auditoría continua: coordinar auditoría continua y monitoreo para
TRANSCRIPT
GTAG – Resumen Ejecutivo
1
Auditoría Continua:
Coordinar Auditoría
Continua y Monitoreo
para proveer
Aseguramiento
Continuo
2da
Edición
GTAG – Resumen Ejecutivo
2
Guía de Auditoría de Tecnología Global (GTAG® 3)
Coordinar Auditoría Continua
y Monitoreo para proveer
Aseguramiento Continuo
2ª Edición
Marzo de 2015
GTAG – Resumen Ejecutivo
3
GTAG - Tabla de Contenidos
RESUMEN EJECUTIVO 4
INTRODUCCIÓN 5
MARCO BASICO DE ASEGURAMIENTO CONTINUO 7
MARCO OPTIMIZADO DE ASEGURAMIENTO CONTINUO 11
APLICACIONES PRÁCTICAS DE AUDITORÍA CONTINUA 13
IMPLEMENTACIÓN DE AUDITORÍA CONTINUA 15
ANEXO
ESTUDIOS DE CASOS 21
Autores, revisores y contribuyentes 28
GTAG – Resumen Ejecutivo
4
Resumen Ejecutivo
Un entorno regulatorio en evolución, la creciente
globalización, la presión del mercado para mejorar las
operaciones, y la rápida evolución de las condiciones de
negocios, están generando una necesidad a las
organizaciones de desarrollar programas de auditoría
continua dirigidos tanto a los datos financieros como
operacionales. Dichos programas apoyan la capacidad
de auditoría interna de proporcionar aseguramiento
continuo respecto de una gestión eficaz del riesgo y el
control por parte de quienes gobiernan.
La auditoría continua comprende la constante
evaluación de riesgos y controles, realizado a través
dela tecnología y facilitada por un nuevo paradigma de
auditoría que está cambiando, de evaluaciones
periódicas de los riesgos y controles basados en una
muestra de operaciones, a evaluaciones continuas de
una mayor proporción de las transacciones. La auditoría
continua también incluye el análisis de otras fuentes de
datos que pueden revelar valores atípicos en los sistemas
de negocios, como los niveles de seguridad, registro de
incidentes, datos no estructurados y cambios en las
configuraciones de TI, controles de aplicación y
controles en la segregación de tareas.
A través de la auditoría continua, los departamentos de
auditoría interna pueden realizar aumentos
significativos en la eficiencia e incrementar los niveles
de perspicacia. Los pasos clave para la implementación
de la auditoría continua incluyen:
1. Establecer una estrategia de auditoría continua.
2. Adquirir datos para su uso rutinario.
3. Construir indicadores de auditoría continua
(evaluación continua de riesgos y evaluación de
continua de controles).
4. Definir informes y gestionar los resultados.
Sin embargo, para liberar todo el potencial de un
programa de auditoría continua se debe coordinar con
los programas de monitoreo continuos realizados por las
funciones operativas y de supervisión de las gerencias de
la organización.
Las organizaciones idealmente utilizan el marco de
gestión de riesgos y control de las tres líneas de defensa1.
La primera línea de defensa comprende funciones de
1 Documento del IIA: Las Tres Líneas de Defensa para una gestión
de riesgos y controles efectiva.
gestión operativa de quienes son dueños y gestionan los
riesgos. La segunda línea de defensa incluye funciones
de gestión tales como los departamentos de
cumplimiento (compliance) y de gestión de riesgos que
supervisan los riesgos. La tercera línea de defensa es la
función de auditoría interna que proporciona
aseguramiento objetivo sobre la eficacia del gobierno, la
gestión de riesgos y control interno. El monitoreo
continuo abarca los esfuerzos permanentes de la primera
y segunda líneas de defensa para asegurar que las
políticas, procedimientos y procesos de negocios están
operando de manera efectiva. Ello involucra identificar
objetivos de control aplicables, asegurar las decisiones y
establecer pruebas automatizadas para las actividades
principales y las transacciones que no cumplan con las
normas esperadas. La auditoría interna puede
proporcionar a la organización aseguramiento continuo
mediante la realización de pruebas permanentes de
monitoreo continuo de manera concurrente con sus
actividades de auditoría continua.
La auditoría continua se puede aplicar tanto para el
desarrollo del plan de auditoría, para apoyo al trabajo de
auditoría como para el seguimiento de los hallazgos de
la auditoría. Los Directores Ejecutivos de Auditoría
(DEA) deben ser conscientes de que la auditoría
continua cambiará la naturaleza de la evidencia, la
oportunidad, los procedimientos, y el nivel de esfuerzo
requerido a los auditores internos. La coordinación de la
auditoría continua, monitoreo continuo y las pruebas
de auditoría sobre el monitoreo continuo ayudará a la
auditoría interna y a la Gerencia a maximizar sus
respectivos retornos sobre el esfuerzo invertido,
logrando alcanzar los objetivos de cumplimiento y
proveer la oportunidad de contribuir a la salud general y
competitividad de la organización.
El esfuerzo coordinado repercute en la oportuna
notificación de las deficiencias y debilidades en la
gestión de riesgos y control, crea un entorno en el que
se concreta seguimiento oportuno y se mejora el
tratamiento de temas. La coordinación del monitoreo
continuo de la organización y los esfuerzos auditoría
continua pueden mejorar la comprensión general de la
organización respecto de los datos, el riesgo y el control,
y maximizar la capacidad de auditoría interna para
proporcionar aseguramiento continuo eficaz a la Alta
Gerencia y el Consejo.
GTAG – Resumen Ejecutivo
5
Introducción
El enfoque de la auditoría interna para evaluar la eficacia
de la gestión de riesgos y control interno tradicionalmente
ha sido retrospectivo, con pruebas de los controles
realizados de manera cíclica, a menudo meses después que
ocurrieron las actividades de negocios. Existen dos factores
que están impulsando los esfuerzos de los auditores
internos a modificar su enfoque históricamente
retrospectivo:
La organización necesita seguir el ritmo del negocio
respondiendo más oportunamente a tasas crecientes de
cambio en los riesgos emergentes.
Los avances en la tecnología han permitido
evaluaciones de riesgos y controles “en marcha”.
La primera edición de esta guía, Guía de Auditoría de
Tecnología Global del IIA (GTAG®) 3: Auditoría Continua
- Implicancias para el aseguramiento, Monitoreo y Evaluación
de Riesgos, se centró en el monitoreo transaccional y
estableció la relación entre la Auditoría Continua y el
Marco Integrado de Control Interno (COSO-1992). Esta
segunda edición relaciona la Auditoría Continua con las
tres líneas de defensa en la gestión eficaz de los riesgos y el
control y amplía su foco para incluir, no sólo los datos de
transacciones, sino también otras fuentes de datos como
los niveles de seguridad, registros, incidentes, datos no
estructurados, cambios a configuraciones de TI, controles
de aplicación y segregación de controles.
Importancia de los negocios
En muchas organizaciones, la Gerencia y la Dirección
exhiben saturación por la duplicación o superposición de
evaluaciones de gestión de riesgos y controles entre las tres
líneas de defensa. La auditoría continua tiene el potencial
para mitigar esta sensación de fatiga por:
Optimizar el equilibrio entre los esfuerzos de revisión
de auditoría interna y las Gerencias.
Promover un uso más eficiente de los recursos de la
organización.
Reducir el costo de evaluación y ofrecer aseguramiento
sobre los controles internos.
Proporcionar una evaluación permanente de riesgos y
controles.
Proporcionar comunicación temprana de las
deficiencias y debilidades facilitando la toma de
acciones correctivas oportunas.
Proporcionar flexibilidad necesaria para priorizar la
corrección.
Promover una mejor comprensión del negocio, riesgos
y cumplimiento.
Permitir a la Auditoría Interna proporcionar
aseguramiento continuo respecto de controles, riesgos
y oportunidades.
Guías IIA relacionadas
Las guías del Marco Internacional para la Práctica
Profesional relacionadas con la auditoría continua,
supervisión continua y el aseguramiento continuo
incluyen:
Norma 1210: Aptitud
Los auditores internos deben poseer los conocimientos,
habilidades y otras competencias necesarias para cumplir
con sus responsabilidades individuales. La actividad de
auditoría interna en su conjunto debe poseer u obtener
los conocimientos, habilidades y otras competencias
necesarias para cumplir con sus responsabilidades.
Norma 2010: Planificación
El DEA debe establecer un plan basado en riesgos para
determinar las prioridades de las actividades de Auditoría
Interna, en línea con los objetivos de la organización.
Norma 2120: Gestión de Riesgos
La actividad de auditoría interna debe evaluar la eficacia y
contribuir a la mejora de los procesos de gestión de riesgos.
Norma 2130: Control
La actividad de Auditoría Interna debe asistir a la
organización en el mantenimiento de la efectividad de los
controles, evaluando su eficacia y eficiencia y
promoviendo su mejora continua.
2130. A1 - La actividad de auditoría interna debe
evaluar la adecuación y eficacia de los controles en
respuesta a los riesgos del gobierno, operaciones y
sistemas de información de la organización respecto de
lo siguiente:
Logro de los objetivos estratégicos de la
organización.
Fiabilidad de integridad de la información
financiera y operativa.
Eficacia y eficiencia de las operaciones y programas.
Protección de los activos.
Cumplimiento de las leyes, regulaciones, políticas,
procedimientos y contratos.
