría, hojas de cálculo o archivos de procesamiento
desarrollados utilizando programas específicos de auditoría, utilitarios de auditoría especializados, CAATs, paquetes de
soluciones comercializados en el mercado y los sistemas desarrollados a medida.

Las técnicas de auditoría basadas en el uso de tecnología deben ser flexibles y escalables para jugar un papel clave en la
optimización de:

 Identificación oportuna de las excepciones y  Análisis comparativos

anomalías.
 Análisis de patrones y tendencias. La auditoría continua proporciona una manera de
 Análisis detallado de transacciones respecto de identificar indicadores de riesgo y evaluar los parámetros
umbrales de corte. de riesgo a través de las operaciones de TI, aplicaciones de
 Pruebas de los controles. TI y procesos de negocio mediante sistemas de análisis de

8

cambios, seguridad, incidentes, desvíos y transacciones. La
auditoría continua mejora la capacidad de los auditores
internos para opinar sobre la disponibilidad y utilidad de
los datos, comprender los controles de las aplicaciones y
optimizar los procesos de negocio automatizándolos.
Cuando se implementa de manera efectiva, la auditoría
continua:
 Se centra en objetivos y afirmaciones de auditoría tales
como integridad, exactitud, y autorización para
determinar la confiabilidad de la información utilizada
para la toma de decisiones.
 Puede detectar nuevas áreas de debilidades en riesgos y
controles.
Bajo el marco básico de aseguramiento continuo (ver
Figura 1), no se produce superposición entre Auditoría
Continua y Monitoreo Continuo y la auditoría continua
se puede realizar incluso si el monitoreo continuo no
existe en la primera y segunda línea de defensa. Sin
embargo, existen oportunidades para el monitoreo
continuo en cualquier sitio que existan oportunidades para
la auditoría continua. Puede existir una oportunidad para
una observación o recomendación de auditoría si las
oportunidades de monitoreo continuo están presentes pero
no están siendo aprovechadas por la Gerencia de línea.
Evaluaciones continuas de riesgos y controles
Las evaluaciones continuas de riesgos y controles deben
ser diseñadas de modo que, simultáneamente, mantengan
la seguridad y eventualmente, extiendan el tiempo entre
revisiones tradicionales de auditoría.
Evaluación continua de los riesgos
Las evaluaciones continuas de riesgos deben incluir una
revisión de los resultados de los esfuerzos de monitoreo de
la Gerencia, incluyendo indicadores predictivos, medidas
de rendimiento, controles de calidad y segregación de
tareas. La evaluación continua de riesgos en forma
permanente identifica y evalúa los riesgos mediante
técnicas de auditoría basadas en tecnología, para:
 Examinar y analizar las tendencias, comparaciones y
desvíos en un solo proceso, en comparación con
desempeños anteriores y también respecto de otros
procesos o sistemas que operan dentro de la empresa.
 Correlacionar y analizar desvíos para mostrar cómo
responde la Gerencia a los riesgos y proporcionar una
visión de futuro sobre riesgos emergentes.
 Destacar posibles riesgos en el enfoque del alcance de
la auditoría (en forma periódica y en línea).
9
GTAG – Resumen Ejecutivo
 Detectar desvíos en las unidades de negocio, sucursales
o procesos que pueden estar asumiendo un mayor
riesgo o que experimentan cambios en forma atípica.
 Resaltar zonas donde los controles son inexistentes o
donde no se encuentran operando de forma adecuada,
lo que sugiere que los auditores deban realizan
evaluaciones de control más exhaustivas en áreas
específicas.
 Administrar hojas de cálculo de negocios críticos y
otras aplicaciones desarrolladas por el usuario
2
 Predecir o anticipar los riesgos futuros.
Los resultados de la evaluación continua de riesgos sirven
como “entrada” para el planeamiento de la auditoría y la
evaluación continua de controles.
Evaluación continua del control
Una evaluación continua de control evalúa en forma
permanente los controles internos partiendo de un estado
básico o de inicio detectando cambios posteriores en las
condiciones y considera la interrelación de los controles
automatizados, controles generales de TI y controles
manuales como se ilustra en la Figura 2.
En cada caso, el auditor debe buscar comportamientos
inusuales o desvíos. La evaluación del control continuo
permite a los Gerentes de Auditoría suministrar un
servicio de alertas tempranas sobre violaciones de control
o deficiencias.
Figura 2: Evaluación Continua de Controles
Definir Objetivos de Control Procesos de Negocios
 Autorización Objetivos de Control
 Integridad Controles automatizados
 Exactitud (de las aplicaciones)
 Cambios
 Seguridad
 Incidentes
Determinar los  Desvíos y Transacciones
Controles Claves Controles Generales de TI
 Base de Datos
 Sistema Operativo
 Red
Evaluar las condiciones de inicio de los
Controles (aún activos y en funcionamiento) y
medir los cambios posteriores.
No es necesario que las evaluaciones continuas de control
se ejecuten en tiempo real. La frecuencia del análisis debe
ser determinada por el nivel de riesgo, el ciclo de procesos
de negocio y el grado con el cual la Gerencia está
monitoreando estos controles. Por ejemplo:
2
Para más información ver GT A G 14: A uditando aplicaciones
desarrolladas por el usuario.

 El análisis de la tarjeta de compra podría ejecutarse una
vez al mes, a la recepción el extracto de transacciones
de compra desde la administradora de tarjetas de
crédito.
 El análisis de la nómina de pagos, podría ejecutarse en
cada período de pago, en sintonía con las transacciones
de depósito.
 Las pruebas de facturas y pagos duplicados pueden
ejecutarse todos los días.
 Los cambios en los controles automatizados tienden a
ser poco frecuentes y pueden ser controlados de forma
sincronizada de acuerdo con la rutina de TI.
 Las actualizaciones del sistema operativo puede ser
revisadas trimestralmente.
En algunos casos, un auditor puede realizar la prueba de
control inicial y “transferir” el monitoreo continuo a la
Gerencia.
Los resultados de la evaluación continua de control
organizado por cada proceso deben:
 brindar soporte a los objetivos de la Auditoría.
 Informar:
o Las condiciones de controles claves, tales como la
capacidad de seguridad.
o Cambios en los controles automatizados.
Monitoreo Continuo
La Gerencia debe poseer y ejecutar monitoreo continuo.
Muchas de las técnicas que la Gerencia utiliza para
monitorear continuamente los controles son similares a las
técnicas de auditoría continua utilizados por los auditores
internos. Los principios de monitoreo continuo incluyen:
10
GTAG – Resumen Ejecutivo
 Propósito - considerar el objetivo de negocio y los
factores críticos de éxito.
 Riesgo - determinar posibles obstáculos que limiten el
éxito de la organización.
 Respuesta - alinear diversas fuentes de datos para
descubrir y corroborar los riesgos emergentes tales
como las condiciones configurables, cambios, registro
de eventos, transacciones financieras y datos no
estructurados.
 Sincronización - detectar problemas de control en
tiempo real.
 Acción – seguir las deficiencias para la toma de
acciones correctivas.
Utilizado con eficacia, el control continuo puede:
 Mejorar la capacidad de identificar rápidamente y
reducir los problemas de control.
 Reducir la incidencia por errores y fraudes.
 Mejorar la eficiencia operacional.
 Mejorar los resultados finales a través de una
combinación de ahorro de costos y reducción en sobre-
pagos y pérdidas de ingresos.
 Aumentar la satisfacción del cliente mediante la
mejora en la calidad e integridad del servicio al cliente.
 GTAG – Resumen Ejecutivo

Marco optimizado de aseguramiento continuo

En algunos casos, los auditores internos pueden estratégicamente colaborar con las funciones de quienes son propietarios y
gestionan los riesgos y controles (primera línea de defensa) y las funciones que supervisan los riesgos y controles (segunda
línea de defensa), ayudando a establecer procesos de gestión de riesgos y controles. El aseguramiento continuo se optimiza
cuando las técnicas de auditoría continua basadas en tecnología son adoptadas para su uso en los esfuerzos de monitoreo
continuo de las primeras y segundas líneas de defensa, y aquellos esfuerzos de monitoreo continuo serán confiables y sensibles
al riesgo:

Figura 3: Marco Básico de Aseguramiento Continuo

El aseguramiento continuo se logra mediante las siguientes

actividades de Auditoría Interna:
• Prueba del Monitoreo Continuo de las Primera y Segunda
Línea de Defensa.
• Auditoría Continua.

