LA AUDITORÌA CONTINUA, UN MODELO COMPLEMENTARIO QUE PERMITE AGREGAR VALOR A LA AUDITORÌA MODERNA.
Por: Francisco Javier Valencia Duque* CISA-CRISC-COBIT Foundations Universidad Nacional de Colombia (Sede Manizales) Presentación
Tratar de adelantarnos en el tiempo para poder aventurarnos a predecir lo que pasará en el futuro, en este caso el futuro de la auditoría, es poco probable, sin embargo, podemos intentar anticiparnos a lo que va a suceder, si articulamos adecuadamente el conocimiento disponible, explotando lo que sabemos del pasado y del presente. Este es el objetivo del ensayo que a continuación se presenta, el cual gira alrededor de uno de los temas que ha venido emergiendo desde hace cerca de 25 años, cuando autores como Groomer y Murthy en 1989 publicaron los primeros papers alrededor del tema (Kogan, Alles, & Vasarhelyi, 2010), pero que a la fecha no ha sido aún incorporado de forma masiva en las organizaciones. La Auditoría Continua.
Para ello se tomará como punto de partida, los retos, tendencias, expectativas y prioridades que afronta actualmente la auditoría interna, en la búsqueda de agregar valor a la organización, a través del uso de las Tecnologías de Información y Comunicaciones (en adelante TIC).
Sin embargo para poder tener una visión
integral de las TIC en los procesos de auditoría, debemos, con una mirada
retrospectiva, comprender históricamente como se ha venido incorporando el uso de las TIC en el proceso auditor y cuáles han sido los aportes que diferentes autores y organizaciones cercanas al mundo de la auditoría han planteado para hacer de esta función estratégica, una labor con mayores niveles de eficacia y eficiencia, en beneficio del proceso auditor en particular y de la organización en general.
A partir de esta revisión histórica podemos introducirnos en la Auditoría Continua, una de las tecnologías más importantes para el desarrollo de la auditoría moderna, considerada por algunos autores, como el nuevo paradigma de la auditoría.
Con una exhaustiva revisión bibliográfica de sus orígenes, conceptos, contrastes con la auditoría tradicional y un análisis comparativo de las metodologías de Auditoría Continua planteadas por cuatro (4) de las principales organizaciones a nivel internacional que agrupan a contadores y auditores, se formulará una metodología unificada que recoja las principales fases y actividades a desarrollar en un proceso de Auditoría Continua, como herramienta base para disminuir la complejidad que puede representar para un auditor el desarrollo de este tipo de procesos ante la existencia de diversas metodologías.
Es importante destacar que la Auditoría Continua no entra a reemplazar la auditoría tradicional, lo que hace es complementar una auditoría que mira retrospectivamente los hechos, con un modelo proactivo, que se fundamenta en una auditoría predictiva y preventiva, fundamentada en el uso intensivo de las TIC como herramientas que apalancan el proceso auditor.
1. Retos, tendencias, expectativas y prioridades que afronta la Auditoría Interna. Una perspectiva desde las TIC.
Las organizaciones han sido transformadas por las Tecnologías de Información y Comunicaciones, lo que ha permitido que no existan fronteras de espacio, ni de tiempo para desarrollar los negocios, generando organizaciones ubicuas, con la capacidad de desarrollar sus operaciones en diferentes partes del mundo de forma simultánea, las 24 horas del día, los 7 días de la semana, durante los 365 días del año, dando respuesta en tiempo real a los cambios que se pueden suscitar en su entorno de negocios inmediato. Sin embargo la auditoría aún no ha evolucionado a la par de estas organizaciones, desarrollando sus procesos de auditoría de forma tardía; días, meses e inclusive años después de que ocurren los eventos económicos en las organizaciones, llevando a cabo un control tardío de los eventos económicos, detectando anomalías e irregularidades y en general incumplimiento de reglas de negocio mucho tiempo después de que ocurrieron, y generando reportes tardíos que ya no tienen valor para la organización, o si aún lo tienen, ya han perdido mucho de él.
Bajo la premisa de que los negocios en tiempo real, son impulsados por procesos en tiempo real y por lo tanto requieren de un control en tiempo real, es necesario que la auditoría responda a estos retos y uno de los mecanismos para lograrlo es
hacer un uso intensivo de las TIC como parte del proceso auditor, que agregue valor en su función de aseguramiento.
Diversas investigaciones originadas en el sector productivo y la academia plantean retos que debe afrontar la auditoría interna para cumplir con uno de los principales elementos que componen su definición –agregar valor- , elemento que ha sido cuestionado en algunos de estas investigaciones, y que es ratificado por el Instituto de Auditores Internos, en su editorial del último número de la revista Internal Auditor al establecer: “En el 2014 las partes interesadas de auditoría interna dejaron perfectamente en claro que existe una brecha entre lo que esperan de auditoría interna y lo que reciben” (Millage, 2014,30).
Recientemente el estudio sobre el estado de la profesión de auditoría interna en 2014 elaborado por PricewaterhouseCoopers establece que tan solo el 45% de los altos directivos consideran que la auditoría interna aporta un valor significativo a la organización (PWC, 2014), por su parte la encuesta global a Directores miembros de comités de auditoría de 21 países llevada a cabo por KPMG y dada a conocer en Marzo de 2013 plantea que tan solo el 37% de las compañías Latinoamericanas, están convencidos del valor que entrega a la compañía el área de auditoría interna (KPMG, 2013).
Si bien, son diversos los factores que han llevado a generar estos porcentajes relativamente bajos, existe un elemento en común que han planteado estos y otros estudios alrededor de los retos, tendencias, expectativas y prioridades que tiene la
auditoría para incrementar el valor esperado de su función en la organización, y es el uso intensivo de las Tecnologías de Información y Comunicaciones en los procesos de auditoría. Ello obedece fundamentalmente a que las TIC ya no son simplemente recursos de apoyo en la organización, sino que son parte del negocio, como es el caso específico de las entidades bancarias.
Es así como el Instituto de Auditores internos de España en uno de sus últimos documentos del tanque del pensamiento, al plantear los retos futuros para la auditoría interna de las entidades de crédito, establece, en relación con los controles: “La Auditoría Interna se apoyará cada vez más en un examen del funcionamiento de controles automáticos y un mayor tratamiento masivo de datos, para lo que será necesaria la evolución de las herramientas informáticas que permitan dichas capacidades”(Instituto de Auditores Internos de España, 2014,9); y en relación a los riesgos: “El empleo de técnicas de tratamiento masivo de datos facilita alcanzar la cobertura de Auditoría Interna, mejorar la cuantificación de las incidencias y mejorar la comprensión de los riesgos” (Instituto de Auditores Internos de España, 2014,32); complementado con
“La tecnología no solo ayudará a
detectar el riesgo de TI, también permitirá su integración en la realización de trabajos de auditoría a través del análisis masivo de datos. Este hecho proporcionará la posibilidad de detectar los riesgos de una forma más eficaz sin incurrir en un mayor coste”(Instituto de Auditores Internos de España, 2014,34).
En el resumen de las tendencias planteadas por este documento para las áreas de auditoría interna de las entidades de crédito, se plantean 17 tendencias, con
aproximadamente 44 expectativas distribuidas en 4 categorías: recursos humanos, estructura organizativa, enfoque alcance y organización de revisiones, y recursos técnicos y medios, de las cuales cerca del 30% de las expectativas, en 3 de las 4 categorías están relacionadas de manera directa con las TIC, como se puede observar en la tabla 1.
Tabla 1. Retos y expectativas de futuro para la Auditoría Interna de las entidades de crédito relacionadas con Tecnologías de Información y Comunicaciones.
TENDENCIA
EXPECTATIVA RECURSOS HUMANOS
Aumentarán las auditorías de No se entiende un proceso de negocio sin la equipos integrados por miembros tecnología. con distintas especializaciones, Difícil que un auditor pueda saber de todo, hasta consolidar la figura del incluido TI. superauditor
que
conocimientos
de
aglutine No centrarse solo en riesgos de TI. áreas
relevantes ENFOQUE, ALCANCE Y ORGANIZACIÓN DE REVISIONES Disminuirá
progresivamente
la Se intensificará el uso de herramientas que
auditoría tradicional/presencial de permiten auditar a distancia gracias al uso de oficinas, que pasará a tener la tecnología en los procesos menos importancia en términos Podrían desaparecer los ciclos de revisión de oficinas siendo visitadas sólo cuando se
de recursos y número de oficinas produzcan determinadas señales de alerta revisadas
concretas
Aumentarán los procedimientos Aumentará la auditoría a distancia de otros de auditoría a distancia y se riesgos ajenos a la red de oficinas (TI, capital, extenderán a otras áreas distintas liquidez, etc). al control de la red comercial. Aumentará
la
evaluación La
Auditoría
Continua
se
usará
para
dinámica de los riesgos para alimentar dinámicamente los riesgos. determinar
los
trabajos
de
auditoría a realizar RECURSOS TÉCNICOS Y MEDIOS Los equipos de Auditoría Interna Las conclusiones de las auditorías se se
apoyarán
verificación
más del
en
la basarán cada vez más en:
correcto - Los resultados de pruebas masivas de
funcionamiento de determinados datos y menos en muestreos estadísticos. controles automáticos y en el - Pruebas de controles automáticos en los tratamiento masivo de datos para procesos de negocio. obtener conclusiones e indicios.
