La segunda parte del curso comprende:
1. NORMAS RELACIONADAS.
2. EL ÓRGANO DE CONTROL INSTITUCIONAL U ÓRGANO DE AUDITORÍA INTERNA, SUPERVISIÓN, COMISIÓN AUDITORA Y LOS AUDITORES GUBERNAMENTALES.
3. IDENTIFICACIÓN, PROCESAMIENTO Y ALMACENAMENTO DE DATOS.
4. AUDITORÍA CONTÍNUA.
5. SECUENCIA DE AUDITORÍA.
6. ÁREAS DE APLICACIÓN DE AUDITORÍA
7. PROCESO DE LA AUDITORÍA
NORMA INTERNACIONAL DE AUDITORÍA 315IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO
NIA 315 Identificación y valoración de los riesgos de incorrección material rrvn73
Norma Internacional de Auditoría referente a la identificación y valoración de los
Riesgos de incorrección material mediante el conocimiento de la entidad y su entorno
Pp normal curso técnicas y procedimientos de auditoría 19.may.2013miguelserrano5851127
El material académico trata de internalizar técnicas y procedimientos de auditoría para la obtención de evidencia suficiente, competente y relevante que respalde los hallazgos de auditoría a ser comunicados a los servidores y funcionarios comprnedidos en los hechos observados
NORMA INTERNACIONAL DE AUDITORÍA 315IDENTIFICACIÓN Y VALORACIÓN DE LOS RIESGOS DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA ENTIDAD Y DE SU ENTORNO
NIA 315 Identificación y valoración de los riesgos de incorrección material rrvn73
Norma Internacional de Auditoría referente a la identificación y valoración de los
Riesgos de incorrección material mediante el conocimiento de la entidad y su entorno
Pp normal curso técnicas y procedimientos de auditoría 19.may.2013miguelserrano5851127
El material académico trata de internalizar técnicas y procedimientos de auditoría para la obtención de evidencia suficiente, competente y relevante que respalde los hallazgos de auditoría a ser comunicados a los servidores y funcionarios comprnedidos en los hechos observados
CURSO DE AUDITORÍA CONTINUA O DE TIEMPO REAL ENE.2018
PRIMERA PARTE:
1. GENERALIDADES DEL ENTORNO ORGANIZACIONAL.
2. CONCEPTOS Y DEFINICIONES.
3. EVALUACIÓN CONTÍNUA DEL CONTROL.
4. APLICACIONES PARA LA EVALUACIÓN CONTÍA DEL CONTROL.
5. MONITOREO CONTÍNUO.
6. ASEGURAMIENTO.
7. SUPERVISIÓN CONTÍNUA.
8. MARCO DE GESTIÓN DE RIESGOS EMPRESARIALES COSO ERM 2017.
9. AUDITORÍA INTERNA.
Pp curso de auditoría gubernamental upla set.2013 2da. partemiguelserrano5851127
Curso de auditoría gubernamental - 2da parte, tiene por objetivo internalizar conceptos, técnicas y procedimientos del proceso de auditoría gubernamental en el sector público.
LEY n. 30742 LEY DE FORTALECIMIENTO DE LA CONTRALORÍA GENERAL DE LA REPÚBLIC...miguelserrano5851127
Cuyo objeto es establecer las normas y disposiciones requeridas para el fortalecimiento de la Contraloría General de la República y del Sistema Nacional de Control, con la finalidad de modernizar, mejorar y asegurar el ejercicio oportuno, efectivo y eficiente del control gubernamental, así como de optimizar sus capacidades orientadas a la prevención y lucha contra la corrupción.
Directiva n.° 005-2018-CG/DPROCAL “Auditoría de cumplimiento derivada del con...miguelserrano5851127
Cuya finalidad es regular la auditoría de cumplimiento derivada del control concurrente, que ejecuta la Contraloría General de la República y los Órganos de Control Institucional, en las entidades cuyos procesos fueron materia de uno o más servicios de control concurrente, con el fin de hacer más eficiente y oportuno el control gubernamental.
Modifican la Directiva N° 017-2016-CG/DPROCAL “Control Simultáneo” aprobada c...miguelserrano5851127
Cuyo objetivo es Modificar el numeral 7.1 Modalidades del control simultáneo, del punto 7 Disposiciones Específicas, de la Directiva n° 017-2016-CG/DPROCAL “Control Simultáneo”, aprobada por la Resolución de Contraloría n° 432-2016-CG,
Directiva nº 004-2018-CG/DPROCAL “Participación Voluntaria de Monitores Ciuda...miguelserrano5851127
Cuyo objetivo es el de objetivo Establecer como una modalidad del mecanismo de veeduría ciudadana, la participación voluntaria de los monitores ciudadanos de control en la ejecución de obras a realizarse en el marco del Plan Integral de Reconstrucción con Cambios, definiendo las etapas de su intervención y las disposiciones que regulan su desarrollo.
CURSO DE AUDITORÍA CONTINUA O DE TIEMPO REAL MAR.2018 TERCERA PARTEmiguelserrano5851127
La tercera parte y final del curso Auditoría Contínua o de Tiempo Real comprende:
1. METODOLOGÍA PARA LA AUDITORÍA
2. AUTOEVALUACIÓN DE LA AUDITORÍA.
3. MODELO DE CAPACIDAD ANALÍTICA DE AUDITORÍA.
4. VALOR AGREGADO DE LA AUDITORÍA.
5. APLICACIONES PRÁCTICAS DE LA AUDITORÍA.
6. INDICADORES.
7. LAS LÍNEAS DE DEFENSA.
8. ESTUDIO DE CASOS.
Lineamientos de política para el planeamiento del control gubernamental a car...miguelserrano5851127
Lineamientos de política para el planeamiento del control gubernamental a cargo del Sistema Nacional de Control 2018 y la Directiva n. ° 006 -2O17-CG/GOE Directiva de programación, seguimiento y evaluación del Plan Anual de Control 2018 de los órganos de Control Institucional, aprobado con R. C. n.° 489-2017-CG de 29.DIC.2017
Cuyo objetivo es el de Regular el proceso de programación, seguimiento y evaluación del Plan Anual de Control a cargo de los Órganos de Control lnstitucional para el año 2018, mediante disposiciones que les permitan establecer y priorizar actividades, definir metas, distribuir eficientemente los recursos disponibles para a ejecución de los servicios de control, servicios relacionados, actividad de apoyo y la atenci6n de encargos de la CGR.
Directiva nº 005-2017-CG-DPROCAL “Control concurrente para la reconstrucción ...miguelserrano5851127
Cuya finalidad es Regular el control concurrente para la reconstrucción con cambios como una modalidad del servicio de control simultáneo a cargo de los órganos conformantes del Sistema Nacional de Control, en las entidades sujetas a control gubernamental, con el propósito de contribuir oportunamente con la correcta, eficiente y transparente utilización y gestión de los recursos y bienes del Estado.
Modifican el sub numeral 7.1.3.1 de la Directiva n° 007-2014-CG/GCSII denomin...miguelserrano5851127
ANEXO n° 1
Modificación del sub numeral 7.1.3.1 de la Directiva n° 007-2014-CG/GCSII denominada “Auditoría de Cumplimiento”, aprobada por Resolución de Contraloría n° 473-2014-CG.
ANEXO n° 2
Modificación del numeral 6) Señalamiento del tipo de presuntas responsabilidades del punto III.
Observaciones y punto VI. Apéndices, del rubro Estructura del informe de auditoría, del sub numeral
4.3. Elaborar el informe de auditoría, del numeral 4. Elaboración de Informe, del “Manual de Auditoría de
Cumplimiento” aprobado por Resolución de Contraloría n° 473-2014-CG.
ANEXO n° 3
Modificación del rubro Apéndices de la Tabla de Criterios a Considerar en la Elaboración del Informe
de Auditoría del Apéndice 11 - Informe de Auditoría, del numeral 7. Apéndices e inclusión del Apéndice
22 - Documento que Sustenta la Identificación de la Presunta Responsabilidad Administrativa Funcional,
en el numeral 7. Apéndices, del “Manual de Auditoría de Cumplimiento” aprobado por Resolución de Contraloría n° 473-2014-CG.
Carpeta de control para el Ministerio Público, aprobada con R. C. n° 351-2017...miguelserrano5851127
Cuyos objetivos son:
a. Establecer las disposiciones que regulan el proceso de atención de requerimientos de información del Ministerio Público respecto a hechos evidenciados durante el desarrollo de un servicio de control posterior, que se encuentren vinculados a una investigación fiscal.
b. Determinar las condiciones para proceder a la atención del requerimiento de información del Ministerio Público, mediante la Carpeta de Control.
Función Auditora y Asesora de las EFS: Oportunidades y Riesgos, así como Posi...miguelserrano5851127
Un enfoque moderno y eficaz de las Entidades Fiscalizadoras Superiores (EFS) para una gobernanza mejor no se limita a la auditoría. La identificación puramente retrospectiva de imperfecciones y deficiencias ya no basta para que las EFS sean percibidas como elementos eficaces de fiscalización.
Existen posibilidades para ahondar el impacto de la labor de auditoría y, por consiguiente, mejorar el rendimiento de las administraciones públicas, conseguir y acelerar la realización de los Objetivos de Desarrollo del Milenio (ODM) de las Naciones Unidas, así como la agenda para el de desarrollo, convenida a nivel internacional, y hacer más visible el valor y beneficio de las EFS.
Las actividades de auditoría y asesoría son, por tanto, dos caras de la misma moneda:
Se analizan e identifican los problemas y las posibilidades de subsanarlos en el curso de auditorías retrospectivas y basadas en hechos, y
Las actividades de asesoría orientadas hacia el futuro se abordan con en recomendaciones para potenciar la economía y la eficiencia de la administración pública y mejorar la gobernanza pública.
Modifican la Directiva Nº 006-2016-CG/GPROD “Implementación y seguimiento a l...miguelserrano5851127
Cuyo fin es el de contribuir a la mejora del proceso de implementación y seguimiento a las recomendaciones de los informes de auditoría, se ha identificado la necesidad de efectuar determinadas precisiones a la Directiva n.º 006-2016-G/GPROD, referidas al plan de acción que sustenta el inicio del proceso de implementación y seguimiento a las recomendaciones del informe de auditoría.
DIRECTIVA n° 002-2017-CG/DPROCAL “EVALUACIÓN FUNCIONAL DEL JEFE Y PERSONAL DE...miguelserrano5851127
Cuyos objetivos son:
a. Establecer las disposiciones que regulan las etapas del proceso de evaluación funcional del jefe y personal del Órgano de Control Institucional, independientemente de su vínculo laboral o contractual con la Contraloría General de la República o con la entidad en la que ejercen sus funciones.
b. Establecer los criterios técnicos bajo los cuales se realiza la evaluación funcional del jefe y personal del Órgano de Control Institucional con el propósito de conocer sus fortalezas y sus áreas de mejora en el desempeño funcional a fi n de optimizar el grado de eficiencia y eficacia del control gubernamental.
ESTUDIO DE LA OCDE SOBRE INTEGRIDAD EN EL PERÚ: REFORZAR LA INTEGRIDAD DEL SE...miguelserrano5851127
En el contexto del Programa País de la OCDE con el Perú, el Estudio de la OCDE sobre Integridad brinda un conjunto de recomendaciones concretas para reforzar un sistema de integridad coherente e integral tanto a nivel nacional como regional. Más allá de analizar las disposiciones institucionales del sistema, el estudio se centra en las políticas y prácticas relacionadas con la financiación política, la promoción de la ética pública y la gestión de los conflictos de intereses, el lobby, la protección a denunciantes, el control interno y la gestión de riesgos, así como el régimen disciplinario y la función del sistema de justicia penal para combatir la corrupción.
LEY n.° 30556 QUE APRUEBA DISPOSICIONES DE CARÁCTER EXTRAORDINARIO PARA LAS I...miguelserrano5851127
El objeto de la Ley n.° 30556 es la implementación y ejecución de un plan integral para la rehabilitación, reposición, reconstrucción y construcción de la infraestructura de uso público de calidad incluyendo salud, educación, programas de vivienda de interés social y reactivación económica de los sectores productivos, con enfoque de gestión del riesgo de desastres.
RADIOGRAFÍA DEL DOCUMENTO “ORIENTACIÓN DE OFICIO” SOBRE LA COMPRA DE 980 COMP...miguelserrano5851127
Análisis del documento "Orientación de Oficio", emitido por la EFS sobre la compra de 980 computadoras (CPU) y 980 monitores por el Congreso de la República.
Guía para la implementación y fortalecimiento del Sistema de Control Interno ...miguelserrano5851127
Cuyo objetivo es orientar el desarrollo de las actividades para la aplicación del modelo de implementación del Sistema de Control Interno en las entidades del Estado de los tres niveles de gobierno, a fin de fortalecer el Control Interno para el eficiente, transparente y adecuado ejercicio de la función pública en el uso de los recursos del Estado.
Guía para la implementación y fortalecimiento del Sistema de Control Interno ...miguelserrano5851127
Cuyo objetivo es el de orientar el desarrollo de las actividades para la aplicación del modelo de implementación del Sistema de Control Interno en las entidades del Estado de los tres niveles de gobierno, a fin de fortalecer el Control Interno para el eficiente, transparente y adecuado ejercicio de la función pública en el uso de los recursos del Estado.
Características del ESTADO URUGUAYO establecidos en la ConstituciónGraciela Susana Bengoa
Concepto General de ESTADO.
Características y estructura del Estado Uruguayo.
Normas Constitucionales donde se establece los distintos elementos que componen el Estado Uruguayo.
Este documento presenta una guía para encontrar soluciones a problemas complejos. Explica qué es un problema público, cómo podríamos definir un problema público, cómo podríamos definir un problema público de forma innovadora, cómo podríamos resolver un problema público con herramientas de pensamiento sistémico, sistemas complejos y pensamiento sistémico: ¿con qué herramientas contamos?
Con esta píldora formativa podrás comprender cómo implementar herramientas como el Arco del proceso de resolución de problemas (Beth S. Noveck / The GovLab), GovLab's Public Problem Solving Canvas o la Guía Un conjunto de herramientas introductorias al pensamiento sistémico para funcionarios públicos del Government Office for Science del Gobierno de Reino Unido.
En esta segunda entrega, el periódico Tierra se adentra en la operación «Inherent Resolve», una de las dos en las que participa el Ejército de Tierra en Irak. Personal de las Fuerzas Aeromóviles del Ejército de Tierra y del Mando de Operaciones Especiales forman parte de la coalición internacional para la lucha contra el Dáesh.
CURSO DE AUDITORÍA CONTINUA O DE TIEMPO REAL FEB.2018, SEGUNDA PARTE:
1.
2.
3.
4. INSTITUTO ESTADOUNIDENSE DE CONTADORES PÚBLICOS CERTIFICADOS (AICPA, EN INGLÉS) – SAS
➢ SAS N.º 47, RIESGOS DE AUDITORÍA Y MATERIALIDAD AL REALIZAR AUDITORÍAS.
➢ SAS N.º 54, ACTOS ILEGALES POR PARTE DE LOS CLIENTES.
➢ SAS N.º 56, PROCEDIMIENTOS ANALÍTICOS.
➢ SAS N.º 78, ENMIENDA A LA SAS N.º 55, EVALUACIÓN DEL CONTROL INTERNO EN UNA AUDITORÍA DE
ESTADOS CONTABLES.
➢ SAS N.º 80, ENMIENDA A LA SAS N.º 31, EVIDENCIA COMPROBATORIA.
➢ SAS N.º 94, EL EFECTO DE LA TECNOLOGÍA DE LA INFORMACIÓN EN LA EVALUACIÓN, POR PARTE DEL
AUDITOR, DE LOS CONTROLES INTERNOS EN UNA AUDITORÍA DE ESTADOS CONTABLES.
➢ SAS N.º 99, EVALUACIONES DE FRAUDE EN UNA AUDITORÍA DE ESTADOS CONTABLES. INSTITUTO DE
AUDITORES INTERNOS
➢ NORMA 1210: PERICIA
➢ NORMA 2010: PLANIFICACIÓN.
➢ NORMA 2120: GESTIÓN DE RIESGOS
➢ NORMA 2130.A1.
➢ GTAG. CONTROLES DE TECNOLOGÍA DE LA INFORMACIÓN.
➢ GTAG. CONTROLES DE GESTIÓN DE PARCHES Y CAMBIOS:
CRÍTICOS PARA EL ÉXITO DE LA ORGANIZACIÓN.
FEDERACIÓN INTERNACIONAL DE CONTADORES – NORMA INTERNACIONAL DE AUDITORÍA (ISA, EN INGLÉS)
➢ ISA N.º 240, RESPONSABILIDAD DEL AUDITOR PARA EVALUAR SITUACIONES DE FRAUDE EN LA AUDITORÍA
DE ESTADOS CONTABLES.
5. ESTANDAR 1220 A:
“EN EL EJERCICIO DEL DEBIDO CUIDADO
PROFESIONAL, LOS AUDITORES INTERNOS DEBEN
CONSIDERAR EL USO DE LA AUDITORÍA BASADA
EN LA TECNOLOGÍA Y OTRAS TÉCNICAS DE
ANÁLISIS DE DATOS”.
2010 CAPABILTIES
AND NEEDS SURVEY
(ENCUESTA DE
CAPACIDADES Y
NECESIDADES):
“HAY UNA TENDENCIA CONTINUA EN EL USO DE
LA TECNOLOGÍA EN LA MAYORÍA DE LAS
ORGANIZACIONES PARA MANEJAR SUS
NEGOCIOS, ASI COMO EN AUDITORIA INTERNA
PARA IMPLEMENTAR AUDITORÍAS Y MONITOREO
MÁS TECHNOLOGY-ENABLED (TECNOLOGÍA
HABILITADA)”
6. 1. LAS ENTIDADES FISCALIZADORAS SUPERIORES – EFS EN TODO EL
MUNDO EMPLEAN LAS AUDITORÍAS EN TIEMPO REAL.
2. POR EJEMPLO, AUSPICIADAS POR LA POLÍTICA EUROPEA DE
VECINDAD, LAS EFS DE ALEMANIA Y POLONIA -
BUNDESRECHMMGSHOF (BRH) Y NAJWYZSZA IZBA KONTROLI
(NIK), RESPECTIVAMENTE - REALIZARON UN PROYECTO
CONJUNTO EN LA OFICINA DE AUDITORIA DEL ESTADO DE
GEORGIA, DE 2014 A 2016.
3. EL OBJETIVO DEL PROYECTO FUE TRANSFERIR CONOCIMIENTOS Y
LAS PRINCIPALES PRÁCTICAS SOBRE DISTINTOS TIPOS DE
PROCEDIMIENTOS DE AUDITORIA, INCLUIDAS LAS AUDITORIAS EN
TIEMPO REAL.
4. TANTO EN ALEMANIA COMO EN POLONIA SE REALIZAN
AUDITORÍAS EN TIEMPO REAL PARA LOS PROYECTOS
IMPORTANTES QUE INCLUYAN INVERSIONES EN
INFRAESTRUCTURA, CONTRATOS DE DEFENSA, TECNOLOGÍA DE
LA INFORMACIÓN, EDUCACIÓN Y PROGRAMAS PARA ESTIMULAR
EL MERCADO.
5. POR EJEMPLO, EN 2010, LA NIK EFECTUÓ ALREDEDOR DE 60
AUDITORÍAS EN TIEMPO REAL, QUE INCLUYERON ACTIVIDADES DE
LA ADMINISTRACIÓN PÚBLICA RELACIONADAS CON EL SECTOR DE
LA CONSTRUCCIÓN Y LOS CENTROS INFANTILES, ENTRE OTROS.
