[Septiembre/2015]

M I A I A.
Modelo Integrado de
Auditoría Interna Auditool

Módulo 10 – Los KRI, las auditorías a

distancia/continua y el monitoreo continuo
www.auditool.org
MIAIA

10. LOS KRI, LAS AUDITORÍAS A DISTANCIA/CONTINUA Y EL MONITOREO

CONTINUO

Debemos aclarar que cuando hablamos de “auditorías a distancia”, “auditorías continuas”

y/o “monitoreo continuo”, podemos estar refiriéndonos indistintamente al menos a tres
formas diferentes de abordar un trabajo, tales como:

 Supervisión continuada de determinados datos representativos de la actividad de las

organizaciones.

 Trabajar en local con la documentación solicitada y aportada en remoto por los

responsables del proceso.

 Acceso directo a las bases de datos con extracción de algunos de ellos.

En nuestro caso excluiremos la segunda de ellas, al no ajustarse al objetivo del presente

módulo.

Para empezar nos gustaría que fuéramos muy realistas respecto del alcance actual de la
aplicación de estas formas de desarrollar la actividad auditora, situación que entendemos
vendrá reflejada por el porcentaje de organizaciones que incluyen trabajos de Auditoría a
Distancia en su Plan de Auditoría, para lo cual nos basaremos en la encuesta Audit Director
Roundtable, correspondiente al plan 2011. Sus resultados al respecto los podemos ver en la
Figura 56, en donde se observa que más de un 70% no las incluían en ese momento. Al
haber pasado varios años desde la realización del análisis, la situación habrá mejorado,
pero no creemos que de forma muy apreciable.

Figura 56. Uso de auditoría a distancia en 2011

En nuestra opinión, salvo en el sistema bancario, las auditorías a distancia son un tema que
está más en la intención que en el quehacer ordinario. En cualquier caso, las entidades que
han progresado en esta modalidad lo han hecho una vez homogeneizados sus procesos y
sistemas.
MIAIA

Este tipo de proyectos se suele abordar normalmente con el objetivo de liberar recursos,
para aumentar el alcance y cobertura de riesgos (p. e. estratégicos y emergentes),
mejorando en eficiencia. Sin embargo, la crisis financiera en la que aún estamos inmersos
algunos países no ayuda al desarrollo de esta materia, con presupuestos de auditoría en
descenso; pero sí a su demanda de que seamos cada vez más eficientes. Para cumplir este
objetivo las auditorías continuas y/o a distancia se manifiestan como una alternativa muy
válida, debido a las siguientes ventajas:

 Priorización de las actividades del Plan Anual, orientándolas a los puntos de riesgo.
 Aumento del control efectivo y su percepción por la organización.
 Adelanto del momento de conocimiento de los hechos (oportunidad de las
actuaciones).
 Especialización y normalización de actuaciones (best practices).
 Reducción del costo de las actuaciones y liberación de recursos para aportarlos a la
mejora de los procesos de las empresas y la cobertura por auditoría de nuevos riesgos
(estratégicos, emergentes, etc.).

La indudable importancia que los KRI tienen en el monitoreo de los datos ha sido analizada
por COSO, llegando a la conclusión de que “el diseño y la puesta en marcha de un conjunto
de KRI es un elemento importante de las organizaciones en el proceso de gestión de los
riesgos empresariales”.

Figura 57. Portada del libro acerca de KRI, (COSO, 2010)

(El documento original se encuentra en el siguiente enlace:

http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110_000.pdf)
MIAIA

En opinión de COSO, para identificar los indicadores apropiados habrá que hacer un análisis
en detalle del proceso en cuestión, como sucede en el ejemplo que seguidamente incluimos.
En la Figura 58 se asocian los riesgos de los objetivos estratégicos a los KRI.

En este ejemplo, la organización tiene como objetivo lograr la mayor rentabilidad mediante el
aumento de los ingresos y disminuyendo los costos. Se han identificado cuatro iniciativas
estratégicas que son críticas para el cumplimiento de los objetivos. Al mismo tiempo, se ha
identificado que varios riesgos potenciales pueden tener un impacto en uno o más de las
cuatro iniciativas estratégicas clave.