Posibilidad de explotar cantidades ingentes de datos, correlacionando información, para detectar tendencias y patrones así como incidencias puntuales.
La evolución de los negocios y de La evolución de la Auditoría Continua la tecnología irá acompañada de dependerá de la capacidad de la explotación un
progresivo
uso
de masiva de datos.
herramientas informáticas como Necesidad de herramientas informáticas que apoyo a las auditorías.
permitan la explotación masiva de datos. Los
auditores
conocedores
del
internos manejo
deben de
ser estas
herramientas informáticas. Fuente: construido a partir de (Instituto de Auditores Internos de España, 2014b)
Sin embargo, no es solo este informe el que ha planteado tales retos alrededor de las TIC, también existen otra serie de estudios e informes de organizaciones cercanas a la función de auditoría, entre las que se destacan la encuesta aplicada por Protiviti (2014), a más de 600 ejecutivos de auditoría en diferentes países del mundo, orientada a conocer las necesidades y capacidades de los auditores internos frente a los riesgos emergentes y ser proactivo ante los cambios que se generan en las organizaciones, quienes priorizan los siguientes aspectos tecnológicos en los procesos de auditoría: -
Social media, aplicaciones móviles, cloud computing y seguridad
-
Técnicas de Auditoría Asistidas por Computador (CAATs en inglés) y análisis de datos.
-
Gestión de fraudes centrados en la Tecnología.
-
Cumplimiento de leyes y cambios normativos
-
Colaboración con otros miembros de la empresa para compartir experiencias y comunicar el valor que aporta la auditoría a la organización.
Por su parte la firma Thomson Reuters Accelus en su encuesta anual del estado de la Auditoría interna en el 2014, donde participaron cerca de 900 auditores internos en aproximadamente 50 países del mundo y ante la pregunta de cuáles deben ser las principales prioridades de la función de auditoría interna en su organización, se obtuvieron como prioridad, el aseguramiento de los procesos de control interno, con un 63% aproximadamente, seguido de la seguridad y riesgos de Tecnologías de Información, con un 54%, incrementándose en relación con la encuesta aplicada en los dos años anteriores(Thomson Reuters, 2014).
De igual forma, el estudio sobre el estado de la profesión de auditoría interna llevado a cabo por PricewaterhouseCoopers (PwC) en 2014, plantea a partir de las respuestas de 1920 directivos relacionados con la auditoría en cerca de 37 países como hoja de ruta para contar con una auditoría interna eficaz, alinear 8 atributos, como se puede observar en la figura 1, entre los cuales se encuentra la Tecnología, donde se requiere el empleo de técnicas avanzadas de análisis de datos, utilizando las técnicas de Auditoría Continua para incrementar la cobertura y proporcionar indicadores tempranos de advertencia sobre posibles riesgos(PWC, 2014).
Figura 1. Atributos para una Auditoría Interna eficaz.
Fuente: (PWC, 2014)
Por último, KPMG & Instituto de Auditores Internos de España (2015) a través de su documento “Visión 2020. Desafíos de Auditoría Interna en el horizonte 2020” plantea la relación del auditor interno con las nuevas tecnologías en tres niveles diferentes: En primer lugar, está la forma en que la tecnología está presente actualmente en todas las transacciones de una empresa, lo que implica un cambio en la planificación de las pruebas de auditoría tradicionales; en segundo lugar, las nuevas tecnologías ofrecen al auditor una serie de posibilidades para profundizar en su trabajo, aumentar el rendimiento del mismo y permitir un mayor control sobre cualquier tipo de operación; y en tercer lugar, el desarrollo de nuevas tecnologías conlleva a un nuevo campo que debe ser objeto de supervisión por parte del auditor.
En resumen, son diversos los estudios alrededor de la Auditoría interna que coinciden en la importancia que representan las TIC para el desarrollo eficaz y eficiente de los procesos de Auditoría, en la búsqueda permanente de hacer de la auditoría, una función cada vez más pertinente, ajustada a las necesidades y retos que impone el negocio, y como medio para agregar valor a la organización.
2. Las Tecnologías de Información y Comunicaciones en los procesos de Auditoría. Una visión retrospectiva.
Los procesos de Auditoría manual son inadecuados en este entorno cada vez más complejo (Vasarhelyi, 1984). Estas palabras expresadas en 1984 por uno de los autores más prolíficos en materia de Auditoría Continua, es mucho más vigente hoy, que hace 31 años. Sin embargo, a pesar del tiempo y la evolución tecnológica que han tenido las organizaciones, el uso de las TIC en la auditoría no ha sido un tema prioritario en las áreas de auditoría, así lo demuestran diferentes estudios realizados principalmente por las agremiaciones y firmas de auditoría a nivel internacional.
No obstante, históricamente la academia y las agremiaciones de auditores han aportado a lo que se ha denominado de forma genérica como Técnicas y Herramientas de Auditoría Asistidas por Computador (en adelante CAATT por sus siglas en inglés, de Computer Assisted Audit Tools and Techniques) para referirse al uso de las TIC en auditoría.
De manera inicial, es pertinente resumir las diferentes normas que se han promulgado alrededor del uso de las TIC en los procesos de auditoría, las cuales son resumidas en la tabla 2, donde se puede concluir, que en particular los organismos que agrupan contadores y auditores, no han sido ajenos a la importancia que representa este importante recurso en los procesos de auditoría.
Tabla 2. Resumen de las principales normas y estándares alrededor de las Tecnologías de Información y Comunicaciones en la Auditoría. ENTIDAD
NORMA
DESCRIPCIÓN
SAS No 3
Efectos del procesamiento electrónico de
EMISORA AICPA
datos sobre el estudio y evaluación de los controles internos por parte del auditor AICPA
SAS No 48
Los
efectos
del
procesamiento
en
computador sobre el examen de los estados financieros AICPA
SAS No 94
El efecto de la Tecnología de información en la consideración del control interno del auditor, en una auditoria de declaraciones financieras
IFAC
ISA 401
Auditoría en un ambiente de sistemas de información por computador.
IFAC
Declaración
Ambientes de Sistemas de Información de
Internacional 1001
cómputo
(CIS)-Microcomputadoras
independientes. IFAC
Declaración
Ambiente de Sistemas de Información de
Internacional 1002
cómputo (CIS)-Sistemas de computadoras en línea.
IFAC
IFAC
IFAC
IFAC
ISACA
Declaración
Ambientes de Sistemas de Información de
Internacional 1003
cómputo (CIS)-Sistemas de base de datos
Declaración
Evaluación del riesgo y el control interno –
Internacional
Características
1008
Sistema de Información de cómputo (CIS)
Declaración
Técnicas de auditoria con
internacional 1009
computador.
Declaración
Comercio electrónico – efecto en la auditoria
Internacional 1013
de estados financieros
Guía 3
Uso de Técnicas de Auditoría Asistidas por
y
consideraciones
del
ayuda del
Computador IIA
Consejos práctica
para
la Debido cuidado profesional. Al ejercer el
1220-2, debido cuidado profesional el auditor interno
Norma relacionada debe 1220.A2
considerar
la
utilización
de
herramientas de auditoria asistidas por computador y otras técnicas de análisis de datos.
Fuente: Elaboración propia
Por su parte, la academia no ha estado al margen de la relación TIC-auditoría, y existe una posición de diversos autores como (Pinilla Forero, 1997;Loh, 2002; Cerullo & Cerullo,2003;Smieliauskas & Bewley,2010) quienes han planteado un enfoque para abordar el uso del computador por parte de los auditores, a partir de tres perspectivas: La auditoría alrededor del computador, la auditoría a través del computador y la auditoría con el computador.
La auditoría alrededor del computador (Auditing around the computer), consiste en conciliar los documentos fuente asociados a las transacciones de entrada al computador con los resultados generados por este, mientras que el procesamiento realizado por la aplicación de computador es tratado como una caja negra (Braun & Davis,2003). Para Smieliauskas & Bewley (2010), fue el primer enfoque utilizado por los auditores, con la aparición del computador, y es adecuado su uso si los controles y el sistema de información proporcionan suficiente evidencia visible. Es el enfoque más simple de utilizar, en el cual se requieren bajos conocimientos en TIC, sin embargo, no es un enfoque adecuado para evaluar la efectividad de los controles en los sistemas de información.