Tercera Línea de
Defensa:
Prueba de Auditoría
Auditoría Interna
sobre el Monitoreo
Provee aseguramiento
independiente Continuo de la 1ra y
2da línea de defensa
Auditoría
continua
Segunda Línea de
Transición de las basada en
técnicas de tecnología
Defensa:
Funciones de
Auditoría
Supervisión de Continua Evaluación de
Riesgos (Ej.: Controles y
Gestión de riesgos, Riesgos en
cumplimiento)
Curso

Monitoreo
Primer Línea de Continuo
Defensa:
Gerencia de
Operaciones
Es dueña y gestiona
los Riesgos

Cuando las técnicas de auditoría continua son adoptadas por la Gerencia para el monitoreo continuo, se introduce una
delgada línea de diferenciación, porque hay una probable superposición entre el monitoreo continuo y la auditoría continua
y entre la segunda y tercera líneas de defensa. Cuando las técnicas de auditoría continua se están transfiriendo a la Gerencia
deben tomarse resguardos para asegurar que los auditores no asuman un rol de “dueño” respecto del monitoreo continuo, lo
que cual puede afectar su objetividad.

11
 GTAG – Resumen Ejecutivo

Relación entre Auditoría Continua y Monitoreo Estos procedimientos son similares a los Controles
Continuo Generales de TI y deben ser ejecutados durante el proceso
normal de auditoría para evaluar la confiabilidad de las
Existe una relación inversa entre la Auditoría Continua y Técnicas de Auditoría Asistidas por Computadora.
el Monitoreo Continuo. Las tres líneas de defensa
contribuyen a la medición y el fortalecimiento de la
eficacia de la gestión de riesgos y control. La Auditoría
Interna debe ajustar el alcance de su trabajo de auditoría
continua teniendo en cuenta la adecuación y coherencia
que la Gerencia despliega sobre el Monitoreo Continuo.
Si el Monitoreo Continuo ejecutado por la primera y
segunda líneas de defensa es insuficiente o inconsistente,
la Auditoría Interna debe incrementar sus esfuerzos de
auditoría continua de manera proporcional, tal como se
ilustra en La Figura 4:

Figura 4: Relación entre los esfuerzos de

Auditoría Continua y Monitoreo Continuo
Esfuerzos de Monitoreo Continuo de la Primera
y Segunda Línea de Defensa (Gerencias)

Monitoreo exhaustivo
de Controles Internos

Esfuerzos
escasos
Monitoreo escaso de
Controles
Internos Incrementar los
Esfuerzos / Mayores
recursos

Esfuerzos de Auditoría Continua en la Tercera

Línea de Defensa (Auditoría Interna)

En las áreas donde la Gerencia no ha implementado

monitoreo continuo, los auditores deben realizar pruebas
de cumplimiento extensivas mediante el uso de técnicas
de auditoría continua. Donde la primera o segunda línea
de defensa realiza monitoreo continuo de forma integral
con pruebas “de extremo a extremo” sobre procesos de
negocio, la auditoría interna puede no realizar las mismas
técnicas detalladas de auditoría continua. En lugar de ello,
los auditores deberían ejecutar procedimientos para
determinar si el proceso de monitoreo continuo es
confiable. Tales procedimientos incluyen:

 Revisión de las anomalías detectadas y gestión de

respuesta.
 Revisión de los acuerdos de la Gerencia en cuanto a
promulgar y mantener planes correctivos.
 Revisión y pruebas de los controles sobre el proceso de
monitoreo continuo en sí mismo, como son:
o Seguridad.
o Control de cambios
o Operaciones de TI

12

Aplicaciones prácticas de
Auditoría Continua
La auditoría continua apoya las actividades de auditoría a
lo largo de todo el proceso de auditoría. Como se ilustra en
la Figura 5, auditoría continua puede aplicarse al desarrollo
del plan de auditoría, al soporte de ejecución de auditoría
y al seguimiento de recomendaciones de auditoría.
Además, el DEA debe reconocer que existen varias
funciones de segunda línea de defensa con fuertes vínculos
con auditoría continua, como la gestión de riesgos,
cumplimiento, ética y seguridad. Auditoría Interna debe
determinar cómo la auditoría continua puede valerse para
evaluar la función de segunda línea de defensa y utilizar la
información generada por esas funciones.
Desarrollo del Plan de Auditoría
Durante la fase de desarrollo del plan de auditoría,
auditoría continua ayuda a los auditores para compilar y
mantener un universo de auditoría que es más sensible a
los riesgos. Resulta más preferible que las auditorías
programadas con un ciclo estándar de rotaciones en uno,
dos o tres años, que la frecuencia de las auditorías esté
basada en el riesgo, la complejidad, la profundidad y la
velocidad de cambios. La auditoría continua ayuda a la
auditoría interna de forma rápida a identificar cambios en
los riesgos y potenciales exposiciones.
Aplicación de la Evaluación Continua de Riesgos
El análisis de datos debe ser utilizado como soporte del
desarrollo de los indicadores claves para activar la
realización de auditorías específicas o de áreas que deben
incluirse en el plan.
Figura 5: Auditoría Continua durante el proceso de Auditoría
AUDITORÍA CONTINUA
Desarrollar Plan de Auditoría
Apoyar trabajos de Auditoría
Identificar indicadores de riesgo.
Evaluar desvíos Evaluar y dimensionar riesgos.
Profundizar alcance y objetivos.
Definir alcance, enfoque y
oportunidad. Determinar ubicaciones
específicas a auditar
Revisiones analíticas
13
GTAG – Resumen Ejecutivo
Por ejemplo, ayudada por indicadores claves, la evaluación
continua de riesgos se puede aprovechar para incrementar
el alcance en ciertas ubicaciones a ser visitadas, enfocar los
objetivos y el alcance de la auditoría, incluir auditorías
específicas o entidades en el plan anual de auditoría o
desencadenar una inmediata prueba de recorrido de una
entidad donde el riesgo se ha incrementado
significativamente sin una aparente justificación.
Ejemplos de aplicaciones prácticas de evaluaciones
continuas de riesgos durante el desarrollo del plan de
auditoría incluyen:
 La aplicación de un contexto más estratégico al
desarrollo de planes de auditoría y hacer permanentes
ajustes al plan ante cambios en los perfiles de riesgo.
 La asignación de los recursos de auditoría escasos
altamente calificados a las zonas con desvíos que
representan el mayor riesgo de la organización.
 La evaluación de las actividades de mitigación de
riesgos de la Gerencia.
 El desarrollo de las áreas de temas de interés y
estratégico para el universo de auditoría interna.
 El alcance y los objetivos de auditorías individuales.
La principal diferencia entre el aprovechamiento de la
evaluación continua de riesgos para desarrollar el plan de
auditoría de la empresa respecto del apoyo a un trabajo de
auditoría es el nivel de detalle de la información requerida.
La información resumida puede ser suficiente para
identificar desvíos y reorientar los recursos cuando se está
desarrollando el plan de auditoría. Por el contrario, es
probable que se requiera información más detallada para
identificar riesgos y probar controles con la finalidad de
concretar el alcance y objetivos de un trabajo de auditoría.
Seguir Recomendaciones
Determinar si se implementaron
las recomendaciones.
Identificar si la remediación
reduce el nivel de riesgo.
Establecer puntos de partida y
comparar resultados.