La interrelación de los principales riesgos con las principales iniciativas estratégicas pone a
la gestión en condiciones de comenzar a identificar los indicadores críticos que pueden
servir como indicadores clave de riesgo para ayudarles a supervisar la ejecución del núcleo
estratégico.

Figura 58. Esquema de rentabilidad a partir de KRI

Fuente: Developing Key Risk Indicators to Strengthen Enterprise Risk Management

Obsérvese que los KRI se han definido para cada riesgo crítico. La asignación de KRI a los
riesgos críticos y básicos con influencia en las estrategias reduce la probabilidad de que la
gestión se distraiga con otra información que puede ser menos relevante para el logro de los
objetivos de la empresa.

Un método eficaz para el desarrollo de KRI comienza por analizar los eventos de riesgo que
han afectado en la organización en el pasado (o que lo afectan en el presente) y luego
trabajar hacia atrás para identificar los eventos intermedios y conocer la causa raíz que llevó
finalmente a la pérdida material o pérdida de oportunidades.

El objetivo es identificar indicadores de riesgo que proporcionen valiosos indicios de que el

riesgo puede estar surgiendo. Cuanto más se aproxime el KRI a la causa origen del evento
de riesgo más probable es que el KRI proporcione a los gestores el tiempo necesario para
tomar acciones de manera proactiva para responder al evento de riesgo. Este proceso
puede ser representado visualmente de la siguiente manera.
MIAIA

Figura 59. Indicadores del evento de riesgo

Fuente: Developing Key Risk Indicators to Strengthen Enterprise Risk Management

En este diagrama se puede observar cómo con el paso del tiempo un acontecimiento inicial,
que denominemos “acontecimiento origen”, causa otros eventos intermedios que finalmente
conducen a una situación de riesgo. En el desarrollo de un KRI que sirva como un indicador
básico para advertir posibles casos futuros de este riesgo, puede ser útil pensar a través de
la cadena de acontecimientos que condujo a la pérdida para que la administración pueda
descubrir el factor del riesgo que produjo el evento.

Si volvemos momentáneamente al ejemplo del sistema de pensiones español que hemos

comentado con anterioridad, está claro que el sistema corre el riesgo de entrar en quiebra y
que los futuros pensionistas no puedan cobrar sus pensiones cuando alcancen la edad de
jubilación.

Si hacemos una visión retrospectiva y analizamos los eventos inmediatos nos encontramos
con una situación de bonanza económica, consecuencia del boom inmobiliario, que hizo que
el país tuviera que ampliar su población activa, ya que la baja tasa de natalidad de años
precedentes no había aportado suficiente mano de obra para atender las necesidades de la
actividad. Efectivamente, la estructura de la población sí evidenciaba un riesgo, pero este se
eliminó a través de las inmigraciones, llegándose a alcanzar una situación de 4 trabajadores
activos por cada jubilado; la causa del problema es que la población activa empieza a
disminuir como consecuencia de la desaceleración económica y de que los parados dejan
de cotizar, pasando actualmente a menos de 2 trabajadores activos por jubilado. Este es el
indicador que realmente nos da idea del riesgo al que se enfrenta el país, pues contradice el
esquema sobre el que descansan las prestaciones de la Seguridad Social.

Pero volvamos a las auditorías a distancia. La primera cuestión sería cómo desarrollarlas
una vez seleccionado el proceso a supervisar, a lo que podemos responder que se hace
eligiendo determinados parámetros representativos de las actividades recogidas en él (los
KRI), de forma que, con la información histórica disponible en la organización o. si no se
MIAIA

disponen de datos suficientes, empleando un proceso de “prueba y error”, seleccionando

finalmente los ratios de gestión más apropiados, así como el rango de su variación
considerado normal.

Esta forma de operar no presupone, como ya hemos señalado, auditar necesariamente los
datos manejados, puesto que en principio únicamente se pretende que revelen “incidencias
potenciales” respecto de los márgenes de normalidad preestablecidos, que han ser
comentadas y/o aclaradas por los propios responsables de los procesos. Lo que sí permiten
es orientar convenientemente el contenido del Plan Anual de Auditoría, centrando nuestra
atención en aquellos trabajos específicos, al igual que sucedía con los CSA ya comentados,
en los que se aprecien indicios de alguna duda sobre la coherencia con respecto a la
normalidad del desarrollo del proceso, que debidamente analizada, y siempre que las
razones aportadas por los responsables de su gestión no ofrezcan una aclaración suficiente,
dé origen a una auditoría específica y convencional con la que determinar la exactitud de lo
informado.