GTAG – Resumen Ejecutivo
6
Norma 2320: Análisis y Evaluación
Los auditores internos deben basar sus conclusiones y los
resultados del trabajo de análisis y evaluaciones adecuadas.
Consejo para la Práctica (PA) 2320-4: Aseguramiento
continuo
GTAG 14: Auditoría de aplicaciones desarrolladas por
el usuario
GTAG 16: Tecnologías de análisis de datos
Definiciones de conceptos clave
Primera línea de defensa - funciones de gestión operativa
de quienes son dueños y gestionan los riesgos.
Segunda Línea de Defensa - funciones que supervisan los
riesgos, tales como Cumplimiento y Gestión de Riesgos.
Tercera línea de defensa - función de auditoría interna
que proporciona una garantía independiente.
Técnicas de Auditoría Asistidas por Computadora
(CAAT) - técnicas de auditoría automatizadas tales como
software generalizado de auditoría, software utilitario,
datos de prueba, software aplicativo de mapeo y
trazabilidad y sistemas expertos de auditoría que ayudan a
los auditores internos a construir los controles de
cumplimiento integrados dentro de sistemas de
información y datos en archivos informáticos. (Auditoría
Interna de Aseguramiento y Servicios de Asesoramiento, 3°
ed., Fundación para la investigación del IIA).
Configuración - ajustes de control, niveles de seguridad,
parámetros y datos de referencia que ejecutan la
autorización, exactitud e integridad del procesamiento de
transacciones. Las opciones de configuración afectan a la
funcionalidad del sistema, al desempeño y a los controles
automatizados.
Aseguramiento Continuo - realizado por auditoría interna,
el aseguramiento continuo es una combinación de
auditoría continua y pruebas sobre el monitoreo continuo
de las primera y segunda líneas de defensa.
Auditoría Continua – es la combinación de las
evaluaciones continuas de riesgos y controles apoyada a
través de la tecnología. La auditoría continua está
diseñada para que el auditor interno pueda reportar sobre
un determinado tema en un plazo mucho menor que bajo
el enfoque tradicional.
Monitoreo Continuo - un proceso de gestión, que
monitorea en forma permanente si los controles internos
están funcionando eficazmente (PA 2320-4:
Aseguramiento Continuo).
Evaluación Continua de Controles - la evaluación
continua de los controles internos respecto de un estado
inicial, cambios posteriores y control de configuraciones,
mediante el uso de técnicas de auditoría basados en la
tecnología.
Evaluación Continua de Riesgos - la identificación y
evaluación continua de los riesgos para el logro de los
objetivos de negocio, mediante el uso de técnicas de
auditoría basados en la tecnología.
Técnicas de Auditoría Basadas en Tecnología -cualquier
herramienta de auditoría automatizada como programas
genéricos de auditoría, generadores de datos de prueba,
programas de auditoría computarizada, utilidades de
auditoría especializadas y CAATs (normas internacionales
para el Ejercicio Profesional de la Auditoría Interna del IIA).
Datos Transaccionales - flujo de datos dinámicos
detallado, normalmente relacionado con un proceso de
negocios o un evento económico como un pedido, una
factura o un pago.
Datos No Estructurados - datos que no se encuentran
limitados a un campo fijo en una hoja de cálculo o base de
datos. Ejemplos de datos no estructurados que pueden ser
consultados mediante la auditoría continua y técnicas de
monitoreo continuo incluyen texto, audio, vídeo y datos
multimedia.
Funciones y responsabilidades
El rendimiento y la coordinación de la auditoría continua
y monitoreo continuo para proporcionar aseguramiento
continuo requiere una comprensión clara de las funciones
y responsabilidades, tal como se indica en la Tabla 1.
GTAG – Resumen Ejecutivo
7
Tabla 1: Funciones y Responsabilidades de Aseguramiento Continuo
ROL RESPONSABILIDADES
Director Ejecutivo de
Auditoría (DEA)
Establecer la credibilidad de las actividades de auditoría continua garantizando la capacidad de los auditores internos y la
suficiencia de sus herramientas, las medidas de seguridad de datos, y el presupuesto.
Educar a los auditores internos, la alta Gerencia y el Consejo sobre las funciones y responsabilidades de la actividad de
Auditoría Interna y las Gerencias.
Comprometerse con una estrategia de varios años para incrementar el apoyo de las partes interesadas.
Comunicar los resultados de la evaluación de auditoría interna respecto de la eficacia del monitoreo continuo.
Auditoría Interna
(tercera línea de
defensa)
Planear la auditoría continua conjuntamente con las primera y segunda líneas de la defensa.
Ejecutar la auditoría continua:
o Vinculada al análisis de los objetivos de negocio.
o Alinear factores de riesgo y actividades de control.
o Añadir valor como un “asesor de confianza” mediante la evaluación de los nuevos riesgos de negocios.
Realizar pruebas de cumplimiento sobre el Monitoreo Continuo.
Proveer aseguramiento continuo en relación con los objetivos de auditoría tales como integridad, exactitud y seguridad.
Mantener efectivas las medidas de seguridad sobre datos.
Gerencia
(Primera y segunda
línea de Defensa)
Diseñar y realizar monitoreo continuo para evaluar la adecuación y eficacia de la gestión de riesgos y controles.
Hacer uso de los conocimientos sobre el proceso y gestión de riesgos. Desarrollar e implementar las acciones correctivas
que aborden las causas origen de los problemas.
Acortar el tiempo de toma de acciones.
Marco básico de aseguramiento continuo
El marco inicial o básico de aseguramiento continuo abarca el proceso de Auditoría Continua y las pruebas del monitoreo
continuo. Como tercera línea de defensa en gestión de riesgos y controles, la Auditoría Interna se esfuerza en detectar áreas
de interés dentro de su marco de control y, a su vez, proporcionar a la organización el más alto nivel de aseguramiento.
GTAG – Resumen Ejecutivo
8
Figura 1: Marco Básico de Aseguramiento Continuo
Auditoría Continua
La auditoría continua se logra a través de evaluaciones permanentes de riesgos y controles, gracias a las técnicas de auditoría
basadas en tecnología tales como el software generalizado de auditoría, hojas de cálculo o archivos de procesamiento
desarrollados utilizando programas específicos de auditoría, utilitarios de auditoría especializados, CAATs, paquetes de
soluciones comercializados en el mercado y los sistemas desarrollados a medida.
Las técnicas de auditoría basadas en el uso de tecnología deben ser flexibles y escalables para jugar un papel clave en la
optimización de:
Identificación oportuna de las excepciones y
anomalías. Análisis de patrones y tendencias. Análisis detallado de transacciones respecto de
umbrales de corte.
Pruebas de los controles.
Análisis comparativos
La auditoría continua proporciona una manera de
identificar indicadores de riesgo y evaluar los parámetros
de riesgo a través de las operaciones de TI, aplicaciones de
TI y procesos de negocio mediante sistemas de análisis de
El aseguramiento continuo se logra mediante las siguientes actividades de Auditoría Interna:
• Pruebas del Monitoreo Continuo de las Primera y Segunda Línea de Defensa.
• Auditoría Continua.
Tercera Línea de Defensa:
Auditoría Interna Provee aseguramiento
independiente
Prueba de Auditoría
sobre el Monitoreo
Continuo de la 1ra y
2da línea de defensa
Auditoría continua
basada en tecnología
Evaluación Continua de Riesgos y Controles
Monitoreo Continuo
Segunda Línea de Defensa:
Funciones de Supervisión de
Riesgos (Ej: gestión de riesgos,
cumplimiento)
Primera Línea de Defensa:
Gerencia de Operaciones
Es dueña y gestiona los Riesgos
GTAG – Resumen Ejecutivo
9
cambios, seguridad, incidentes, desvíos y transacciones. La
auditoría continua mejora la capacidad de los auditores
internos para opinar sobre la disponibilidad y utilidad de
los datos, comprender los controles de las aplicaciones y
optimizar los procesos de negocio automatizándolos.
Cuando se implementa de manera efectiva, la auditoría
continua:
Se centra en objetivos y afirmaciones de auditoría tales
como integridad, exactitud, y autorización para
determinar la confiabilidad de la información utilizada
para la toma de decisiones.
Puede detectar nuevas áreas de debilidades en riesgos y
controles.
Bajo el marco básico de aseguramiento continuo (ver
Figura 1), no se produce superposición entre Auditoría
Continua y Monitoreo Continuo y la auditoría continua
se puede realizar incluso si el monitoreo continuo no
existe en la primera y segunda línea de defensa. Sin
embargo, existen oportunidades para el monitoreo
continuo en cualquier sitio que existan oportunidades para
la auditoría continua. Puede existir una oportunidad para
una observación o recomendación de auditoría si las
oportunidades de monitoreo continuo están presentes pero
no están siendo aprovechadas por la Gerencia de línea.
Evaluaciones continuas de riesgos y controles
Las evaluaciones continuas de riesgos y controles deben
ser diseñadas de modo que, simultáneamente, mantengan
la seguridad y eventualmente, extiendan el tiempo entre
revisiones tradicionales de auditoría.
Evaluación continua de los riesgos
Las evaluaciones continuas de riesgos deben incluir una
revisión de los resultados de los esfuerzos de monitoreo de
la Gerencia, incluyendo indicadores predictivos, medidas
de rendimiento, controles de calidad y segregación de
tareas. La evaluación continua de riesgos en forma
permanente identifica y evalúa los riesgos mediante
técnicas de auditoría basadas en tecnología, para:
Examinar y analizar las tendencias, comparaciones y
desvíos en un solo proceso, en comparación con
desempeños anteriores y también respecto de otros
procesos o sistemas que operan dentro de la empresa.