6. LAS AUDITORÍAS DESCUBRIERON PROBLEMAS RELACIONADOS
CON EL CUMPLIMIENTO DE LAS NORMAS DE CONTRATACIÓN,
SEGURIDAD E HIGIENE, ASÍ COMO LA MEDICIÓN DE CONTENIDOS
VENENOSOS EN ALIMENTOS.
7. LAS GUÍAS DEL MARCO INTERNACIONAL PARA LA PRÁCTICA PROFESIONAL RELACIONADAS CON LA AUDITORÍA CONTINUA,
SUPERVISIÓN CONTINUA Y EL ASEGURAMIENTO CONTINUO INCLUYEN:
NORMA 1210: APTITUD
LOS AUDITORES INTERNOS DEBEN POSEER LOS CONOCIMIENTOS, HABILIDADES Y OTRAS COMPETENCIAS NECESARIAS PARA CUMPLIR
CON SUS RESPONSABILIDADES INDIVIDUALES. LA ACTIVIDAD DE AUDITORÍA INTERNA EN SU CONJUNTO DEBE POSEER U OBTENER LOS
CONOCIMIENTOS, HABILIDADES Y OTRAS COMPETENCIAS NECESARIAS PARA CUMPLIR CON SUS RESPONSABILIDADES.
NORMA 2010: PLANIFICACIÓN
EL DEA DEBE ESTABLECER UN PLAN BASADO EN RIESGOS PARA DETERMINAR LAS PRIORIDADES DE LAS ACTIVIDADES DE AUDITORÍA
INTERNA, EN LÍNEA CON LOS OBJETIVOS DE LA ORGANIZACIÓN.
NORMA 2120: GESTIÓN DE RIESGOS
LA ACTIVIDAD DE AUDITORÍA INTERNA DEBE EVALUAR LA EFICACIA Y CONTRIBUIR A LA MEJORA DE LOS PROCESOS DE GESTIÓN DE
RIESGOS.
NORMA 2130: CONTROL
LA ACTIVIDAD DE AUDITORÍA INTERNA DEBE ASISTIR A LA ORGANIZACIÓN EN EL MANTENIMIENTO DE LA EFECTIVIDAD DE LOS
CONTROLES, EVALUANDO SU EFICACIA Y EFICIENCIA Y PROMOVIENDO SU MEJORA CONTINUA.
2130. A1 - LA ACTIVIDAD DE AUDITORÍA INTERNA DEBE EVALUAR LA ADECUACIÓN Y EFICACIA DE LOS CONTROLES EN RESPUESTA A
LOS RIESGOS DEL GOBIERNO, OPERACIONES Y SISTEMAS DE INFORMACIÓN DE LA ORGANIZACIÓN RESPECTO DE LO SIGUIENTE:
▪ LOGRO DE LOS OBJETIVOS ESTRATÉGICOS DE LA ORGANIZACIÓN.
▪ FIABILIDAD DE INTEGRIDAD DE LA INFORMACIÓN FINANCIERA Y OPERATIVA.
▪ EFICACIA Y EFICIENCIA DE LAS OPERACIONES Y PROGRAMAS.
▪ PROTECCIÓN DE LOS ACTIVOS.
▪ CUMPLIMIENTO DE LAS LEYES, REGULACIONES, POLÍTICAS, PROCEDIMIENTOS Y CONTRATOS.
NORMA 2320: ANÁLISIS Y EVALUACIÓN
LOS AUDITORES INTERNOS DEBEN BASAR SUS CONCLUSIONES Y LOS RESULTADOS DEL TRABAJO DE ANÁLISIS Y EVALUACIONES
ADECUADAS.
CONSEJO PARA LA PRÁCTICA (PA) 2320-4: ASEGURAMIENTO CONTINUO
GTAG 14: AUDITORÍA DE APLICACIONES DESARROLLADAS POR EL USUARIO
GTAG 16: TECNOLOGÍAS DE ANÁLISIS DE DATOS
8. 1. ES UN MÉTODO AUTOMATIZADO QUE
APLICAN LOS AUDITORES PARA LLEVAR A
CABO ACTIVIDADES RELACIONADAS CON
LA AUDITORIA DE MANERA CONTINUA.
LAS ACTIVIDADES VAN DESDE LA
EVALUACIÓN PERMANENTE DE LOS
CONTROLES HASTA LA EVALUACIÓN
PERMANENTE DE LOS RIESGOS.
2. ADEMÁS, LA NORMA 2120.A1 DEL IIA
ESTABLECE: EL DEPARTAMENTO DE
AUDITORÍA DEBE ASISTIR A LA
ORGANIZACIÓN EN EL MANTENIMIENTO
DE CONTROLES EFICACES, A TRAVÉS DE
LA EVALUACIÓN DE LA EFECTIVIDAD Y
EFICIENCIA DE ESTOS, Y DE LA
PROMOCIÓN DE MEJORAS PERMANENTES”
3. EL MONITOREO CONTINUO LO REALIZAN
LOS RESPONSABLES DE LA GESTIÓN PARA
ASEGURARSE QUE LAS POLÍTICAS Y LOS
PROCESOS OPERATIVOS RESULTEN
EFICACES, ASÍ COMO PARA EVALUAR LA
ADECUACIÓN Y LA EFICACIA DE LOS
CONTROLES. AUDITORÍA DEBE EVALUAR
LA ADECUACIÓN DE ÉSTAS ACTIVIDADES.
9. LA NORMA 1210 INDICA QUE LA AUDITORÍA INTERNA DEBE POSEER U OBTENER LOS
CONOCIMIENTOS, HABILIDADES, Y OTRAS COMPETENCIAS NECESARIAS PARA LLEVAR A CABO SUS
RESPONSABILIDADES. DISTINTOS NIVELES DE COMPETENCIAS DE TI SERÁN REQUERIDOS
DURANTE EL DESARROLLO E IMPLEMENTACIÓN DE AUDITORÍA CONTINUA. POR EJEMPLO, EN LAS
PRIMERAS ETAPAS DE IMPLEMENTACIÓN:
▪ LA SENSIBILIDAD DE LOS PARÁMETROS, LA PROFUNDIDAD DEL ANÁLISIS Y OTROS FACTORES
PUEDEN RESULTAR EN UN ALTO VOLUMEN DE CASOS DETECTADOS. LA CARGA DE TRABAJO
NECESARIA PARA DISCERNIR SOBRE LOS RESULTADOS DISMINUIRÁ EN LA MEDIDA EN QUE SE
MEJOREN LOS CONTROLES, SE AFINA EL ANÁLISIS Y LA AUDITORÍA CONTINUA MADURE.
▪ LOS RESULTADOS PUEDEN INDUCIR ERRORES EN LA INTERPRETACIÓN DE LOS DATOS. LAS
INEXACTITUDES PUEDEN DEBERSE A LA FALTA DE ENTENDIMIENTO Y FAMILIARIDAD CON LOS
SISTEMAS DEL NEGOCIO Y A LA NATURALEZA DE LAS PRUEBAS REALIZADAS.
PARA MEJORAR EL DOMINIO DE TI SE DEBE:
▪ REVISAR LOS CAMPOS DE DATOS Y ELEMENTOS CLAVE.
▪ REVISAR LOS METADATOS CREADOS POR FUNCIONES APLICADAS A LOS DATOS.
▪ COMPROBAR LA OPORTUNIDAD DE LOS DATOS.
▪ ¿LA INFORMACIÓN ES ACTUAL?
▪ ¿CON QUÉ FRECUENCIA SE ACTUALIZA LA INFORMACIÓN?
▪ ¿CUÁNDO FUE LA ÚLTIMA ACTUALIZACIÓN?
▪ DETERMINAR SI LA INFORMACIÓN ES ÍNTEGRA Y EXACTA.
▪ VERIFICAR LOS SUPUESTOS Y EL ANÁLISIS DEL AUDITOR CON LOS PROGRAMADORES DE LA
APLICACIÓN.
▪ VERIFICAR LA INTEGRIDAD DE LOS DATOS REALIZANDO DIVERSAS PRUEBAS TALES COMO
RAZONABILIDAD, CONTROLES DE EDICIÓN, Y COMPARACIÓN CON OTRAS FUENTES,
INCLUYENDO INVESTIGACIONES REALIZADAS CON ANTERIORIDAD O INFORMES DE AUDITORÍA
(POR EJEMPLO, SINTÁCTICA, SEMÁNTICA Y PRAGMÁTICA).
▪ APROVECHAR EL CONOCIMIENTO OBTENIDO DE LOS TRABAJOS DE AUDITORÍA INTERNA.
10.
11.
12. 1. EL ENTORNO SE MUEVE
MÁS RÁPIDAMENTE
LAS EMPRESAS SERÁN CADA VEZ MÁS INTERNACIONALES
LAS FRONTERAS ENTRE SECTORES SE DIFUMINAN.
2. LAS RESPONSABILIDADES
CRECEN
LA REGULACIÓN SERÁ CRECIENTE Y CADA VEZ MÁS GLOBAL.
LAS RESPONSABILIDADES DE LOS ADMINISTRADORES CADA
VEZ SERÁN MAYORES.
LOS INVERSORES SERÁN CADA VEZ MÁS UN ALIADO PARA
DISEÑAR SISTEMAS DE GOBERNANZA ROBUSTOS.
3. LAS AMENAZAS SE
MULTIPLICAN
LAS COMPAÑÍAS SE VUELVEN CADA VEZ MÁS FRÁGILES.
VIVIMOS EN EL MUNDO DE LA INNOVACIÓN CONSTANTE.
CRECE LA DIVERSIDAD DE LAS AMENAZAS A LA INTEGRIDAD
DE LAS COMPAÑÍAS.
4. LA NECESIDAD DE RENDIR
CUENTAS
LA TRANSPARENCIA SIGNIFICARÁ MÁS Y MEJOR
INFORMACIÓN, MÁS RÁPIDA E IGUALMENTE FIABLE.
5. LAS ORGANIZACIONES SE
TRANSFORMAN
EL PRINCIPAL ACTIVO DE LAS COMPAÑÍAS ES Y SERÁ CADA
VEZ MÁS INTANGIBLE.
LAS ORGANIZACIONES ESTÁN CAMBIANDO.
LA BATALLA POR EL TALENTO
13. LA BASE DEL TRABAJO SE CONSIGUE
CUANDO EL COMITÉ DE AUDITORÍA ES
CAPAZ DE GARANTIZAR QUE LA
AUDITORÍA INTERNA CUENTE CON:
1. AUTORIDAD, RESPETO Y APOYO
SUFICIENTES DENTRO DE LA
ORGANIZACIÓN;
2. ACCESO ILIMITADO A TODOS LOS
REGISTROS, ACTIVOS, PERSONAL E
INSTALACIONES;
3. AUTORIZACIÓN AL RESPONSABLE DE
AUDITORIA INTERNA PARA OBTENER
TODA LA INFORMACIÓN Y
EXPLICACIONES QUE CONSIDERE
NECESARIAS; Y
4. RECURSOS HUMANOS Y TÉCNICOS
ADECUADOS PARA LLEVAR A CABO SU
LABOR DE FORMA EFICAZ
14. EL AUDITOR INTERNO SE ENFRENTA A UNA SERIE DE RETOS DERIVADOS DEL NUEVO ESCENARIO
DE INFORMACIÓN AL QUE SE ENFRENTA, PRINCIPALMENTE A 3 RETOS PRINCIPALES:
15. LOS SISTEMAS DE CONTROL INTERNO HABITUALMENTE PROVEEN INFORMACIÓN ORIENTADA A
LA GESTIÓN DEL DÍA A DÍA Y POR TANTO SE TRATA DE INDICADORES, ALERTAS, COMPARATIVAS
ESTABLES, Y QUE POR EL HECHO DE DEFINIRSE COMO ESTABLES NO ESTÁN ORIENTADOS A SER
FLEXIBLES NI MODIFICABLES DE MANERA SENCILLA.
ESTO ES, ESTÁN ORIENTADOS A OFRECER UNA SERIE DE DATOS BASADOS EN CONTROLES QUE
SON ESTÁTICOS Y ESTÁNDAR QUE POR TANTO EN MUCHOS CASOS SON CONOCIDOS POR LOS
OBJETOS DE LA AUDITORÍA, PERMITIENDO QUE UNA VEZ CONOCIDOS LOS CONTROLES SEA
RELATIVAMENTE SENCILLO ENCONTRAR MEDIOS PARA EVADIRLOS.
SIN EMBARGO, LA INFORMACIÓN QUE REALMENTE NECESITA EL AUDITOR PARA REALIZAR SU
LABOR ES LA QUE OFRECEN LOS SISTEMAS DE CONTROL INTERNO, ASÍ COMO LA QUE
LLAMAMOS INFORMACIÓN “BELOW THE LINE”, ES DECIR INFORMACIÓN “EN BRUTO” EXTRAÍDA
DE LOS SISTEMAS TRANSACCIONALES QUE PERMITEN ANÁLISIS AD HOC MUCHO MÁS RICO Y A
DISTINTOS NIVELES Y NO CONDICIONADO POR LOS CONTROLES ESTÁNDAR QUE ESTÁN
FUNCIONANDO.
EL PRINCIPAL RETO CON CONSEGUIR ESTA INFORMACIÓN “BELOW THE LINE” RESIDE EN QUE
REQUIERE DE SOPORTE DE LA FUNCIÓN DE SISTEMAS PARA LA EXTRACCIÓN Y EN MUCHOS
CASOS PARA TRANSFORMACIONES Y AGREGACIONES QUE PERMITAN QUE EL AUDITOR PUEDA
DE FORMA INDEPENDIENTE ANALIZAR LA INFORMACIÓN DISPONIBLE.
ESTE PROCESO SUPONE UNA GRAN DEPENDENCIA DE LA FUNCIÓN DE IT Y NORMALMENTE
TIEMPOS DE ESPERA EXCESIVOS HASTA QUE EL DATO ESTÁ A DISPOSICIÓN DEL AUDITOR PARA
COMENZAR A TRABAJAR.
EN RESUMEN, EL AUDITOR INTERNO NO CUENTA CON HERRAMIENTAS QUE FACILITEN QUE SEA
AUTOSUFICIENTE A LA HORA DE MANEJAR LA INFORMACIÓN.
16. 1. LAS AUDITORÍAS CONTINUAS O EN TIEMPO REAL, A
VECES LLAMADAS “AUDITORIAS AD HOC” O
'EVALUACIONES EN TIEMPO REAL", SON MECANISMOS
PARA FORTALECER LA RENDICIÓN DE CUENTAS Y LA
INTEGRIDAD DE FORMA CONTINUA, SIN TENER QUE
ESPERAR PARA INFORMAR SOBRE ASUNTOS EN
INTERVALOS ESTIPULADOS POR LA LEY.
2. PERMITEN QUE LAS INSTITUCIONES DE AUDITORIA
VIGILEN LOS RESULTADOS DE LOS PROYECTOS OFREZCAN
RECOMENDACIONES A LAS ENTIDADES AUDITADAS ANTE
DE LA CONCLUSIÓN DE UN PROYECTO.
3. POR EJEMPLO, UNA AFS PODRÍA HACER UNA AUDITORIA
EN TIEMPO REAL PARA MEDIR LA EFICACIA Y EL USO
EFICIENTE DE LOS FONDOS PÚBLICOS, LA CALIDAD DE UN
SERVICIO PERMANENTE O POSIBLE ACTO ILÍCITO.
4. AUNQUE LAS AUDITORIAS EN TIEMPO REAL SE UTILIZAN
EN FORMA GENERALIZADA, PUEDEN PLANTEAR VARIOS
RIESGO Y DIFICULTADES QUE LAS DEBERÍAN TOMAR EN
CUENTA.
5. UNO DE LOS RIESGOS ES QUE LAS EFS SE CONVIERTAN
EN “INSTANCIAS TOMADORAS DE DECISIONES” O SE LES
PERCIBA COMO TAL, LO QUE POSIBLEMENTE
COMPROMETA SU INDEPENDENCIA.
6. POR LO TANTO, ES IMPORTANTE QUE LAS EFS SE
FAMILIARICEN CON LOS INCONVENIENTES Y RIESGOS DÉ
LAS AUDITORÍAS EN TIEMPO REAL ANTES DE
REALIZARLAS.
17. 1. ANALIZAR EL 100% DE PROCESOS EN LA
ORGANIZACIÓN.
2. OPTIMIZAR TIEMPOS Y RECURSOS.
3. GARANTIZAR EL CUMPLIMIENTO DE
POLÍTICAS Y NORMAS (INTERNAS Y
EXTERNAS).
4. IDENTIFICAR DE MANERA OPORTUNA
DESVIACIONES A LOS CONTROLES.
5. DAR SEGUIMIENTO A LAS INCIDENCIAS
HASTA GARANTIZAR SU RESOLUCIÓN.
6. APOYAR A LA ORGANIZACIÓN Y DUEÑO
DEL PROCESO PARA MEJORAR SU
OPERACIÓN.
7. MONITOREAR RIESGOS CAMBIANTES E
IMPREDECIBLES.
18.
19. ➢ EL SEGUNDO RETO TIENE QUE VER CON EL TAMAÑO DE LOS DATOS
➢ CADA VEZ CON MÁS FRECUENCIA EL TAMAÑO DE DATOS PARA SER TRATADOS EN
BRUTO EXCEDE EN MUCHO LA CAPACIDAD DE LAS HERRAMIENTAS OFIMÁTICAS QUE
HABITUALMENTE UTILIZAN LOS AUDITORES PARA ANALIZAR INFORMACIÓN.
➢ LA LIMITACIÓN DEL TAMAÑO DE LOS DATOS SUPONÍA QUE PESE A QUE SE UTILIZARAN
HERRAMIENTAS DE SOFTWARE PARA EL ANÁLISIS Y MANEJO DE LA INFORMACIÓN LAS
LIMITACIONES DE LAS HERRAMIENTAS UPONEN QUE SIGA SIENDO NECESARIO
REALIZAR MUESTREO ALEATORIO PARA PODER ATACAR VOLÚMENES DE DATOS
MANEJABLES.
➢ ADICIONALMENTE LA LIMITACIÓN DE LAS HERRAMIENTAS PARA MANEJAR LOS DATOS
SUPONÍA QUE A LA HORA DE ESTRUCTURAR LA INFORMACIÓN ERA IMPRESCINDIBLE
HACER AGREGACIONES, QUE PARA QUE TENGAN UN TIEMPO DE RESPUESTA
RAZONABLE DEBÍAN ESTRUCTURARSE EN BASE A PRECÁLCULOS.
➢ ASÍ TRADICIONALMENTE SE CONSTRUÍAN ESTRUCTURAS DE AGREGACIÓN
PRECALCULADAS TIPO CUBOS OLAP PARA FACILITAR ESTA TAREA.
➢ CUALQUIER ESTRUCTURA PRECALCULADA SUPONE UNA NULA FLEXIBILIDAD PARA LA
HORA DE MODIFICAR LA ESTRUCTURA DE AGREGACIÓN, SALVO CON LA INTERVENCIÓN
DE LA PARTE DE IT, VOLVIENDO AL PROBLEMA DE CONSEGUIR ESTE ANÁLISIS EN UN
TIEMPO RAZONABLE, Y CON LA LIMITACIÓN DE NO PODER COMBINAR LA VISIÓN “CASO”
CON LA VISIÓN AGREGADA.