Aunque pueden ser aplicadas a la totalidad de las actividades desarrolladas por las
organizaciones, destacamos su frecuente utilización en la supervisión de la actividad
financiera, dada la preocupación actualmente vigente respecto de la bondad del Sistema de
Control Interno y respecto de la información financiera. Sus orígenes son:

 La información contable obtenida de los sistemas de gestión corporativos.

 Fuentes no contables proporcionadas por cada Unidad gestora (avales, litigios,
créditos fiscales, etc.)

Al centrar la atención en la verificación de los estados financieros (EEFF), los KRI permiten
el análisis de las variaciones surgidas en los principales epígrafes contables:

 Magnitudes Básicas
 Fondos de Comercio
 Cartera de Valores
 Provisiones
 Gastos
 Ingresos
 Insolvencias
 Amortización y otras depreciaciones
 Préstamos a filiales y asociadas
 Operaciones intragrupales
 Avales y Garantía
 Derivados
 Litigios y otras contingencias
 Créditos fiscales
 Gastos e Ingresos extraordinarios

Una vez decididos los datos a solicitar, y las vías para obtenerlos (directamente de las
aplicaciones contables y/o a través de reportes específicos para magnitudes fuera de
balance), se deben concretar las variaciones interperiódicas que se consideren aceptables,
como vemos en el siguiente ejemplo.
MIAIA

Tabla 1. Ejemplo de datos analizables y su variación aceptable

HIPOTESIS
VARIABLE ANALIZADA INDICADOR DE AUDITORÍA
VARIACIONES

FONDOS DE COMERCIO Amortización del período 15,0%

CARTERA DE VALORES % VNC/VTC < 85 y >115 %
PROVISIONES
PROVISIONES DE GASTOS % Gastos provisionados 15,0%
PROVISIONES DE INGRESOS % Ingresos provisionados 15,0%
PROVISIONES DE INSOLVENCIAS % Antigüedad Deuda 15,0%
% Provisiones/Deudas Antigüas < 85 y >115 %
AMORTIZACIONES Y OTRAS DEPRECIACIONES
INMOVILIZADO % Amortización Inmovilizado en el período 15,0%
% Inmovilizado en curso/Inmovilizado bruto 15,0%
EXISTENCIAS % Provisión por depreciación 15,0%
PRÉSTAMOS A FILIALES Total Préstamos 15,0%
OPERACIONES INTRAGRUPO % Concentración Ventas Entre 75 y 100 %
% ANTIGÜEDAD DEUDA 15,0%
% Dif. CxC /Activo Total 15,0%
AVALES Y OTRAS GARANTÍAS Importe económico de avales 15,0%
% Avales provisionados 15,0%
DERIVADOS Importe ops con derivados 15,0%
% Provisionado 15,0%
LITIGIOS Y OTRAS CONTINGENCIAS Importe total litigios 15,0%
% Provisionado 15,0%
Provisión por obligaciones con el personal 15,0%
CRÉDITOS FISCALES % Saldo Neto I.S./Activo total 15,0%
Créditos BIN 15,0%
GASTOS E INGRESOS EXTRAORDINARIOS % Gastos Extra./Resultado Actividades Ordinarias 15,0%
% Ingresos Extra/Resultado Actividades Ordinarias 15,0%

En él, salvo en el caso de algunos indicadores que presentan valores de desviación

determinados, para la mayoría se ha considerado que existe una incidencia potencial
cuando la variación del indicador en el periodo sea ≥ al 15%.

Posteriormente, procede la confección y actualización de las tablas en las que estos datos
se reportan, recogiendo en ellas tanto los del periodo analizado como los de periodos
anteriores, así como también los indicadores de auditoría propuestos. Esta es una de las
fases más significativas del proceso, ya que el acierto del resultado, y las pistas sobre las
que se trabaje, dependerán de la bondad de las cifras resultantes.