La auditoría con el computador (Auditing with the computer), es asociado por autores como Cerullo & Cerullo (2003) y Smieliauskas & Bewley (2010) con el uso de software generalizado de auditoría (Generalized Audit Software, GAS), que consiste en utilizar el computador para desarrollar labores en las diferentes fases
del ciclo de auditoría, y cuenta con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de diferentes aplicaciones, algunas especializadas y otras que no tienen foco específico en auditoría, pero que cuentan con funciones que apoyan alguna de sus fases. La auditoría con el computador, hace un uso más intensivo de las herramientas tecnológicas que de las técnicas de auditoría propiamente dichas. Dentro de esta categoría, pueden encontrarse desde suites ofimáticas hasta herramientas especializadas en auditoría.
La auditoría a través del computador (Auditing through the computer), asociado directamente por Smieliauskas & Bewley (2010) a las CAATT propiamente dichas, está inscrito en las técnicas que requieren probar controles automatizados, consiste en que el auditor evalúa la tecnología para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad operacional de los controles relacionados con el computador, según aseguran Louwers et al. (2011). A diferencia de los dos anteriores, las técnicas que hacen parte de la auditoría a través del computador, tratan de permear la tecnología, para evaluar los controles inmersos en esta y hace un uso más intensivo de las técnicas que de las herramientas tecnológicas, las cuales pueden ser automatizadas por los mismos auditores que cuenten con conocimientos profundos de tecnología, o con el apoyo del área de tecnología de información, aunque en ocasiones no es muy recomendable debido a la pérdida de independencia que puede generar.
En general todos los tipos de auditoría y todos los tipos de auditores pueden tomar ventaja de las técnicas y herramientas de auditoría asistidas por computador para ser más eficientes y efectivos (Senft & Gallegos, 2009).
3. La auditoría continúa. El paradigma de la auditoría basada en TIC 3.1.
Conceptos y aclaraciones.
La Auditoría Continua, también llamada auditoria continua en línea, tiene varias acepciones en la literatura académica y profesional, sin embargo, la más reconocida es la planteada en 1999, por el Instituto Americano de Contadores Públicos Certificados (The American Institute of Certified Public Accountants (AICPA)) y el Instituto Canadiense de Contadores Públicos (The Canadian Institute of Chartered Accountants (CICA)) quienes la definen como una metodología para la emisión de informes de auditoría simultáneamente, o un corto periodo de tiempo después de la ocurrencia de los hechos relevantes (Searcy, Woodroof, & Behn, 2003).
Como complemento, existen dos definiciones alternas, que permiten dar una visión más amplia de la Auditoría continua, para no limitarnos tan solo a la fase de informes. La primera planteada por el Instituto de Auditores internos (IIA), a través de su Guía de Auditoría de Tecnología Global número 3, quien la define como “Todo método utilizado por los auditores para realizar actividades relacionadas con la Auditoría en forma (más) continua. Es la secuencia de actividades que abarcan desde la evaluación continua de control hasta la evaluación continua de riesgos”. (Coderre, 2005,7)
Por su parte la Asociación de Control y Auditoría de Sistemas de Información (ISACA), en la directriz número 42 de auditoría de sistemas de información, define la Auditoría Continua como un método para llevar a cabo evaluación de riesgos y controles, sobre una base más frecuente. Es un método que utiliza técnicas de auditoría asistidas por computador que permite a los profesionales de auditoría monitorear los riesgos y controles en forma continua. Este enfoque permite reunir evidencia selectiva de auditoría a través del computador (ISACA, 2010).
Retomando los conceptos planteados previamente y a fin de contar con una definición incluyente en cada una de las etapas de un ciclo de auditoría, se puede afirmar que La Auditoría Continua es un proceso a través del cual los auditores (de cualquier tipo) desarrollan su ciclo de auditoría de forma más oportuna y de manera constante con el apoyo de las TIC, utilizando técnicas de auditoría concurrentes para evaluar y monitorear permanentemente la ocurrencia de riesgos y el incumplimiento de controles de aquellos procesos de negocio que utilizan de manera intensiva las TIC para su desarrollo.
Concomitante con lo anterior, es necesario diferenciar el concepto de Auditoría Continua con otros conceptos similares que en ocasiones generan confusión y que es necesario delimitar para no incurrir en equivocaciones.
Inicialmente, el término Auditoría Continua es asociado indistintamente con monitoreo continuo y aunque las técnicas y tecnologías empleadas son las mismas, su principal diferencia radica en la propiedad de los procesos. La Auditoría Continua
es responsabilidad del área de auditoría, mientras que el monitoreo continuo es responsabilidad de la administración o de los dueños del proceso.
De otro lado, términos como monitoreo continuo del control (Continuous Control Monitoring –CCM-), aseguramiento continuo de datos (Continuous Data Assurance –CDA-) y monitoreo y evaluación continuo del riesgo (Continuos Risk Monitoring and Assessment –CRMA-), están estrechamente relacionados, y como lo plantea Vasarhelyi, Alles, & Williams (2010), es un ciclo, como se puede apreciar en la figura 2, que inicia con la adecuada identificación, monitoreo y evaluación de riesgos (CRMA), el cual requiere de un flujo constante de datos con ciertos criterios de calidad, a través de procesos de aseguramiento (CDA), que permiten establecer procesos de Monitoreo continuo del Control (CCM) en respuesta a los riesgos; y dentro de este ciclo, la Auditoría Continua, juega un papel importante para garantizar que estos tres componentes cumplan su función y puedan fluir para dar respuesta oportuna a los eventos adversos que pueden ocurrir en una organización. Figura 2. Principales Componentes de la Auditoría Continua
Fuente: (Vasarhelyi et al., 2010)
3.2.
Breve historia
De acuerdo con Blundell (2007), la Auditoría Continua(AC) no es un concepto totalmente nuevo, ni tampoco es un concepto ampliamente implementado en las organizaciones. El término AC, ha sido explorado en los círculos de auditoría interna desde la década de los 70 (Heffes, 2006), pero fue tratado de manera específica, por primera vez en 1975 por William Sprague en un artículo titulado “Interim Financial reporting and continuous auditing” publicado en el CPA Journal (Murcia, 2008), aunque algunos autores plantean que los primeros papers publicados fueron los de Groomer y Murthy en 1989 y los de Vasarhelyi y Halper en 1991(Kogan et al., 2010).
Tanto la academia como el sector productivo, han sido impulsores permanentes de la evolución de la Auditoría Continua. La comunidad académica a través de
múltiples
artículos
científicos
y
conferencias
divulgadas
en
congresos
internacionales, destacándose autores como Miklos Vasarhelyi (considerado el padre de la Auditoría continua), Michael Alles , David Coderre, Alexander Kogan, Huanzhuo Ye; Centros de investigación como el “Continuous Auditing & Reporting Lab” (CARLAB) de la Universidad de Rutgers y eventos de difusión de avances y experiencias en Auditoría continua como el “World Continuous Auditing and Reporting Systems Symposium” desarrollado por la Universidad de Rutgers, a través del CARLAB, algunos de los cuales han sido desarrollados en Latinoamérica, en el marco de la International Conference on Information Systems and Technology Management (CONTECSI) liderada por la Universidad de Sao Paulo. Por su parte en el sector productivo, organizaciones como AT&T, Siemens, HCA y UNIBANCO han sido pioneras en la implementación de procesos de Auditoría continua, hasta las agremiaciones de profesionales de contadores y auditores a nivel internacional, quienes han promulgado estándares y guías alrededor del tema.
Un resumen de los sucesos más significativos en el desarrollo y difusión de la Auditoría Continua, desde sus inicios exploratorios en 1970, y que han marcado el desarrollo de la Auditoría continua a nivel internacional se puede observar en la figura 3.
Figura 3. Eventos destacados de la Auditoría Continua
Fuente: (Valencia Duque, 2012)
3.3.
Auditoría continua vs auditoría tradicional
Son diversas las fuentes que han planteado la existencia de un nuevo paradigma de auditoría en un contexto cada vez más influenciado por las Tecnologías de Información y Comunicaciones. Es así como (ACL, 2005) establece lo siguiente: La Auditoría Continua modifica el paradigma de la auditoría, dejando de ser una mera revisión de ejemplos de transacciones para transformarse en procedimientos continuos de auditoría que evalúen el 100% de las transacciones, transformando la naturaleza de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo.
En la siguiente tabla, se plantea un paralelo entre la Auditoría tradicional y la Auditoría continua, desde 7 dimensiones.