Apoyo a procedimientos de auditoría
La auditoría continua puede integrarse con el trabajo de
campo de la auditoría; las técnicas de auditoría continua
menudo suelen mejorar y madurar durante el curso de los
trabajos de auditoría. Los auditores diseñan y modifican las
técnicas de auditoría continua a medida que descubren
riesgos, evalúan análisis de auditoría y esfuerzos de
remediación. La auditoría continua permite a los
auditores:
 Precisar el alcance del trabajo para centrarse mejor en
los riesgos.
 Realizar pruebas de auditoría en situaciones donde el
objetivo de auditoría no puede lograrse sólo mediante
la comparación de datos.
 Profundizar para identificar los indicadores de riesgo y
evaluar controles críticos.
 Detectar los síntomas de fraude, pérdida y abuso a
través la identificación de anomalías y desvíos.
La auditoría analítica y las técnicas de auditoría continua
difieren en cuanto al alcance, oportunidad y propósito.
 La Auditoría Analítica normalmente está:
o obligada por el alcance y el tiempo de un
determinado procedimiento.
o diseñada para mejorar la calidad de un
procedimiento.
 Las técnicas de Auditoría Continua, a menudo
originadas en análisis y experiencias de auditorías
anteriores, se llevan a cabo de forma sistemática, se
ejecutan durante y con posterioridad al alcance,
excediendo el tiempo de un procedimiento de
auditoría y proveen notificación oportuna de
tendencias, patrones y desvíos.
Aplicación de la Evaluación Continua de Riesgos
Durante un procedimiento, la evaluación continua de
riesgos se puede utilizar para comprender mejor el proceso
de negocio. Por ejemplo, en Cuentas por Pagar (CP), el
examen de los tipos de pago puede conducir al
descubrimiento de que las transferencias electrónicas de
fondos son completadas por un departamento de CP y que
los controles manuales están siendo producidos por otro.
Esta información permite al auditor comprender mejor el
proceso de CP en cada ubicación y evaluar el riesgo
correspondiente.
Aplicación de evaluaciones continuas del control
Las aplicaciones prácticas para la evaluación continua de
control durante una auditoría, incluyen:
 Examinar datos de transacciones (por ejemplo marcar
todas las transacciones de compras con tarjetas que son
14
GTAG – Resumen Ejecutivo
mayores que el límite de autorización o que involucran
mercaderías prohibidas).
 Evaluar configuraciones:
o Cuestionar los sistemas para determinar la condición
de controles automatizados configurables.
o Revisar los niveles de aprobación y capacidades de
acceso.
 Evaluar cambios a programas y parámetros.
 Revisar gestión de incidentes y errores.
 Revisar datos resumidos (por ejemplo, las transacciones
mensuales totales de los titulares de tarjetas son
mayores de US$ 10.000 y el titular de la tarjeta no
pertenece a la función de compras).
 Uso de análisis comparativo (por ejemplo, las horas
extraordinarias totales pagadas en comparación con
todos los demás empleados de la misma categoría y el
umbral para identificar el tiempo extra excesivo o no
autorizado).
 Pruebas de saldos de las cuentas del mayor general (por
ejemplo, destacando las cuentas donde el saldo difiere
por más del 25% en comparación con el año anterior a
fin de identificar alguna actividad inusual como un
incremento en las cancelaciones de cuentas).
 Pruebas de cumplimiento para verificar el
mantenimiento actualizado de fichas de seguridad de
todas las sustancias compradas, almacenadas, fabricadas
o vendidas.
En todos los casos, los auditores pueden profundizar
rápidamente en los detalles para evaluar la causa potencial
y realizar el seguimiento requerido más rápido y,
potencialmente, más fácilmente.
Seguimiento de hallazgos de Auditoría
Aplicación de la Evaluación Continua de Riesgos
Aprovechar la evaluación continua de riesgos para seguir
hallazgos de auditoría, es una herramienta poderosa para
asegurar la mejora continua y un elevado rendimiento.
Después de un procedimiento, los auditores pueden
aprovechar la evaluación continua de riesgos para
determinar si las recomendaciones han sido
implementadas y cuándo los planes de remediación han
logrado el efecto deseado.
Los planes de acción de la Gerencia deben identificar
indicadores de rendimiento para evaluar el éxito de la
remediación. Los indicadores de desempeño facilitan el
establecimiento de un punto de inicio para comparar los
resultados antes y después de la implementación de las
recomendaciones. Los auditores deben colaborar con la
Gerencia para encontrar indicadores adecuados que
puedan, idealmente, medirse de manera sistemática.
 GTAG – Resumen Ejecutivo

Implementación de Auditoría Continua

Una implementación exitosa de auditoría continua requiere liderazgo, gestión del cambio y un enfoque por etapas que
aborde inicialmente los sistemas de negocios más críticos. Aunque cada organización es única, existen algunas actividades
comunes que deben ser cuidadosamente planificadas y administradas en el desarrollo y mantenimiento de auditoría
continua (ver Tabla 2).
Tabla 2: Pasos Clave para implementar Auditoría Continua
PASOS CLAVE PARA IMPLEMENTAR AUDITORÍA CONTINUA

1. ESTABLECER UNA ESTRATEGIA DE AUDITORÍA CONTINUA

• Coordinar con la Primera y Segunda línea de Defensa.
• Establecer prioridades y obtener soporte de la Gerencia.
• Adaptar el plan de auditoría a indicadores continuos específicos.

2. OBTENER DATOS PARA USO RUTINARIO

• Establecer acceso rutinario al entorno productivo.
• Desarrollar capacidades de análisis.
• Construir habilidades técnicas y conocimientos en auditoría.
• Evaluar la confiabilidad de los orígenes de datos.
• Preparar y validar los datos.

3. CONSTRUIR INDICADORES DE AUDITORÍA CONTINUA

EVALUACIÓN CONTINUA DE RIESGOS EVALUACIÓN CONTINUA DE CONTROLES

• Desarrollar indicadores de riesgos. • Identificar los objetivos de control.
• Diseñar pruebas analíticas para medir el incremento en los niveles de • Determinar los controles clave.
riesgo • Evaluar cambios a las condiciones de inicio de los controles.

• Evaluatebaselineconditionandchangestocontrols.
4. REPORTAR y ADMINISTRAR RESULTADOS
• Establecer una metodología repetible.
• Reportar los resultados.
• Facilitar la acción de la Gerencia.
• Alinear con el Monitoreo Continuo y adaptar la estrategia de Auditoría Continua.