➢ EL RETO PUEDE ASÍ REDUCIRSE A QUE EL AUDITOR NO DISPONE DE HERRAMIENTAS
QUE LE PERMITAN GESTIONAR EL TAMAÑO DE DATOS QUE NECESITAN DE FORMA
AUTÓNOMA, FLEXIBLE Y CON RENDIMIENTO ÓPTIMO.
20. LA NUEVA CULTURA MARCA EL NUEVO ESCENARIO: MÁS INFORMACIÓN PARA ANALIZAR EN
MENOS TIEMPO.
21. EL RETO DEL ANÁLISIS HACE REFERENCIA A LA CAPACIDAD DEL AUDITOR DE DIFERENCIAR
LA INFORMACIÓN RELEVANTE DE AQUELLA QUE NO LO ES EN EL CONTEXTO DE LA
AUDITORÍA.
LA SOLUCIÓN TRADICIONAL ES ATACAR EL PROBLEMA VÍA MUESTREO ALEATORIO, SIENDO
ESTE TAN AMPLIO COMO FUERA NECESARIO PARA CONSIDERAR QUE ESTADÍSTICAMENTE
ESTABA MITIGADO EL RIESGO.
SIN EMBARGO, EN EL ENFOQUE MODERNO LAS HERRAMIENTAS DE SOFTWARE PROVEEN DE
CAPACIDADES ANALÍTICAS Y ESTADÍSTICAS QUE PERMITEN DIFERENCIAR LA INFORMACIÓN
RELEVANTE.
LOS PAQUETES ESTADÍSTICOS ESTÁNDAR DEL MERCADO ESTÁN PENSADOS PARA
CIENTÍFICOS DE DATOS O ESTADÍSTICOS / MATEMÁTICOS CON UNA FORMACIÓN
ESPECIALIZADA Y NO PARA EL PERFIL HABITUAL DEL AUDITOR INTERNO. SE SUELE, POR
TANTO, REQUERIR QUE LA FUNCIÓN DE AUDITORÍA SE APOYE EN UN PERFIL EXTERNO
CAPAZ DE MANEJAR ESTOS PAQUETES ESTADÍSTICOS CON LOS CONSIGUIENTES TIEMPOS
DE PROCESO ADICIONALES Y LA NECESIDAD DE “TRADUCIR” LAS PRUEBAS DE AUDITORÍA A
TÉRMINOS ESTADÍSTICOS.
EL RETO RESIDE EN CONSEGUIR QUE EL AUDITOR INTERNO SEA AUTÓNOMO A LA HORA DE
UTILIZAR LA ANALÍTICA AVANZADA QUE LE PERMITA DISCRIMINAR LA INFORMACIÓN
RELEVANTE DE FORMA SENCILLA.
22. REVISIÓN DE LOS DATOS GENERADOS POR LA EMPRESA Y OTRAS FUENTES
23.
24.
25. ACTIVIDAD -
ASESORAMIENTO
DESCRIPCIÓN
ASUNTOS NORMATIVOS
ANTE LA ENTRADA EN VIGOR DE NUEVAS NORMAS, SE SOLICITA OPINIÓN SOBRE LOS IMPACTOS DE
DETERMINADAS REGULACIONES.
SE CUENTA CON LA COLABORACIÓN DE LAS ÁREAS DE SEGUNDA LÍNEA DE DEFENSA EXPERTAS EN LA MATERIA
(CUMPLIMIENTO NORMATIVO, SERVICIOS JURÍDICOS, ETC.).
A MODO DE EJEMPLO, SOBRE LAS NORMAS INTERNACIONALES DE INFORMACIÓN FINANCIERA (NIIF) O DE
GOBIERNO (LEY DE SOCIEDADES DE CAPITAL, CÓDIGO DE BUEN GOBIERNO), LEY DE AUDITORÍA, LEY SARBANES
OXLEY, ETC
PROCESO DE INTEGRACIÓN
OPERATIVA
FUNDAMENTALMENTE, EN BASE A LA REGULACIÓN VIGENTE, EMITIR OPINIÓN SOBRE PROCESOS DE CONTROL
QUE DEBERÍAN IMPLEMENTARSE PARA CUMPLIR CON LAS NORMAS.
IMPLANTACIÓN DE
SISTEMAS DE CONTROL
INTERNO Y OTRAS
FUNCIONES DE
ASEGURAMIENTO
EMITIR OPINIÓN Y ASESORAMIENTO SOBRE ASPECTOS DE DISEÑO DEL SISTEMA DE CONTROL INTERNO DE
INFORMACIÓN FINANCIERA (SCIIF), SISTEMA DE PREVENCIÓN DE RIESGOS PENALES (SPRP), SISTEMAS DE
CONTROL INTERNO SEGÚN EL MARCO DE REFERENCIA COSO/COBIT/NIST, DEFINICIÓN DEL MAPA DE RIESGOS,
IMPLANTACIÓN DE LA FUNCIÓN DE GESTIÓN DE RIESGOS, IMPLANTACIÓN DE SISTEMAS DE CUMPLIMIENTO
NORMATIVO, ENTRE OTROS.
AUDITORÍA INTERNA DISPONE DE UNA VISIÓN DE CONJUNTO Y UNA CAPACITACIÓN QUE LE PERMITE SER LA
ASESORA IDEAL A LA HORA DE ARRANCAR ESTE TIPO DE FUNCIONES EN CUALQUIER ORGANIZACIÓN.
CONTABLE
IMPACTOS POR MODIFICACIONES DE CRITERIOS DE REGISTRO Y VALORACIÓN, YA SEAN CONSECUENCIA DE
NUEVAS NORMAS O POR DECISIONES INTERNAS.
GRC
PARTICIPACIÓN EN LA DEFINICIÓN DE LA ESTRATEGIA DE
GOVERNANZA, RIESGO Y CUMPLIMIENTO Y SU ALCANCE.
FRAUDE
PARTICIPACIÓN EN INVESTIGACIONES DE FRAUDES EN LA COMPAÑÍA, COLABORANDO CON OTRAS FUNCIONES DE
ASEGURAMIENTO COMO SEGURIDAD, ADEMÁS DE ESTABLECER RECOMENDACIONES PARA IMPLEMENTAR
MEDIDAS ANTI FRAUDE
MPLANTACIÓN
DE RECOMENDACIONES
ASESORAMIENTO A LA HORA DE IMPLANTAR RECOMENDACIONES DE AUDITORÍA
INTERNA, BUSCANDO LA CALIDAD DE LOS PLANES DE ACCIÓN, FACILITANDO AL
AUDITADO LA DEFINICIÓN DE DICHOS PLANES Y EL ESTABLECIMIENTO DE UNA FECHA DE IMPLANTACIÓN
REALISTA Y AJUSTADA A LAS CAPACIDADES Y NECESIDADES DE LA ORGANIZACIÓN
ASESOR DE LA SEGUNDA
LÍNEA DE DEFENSA
CONSTRUIR EL MAPA DE ASEGURAMIENTO Y PROPUGNAR UN LENGUAJE COMÚN ENTRE LAS LÍNEAS DE DEFENSA.
ANTICIPACIÓN DE RIESGOS
DIGITALES
ALERTAR A LA ALTA DIRECCIÓN SOBRE POSIBLES RIESGOS RELACIONADOS CON LA TRANSFORMACIÓN DIGITAL.
ASESORAMIENTO EN RIESGOS DE
IMPLANTACIÓN DE TI
ALERTAR A LA ALTA DIRECCIÓN SOBRE POSIBLES RIESGOS RELACIONADOS CON LA IMPLANTACIÓN DE SISTEMAS.
ASESORAMIENTO EN REPORTING
A SUPERVISORES
ANÁLISIS DE MEJORES PRÁCTICAS Y ASESORAMIENTO EN LA MEJORA DEL REPORTING AL SUPERVISOR.
26. MIENTRAS LOS TRABAJOS DE CONSULTORÍA SON
SIEMPRE SOLICITADOS POR LOS GESTORES, LA
ALTA DIRECCIÓN O EL CONSEJO, LOS DE
ASEGURAMIENTO NO TIENEN POR QUÉ PROVENIR
NECESARIAMENTE DE ESTOS STAKEHOLDERS, YA
QUE EN GRAN MEDIDA SE DERIVAN DEL ANÁLISIS
DE LOS RIESGOS DE LA ORGANIZACIÓN, A CARGO
DE AUDITORÍA INTERNA.
ES DECIR, LAS CONSULTORÍAS NUNCA SERÍAN
DESARROLLADAS A INICIATIVA DE LA UNIDAD DE
AUDITORÍA INTERNA.
LOS RESULTADOS DE LAS AUDITORÍAS INTERNAS
DE ASEGURAMIENTO, POR SU PARTE, SE DEBEN
COMUNICAR AL PROPIETARIO DEL PROCESO
AUDITADO, A SUS JEFES JERÁRQUICOS Y A LA
COMISIÓN DE AUDITORÍA. MIENTRAS QUE LOS
TRABAJOS DE CONSULTORÍA, SALVO EN CASOS
DE CUESTIONES SIGNIFICATIVAS, NO
CONTEMPLAN LA DIFUSIÓN DE LOS RESULTADOS
A LOS JEFES JERÁRQUICOS DEL RESPONSABLE
DEL PROCESO, NI A LA COMISIÓN DE AUDITORÍA.
27. 1. LA ASESORÍA ES UNA ACTIVIDAD MEDIANTE LA CUAL SE LE
BRINDA EL APOYO NECESARIO A LAS PERSONAS QUE ASÍ LO
REQUIERAN PARA QUE PUEDAN DESARROLLAR DIFERENTES
ACTIVIDADES RELACIONADAS CON LA CONSULTA Y,
FINALMENTE, A TRAVÉS DEL TRABAJO QUE LA ASESORÍA
EN CUESTIÓN LE BRINDE, PODER LOGRAR LA
COMPRENSIÓN DE LAS DIFERENTES SITUACIONES EN LAS
QUE PUEDA ENCONTRARSE LA PERSONA O INSTITUCIÓN
QUE SOLICITA LA ASESORÍA: JUDICIALES, ECONÓMICAS,
POLÍTICAS, FINANCIERAS, INMOBILIARIAS, ENTRE OTRAS.
IMPLICA CONOCIMIENTO PREVIO, RELACIÓN A LARGO
PLAZO, CONSEJO Y GUÍA.
2. LA ASESORÍA EN CONTRAPOSICIÓN A LA CONSULTORÍA, NO
REQUIERE ANÁLISIS PREVIO SINO QUE MÁS BIEN SE BASA
EN CONOCIMIENTO Y EXPERIENCIA; REQUIERE GUÍA MÁS
QUE RESOLUCIÓN DE PROBLEMAS Y, POR ÚLTIMO,
DESEMBOCA EN CONSEJOS MÁS QUE EN PRESTACIÓN DE
SERVICIOS.
3. EL ASESORAMIENTO CONLLEVA LA EMISIÓN DE UNA
OPINIÓN NO VINCULANTE RELATIVA A MATERIAS EN LAS
QUE LOS CONOCIMIENTOS Y EXPERIENCIA DEL AUDITOR
INTERNO SON DETERMINANTES PARA APORTAR UNA VISIÓN
ESPECIALIZADA DE CONTROL INTERNO, NORMALMENTE
RELACIONADAS CON ASUNTOS DE CARÁCTER TÉCNICO.
4. ES UN PASO MÁS EN LA REALIZACIÓN DE TRABAJOS DE
ASEGURAMIENTO Y CONSULTORÍA, UN ESTATUS QUE
OTORGAN LOS STAKEHOLDERS AL AUDITOR INTERNO
CUANDO AUDITORÍA INTERNA ALCANZA UNA MADUREZ Y
UN CONOCIMIENTO DETERMINADO.
28. EL USO O NO DE LAS SIGUIENTES HERRAMIENTAS TE PERMITIRÁN DETERMINAR RÁPIDAMENTE EN QUE
CATEGORÍA TE ENCUENTRAS ACTUALMENTE:
1. COMPUTADORA PORTÁTIL: USO DE UNA LAPTOP DE ÚLTIMA GENERACIÓN, LOS AUDITORES INTERNOS
MÁS EXIGENTES SÓLO SE CONFORMAN CON LOS MEJORES PORTÁTILES, AQUELLOS QUE SON CAPACES
DE REALIZAR TODO TIPO DE TAREAS Y ANÁLISIS AVANZADOS AL MÁXIMO NIVEL. ESCOGER UN NOTEBOOK
PREMIUM DE GAMA ALTA ES IMPRESCINDIBLE PARA CUALQUIER PROFESIONAL DE AUDITORÍA INTERNA
DE ALTO DESEMPEÑO.
2. MANEJO SQL: LENGUAJE DE CONSULTA ESTRUCTURADO O SQL (POR SUS SIGLAS EN INGLÉS
STRUCTURED QUERY LANGUAGE), EL CUAL PERMITE EL ACCESO A BASES DE DATOS CON EL FIN DE
EFECTUAR CONSULTAS DE FORMA RÁPIDA Y SENCILLA. DESARROLLADO POR IBM EN LOS AÑOS SETENTA.
SIN EMBARGO, FUE ORACLE QUIEN LO INTRODUJO POR PRIMERA VEZ EN 1979, COMO UN PRODUCTO
COMERCIAL. ESTE ES UN SISTEMA ANTIGUO, PERO EFECTIVO, QUE PERMITE IDENTIFICAR, RELACIONAR Y
DESCARGAR INFORMACIÓN DE TABLAS LOCALIZADAS EN BASES DE DATOS.
3. PROGRAMA GENERAL DE ANÁLISIS DE DATOS: MAXIMIZAR EL USO DE LA TECNOLOGÍA PARA MEJORAR LA
EFICIENCIA, EFECTIVIDAD Y CALIDAD DE LAS OPERACIONES REVISADAS, A TRAVÉS DEL USO DE UN
PROGRAMA COMPUTARIZADO QUE PERMITA LA EVALUACIÓN DEL 100% DE UNA POBLACIÓN, CON EL FIN
DE OBTENER RESULTADOS Y CONCLUSIONES DEFINITIVOS. ADICIONALMENTE, ESTOS PROGRAMAS
FACILITAN, ENTRE OTRAS COSAS, IDENTIFICAR REGISTROS DUPLICADOS, DETECTAR OMISIONES EN
SECUENCIAS DE NÚMEROS, REALIZAR OPERACIONES ARITMÉTICAS Y AGRUPAR DATOS RELEVANTES.
4. PAPELES DE TRABAJO ELECTRÓNICOS: IMPLEMENTAR UN PROGRAMA DE PAPALES DE TRABAJO
AUTOMATIZADO PARA MEJORAR LA PRODUCTIVIDAD AL BRINDAR UN MEDIO MÁS EFICIENTE PARA
DOCUMENTAR, REVISAR, ACCEDER Y GUARDAR LA INFORMACIÓN QUE RESPALDA EL TRABAJO DE
AUDITORÍA INTERNA (SERVICIOS DE ASEGURAMIENTO Y CONSULTORÍA).
5. APLICACIÓN AUDITORÍA CONTINUA: SISTEMAS PARA DESARROLLAR ANÁLISIS EN TIEMPO REAL. UN
ENFOQUE DE AUDITORÍA CONTINUA PERMITE A LOS AUDITORES INTERNOS COMPRENDER EN
PROFUNDIDAD LOS PUNTOS DE CONTROL CRÍTICO, LAS REGLAS, Y LAS EXCEPCIONES, CON ANÁLISIS DE
DATOS FRECUENTES Y AUTOMATIZADOS, PUEDEN REALIZAR EVALUACIONES DE RIESGOS Y CONTROLES
PRÁCTICAMENTE EN TIEMPO REAL.
29.
30.
31. LA NOCIÓN DE AUDITORÍA CONTINUA NO ES UN CONCEPTO COMPLEJO, NO OBSTANTE, LOS
AUDITORES INTERNOS NO LA HAN IMPLEMENTADO EN FORMA GENERALIZADA Y LA ALTA DIRECCIÓN
NO HA ACEPTADO NI FINANCIADO POR COMPLETO LA TECNOLOGÍA NECESARIA. LA IMPLEMENTACIÓN
EXITOSA REQUIERE QUE TODAS LAS PARTES INVOLUCRADAS ESTÉN CONVENCIDAS Y NECESITA UN
TRATAMIENTO POR FASES QUE AL PRINCIPIO ABORDE LOS SISTEMAS MÁS CRÍTICOS DE NEGOCIO.
SI BIEN CADA ORGANIZACIÓN ES DIFERENTE, EXISTEN VARIAS ACTIVIDADES COMUNES QUE DEBEN
PLANIFICARSE Y ADMINISTRARSE CUIDADOSAMENTE AL MOMENTO DE DESARROLLAR Y RESPALDAR
EL USO DE LA AUDITORÍA CONTINUA (CONSULTE “PASOS CLAVE” MÁS ABAJO).
LA SECUENCIA DE ESTAS ACTIVIDADES PUEDE VARIAR. ADEMÁS, ES POSIBLE QUE HAYA OTRA
ACTIVIDADES QUE NO ESTÉN IDENTIFICADAS A CONTINUACIÓN, ESPECIALMENTE CUANDO SE
DESARROLLA LA AUDITORÍA CONTINUA PARA RESPALDAR UNA AUDITORÍA ESPECÍFICA.
OBJETIVOS DE LA AUDITORÍA CONTINUA
MUCHAS ORGANIZACIONES HAN ESTADO EVALUANDO LA INTRODUCCIÓN DE LA AUDITORÍA
CONTINUA PARA RESPALDAR LOS REQUERIMIENTOS DE EVALUACIÓN DE CONTROL QUE IMPONEN LAS
REGULACIONES, COMO SARBANES - OXLEY.
SI BIEN TENER UN SISTEMA AUTOMATIZADO ADECUADO PARA LOS CONTROLES DE PRUEBA
CONTRIBUYE A LA EVALUACIÓN DE LOS CONTROLES INTERNOS Y AL MANDATO GENERAL DE LOGRAR
UN NIVEL SUPERIOR DE GOBIERNO CORPORATIVO, LOS BENEFICIOS ADICIONALES DE UN MEJOR
DESEMPEÑO DEL NEGOCIO PUEDEN SER IGUALMENTE SIGNIFICATIVOS.
ES IMPORTANTE QUE EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL CONSIDERE LOS OBJETIVOS
DE LA AUDITORÍA CONTINUA A CORTO Y LARGO PLAZO.
EL ESFUERZO QUE IMPLICA ACCEDER A PROCESOS Y SISTEMAS DE NEGOCIO CLAVE Y CONOCERLOS
OFRECE LA POSIBILIDAD DE REDUCIR LA CARGA DE CUMPLIMIENTO Y ELIMINAR LOS OBSTÁCULOS
PARA EL DESEMPEÑO DEL NEGOCIO.
32. OBJETIVOS DE LA AUDITORÍA CONTINUA
1. DEFINIR LOS OBJETIVOS DE LA AUDITORÍA CONTINUA.
2. OBTENER Y GESTIONAR EL RESPALDO DE LA ALTA DIRECCIÓN.
3. DETERMINAR EL GRADO EN QUE LA DIRECCIÓN ESTÁ CUMPLIENDO SU FUNCIÓN DE SUPERVISIÓN.
4. IDENTIFICAR Y ESTABLECER PRIORIDADES ENTRE LAS ÁREAS A ABORDAR Y LOS TIPOS DE AUDITORÍA CONTINUA A
REALIZAR.