Correlacionar y analizar desvíos para mostrar cómo
responde la Gerencia a los riesgos y proporcionar una
visión de futuro sobre riesgos emergentes.
Destacar posibles riesgos en el enfoque del alcance de
la auditoría (en forma periódica y en línea).
Detectar desvíos en las unidades de negocio, sucursales
o procesos que pueden estar asumiendo un mayor
riesgo o que experimentan cambios en forma atípica.
Resaltar zonas donde los controles son inexistentes o
donde no se encuentran operando de forma adecuada,
lo que sugiere que los auditores deban realizan
evaluaciones de control más exhaustivas en áreas
específicas.
Administrar hojas de cálculo de negocios críticos y
otras aplicaciones desarrolladas por el usuario2
Predecir o anticipar los riesgos futuros.
Los resultados de la evaluación continua de riesgos sirven
como “entrada” para el planeamiento de la auditoría y la
evaluación continua de controles.
Evaluación continua del control
Una evaluación continua de control evalúa en forma
permanente los controles internos partiendo de un estado
básico o de inicio detectando cambios posteriores en las
condiciones y considera la interrelación de los controles
automatizados, controles generales de TI y controles
manuales como se ilustra en la Figura 2.
En cada caso, el auditor debe buscar comportamientos
inusuales o desvíos. La evaluación del control continuo
permite a los Gerentes de Auditoría suministrar un
servicio de alertas tempranas sobre violaciones de control
o deficiencias.
Figura 2: Evaluación Continua de Controles
No es necesario que las evaluaciones continuas de control
se ejecuten en tiempo real. La frecuencia del análisis debe
ser determinada por el nivel de riesgo, el ciclo de procesos
de negocio y el grado con el cual la Gerencia está
monitoreando estos controles. Por ejemplo:
2 Para más información ver GTAG 14: Auditando aplicaciones
desarrolladas por el usuario.
Procesos de Negocios Objetivos de Control Controles automatizados (de las aplicaciones)
Cambios
Seguridad
Incidentes
Desvíos y Transacciones
Controles Generales de TI Base de Datos
Sistema Operativo
Red
Definir Objetivos de Control
Autorización
Integridad
Exactitud
Determinar los
Controles Claves
Evaluar las condiciones de inicio de los Controles (aún activos y en funcionamiento) y medir los cambios posteriores.
GTAG – Resumen Ejecutivo
10
El análisis de la tarjeta de compra podría ejecutarse una
vez al mes, a la recepción el extracto de transacciones
de compra desde la administradora de tarjetas de
crédito.
El análisis de la nómina de pagos, podría ejecutarse en
cada período de pago, en sintonía con las transacciones
de depósito.
Las pruebas de facturas y pagos duplicados pueden
ejecutarse todos los días.
Los cambios en los controles automatizados tienden a
ser poco frecuentes y pueden ser controlados de forma
sincronizada de acuerdo con la rutina de TI.
Las actualizaciones del sistema operativo puede ser
revisadas trimestralmente.
En algunos casos, un auditor puede realizar la prueba de
control inicial y “transferir” el monitoreo continuo a la
Gerencia.
Los resultados de la evaluación continua de control
organizado por cada proceso deben:
brindar soporte a los objetivos de la Auditoría.
Informar:
o Las condiciones de controles claves, tales como la
capacidad de seguridad.
o Cambios en los controles automatizados.
Monitoreo Continuo
La Gerencia debe poseer y ejecutar monitoreo continuo.
Muchas de las técnicas que la Gerencia utiliza para
monitorear continuamente los controles son similares a las
técnicas de auditoría continua utilizados por los auditores
internos. Los principios de monitoreo continuo incluyen:
Propósito - considerar el objetivo de negocio y los
factores críticos de éxito.
Riesgo - determinar posibles obstáculos que limiten el
éxito de la organización.
Respuesta - alinear diversas fuentes de datos para
descubrir y corroborar los riesgos emergentes tales
como las condiciones configurables, cambios, registro
de eventos, transacciones financieras y datos no
estructurados.
Sincronización - detectar problemas de control en
tiempo real.
Acción – seguir las deficiencias para la toma de
acciones correctivas.
Utilizado con eficacia, el control continuo puede:
Mejorar la capacidad de identificar rápidamente y
reducir los problemas de control.
Reducir la incidencia por errores y fraudes.
Mejorar la eficiencia operacional.
Mejorar los resultados finales a través de una
combinación de ahorro de costos y reducción en sobre-
pagos y pérdidas de ingresos.
Aumentar la satisfacción del cliente mediante la
mejora en la calidad e integridad del servicio al cliente.
GTAG – Resumen Ejecutivo
11
Marco optimizado de aseguramiento continuo
En algunos casos, los auditores internos pueden estratégicamente colaborar con las funciones de quienes son propietarios y
gestionan los riesgos y controles (primera línea de defensa) y las funciones que supervisan los riesgos y controles (segunda
línea de defensa), ayudando a establecer procesos de gestión de riesgos y controles. El aseguramiento continuo se optimiza
cuando las técnicas de auditoría continua basadas en tecnología son adoptadas para su uso en los esfuerzos de monitoreo
continuo de las primeras y segundas líneas de defensa, y aquellos esfuerzos de monitoreo continuo serán confiables y sensibles
al riesgo:
Figura 3: Marco Básico de Aseguramiento Continuo
Cuando las técnicas de auditoría continua son adoptadas por la Gerencia para el monitoreo continuo, se introduce una
delgada línea de diferenciación, porque hay una probable superposición entre el monitoreo continuo y la auditoría continua
y entre la segunda y tercera líneas de defensa. Cuando las técnicas de auditoría continua se están transfiriendo a la Gerencia
deben tomarse resguardos para asegurar que los auditores no asuman un rol de “dueño” respecto del monitoreo continuo, lo
que cual puede afectar su objetividad.
El aseguramiento continuo se logra mediante las siguientes actividades de Auditoría Interna:
• Prueba del Monitoreo Continuo de las Primera y Segunda Línea de Defensa.
• Auditoría Continua.
Tercera Línea de Defensa:
Auditoría Interna Provee aseguramiento
independiente
Prueba de Auditoría
sobre el Monitoreo
Continuo de la 1ra y
2da línea de defensa
Auditoría continua
basada en tecnología
Evaluación de Controles y Riesgos en
Curso
Monitoreo Continuo
Transición de las técnicas de Auditoría Continua
Segunda Línea de Defensa:
Funciones de Supervisión de Riesgos (Ej.:
Gestión de riesgos, cumplimiento)
Primer Línea de Defensa:
Gerencia de Operaciones
Es dueña y gestiona los Riesgos
GTAG – Resumen Ejecutivo
12
Relación entre Auditoría Continua y Monitoreo
Continuo
Existe una relación inversa entre la Auditoría Continua y
el Monitoreo Continuo. Las tres líneas de defensa
contribuyen a la medición y el fortalecimiento de la
eficacia de la gestión de riesgos y control. La Auditoría
Interna debe ajustar el alcance de su trabajo de auditoría
continua teniendo en cuenta la adecuación y coherencia
que la Gerencia despliega sobre el Monitoreo Continuo.
Si el Monitoreo Continuo ejecutado por la primera y
segunda líneas de defensa es insuficiente o inconsistente,
la Auditoría Interna debe incrementar sus esfuerzos de
auditoría continua de manera proporcional, tal como se
ilustra en La Figura 4:
Figura 4: Relación entre los esfuerzos de Auditoría Continua y Monitoreo Continuo
En las áreas donde la Gerencia no ha implementado
monitoreo continuo, los auditores deben realizar pruebas
de cumplimiento extensivas mediante el uso de técnicas
de auditoría continua. Donde la primera o segunda línea
de defensa realiza monitoreo continuo de forma integral
con pruebas “de extremo a extremo” sobre procesos de
negocio, la auditoría interna puede no realizar las mismas
técnicas detalladas de auditoría continua. En lugar de ello,
los auditores deberían ejecutar procedimientos para
determinar si el proceso de monitoreo continuo es
confiable. Tales procedimientos incluyen:
Revisión de las anomalías detectadas y gestión de
respuesta. Revisión de los acuerdos de la Gerencia en cuanto a
promulgar y mantener planes correctivos.
Revisión y pruebas de los controles sobre el proceso de
monitoreo continuo en sí mismo, como son:
o Seguridad. o Control de cambios o Operaciones de TI
Estos procedimientos son similares a los Controles
Generales de TI y deben ser ejecutados durante el proceso
normal de auditoría para evaluar la confiabilidad de las
Técnicas de Auditoría Asistidas por Computadora.
Esfuerzos de Monitoreo Continuo de la Primera
y Segunda Línea de Defensa (Gerencias)
Esfuerzos de Auditoría Continua en la Tercera
Línea de Defensa (Auditoría Interna)
Monitoreo exhaustivo de Controles Internos
Monitoreo escaso de
Controles
Internos
Esfuerzos escasos
Incrementar los Esfuerzos / Mayores
recursos
GTAG – Resumen Ejecutivo
13
Aplicaciones prácticas de
Auditoría Continua
La auditoría continua apoya las actividades de auditoría a
lo largo de todo el proceso de auditoría. Como se ilustra en
la Figura 5, auditoría continua puede aplicarse al desarrollo
del plan de auditoría, al soporte de ejecución de auditoría
y al seguimiento de recomendaciones de auditoría.