Tabla 3. Paralelo entre la Auditoría Tradicional y la Auditoría Continua. AUDITORÍA TRADICIONAL
CONTINUA
1. FRECUENCIA Periódica
Continua ó más frecuente
2. ENFOQUE Reactivo
Proactivo
3. PROCEDIMIENTOS DE AUDITORÍA Manuales
Automatizados
4. TRABAJO Y ROL DE LOS AUDITORES La
mayor
parte
del
trabajo La mayor parte del trabajo realizado se
desarrollado está centrado y es centra en el manejo de excepciones y intensivo en los procedimientos de procedimientos de Auditoría que requieren Auditoría
el juicio humano El papel del auditor externo se convierte en
Roles independientes del auditor el certificador del Sistema de Auditoría interno y del auditor externo
Continua
5. NATURALEZA, OPORTUNIDAD Y ALCANCE 5.1. NATURALEZA
Las
pruebas
consisten
en Las pruebas consisten en monitoreo de
procedimientos de revisión analíticos controles continuo y aseguramiento de y pruebas detalladas sustantivas
datos continuo
5.2. OPORTUNIDAD Las pruebas de controles y las El monitoreo de los controles y las pruebas pruebas detalladas se producen de detalladas ocurren simultáneamente forma independiente 5.3. ALCANCE Muestreo en las pruebas
La población entera se considera en las pruebas
6. PRUEBAS Pruebas
desarrolladas
por
personas
las El modelado de datos y el análisis de datos son usados para monitorear y probar
7. INFORMES Periódicos
Continuos o muy frecuentes
Fuente: (Chan & Vasarhelyi, 2011)
McNamee en
su texto “Risk Management: Changing the Internal Auditor´s
Paradigm” editado por el IIA Research Foundation, referenciado por (Texeira, 2009), plantea dos paradigmas de Auditoría, llamadas simplemente Viejo y Nuevo paradigma, caracterizando en este último, aspectos de la Auditoría continua, como se puede observar en la siguiente tabla.
Tabla 4. Paralelo de dos paradigmas de la Auditoría Continua ASPECTO
DE VIEJO PARADIGMA
NUEVO
AUDITORÌA
PARADIGMA
Foco de la Auditoría Control Interno
Riesgos de Negocio
Interna Respuesta
de
la Reactiva,
Auditoría Interna
después
hechos,
de
los Proactiva, en tiempo
discontinua, real,
monitoreo
observadora de las iniciativas continuo, participante del plan estratégico
en
los
planes
estratégicos Evaluación de riesgos
Factores de riesgo
Planeamiento
de
escenarios Pruebas de Auditoría
Controles Importantes
Riesgos importantes
Métodos de Auditoría
Énfasis en las pruebas de Énfasis control detalladas y completas
en
importancia
la y
el
alcance de que los riesgos del negocio estén cubiertos Recomendaciones de Control Auditoría
Interno: Gestión de Riesgos:
Fortalecimiento,
Evitar/diversificar
Costo/Beneficio,
riesgo
Eficiencia/Eficacia
Compartir/Transferir el riesgo
el
Controlar/Aceptar
el
riesgo Informes de Auditoría
Dirigida
a
los
funcionales Papel Interno
del
Auditor Función en
de los procesos. de
la Independiente.
Organización
controles Dirigida a los riesgos
Evaluación Integración
de
la
gestión de riesgos en el
gobierno
de
la
organización Fuente: (Texeira, 2009)
Por último, (Chan & Vasarhelyi, 2011) plantean tres componentes estructurales, en el análisis de la Auditoría continua, frente a la tradicional: la naturaleza, el tiempo y la extensión de las pruebas. Con respecto a la naturaleza, plantean los autores que, en una Auditoría tradicional, el control es manual y las pruebas sustantivas detalladas son desarrolladas periódicamente para evaluar las afirmaciones de la administración. Por el contrario en la Auditoría continua, el monitoreo del control es continuo y automatizado y se requiere un aseguramiento continuo de los datos. En lo que respecta al tiempo, generalmente en la Auditoría tradicional las pruebas de control interno ocurren en la planeación y las pruebas sustantivas detalladas ocurren en la fase de trabajo de campo de la Auditoría. Por el contrario, el monitoreo de los controles internos y las pruebas de los datos de las transacciones ocurren simultáneamente en un ambiente de Auditoría continua. En lo atinente a la extensión de las pruebas, en una Auditoría tradicional, se usa el muestreo, debido a lo
intensivo en tiempo y mano de obra que requieren las pruebas. En contraste, una auditoria continua considera a toda la población de transacciones en el monitoreo y las pruebas.
4. Propuesta de una metodología integrada de Auditoría Continua.
Se han desarrollado a través del tiempo diversas formas de llevar a cabo una Auditoría Continua, denominados por diferentes autores como modelos, metodologías, esquemas o casos, como se puede observar en la tabla 5. Muchos de ellos son modelos teóricos, otros están orientados a presentar experiencias de implementación en organizaciones, y otros son guías de orientación formuladas por las principales organizaciones que agrupan los auditores y contadores a nivel internacional.
Tabla 5. Modelos, guías, esquemas y casos de Auditoría Continua Año 1989 1991 2001 2002 2002 2003 2004 2004 2005 2005 2005 2005 2006
Modelo/Guía/Esquema/Caso de Auditoría Continua Modelo de Groomer and Murthy CPAS –The Continuous Process Auditing System Modelo Woodroof Modelo Rezaee Auditoría continua en el gobierno Chino Modelo Onions Hospital corporation of America (HCA). A continuous auditing web services model for XML-based accounting systems Model for Transaction-based continuous auditing Modelo RCMP Modelo IIA Embedded Audit Modules in ERP Systems: Implementation and Functionality Modelo CMBPC
2007 Continuous Auditing From a Practical Perspective 2007 Continuous Auditing Model in the context of independent audits. A Theoretical and Technical Model of an external Continuous Auditing 2007 System A Theoretical and Technical Model of an external Continuous Auditing 2007 System 2008 Modelo WSCAM 2008 AUDIT SERVER 2008 On Application of SOA to Continuous Auditing CAIMOR – Continuous Auditing Immune Model based on Object-Oriented 2010 Rule base 2010 Six Steps to an Effective Continuous Audit Process 2010 Auditoría Continua: Mejores Prácticas y Caso Real 2010 G42 CONTINUOUS ASSURANCE 2010 Modelo del Instituto de Contadores Pùblicos de Australia 2011 Modelo CRCA (Continuous Risk and Control Assurance) 2011 Innovation and practice of continuous auditing 2011 Metodología Mainardi 2013 The Predictive Audit Framework 2014 Guía para implantar con éxito un modelo de Auditoría Continua Fuente: Elaboración propia.
Y son precisamente estas últimas las que servirán de base para la construcción de una metodología integrada que permita desarrollar un proceso de Auditoría Continua basado en la homogeneización de las principales fases y actividades propuestas por las principales entidades que agrupan a auditores y contadores de todo el mundo: El Instituto de Auditores Internos (IIA global), La Asociación de Control y Auditoría de Sistemas de Información (ISACA), El Instituto de Contadores Públicos de Australia (The Institute of Chartered Accountants in Australia) y se ha incluido el Instituto de Auditores Internos de España, con su reciente publicación de la Fabrica del pensamiento.