5. IDENTIFICAR SISTEMAS DE INFORMACIÓN CLAVE Y FUENTES DE DATOS.
6. COMPRENDER LOS SISTEMAS DE APLICACIÓN Y LOS PROCESOS SUBYACENTES DE NEGOCIO.
7. DESARROLLAR RELACIONES CON LA GESTIÓN DE TI.
USO Y ACCESO A DATOS
1. SELECCIONAR Y ADQUIRIR HERRAMIENTAS DE ANÁLISIS.
2. DESARROLLAR CAPACIDADES DE ACCESO Y ANÁLISIS.
3. DESARROLLAR Y MANTENER TÉCNICAS Y HABILIDADES DE ANÁLISIS DEL AUDITOR.
4. EVALUAR LA INTEGRIDAD Y FIABILIDAD DE LOS DATOS.
5. DEPURAR Y PREPARAR LOS DATOS.
EVALUACIÓN CONTINUA DE CONTROL
1. IDENTIFICAR PUNTOS DE CONTROL CRÍTICOS.
2. DEFINIR REGLAS DE CONTROL.
3. DEFINIR EXCEPCIONES.
4. DISEÑAR UN ENFOQUE TECNOLÓGICO PARA PRUEBAS
DE CONTROL Y PARA IDENTIFICAR DEFICIENCIAS.
EVALUACIÓN CONTINUA DE RIESGOS
1. DEFINIR LAS ENTIDADES A EVALUAR.
2. IDENTIFICAR CATEGORÍAS DE RIESGOS.
3. IDENTIFICAR INDICADORES DE RIESGO/DESEMPEÑO
CONTROLADOS POR DATOS.
4. DISEÑAR PRUEBAS ANALÍTICAS PARA MEDIR
MAYORES NIVELES DE RIESGO.
INFORMAR Y GESTIONAR RESULTADOS
1. ESTABLECER PRIORIDADES Y DETERMINAR LA FRECUENCIA DE LAS ACTIVIDADES DE AUDITORÍA CONTINUA.
2. EJECUTAR PRUEBAS DE MANERA REGULAR Y OPORTUNA.
3. IDENTIFICAR DEFICIENCIAS DE CONTROL O MAYORES NIVELES DE RIESGO.
4. ESTABLECER PRIORIDADES ENTRE LOS RESULTADOS.
5. INICIAR LA RESPUESTA DE AUDITORÍA CORRESPONDIENTE E INFORMAR LOS RESULTADOS A LA DIRECCIÓN.
6. GESTIONAR RESULTADOS (RASTREO, INFORME, SUPERVISIÓN Y SEGUIMIENTO).
7. EVALUAR LOS RESULTADOS DE LAS ACCIONES IMPLEMENTADAS.
8. SUPERVISAR Y EVALUAR LA EFICACIA DEL PROCESO DE AUDITORÍA CONTINUA (TANTO EL ANÁLISIS, POR
EJEMPLO, REGLAS E INDICADORES, COMO LOS
9. RESULTADOS OBTENIDOS) Y MODIFICAR LOS PARÁMETROS DE PRUEBA, SEGÚN SEA NECESARIO.
10. GARANTIZAR LA SEGURIDAD DEL PROCESO DE AUDITORÍA CONTINUA Y ASEGURAR QUE EXISTAN LAS
VINCULACIONES CORRESPONDIENTES CON LAS INICIATIVAS DE LA DIRECCIÓN, COMO POR EJEMPLO, LA ERM, LA
SUPERVISIÓN Y LA MEDICIÓN DE DESEMPEÑO.
33. AHORA ES MOMENTO DE IR MÁS ALLÁ DEL SIMPLE ANÁLISIS TRIMESTRAL DE LA CONFIABILIDAD DE LOS INFORMES
FINANCIEROS, PARA PASAR A ADOPTAR UN PARADIGMA DE AUDITORÍA CONTINUA QUE CONTRIBUYA CON LA
ESTABILIDAD GENERAL DE LA ORGANIZACIÓN Y CON SU EFICACIA Y EFICIENCIA OPERATIVAS.
EN ESPECIAL, EL DEPARTAMENTO DE AUDITORÍA INTERNA DEBE OCUPARSE DE LOS CONTROLES DEL PROCESO DE
NEGOCIO PUNTO A PUNTO (COSO) Y DE TI (OBJETIVOS DE CONTROL DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS O
COBIT, EN INGLÉS) QUE ESTÁN PRESENTES PRÁCTICAMENTE EN TODAS LAS ACTIVIDADES DE NEGOCIO.
LA CONFIABILIDAD DE LOS SISTEMAS DEL NEGOCIO Y DE LOS DATOS TRANSACCIONALES ES ESENCIAL, NO SÓLO PARA
EL ENFOQUE DE CONTROL INTERNO Y LA INTEGRIDAD DE LOS INFORMES FINANCIEROS, SINO TAMBIÉN PARA LA
EFICIENCIA DE LAS OPERACIONES DE NEGOCIO.
POR LO TANTO, GARANTIZAR LA CONFIABILIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LOS DATOS Y LOS SISTEMAS DE
NEGOCIO DEBE SER UN OBJETIVO CLAVE DEL DEA Y DE LA ALTA DIRECCIÓN. LA AUDITORÍA CONTINUA PUEDE AYUDAR A
QUE LA ORGANIZACIÓN LOGRE SU OBJETIVO AL FACILITAR LA EVALUACIÓN DE LA EFICACIA DE LOS CONTROLES Y LOS
NIVELES DE RIESGO. A CONTINUACIÓN, SE PRESENTA UNA DESCRIPCIÓN DE LOS PASOS NECESARIOS PARA
IMPLEMENTAR UNA SOLUCIÓN DE AUDITORÍA CONTINUA: ESTOS SON:
1. DEFINIR LOS REQUERIMIENTOS DE LA AUDITORÍA.
2. OBTENER RESPALDO DE LA DIRECCIÓN.
3. DETERMINAR EL ALCANCE DE LAS PRUEBAS.
4. IDENTIFICAR FUENTES DE INFORMACIÓN.
5. NEGOCIAR EL ACCESO A LOS DATOS.
6. COMPRENDER LOS PROCESOS DE NEGOCIO.
7. IDENTIFICAR RIESGOS Y CONTROLES CLAVE.
8. USO Y ACCESO A DATOS.
9. DESARROLLAR CONOCIMIENTO Y APTITUDES TÉCNICAS DE AUDITORÍA.
10. GARANTIZAR LA INTEGRIDAD DE LOS DATOS.
11. CONSIDERAR LOS USOS DE LOS DATOS.
12. RELACIÓN DE EVALUACIÓN CONTINUA DE RIESGOS Y CONTROLES.
13. EVALUACIÓN CONTINUA DE CONTROL
14. DEFINICIÓN DE ANÁLISIS ADECUADOS DE PRUEBA DE CONTROL
15. EVALUACIÓN CONTINUA DE RIESGO.
16. EVALUAR EL ENFOQUE DE ERM.
17. COMPRENDER LAS ÁREAS DE RIESGO POTENCIAL.
18. CONSIDERAR TIPOS DE RIESGO Y CONSECUENCIAS.
19. EVALUAR EL NIVEL DE RIESGO.
20. REUNIR Y ANALIZAR LOS DATOS.
34. PARA UTILIZAR LA AUDITORÍA CONTINUA EFICAZMENTE (REALIZAR UN ANÁLISIS Y SEGUIMIENTO CONTINUOS DE LOS
RESULTADOS) ES NECESARIO OBTENER ACCESO A LA INFORMACIÓN EN FORMATO ELECTRÓNICO.
EL MÉTODO DE ACCESO DEPENDERÁ DE LOS OBJETIVOS ESTABLECIDOS PARA LA AUDITORÍA CONTINUA Y DEBE
CONTEMPLAR FACTORES COMO VOLÚMENES DE DATOS, TRÁFICO DE RED, DESEMPEÑO DEL SISTEMA, ETC. EL DEA
DEBERÁ GARANTIZAR ADEMÁS QUE SE HAYAN OBTENIDO LOS DERECHOS DE ACCESO ADECUADOS.
PARA LA COMPUTADORA CENTRAL Y LOS SISTEMAS CLIENTE-SERVIDOR, SE REQUIERE UN ACCESO CON PERMISO DE
SEGURIDAD Y DE SÓLO LECTURA.
LA AUDITORÍA CONTINUA GENERALMENTE REQUIERE UNA COMBINACIÓN DE VARIOS DE LOS SIGUIENTES MÉTODOS DE
ACCESO:
1. IMPLANTAR EL SOFTWARE DE AUDITORÍA CONTINUA EN EL SISTEMA DE NEGOCIO PARA PROCESAR LOS DATOS EN
EL LUGAR.
2. OBTENER ACCESO INDEPENDIENTE A LOS ARCHIVOS DE DATOS DEL SISTEMA, SIN UTILIZAR EL SOFTWARE DE LA
APLICACIÓN, Y EXTRAER Y PREPARAR LOS DATOS QUE UTILIZARÁ EL SOFTWARE DE AUDITORÍA CONTINUA.
3. REALIZAR COPIAS DE LOS INFORMES DE NORMAS Y GUARDAR LOS EN FORMATO ELECTRÓNICO PARA ANÁLISIS
FUTURO.
4. REALIZAR CONSULTAS O GENERAR INFORMES CON UN ESCRITOR DE INFORMES.
5. OBTENER ACCESO FÍSICO Y LÓGICO AL SISTEMA CLIENTE E INICIAR SESIÓN COMO USUARIO CON DERECHOS DE
ACCESO DE SÓLO LECTURA.
LA COMBINACIÓN DE MÉTODOS DE ACCESO UTILIZADA DEBE PERMITIR QUE LOS AUDITORES EFECTÚEN LA AUDITORÍA
CONTINUA DE FORMA OPORTUNA, ADEMÁS DE IDENTIFICAR E INFORMAR LAS TRANSACCIONES DESTACADAS. TAMBIÉN
DEBE PERMITIR QUE LOS AUDITORES IDENTIFIQUEN FÁCILMENTE LAS TRANSACCIONES CON PARÁMETROS SIMILARES Y
REALICEN UN SEGUIMIENTO DE LAS TRANSACCIONES INDICADAS.
EL ACCESO Y EL USO DE DATOS DE PRÁCTICAMENTE CUALQUIER FUENTE REQUIEREN UNA BUENA COMPRENSIÓN DE LA
DISPOSICIÓN DE LOS REGISTROS. EXISTEN VARIOS ATRIBUTOS DE ARCHIVOS POSIBLES CUANDO SE OBTIENE ACCESO A
LOS DATOS O SE LOS TRANSFIERE.
ES IMPORTANTE COMPRENDER LA ESTRUCTURA DE LOS ARCHIVOS DE DATOS, NO SÓLO EN EL NIVEL PRINCIPAL (POR
EJEMPLO, UN ARCHIVO PLANO, UN ARCHIVO DELIMITADO O VARIAS BASES DE DATOS RELACIONALES) SINO TAMBIÉN EN
EL NIVEL DE LOS CAMPOS.
LA DISPOSICIÓN DE REGISTROS CONTIENE INFORMACIÓN ACERCA DE CÓMO SE ESTRUCTURAN LOS REGISTROS Y SOBRE
QUÉ CAMPOS SE ALMACENAN EN UN ARCHIVO DE DATOS. SE UTILIZA COMO REFERENCIA AL MOMENTO DE DEFINIR LOS
DATOS PARA EL PAQUETE DE ANÁLISIS, YA QUE PROPORCIONA INFORMACIÓN SOBRE NOMBRES DE CAMPOS, TIPOS DE
DATOS, LONGITUDES DE LOS CAMPOS Y DECIMALES.
35. OBTENER LOS DATOS CORRECTOS ES UNA COYUNTURA CRÍTICA EN LA IMPLEMENTACIÓN DE LA AUDITORÍA CONTINUA.
EL DEA DEBE IDENTIFICAR LAS APLICACIONES DE NEGOCIO A LAS QUE DEBE OBTENER ACCESO EL DEPARTAMENTO DE
AUDITORÍA Y DETERMINAR CUÁLES DE ESTAS APLICACIONES SON LAS MÁS CRÍTICAS. EL PRÓXIMO PASO ES TRABAJAR
EN FORMA CONJUNTA CON LOS PROPIETARIOS DE LOS SISTEMAS PARA NEGOCIAR LOS DERECHOS DE ACCESO.
ES FUNDAMENTAL TENER UNA BUENA RELACIÓN LABORAL CON LA GESTIÓN DE TI, YA QUE GENERALMENTE SE
REQUIERE SU AYUDA, AÚN CUANDO LOS AUDITORES SEAN EXPERTOS EN EL USO DE HERRAMIENTAS ANALÍTICAS DE
DATOS.
A MENUDO, FALTA O ESTÁ DESACTUALIZADA LA DOCUMENTACIÓN DEL SISTEMA CORRESPONDIENTE A LA EMPRESA, LA
COMPUTADORA CENTRAL O A LAS APLICACIONES DESARROLLADAS A MEDIDA QUE ALMACENAN LAS FUENTES DE DATOS
REQUERIDOS; Y LA ÚNICA FUENTE DE INFORMACIÓN SOBRE LOS CONJUNTOS DE DATOS ES EL PERSONAL DE ASISTENCIA
DE TI.
TODOS LOS AUDITORES DEBEN SER CONSCIENTES DE LA IMPORTANCIA QUE TIENE IDENTIFICAR LAS FUENTES
ELECTRÓNICAS DE INFORMACIÓN DENTRO Y FUERA DE LA COMPAÑÍA. POR EJEMPLO, LOS AUDITORES QUE REALIZAN
TRABAJO DE CAMPO EN LAS OFICINAS DE SUCURSALES PODRÍAN BUSCAR APLICACIONES DESARROLLADAS POR EL
USUARIO FINAL QUE PUEDEN RESULTAR DE UTILIDAD PARA LA AUDITORÍA CONTINUA.
LOS AUDITORES DEBEN ESFORZARSE POR BUSCAR, RECOPILAR, ANALIZAR, INTERPRETAR Y DOCUMENTAR FUENTES
AUTOMATIZADAS DE INFORMACIÓN QUE RESPALDEN SUS RESULTADOS. LA INFORMACIÓN RECOPILADA DEBE SER
FÁCTICA, RELEVANTE Y ÚTIL, ADEMÁS DE ESTAR VERIFICADA CON LA FUENTE, PARA BRINDAR UN FUNDAMENTO SÓLIDO
A LOS RESULTADOS.
AL BUSCAR FUENTES DE INFORMACIÓN, LOS AUDITORES DEBEN COMENZAR SUPONIENDO QUE LA INFORMACIÓN EXISTE
EN FORMATO ELECTRÓNICO Y, CUANDO SEA POSIBLE DEBEN:
1. DETERMINAR LAS POSIBLES FUENTES Y SISTEMAS DE APLICACIÓN.
2. IDENTIFICAR A LOS PROPIETARIOS DE LA INFORMACIÓN. (ES POSIBLE QUE LOS AUDITORES NECESITEN EL PERMISO
DE ESTOS ANTES DE QUE TI PUEDA OTORGARLES ACCESO AL SISTEMA DE APLICACIÓN O A LOS ARCHIVOS DE
DATOS).
3. IDENTIFICAR AL PROGRAMADOR O ANALISTA DE SISTEMAS RESPONSABLES DEL SISTEMA DE APLICACIÓN.
4. OBTENER TODA LA DOCUMENTACIÓN NECESARIA, COMO DICCIONARIO DE DATOS, DISPOSICIÓN DE REGISTROS,
PANORAMA GENERAL DEL SISTEMA Y PROCESOS DE NEGOCIO.
36. LOS AUDITORES NO DEBEN LIMITARSE AL PRIMER
SISTEMA DE INFORMACIÓN QUE DESCUBRAN. AL
REALIZAR UNA BÚSQUEDA MÁS INTENSA,
GENERALMENTE ENCONTRARÁN MEJORES FUENTES O
FUENTES QUE CONFIRMAN MEJOR LA INFORMACIÓN
REQUERIDA.
LOS PROPIETARIOS DEL PROCESO DE NEGOCIO Y DEL
SISTEMA PUEDEN SER DE VALOR INCALCULABLE EN
ESTE PROCESO.
LAS CONVERSACIONES CON LOS PROPIETARIOS DE
LOS DATOS Y LOS ANALISTAS O PROGRAMADORES DE
LAS APLICACIONES SERÁN DE AYUDA A LOS
AUDITORES PARA DETERMINAR LA MEJOR FUENTE DE
INFORMACIÓN.
ESTAS CONVERSACIONES TAMBIÉN PUEDEN SERVIR
ADEMÁS PARA IDENTIFICAR CAMPOS CLAVE Y OTRAS
FUENTES DE DATOS ÚTILES.
CONSIDERE SIEMPRE LAS FUENTES DE DATOS TANTO
DE LA OFICINA LOCAL COMO DE LA CASA CENTRAL.
CUANDO HAY DOS FUENTES DE DATOS, LAS
COMPARACIONES PUEDEN RESULTAR SUMAMENTE
PRODUCTIVAS PARA IDENTIFICAR DEFICIENCIAS DE
CONTROL Y EXPOSICIONES AL RIESGO.
37. AL IGUAL QUE EN EL USO DE CUALQUIER TECNOLOGÍA, LA AUDITORÍA CONTINUA NO ES UN PROBLEMA
PURAMENTE TÉCNICO; NO OBSTANTE, LA SELECCIÓN DE LA TECNOLOGÍA PROPICIA ES CRÍTICA PARA EL
ÉXITO A LARGO PLAZO. (CONSULTE CONTINUOUS AUDITING: POTENTIAL FOR INTERNAL AUDITORS, CHAPTER
5 – ENABLING TECHNOLOGIES, IIARF, 2003, PARA OBTENER UNA LISTA DE LAS TECNOLOGÍAS QUE
PROBABLEMENTE CUMPLAN UN ROL EN EL DESARROLLO DE METODOLOGÍAS DE AUDITORÍA CONTINUA).
UN CONJUNTO CLARO DE OBJETIVOS DE AUDITORÍA CONTINUA Y UN PLAN PARA DETERMINAR LOS
CORRESPONDIENTES RIESGOS Y PRIORIDADES SERVIRÁ DE GUÍA PARA SELECCIONAR EL SOFTWARE
CORRESPONDIENTE.
AL SELECCIONAR EL SOFTWARE PARA LA AUDITORÍA CONTINUA, EL DEA DEBE TENER EN CUENTA LAS
FUENTES DE DATOS, LOS FORMATOS Y LOS VOLÚMENES DE TRANSACCIONES. TAMBIÉN ES IMPORTANTE
ANALIZAR EL ENTORNO INFORMÁTICO DE LA COMPAÑÍA Y LOS FUTUROS PLANES PARA LOS SISTEMAS DE
NEGOCIO CLAVE.
A PESAR DE QUE ES PROBABLE QUE SE REQUIERAN APLICACIONES DE AUDITORÍA CONTINUA MÁS
SOFISTICADAS PARA LA SOSTENIBILIDAD A MÁS LARGO PLAZO, TAMBIÉN EXISTEN OPCIONES PARA
APROVECHAR LA FLEXIBILIDAD DE LAS SOLUCIONES DE SOFTWARE ANALÍTICO ESPECÍFICAS DE AUDITORÍA.