Al llegar a este punto tenemos que recordar que nuestro objetivo es tratar de identificar
riesgos clave, por lo que debemos establecer el grado de relevancia de la incidencia
potencial detectada (BAJA/MEDIA/ALTA), a fin de poder seleccionar las de mayor
significación y ocuparnos prioritariamente de esas incidencias importantes.

Para cada variable, se determina su trascendencia en función del saldo del epígrafe de
balance asociado a la misma (por ejemplo, para amortizaciones y otras depreciaciones se
utiliza el saldo del inmovilizado material e inmaterial amortizable).

Con el objetivo de medir dicha relevancia se pueden emplear varios métodos. Uno de ellos
puede ser el que describimos a continuación, aplicable en corporaciones tipo holding.
MIAIA

 Relevancia dentro de la sociedad analizada, medida por el porcentaje que

representa el saldo del epígrafe de balance revisado en los periodos de análisis sobre
el Activo total de la sociedad analizada. Por ejemplo, en el caso de amortizaciones y
otras depreciaciones se calcularía así: Saldo del inmovilizado material e inmaterial
amortizable / Activo total de la sociedad analizada.

 Relevancia dentro del holding, medida por la relación tanto por mil entre el saldo del
epígrafe de balance analizado y el Activo total del Grupo. Por ejemplo, en el caso de
amortizaciones y otras depreciaciones se calcularía así: Saldo del inmovilizado
material e inmaterial amortizable / Activo total del Grupo.

De esta forma, el grado de relevancia de la incidencia potencial detectada se presenta en la

siguiente tabla.

Tabla 2. Grado de relevancia de las incidencias potenciales detectada

% Saldo
Variable/Total
Activo Grupo

Para complementar, en seguida incluimos un ejemplo de tabla de indicadores y variaciones.

El resultado final será un listado de incidencias potenciales por variable analizada,
clasificadas por grado de relevancia.
MIAIA

Tabla 3. Relación detallada entre indicadores y variación

Respecto a las diferentes maneras de determinar los valores cuantitativos de los

indicadores, en los ejemplos que hemos utilizado se pueden observar los ratios
considerados adecuados, pero podría suceder que se llegara a la conclusión de que pueden
ser más eficaces otros alternativos. De producirse el cambio sustituyendo los iniciales por
aquellos otros más ajustados a la información a analizar, se debería comenzar con la
información histórica de la nueva serie.

Por último, restaría por efectuar el análisis de las causas de las desviaciones no “típicas”,
fase en la que se han de analizar los motivos de las desviaciones que den lugar a las
incidencias potenciales según los parámetros del modelo empleado, determinando si se
trata de incidencias reales, que requieran un plan de acción específico, o se deban a
cuestiones coyunturales debidamente justificadas.
MIAIA

Las técnicas KRI aplicables a “auditorías a distancia” también son muy usadas en la
supervisión de la actividad bancaria en las oficinas urbanas, ya que en estas, al estar muy
informatizadas y con sus actuaciones y funciones debidamente jerarquizadas, es posible
introducir diversas pistas de auditoría (alertas) en las aplicaciones utilizadas, de forma que
se identifiquen operaciones que se aparten de lo preestablecido, investigando las causas de
esa “anormalidad”. Por ejemplo, operaciones autorizadas por un nivel decisorio no
reconocido en los protocolos aplicables.

En cualquier caso, la aplicación de estas herramientas requiere desarrollar las siguientes

fases:

 Selección de los procesos y sus riesgos críticos.

 De los procesos seleccionados determinar los indicadores a emplear.

 De los datos que estén disponibles en aplicaciones programar su captura.

 Para los que no estén en las aplicaciones, definir cuestionarios y fechas de recepción,
así como establecer métodos de comprobación.

 Definir pistas de auditoría (rango de admisión de valores).

 Analizar los resultados consultando causas de las desviaciones no previstas.

 Abrir investigación/auditoría para los casos no razonablemente justificados.

 Concluir sobre las causas reales que justifiquen las deviaciones.

 Proponer recomendaciones.