El Instituto de Auditores Internos (IIA) en 1995 como parte de sus guías de Auditoría de Tecnología, difundió la guía número 3, denominada “Continuous Auditing: Implications for Assurance, Monitoring, and Risk Asessment” cuyo resumen se puede observar en la tabla 6, y a través de la cual se identifica qué se debe hacer para lograr un uso eficaz de la tecnología a favor de la Auditoría Continua. Esta guía se encuentra actualmente en proceso de actualización y está disponible para los profesionales de Auditoría afiliados al IIA. Tabla 6. Pasos clave del modelo de Auditoría Continua del Instituto de Auditores Internos. 1. OBJETIVOS DE LA AUDITORÍA CONTINUA 1.1. Definir los Objetivos de Auditoría Continua 1.2. Obtener y gestionar el respaldo de la alta dirección 1.3. Determinar el grado en que la dirección está cumpliendo su función de supervisión 1.4. Identificar y establecer prioridades entre las áreas a abordar y los tipos de Auditoría Continua a realizar 1.5. Identificar sistemas de información clave y fuentes de datos 1.6. Comprender los sistemas de aplicación y los procesos subyacentes de negocio 1.7. Desarrollar relaciones con la gestión de TI 2. USO Y ACCESO A DATOS 2.1. Seleccionar y adquirir herramientas de análisis 2.2. Desarrollar capacidades de acceso y análisis 2.3. Desarrollar y mantener técnicas y habilidades de análisis del auditor. 2.4. Evaluar la integridad y fiabilidad de los datos 2.5. Depurar y preparar los datos 3. EVALUACIÓN CONTINUA DE RIESGOS 3.1. Definir las entidades a evaluar 3.2. Identificar categorías de riesgos 3.3. Identificar indicadores de riesgo/desempeño controlados por datos 3.4. Diseñar pruebas analíticas para medir mayores niveles de riesgo 4. EVALUACIÓN CONTINUA DEL CONTROL 4.1. Identificar puntos de control críticos 4.2. Definir reglas de control 4.3. Definir excepciones
4.4. Diseñar un enfoque tecnológico para pruebas de control y para identificar deficiencias. 5. INFORMAR Y GESTIONAR RESULTADOS 5.1. Establecer prioridades y determinar la frecuencia de las actividades de Auditoría Continua 5.2. Ejecutar pruebas de manera regular y oportuna 5.3. Identificar deficiencias de control o mayores niveles de riesgo 5.4. Establecer prioridades entre los resultados 5.5. Iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección 5.6. Gestionar resultados (rastreo, informe, supervisión y seguimiento) 5.7. Evaluar los resultados de las acciones implementadas 5.8. Supervisar y evaluar la eficacia del proceso de Auditoría Continua (tanto el análisis, por ejemplo, reglas e indicadores, como los resultados obtenidos) y modificar los parámetros de pruebas, según sea necesario. 5.9. Garantizar la seguridad del proceso de Auditoría continua y asegurar que existan las vinculaciones correspondientes con las iniciativas de dirección, como por ejemplo, la ERM, la supervisión y medición del desempeño. Fuente: (IIA, 2005b)
La Asociación de Control y Auditoría de Sistemas de Información (ISACA), liberó en el año 2010, como parte de sus guías de auditoría, la guía 42 denominada “Continuous Assurance” cuyo resumen se puede observar en la tabla 6, a través de la cual se pretende dar orientaciones a los profesionales en Auditoría, Control y Gobierno
de
Tecnologías
de
Información
alrededor
de
la
planeación,
implementación y monitoreo de los procesos y sistemas de aseguramiento continuo en una empresa. Es importante recordar que ISACA promulga tres tipos de documentos que orientan la función del auditor de sistemas: los estándares, los cuales son obligatorios en el cumplimiento de la función de Auditoría de sistemas (en especial para el auditor que cuenta con la certificación internacional CISA); las guías o directrices, las cuales proporcionan asesoría y apoyo en la aplicación de los estándares de Auditoría de sistemas; y los Procedimientos, proporcionan ejemplos
de procedimientos que puede seguir un Auditor de Sistemas para cumplir con los estándares. Tabla 7. Fases de la Auditoría Continua de acuerdo a ISACA 1. Priorizar las áreas a cubrir y seleccionar un enfoque adecuado de Auditoría Continua la disponibilidad de personal clave del cliente. 2. Asegurar 3. Seleccionar la herramienta de análisis adecuada, estas podrían ser rutinas escritas en la empresa o software proporcionado por un proveedor. 4. Desarrollar rutinas de Auditoría Continua para evaluar controles e identificar las deficiencias. 5. Determinar la frecuencia de la aplicación de rutinas de Auditoría Continua. 6. Definir los requisitos de salida. 7. Desarrollar un proceso de reportes. 8. Establecer relaciones con la línea relevante y la gestión de TI. 9. Evaluar la integridad de los datos y preparar los datos. 10. Determinar las necesidades de recursos, es decir, el personal, el ambiente de procesamiento (instalaciones de la empresa de TI o instalaciones de la auditoría de TI). 11. Entender la medida en la cual la administración está llevando a cabo su función de supervisión (monitoreo continuo). Fuente: (ISACA, 2010)
El Instituto de Contadores Públicos de Australia (The Institute of Chartered Accountants in Australia) liberó en Julio de 2010, un documento titulado “Continuous Assurance for the Now Economy” cuyo objetivo, como lo plantea en su prólogo, es promover la discusión sobre el aseguramiento continuo como un concepto, y en donde no solo las profesiones de contador y auditor se encuentran involucrados, sino otras instancias tales como los organismos de normalización, los reguladores, los usuarios gubernamentales y demás stakeholders relacionados con este concepto. Figura 3. Fases de Auditoría Continua, de acuerdo al Instituto de Contadores Públicos de Australia.
Fuente: (Vasarhelyi et al., 2010, 59)
Por último, el Instituto de Auditores Internos de España, en Octubre de 2014 dio a conocer a través de su programa “La Fábrica del Pensamiento” un documento titulado “Guía para Implantar con éxito un modelo de Auditoría Continua” donde se presenta a la comunidad de auditores un esquema de implementación del modelo de Auditoría continua de acuerdo a la cultura de cada entidad.
Tabla 8. Fases de Auditoría Continua de acuerdo al Instituto de Auditores Internos de España.
1.1. 1.2. 1.3. 1.4. 1.5. 2.1. 2.2.
1. Arranque del Proyecto Definición de Objetivos Estrategia de desarrollo de indicadores Impactos en la organización Costes y Presupuesto Presentación del proyecto a la Dirección 2. Diseño de la plataforma Arquitectura Inicial Indicadores iniciales, parámetros y pesos
1. Arranque del Proyecto 2.3. Herramienta Comercial/Desarrollo Interno 3. Desarrollo 3.1. Atributos de la Información Recopilada 3.2. Desarrollo de la plataforma/ Adaptación herramienta comercial 3.3. Conexión con aplicaciones/repositorios 3.4. Conexión con otras herramientas 3.5. Gestión de incidencias 3.6. Pruebas 4. Despliegue 4.1. Implantaciòn 4.2. Comunicación a la Organización 4.3. Análisis tras el despliegue - Factores de éxito y fracaso. 5. Administración de la plataforma 6. Medición de la rentabilidad 7. Cambios en el Área de Auditoría Interna Fuente: (Instituto de Auditores Internos de España, 2014a)
4.1.
Armonización de los modelos de Auditoría Continua.
La Auditoría Continua se integra al proceso de auditoría en todos sus aspectos, desde el desarrollo y mantenimiento del plan de auditoría empresarial, hasta la realización y el seguimiento de auditorías específicas (Coderre, 2005), de allí que la armonización de las guías de Auditoría Continua propuestas por las organizaciones antes mencionadas, pretende establecer los elementos comunes alrededor de las fases generalmente aceptadas de auditoría, a fin de realizar una aproximación a un guía genérica que integre los elementos generalmente propuestos en cada uno de ellos y disminuya la complejidad para el área de auditoría de atender varios modelos al momento de emprender el proceso de implementación.
Para lograrlo, se llevará a cabo la siguiente metodología:
-
Definición del modelo base
-
Análisis de cada una de las actividades propuestas por las diferentes guías
-
Relación de cada actividad con el modelo base
-
Conteo número de veces en que se presenta la actividad en los modelos de referencia.
-
Estimación porcentual del número de veces en que se presenta la actividad, sobre el número de modelos objeto de análisis.
El resultado del cálculo porcentual, es lo que denominaremos índice de cohesión, cuyo significado determina la similitud metodológica que tienen en general todos los modelos, con el modelo base de referencia y que servirá de base para establecer la metodología de Auditoría Continua a proponer.
Estos valores utilizarán como base de interpretación, la escala de calificación planteada por (Pino, Baldassarre, Piattini, & Visaggio, 2010) dada la similitud del proceso y se complementará con su significado en función de la inclusión o no en el modelo de referencia y la asignación de colores a cada nivel para una visualización más amigable, como se puede apreciar en la tabla 8. Tabla 9. Niveles de valoración del índice de cohesión de los modelos. Nivel
Rango del índice
Nivel de
Decisión de
de cohesión
relacionamiento
inclusión como parte del modelo.
MUY ALTO
ALTO
PARCIAL
86-100%
51-85%
21-50%
Fuertemente
Incluir como parte
relacionado
del modelo.
Relacionado en gran Incluir como parte medida
del modelo.
Parcialmente
Incluir como parte
relacionado
del modelo.
DEBIL
SIN
1-20%
0%
Débilmente
No
Incluir
relacionado
parte del modelo.
No relacionado
No
Incluir
como
como
parte del modelo. Fuente: Elaboración propia.
Una vez confrontados los 4 modelos guía de Auditoría Continua, los resultados por son los siguientes: ETAPA
FASE 1.1.Definición de personal, recursos clave y gestión de 1.Definición de competencias del auditor Recursos y Análisis de Costos 1.2.Evaluación de costos y beneficios 2.1.Obtener el respaldo de la alta dirección 2.Relaciones con 2.2.Estado actual del monitoreo la Administración continuo 2.3.Desarrollar relaciones con la gestión de TI 3.Plan Anual de Auditoría 3.1.Establecer áreas prioritarias 4.1.Comprender los procesos de negocio 4.2.Definición de Objetivos y alcance de Auditoría Continua 4.3.Identificar Riesgos e Indicadores de Riesgo 4.4.Identificar Controles e Indicadores de Control 4.5.Identificar y Comprender 4.Planeación Sistemas de Información clave Detallada 4.6.Conocer y comprender las fuentes de datos 4.7.Conexión con aplicaciones/repositorios 4.8.Depurar y preparar los datos 4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos
Índice de cohesión
Nivel de relación Parcial
50% Parcial 50% Alto 75% Parcial 50% Parcial 50% Alto 75% Parcial 50% Alto 75% Alto 75% Parcial 50% Parcial 50% Parcial 50% Parcial 25% 50%
50%
Parcial Parcial
4.10.Determinar la frecuencias de los procesos 4.11.Seleccionar y adquirir herramientas de análisis 5.1.Configurar los parámetros de aseguramiento continuo 5.Ejecución 5.2.Ejecutar pruebas de manera regular y oportuno para identificar excepciones 6.1.Supervisar permanentemente los Resultados de Auditoría 6.Comunicación Continua (Identificar desviaciones de Resultados o deficiencias de control) 6.3.Informar a la Dirección 7.1.Seguimiento a la implementación de las acciones recomendadas 7.Seguimiento 7.2. Garantizar la continuidad del proceso de Auditoría Continua. Índice promedio de cohesión
Alto 75% Alto 75% Parcial 25% Parcial 50% Alto
75% 100%
Muy Alto Parcial
50% Parcial 50% 58%
Alto
En resumen, el índice promedio de cohesión de las diferentes etapas y fases de los 4 modelos de auditoría analizados es de un 58%, lo que representa un nivel de cohesión alto, de acuerdo a los parámetros establecidos para tal fin, lo que permite establecer un modelo aplicable a cualquier organización, respaldado por las guías de las principales organizaciones que agrupan profesionales de auditoría y contaduría a nivel internacional.