Además, el DEA debe reconocer que existen varias
funciones de segunda línea de defensa con fuertes vínculos
con auditoría continua, como la gestión de riesgos,
cumplimiento, ética y seguridad. Auditoría Interna debe
determinar cómo la auditoría continua puede valerse para
evaluar la función de segunda línea de defensa y utilizar la
información generada por esas funciones.
Desarrollo del Plan de Auditoría
Durante la fase de desarrollo del plan de auditoría,
auditoría continua ayuda a los auditores para compilar y
mantener un universo de auditoría que es más sensible a
los riesgos. Resulta más preferible que las auditorías
programadas con un ciclo estándar de rotaciones en uno,
dos o tres años, que la frecuencia de las auditorías esté
basada en el riesgo, la complejidad, la profundidad y la
velocidad de cambios. La auditoría continua ayuda a la
auditoría interna de forma rápida a identificar cambios en
los riesgos y potenciales exposiciones.
Aplicación de la Evaluación Continua de Riesgos
El análisis de datos debe ser utilizado como soporte del
desarrollo de los indicadores claves para activar la
realización de auditorías específicas o de áreas que deben
incluirse en el plan.
Por ejemplo, ayudada por indicadores claves, la evaluación
continua de riesgos se puede aprovechar para incrementar
el alcance en ciertas ubicaciones a ser visitadas, enfocar los
objetivos y el alcance de la auditoría, incluir auditorías
específicas o entidades en el plan anual de auditoría o
desencadenar una inmediata prueba de recorrido de una
entidad donde el riesgo se ha incrementado
significativamente sin una aparente justificación.
Ejemplos de aplicaciones prácticas de evaluaciones
continuas de riesgos durante el desarrollo del plan de
auditoría incluyen:
La aplicación de un contexto más estratégico al
desarrollo de planes de auditoría y hacer permanentes
ajustes al plan ante cambios en los perfiles de riesgo.
La asignación de los recursos de auditoría escasos
altamente calificados a las zonas con desvíos que
representan el mayor riesgo de la organización. La evaluación de las actividades de mitigación de
riesgos de la Gerencia. El desarrollo de las áreas de temas de interés y
estratégico para el universo de auditoría interna. El alcance y los objetivos de auditorías individuales.
La principal diferencia entre el aprovechamiento de la
evaluación continua de riesgos para desarrollar el plan de
auditoría de la empresa respecto del apoyo a un trabajo de
auditoría es el nivel de detalle de la información requerida.
La información resumida puede ser suficiente para
identificar desvíos y reorientar los recursos cuando se está
desarrollando el plan de auditoría. Por el contrario, es
probable que se requiera información más detallada para
identificar riesgos y probar controles con la finalidad de
concretar el alcance y objetivos de un trabajo de auditoría.
Figura 5: Auditoría Continua durante el proceso de Auditoría
AUDITORÍA CONTINUA
Desarrollar Plan de Auditoría
Identificar indicadores de riesgo.
Evaluar desvíos
Definir alcance, enfoque y oportunidad.
Apoyar trabajos de Auditoría
Seguir Recomendaciones
Evaluar y dimensionar riesgos.
Profundizar alcance y objetivos.
Determinar ubicaciones específicas a auditar
Revisiones analíticas
Determinar si se implementaron las recomendaciones.
Identificar si la remediación reduce el nivel de riesgo.
Establecer puntos de partida y comparar resultados.
GTAG – Resumen Ejecutivo
14
Apoyo a procedimientos de auditoría
La auditoría continua puede integrarse con el trabajo de
campo de la auditoría; las técnicas de auditoría continua
menudo suelen mejorar y madurar durante el curso de los
trabajos de auditoría. Los auditores diseñan y modifican las
técnicas de auditoría continua a medida que descubren
riesgos, evalúan análisis de auditoría y esfuerzos de
remediación. La auditoría continua permite a los
auditores:
Precisar el alcance del trabajo para centrarse mejor en
los riesgos. Realizar pruebas de auditoría en situaciones donde el
objetivo de auditoría no puede lograrse sólo mediante
la comparación de datos. Profundizar para identificar los indicadores de riesgo y
evaluar controles críticos.
Detectar los síntomas de fraude, pérdida y abuso a
través la identificación de anomalías y desvíos.
La auditoría analítica y las técnicas de auditoría continua
difieren en cuanto al alcance, oportunidad y propósito.
La Auditoría Analítica normalmente está: o obligada por el alcance y el tiempo de un
determinado procedimiento. o diseñada para mejorar la calidad de un
procedimiento.
Las técnicas de Auditoría Continua, a menudo
originadas en análisis y experiencias de auditorías
anteriores, se llevan a cabo de forma sistemática, se
ejecutan durante y con posterioridad al alcance,
excediendo el tiempo de un procedimiento de
auditoría y proveen notificación oportuna de
tendencias, patrones y desvíos.
Aplicación de la Evaluación Continua de Riesgos
Durante un procedimiento, la evaluación continua de
riesgos se puede utilizar para comprender mejor el proceso
de negocio. Por ejemplo, en Cuentas por Pagar (CP), el
examen de los tipos de pago puede conducir al
descubrimiento de que las transferencias electrónicas de
fondos son completadas por un departamento de CP y que
los controles manuales están siendo producidos por otro.
Esta información permite al auditor comprender mejor el
proceso de CP en cada ubicación y evaluar el riesgo
correspondiente.
Aplicación de evaluaciones continuas del control Las aplicaciones prácticas para la evaluación continua de
control durante una auditoría, incluyen:
Examinar datos de transacciones (por ejemplo marcar
todas las transacciones de compras con tarjetas que son
mayores que el límite de autorización o que involucran
mercaderías prohibidas). Evaluar configuraciones:
o Cuestionar los sistemas para determinar la condición
de controles automatizados configurables.
o Revisar los niveles de aprobación y capacidades de
acceso.
Evaluar cambios a programas y parámetros.
Revisar gestión de incidentes y errores.
Revisar datos resumidos (por ejemplo, las transacciones
mensuales totales de los titulares de tarjetas son
mayores de US$ 10.000 y el titular de la tarjeta no
pertenece a la función de compras).
Uso de análisis comparativo (por ejemplo, las horas
extraordinarias totales pagadas en comparación con
todos los demás empleados de la misma categoría y el
umbral para identificar el tiempo extra excesivo o no
autorizado).
Pruebas de saldos de las cuentas del mayor general (por
ejemplo, destacando las cuentas donde el saldo difiere
por más del 25% en comparación con el año anterior a
fin de identificar alguna actividad inusual como un
incremento en las cancelaciones de cuentas).
Pruebas de cumplimiento para verificar el
mantenimiento actualizado de fichas de seguridad de
todas las sustancias compradas, almacenadas, fabricadas
o vendidas.
En todos los casos, los auditores pueden profundizar
rápidamente en los detalles para evaluar la causa potencial
y realizar el seguimiento requerido más rápido y,
potencialmente, más fácilmente.
Seguimiento de hallazgos de Auditoría
Aplicación de la Evaluación Continua de Riesgos
Aprovechar la evaluación continua de riesgos para seguir
hallazgos de auditoría, es una herramienta poderosa para
asegurar la mejora continua y un elevado rendimiento.
Después de un procedimiento, los auditores pueden
aprovechar la evaluación continua de riesgos para
determinar si las recomendaciones han sido
implementadas y cuándo los planes de remediación han
logrado el efecto deseado.
Los planes de acción de la Gerencia deben identificar
indicadores de rendimiento para evaluar el éxito de la
remediación. Los indicadores de desempeño facilitan el
establecimiento de un punto de inicio para comparar los
resultados antes y después de la implementación de las
recomendaciones. Los auditores deben colaborar con la
Gerencia para encontrar indicadores adecuados que
puedan, idealmente, medirse de manera sistemática.
GTAG – Resumen Ejecutivo
15
Implementación de Auditoría Continua
Una implementación exitosa de auditoría continua requiere liderazgo, gestión del cambio y un enfoque por etapas que
aborde inicialmente los sistemas de negocios más críticos. Aunque cada organización es única, existen algunas actividades
comunes que deben ser cuidadosamente planificadas y administradas en el desarrollo y mantenimiento de auditoría
continua (ver Tabla 2).
Tabla 2: Pasos Clave para implementar Auditoría Continua
PASOS CLAVE PARA IMPLEMENTAR AUDITORÍA CONTINUA
1. ESTABLECER UNA ESTRATEGIA DE AUDITORÍA CONTINUA
• Coordinar con la Primera y Segunda línea de Defensa.
• Establecer prioridades y obtener soporte de la Gerencia.
• Adaptar el plan de auditoría a indicadores continuos específicos.
2. OBTENER DATOS PARA USO RUTINARIO
• Establecer acceso rutinario al entorno productivo.
• Desarrollar capacidades de análisis.
• Construir habilidades técnicas y conocimientos en auditoría.
• Evaluar la confiabilidad de los orígenes de datos.
• Preparar y validar los datos.
3. CONSTRUIR INDICADORES DE AUDITORÍA CONTINUA
EVALUACIÓN CONTINUA DE RIESGOS
• Desarrollar indicadores de riesgos.
• Diseñar pruebas analíticas para medir el incremento en los niveles de
riesgo
EVALUACIÓN CONTINUA DE CONTROLES
• Identificar los objetivos de control.
• Determinar los controles clave.
• Evaluar cambios a las condiciones de inicio de los controles.
• Evaluatebaselineconditionandchangestocontrols. 4. REPORTAR y ADMINISTRAR RESULTADOS
• Establecer una metodología repetible.