Coordinar con la Primera y Segunda Líneas de

La secuencia de actividades de la Tabla 2 puede variar, y
pueden ser necesarias otras actividades no identificadas
durante el desarrollo de la auditoría continua para dar
apoyo a una auditoría específica.
Establecer una Estrategia de Auditoría
Continua
El DEA debe establecer una estrategia de auditoría
continua a corto y largo plazo, con la autoridad
concedida a través de un mandato, misión o en el
estatuto de auditoría interna. Por ejemplo, una estrategia
a corto plazo podría incluir la introducción de la
auditoría continua para apoyar auditorías de
cumplimiento regulatorio. Sin embargo, los beneficios
adicionales correspondientes a la mejora del rendimiento
del negocio pueden ser igualmente significativos. Las
principales actividades son las siguientes.
Defensa
Coordinar con las primera y segunda líneas de defensa
para apoyar la línea de negocio y que TI adhiera y apoye
a la estrategia de auditoría continua. La auditoría interna
debe abordar el proceso de negocio de extremo a
extremo y las interdependencias de los controles de
TI. La confiabilidad de los sistemas de negocios y de los
datos transaccionales es de suma importancia, no sólo
para el marco de control interno y la integridad de la
información financiera, sino también para la eficiencia
de las operaciones del negocio. Por lo tanto, asegurar la
confiabilidad, integridad y disponibilidad de los sistemas
y los datos deben ser un objetivo fundamental para el
DEA y la alta dirección. La auditoría continua puede
apoyar el logro de este objetivo, facilitando la evaluación
de la gestión de riesgos y controles.

15
 GTAG – Resumen Ejecutivo

Establecer prioridades y obtener apoyo de la gerencia
La auditoría continua requiere acceso permanente a las
aplicaciones y datos productivos. Las tecnologías
confiables pueden requerir una inversión significativa y
varios años de esfuerzos de implementación. Por lo tanto,
el apoyo de la dirección y la alta gerencia es esencial.
Una estrategia que contemple la implementación
gradual durante dos o más años le ayudará a manejar el
ritmo y las expectativas y, sostenidamente, mostrar los
beneficios de las tecnologías y metodologías de auditoría
continua.
Adaptar el Plan de Auditoría a ciertos indicadores
continuos
Desarrollar una hoja de ruta para las áreas de grandes
procesos tales como contrataciones por pagar o
cobranzas, y luego relacionar las técnicas de auditoría
continua a tres categorías de riesgo: operaciones de TI,
aplicaciones y procesos transaccionales. Aprovechar el
análisis de auditoría para diseñar especificaciones de los
indicadores de riesgo y controles. Coordinar el plan de
auditoría interna para identificar las áreas y auditorías de
procesos a los efectos de especificar los indicadores de
riesgos clave (KRI) y medidas de control para su uso
posterior en la evaluación continua. A través de
auditorías planificadas, los equipos de auditoría y la
gerencia pueden en conjunto identificar indicadores de
tendencia o de desempeño que midan los riesgos y
controles vinculados a objetivos del negocio. Por lo
tanto se aprovechan los resultados de las auditorías para
desarrollar especificaciones con una mirada a futuro
(véase Figura 6).
Establecer accesos de rutina al entorno de producción
El DEA debe trabajar con la gerencia para asegurar que
el acceso y uso de los datos de los sistemas del negocio
no afecten negativamente la desempeño operacional del
entorno productivo y los sistemas relacionados, y que la
tecnología de auditoría es compatible con el ambiente de
TI de la empresa. La auditoría interna debe evaluar las
3
regulaciones aplicables en materia de privacidad , y
mantener los estándares de seguridad y privacidad que
cumplan o excedan los establecidos para el ambiente de
producción.
Desarrollar capacidades de análisis
Construir capacidades de análisis de acuerdo con la
estrategia de auditoría continua y los objetivos de
negocios antes de la automatización del monitoreo. Las
pruebas de auditoría continua a menudo son
suficientemente persuasivas usando una combinación de
indicadores tales como los cambios en los controles
automatizados, la seguridad del sistema, incidentes,
desvíos y transacciones. Las discusiones con los dueños
de los sistemas del negocio pueden ayudar a los auditores
a determinar el método de transferencia, el cronograma y
el protocolo de datos más adecuado para la auditoría
continua.

Adquirir datos para el uso rutinario

La auditoría continua no es puramente una cuestión
técnica. Sin embargo, la selección de las tecnologías
disponibles es clave para su éxito a largo plazo. La
estrategia de auditoría continua debe guiar la selección
de soluciones de software. Durante la selección de
tecnologías para auditoría continua, el DEA debe
considerar las tecnologías y capacidades actuales del
espectro de TI de la organización. Es importante vincular
el programa con el entorno informático de la
organización y los planes futuros para los sistemas clave
del negocio. Las soluciones de software de análisis
específicos de auditoría proporcionan flexibilidad y la
posibilidad de leer diversos tipos de datos, incluyendo
sistemas mainframe, cliente / servidor y sistemas WEB, o
aplicaciones empresariales como SAP, Oracle y otros
sistemas de negocios. Para más información vea la
GT A G 16: T ecnologías de análisis de datos, del IIA . Las
actividades clave se describen a continuación.
3
Para obtener más información, consulte la Guía Práctica del
IIA, "Auditing Privacy Risks".

16
 GTAG – Resumen Ejecutivo

Figura 6: Especificaciones prospectivas para Indicadores de Riesgos y Controles

PROCEDIMIENTO DE AUDITORÍA

PLAN ALCANCE TRABAJO REPORTE SEGUIMIENTO

N
• Modelo analítico
• Identificar objetivos • Probar el monitoreo • Monitorear las
• Considerar resultados de la Gerencia. • Relacionar los acciones correctivas
de negocio claves. hallazgos a los
de auditoría continua • Evaluar los riesgos de
y monitoreo continuo • Operaciones de TI indicadores
• Alcance y riesgos predictivos y de
definen la Auditoría • Aplicaciones
• Transacciones • desempeño
• Solicitar datos • Concretar análisis

Especificaciones
prospectivas

Indicadores Continuos de Riesgos

Indicadores Continuos de Controles

Universo de Auditoría
Monitoreo de la Gerencia

Construir Habilidades Técnicas y Conocimiento de
auditoría
La Norma 1210 indica que la auditoría interna debe
poseer u obtener los conocimientos, habilidades, y otras
competencias necesarias para llevar a cabo sus
responsabilidades. Distintos niveles de competencias
de TI serán requeridos durante el desarrollo e
implementación de auditoría continua. Por ejemplo, en
las primeras etapas de implementación:
 La sensibilidad de los parámetros, la profundidad
del análisis y otros factores pueden resultar en un
alto volumen de casos detectados. La carga de
trabajo necesaria para discernir sobre los resultados
disminuirá en la medida en que se mejoren los
controles, se afina el análisis y la auditoría continua
madure.
 Los resultados pueden inducir errores en la
interpretación de los datos. Las inexactitudes
pueden deberse a la falta de entendimiento y
familiaridad con los sistemas del negocio y a la
naturaleza de las pruebas realizadas.
Para mejorar el dominio de TI se debe:
 Revisar los campos de datos y elementos clave.
 Revisar los metadatos creados por funciones
aplicadas a los datos.
 Comprobar la oportunidad de los datos.
 ¿La información es actual?
 ¿Con qué frecuencia se actualiza la información?
 ¿Cuándo fue la última actualización?
 Determinar si la información es íntegra y exacta.
 Verificar los supuestos y el análisis del auditor con
los programadores de la aplicación.
 Verificar la integridad de los datos realizando
diversas pruebas tales como razonabilidad, controles
de edición, y comparación con otras fuentes,
incluyendo investigaciones realizadas con
anterioridad o informes de auditoría (por ejemplo,
sintáctica, semántica y pragmática).
 Aprovechar el conocimiento obtenido de los
trabajos de auditoría interna.
Evaluar la confiabilidad de las fuentes de datos
La confiabilidad de los datos es fundamental para una
exitosa implementación de auditoría continua y debe ser
evaluada desde el inicio de la auditoría. Los datos
procedentes de un entorno de producción sujeto a
controles generales de TI son más confiables que
aquellos originados desde aplicaciones desarrolladas por
el usuario final. A medida que la confiabilidad aumenta,