El proceso se corresponde con el siguiente esquema, en el que se recoge la secuencia de

las actuaciones a realizar que acabamos de enumerar, y que estimamos necesario ilustrar
con algún ejemplo, que subdividimos en tres fases:

A. Selección de procesos y establecimiento de ratios.

B. Evaluación de resultados, y

C. Desarrollo de un caso práctico

MIAIA

A. Selección de procesos y establecimiento de ratios

Figura 60. Identificación de riesgos y definición de ratios para medirlos

Esta primera etapa se inicia con la selección de los procesos más significativos, pasando
después a identificar y evaluar los riesgos existentes en los procesos, identificando para
esto los KRI que se ajusten a los factores de riesgo que hayamos identificado para las
amenazas de que existan en los procesos, finalizando con el establecimiento de los Límites
de Control, inferior y superior para cada uno de los KRI definidos.
MIAIA

B. Evaluación de resultados

Figura 61. Proceso de evaluación de resultados

En esta fase lo que procede es analizar los datos que hayamos ido obteniendo, así como los
motivos que se nos aporten para justificar los cambios de variaciones, y concluir sobre la
razonabilidad de las causas que nos hayan sido aportadas, actuando en consecuencia y
auditando, llegado el caso, el proceso en detalle a fin de poder concluir sobre los motivos
que realmente hayan producido la situación anómala observada.

C. Desarrollo de un caso práctico

Supongamos nuevamente el Proceso de Compras citado en epígrafes anteriores, sobre el

que queremos aplicar también esta metodología. Para ello deberían seguir los pasos
señalados con anterioridad.

Con base en el control de los riesgos que deseamos evitar, seleccionamos los indicadores
que entendamos oportuno aplicar.

Uno de los riesgos a controlar puede ser el que representan aquellas adjudicaciones que no
se ajusten a lo que resulte habitual y, por consiguiente, sean síntoma de alguna posible
irregularidad (concentración de pedidos o contratos en determinados proveedores,
fraccionamiento de pedidos para saltar los límites de las capacidades, pedidos abiertos
durante plazos no habituales, etc.). Estas podrán ser detectadas empleando los KRI que se
incluyen en los cuadros de color amarillo de la siguiente figura.
MIAIA

Figura 62. Adjudicaciones no habituales y KRI correspondientes

10.1. Evolución de una auditoría a distancia a una continua

El proceso de migrar de una auditoría a distancia a una auditoría continua depende solo de
la frecuencia con la que se analicen los datos, de forma que si no existe solución de
continuidad estaremos ante una auditoría continua en el tiempo, si bien la frecuencia puede
ser, desde el punto de vista conceptual, diaria, semanal, mensual, etc. Es decir, estaremos
frente a una auditoría continua cuando analicemos los valores de los KRI con una
periodicidad preestablecida, por lo que este planteamiento no da cabida a una revisión
circunstancial. Esta dinámica exige disponer de una infraestructura informática adecuada,
que permita desarrollar un proceso como el que se refleja en la Figura 63.
MIAIA

Figura 63. Proceso de auditoría continua a partir de la infraestructura informática

Por último, en lo que se refiere a la monitorización continua, y recordando lo que en

apartados anteriores decíamos, podemos decir que monitorear controles es una actividad
propia de los gestores verificando la eficacia de los controles existentes en los procesos.

En cualquier caso, entendemos oportuno comentar algunas situaciones en las que esta
supervisión puede ser también consustancial a la propia labor auditora, como sucede por
ejemplo en la labor interventora desarrolla en el ámbito de las entidades financieras, en cuyo
caso determinados controles, aquellos que tienen una gran trascendencia en la integridad
patrimonial de la entidad, son asumidos directamente por los departamentos de Auditoría
Interna, como sucede con los arqueos de caja, firmas mancomunadas para liberar pagos,
etc. Esta situación también se reproduce en el caso del modelo que previamente hemos
comentado, cuyo esquema de supervisión incluye tres unidades.

Esta estructura organizativa, aunque pueda ser calificada como no demasiado ortoxa, ya
que el Director de Auditoría Interna en este modelo asume ciertas responsabilidades
gerenciales, produce resultados positivos que posiblemente permitan considerarla como una
buena práctica, al menos digna de tener en consideración.

En el contexto de desarrollo de estas páginas deberíamos enmarcar la experiencia de dicha

organización, al menos en lo que se refiere a la monitorización de controles, como tuvimos
oportunidad de compartir en las XVII Jornadas de Auditoría Interna desarrolladas en
Montevideo (Uruguay) en el mes de Noviembre de 2010, y que de una forma resumida
podemos describir de la siguiente forma.