EL SOFTWARE DE AUDITORÍA PUEDE LEER DIVERSOS TIPOS DE DATOS, COMO POR EJEMPLO, LOS SISTEMAS
HEREDADOS DE COMPUTADORA CENTRAL, CLIENTE-SERVIDOR Y SISTEMAS DE ACCESO A INTERNET, O BIEN,
APLICACIONES DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES, COMO SAP, ORACLE Y PEOPLESOFT.
PUEDE COMBINAR Y ANALIZAR FÁCILMENTE DATOS DE VARIOS SISTEMAS Y PLATAFORMAS.
COMO ES DE ESPERAR, LA AUDITORÍA CONTINUA REQUIERE ACCESO A DATOS. LOS DEPARTAMENTOS DE
AUDITORÍA QUE NO CUENTAN CON ACCESO ELECTRÓNICO SEGURO A LOS DATOS DE SU COMPAÑÍA YA NO
TIENEN EXCUSAS, Y QUIZÁS, TAMPOCO LES QUEDE TIEMPO. CON LOS AVANCES TECNOLÓGICOS (TANTO EN
HARDWARE COMO EN SOFTWARE), EL PROBLEMA DE ACCESO A LOS DATOS YA NO ES UN OBSTÁCULO
TÉCNICO IMPORTANTE Y NO REQUIERE HARDWARE ESPECIALIZADO NI TAMPOCO LA PARTICIPACIÓN DEL
PERSONAL DE TI.
CON FRECUENCIA, LOS PROBLEMAS DE ACCESIBILIDAD SURGEN DE LA RETICENCIA DE LA DIRECCIÓN PARA
DAR ACCESO, A LOS AUDITORES, A LOS SISTEMAS DE APLICACIÓN DE LA ORGANIZACIÓN.
38. GENERALMENTE, LOS AUDITORES NECESITAN EL
RESPALDO DE LA DIRECCIÓN PARA OBTENER ACCESO
FÍSICO Y LÓGICO A LA INFORMACIÓN REQUERIDA.
PARA ELLO, ES POSIBLE QUE SE REQUIERA UNA
DECLARACIÓN, POR PARTE DE LA ALTA DIRECCIÓN, EN
EL ESTATUTO DE AUDITORÍA, COMO LA SIGUIENTE:
“LOS AUDITORES TENDRÁN ACCESO A TODOS Y CADA
UNO DE LOS SISTEMAS DE APLICACIÓN Y A LA
INFORMACIÓN QUE REQUIERAN PARA DESEMPEÑAR
SUS FUNCIONES”.
AL TENER EL RESPALDO ASEGURADO DE LA
DIRECCIÓN PARA OBTENER ACCESO A LOS SISTEMAS
Y A LA INFORMACIÓN, LOS AUDITORES DEBEN
GARANTIZAR QUE LOS PROPIETARIOS DE LOS DATOS
ESTÉN BIEN INFORMADOS DE SUS DERECHOS Y
REQUERIMIENTOS DE ACCESO.
EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL
DEBE GARANTIZAR ADEMÁS QUE EL ACCESO Y USO
DE LOS DATOS DE LOS SISTEMAS DE NEGOCIO NO
AFECTEN NEGATIVAMENTE EL DESEMPEÑO
OPERATIVO DE ESOS SISTEMAS Y QUE LA
TECNOLOGÍA DE AUDITORÍA SEA COMPATIBLE CON EL
ENTORNO DE TI DE LA EMPRESA.
39. LA INTEGRIDAD DE LOS DATOS ES MUY IMPORTANTE
PARA IMPLEMENTAR LAS TÉCNICAS DE AUDITORÍA
CONTINUA SIN PROBLEMAS.
LOS AUDITORES DEBEN GARANTIZAR LA
INTEGRIDAD NO SÓLO DE SU ANÁLISIS, SINO
TAMBIÉN DE LOS DATOS Y DE LA INTERPRETACIÓN
DE LOS RESULTADOS.
INICIALMENTE, LOS AUDITORES DEBERÁN REALIZAR
UNA EVALUACIÓN DE LA INTEGRIDAD DE DATOS DE
LOS SISTEMAS DE NEGOCIO.
PERO, ¿DE QUÉ MANERA Y HASTA QUÉ GRADO SE
DEBE ANALIZAR LA INTEGRIDAD?.
¿CUÁNDO ES DEMASIADO (ES DECIR, SOBRE-
AUDITORÍA) Y CUÁNDO NO ES SUFICIENTE (ES
DECIR, SUBAUDITORÍA)?.
LAS RESPUESTAS A ESAS PREGUNTAS SE HALLARÁN
CUANDO SE EVALÚEN LAS CONSECUENCIAS DE
CONFIAR EN RESULTADOS INCORRECTOS Y CUANDO
SE DETERMINE LA CANTIDAD DE PRUEBAS Y
VERIFICACIONES NECESARIAS PARA REDUCIR LOS
RIESGOS DE AUDITORÍA A UN NIVEL ACEPTABLE.
40. AHORA QUE LOS AUDITORES YA HAN IDENTIFICADO LOS
SISTEMAS DE NEGOCIO CLAVE, HAN OBTENIDO ACCESO A LOS
DATOS Y HAN VERIFICADO SU INTEGRIDAD, DEBEN CONSIDERAR
CÓMO SE UTILIZARÁN LOS DATOS. UNA DE LAS FORTALEZAS DE
LA AUDITORÍA CONTINUA ES LA CAPACIDAD DE EXTRAER DATOS
DE DIVERSOS SISTEMAS DE LA ORGANIZACIÓN Y COMBINARLOS
PARA LOGRAR UN ANÁLISIS CRUZADO MÁS PROFUNDO ENTRE
LAS PLATAFORMAS.
POR EJEMPLO, UNA ORGANIZACIÓN PUEDE TENER UN CONTROL
QUE DETERMINE QUE TODAS LAS COMPRAS QUE SUPEREN LOS
$5.000 DEBEN HACER REFERENCIA A UNA ORDEN DE COMPRA.
NO OBSTANTE, LOS DATOS DE LA COMPRA Y DEL PAGO DE LA
FACTURA SE ENCUENTRAN EN SISTEMAS SEPARADOS. EL
SISTEMA DE AUDITORÍA CONTINUA PODRÍA PROBAR ESTE
CONTROL AL COMBINAR LOS DATOS DE LA COMPRA Y DEL PAGO
DE LA FACTURA PARA IDENTIFICAR AQUELLAS FACTURAS QUE
SUPEREN LOS $5.000 Y NO CUENTEN CON UN REGISTRO DE
ORDEN DE COMPRA CORRESPONDIENTE.
LA COMBINACIÓN DE DATOS PROVENIENTES DE SISTEMAS
DISPARES, POR LO GENERAL, REQUIERE UNA DEPURACIÓN DE
DATOS PARA ELIMINAR LAS TRANSACCIONES CON PROBLEMAS
DE INTEGRIDAD, MODIFICAR FORMATOS DE DATOS, ETC.
EL SOFTWARE DE AUDITORÍA ES ESPECIALMENTE APROPIADO
PARA DEPURAR DATOS PROVENIENTES DE DIFERENTES
SISTEMAS A FIN DE QUE SEA MÁS FÁCIL TRABAJAR CON ELLOS.
POR EJEMPLO, SI UN SISTEMA CAPTURA LOS NÚMEROS DE
IDENTIFICACIÓN DE EMPLEADO EN EL FORMATO XXX-XXXXXX Y
EL OTRO SISTEMA TIENE EL FORMATO XX-XXXX-XXX, EL
SOFTWARE DE AUDITORÍA PUEDE ESTABLECER RÁPIDAMENTE
UN FORMATO COMÚN.
43. IGUAL QUE SUCEDE CON LA AGUJA Y EL PAJAR, AL COMPARAR LOS METADATOS ONLINE CON
BIG DATA SE APRECIA LA DIFERENCIA, NO SÓLO EN CUANTO A VOLUMEN, SINO EN CUANTO A
GRANULARIDAD.
LOS GRANDES DATOS SON UNA COLECCIÓN DE INFORMACIÓN DE DIMENSIONES INCALCULABLES
QUE EVOLUCIONAN A GRAN VELOCIDAD, ESTO DIFICULTA SU ANÁLISIS Y PROCESAMIENTO,
ALGO QUE REQUIERE DEL USO DE TECNOLOGÍA AVANZADA PARA DESCUBRIR TENDENCIAS Y
PATRONES.
POR SU PARTE, LOS METADATOS SON LOS DETALLES DESCRIPTIVOS DE UN ACTIVO DIGITAL
INDIVIDUAL. GRACIAS A SU ESPECIFICIDAD CONSIGUEN PROPORCIONAR INFORMACIÓN
GRANULAR SOBRE UN ÚNICO ARCHIVO.
SIN EMBARGO, HAY QUE TENER EN CUENTA QUE, CUANDO SE CREA UN ACTIVO DIGITAL,
TAMBIÉN SE ESTÁN GENERANDO METADATOS ONLINE SOBRE SU ORIGEN, HORA DE CREACIÓN,
FECHA Y FORMATO, ENTRE OTROS. Y NO BASTA CON DISPONER DE ELLOS PARA MANTENERSE
ORGANIZADO EN LA ERA DIGITAL, SINO QUE, ESTOS DATOS SOBRE LOS DATOS:
1. DEBEN ESTAR DEBIDAMENTE NOMBRADOS, ETIQUETADOS, ALMACENADOS Y ARCHIVADOS
EN UN LENGUAJE CONSISTENTE CON OTROS ACTIVOS DE LA COLECCIÓN. EL
PRINCIPAL BENEFICIO DE LA CONSISTENCIA EN LA ADMINISTRACIÓN DE LOS METADATOS
ONLINE ES QUE ELIMINA LA NECESIDAD DE TENER UNA PERSONA ENCARGADA DE SABER
DÓNDE ESTÁ TODO YA QUE, CUANDO LA TAXONOMÍA ES LA MISMA EL TRABAJO SE
SIMPLIFICA Y SE PUEDE HACER UN APROVECHAMIENTO MÁS EFICIENTE DE LOS RECURSOS.
2. NECESITAN QUE SE LLEVE A CABO UNA GESTIÓN DE ACTIVOS ADECUADA, EN BASE A UNA
METODOLOGÍA QUE PERMITA ENCONTRAR Y DISTRIBUIR LOS ACTIVOS,
PERMITIENDO APROVECHAR TODO SU VALOR.
3. HAY QUE COMPRENDER LOS METADATOS ONLINE, DE IGUAL FORMA QUE ES PRECISO
CONOCER LA DIFERENCIA ENTRE DATOS ESTRUCTURADOS Y NO ESTRUCTURADOS.
44.
45. CUALQUIER TAMAÑO DE DATOS EN BRUTO
PUEDE SER MANEJADO CON RENDIMIENTO
ÓPTIMO AL SER UNA HERRAMIENTA EN
MEMORIA SIN NECESIDAD DE CREAR
ESTRUCTURAS AUXILIARES TIPO CUBOS
OLAP.
LA IDEA ES PODER INTERACTUAR CON LOS
DATOS SEA CUAL SEA EL TAMAÑO CON UN
TIEMPO DE RESPUESTA DE 3 A 5 SEGUNDOS,
PUDIENDO TRABAJAR A NIVEL CASO O A
NIVEL AGREGADO DE FORMA TRANSPARENTE
PARA EL USUARIO.
ADEMÁS, DESDE EL PUNTO DE VISTA
TÉCNICO LA INFRAESTRUCTURA
SUBYACENTE PERMITE UNA ESCALABILIDAD
HORIZONTAL DEL HARDWARE BASADO EN
MÁQUINAS COMMODITY, ES DECIR,
CRECIMIENTO EN POTENCIA DE MÁQUINA
BASADO EN AÑADIR MÁQUINAS PEQUEÑAS Y
MÁS BARATAS QUE ESCALANDO
VERTICALMENTE (ESTO ES, COMPRANDO
MÁQUINAS MÁS GRANDES Y POR TANTO MÁS
CARAS).
46.
47.
48. ▪ EN VISTA DE LAS INQUIETUDES DE LOS JEFES DE LOS ÓRGANOS DE CONTROL INSTITUCIONAL POR LA
PRESIÓN IMPUESTA EN MATERIA DE ESFUERZOS DE CUMPLIMIENTO, FALTA DE RECURSOS Y NECESIDAD
DE MANTENER INDEPENDENCIA EN LA AUDITORÍA, SE CONSIDERA IDEAL APLICAR UNA ESTRATEGIA
COMBINADA DE AUDITORÍA CONTINUA Y SUPERVISIÓN CONTINUA.
▪ LA SUPERVISIÓN CONTINUA ABARCA LOS PROCESOS QUE LA DIRECCIÓN IMPLEMENTA PARA GARANTIZAR
QUE LAS POLÍTICAS, LOS PROCEDIMIENTOS Y LOS PROCESOS DE NEGOCIO FUNCIONEN EFICAZMENTE.
▪ IMPLICA LA RESPONSABILIDAD DE LA DIRECCIÓN EN CUANTO A EVALUAR LA IDONEIDAD Y EFICACIA DE
LOS CONTROLES.
▪ ESTO INCLUYE IDENTIFICAR LOS OBJETIVOS DE CONTROL Y LAS AFIRMACIONES SOBRE ASEGURAMIENTO,
Y ESTABLECER PRUEBAS AUTOMATIZADAS PARA DESTACAR LAS ACTIVIDADES Y LAS TRANSACCIONES
QUE NO CUMPLEN CON LO ESTABLECIDO.
▪ MUCHAS DE LAS TÉCNICAS DE LA SUPERVISIÓN CONTINUA DE LOS CONTROLES QUE REALIZA LA
DIRECCIÓN SON SIMILARES A LAS APLICADAS POR LOS AUDITORES INTERNOS EN LA AUDITORÍA
CONTINUA.
▪ EL USO DE PROCEDIMIENTOS DE SUPERVISIÓN CONTINUA POR PARTE DE LA DIRECCIÓN, JUNTO CON LA
AUDITORÍA CONTINUA A CARGO DE LOS AUDITORES INTERNOS, CUBRIRÁ LAS DEMANDAS PARA
ASEGURAR QUE LOS PROCEDIMIENTOS DE CONTROL SEAN EFICACES Y QUE LA INFORMACIÓN PRODUCIDA
PARA LA TOMA DE DECISIONES SEA PERTINENTE Y CONFIABLE.
▪ OTRO BENEFICIO IMPORTANTE PARA LA ORGANIZACIÓN ES QUE, EN GENERAL, SE REDUCEN
CONSIDERABLEMENTE LOS CASOS DE ERROR Y FRAUDE, SE INCREMENTA LA EFICIENCIA OPERATIVA Y SE
MEJORAN LOS RESULTADOS FINALES GRACIAS A UNA COMBINACIÓN DE AHORRO EN LOS COSTOS Y A UNA
REDUCCIÓN DE SOBREPAGOS Y FUGAS DE INGRESOS.
▪ LAS ORGANIZACIONES QUE INTRODUCEN UN ENFOQUE DE AUDITORÍA CONTINUA Y SUPERVISIÓN DE
CONTROLES SUELEN LOGRAR UN RÁPIDO RETORNO DE LA INVERSIÓN.
▪ EL ENTORNO DEL NEGOCIO Y DE LAS REGULACIONES, Y LAS NUEVAS NORMAS DE AUDITORÍA ESTÁN
IMPULSANDO A LOS AUDITORES Y A LA DIRECCIÓN A HACER UN USO MÁS EFICAZ DE LAS TECNOLOGÍAS
DE ANÁLISIS DE DATOS Y DE LA INFORMACIÓN, CONSIDERÁNDOLAS UNA HERRAMIENTA FUNDAMENTAL
PARA LA AUDITORÍA CONTINUA Y LA SUPERVISIÓN CONTINUA.
49.
50.
51. LA AUDITORÍA CONTINUA
MODIFICA EL PARADIGMA DE
LA AUDITORÍA, DEJANDO DE
SER UNA MERA REVISIÓN DE
EJEMPLOS DE
TRANSACCIONES PARA
TRANSFORMARSE EN
PROCEDIMIENTOS
CONTINUOS DE AUDITORÍA
QUE EVALÚEN EL 100% DE
LAS TRANSACCIONES,
TRANSFORMANDO LA
NATURALEZA DE LAS
PRUEBAS, EL MOMENTO EN
QUE SE LAS LLEVA A CABO,
LOS PROCEDIMIENTOS Y EL
NIVEL DE ESFUERZO. (ACL,
2005).F, 2010).
LA AUDITORÍA CONTINUA
TIENE EL POTENCIAL DE
TRANSFORMAR EL
PARADIGMA DE
AUDITORÍA EXISTENTE, DE
UNA REVISIÓN PERIÓDICA
DE UNAS CUANTAS
TRANSACCIONES A UNA
REVISIÓN CONTINUA DE
TODAS LAS
TRANSACCIONES (BAKSA
& TUROFF, 2010).
LA AUDITORÍA
CONTINUA, CAMBIA EL
PARADIGMA DE LA
AUDITORÍA, DESDE UNA
REVISIÓN PERIÓDICA
DE UNA MUESTRA DE
TRANSACCIONES, A
UNA AUDITORÍA
PERMANENTE DE
TODAS LAS
TRANSACCIONES.
(THORNTON, 2011).
LA AUDITORÍA
CONTINUA,
MODIFICARÍA EL
PARADIGMA DE LA
AUDITORÍA, LO QUE
INCLUIRÍA LA
NATURALEZA DE LAS
PRUEBAS, EL MOMENTO
EN QUE SE LAS LLEVA A
CABO, LOS
PROCEDIMIENTOS Y EL
NIVEL DE ESFUERZO.
(GONZÁLEZ TALLÓN,
2011).
52. DIMENSIÓN DE ANÁLISIS AUDITORIA TRADICIONAL AUDITORIA CONTINUA
1. FRECUENCIA PERIÓDICA CONTINUA Ó MÁS FRECUENTE
2. ENFOQUE REACTIVO PROACTIVO
3. PROCEDIMIENTOS DE AUDITORÍA MANUAL AUTOMATIZADO
4. TRABAJO Y ROL DE LOS
AUDITORES
LA MAYOR PARTE DEL TRABAJO
DESARROLLADO ESTA CENTRADO Y
ES INTENSIVA EN LOS
PROCEDIMIENTOS DE AUDITORÍA
LA MAYOR PARTE DEL TRABAJO
REALIZADO SE CENTRA EN EL MANEJO
DE EXCEPCIONES Y PROCEDIMIENTOS
DE AUDITORÍA QUE REQUIEREN EL
JUICIO HUMANO.
ROLES INDEPENDIENTES DEL
AUDITOR INTERNO Y DEL AUDITOR
EXTERNO.
EL PAPEL DEL AUDITOR EXTERNO SE
CONVIERTE EN EL CERTIFICADOR DEL
SISTEMA DE AUDITORÍA CONTINUA
5. NATURALEZA, OPORTUNIDAD Y
ALCANCE
5.1. NATURALEZA
LAS PRUEBAS CONSISTEN EN
PROCEDIMIENTOS DE REVISIÓN
ANALÍTICOS Y PRUEBAS
DETALLADAS SUSTANTIVAS
LAS PRUEBAS CONSISTEN EN
MONITOREO DE CONTROLES CONTINUO
Y ASEGURAMIENTO DE DATOS
CONTINUO
5.2. OPORTUNIDAD
LAS PRUEBAS DE CONTROLES Y LAS
PRUEBAS DETALLADAS SE
PRODUCEN DE FORMA
INDEPENDIENTE
EL MONITOREO DE LOS CONTROLES Y
LAS PRUEBAS DETALLADAS OCURREN
SIMULTÁNEAMENTE
5.3. ALCANCE
MUESTREO EN LAS PRUEBAS LA POBLACIÓN ENTERA SE CONSIDERA
EN LAS PRUEBAS.