4.2.
Aspectos relevantes a tener en cuenta en algunas fases del modelo de Auditoría Continua integrado.
Si bien el objetivo del presente ensayo, no es presentar en detalle cada una de las etapas y fases del modelo de Auditoría Continua integrado resultante, sino
demostrar el valor que puede llegar a agregar la Auditoría Continua para la función de auditoría en su búsqueda de competitividad y pertinencia, y para la organización en general, es necesario para el propósito del ensayo resaltar y explicar algunos aspectos que a juicio del autor son importantes tener en cuenta al momento de llevar a la práctica este modelo. Entre ellos se encuentran los siguientes:
4.2.1. Recursos clave para la Auditoría Continua
La norma 2030 Administración de recursos del IIA establece que el director ejecutivo de auditoría debe asegurar que los recursos de auditoría son apropiados, suficientes y eficazmente asignados para cumplir con los planes de auditoría, lo que incluye una mezcla adecuada de conocimientos, aptitudes y otras competencias requeridas.
Es necesario, que el área de auditoría, además de los recursos
tradicionales con que cuenta para desarrollar su labor y de acuerdo a su nivel de madurez y a su disponibilidad de recursos financieros, incorpore plataformas y herramientas tecnológicas especializadas que faciliten la labor de Auditoría Continua, en especial herramientas de software, que pueden ir
desde
complementos de las herramientas ofimáticas tradicionales tales como Power pivot pasando por software especializado en análisis de datos (ej. ACL, IDEA….) que si bien no cumple la labor específica de Auditoría Continua, puede ser el inicio del proceso; hasta llegar a las herramientas especializadas en Auditoría Continua (ej. Caseware monitor, ACL Auditexchange…), siendo estas últimas las más costosas del mercado. 4.2.2. Competencias del auditor para afrontar los retos de la Auditoría Continua
Los auditores requieren contar con las competencias necesarias para desarrollar la Auditoría Continua en la organización, lo que implica además de claridad conceptual y metodológica en el tema, requiere contar con competencias tecnológicas para desarrollar el proceso.
De acuerdo con el IIA (2005a), el Comité Internacional de Tecnología Avanzada del IIA, ha identificado tres categorías de conocimiento de TIC para los auditores internos: Categoría 1: Todos los Auditores: Es el conocimiento de TIC necesario para todos los auditores profesionales, desde las nuevas incorporaciones hasta el director de auditoría interna. El conocimiento de TIC abarca entender conceptos, como las diferencias en el software usado en aplicaciones, sistemas operativos y software de sistemas y redes. Esto implica entender los componentes básicos de seguridad de TI y de control, tales como seguridad perimetral, detección de intrusos, autenticación y controles de los sistemas de aplicación. El conocimiento básico incluye entender cómo los controles de negocio y los objetivos de aseguramiento pueden verse afectados por vulnerabilidades en las operaciones de negocio y lo relacionado con los sistemas de soporte y los componentes de redes y datos.
Es fundamental asegurar que los auditores tienen suficiente conocimiento para centrarse en el entendimiento de los riesgos de TI, sin necesariamente tener conocimientos técnicos significativos.
Categoría 2: Supervisores de Auditoría: Se aplica al nivel de supervisión de auditoría. Además de tener el conocimiento básico en TIC, los supervisores de auditoría deben entender los aspectos y elementos de TIC, de forma suficiente para considerarlos en las tareas de auditoría de planificación, pruebas, análisis, informe y seguimiento y en la asignación de las habilidades de los auditores a los proyectos de auditoría. Esencialmente, el supervisor de auditoría debe:
Entender
las
amenazas
y vulnerabilidades
asociadas
a
procesos
automatizados de negocio.
Entender los controles de negocio y la mitigación del riesgo que debe ser proporcionada por la TIC.
Planificar y supervisar las tareas de auditoría para considerar las vulnerabilidades y los controles relacionados con la TIC, así como la eficacia de la TI en la provisión de controles para las aplicaciones y entornos de negocio.
Asegurar que el equipo de auditoría tiene competencia suficiente, incluidas las habilidades en TIC, para las tareas de auditoría.
Asegurar el uso eficaz de las herramientas de TIC en los trabajos de auditoría y en las pruebas.
Aprobar los planes y las técnicas para probar los controles y la información.
Evaluar los resultados de las pruebas de auditoría para evidenciar las vulnerabilidades o debilidades de control de la TIC.
Analizar los síntomas detectados y relacionarlos con las causas que pueden tener su origen en el negocio o en la misma TIC, como planificación,
ejecución, operaciones, gestión de cambios, autenticación, u otras áreas de riesgo.
Proporcionar recomendaciones de auditoría basadas en los objetivos del aseguramiento del negocio, centrándose en los orígenes de los problemas observados, más que en divulgar simplemente los problemas o los errores detectados.
Categoría 3: Especialistas en Auditoría Técnica de TIC: Esta categoría aplica al especialista en auditoría de sistemas. Aunque los auditores de TIC pueden funcionar a nivel de supervisión, deben entender la tecnología subyacente que respalda a los componentes del negocio y estar familiarizados con las amenazas y vulnerabilidades asociadas a las tecnologías. Los auditores de TI también pueden especializarse en ciertas áreas de la tecnología.
Son los auditores los que pueden impulsar la Auditoría Continua en la organización y ello depende en gran medida de las competencias que en el ámbito tecnológico posean cada uno de los integrantes del equipo de auditoría.
4.2.3. Los beneficios de la Auditoría Continua La relación costo beneficio, siempre presente en las diferentes actividades de gestión de una organización, no es ajena a la Auditoría Continua, y si bien los costos de formación y actualización del personal de auditoría, sumados a los costos
tecnológicos pueden llegar a ser representativos, los beneficios obtenidos serán muy superiores en el mediano y largo plazo.
Los beneficios de la Auditoría Continua, como complemento de la labor tradicional de auditoría son múltiples, y muchos de ellos ya se han mencionado a lo largo del documento, sin embargo a efectos de compilar algunos de los más significativos se enuncian a continuación los siguientes:
Tabla 10. Cinco (5) formas de agregar valor de la Auditoría Continua 1. La ubicuidad del auditor El tiempo y espacio son dos variables que condicionan la función de auditoría. En este sentido la Auditoría Continua, una vez consolidada, permite que las tareas de auditoría se logren realizar en menor tiempo, obteniendo una mayor cobertura y una menor repitencia del proceso auditor, por el mayor nivel de efectividad en la identificación de riesgos y en la detección del incumplimiento de controles. De igual forma, el poder hacer presencia de forma simultánea en diferentes partes de la organización, sin necesidad de la presencia física del auditor, hace de la Auditoría Continua una potente herramienta de expansión de la función de aseguramiento. 2. Incremento de la efectividad del control La esencia del proceso auditor es evaluar la efectividad de los controles internos, y aunque esta labor se está cumpliendo, de acuerdo a lo establecido por PWC (2014) donde establece que el 80% de los directivos consideran que esta labor
se está cumpliendo, es menos cierto el tiempo en el cual perdura la efectividad del control, la cual se atenúa con el tiempo, sufriendo altibajos de acuerdo a la periodicidad de su revisión y a la tipología de control, como se puede observar en la Figura 3. La Auditoría Continua incrementa la efectividad de los controles, dada la tipología del control su frecuencia de revisión y la garantía que proporciona un control automático que no depende de una persona en particular.
Figura 1. Jerarquía de Controles. Desde la detección manual hasta la prevención automatizada
Fuente: Traducido de (Klein Tank, 2011) 3. Un auditor más analítico El auditor debe dejar de ser un profesional que dedica una gran parte de su tiempo a labores operativas, enfocadas en la búsqueda de evidencia que permita respaldar sus hallazgos de auditoría a ser un profesional más analítico que sea el
constructor de un control con mayor perdurabilidad, haciendo uso de su experiencia y delegando muchas de sus labores operativas a la Tecnología. Para ello debe mejorar sus competencias, incorporando no solo adecuados esquemas de identificación de riesgos en la estrategia de auditoría orientada a riesgos, sino en tener capacidades para el análisis de datos, lo que es corroborado por la encuesta de PWC (2014) donde establece como una de las áreas en las que se espera mayor participación por parte de los Auditores internos en “Big data y análisis de datos empresariales” con un 71.5% en promedio .