El proyecto lo conforman tres niveles:

 La monitorización preventiva y suspensiva. Las situaciones incidentales se identifican

mediante alarmas antes de su ocurrencia, evitando los problemas potenciales.
 Utilización de ratios, indicadores u otras alarmas que señalen la probabilidad de
existencia de un deterioro en alguno de los controles básicos. Los problemas no se
evitan, pero se detectan de forma más rápida.
MIAIA

 El acceso remoto a la información optimiza las tareas de preparación de los trabajos,

ahorra tiempo de ejecución y reduce sus efectos sobre el desarrollo de la actividad de
las unidades auditadas.

Todo ello con base en una monitorización continua que tiene como principal elemento de
control la utilización de alertas, de carácter preventivo y de capacidad suspensiva. Estas
alertas se parametrizan en los sistemas de información para que discriminen aquellas
operaciones que no cumplan determinados requisitos con anterioridad a su ocurrencia, por
lo que se evitan problemas potenciales. Por último, también se facilita su seguimiento y el
estado de su resolución. Veamos la definición presentada a continuación.

Figura 64. Aplicación de las alertas

Al llegar a este punto debemos hacer mención de la diferencia que existe entre indicador y
alerta, pues un indicador, en el entorno en el que estamos desenvolviéndonos, será
cualquier información que nos permita interpretar, anticipar o diagnosticar una determinada
amenaza; en tanto que alerta es la manifestación previa al impacto de un evento adverso
sobre un sistema determinado.

El término alerta, como adverbio, significa "con atención", en tanto que como adjetivo
significa "atento, vigilante". Las alertas son consecuencias de la interpretación de un
indicador, cuando la materialización del riesgo se prevé inminente. En la Figura 65, a título
de ejemplo, se describen las distintas fases por las que puede atravesar la evolución de una
pandemia según la OMS, correspondiendo a cada una de ella unas medidas de control
específicas, según el nivel de alerta decidido en cada una de las fases por las que atraviesa
la enfermedad.
MIAIA

Figura 65. Fases de una pandemia y sus niveles de alerta

El modelo al que nos referimos anteriormente tiene definidas 73 alertas, con el siguiente
detalle:

 Las primeras alertas se empezaron a utilizar en marzo de 2009.

 La situación en el momento del encuentro en Montevideo era de 13 alertas
disponibles, con distinto grado de aplicación, dependiendo del sistema en el que
trabaje cada operadora.
 Como ejemplos más significativos destacaban:

 Modificación manual de la fecha de pago, que tiene como objetivo de control evitar
pagos antes de vencimiento.
 Facturas registradas sin pedido de Compras, que tiene como objetivo de control
evitar el incumplimiento del proceso de aprovisionamiento corporativo.

Estas alertas se encontraban distribuidas según el desglose que recoge en la siguiente

figura.

Figura 66. Distribución de las alertas

MIAIA

Independientemente del desarrollo en el que se encontraba el modelo en el momento de su

descripción en el año 2010, lo importante a destacar que el proceso no precisa de su total
desarrollo para su implementación, pues es válido avanzar en él según se vayan
consolidando las distintas partes o fases que lo conforman.

Por ello, sugerimos seguir avanzando en el soporte tecnológico a los departamentos o

gerencias de Auditoría Interna, así como en el desarrollo e implantación de nuevas
herramientas informáticas que faciliten el trabajo del auditor e incrementen la eficiencia de la
función de auditoría interna.

Para finalizar, creemos oportuno resaltar algunos comentarios leídos en una reseña del
XVIII Congreso Latinoamericano de Auditoría Interna y Evaluación de Riesgos, en el sentido
de que “estamos cambiando el paradigma, ya no interesa saber que en un 99,95% del
universo los procedimientos se cumplen, sino que interesa identificar y neutralizar el 0,05%
restante. Por ello, en el futuro, la mayoría de las evaluaciones de auditoría deberán estar
automatizadas, efectuándose por el método de auditoría tradicional sólo las evaluaciones
que, por sus características, no sean susceptibles de monitoreo continuo”.