• Reportar los resultados.
• Facilitar la acción de la Gerencia.
• Alinear con el Monitoreo Continuo y adaptar la estrategia de Auditoría Continua.
La secuencia de actividades de la Tabla 2 puede variar, y
pueden ser necesarias otras actividades no identificadas
durante el desarrollo de la auditoría continua para dar
apoyo a una auditoría específica.
Establecer una Estrategia de Auditoría
Continua
El DEA debe establecer una estrategia de auditoría
continua a corto y largo plazo, con la autoridad
concedida a través de un mandato, misión o en el
estatuto de auditoría interna. Por ejemplo, una estrategia
a corto plazo podría incluir la introducción de la
auditoría continua para apoyar auditorías de
cumplimiento regulatorio. Sin embargo, los beneficios
adicionales correspondientes a la mejora del rendimiento
del negocio pueden ser igualmente significativos. Las
principales actividades son las siguientes.
Coordinar con la Primera y Segunda Líneas de
Defensa
Coordinar con las primera y segunda líneas de defensa
para apoyar la línea de negocio y que TI adhiera y apoye
a la estrategia de auditoría continua. La auditoría interna
debe abordar el proceso de negocio de extremo a
extremo y las interdependencias de los controles de
TI. La confiabilidad de los sistemas de negocios y de los
datos transaccionales es de suma importancia, no sólo
para el marco de control interno y la integridad de la
información financiera, sino también para la eficiencia
de las operaciones del negocio. Por lo tanto, asegurar la
confiabilidad, integridad y disponibilidad de los sistemas
y los datos deben ser un objetivo fundamental para el
DEA y la alta dirección. La auditoría continua puede
apoyar el logro de este objetivo, facilitando la evaluación
de la gestión de riesgos y controles.
GTAG – Resumen Ejecutivo
16
Establecer prioridades y obtener apoyo de la gerencia
La auditoría continua requiere acceso permanente a las
aplicaciones y datos productivos. Las tecnologías
confiables pueden requerir una inversión significativa y
varios años de esfuerzos de implementación. Por lo tanto,
el apoyo de la dirección y la alta gerencia es esencial.
Una estrategia que contemple la implementación
gradual durante dos o más años le ayudará a manejar el
ritmo y las expectativas y, sostenidamente, mostrar los
beneficios de las tecnologías y metodologías de auditoría
continua.
Adaptar el Plan de Auditoría a ciertos indicadores
continuos
Desarrollar una hoja de ruta para las áreas de grandes
procesos tales como contrataciones por pagar o
cobranzas, y luego relacionar las técnicas de auditoría
continua a tres categorías de riesgo: operaciones de TI,
aplicaciones y procesos transaccionales. Aprovechar el
análisis de auditoría para diseñar especificaciones de los
indicadores de riesgo y controles. Coordinar el plan de
auditoría interna para identificar las áreas y auditorías de
procesos a los efectos de especificar los indicadores de
riesgos clave (KRI) y medidas de control para su uso
posterior en la evaluación continua. A través de
auditorías planificadas, los equipos de auditoría y la
gerencia pueden en conjunto identificar indicadores de
tendencia o de desempeño que midan los riesgos y
controles vinculados a objetivos del negocio. Por lo
tanto se aprovechan los resultados de las auditorías para
desarrollar especificaciones con una mirada a futuro
(véase Figura 6).
Adquirir datos para el uso rutinario
La auditoría continua no es puramente una cuestión
técnica. Sin embargo, la selección de las tecnologías
disponibles es clave para su éxito a largo plazo. La
estrategia de auditoría continua debe guiar la selección
de soluciones de software. Durante la selección de
tecnologías para auditoría continua, el DEA debe
considerar las tecnologías y capacidades actuales del
espectro de TI de la organización. Es importante vincular
el programa con el entorno informático de la
organización y los planes futuros para los sistemas clave
del negocio. Las soluciones de software de análisis
específicos de auditoría proporcionan flexibilidad y la
posibilidad de leer diversos tipos de datos, incluyendo
sistemas mainframe, cliente / servidor y sistemas WEB, o
aplicaciones empresariales como SAP, Oracle y otros
sistemas de negocios. Para más información vea la
GTAG 16: Tecnologías de análisis de datos, del IIA . Las
actividades clave se describen a continuación.
Establecer accesos de rutina al entorno de producción
El DEA debe trabajar con la gerencia para asegurar que
el acceso y uso de los datos de los sistemas del negocio
no afecten negativamente la desempeño operacional del
entorno productivo y los sistemas relacionados, y que la
tecnología de auditoría es compatible con el ambiente de
TI de la empresa. La auditoría interna debe evaluar las
regulaciones aplicables en materia de privacidad3, y
mantener los estándares de seguridad y privacidad que
cumplan o excedan los establecidos para el ambiente de
producción.
Desarrollar capacidades de análisis
Construir capacidades de análisis de acuerdo con la
estrategia de auditoría continua y los objetivos de
negocios antes de la automatización del monitoreo. Las
pruebas de auditoría continua a menudo son
suficientemente persuasivas usando una combinación de
indicadores tales como los cambios en los controles
automatizados, la seguridad del sistema, incidentes,
desvíos y transacciones. Las discusiones con los dueños
de los sistemas del negocio pueden ayudar a los auditores
a determinar el método de transferencia, el cronograma y
el protocolo de datos más adecuado para la auditoría
continua.
3 Para obtener más información, consulte la Guía Práctica del
IIA, "Auditing Privacy Risks".
GTAG – Resumen Ejecutivo
17
Figura 6: Especificaciones prospectivas para Indicadores de Riesgos y Controles
Construir Habilidades Técnicas y Conocimiento de
auditoría
La Norma 1210 indica que la auditoría interna debe
poseer u obtener los conocimientos, habilidades, y otras
competencias necesarias para llevar a cabo sus
responsabilidades. Distintos niveles de competencias
de TI serán requeridos durante el desarrollo e
implementación de auditoría continua. Por ejemplo, en
las primeras etapas de implementación:
La sensibilidad de los parámetros, la profundidad
del análisis y otros factores pueden resultar en un
alto volumen de casos detectados. La carga de
trabajo necesaria para discernir sobre los resultados
disminuirá en la medida en que se mejoren los
controles, se afina el análisis y la auditoría continua
madure.
Los resultados pueden inducir errores en la
interpretación de los datos. Las inexactitudes
pueden deberse a la falta de entendimiento y
familiaridad con los sistemas del negocio y a la
naturaleza de las pruebas realizadas.
Para mejorar el dominio de TI se debe:
Revisar los campos de datos y elementos clave.
Revisar los metadatos creados por funciones
aplicadas a los datos.
Comprobar la oportunidad de los datos.
¿La información es actual?
¿Con qué frecuencia se actualiza la información?
¿Cuándo fue la última actualización?
Determinar si la información es íntegra y exacta.
Verificar los supuestos y el análisis del auditor con
los programadores de la aplicación.
Verificar la integridad de los datos realizando
diversas pruebas tales como razonabilidad, controles
de edición, y comparación con otras fuentes,
incluyendo investigaciones realizadas con
anterioridad o informes de auditoría (por ejemplo,
sintáctica, semántica y pragmática).
Aprovechar el conocimiento obtenido de los
trabajos de auditoría interna.
Evaluar la confiabilidad de las fuentes de datos
La confiabilidad de los datos es fundamental para una
exitosa implementación de auditoría continua y debe ser
evaluada desde el inicio de la auditoría. Los datos
procedentes de un entorno de producción sujeto a
controles generales de TI son más confiables que
aquellos originados desde aplicaciones desarrolladas por
el usuario final. A medida que la confiabilidad aumenta,
PLAN N
• Modelo analítico
• Considerar resultados
de auditoría continua
y monitoreo continuo
• Probar el monitoreo de la Gerencia.
• Evaluar los riesgos de • Operaciones de TI • Aplicaciones • Transacciones
• Concretar análisis
Especificaciones
prospectivas
Indicadores Continuos de Riesgos
Indicadores Continuos de Controles
Universo de Auditoría
Monitoreo de la Gerencia
PROCEDIMIENTO DE AUDITORÍA
TRABAJO ALCANCE REPORTE SEGUIMIENTO
• Identificar objetivos
de negocio claves. • Alcance y riesgos
definen la Auditoría • Solicitar datos
• Relacionar los
hallazgos a los
indicadores
predictivos y de • desempeño
• Monitorear las
acciones correctivas
GTAG – Resumen Ejecutivo
18
el nivel de las pruebas y verificaciones necesarias para
reducir el riesgo de auditoría a un nivel aceptable,
disminuye. Para más información ver GTAG 14:
“Auditoría a aplicaciones desarrolladas por los usuarios
("Auditing User-developed Applications").
Preparar y validar los datos
Desarrolle capacidades de validación de datos robustas
para asegurar la integridad previamente al análisis. Una
de las mayores ventajas de auditoría continua es la
extracción de datos de diferentes sistemas de la
organización y relacionarlos para su posterior análisis
multiplataforma. La combinación de datos de sistemas
dispersos requiere de validaciones para eliminar
transacciones no confiables y preparar los datos en un
formato estándar de auditoría. La existencia de fuentes
de datos automatizadas pueden reducir los tiempos de
validación y aumentar la frecuencia de análisis.
Construir indicadores de auditoría continua
Construir una hoja de ruta integrada con el plan de
auditoría. Diseñar y construir técnicas de auditoría
continua basadas en el aprendizaje y especificaciones
resultantes de las auditorías tradicionales anteriores.