17

el nivel de las pruebas y verificaciones necesarias para
reducir el riesgo de auditoría a un nivel aceptable,
disminuye. Para más información ver GT A G 14:
“A uditoría a aplicaciones desarrolladas por los usuarios
("A uditing User-developed A pplications").
Preparar y validar los datos
Desarrolle capacidades de validación de datos robustas
para asegurar la integridad previamente al análisis. Una
de las mayores ventajas de auditoría continua es la
extracción de datos de diferentes sistemas de la
organización y relacionarlos para su posterior análisis
multiplataforma. La combinación de datos de sistemas
dispersos requiere de validaciones para eliminar
transacciones no confiables y preparar los datos en un
formato estándar de auditoría. La existencia de fuentes
de datos automatizadas pueden reducir los tiempos de
validación y aumentar la frecuencia de análisis.
Construir indicadores de auditoría continua
Construir una hoja de ruta integrada con el plan de
auditoría. Diseñar y construir técnicas de auditoría
continua basadas en el aprendizaje y especificaciones
resultantes de las auditorías tradicionales anteriores.
Evaluación continua de riesgos
De acuerdo con la Norma 2120, la auditoría continua
permite a los auditores "evaluar la eficacia y contribuir a
la mejora de los procesos de gestión de riesgos". Las
principales actividades y consideraciones en la
realización de una evaluación continua de riesgos
incluyen:
 Desarrollar indicadores de riesgo:
o La recopilación y el análisis de los datos que
soportan los procesos de negocio clave y áreas de
alto riesgo deben ser obtenidas desde múltiples
niveles de la organización para identificar, evaluar
y responder a los riesgos.
o Colaborar con los dueños del negocio y
profesionales de TI para el desarrollo de
indicadores de riesgo que sean fácilmente
medibles y sensibles a los cambios.
o Hacer uso de los resultados de la evaluación de
riesgos para, eventualmente, modificar el plan de
auditoría, así como los alcances y objetivos de
auditorías individuales.
 Diseñar métricas para detectar el incremento en los
niveles de riesgo.
o Los KRIs deben:
 enfocar en la magnitud del cambio
experimentado por una entidad a través del
18
GTAG – Resumen Ejecutivo
tiempo (diseñar KRIs para identificar
tendencias)
 resultar una combinación entre los indicadores
predictivos basados en procesos e indicadores
detectivos basados en síntomas.
 identificar un número suficiente de casos que al
realizar las comparaciones rutinarias permita
aislar desvíos que se encuentran por encima del
nivel de riesgos establecido
Evaluación continua de los controles
Una evaluación continua de control proporciona
independiente análisis de los controles de aplicación
automatizados y de controles generales de TI a través de
considerar sus condiciones iniciales y los cambios
posteriores en la configuración. Debido a la degradación
que a menudo ocurre en los controles de TI que preceden
a errores en los datos, el uso de la evaluación continua de
control permite el DEA proporcionar a la Gerencia una
alerta temprana de fallas de control o deficiencias. Las
actividades claves y consideraciones para realizar una
evaluación continua de control incluyen:
 Con relación a objetivos de control.
o Precaución con la tendencia de automatizar cada
paso de un programa de auditoría existente. Es
preferible identificar un número menor de
evaluaciones que se relacionen con objetivos de
control de alto nivel.
o El verdadero poder de la evaluación continua de
control radica en la capacidad de proporcionar
aseguramiento pertinente de manera efectiva y
oportuna.
o Dado que los controles generales de TI posibilitan
confiabilidad permanente a los controles
automatizados, la evaluación de los controles
generales de TI y los controles automatizados de
la aplicación es parte fundamental para optimizar
el proceso de aseguramiento y cumplimiento.
o Los controles automatizados se configuran en las
aplicaciones para alcanzar exactitud, integridad, y
autorización de las transacciones. Obtener una
comprensión de los controles automatizados a
través de las discusiones conjuntas con la
Gerencia y los expertos en TI.
 Determinar los controles clave.
o Recorrer el escenario de negocios y considerar
qué podría salir mal. Determinar cómo han sido
diseñadas y configuradas las técnicas
automatizadas en el sistema para el control de la
autorización, la integridad y la exactitud de las
transacciones.

o Cuestionar los controles configurados
sistemáticamente para determinar sus condiciones
actuales y de origen y evaluar si están operando
efectivamente, tal como han sido diseñados.
o Los cambios al monitoreo, los cuales deberían ser
poco frecuentes, a controles configurables
automatizados. Los controles automatizados que
no están bien configurados o cambian
frecuentemente, disminuyen la confianza del
auditor en la eficacia de las actividades de
control.
 Evaluar el estado inicial de los controles.
o Una vez que los procesos claves del negocio, los
objetivos de control relacionados y los controles
automatizados están definidos, ordénelos
decreciente para identificar los puntos de control
críticos (el más alto impacto / riesgo).
Figura 7: Cobros en Efectivo – Evaluación de Control Continuo
Relacionar objetivos Determinar
de Control Controles Clave
Autorización Verificación de aprobaciones crediticias
Coincidencia de “tres vías”
Segregación de tareas
Integridad Elementos requeridos a Sistemas:
 Datos del cliente
 Datos del material
Exactitud  Precio
Escalada en la reconciliación
Codificación de las cuentas de Ingresos
Niveles de Tolerancia
Informar y gestionar los resultados
Después de diseñar y construir indicadores de auditoría
continua, los auditores internos deben planificar
evaluaciones continuas de riesgos y controles dentro del
universo de auditoría. Las evaluaciones continuas deben
analizar los resultados de las técnicas de auditoría
continua, probarlas si es necesario e informar
recomendaciones.
Los entregables pueden variar desde un simple gráfico de
comparaciones y tendencias a visualización de datos de
riesgos y controles (véase el Apéndice). El proceso es
repetititivo y las competencias en auditoría continua /
monitoreo continuo evoluciona a auditores que colaboran
con la primera y segunda líneas de defensa. El éxito de los
programas de auditoría continua / monitoreo continuo es
19
GTAG – Resumen Ejecutivo
Para los puntos de control críticos, definir un
apropiado análisis para cada objetivo de control
 Evaluar el estado actual de la configuración de
los controles automatizados, en comparación
con valor inicial.
 Determinar si la condición de los controles
automatizados han cambiado desde la
auditoría inicial.
 Considere la frecuencia y magnitud de los
cambios a los controles automatizados.
 Disponga de excepciones de para corroborar
su efectividad.
Como ejemplo, la Figura 7 describe la evaluación de un
control continuo en un proceso de cobro a clientes
Evaluar condición de
inicio de los controles
Clave
Condición: ¿Está activo el control
configurable?
Cambio: ¿se concretó algún cambio al
control configurado desde la Auditoría
anterior?
promover oportunamente la toma de decisiones, coordinar
planes de acciones y remediar exitosamente los problemas.
Establecer una metodología repetible
Una metodología estructurada para gestionar los resultados
debe incluir estos pasos para asegurarse que las
excepciones identificadas son abordadas y remediadas
oportunamente:
1. Revisar y discriminar las excepciones de riesgo con
precisión creciente.
2. Realizar el análisis de “causa raíz” para identificar
deficiencias en el diseño del control, en su ejecución o en
ambas cosas. Atacando las condiciones de causa raíz, se
pueden disuadir excepciones recurrentes, orientar a
mejores recomendaciones y resaltar el valor agregado de la
metodología de auditoría continua.