6. PRUEBAS
PRUEBAS DESARROLLADAS POR LAS
PERSONAS
EL MODELADO DE DATOS Y EL ANÁLISIS
DE DATOS SON USADOS PARA
MONITOREAR Y PROBAR.
7. INFORMES PERÍODICAS CONTINUOS O MUY FRECUENTES
53. ASPECTO DE AUDITORÌA VIEJO PARADIGMA NUEVO PARADIGMA
FOCO DE LA AUDITORÍA
INTERNA
CONTROL INTERNO. RIESGOS DE NEGOCIO.
RESPUESTA DE LA AUDITORÍA
INTERNA
REACTIVA, DESPUÉS DE LOS
HECHOS, DISCONTINUA,
OBSERVADORA DE LAS
INICIATIVAS DEL PLAN
ESTRATÉGICO.
PROACTIVA, EN TIEMPO
REAL, MONITOREO CONTINUO,
PARTICIPANTE EN LOS PLANES
ESTRATÉGICOS.
EVALUACIÓN DE RIESGOS FACTORES DE RIESGO. PLANEAMIENTO DE
ESCENARIOS.
PRUEBAS DE AUDITORÍA CONTROLES IMPORTANTES. RIESGOS IMPORTANTES.
MÉTODOS DE AUDITORÍA ÉNFASIS EN LAS PRUEBAS DE
CONTROL DETALLADAS Y
COMPLETAS.
ÉNFASIS EN LA IMPORTANCIA Y
EL ALCANCE DE QUE LOS
RIESGOS DEL NEGOCIO ESTÉN
CUBIERTOS.
RECOMENDACIONES DE
AUDITORÍA
CONTROL INTERNO:
FORTALECIMIENTO, COSTO /
BENEFICIO, EFICIENCIA /
EFICACIA.
GESTIÓN DE RIESGOS:
EVITAR/DIVERSIFICAR
EL RIESGO COMPARTIR /
TRANSFERIR EL RIESGO
CONTROLAR / ACEPTAR
EL RIESGO.
INFORMES DE AUDITORÍA DIRIGIDA A LOS CONTROLES
FUNCIONALES.
DIRIGIDA A LOS RIESGOS
DE LOS PROCESOS.
PAPEL DEL AUDITOR INTERNO
EN LA ORGANIZACIÓN
FUNCIÓN DE EVALUACIÓN
INDEPENDIENTE.
INTEGRACIÓN DE LA GESTIÓN
DE RIESGOS EN EL GOBIERNO
DE LA ORGANIZACIÓN.
54. 1. ES CONSIDERADA EL NUEVO PARADIGMA DE LA AUDITORÍA
2. LA AUDITORÍA CONTINUA, ES CONSIDERADA UNA DE LAS TÉCNICAS Y HERRAMIENTAS DE
AUDITORÍA MÁS USADAS EN LATINOAMÉRICA, Y LA TERCERA QUE MÁS SE USARÁ EN LOS
PRÓXIMOS CINCO AÑOS EN LAS ORGANIZACIONES A NIVEL MUNDIAL” (INFORME DE
COMPETENCIAS CLAVE CON LAS QUE DEBE CONTAR EL AUDITOR INTERNO DE HOY, IIARF
2010)
3. SUJETO DE CONFERENCIAS EN LOS PRINCIPALES EVENTOS DE AUDITORÍA (CLAI2013,
LATINCACS2013, WCARS)
4. UNA NECESIDAD PARA MEJORAR LA EFECTIVIDAD DE LA AUDITORÍA INTERNA
5. UN REQUERIMIENTO ORGANIZACIONAL PARA ESTAR A TONO CON LA REALIDAD
TECNOLÓGICA DE LA UNIVERSIDAD
6. CONCEPTOS Y GUÍAS PROMULGADAS POR LOS PRINCIPALES ORGANISMOS DE AUDITORÍA Y
CONTROL A NIVEL INTERNACIONAL
6.1 CONCEPTUALIZACIONES DE AICPA Y CICA (1999)
6.2 GTAG3 DEL IIA (OCT.2005)
6.3 GUÍA 42 DE ISACA (MAY.2010)
6.4 GUÍA DE ORIENTACIÒN DE LA ASOCIACIÓN DE CONTADORES DE AUSTRALIA (2012)
7. HA SIDO INCORPORADA COMO PARTE DE LAS PRÁCTICAS
55.
56.
57. CAMBIO, UNA CONSTANTE
COMPETITIVIDAD Y PRODUCTIVIDAD
RIESGOS ( FRAUDES, REQUERIMIENTOS
REGULATORIOS, INEFICACIAS E INEFICIENCIAS EN
PROCESOS
SISTEMAS DE CONTROL EFECTIVOS
ASEGURAMIENTO OPORTUNO Y
PERMANENTE
AUDITORÍA
CONTINUA, O
AUDITORÍA
PERTINENTE
58. CICLO DE TRANSACCIONES DEL PROCESO COMERCIAL.
NATURALEZA DEL EVENTO.
IMPORTANCIA DE LAS TRANSACCIONES.
REQUISITOS EXTERNOS O DEL ENTORNO.
CICLOS DE ACTUALIZACIÓN DE LOS ORÍGENES DE LOS DATOS.
CAPACIDAD DE SUS RECURSOS.
1
2
3
4
5
6
59.
60. EL CLIENTE O EL SOLICITANTE DE LA AUDITORÍA
PUEDEN SER LA ALTA DIRECCIÓN, EL REPRESENTANTE DE LA ALTA
DIRECCIÓN, LOS ORGANOS DE CONTROL INSTITUCIONAL O QUIEN HAGA
SUS VECES O LOS LÍDERES DE LOS PROCESOS.
EL AUDITADO
TODA LA ORGANIZACIÓN ES SUSCEPTIBLE DE SER AUDITADA, ES
DECIR, EN TODOS LOS NIVELES JERÁRQUICOS E
INDEPENDIENTEMENTE DE LA VINCULACIÓN DE SUS SERVIDORES O
COLABORADORES.
EL AUDITOR
ES LA PERSONA DE LA ORGANIZACIÓN CON LA COMPETENCIA PARA
LLEVAR A CABO UNA AUDITORÍA. EN EL CASO DE LA INSTITUCIÓN, EL
AUDITOR LÍDER ES EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL,
QUIEN ESTÁ APOYADO POR SERVIDORES DE LA MISMA ÁREA Y AUDITORES
INTERNOS FORMADOS POR LA INSTITUCIÓN DE OTRAS ÁREAS.
1
2
3
61. CADA ESTRATEGIA DE SEGURIDAD CONTINUA (CA) / MONITOREO CONTINUO (CM) EN LAS
ORGANIZACIONES ESTÁ INFLUENCIADA POR UNA VARIEDAD DE IMPULSORES ESTRATÉGICOS,
OPERACIONALES Y EXTERNOS DE AUDITORÍA CONTINUA.
62. 1. ALTOS RIESGOS MERECEN ALERTAS
OPORTUNAS. MAYOR FRECUENCIA EN LAS
COMPROBACIONES. AUDITORÍAS “EN TIEMPO
REAL”
2. ALTO NIVEL DE INFORMATIZACIÓN MERECE
IDENTIFICAR DEFICIENCIAS DE CONTROL Y
FRAUDES A TRAVÉS DEL ANÁLISIS DE DATOS.
MAYOR VOLUMEN DE TRANSACCIONES.
3. ALGUNAS INCONSISTENCIAS DE LOS
PROCESOS DE NEGOCIO PUEDEN RESULTAR
“DEMASIADO CARAS” DETECTADAS
TARDÍAMENTE.
4. AUDITORÍA ESTÁ CANSADA DE LLEGAR Y
“CONTAR MUERTOS”. ES TIEMPO DE
“COMENZAR A SALVARLOS”.
5. AUDITORÍA INTERNA COMIENZA A USAR
MEJOR LA TECNOLOGÍA Y A INDEPENDIZARSE
DEL ÁREA DE TI (PARA LA OBTENCIÓN DE
INFORMACIÓN) .
6. DAR MÁS VALOR AGREGADO
63. ➢ UN ENTORNO REGULATORIO EN EVOLUCIÓN, LA CRECIENTE GLOBALIZACIÓN, LA PRESIÓN DEL
MERCADO PARA MEJORAR LAS OPERACIONES, Y LA RÁPIDA EVOLUCIÓN DE LAS CONDICIONES
DE NEGOCIOS, ESTÁN GENERANDO UNA NECESIDAD A LAS ORGANIZACIONES DE
DESARROLLAR PROGRAMAS DE AUDITORÍA CONTINUA DIRIGIDOS TANTO A LOS DATOS
FINANCIEROS COMO OPERACIONALES.
➢ DICHOS PROGRAMAS APOYAN LA CAPACIDAD DE AUDITORÍA INTERNA DE PROPORCIONAR
ASEGURAMIENTO CONTINUO RESPECTO DE UNA GESTIÓN EFICAZ DEL RIESGO Y EL CONTROL
POR PARTE DE QUIENES GOBIERNAN.
➢ LA AUDITORÍA CONTINUA COMPRENDE LA CONSTANTE EVALUACIÓN DE RIESGOS Y
CONTROLES, REALIZADO A TRAVÉS DE LA TECNOLOGÍA Y FACILITADA POR UN NUEVO
PARADIGMA DE AUDITORÍA QUE ESTÁ CAMBIANDO, DE EVALUACIONES PERIÓDICAS DE LOS
RIESGOS Y CONTROLES BASADOS EN UNA MUESTRA DE OPERACIONES, A EVALUACIONES
CONTINUAS DE UNA MAYOR PROPORCIÓN DE LAS TRANSACCIONES.
➢ LA AUDITORÍA CONTINUA TAMBIÉN INCLUYE EL ANÁLISIS DE OTRAS FUENTES DE DATOS QUE
PUEDEN REVELAR VALORES ATÍPICOS EN LOS SISTEMAS DE NEGOCIOS, COMO LOS NIVELES
DE SEGURIDAD, REGISTRO DE INCIDENTES, DATOS NO ESTRUCTURADOS Y CAMBIOS EN LAS
CONFIGURACIONES DE TI, CONTROLES DE APLICACIÓN Y CONTROLES EN LA SEGREGACIÓN DE
TAREAS.
➢ EXISTEN DOS FACTORES QUE ESTÁN IMPULSANDO LOS ESFUERZOS DE LOS AUDITORES
INTERNOS A MODIFICAR SU ENFOQUE HISTÓRICAMENTE RETROSPECTIVO:
• LA ORGANIZACIÓN NECESITA SEGUIR EL RITMO DEL NEGOCIO RESPONDIENDO MÁS
OPORTUNAMENTE A TASAS CRECIENTES DE CAMBIO EN LOS RIESGOS EMERGENTES.
• LOS AVANCES EN LA TECNOLOGÍA HAN PERMITIDO EVALUACIONES DE RIESGOS Y
CONTROLES “EN MARCHA.
64. UN ENTORNO REGULATORIO EN
EVOLUCIÓN
LA CRECIENTE
GLOBALIZACIÓN
LA PRESIÓN DEL MERCADO
PARA MEJORAR LAS
OPERACIONES
LA RÁPIDA EVOLUCIÓN DE LAS
CONDICIONES DE NEGOCIOS
ESTÁN GENERANDO
UNA NECESIDAD A
LAS ORGANIZACIONES
DE DESARROLLAR
PROGRAMAS DE
AUDITORÍA CONTINUA.
DATOS
FINANCIEROS
DATOS
OPERACIONALES.4
1
2
3
65.
66. LA AUDITORÍA CONTINUA COMPRENDE LA
CONSTANTE EVALUACIÓN DE RIESGOS Y
CONTROLES, REALIZADO A TRAVÉS DELA
TECNOLOGÍA Y FACILITADA POR UN NUEVO
PARADIGMA DE AUDITORÍA QUE ESTÁ CAMBIANDO,
DE EVALUACIONES PERIÓDICAS DE LOS RIESGOS Y
CONTROLES BASADOS EN UNA MUESTRA DE
OPERACIONES, A EVALUACIONES CONTINUAS DE
UNA MAYOR PROPORCIÓN DE LAS
TRANSACCIONES.
LA AUDITORÍA CONTINUA TAMBIÉN INCLUYE EL
ANÁLISIS DE OTRAS FUENTES DE DATOS QUE
PUEDEN REVELAR VALORES ATÍPICOS EN LOS
SISTEMAS DE NEGOCIOS, COMO LOS NIVELES DE
SEGURIDAD, REGISTRO DE INCIDENTES, DATOS NO
ESTRUCTURADOS Y CAMBIOS EN LAS
CONFIGURACIONES DE TI, CONTROLES DE
APLICACIÓN Y CONTROLES EN LA SEGREGACIÓN
DE TAREAS.
67. LA AUDITORÍA CONTINUA EXIGE DE PARTE DE LOS
AUDITORES DESARROLLAR PLANTILLAS DE CONTROL
INTERNO ESPECÍFICAS PARA EL CLIENTE PARA:
1. EVALUAR LA EFICIENCIA Y EFECTIVIDAD DE LA
ESTRUCTURA DE CONTROL INTERNO;
2. EVALUAR LOS RIESGOS INHERENTES Y DE
CONTROL; Y
3. SUMINISTRAR DETALLES DE LAS PRUEBAS
AUDITORÍA A SER PRACTICADAS.
4. LLEVAR A CABO DE MANERA ELECTRÓNICA UNA
SERIE DE PROCEDIMIENTOS DE AUDITORÍA QUE
INCLUYEN: LA EXTRACCIÓN DE DATOS, LA
OBTENCIÓN DE INFORMACIÓN PARA REVISIÓN
ANALÍTICA, EXTRACTOS DE LIBROS MAYORES Y
REGISTROS CONTABLES, SELECCIÓN DE PRUEBAS
ALEATORIAS DE CONTROL Y PRUEBAS
SUSTANTIVAS PARA IDENTIFICAR EXCEPCIONES Y
TRANSACCIONES INUSUALES Y LLEVAR A CABO
CONFIRMACIONES.
ESTAS PLANTILLAS DE CONTROL INTERNO PUEDEN
LLEVAR A CABO PRUEBAS ELECTRÓNICAS DE
CONTROLES SOFISTICADOS, INCLUYENDO
“FIREWALLS”, AUTENTICACIONES, CLAVES DE
ACCESO Y LA ENCRIPTACIÓN DE LA INFORMACIÓN
SENSIBLE.
68. SEGÚN EL MODELO GLATER, ALGUNAS CARACTERÍSTICAS DE LA AUDITORÍA CONTINUA SON:
1. SE TRATA DE UN PROCESO CONTINUO.
2. REQUIERE UN SOPORTE TECNOLÓGICO.
3. REQUIERE ESTANDARIZACIÓN DE LAS
OPERACIONES PARA SER COMPARADAS.
4. DEMANDA UNA EMISIÓN DE ALERTAS
SOBRE LAS DESVIACIONES OBTENIDAS
DE ESA COMPARACIÓN.
EL MODELO GLATER:
REQUIERE FORMULAR UNA PLANIFICACIÓN
QUE PERMITA GUIAR EL ANÁLISIS DE LA
INFORMACIÓN RECABADA MEDIANTE LAS
ENTREVISTAS, Y LOS REGISTROS
ANECDÓTICOS REALIZADOS POR EL
INVESTIGADOR, EL CUAL CONSISTE EN EL
DESARROLLO Y PUESTA EN PRÁCTICA DE
LOS TRES MOMENTOS DEL PROCESO
ANALÍTICO, Y QUE SON IDENTIFICADOS POR
LAS AUTORAS COMO: DESCRIPCIÓN,
CATEGORIZACIÓN E INTERPRETACIÓN
EXPLICACIÓN Y TEORIZACIÓN.
69. LA AUDITORÍA CONTINUA MODIFICARÍA EL
PARADIGMA DE LA AUDITORÍA, LO QUE
INCLUIRÍA:
1. LA NATURALEZA DE LAS PRUEBAS.
2. EL MOMENTO EN QUE SE LAS LLEVA A
CABO.
3. LOS PROCEDIMIENTOS.
4. EL NIVEL DE ESFUERZO.
LAS AUDITORÍAS DEJARÍAN DE SER UNA
MERA REVISIÓN DE MUESTRAS DE
OPERACIONES PARA TRANSFORMARSE EN
PROCEDIMIENTOS CONTINUOS DE
AUDITORÍA QUE EVALUARÍAN LA TOTALIDAD
DE LAS OPERACIONES Y EN LOS QUE LA
TECNOLOGÍA DESEMPEÑARÍA UN PAPEL
CLAVE.
70. LA IDEA ES RECOPILAR EVIDENCIAS E INDICADORES – EVENTOS - CON UNA PERIODICIDAD
DETERMINADA.
ESTOS EVENTOS, A SU VEZ, GENERAN UN DETERMINADO VOLUMEN DE ALERTAS QUE HAN DE
ANALIZARSE POSTERIORMENTE.
LA IDEA ES QUE TODAS LAS OPERACIONES PASEN POR UNA SERIE DE CONTROLES
AUTOMATIZADOS QUE PERMITAN QUE EL AUDITOR TENGA UNA VISIÓN CLARA Y CONTINUA EN EL
TIEMPO DE LA EVOLUCIÓN DE LOS SISTEMAS DE CONTROL INTERNO Y SU EFECTIVIDAD SIN
NECESIDAD DE DESPLAZARSE FÍSICAMENTE A LA UBICACIÓN OBJETO DE AUDITORÍA.
A PARTIR DEL CONCEPTO DE AUDITORÍA INTERNA MODERNA HAN SURGIDO OTROS DOS
CONCEPTOS RELACIONADOS A SU VEZ ENTRE SÍ QUE CONCRETAN EL CONCEPTO DE AUDITORÍA
INTERNA MODERNA:
LA AUDITORÍA A DISTANCIA
CONSISTE EN REALIZAR EL
SEGUIMIENTO DE LOS DIVERSOS
RIESGOS SIN NECESIDAD DE
REALIZAR UNA VISITA "IN SITU" A LA
UBICACIÓN FÍSICA OBJETO DE LA
AUDITORÍA, SINO ANALIZANDO
DATOS E INDICADORES MEDIANTE
UTILIDADES TELEMÁTICAS.
LA AUDITORÍA CONTINUA
SE ORIENTA A DETECTAR
DESVIACIONES RESPECTO A LA
NORMA PERMITIENDO UNA ALERTA
TEMPRANA Y CON ELLO UN MEJOR
CONTROL DE LOS RIESGOS Y UNA
VISIÓN CLARA DE SI LOS SISTEMAS
DE CONTROL SE ESTÁN
DEGRADANDO CON EL TIEMPO.