Evaluación continua de riesgos
De acuerdo con la Norma 2120, la auditoría continua
permite a los auditores "evaluar la eficacia y contribuir a
la mejora de los procesos de gestión de riesgos". Las
principales actividades y consideraciones en la
realización de una evaluación continua de riesgos
incluyen:
Desarrollar indicadores de riesgo:
o La recopilación y el análisis de los datos que
soportan los procesos de negocio clave y áreas de
alto riesgo deben ser obtenidas desde múltiples
niveles de la organización para identificar, evaluar
y responder a los riesgos.
o Colaborar con los dueños del negocio y
profesionales de TI para el desarrollo de
indicadores de riesgo que sean fácilmente
medibles y sensibles a los cambios.
o Hacer uso de los resultados de la evaluación de
riesgos para, eventualmente, modificar el plan de
auditoría, así como los alcances y objetivos de
auditorías individuales.
Diseñar métricas para detectar el incremento en los
niveles de riesgo.
o Los KRIs deben:
enfocar en la magnitud del cambio
experimentado por una entidad a través del
tiempo (diseñar KRIs para identificar
tendencias)
resultar una combinación entre los indicadores
predictivos basados en procesos e indicadores
detectivos basados en síntomas.
identificar un número suficiente de casos que al
realizar las comparaciones rutinarias permita
aislar desvíos que se encuentran por encima del
nivel de riesgos establecido
Evaluación continua de los controles
Una evaluación continua de control proporciona
independiente análisis de los controles de aplicación
automatizados y de controles generales de TI a través de
considerar sus condiciones iniciales y los cambios
posteriores en la configuración. Debido a la degradación
que a menudo ocurre en los controles de TI que preceden
a errores en los datos, el uso de la evaluación continua de
control permite el DEA proporcionar a la Gerencia una
alerta temprana de fallas de control o deficiencias. Las
actividades claves y consideraciones para realizar una
evaluación continua de control incluyen:
Con relación a objetivos de control.
o Precaución con la tendencia de automatizar cada
paso de un programa de auditoría existente. Es
preferible identificar un número menor de
evaluaciones que se relacionen con objetivos de
control de alto nivel.
o El verdadero poder de la evaluación continua de
control radica en la capacidad de proporcionar
aseguramiento pertinente de manera efectiva y
oportuna.
o Dado que los controles generales de TI posibilitan
confiabilidad permanente a los controles
automatizados, la evaluación de los controles
generales de TI y los controles automatizados de
la aplicación es parte fundamental para optimizar
el proceso de aseguramiento y cumplimiento.
o Los controles automatizados se configuran en las
aplicaciones para alcanzar exactitud, integridad, y
autorización de las transacciones. Obtener una
comprensión de los controles automatizados a
través de las discusiones conjuntas con la
Gerencia y los expertos en TI.
Determinar los controles clave.
o Recorrer el escenario de negocios y considerar
qué podría salir mal. Determinar cómo han sido
diseñadas y configuradas las técnicas
automatizadas en el sistema para el control de la
autorización, la integridad y la exactitud de las
transacciones.
GTAG – Resumen Ejecutivo
19
o Cuestionar los controles configurados
sistemáticamente para determinar sus condiciones
actuales y de origen y evaluar si están operando
efectivamente, tal como han sido diseñados.
o Los cambios al monitoreo, los cuales deberían ser
poco frecuentes, a controles configurables
automatizados. Los controles automatizados que
no están bien configurados o cambian
frecuentemente, disminuyen la confianza del
auditor en la eficacia de las actividades de
control.
Evaluar el estado inicial de los controles.
o Una vez que los procesos claves del negocio, los
objetivos de control relacionados y los controles
automatizados están definidos, ordénelos
decreciente para identificar los puntos de control
críticos (el más alto impacto / riesgo).
Para los puntos de control críticos, definir un
apropiado análisis para cada objetivo de control
Evaluar el estado actual de la configuración de
los controles automatizados, en comparación
con valor inicial. Determinar si la condición de los controles
automatizados han cambiado desde la
auditoría inicial.
Considere la frecuencia y magnitud de los
cambios a los controles automatizados.
Disponga de excepciones de para corroborar
su efectividad.
Como ejemplo, la Figura 7 describe la evaluación de un
control continuo en un proceso de cobro a clientes
Figura 7: Cobros en Efectivo – Evaluación de Control Continuo
Informar y gestionar los resultados
Después de diseñar y construir indicadores de auditoría
continua, los auditores internos deben planificar
evaluaciones continuas de riesgos y controles dentro del
universo de auditoría. Las evaluaciones continuas deben
analizar los resultados de las técnicas de auditoría
continua, probarlas si es necesario e informar
recomendaciones.
Los entregables pueden variar desde un simple gráfico de
comparaciones y tendencias a visualización de datos de
riesgos y controles (véase el Apéndice). El proceso es
repetititivo y las competencias en auditoría continua /
monitoreo continuo evoluciona a auditores que colaboran
con la primera y segunda líneas de defensa. El éxito de los
programas de auditoría continua / monitoreo continuo es
promover oportunamente la toma de decisiones, coordinar
planes de acciones y remediar exitosamente los problemas.
Establecer una metodología repetible
Una metodología estructurada para gestionar los resultados
debe incluir estos pasos para asegurarse que las
excepciones identificadas son abordadas y remediadas
oportunamente:
1. Revisar y discriminar las excepciones de riesgo con
precisión creciente.
2. Realizar el análisis de “causa raíz” para identificar
deficiencias en el diseño del control, en su ejecución o en
ambas cosas. Atacando las condiciones de causa raíz, se
pueden disuadir excepciones recurrentes, orientar a
mejores recomendaciones y resaltar el valor agregado de la
metodología de auditoría continua.
Relacionar objetivos
de Control
Determinar
Controles Clave
Evaluar condición de
inicio de los controles
Clave
Autorización
Integridad
Exactitud
Verificación de aprobaciones crediticias Coincidencia de “tres vías” Segregación de tareas Elementos requeridos a Sistemas:
Datos del cliente
Datos del material
Precio Escalada en la reconciliación Codificación de las cuentas de Ingresos Niveles de Tolerancia
Condición: ¿Está activo el control configurable? Cambio: ¿se concretó algún cambio al control configurado desde la Auditoría anterior?
GTAG – Resumen Ejecutivo
20
3. Desarrollar una recomendación para la remediación.
4. Registro y seguimiento del plan de acción de la
Gerencia para la remediación.
Informar de los resultados
Es preferible informar de los resultados de auditoría
continua a través de una página web en lugar de enviar
archivos sensibles y de gran tamaño a través del correo
electrónico.
Las estrategias de reporte varían desde la simple
exportación de excepciones en una carpeta compartida en
una unidad de red, hasta las notificaciones por correo
electrónico, seguimiento de acciones de remediación
mediante herramientas de flujo de trabajo (workflow),
tableros de comando y visualización de datos. Se puede
implementar una variedad de soluciones de reporte para
satisfacer las necesidades de la primera, segunda, y tercera
líneas de defensa, la Gerencia y el Consejo. Las
consideraciones claves para informar los resultados de
auditoría continua incluyen:
publicar regularmente un amplio conjunto de
informes a una unidad de red a nivel de detalle
requerido para apoyar el monitoreo continuo y la
auditoría continua.
Almacenar los resultados de excepciones en una
base de datos segura. Presentar información de tendencias en un tablero
de comandos en la web o en un “mapa de calor”.
Facilitar la acción de la gerencia
Cada plan de acción debe tener un dueño responsable de
la remediación hasta su resolución. La excepción debe ser
seguida y, una vez reportada como resuelta, el monitoreo
continuo posterior debe evaluar si la resolución es
sustentable en el tiempo.
Alinearse con el Monitoreo Continuo y adaptar la
estrategia de Auditoría Continua
La auditoría continua debe permanecer flexible y atenta a
los cambios que se producen en la exposición al riesgo y en
el entorno de control.
El DEA debe actualizar periódicamente la estrategia del
programa de auditoría continua para adaptarse a las nuevas
prioridades y temáticas. Puede resultar necesario añadir
puntos de control adicionales o exposiciones al riesgo, u
otros que pueden ser migrados a los esfuerzos de monitoreo
continuo de la Gerencia. A través del tiempo,
probablemente sea necesario ajustar o relajar umbrales,
pruebas de control y parámetros para diferentes análisis. Con posterioridad a la implementación, el DEA debe
registrar los beneficios alcanzados por el monitoreo
continuo en otras iniciativas de la Gerencia tales como
Gestión Integral de Riesgos de la empresa y medidas de
desempeño. La cuantificación de los beneficios
experimentado por los auditores y otros proveedores de
aseguramiento documenta el retorno de la inversión,
mejora la reputación y justifica la financiación de nuevas
inversiones y desarrollo estratégico.
GTAG – Resumen Ejecutivo
21
Estudios de caso – Apéndice
Este apéndice ilustra tres aplicaciones prácticas de
auditoría continua.
Caso A.1 Evaluación continua de control de los
controles de aplicación
Caso A.2 Evaluación continua de control de un
sistema de gastos de un empleado
Caso A.3 Evaluación continua de riesgo de un
proceso manual de comprobantes del libro
diario
A.1 Evaluación continua de control respecto
de Controles de la Aplicación
Los controles de aplicación son configurados para
reforzar la integridad, exactitud, y autorización de las
transacciones. Automatizar la revisión de los controles
de aplicación puede ayudar a los auditores y a los
profesionales de cumplimiento a contestar estas
preguntas:
¿Con que frecuencia ocurren cambios en los
controles automáticos?