3. Desarrollar una recomendación para la remediación.
4. Registro y seguimiento del plan de acción de la
Gerencia para la remediación.
Informar de los resultados
Es preferible informar de los resultados de auditoría
continua a través de una página web en lugar de enviar
archivos sensibles y de gran tamaño a través del correo
electrónico.
Las estrategias de reporte varían desde la simple
exportación de excepciones en una carpeta compartida en
una unidad de red, hasta las notificaciones por correo
electrónico, seguimiento de acciones de remediación
mediante herramientas de flujo de trabajo (workflow),
tableros de comando y visualización de datos. Se puede
implementar una variedad de soluciones de reporte para
satisfacer las necesidades de la primera, segunda, y tercera
líneas de defensa, la Gerencia y el Consejo. Las
consideraciones claves para informar los resultados de
auditoría continua incluyen:
 publicar regularmente un amplio conjunto de
informes a una unidad de red a nivel de detalle
requerido para apoyar el monitoreo continuo y la
auditoría continua.
 Almacenar los resultados de excepciones en una
base de datos segura.
 Presentar información de tendencias en un tablero
de comandos en la web o en un “mapa de calor”.
20
GTAG – Resumen Ejecutivo
Facilitar la acción de la gerencia
Cada plan de acción debe tener un dueño responsable de
la remediación hasta su resolución. La excepción debe ser
seguida y, una vez reportada como resuelta, el monitoreo
continuo posterior debe evaluar si la resolución es
sustentable en el tiempo.
Alinearse con el Monitoreo Continuo y adaptar la
estrategia de Auditoría Continua
La auditoría continua debe permanecer flexible y atenta a
los cambios que se producen en la exposición al riesgo y en
el entorno de control.
El DEA debe actualizar periódicamente la estrategia del
programa de auditoría continua para adaptarse a las nuevas
prioridades y temáticas. Puede resultar necesario añadir
puntos de control adicionales o exposiciones al riesgo, u
otros que pueden ser migrados a los esfuerzos de monitoreo
continuo de la Gerencia. A través del tiempo,
probablemente sea necesario ajustar o relajar umbrales,
pruebas de control y parámetros para diferentes análisis.
Con posterioridad a la implementación, el DEA debe
registrar los beneficios alcanzados por el monitoreo
continuo en otras iniciativas de la Gerencia tales como
Gestión Integral de Riesgos de la empresa y medidas de
desempeño. La cuantificación de los beneficios
experimentado por los auditores y otros proveedores de
aseguramiento documenta el retorno de la inversión,
mejora la reputación y justifica la financiación de nuevas
inversiones y desarrollo estratégico.

Estudios de caso – Apéndice
Este apéndice ilustra tres aplicaciones prácticas de
auditoría continua.
 Caso A.1 Evaluación continua de control de los
controles de aplicación
 Caso A.2 Evaluación continua de control de un
sistema de gastos de un empleado
 Caso A.3 Evaluación continua de riesgo de un
proceso manual de comprobantes del libro
diario
A.1 Evaluación continua de control respecto
de Controles de la Aplicación
Los controles de aplicación son configurados para
reforzar la integridad, exactitud, y autorización de las
transacciones. Automatizar la revisión de los controles
de aplicación puede ayudar a los auditores y a los
profesionales de cumplimiento a contestar estas
preguntas:
 ¿Con que frecuencia ocurren cambios en los
controles automáticos?
 ¿El equipo de aplicación o de tecnología
informática aplicó las actualizaciones
(upgrades) o parches?
 ¿Ha sido modificada la configuración de un
proceso de negocio relevante?
 ¿Puede alguno de los cambios impactar la forma
en la que la aplicación se comporta?
Las respuestas a estas preguntas pueden determinar la
necesidad de un mayor número de pruebas y
potencialmente incrementar la eficiencia y efectividad
de la auditoría.
En este caso de estudio, una evaluación continua de los
controles de aplicación estuvo atada a una reducción en
las pruebas de casi 6000 horas de trabajo comparadas con
el año anterior. Luego de obtener el soporte de las partes
interesadas clave tales como la Gerencia, IT, auditores
externos, y dueños de aplicaciones, los auditores internos
identificaron objetos clave del control de configuración,
extracción automatizada de datos y resultados
comparados.
21
GTAG – Resumen Ejecutivo
Identificar los objetos clave del control de
configuración
El primer paso hacia la evaluación continua del control
fue el de identificar los objetos claves dentro de las
funciones de control de la aplicación, incluyendo
programas, pantallas, páginas web, y tablas. Los
siguientes pasos fueron determinar cómo automatizar la
extracción de datos y si los controles fueron cambiados.
Automatizar la extracción de datos de la aplicación
Varias herramientas comerciales para la extracción de
datos están disponibles en el mercado. Sin embargo, en
este caso, optaron por una herramienta de extracción de
datos desarrollada internamente, reduciendo así el costo
de la implementación de auditoría continua. Una vez
seleccionada la herramienta, se necesitaba tomar ciertas
decisiones:
 ¿Con qué frecuencia debería extraerse de la
aplicación la información de control para ser
comparada con la base de referencia?
 ¿Quién debería mantener el historial de datos y
donde va a almacenarse?
 Cuando se compare la información de control
con la base de referencia de auditoría, ¿quién
debería ser el responsable de evaluar la
importancia de los cambios en la aplicación y
de determinar qué controles necesitan ser
probados nuevamente?
Resultados comparados
Luego de que los datos fueron extraídos, fueron
comparados con un período base. El reporte de
comparación identificó los controles automáticos claves
que fueron sujetos de cambio luego del período base, y el
tipo de cambio (Ver figura 8). Idealmente, los controles
de aplicación no deberían cambiarse.
Los auditores seleccionaron controles clave y los
analizaron en profundidad para evaluar el cambio. Como
es apropiado, los reportes de comparación fueron
incorporados en los papeles de trabajo de auditoría, ya
sea para proveer evidencia de que no era necesario
profundizar más sobre las pruebas de los controles o bien
para soportar la necesidad de realizar la prueba
nuevamente. En este sentido, la comparación facilitó un
abordaje basado en riesgos para la nueva prueba,
 GTAG – Resumen Ejecutivo

ejecutado a través de los esfuerzos de monitoreo

continuo de la Gerencia cuando fue posible,
suministrando eficiencia adicional.

Figura 8: Controles de la aplicación – Reporte comparativo

Luego de la implementación de la evaluación continua
del control, el 58% de los controles de aplicación
pudieron ser validados sin pruebas. Del 42% remanente,
el 16% fue probado durante la primera mitad del año, y
el 26% fueron evidenciados nuevamente durante la
segunda mitad del año.
El tiempo requerido para la evaluación de los controles
de aplicación disminuyó de 6300 a 352 horas de trabajo,
lo que implica un 94% de disminución año a año (ver
figura 9).