71. A PARTIR DE LAS DEFINICIONES
PLANTEADAS ANTERIORMENTE Y
RETOMANDO CARACTERÍSTICAS
ESTABLECIDAS EN DIFERENTES ARTÍCULOS
DE INVESTIGACIÓN, SE PROPONE LA
SIGUIENTE DEFINICIÓN COMO RESULTADO
DE ESTE PROCESO INVESTIGATIVO:
“LA AUDITORÍA CONTINUA ES UN PROCESO
A TRAVÉS DEL CUAL, LOS AUDITORES
DESARROLLAN SU CICLO DE AUDITORÍA, DE
FORMA MÁS OPORTUNA Y DE MANERA
CONSTANTE, CON EL APOYO DE LAS
TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES, UTILIZANDO TÉCNICAS
DE AUDITORÍA CONCURRENTES PARA
EVALUAR Y MONITOREAR DE FORMA
PERMANENTEMENTE, LA OCURRENCIA DE
RIESGOS Y EL INCUMPLIMIENTO DE
CONTROLES, DE AQUELLOS PROCESOS QUE
UTILIZAN DE MANERA INTENSIVA LAS TIC
PARA SU DESARROLLO”.
72. LA AUDITORÍA CONTINUA PROPORCIONA UNA
MANERA DE IDENTIFICAR INDICADORES DE RIESGO
Y EVALUAR LOS PARÁMETROS DE RIESGO A TRAVÉS
DE LAS OPERACIONES DE TI, APLICACIONES DE TI Y
PROCESOS DE NEGOCIO MEDIANTE SISTEMAS DE
ANÁLISIS DE CAMBIOS, SEGURIDAD, INCIDENTES,
DESVÍOS Y TRANSACCIONES.
LA AUDITORÍA CONTINUA MEJORA LA CAPACIDAD DE
LOS AUDITORES INTERNOS PARA OPINAR SOBRE LA
DISPONIBILIDAD Y UTILIDAD DE LOS DATOS,
COMPRENDER LOS CONTROLES DE LAS
APLICACIONES Y OPTIMIZAR LOS PROCESOS DE
NEGOCIO AUTOMATIZÁNDOLOS.
CUANDO SE IMPLEMENTA DE MANERA EFECTIVA, LA
AUDITORÍA CONTINUA:
1. SE CENTRA EN OBJETIVOS Y AFIRMACIONES DE
AUDITORÍA TALES COMO INTEGRIDAD,
EXACTITUD, Y AUTORIZACIÓN PARA
DETERMINAR LA CONFIABILIDAD DE LA
INFORMACIÓN UTILIZADA PARA LA TOMA DE
DECISIONES.
2. PUEDE DETECTAR NUEVAS ÁREAS DE
DEBILIDADES EN RIESGOS Y CONTROLES.
73.
74. 1. AYUDAR AL PODER EJECUTIVO EN LA
APLICACIÓN INMEDIATA DE LAS
LECCIONES APRENDIDAS DE LOS
RESULTADOS DE AUDITORÍAS
ANTERIORES.
2. DISMINUIR LOS RIESGOS DE UNA MALA
TOMA DECISIONES UNA GESTIÓN
DEFICIENTE.
3. CONSIDERAR MEDIDAS CORRECTIVAS
INMEDIATAS EN RESPUESTA A
IRREGULARIDADES IDENTIFICADAS FUERA
DE LA PROGRAMACIÓN NORMAL DE
AUDITORÍA.
4. INTOSAI INCLUYE AUDITORIAS EN TIEMPO
REAL EN SU GUÍA DE LA LISTA DE
VERIFICACIÓN DE REVISIÓN ENTRE PARES
PARA ENTIDADES FISCALIZADORAS
SUPERIORES:
75. 1. LA AUDITORÍA CONTINUA, DESDE UNA PERSPECTIVA INTERNA, OFRECE OPORTUNIDADES PARA
LOGRAR UN MAYOR ALCANCE EN LAS PRUEBAS DE CONTROL Y EN TIEMPO REAL, PERMITIENDO
INFORMAR LOS RESULTADOS OPORTUNAMENTE.
2. DESTACAN, ENTRE OTROS BENEFICIOS, LOS SIGUIENTES:
3. INTRODUCE LAS PRÁCTICAS MÁS AVANZADAS EN CONTABILIDAD.
4. PRESENTA REPORTES Y AUDITORÍAS CON USO INTENSIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN
MÁS DESARROLLADA, SOBRE TODO POR EL INTERÉS QUE EXISTE AHORA EN RELACIÓN CON LA
DISTRIBUCIÓN ELECTRÓNICA DE REPORTES DE NEGOCIOS.
5. LOS DATOS QUE FLUYEN A TRAVÉS DEL SISTEMA DE UN CLIENTE SE MONITOREAN Y ANALIZAN DE
MANERA CONTINUA USANDO MECANISMOS INTEGRADOS DENTRO DEL SISTEMA.
6. PROVOCA UN SISTEMA DE ALARMAS, PROVEYENDO AL AUDITOR DE CUALQUIER DETERIORO O
ANOMALÍA POTENCIAL DENTRO DEL SISTEMA.
7. PROVEE SEGURIDAD SOBRE LA CALIDAD Y LA CREDIBILIDAD DE LA INFORMACIÓN PRESENTADA.
8. REDUCE SIGNIFICATIVAMENTE EL TIEMPO ENTRE LA OCURRENCIA DE LOS HECHOS ECONÓMICOS EN EL
CLIENTE Y LA OPINIÓN DEL AUDITOR SOBRE ESTOS HECHOS.
9. REDUCE LOS COSTOS DE AUDITORÍA AL PERMITIR A LOS AUDITORES HACER PRUEBAS ALEATORIAS A
UNA MUESTRA MÁS GRANDE DE LAS TRANSACCIONES Y EXAMINAR LOS DATOS DE UNA MANERA
RÁPIDA Y EFICIENTE.
10. MEJORA LA CALIDAD DE LAS AUDITORÍAS AL PERMITIR A LOS AUDITORES CONCENTRARSE MÁS EN EL
ENTENDIMIENTO DE LA ORGANIZACIÓN Y SU ESTRUCTURA DE CONTROL INTERNO.
11. HACE ÉNFASIS EN LOS CONTROLES DE CARÁCTER FINANCIERO.
12. LA ADMINISTRACIÓN DA MAYOR IMPORTANCIA A LOS CONTROLES INTERNOS.
76. 1. CONSIDERE A LA AC UN PROYECTO ESTRATÉGICO.
2. DEFINA DESDE EL PRIMER MOMENTO CÓMO MEDIR
LA RENTABILIDAD.
3. AUDITORÍA CONTINUA NO ES SINÓNIMO DE
“REDUCCIÓN DE PERSONAL” : QUE NO SEA SU
OBJETIVO.
4. UN “CONJUNTO DE CONSULTAS” NO ES UN
MODELO DE AUDITORÍA CONTINUA.
5. DEFINA EL MODELO ANTES DE LOS INDICADORES.
6. INVOLUCRE AL DEPARTAMENTO DE TI CUANTO
ANTES.
7. LAS ÁREAS DE NEGOCIO SON UNA FUENTE DE
IDEAS.
8. CUANTO MÁS CONFIGURABLE SEA, MUCHO
MEJOR.
9. TENGA CUIDADO CON EL “UMBRAL DE
TOLERANCIA”.
10. SU NEGOCIO NO DEJA DE EVOLUCIONAR,
ACOMPÁÑELO CON SU MODELO.
77. EL PODER DE LA AUDITORÍA
CONTINUA DESCANSA EN LAS
PRUEBAS CONTINUAS,
INTELIGENTES Y EFICIENTES DE
LOS CONTROLES Y RIESGOS QUE
RESULTAN DE LA NOTIFICACIÓN
OPORTUNA DE LAS BRECHAS Y
DEBILIDADES QUE PERMITAN EL
SEGUIMIENTO INMEDIATO Y SU
SOLUCIÓN.
79. 1. COMPRENDAN CABALMENTE LOS
PUNTOS, LAS NORMAS Y LAS
EXCEPCIONES CLAVE DE LOS
CONTROLES
2. EJECUTEN CONTROLES Y
EVALUACIONES DE RIESGO EN TIEMPO
REAL O EN UN PERÍODO CERCANO AL
TIEMPO REAL
3. ANALICEN LOS SISTEMAS
EMPRESARIALES CLAVE EN BUSCA DE
ANOMALÍAS A NIVEL DE LAS
TRANSACCIONES
4. EXAMINEN INDICADORES BASADOS EN
DATOS DE LAS DEFICIENCIAS EN LOS
CONTROLES Y EL RIESGO EMERGENTE
5. INTEGREN LOS RESULTADOS DE SUS
ANÁLISIS A TODOS LOS ASPECTOS DEL
PROCESO DE AUDITORÍA
80. 1. CONOCIMIENTO Y COMPRENSIÓN LIMITADO SOBRE
LA DISPONIBILIDAD DE HERRAMIENTAS
TECNOLÓGICAS DE AC/MC ADECUADAS.
2. LA ORGANIZACIÓN NO ESTÁ FAMILIARIZADA O NO
ENTIENDE SUFICIENTEMENTE LAS POSIBILIDADES
DE LA AUDITORÍA CONTINUA /MONITOREO
CONTINUO
3. FALTA DE CONOCIMIENTO Y EXPERIENCIA EN
RELACIÓN CON EL ANÁLISIS DE DATOS Y/O EL
MANTENIMIENTO CONSTANTE DE LAS
HERRAMIENTAS
4. ESCASEZ DE PERSONAL PARA LA IMPLANTACIÓN DE
AUDITORÍA CONTINUA /MONITOREO CONTINUO
5. COMPROMISO O CONCIENCIACIÓN LIMITADOS POR
PARTE DEL CONSEJO Y LA DIRECCIÓN.
6. LA FALTA DE CLARIDAD SOBRE QUÉ TIPO DE
FUNCIONALIDAD OFRECEN REALMENTE LAS
HERRAMIENTAS DE AUDITORÍA CONTINUA
/MONITOREO CONTINUO
7. IDONEIDAD LIMITADA DE LA INFRAESTRUCTURA DE
TI PARA LA APLICACIÓN DE LA AUDITORÍA
CONTINUA /MONITOREO CONTINUO
81. 1. IDENTIFICAR Y NOTIFICAR
TEMPRANAMENTE LAS DEBILIDADES, PARA
SEGUIRLAS Y CORREGIRLAS
INMEDIATAMENTE, PRIORIZÁNDOLAS Y
FOCALIZÁNDOLAS EN NUEVOS
INDICADORES.
2. INCREMENTAR EL ALCANCE DE LA
AUDITORIA CON UN ANÁLISIS MÁS
EXHAUSTIVO DE LOS DATOS Y EL ACCESO A
TODA LA POBLACIÓN.
3. CONTAR CON UNA AUDITORIA CON MAYOR
CAPACIDAD PARA MITIGAR LOS RIESGOS.
4 REFORZAR EL ELEMENTO DISUASORIO,
AUMENTANDO LA SENSACIÓN DE CONTROL.
5. REDUCIR ERRORES FINANCIEROS Y LA
PROBABILIDAD DE FRAUDE.
6. REDUCIR LA NECESIDAD DE VIAJES Y
COSTOS DE DESPLAZAMIENTO.
7. APORTAR MÁS VALOR Y MEJORAR EL
ENTENDIMIENTO DE LOS PROCESOS, DAR
MAYOR COBERTURA A LOS TRABAJOS Y
MÁS AGILIDAD AL IDENTIFICAR Y ESCALAR
INCIDENCIAS.
82. LA AUDITORÍA CONTINUA ES UN MÉTODO UTILIZADO POR LOS AUDITORES PARA REALIZAR
REVISIONES EN TIEMPO REAL.
LA TECNOLOGÍA JUEGA UN PAPEL FUNDAMENTAL, LA AUTOMATIZACIÓN EN LA
IDENTIFICACIÓN DE EXCEPCIONES ANÓMALAS, EL ANÁLISIS DE PATRONES, DE LOS DÍGITOS
EN LOS CAMPOS NUMÉRICOS CLAVES, EL ANÁLISIS DE LAS TENDENCIAS, EL ANÁLISIS DE
LAS TRANSACCIONES DETALLADAS, PRUEBAS DE CONTROLES Y LA COMPARACIÓN DEL
PROCESO O DEL SISTEMA A TRAVÉS DEL TIEMPO O CON OTRAS ENTIDADES SIMILARES.
EL SISTEMA DE AUDITORÍA CONTINUA DETECTA Y CORRIGE LAS IRREGULARIDADES EN LOS
PROCESO Y CONTRIBUYE A LA IMPLEMENTACIÓN DE MEJORAS EN LOS MISMOS.
ADEMÁS FACILITARÁ EL CONTROL OPERACIONAL EN TIEMPO REAL Y QUE REDUCIRÁ LA
CARGA DE TRABAJO DE LOS RESPONSABLES DE LAS LÍNEAS DE NEGOCIO.
DE MANERA GENERAL EL PROCESO DE LA AUDITORÍA CONTINUA COMPRENDE:
1. PLANEACIÓN: ESTABLECE EL OBJETIVO Y EL ALCANCE DE LA AUDITORÍA, IDENTIFICA LA
FUENTE DE DATOS Y ESTABLECE EL ANÁLISIS.
2. TRABAJO DE CAMPO: OBTENER Y REALIZAR PRUEBAS A LOS DATOS IDENTIFICADOS
DURANTE LA PLANEACIÓN.
3. INFORME: IDENTIFICA LAS RAZONES DE LAS DEFICIENCIAS, DAR PRIORIDAD A LOS
HALLAZGOS Y PRESENTAR UN INFORME CON LOS RESULTADOS Y RECOMENDACIONES
DE MANERA CONTINUA.
83. 1. EL INSTITUTO DE AUDITORES INTERNOS (IIA), A TRAVÉS DE SU GUÍA DE AUDITORÍA DE
TECNOLOGÍA GLOBAL NÚMERO 3, DEFINE LA AUDITORÍA CONTINUA COMO:
“TODO MÉTODO UTILIZADO POR LOS AUDITORES PARA REALIZAR ACTIVIDADES RELACIONADAS
CON LA AUDITORÍA EN FORMA (MÁS) CONTINUA. ES LA SECUENCIA DE ACTIVIDADES QUE
ABARCAN DESDE LA EVALUACIÓN CONTINUA DE CONTROL HASTA LA EVALUACIÓN CONTINUA
DE RIESGOS”.
2. POR SU PARTE LA ASOCIACIÓN DE CONTROL Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN
(ISACA), EN LA DIRECTRIZ NÚMERO 42 DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN, DEFINE
LA AUDITORÍA CONTINUA COMO:
“MÉTODO PARA LLEVAR A CABO EVALUACIÓN DE RIESGOS Y CONTROLES, SOBRE UNA BASE
MÁS FRECUENTE, QUE UTILIZA TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR QUE
PERMITE A LOS PROFESIONALES DE AUDITORÍA MONITOREAR LOS RIESGOS Y CONTROLES EN
FORMA CONTINUA.
ESTE ENFOQUE PERMITE REUNIR EVIDENCIA SELECTIVA DE AUDITORÍA A TRAVÉS DEL
COMPUTADOR (ISACA, 2010).
3. RETOMANDO LOS CONCEPTOS PLANTEADOS PREVIAMENTE Y A FIN DE CONTAR CON UNA
DEFINICIÓN INCLUYENTE EN CADA UNA DE LAS ETAPAS DE UN CICLO DE AUDITORÍA, SE PUEDE
AFIRMAR QUE LA AUDITORÍA CONTINUA:
ES UN PROCESO A TRAVÉS DEL CUAL LOS AUDITORES DESARROLLAN SU CICLO DE AUDITORÍA
DE FORMA MÁS OPORTUNA Y DE MANERA CONSTANTE CON EL APOYO DE LAS TIC, UTILIZANDO
TÉCNICAS DE AUDITORÍA CONCURRENTES PARA EVALUAR Y MONITOREAR PERMANENTEMENTE
LA OCURRENCIA DE RIESGOS Y EL INCUMPLIMIENTO DE CONTROLES DE AQUELLOS PROCESOS
DE NEGOCIO QUE UTILIZAN DE MANERA INTENSIVA LAS TIC PARA SU DESARROLLO.
84. 1. ES UN MÉTODO EMPLEADO PARA REALIZAR EVALUACIONES DE RIESGOS Y MONITOREO DE
LOS CONTROLES DE MANERA FRECUENTE E INCLUSO EN TIEMPO REAL.
2. LA TECNOLOGÍA ES CLAVE PARA IMPLEMENTAR DICHO ENFOQUE.
3. ES UN PROCESO AUTOMÁTICO DE IDENTIFICACIÓN DE EXCEPCIONES O ANOMALÍAS O
TRANSACCIONES INUSUALES.
4. PERMITE EL ANÁLISIS DE PATRONES Y TENDENCIAS DE NEGOCIO, BAJO PARÁMETROS CON
VALORES LÍMITE Y UMBRALES, QUE PERMITIRÁN LA GENERACIÓN DE ALERTAS.
FLUJO
CONSTANTE DE
DATOS CON
CIERTOS
CRITERIOS DE
CALIDAD, A
TRAVÉS DE
PROCESOS DE
ASEGURAMIENTO
(CDA)
PROCESOS DE
MONITOREO
CONTINUO DEL
CONTROL (CCM)
EN RESPUESTA A
LOS RIESGOS.
ADECUADA
IDENTIFICACIÓN,
MONITOREO Y
EVALUACIÓN DE
RIESGOS (CRMA).
85. 1. CAMBIAR EL PENSAMIENTO DE LIDERAZGO DE LA
AUDITORIA INTERNA.
2. ABANDONA PRÁCTICAS RETROSPECTIVAS, CÍCLICAS,
DISTANTES, MUESTRAL.
3. SE APOYA EN LA EVALUACIÓN DE LOS RIESGOS, EN
EL CONOCIMIENTO DEL NEGOCIO Y SUS PROCESOS.
4. ABORDA TEMÁTICAS DE CUMPLIMIENTO, GESTIÓN,
MEJORA DE PROCESOS, FRAUDE, ENTRE OTRAS.
5. AUDITORIA CONTINUA PERMITE BRINDAR
BENEFICIOS ADICIONALES TALES COMO:
5.1 MAYOR CAPACIDAD PARA MITIGAR RIESGOS.
5.2 REDUCCIÓN DEL COSTO DE EVALUACIÓN DE
CONTROLES INTERNOS.
5.3 MAYOR RECONOCIMIENTO DE LA LABOR DE
AUDITARÍA INTERNA.
5.4 FACILITA LA DETECCIÓN DEL FRAUDE.
86.
87. 1. ESTABLECER PRIORIDADES Y DETERMINAR LA FRECUENCIA DE LAS ACTIVIDADES DE
AUDITORÍA CONTINUA.
2. EJECUTAR PRUEBAS DE MANERA REGULAR Y OPORTUNA.
3. IDENTIFICAR DEFICIENCIAS DE CONTROL O MAYORES NIVELES DE RIESGO.
4. ESTABLECER PRIORIDADES ENTRE LOS RESULTADOS.
5. INICIAR LA RESPUESTA DE AUDITORÍA CORRESPONDIENTE E INFORMAR LOS RESULTADOS A
LA DIRECCIÓN.
6. GESTIONAR RESULTADOS (RASTREO, INFORME, SUPERVISIÓN Y SEGUIMIENTO).
7. EVALUAR LOS RESULTADOS DE LAS ACCIONES IMPLEMENTADAS.
8. SUPERVISAR Y EVALUAR LA EFICACIA DEL PROCESO DE AUDITORÍA CONTINUA (TANTO EL
ANÁLISIS, POR EJEMPLO, REGLAS E INDICADORES, COMO LOS,
9. RESULTADOS OBTENIDOS) Y MODIFICAR LOS PARÁMETROS DE PRUEBA, SEGÚN SEA
NECESARIO.