¿El equipo de aplicación o de tecnología
informática aplicó las actualizaciones
(upgrades) o parches?
¿Ha sido modificada la configuración de un
proceso de negocio relevante?
¿Puede alguno de los cambios impactar la forma
en la que la aplicación se comporta?
Las respuestas a estas preguntas pueden determinar la
necesidad de un mayor número de pruebas y
potencialmente incrementar la eficiencia y efectividad
de la auditoría.
En este caso de estudio, una evaluación continua de los
controles de aplicación estuvo atada a una reducción en
las pruebas de casi 6000 horas de trabajo comparadas con
el año anterior. Luego de obtener el soporte de las partes
interesadas clave tales como la Gerencia, IT, auditores
externos, y dueños de aplicaciones, los auditores internos
identificaron objetos clave del control de configuración,
extracción automatizada de datos y resultados
comparados.
Identificar los objetos clave del control de
configuración
El primer paso hacia la evaluación continua del control
fue el de identificar los objetos claves dentro de las
funciones de control de la aplicación, incluyendo
programas, pantallas, páginas web, y tablas. Los
siguientes pasos fueron determinar cómo automatizar la
extracción de datos y si los controles fueron cambiados.
Automatizar la extracción de datos de la aplicación
Varias herramientas comerciales para la extracción de
datos están disponibles en el mercado. Sin embargo, en
este caso, optaron por una herramienta de extracción de
datos desarrollada internamente, reduciendo así el costo
de la implementación de auditoría continua. Una vez
seleccionada la herramienta, se necesitaba tomar ciertas
decisiones:
¿Con qué frecuencia debería extraerse de la
aplicación la información de control para ser
comparada con la base de referencia?
¿Quién debería mantener el historial de datos y
donde va a almacenarse?
Cuando se compare la información de control
con la base de referencia de auditoría, ¿quién
debería ser el responsable de evaluar la
importancia de los cambios en la aplicación y
de determinar qué controles necesitan ser
probados nuevamente?
Resultados comparados
Luego de que los datos fueron extraídos, fueron
comparados con un período base. El reporte de
comparación identificó los controles automáticos claves
que fueron sujetos de cambio luego del período base, y el
tipo de cambio (Ver figura 8). Idealmente, los controles
de aplicación no deberían cambiarse.
Los auditores seleccionaron controles clave y los
analizaron en profundidad para evaluar el cambio. Como
es apropiado, los reportes de comparación fueron
incorporados en los papeles de trabajo de auditoría, ya
sea para proveer evidencia de que no era necesario
profundizar más sobre las pruebas de los controles o bien
para soportar la necesidad de realizar la prueba
nuevamente. En este sentido, la comparación facilitó un
abordaje basado en riesgos para la nueva prueba,
GTAG – Resumen Ejecutivo
22
ejecutado a través de los esfuerzos de monitoreo
continuo de la Gerencia cuando fue posible,
suministrando eficiencia adicional.
Figura 8: Controles de la aplicación – Reporte comparativo
Luego de la implementación de la evaluación continua
del control, el 58% de los controles de aplicación
pudieron ser validados sin pruebas. Del 42% remanente,
el 16% fue probado durante la primera mitad del año, y
el 26% fueron evidenciados nuevamente durante la
segunda mitad del año.
El tiempo requerido para la evaluación de los controles
de aplicación disminuyó de 6300 a 352 horas de trabajo,
lo que implica un 94% de disminución año a año (ver
figura 9).
Figura 9: Total de horas de trabajo ahorradas
Probados en la primera mitad del año Probados en la segunda mitad del año Validados sin pruebas
33; 16%
122; 58% 55; 26%
Total Horas Trabajadas
Luego de implementar
352
5,948 Horas menos
Revisión anterior 6300
Horas trabajadas
0 4000 8000
GTAG – Resumen Ejecutivo
23
A.2 Evaluación continua de control de un
sistema de gastos de un empleado
Auditar en forma continua es potencialmente más
efectivo cuando se aplica a sistemas de alto volumen que
son accedidos por un gran número de usuarios. Este caso
ilustra cómo los auditores internos aplicaron técnicas de
auditoría continua a un sistema de gastos de un
empleado.
Antecedentes y desafíos
Las auditorías previas de los sistemas de gastos de
empleados consumían tiempo y requerían de una labor
intensiva, y el alcance de la auditoría era a veces
limitado por restricciones de recursos. El sistema de
gastos de empleados estaba basado en reglas con
numerosos controles automáticos implementados en
múltiples niveles, para gestionar la calidad de los datos
ingresados e iniciar el proceso de aprobación de gastos.
Los ejemplos incluyen:
Un control de envío de datos:
o Si se ingresan gastos duplicados para la
misma fecha, categoría y monto, el
sistema podría indicar al usuario una
alerta que requeriría una aprobación
gerencial, y marcaría la transacción
para una revisión de la operación.
Controles activos de aprobación
o Las transacciones de riesgo fueron
retenidas a la espera de una revisión de
un supervisor.
o Un empleado no puede aprobar su
propio envío de gastos.
Los controles típicamente se enfocaron en límites o
autorizaciones, pero no necesariamente se comprueba la
validez o la exactitud de los datos ingresados. Una
categorización inadvertida o intencionalmente
incorrecta o comentarios confusos ingresados por un
empleado podían pasar inadvertidos. La efectividad del
sistema basado en reglas dependía de:
La exactitud y honestidad de las
entradas del empleado que ingresa el
ítem del gasto
La predisposición y habilidad de los
gerentes para revisar precisamente y
aprobar o denegar el gasto
oportunamente
Enfrentados con estos desafíos, los auditores internos
trataron de encontrar la mejor forma de evaluar la
validez de las transacciones de gastos.
La solución de auditoría contínua
En resumen, los auditores internos determinaron:
1. Los detalles de las transacciones de tarjetas de
crédito estaban disponibles desde el emisor de la
tarjeta, y comparando los datos del sistema
electrónico de gastos con los del emisor de la
tarjeta, se logró un mejor panorama de la
validez de los gastos.
2. Una vez que el reporte de datos del emisor de la
tarjeta fue comparado con los datos del sistema
electrónico de gastos por número de empleado,
fecha de carga, y monto de carga, la
categorización del gasto y los comentarios
pudieron ser comparados con el código del
comerciante de la transacción y la descripción
de la transacción. Por ejemplo, se podía
identificar una transacción con un código de
comerciante de una tienda de zapatos, pero
categorizado en el registro de gastos como de
alimentos.
3. El emisor de la tarjeta proveyó “reportes
cuestionables” que podían ser personalizados
para identificar tipos específicos de comercios y
correrlos con una frecuencia mensual o
cuatrimestral.
A continuación se encuentran ejemplos de técnicas de
auditorio continuo que fueron usadas para identificar
deficiencias de control, anomalías y banderas rojas
indicando potencial fraude o abuso. A pesar de que no
fueron cuantificados aquí, los auditores internos
reportaron una reducción en la cantidad de horas que
eran previamente necesarias para adquirir la
información, ejecutar el análisis de datos, y revisar los
resultados, comparados con las auditorías previas del
sistema electrónico de gastos.
Métricas de consumos cuestionables
GTAG – Resumen Ejecutivo
24
Identificación de todos los gastos cuestionables
acumulados por código de comerciante, empleado y
establecimiento.
Consumos cuestionables en establecimientos
restringidos
Identificación de toda la actividad de gastos para los
establecimientos restringidos facturados como un gasto
de un empleado. Los establecimientos restringidos fueron
identificados a través de indicadores tales como nombres
legales de proveedores, coincidencia de direcciones,
sitios con una mezcla de gastos y actividad personal,
transacciones de alto valor divididas, y palabras clave
restringidas (por ejemplo niños, hospital, club nocturno,
caballeros, casinos, Premium, upgrade).
Resumen de categorización incorrecta
Identificación de todos los gastos no relacionados con
alimentos (por ejemplo gastos de indumentaria)
incorrectamente categorizados como alimentos o
entretenimiento.
Ítems restringidos
Identificación de palabras clave restringidas (por ejemplo niño, hospital, club nocturno, caballeros, casinos, premium y
upgrade) en los campos de identificación de la transacción. Este tipo de análisis generalmente requiere el uso de software
de análisis de datos.
Palabra
prohibida
Descripción de transacción 1 Descripción de transacción 2 Id de
empleado
Fecha de
carga
Monto
en USD
KIDS KIDS TOON AMMAN JORDAN
AMMAN
23.000 JO DINAR CONVERTED TO 12345678 2015-01-12 32.49
HOSPITAL ALKINDI HOSPITAL
ESPECIALIZADO
5.000 BH DINAR CONVERTED TO 34567891 2015-01-22 13.26
NIGHTCLUB BC OF NOLA 274600029 NEW
ORLEANS
REF# ID6155 BAR / NIGHTCLUB
15/01/15 23456789 2015-01-12 225.00
GTAG – Resumen Ejecutivo
25
Gastos de alto valor sin recibo
Identificación de los gastos de alto valor dentro de cada categoría de gastos que fueron enviados sin recibo.
Actividad de tarjeta en la ciudad de residencia
Identificación de actividad ininterrumpida de la tarjeta en el domicilio o ciudad del tarjetahabiente y en sus alrededores.