Un estudio reciente llevado a cabo por Lombardi, Bloch, & Vasarhelyi (2014), producto del consenso entre expertos, utilizando el método Delphi, en un periodo de seis (6) meses, concluye entre otros aspectos, “La automatización puede ser utilizada para tareas más tediosas, de manera que los auditores puedan usar su juicio experto para asuntos más apremiantes”(p. 29). 4. Disminución de la latencia entre los procesos organizacionales y los procesos de control La Auditoría continua disminuye la latencia existente entre el momento en que ocurre un evento adverso en la organización y el momento en que es detectado por el auditor. 5. Incremento del autocontrol Para explicar la forma como la Auditoría Continua aporta al autocontrol, se acudirá a una teoría desarrollada por el filósofo Jeremy Bentham, quien en 1791 acuño el término Panóptico, pensado inicialmente para reducir el costo de operación de las
cárceles británicas. El propósito de dicha teoría era la observación de los presos de una cárcel que superaban en número a los vigilantes de ésta, desde un punto único sin que estos se dieran cuenta. Una analogía interesante para explicar el autocontrol, si se tiene en cuenta que la implementación de la Auditoría Continua, provee un efecto panóptico sobre el control, al poder observar desde un punto único (la tecnología de Auditoría Continua) las acciones que desarrolla la administración, sin que estos se den cuenta. Sin embargo si se divulga la existencia de controles embebidos que están monitoreando constante los procesos organizacionales, seguramente aquellas personas que deseen cometer un fraude o incumplir reglas de control se inhibirán y ejercerán el autocontrol.
Como ejemplo de aplicación de este concepto, se puede acudir a los comparendos electrónicos, a través de los cuales los organismos de transito instalan cámaras en sitios estratégicos de la ciudad para detectar en línea y de forma electrónica aquellos infractores de tránsito, quienes al momento de conocer la ubicación de las cámaras en los diferentes puntos de la ciudad, se inhiben de cometer la infracción, por el comparendo que ello genera, creando conciencia e incrementando el autocontrol en los conductores.
4.2.4. Plan Anual de Auditoría continua
El plan anual de Auditoría Continua hace parte del plan anual de auditoría que debe elaborar la función de auditoría interna, y no es que sea otro plan independiente, es
parte del plan, tal como lo promulga el numeral 5 del consejo para la práctica 23204 sobre aseguramiento continuo del IIA, donde establece: ”el plan anual de auditoría debe identificar áreas potencialmente sujetas a Auditoría Continua”(IIA, 2013,1).
Un aspecto importante a considerar en esta fase es tratar de iniciar con un proyecto de Auditoría Continua, cuyos procesos hubieren sido auditados de forma tradicional previamente, y que hayan sufrido alguna transformación, debido a su automatización o informatización, dado el conocimiento que ya se tiene del proceso, de sus riesgos y de sus controles.
Para cumplir con este propósito se requiere establecer los criterios de Auditoría Continua para ser parte del plan, y si bien esto es propio de cada organización, se recomienda tener en cuenta las siguientes variables, además de las que son propias del plan anual de auditoría : nivel de automatización del proceso sujeto de control, nivel de importancia del proceso, nivel de importancia del riesgo, experiencia previa en la auditoría del proceso (como una alternativa evolutiva de los procesos actuales).
4.2.5. Identificación de los riesgos, controles y sus respectivos KRI y KCI
Siendo coherentes con el actual enfoque de auditoría, y dado que ya es una práctica generalizada por parte de la comunidad de auditores, se toma como base el enfoque RBA (Risk Based Approach), ello lleva a identificar los riesgos relacionados y la identificación a partir de ellos de los KRI (Key Risk Indicators) o indicadores claves
de riesgo, definido de forma general por el comité de organizaciones patrocinadoras de la comisión Treadway (COSO) a través de (Beasley, Branson, Hancock, & Landes, 2010) como métricas usadas por las organizaciones para proveer una señal temprana de incremento de la exposición al riesgo en varias áreas de la empresa; y definidos desde una perspectiva financiera por (Delfiner & Pailhé, 2008) como variables de carácter financiero u operacional que ofrecen una base razonable para estimar la probabilidad y severidad de uno o más eventos de riesgo operacional.
Los KRI tienen una cualidad muy específica que ningún otro programa de riesgo operacional ofrece y es información sobre la exposición al riesgo en “tiempo real”, similar a la forma en que el combustible, la presión de aceite, los indicadores de temperatura del motor y el velocímetro de un coche proporcionan información vital acerca de la seguridad en un viaje por carretera, y los KRI son el único mecanismo de gestión para obtener información en tiempo real, necesaria para realizar los ajustes cuando se requieran. Esto es esencial para el logro de los objetivos de negocio y la seguridad de la organización (KRIEX, 2015). Lo anterior conlleva a que los KRI deben estar asociados a datos que son gestionados por sistemas de información.
Uno de los sectores que más ha desarrollado este tema es la industria bancaria, quienes a través una iniciativa denominada “KRI Library and Services” reúne información referida a KRI de las entidades participantes, y cuyo marco de referencia y KRI’s puede ser consultada en http://www.kriex.org/.
En general existen dos tipos de KRI, predictivos y detectivos, los primeros están basados en información histórica y modelos de regresión y correlación que pueden generar tendencias a través del cual se generarán las alarmas respectivas, de acuerdo a los umbrales definidos. Los KRI detectivos son más puntuales y están basados en el aspecto puntual que genera la alarma bajo el umbral definido.
Con respecto a los controles, es importante tener en cuenta que el control es una variable dependiente del riesgo, es decir, la razón de ser de los controles es aportar en la mitigación del riesgo, por lo tanto se deben identificar los controles, con base en los riesgos y a partir de los controles identificar los KCI (Key Control Indicators) definidos como indicadores que miden el posible incumplimiento de un control, de forma tal que el deterioro de una KCI puede indicar un incremento en la probabilidad o impacto de un riesgo.
4.2.6. Diseño y desarrollo de rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos.
Para el diseño de las rutinas de auditoría que se implementaran sobre el sistema objeto de análisis, existen dos métodos tradicionalmente usados en los diferentes modelos de Auditoría Continua: el primero denominado Módulos embebidos de auditoría (EAM por sus siglas en inglés, de Embedded Audit Modules) y el segundo como una capa de monitoreo y control externa denominada (MCL por sus siglas en inglés, de Monitoring and Control Layer).
El método de módulos embebidos de auditoría (EAM), consiste en insertar código de control en el sistema de información que soporta el proceso de negocio que es objeto de auditoría, el cual se puede albergar como parte del código del sistema de información o en la capa de base de datos en el cual se soporta el sistema de información.
La Capa de Monitoreo y Control es una solución de software independiente, no integrada con el sistema de información, para lo cual se usa middleware para extraer datos y realizar análisis, frente a unas reglas previamente definidas (Best, Rikhardsson, & Toleman, 2009), este enfoque surgió como una alternativa a EAM, propuesto por una gran cantidad de modelos. Este tipo de técnica, es un módulo de software que opera de forma independiente al sistema objeto de monitoreo.
La selección de uno u otro método depende del nivel de acceso que podemos tener al sistema de información, de la disponibilidad del código fuente y del tipo de equipo auditor con que se cuenta. Sin embargo, el método más utilizado actualmente por la arquitectura con la cual se construyen los sistemas de información y por las complejidades de diversa índole, que conlleva acceder al código fuente de una aplicación, en cualquier organización, es el MCL.
5. Conclusiones
El ensayo pone de manifiesto los planteamientos realizados por diferentes estudios acerca de los retos y expectativas que generan las Tecnologías de Información y Comunicaciones para agregar valor a la función de auditoría. En contraste se realiza una breve retrospectiva de las normas y las posiciones académicas acerca de cómo las TIC han venido siendo incorporadas en la función de auditoría, para finalmente y una vez establecidas las bases de lo que es considerado por algunos autores como el nuevo paradigma de auditoría, proponer un modelo de Auditoría Continua que integre las 4 guías de auditoría continua propuestas por el IIA global, ISACA, el Instituto de Contadores públicos de Australia y el Instituto de Auditores Internos de España, con el fin de presentar un modelo guía unificado que facilite la labor de las áreas de auditoría, ante la proliferación de modelos, y pueda agregar el valor esperado y la integración entre la auditoría continua y el monitoreo continuo, con el efecto panóptico esperado.