Figura 9: Total de horas de trabajo ahorradas

33; 16% Total Horas Trabajadas

Luego de 352
implementar
122; 58% 55; 26% 5,948 Horas menos
Revisión anterior
6300
Horas
trabajadas
0 4000
8000
Probados en la primera mitad del año
Probados en la segunda mitad del año
Validados sin pruebas

22

A.2 Evaluación continua de control de un
sistema de gastos de un empleado
Auditar en forma continua es potencialmente más
efectivo cuando se aplica a sistemas de alto volumen que
son accedidos por un gran número de usuarios. Este caso
ilustra cómo los auditores internos aplicaron técnicas de
auditoría continua a un sistema de gastos de un
empleado.
Antecedentes y desafíos
Las auditorías previas de los sistemas de gastos de
empleados consumían tiempo y requerían de una labor
intensiva, y el alcance de la auditoría era a veces
limitado por restricciones de recursos. El sistema de
gastos de empleados estaba basado en reglas con
numerosos controles automáticos implementados en
múltiples niveles, para gestionar la calidad de los datos
ingresados e iniciar el proceso de aprobación de gastos.
Los ejemplos incluyen:
 Un control de envío de datos:
o Si se ingresan gastos duplicados para la
misma fecha, categoría y monto, el
sistema podría indicar al usuario una
alerta que requeriría una aprobación
gerencial, y marcaría la transacción
para una revisión de la operación.
 Controles activos de aprobación
o Las transacciones de riesgo fueron
retenidas a la espera de una revisión de
un supervisor.
o Un empleado no puede aprobar su
propio envío de gastos.
Los controles típicamente se enfocaron en límites o
autorizaciones, pero no necesariamente se comprueba la
validez o la exactitud de los datos ingresados. Una
categorización inadvertida o intencionalmente
incorrecta o comentarios confusos ingresados por un
empleado podían pasar inadvertidos. La efectividad del
sistema basado en reglas dependía de:
 La exactitud y honestidad de las
entradas del empleado que ingresa el
ítem del gasto
 La predisposición y habilidad de los
gerentes para revisar precisamente y
23
GTAG – Resumen Ejecutivo
aprobar o denegar el gasto
oportunamente
Enfrentados con estos desafíos, los auditores internos
trataron de encontrar la mejor forma de evaluar la
validez de las transacciones de gastos.
La solución de auditoría contínua
En resumen, los auditores internos determinaron:
1. Los detalles de las transacciones de tarjetas de
crédito estaban disponibles desde el emisor de la
tarjeta, y comparando los datos del sistema
electrónico de gastos con los del emisor de la
tarjeta, se logró un mejor panorama de la
validez de los gastos.
2. Una vez que el reporte de datos del emisor de la
tarjeta fue comparado con los datos del sistema
electrónico de gastos por número de empleado,
fecha de carga, y monto de carga, la
categorización del gasto y los comentarios
pudieron ser comparados con el código del
comerciante de la transacción y la descripción
de la transacción. Por ejemplo, se podía
identificar una transacción con un código de
comerciante de una tienda de zapatos, pero
categorizado en el registro de gastos como de
alimentos.
3. El emisor de la tarjeta proveyó “reportes
cuestionables” que podían ser personalizados
para identificar tipos específicos de comercios y
correrlos con una frecuencia mensual o
cuatrimestral.
A continuación se encuentran ejemplos de técnicas de
auditorio continuo que fueron usadas para identificar
deficiencias de control, anomalías y banderas rojas
indicando potencial fraude o abuso. A pesar de que no
fueron cuantificados aquí, los auditores internos
reportaron una reducción en la cantidad de horas que
eran previamente necesarias para adquirir la
información, ejecutar el análisis de datos, y revisar los
resultados, comparados con las auditorías previas del
sistema electrónico de gastos.
Métricas de consumos cuestionables
 GTAG – Resumen Ejecutivo

Identificación de todos los gastos cuestionables
acumulados por código de comerciante, empleado y
establecimiento.
Consumos cuestionables en establecimientos
restringidos
sitios con una mezcla de gastos y actividad personal,
transacciones de alto valor divididas, y palabras clave
restringidas (por ejemplo niños, hospital, club nocturno,
caballeros, casinos, Premium, upgrade).
Resumen de categorización incorrecta

Identificación de toda la actividad de gastos para los
establecimientos restringidos facturados como un gasto
de un empleado. Los establecimientos restringidos fueron
identificados a través de indicadores tales como nombres
legales de proveedores, coincidencia de direcciones,
Identificación de todos los gastos no relacionados con
alimentos (por ejemplo gastos de indumentaria)
incorrectamente categorizados como alimentos o
entretenimiento.

Ítems restringidos

Identificación de palabras clave restringidas (por ejemplo niño, hospital, club nocturno, caballeros, casinos, premium y
upgrade) en los campos de identificación de la transacción. Este tipo de análisis generalmente requiere el uso de software
de análisis de datos.

Palabra Descripción de transacción 1 Descripción de transacción 2 Id de Fecha de Monto

prohibida empleado carga en USD
KIDS TOON AMMAN JORDAN 23.000 JO DINAR CONVERTED TO
KIDS 12345678 2015-01-12 32.49
AMMAN
ALKINDI HOSPITAL 5.000 BH DINAR CONVERTED TO
HOSPITAL 34567891 2015-01-22 13.26
ESPECIALIZADO
BC OF NOLA 274600029 NEW REF# ID6155 BAR / NIGHTCLUB
NIGHTCLUB 23456789 2015-01-12 225.00
ORLEANS 15/01/15

24
 GTAG – Resumen Ejecutivo

Gastos de alto valor sin recibo

Identificación de los gastos de alto valor dentro de cada categoría de gastos que fueron enviados sin recibo.

Actividad de tarjeta en la ciudad de residencia

Identificación de actividad ininterrumpida de la tarjeta en el domicilio o ciudad del tarjetahabiente y en sus alrededores.

Factura del hotel

Identificación de todos los gastos cuestionables de la factura del hotel acumulados por ítem, empleado y hotel. Esto incluyó
ítems no reembolsados bajo la política de gastos que fueron ocultados dentro del cargo total del hotel.

Tarifas de aerolíneas

Identificación de todos los gastos de viajes aéreos donde había una falta de correlación entre el comentario / categoría del
gasto y la descripción del proveedor de la tarifa. Por ejemplo, ítems como mejoras de asientos o cabinas que fueron
ingresados como tarifas de aire o de equipaje.

Actividad personal en tarjetas morosas

Identificación de actividad ininterrumpida de la tarjeta personal en cuentas previamente morosas.

Actividad personal y no gastada

Identificación de toda actividad personal y no gastada con tarjeta comparada con los reclamos de dinero en efectivo.

Gastos divididos

Identificación de gastos que podrían haber sido divididos para evadir los umbrales por transacción. Este análisis fue
ejecutado a través de la búsqueda de transacciones con igual vendedor y fecha. Herramientas de análisis de datos con
funcionalidades incorporadas para analizar duplicados fueron muy útiles.