Factura del hotel
Identificación de todos los gastos cuestionables de la factura del hotel acumulados por ítem, empleado y hotel. Esto incluyó
ítems no reembolsados bajo la política de gastos que fueron ocultados dentro del cargo total del hotel.
Tarifas de aerolíneas
Identificación de todos los gastos de viajes aéreos donde había una falta de correlación entre el comentario / categoría del
gasto y la descripción del proveedor de la tarifa. Por ejemplo, ítems como mejoras de asientos o cabinas que fueron
ingresados como tarifas de aire o de equipaje.
Actividad personal en tarjetas morosas
Identificación de actividad ininterrumpida de la tarjeta personal en cuentas previamente morosas.
Actividad personal y no gastada
Identificación de toda actividad personal y no gastada con tarjeta comparada con los reclamos de dinero en efectivo.
Gastos divididos
Identificación de gastos que podrían haber sido divididos para evadir los umbrales por transacción. Este análisis fue
ejecutado a través de la búsqueda de transacciones con igual vendedor y fecha. Herramientas de análisis de datos con
funcionalidades incorporadas para analizar duplicados fueron muy útiles.
Id de
empleado
Id de
Proveedor
Nombre del proveedor Código de comerciante Fecha de carga Monto
USD
12345678 9945845279 EL ARRIERO STEAKHOUSE LUGARES DE COMIDA / RESTAURANTES 2015-02-11 450.00
12345678 9945845279 EL ARRIERO STEAKHOUSE LUGARES DE COMIDA / RESTAURANTES 2015-02-11 300.00
23456789 9903904407 WORLD CAR SA ALQUILER DE AUTOS – TODOS LOS TIPOS 2015-02-13 225.00
23456789 9903904407 WORLD CAR SA ALQUILER DE AUTOS – TODOS LOS TIPOS 2015-02-13 175.00
A.3 Evaluación continua de riesgo de un
proceso de comprobantes de diario Una
evaluación continua de riesgo a nivel de proceso puede:
Identificar riesgos nuevos y emergentes dentro
de un tiempo corto desde la transacción inicial
asociada.
Ayudar a los auditores a identificar tendencias
anormales y evaluar el impacto acumulativo y el
valor total de riesgo.
Este caso resalta los pasos tomados por los auditores
internos para desarrollar e implementar una evaluación
de riesgo continua de un proceso de comprobantes de
diario manual.
1. Entender el proceso
El primer paso para desarrollar la evaluación continua de
riesgo fue desarrollar un entendimiento directo del
proceso. En este caso, los auditores llevaron a cabo una
investigación externa y recabaron información relevante
GTAG – Resumen Ejecutivo
26
de la Gerencia y de los dueños de los procesos para lograr
la comprensión total de la población, los reportes
disponibles, las áreas no estándar, y las dependencias con
otros procesos. El paso siguiente fue construir un
prototipo de base de datos de atributos de riesgos que
podrían impactar en el proceso del Diario.
2. Crear un prototipo de base de datos de
riesgos
Se utilizaron herramientas analíticas y estadísticas para
crear un prototipo de base de datos de riesgos. La base de
datos fue desarrollada a través de un proceso repetitivo
que revisaba la integridad de los datos, completitud y
exactitud lógica. Por ejemplo, los atributos de riesgo de
la base de datos de riesgos del proceso manual de asiento
diario incluyeron:
Resultados de riesgo
Impacto del proceso en el beneficio neto
Impacto del proceso en los ingresos y gastos
Impacto del proceso en el efectivo y otros activos
Impacto del proceso en el pasivo
Indicadores de riesgo
Comprobantes contabilizados por usuarios
cancelados o no autorizados
Comprobantes contabilizados luego de la fecha de
corte
Comprobantes contabilizados en vacaciones
Comprobantes contabilizados sin una adecuada
segregación de funciones
Comprobantes contabilizados sin documentación
ni aprobaciones
Comprobantes de alto valor
Comprobantes de transacciones divididas
3. Identificar riesgos no conocidos y
atípicos utilizando técnicas estadísticas
Para identificar riesgos nuevos y emergentes se aplicaron
técnicas estadísticas, reduciendo potencialmente el
elemento sorpresa. Se ejecutaron análisis de tipo grilla,
conglomerados, ley de Benford, regresión, y del tipo
“qué pasa si”.
Los análisis de grilla fueron utilizados para
segmentar la población por dos variables
independientes, el porcentaje de ingreso de
comprobantes manuales del libro diario y los
montos del balance general. En la siguiente grilla,
fueron segmentados 10 países para mostrar los
países más riesgosos a primera vista, así como los
países con mejor desempeño, los que fueron
capitalizados para compartir las mejores prácticas.
Los análisis de conglomerados fueron utilizados
para segmentar la población e identificar
conglomerados de transacciones riesgosas utilizando
variables múltiples tales como transacciones de alto
valor, contabilizaciones en días no laborables y
transacciones de cierre de ejercicio.
La ley de Benford fue utilizada para analizar la
ocurrencia de ciertos dígitos dentro de los campos
numéricos clave para encontrar patrones
anormales, fabricados o potencialmente
fraudulentos. Un ejemplo de un análisis de
tendencia anormal de un país:
GTAG – Resumen Ejecutivo
27
Los análisis de regresión fueron utilizados para
identificar desvíos. En el siguiente ejemplo, los
análisis de regresión identificaron países con
desvíos alcanzando el valor total de los
comprobantes manuales de libro diario por encima
del balance general.
Los análisis de tipo “qué-pasa-si” fueron utilizados para
predecir relaciones futuras entre variables.
4. Colaborar en los esfuerzos de reporte
La evaluación continua de riesgo fue diseñada para
automáticamente mostrar resultados en gráficos, tablas, y
otras herramientas visuales para reportes y tableros de
comando de auditoría. Los tableros de comando de
auditoría fueron creados sistemáticamente y luego el
proceso fue expandido para incluir tableros de comando
de la Gerencia. Esto evitó la duplicación de datos y los
esfuerzos requeridos para generar reportes y publicar los
resultados de la Gerencia. La Gerencia pudo monitorear
mejor los indicadores clave de desempeño La
colaboración ayudó a los auditores internos a entender
los resultados del monitoreo continuo de la Gerencia. La
Auditoría Interna tuvo cuidado de mantener su
independencia y no tomar la propiedad de los riesgos.
Los reportes de monitoreo continuo informaron los
planes de acción de la Gerencia y proveyeron
oportunidades mejoradas para detectar el fraude y evitar
sorpresas.
GTAG – Resumen Ejecutivo
28
Autores, revisores, y Colaboradores
Autores:
Bradley C. Ames, CPA, CRMA, CISA
Roy D'Cunha, ACMA, CIA, CISA, CGMA
Patricia Geugelin-Dannegger
Peter B. Millar
Sajay Rai, CPA, CISSP, CISM
Andrew Robertson, CRMA
Thomas Steeves, CISA
Revisores y colaboradores:
David Coderre
Carrie Gilstrap, CISA
Steven Hunt, CBM, CGEIT, CIA, CISA, CRISC, CRMA
Steven E. Jameson, la CIA, CCSA, CFSA, CRMA
Peter Schraeder
Dragón Tai, la CIA, CISA, CCSA, CRMA
Jaroslaw B. Tarbaj, CISA
GTAG – Resumen Ejecutivo
29
GTAG - autores, revisores y Colaboradores
Acerca del Instituto
Establecido en 1941, el Instituto de Auditores Internos (IIA) es una asociación profesional internacional
con sede mundial en Altamonte Springs, Fla., EE.UU.. El IIA es la voz global de la profesión de
auditoría interna, autoridad reconocida, reconocido líder, principal defensor y educador principal.
Acerca de Guías de Práctica
Las Guías Prácticas proporcionan orientaciones detalladas para la realización de actividades de auditoría
interna. Incluyen procesos y procedimientos detallados, tales como herramientas y técnicas, programas
y enfoques paso a paso, así como ejemplos de entregables. Las Guías Práctica son parte del IPPF del IIA.
Como parte de la categoría de orientación Muy Recomendada, el cumplimiento no es obligatorio pero es
muy recomendable, y la guía es aprobado por el IIA a través de revisión y aprobación de procesos
formales.
Una Guía de Auditoría Global Technologies (GTAG) es un tipo de Guía Práctica que está escrito en
lenguaje directo de negocios para hacer frente a un tema puntual relacionado con la gestión de
tecnología de la información, control o seguridad.
Para otros materiales de orientación autorizadas proporcionadas por el IIA, por favor visite nuestro sitio
web en www.globaliia.org/standards-guidance.
Descargo de responsabilidad
El IIA publica este documento para fines informativos y educativos. Este material de orientación no es
destinado a proporcionar respuestas definitivas a las circunstancias específicas y como tal sólo está
destinado a ser utilizado como una guía. El IIA recomienda que siempre busque asesoramiento experto
independiente en relación directa con cualquier situación específica. El IIA no se responsabiliza de
cualquier colocación de la dependencia exclusiva en esta guía.
Derechos de autor
Copyright ® 2015 El Instituto de Auditores Internos.
Para la autorización para reproducir, por favor póngase en contacto con el IIA en [email protected].
140.578
www.globaliia.org
TRADUCIDO POR EL INSTITUTO DE AUDITORES INTERNOS DE ARGENTINA
Traductores: NESSIER, Pablo,CISA;
VEXINA, Inés,
SCHNIDER, Marcos.
Revisión de: SERRACIN, Aixa, CRMA
FALEATO, Javier, CIA, CCSA, CRMA.