A partir de esta integración de conceptos se puede concluir lo siguiente:
1. La sociedad moderna impone constantemente la necesidad de cambios, cambios innovadores que agreguen valor y que se ajusten a las realidades que impone el medio a las organizaciones, y la Auditoría Continua es uno de esos cambios necesarios y requeridos que adecuadamente implementados y de manera progresiva, llevarán a la función de auditoría a agregar valor y alinearse con los retos tecnológicos que afrontan las organizaciones.
2. El futuro de la auditoría depende en gran medida del aprovechamiento del poder de la tecnología, y el concepto de Auditoría Continua explota al máximo las posibilidades que proporciona la tecnología, sin embargo, se debe concebir como una forma alterna y a la vez complementaria de la auditoría tradicional, concebida no simplemente como una serie de técnicas modernas basadas
en
tecnología,
sino
como
un
concepto
que
potencia
tecnológicamente todas las fases de auditoría. 3. La auditoría continua debe ser concebida como un modelo complementario y no sustituto de la auditoría tradicional, por lo que puede ser incorporado como parte del Plan Anual de Auditoría que desarrolla cualquier organización. 4. Existe un alto nivel de integración entre las cuatro (4) guías de auditoría continua propuestas por las entidades que sumados sus miembros representan la mayor cantidad de profesionales de auditoría en el mundo, y como tal la guía final puede ser aplicada, con la garantía que integra las mejores prácticas de Auditoría Continua. 5. La búsqueda del autocontrol puede avanzar a partir del efecto panóptico esperado que representa la implementación de la Auditoría Continua y su integración al monitoreo continuo.
BIBLIOGRAFIA.
ACL. (2005). Auditoría permanente: Implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos. Baksa, R., & Turoff, M. (2010). The Current State of Continuous Auditing and Emergency Management ’ s Valuable Contribution. In 7th International ISCRAM Conference (pp. 1–10). Beasley, M. S., Branson, B. C., Hancock, B. V, & Landes, C. (2010). Developing Key Risk Indicators To Strengthen Enterprise Risk Management. Risk Management. COSO. Retrieved from http://www.coso.org/documents/COSOKRIPaperFullFINALforWebPostingDec110.pdf Best, P. J., Rikhardsson, P., & Toleman, M. (2009). Continuous Fraud Detection in Enterprise Systems through Audit Trail Analysis. Journal of Digital Forensics, Security and Law, 4(1), 39–61. Blundell, A. (2007, July). Continuous auditing technologies and models. Computers & Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964 Braun, R. L., & Davis, H. E. (2003). Computer-assisted audit tools and techniques: analysis and perspectives. Managerial Auditing Journal, 18(9), 725–731. doi:10.1108/02686900310500488 Cerullo, M. V., & Cerullo, M. J. (2003). Impact of SAS No. 94 on Computer Audit Techniques. Information Systems Control Journal, 1(94). Chan, D. Y., & Vasarhelyi, M. A. (2011). Innovation and practice of continuous auditing. International Journal of Accounting Information Systems, 12(2), 152– 160. doi:10.1016/j.accinf.2011.01.001 Delfiner, M., & Pailhé, C. (2008). Técnicas cualitativas para la gestión del riesgo operacional. González Tallón, J. M. (2011). ¿ Puede la auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría ? Auditoría Pública, 54, 33 – 42. Retrieved from http://www.auditoriapublica.com/hemeroteca/Pag 33-42 no 54.pdf Heffes, E. (2006). Theory to practice; continuous auditing gains. Financial Executive, 17–18. Retrieved from http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Theory+to+P ractice:Continuous+Auditing+Gains#0
IIA. (2005a). GTAG 1. Controles de Tecnología de la Información (No. 1a Edición). Altamonte Springs (Florida). IIA. (2005b). Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment. The Institute of Internal Auditors. IIA. (2013). Practice Advisory 2320-4 : Continuous Assurance. Retrieved from https://na.theiia.org/standards-guidance/Member Documents/PA_2320-4.pdf Instituto de Auditores Internos de España. (2014a). Guía para implantar con éxito un modelo de Auditoría Continua. Instituto de Auditores Internos de España. (2014b). Retos y Expectativas de Futuro para la Auditoría Interna de las Entidades de Crédito Retos y Expectativas de Futuro para la Auditoría Interna de las Entidades de Crédito. ISACA. (2010). IS Auditing Guideline: G42 Continuous Assurance. ISACA. Retrieved from http://www.isaca.org/KnowledgeCenter/Standards/Documents/G42-Continuous-Assurance-18Feb10.pdf Klein Tank, K. (2011). Continuous Auditing & Continuous Monitoring in a Broader Perspective The Performance Management Potential of CA & CM. Risk Management. University of Twente. Kogan, A., Alles, M. G., & Vasarhelyi, M. A. (2010). Analytical Procedures for Continuous Data Level Auditing : Continuity Equations. Accounting and Finance. KPMG. (2013). Encuesta Global a directores miembros de Comités de Auditoría. Retrieved from www.kpmg.com/aci KPMG, & Instituto de Auditores Internos de España. (2015). Visión 2020. Desafìos de Auditorìa Interna en el horizonte 2020. KRIEX. (2015). Setting Up a Key Risk Indicator Program. Retrieved from http://www.kriex.org/Public.KRIServices.aspx Loh, S. (2002). Using Continuous Assurance to Detect Fraud in e-commerce Transactions. Design. The University of New South Wales. Lombardi, D., Bloch, R., & Vasarhelyi, M. A. (2014). The future of Audit. Journal of Information Systems and Technology Management, 11(1), 21–32. Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., & Thibodeau, J. (2011). Auditing & Assurance Services (4th ed.). New York: McGraw-Hill.
Millage, A. (2014). La Auditoría Interna en el 2015. Nota del Editor. Internal Auditor, LXXI(VI). Murcia, F. D. (2008). Continuous Auditing : A Literature Review Auditoria Contínua : uma revisão da literatura. Organizações Em Contexto, 4(7), 1–17. Pinilla Forero, J. D. (1997). Auditoría de Sistemas en funcionamiento (1a ed., p. 278). Santafé de Bogota: ROESGA. Pino, F. J., Baldassarre, M. T., Piattini, M., & Visaggio, G. (2010). Harmonizing maturity levels from CMMI-DEV and ISO/IEC 15504. Journal of Software Maintenance and Evolution: Research and Practice., (22), 279–296. doi:10.1002/spip Protiviti. (2014). Assessing the Top Priorities for Internal Audit Functions. PWC. (2014). Estudio sobre el estado de la profesiòn de Auditorìa Interna de 2014. Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations, benefits, problems, and challenges identified by partners of a Big 4 accounting firm. In 36th Annual Hawaii International Conference on System Sciences (Vol. 00, pp. 1–10). Ieee. doi:10.1109/HICSS.2003.1174565 Senft, S., & Gallegos, F. (2009). Information Technology Control and Audit (3a ed., p. 767). Taylor & Francis Group LLC. Smieliauskas, W., & Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach (5th ed., pp. 1–28). Retrieved from http://highered.mcgrawhill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdf Texeira, C. R. (2009). A Importância atribuída pelos Empresários da da Rocha Alves da Silva Grande Lisboa ao Controlo Interno. Thomson Reuters. (2014). State of Internal Audit Survey 2014 – Adapting to Complex Challenges? Thornton, G. (2011). Looking to the future : Perspectives and trends from internal audit leaders. Risk Management (p. 20). Valencia Duque, F. J. (2012). La Auditorìa Continua, gènesis, evoluciòn, estado actual y aplicaciòn en el sector pùblico Colombiano. In Congreso Latinoamericano de Auditoría Interna 2012. Asunciòn (Paraguay): Federaciòn Latinoamericana de Auditorìa Interna.
Vasarhelyi, M. A. (1984). Automation and changes in audit process. Auditing: A Journal of Practice & Theory, 4(1). Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010). Continuous Assurance for the Now Economy (First Edit.). Sidney (Australia): The Institute of Chartered Accountants in Australia.
*Curriculum Vitae Francisco Javier Valencia Duque c.c. 10’280.374
[email protected]
Certificaciones Internacionales Certified Information Systems Auditor (CISA) Certified in Risk and Information Systems Control (CRISC) COBIT Foundations Datos académicos Magister en Administraciòn de Tecnologìas de Informaciòn Instituto Tecnològico de Estudios Superiores de Monterrey. 2008 Especialista en Diseño de Sistemas de Auditorìa Universidad Nacional de Colombia. 1998 Ingeniero de Sistemas Universidad Antonio Nariño. 2004. Tarjeta Profesional 17255136083 Administrador de Empresas Universidad Nacional de Colombia. 1994. Tarjeta Profesional 18761 Datos Profesionales Docente/Investigador Universidad Nacional de Colombia (sede Manizales) 2010- a la fecha Director del programa de Especialización en Auditoría de Sistemas Universidad Nacional de Colombia 2010- a la fecha Auditor de Sistemas de Información/Experto en gestión de riesgos Independiente. 2008-2010
Coordinador de Auditoría y Verificación UNE EMTELSA S.A. E.S.P. 1999-2008