Id de Id de Nombre del proveedor Código de comerciante Fecha de carga Monto

empleado Proveedor USD
12345678 9945845279 EL ARRIERO STEAKHOUSE LUGARES DE COMIDA / RESTAURANTES 2015-02-11 450.00
12345678 9945845279 EL ARRIERO STEAKHOUSE LUGARES DE COMIDA / RESTAURANTES 2015-02-11 300.00
23456789 9903904407 WORLD CAR SA ALQUILER DE AUTOS – TODOS LOS TIPOS 2015-02-13 225.00
23456789 9903904407 WORLD CAR SA ALQUILER DE AUTOS – TODOS LOS TIPOS 2015-02-13 175.00

A.3 Evaluación continua de riesgo de un
proceso de comprobantes de diario Una
evaluación continua de riesgo a nivel de proceso puede:
 Identificar riesgos nuevos y emergentes dentro
de un tiempo corto desde la transacción inicial
asociada.
 Ayudar a los auditores a identificar tendencias
anormales y evaluar el impacto acumulativo y el
valor total de riesgo.
Este caso resalta los pasos tomados por los auditores
internos para desarrollar e implementar una evaluación
de riesgo continua de un proceso de comprobantes de
diario manual.
1. Entender el proceso
El primer paso para desarrollar la evaluación continua de
riesgo fue desarrollar un entendimiento directo del
proceso. En este caso, los auditores llevaron a cabo una
investigación externa y recabaron información relevante

25
 GTAG – Resumen Ejecutivo

de la Gerencia y de los dueños de los procesos para lograr independientes, el porcentaje de ingreso de
la comprensión total de la población, los reportes comprobantes manuales del libro diario y los
disponibles, las áreas no estándar, y las dependencias con montos del balance general. En la siguiente grilla,
otros procesos. El paso siguiente fue construir un fueron segmentados 10 países para mostrar los
prototipo de base de datos de atributos de riesgos que países más riesgosos a primera vista, así como los
podrían impactar en el proceso del Diario. países con mejor desempeño, los que fueron
capitalizados para compartir las mejores prácticas.
2. Crear un prototipo de base de datos de
riesgos
Se utilizaron herramientas analíticas y estadísticas para
crear un prototipo de base de datos de riesgos. La base de
datos fue desarrollada a través de un proceso repetitivo
que revisaba la integridad de los datos, completitud y
exactitud lógica. Por ejemplo, los atributos de riesgo de
la base de datos de riesgos del proceso manual de asiento
diario incluyeron:

Resultados de riesgo

 Impacto del proceso en el beneficio neto

 Impacto del proceso en los ingresos y gastos
 Impacto del proceso en el efectivo y otros activos  Los análisis de conglomerados fueron utilizados
 Impacto del proceso en el pasivo para segmentar la población e identificar
conglomerados de transacciones riesgosas utilizando
Indicadores de riesgo variables múltiples tales como transacciones de alto
valor, contabilizaciones en días no laborables y
 Comprobantes contabilizados por usuarios transacciones de cierre de ejercicio.
cancelados o no autorizados
 Comprobantes contabilizados luego de la fecha de
corte
 Comprobantes contabilizados en vacaciones
 Comprobantes contabilizados sin una adecuada
segregación de funciones
 Comprobantes contabilizados sin documentación
ni aprobaciones
 Comprobantes de alto valor  La ley de Benford fue utilizada para analizar la
 Comprobantes de transacciones divididas ocurrencia de ciertos dígitos dentro de los campos
numéricos clave para encontrar patrones
3. Identificar riesgos no conocidos y anormales, fabricados o potencialmente
atípicos utilizando técnicas estadísticas fraudulentos. Un ejemplo de un análisis de
tendencia anormal de un país:
Para identificar riesgos nuevos y emergentes se aplicaron
técnicas estadísticas, reduciendo potencialmente el
elemento sorpresa. Se ejecutaron análisis de tipo grilla,
conglomerados, ley de Benford, regresión, y del tipo
“qué pasa si”.

 Los análisis de grilla fueron utilizados para

segmentar la población por dos variables

26

 Los análisis de regresión fueron utilizados para
identificar desvíos. En el siguiente ejemplo, los
análisis de regresión identificaron países con
desvíos alcanzando el valor total de los
comprobantes manuales de libro diario por encima
del balance general.
 Los análisis de tipo “qué-pasa-si” fueron utilizados para
predecir relaciones futuras entre variables.
27
GTAG – Resumen Ejecutivo
4. Colaborar en los esfuerzos de reporte
La evaluación continua de riesgo fue diseñada para
automáticamente mostrar resultados en gráficos, tablas, y
otras herramientas visuales para reportes y tableros de
comando de auditoría. Los tableros de comando de
auditoría fueron creados sistemáticamente y luego el
proceso fue expandido para incluir tableros de comando
de la Gerencia. Esto evitó la duplicación de datos y los
esfuerzos requeridos para generar reportes y publicar los
resultados de la Gerencia. La Gerencia pudo monitorear
mejor los indicadores clave de desempeño La
colaboración ayudó a los auditores internos a entender
los resultados del monitoreo continuo de la Gerencia. La
Auditoría Interna tuvo cuidado de mantener su
independencia y no tomar la propiedad de los riesgos.
Los reportes de monitoreo continuo informaron los
planes de acción de la Gerencia y proveyeron
oportunidades mejoradas para detectar el fraude y evitar
sorpresas.
 GTAG – Resumen Ejecutivo

Autores, revisores, y Colaboradores

Autores:
Bradley C. Ames, CPA, CRMA, CISA

Roy D'Cunha, ACMA, CIA, CISA, CGMA

Patricia Geugelin-Dannegger

Peter B. Millar

Sajay Rai, CPA, CISSP, CISM

Andrew Robertson, CRMA

Thomas Steeves, CISA

Revisores y colaboradores:
David Coderre

Carrie Gilstrap, CISA

Steven Hunt, CBM, CGEIT, CIA, CISA, CRISC, CRMA

Steven E. Jameson, la CIA, CCSA, CFSA, CRMA

Peter Schraeder

Dragón Tai, la CIA, CISA, CCSA, CRMA

Jaroslaw B. Tarbaj, CISA

28
 GTAG – Resumen Ejecutivo

GTAG - autores, revisores y Colaboradores

Acerca del Instituto
Establecido en 1941, el Instituto de Auditores Internos (IIA) es una asociación profesional internacional
con sede mundial en Altamonte Springs, Fla., EE.UU.. El IIA es la voz global de la profesión de
auditoría interna, autoridad reconocida, reconocido líder, principal defensor y educador principal.
Acerca de Guías de Práctica
Las Guías Prácticas proporcionan orientaciones detalladas para la realización de actividades de auditoría
interna. Incluyen procesos y procedimientos detallados, tales como herramientas y técnicas, programas
y enfoques paso a paso, así como ejemplos de entregables. Las Guías Práctica son parte del IPPF del IIA.
Como parte de la categoría de orientación Muy Recomendada, el cumplimiento no es obligatorio pero es
muy recomendable, y la guía es aprobado por el IIA a través de revisión y aprobación de procesos
formales.
Una Guía de Auditoría Global Technologies (GTAG) es un tipo de Guía Práctica que está escrito en
lenguaje directo de negocios para hacer frente a un tema puntual relacionado con la gestión de
tecnología de la información, control o seguridad.
Para otros materiales de orientación autorizadas proporcionadas por el IIA, por favor visite nuestro sitio
web en www.globaliia.org/standards-guidance.
Descargo de responsabilidad
El IIA publica este documento para fines informativos y educativos. Este material de orientación no es
destinado a proporcionar respuestas definitivas a las circunstancias específicas y como tal sólo está
destinado a ser utilizado como una guía. El IIA recomienda que siempre busque asesoramiento experto
independiente en relación directa con cualquier situación específica. El IIA no se responsabiliza de
cualquier colocación de la dependencia exclusiva en esta guía.
Derechos de autor
Copyright ® 2015 El Instituto de Auditores Internos.
Para la autorización para reproducir, por favor póngase en contacto con el IIA en guidance@theiia.org.
140.578

www.globaliia.org
TRADUCIDO POR EL INSTITUTO DE AUDITORES INTERNOS DE ARGENTINA
Traductores: NESSIER, Pablo,CISA;
VEXINA, Inés,
SCHNIDER, Marcos.
Revisión de: SERRACIN, Aixa, CRMA
FALEATO, Javier, CIA, CCSA, CRMA.

29