10. GARANTIZAR LA SEGURIDAD DEL PROCESO DE AUDITORÍA CONTINUA Y ASEGURAR QUE
EXISTAN LAS VINCULACIONES CORRESPONDIENTES CON LAS
11. INICIATIVAS DE LA DIRECCIÓN, COMO POR EJEMPLO, LA ERM, LA SUPERVISIÓN Y LA
MEDICIÓN DE DESEMPEÑO.
88.
89.
90.
91. LA AUDITORÍA CONTINUA AYUDA A LOS AUDITORES A IDENTIFICAR Y EVALUAR EL RIESGO,
ADEMÁS DE ESTABLECER UMBRALES DINÁMICOS E INTELIGENTES QUE RESPONDAN A CAMBIOS
EN LA ORGANIZACIÓN.
TAMBIÉN RESPALDA LA IDENTIFICACIÓN Y LA EVALUACIÓN DE RIESGOS PARA TODO EL
UNIVERSO DE LA AUDITORÍA, COLABORANDO CON EL DESARROLLO DEL PLAN DE AUDITORÍA
ANUAL Y DE LOS OBJETIVOS DE UNA AUDITORÍA ESPECÍFICA. ASÍ, LA AUDITORÍA CONTINUA SE
PUEDE CONSIDERAR UNA SECUENCIA QUE OPERA EN MUCHOS NIVELES.
ADEMÁS, DETERMINADOS PUNTOS DE LA SECUENCIA SON MÁS ADECUADOS PARA CIERTAS
TAREAS Y ES POSIBLE ABARCAR MÁS DE UN PUNTO DE LA SECUENCIA AL REALIZAR DISTINTAS
TAREAS.
EL FOCO DE LA AUDITORÍA CONTINUA ABARCA DESDE UN ENFOQUE BASADO EN CONTROLES
HASTA UN ENFOQUE BASADO EN RIESGOS (CONSULTE EL DIAGRAMA A CONTINUACIÓN); LAS
TÉCNICAS DE ANÁLISIS ABARCAN DESDE UNA REVISIÓN EN TIEMPO REAL DE TRANSACCIONES
DETALLADAS HASTA EL ANÁLISIS DE TENDENCIAS Y LA COMPARACIÓN DE ENTIDADES CON
OTRAS ENTIDADES Y A TRAVÉS DEL TIEMPO.
EN EL EXTREMO DE “CONTROLES” DE LA SECUENCIA, LAS ACTIVIDADES RELACIONADAS CON LA
AUDITORÍA INCLUYEN EL ASEGURAMIENTO DE CONTROL Y LAS AUDITORÍAS DE CERTIFICACIÓN
FINANCIERA.
A MEDIDA QUE SE AVANZA HACIA EL OTRO EXTREMO DE LA SECUENCIA, LAS ACTIVIDADES DE
AUDITORÍA INCLUYEN LA IDENTIFICACIÓN DE FRAUDE, DISPENDIO Y ABUSO POR MEDIO DE LA
EVALUACIÓN DE RIESGO PARA RESPALDAR PROYECTOS DE AUDITORÍA Y ELABORAR EL PLAN DE
AUDITORÍA ANUAL.
LAS ACTIVIDADES DE GESTIÓN RELACIONADAS SON, POR EJEMPLO, SUPERVISIÓN CONTINUA DE
LOS CONTROLES, SUPERVISIÓN DE DESEMPEÑO, CUADRO DE MANDO, GESTIÓN PARA LA
CALIDAD TOTAL Y ERM.
92. LA AUDITORÍA CONTINUA ES UNA ESTRUCTURA O UN ENFOQUE DE UNIFICACIÓN QUE REÚNE
ASEGURAMIENTO DE CONTROL, EVALUACIÓN DE RIESGOS, PLANIFICACIÓN DE AUDITORÍA,
ANÁLISIS DIGITAL Y DEMÁS HERRAMIENTAS, TÉCNICAS Y TECNOLOGÍAS DE AUDITORÍA.
RESPALDA CUESTIONES DE MICROAUDITORÍA, COMO PRUEBAS DE TRANSACCIONES DETALLADAS
PARA EVALUAR LA EFICACIA DE LOS CONTROLES, Y CUESTIONES DE MACROAUDITORÍA, COMO EL
USO DE IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS PARA ELABORAR EL PLAN DE AUDITORÍA
ANUAL.
TAMBIÉN ABORDA LOS REQUISITOS DE NIVEL MEDIO, COMO EL DESARROLLO DE OBJETIVOS DE
AUDITORÍA PARA AUDITORÍAS INDIVIDUALES.
LA PRINCIPAL DIFERENCIA ENTRE LA MICROAUDITORÍA Y LA MACROAUDITORÍA ES EL NIVEL DE
DETALLE DE LA INFORMACIÓN REQUERIDA:
1. LAS PRUEBAS DE CONTROL REQUIEREN INFORMACIÓN DETALLADA, DESCENDIENDO HASTA LAS
TRANSACCIONES EN EL NIVEL DE ORIGEN. LA EVALUACIÓN CONTINUA DE CONTROL UTILIZA
REGLAS CUIDADOSAMENTE DESARROLLADAS Y PRUEBAS DE TRANSACCIONES EN TIEMPO
REAL O PRÁCTICAMENTE EN TIEMPO REAL PARA LOGRAR EL CUMPLIMIENTO DE ESTAS
REGLAS.
2. LA AUDITORÍA INDIVIDUAL A MENUDO COMIENZA CON LOS RIESGOS IDENTIFICADOS EN EL
PLAN DE AUDITORÍA ANUAL PERO, UTILIZA ANÁLISIS DE DATOS MÁS DETALLADOS Y OTRAS
TÉCNICAS (POR EJEMPLO: ENTREVISTAS, AUTOEVALUACIONES DE CONTROL, INSPECCIONES,
CUESTIONARIOS, ETC.) PARA DEFINIR AÚN MÁS LAS PRINCIPALES ÁREAS DE RIESGO Y
CENTRARSE EN LA EVALUACIÓN DE RIESGOS Y LAS POSTERIORES ACTIVIDADESDE AUDITORÍA.
3. EL PLAN DE AUDITORÍA ANUAL REQUIERE INFORMACIÓN DE ALTO NIVEL (TAL VEZ UN CÚMULO
DE DATOS DE VARIOS AÑOS) PARA ESTABLECER LOS FACTORES DE RIESGO, PRIORIZAR LOS
RIESGOS, Y DEFINIR LOS RITMOS INICIALES Y LOS OBJETIVOS PARA EL CONJUNTO DE
AUDITORÍAS PLANIFICADAS.
93.
94. MONITOREO AUTOMÁTICO ANALÍTICO
ECUACIONES CONTÍNUAS
VERIFICACIÓN AUTOMÁTICA DE TRANSACCIONES
ALARMAS DE DEBILIDADES Y/O DEFICIENCIAS ALARMAS DE EXCEPCIONES
VENTAS
GESTIÓN DE
MATERIALES
CUENTAS POR COBRAR RECURSOS HUMANOS
REQUERIMIENTO DE LOS
USUARIOS
CUENTAS POR PAGAR
RESPONSABILIDAD DE LOS
EMPLEADOS DE LA
ORGANIZACIÓN
BANCO DE DATOS DE INFORMACIÓN
OPERATIVA, FINANCIERA, CONTABLE,
PRESUPUESTA Y ECONÓMICA
95.
96.
97.
98.
99. LA PRESIÓN PARA QUE LOS DEPARTAMENTOS DE AUDITORÍA INTERNA HAGAN MÁS COSAS EN
MENOS TIEMPO ES CADA VEZ MAYOR. QUIZÁS LOS DESAFÍOS MÁS COMPLICADOS PARA LOS
AUDITORES SEAN OFRECER ASEGURAMIENTO OPORTUNO SOBRE LA EFICACIA DE LOS
CONTROLES INTERNOS, IDENTIFICAR Y EVALUAR CON MAYOR PRECISIÓN LOS NIVELES DE
RIESGO, Y DESTACAR LA FALTA DE CUMPLIMIENTO DE LAS REGULACIONES Y LAS POLÍTICAS
RÁPIDAMENTE. EN TODAS ESTAS ÁREAS SE PUEDE APLICAR LA AUDITORÍA CONTINUA.
LAS TECNOLOGÍAS PROPICIAS PUEDEN ABARCAR DESDE HOJAS DE CÁLCULO O GUIONES
DESARROLLADOS CON SOFTWARE ESPECÍFICO DE AUDITORÍA HASTA PAQUETES DE SOLUCIONES
COMERCIALES O SISTEMAS DESARROLLADOS A MEDIDA.
LA SOLUCIÓN SELECCIONADA DEBE SER FLEXIBLE Y ESCALABLE, QUE PERMITA A LOS
AUDITORES COMENZAR POR UN ÁREA ESPECÍFICA Y LUEGO AUMENTAR EL ALCANCE, EL GRADO
Y LA FRECUENCIA DE ANÁLISIS.
SI BIEN ALGUNOS ESTATUTOS ESTABLECEN QUE LAS AUDITORÍAS SE DEBEN REALIZAR
ANUALMENTE, LA NOCIÓN DE LLEVARLAS A CABO ESTRICTAMENTE CON ESA FRECUENCIA YA
NO ALCANZA PARA CUMPLIR CON LOS REQUISITOS REGLAMENTARIOS Y DE GESTIÓN.
LA ACTIVIDAD DE AUDITORÍA INTERNA DEBE APLICAR EVALUACIONES DE RIESGOS Y LLEVAR A
CABO ACTIVIDADES DE ASEGURAMIENTO DE CONTROL EN FORMA PERMANENTE.
SI BIEN LOS REQUISITOS REGLAMENTARIOS HAN PUESTO ESPECIAL ATENCIÓN EN LOS
ASPECTOS FINANCIEROS DE LA AUDITORÍA, LA AUDITORÍA CONTINUA RESPALDA TODOS LOS
TIPOS Y ÁREAS DE LA ACTIVIDAD DE AUDITORÍA.
LA CONFEDERACIÓN EUROPEA DE INSTITUTOS DE AUDITORES INTERNOS (ECIIA, EN INGLÉS),
POR MEDIO DE UNA DECLARACIÓN DE POSICIÓN EMITIDA EN 2005, INTERNAL AUDITING IN
EUROPE4, ALIENTA A LOS AUDITORES INTERNOS A RESPONDER A LOS RIESGOS QUE ENFRENTA
UNA ORGANIZACIÓN BRINDANDO ASEGURAMIENTO A LA DIRECCIÓN RELATIVO A LA
IDENTIFICACIÓN DE RIESGOS Y A SU GESTIÓN APROPIADA.
100. LOS AUDITORES DEBEN PODER REVISAR Y EVALUAR LOS RIESGOS NO SÓLO FINANCIEROS, SINO
TAMBIÉN OPERATIVOS Y ESTRATÉGICOS.
ESTA ES UN ÁREA EMERGENTE DE ATENCIÓN PARA LA AUDITORÍA CONTINUA.
LAS TECNOLOGÍAS DE ACCESO A LA INFORMACIÓN Y LAS APTITUDES TÉCNICAS UTILIZADAS PARA
LAS PRUEBAS DE CONTROL TAMBIÉN PUEDEN AYUDAR AL DEA A OFRECER UNA COLABORACIÓN
SUMAMENTE VALIOSA A LA DIRECCIÓN AL RESPALDAR LA EVALUACIÓN DE LA EFICACIA CONSTANTE
DE LAS ACTIVIDADES DE ERM Y LA RECOMENDACIÓN DE MEJORAS, CUANDO SE JUSTIFIQUE.
EL JEFE DEL ÓRGANO DE CONTROL INSTITUCIONAL RESPALDA LA FUNCIÓN DE SUPERVISIÓN
OFRECIENDO EVALUACIONES INDEPENDIENTES DE RIESGOS Y CONTROLES A LA ALTA DIRECCIÓN.
LA AUDITORÍA CONTINUA ABARCA UN AMPLIO RANGO DE FUNCIONALIDADES QUE RESPALDAN A LAS
ACTIVIDADES DE AUDITORÍA Y AL DEA POR MEDIO DE METODOLOGÍAS Y SERVICIOS PROPICIOS QUE
INCLUYEN:
1. ESTRATEGIAS Y PRÁCTICAS DE GESTIÓN DE RIESGOS: IDENTIFICANDO LOS RIESGOS SIN
DEMORAS.
2. CONFIABILIDAD DEL ENFOQUE DE CONTROL DE GESTIÓN: DESTACANDO LAS DEBILIDADES DE
CONTROL.
3. INFORMACIÓN PARA LA TOMA DE DECISIONES: EXAMINANDO LA CONFIABILIDAD Y LA
POSIBILIDAD DE ACCESO A LA INFORMACIÓN QUE UTILIZAN LOS DIRECTORES.
4. SELECCIÓN DE PROYECTOS DE AUDITORÍA PARA SU INCLUSIÓN EN EL PLAN DE AUDITORÍA
ANUAL: IDENTIFICANDO ÁREAS DE MAYOR RIESGO.
5. IMPLEMENTACIÓN DE MEDIDAS CORRECTIVAS OPORTUNAS Y EFICACES: VERIFICANDO LA
IMPLEMENTACIÓN DE RECOMENDACIONES DE AUDITORÍA.
101. EL DEA DEBE RECONOCER QUE HAY DIVERSAS INICIATIVAS
DE LA DIRECCIÓN QUE ESTÁN ESTRECHAMENTE VINCULADAS
CON LA AUDITORÍA CONTINUA, COMO GESTIÓN INTEGRADA
DE RIESGOS, CUADRO DE MANDO, MEJORA CONTINUA Y
SUPERVISIÓN CONTINUA.
EL AUDITOR DEBE DETERMINAR EL LUGAR EN EL QUE SE
ADECUA LA AUDITORÍA CONTINUA Y CÓMO SE PUEDE
EMPLEAR PARA EVALUAR ESTAS INICIATIVAS DE LA
DIRECCIÓN O PARA UTILIZAR INFORMACIÓN GENERADA A
TRAVÉS DE LAS INICIATIVAS.
LOS BENEFICIOS ESPERADOS A PARTIR DE LA
IMPLEMENTACIÓN DE UN ESQUEMA DE AUDITORÍA CONTINUA
INCLUYEN:
1. MAYOR CAPACIDAD PARA MITIGAR RIESGOS.
2. REDUCCIONES EN EL COSTO QUE IMPLICA LA
EVALUACIÓN DE CONTROLES INTERNOS.
3. MAYOR CONFIANZA EN LOS RESULTADOS FINANCIEROS.
4. MEJORAS EN LAS OPERACIONES FINANCIERAS.
5. REDUCCIONES EN LOS ERRORES FINANCIEROS Y LA
POSIBILIDAD DE FRAUDE.
ADEMÁS, LAS ORGANIZACIONES QUE HAN ADOPTADO
PLENAMENTE LA AUDITORÍA CONTINUA SUELEN INFORMAR
UNA REDUCCIÓN EN LOS COSTOS OPERATIVOS Y UN
AUMENTO EN LOS MÁRGENES DE GANANCIA.
102. 1. LA EVALUACIÓN CONTINUA DE CONTROL BRINDA AL
DEA PERSPECTIVAS CLARAS SOBRE LA EFICACIA DE
LOS SISTEMAS DE CONTROL INTERNO.
2. LA EVALUACIÓN CONTINUA DE CONTROL DE DATOS
TRANSACCIONALES FRENTE A LOS CONTROLES
INTERNOS PERMITE DESTACAR ERRORES Y
ANOMALÍAS RÁPIDAMENTE, INFORMÁNDOLOS A LA
DIRECCIÓN PARA SU INMEDIATA REVISIÓN Y ACCIÓN.
3. EL DESARROLLO DEL PLAN DE AUDITORÍA CONSIDERA
QUE LA FRECUENCIA DE LAS AUDITORÍAS SE DEBE
BASAR EN LOS FACTORES DE RIESGO DE UN PROCESO
DE NEGOCIO.
4. EN UN ALTO NIVEL, LA EVALUACIÓN CONTINUA DE
RIESGOS RESPALDA EL DESARROLLO DE PLANES DE
AUDITORÍA, PERMITIENDO LA IDENTIFICACIÓN
CONTROLADA POR DATOS Y LA EVALUACIÓN DE
INDICADORES DE RIESGO.
5. RESPALDA TANTO EL ESTABLECIMIENTO DEL
UNIVERSO DE LA AUDITORÍA COMO LA RECOPILACIÓN
DE DATOS CUANTITATIVOS, LO QUE LE PERMITE AL
DEPARTAMENTO DE AUDITORÍA INTERNA CENTRARSE
EN LAS PRIORIDADES DE RIESGO MÁS ALTO DE LA
COMPAÑÍA Y DESTINAR LOS RECURSOS APROPIADOS A
ÁREAS NUEVAS Y CAMBIANTES.
103. 1. CUANDO LOS AUDITORES INTERNOS
PUEDEN CONFIAR EN EL DESEMPEÑO DE LA
SUPERVISIÓN CONTINUA POR PARTE DE LA
DIRECCIÓN, NO SE REQUIERE EL MISMO
NIVEL DE DETALLE DE TÉCNICAS DE
EVALUACIÓN CONTINUA DE CONTROL.
2. CUANDO LA SUPERVISIÓN DE LA
DIRECCIÓN NO ES SUFICIENTE, LOS
AUDITORES DEBEN REALIZAR PRUEBAS
DETALLADAS EMPLEANDO TÉCNICAS DE
EVALUACIÓN CONTINUA DE CONTROL A FIN
DE VALORAR LA IDONEIDAD DE LOS
CONTROLES.
3. NO ES NECESARIO EJECUTAR LAS
EVALUACIONES CONTINUAS DE CONTROL
EN TIEMPO REAL.
4. LA FRECUENCIA DEL ANÁLISIS DEPENDERÁ
DEL NIVEL DE RIESGO Y DEL GRADO DE
SUPERVISIÓN DE CONTROLES POR PARTE
DE LA DIRECCIÓN.
104.
105.
106. 1. EMINENTEMENTE PRÁCTICA.
2. BRINDA UN DECÁLOGO DE BUENAS
PRÁCTICAS.
3. DISTINGUE ENTRE MONITOREO
(LÍNEA) Y AUDITORÍA CONTINUA.
4. PLANTEA UN MODELO DE MADUREZ
(5 NIVELES).
5. RESPETA EL MODELO DE 3 LÍNEAS DE
DEFENSA.
6. BRINDA ASESORAMIENTO PARA
ELEGIR LA HERRAMIENTA.
7. INCLUYE UN EJEMPLO PRÁCTICO DE
IMPLEMENTACIÓN.
107.
108. I. DESARROLLO
1.1 IDENTIFICAR LOS ATRIBUTOS DE LA INFORMACIÓN QUE SE RECOPILA
PARA DESARROLLAR LOS INDICADORES, ES NECESARIO ANALIZAR LA FUENTE DE LOS
DATOS Y SUS ATRIBUTOS, ASÍ SE PODRÁ CALIFICAR ADECUADAMENTE LA INFORMACIÓN Y
FACILITAR SU GESTIÓN.
EN DICHO PROCESO SE DEBE CONSIDERAR:
a. LAS DISTINTAS FUENTES DE OBTENCIÓN DE DATOS CON LOS QUE CALCULAMOS LOS
INDICADORES.
b. EL USO DE INFORMACIÓN EXTERNA A LA ORGANIZACIÓN, SOBRE TODO AL COMPARAR
DATOS Y VALORAR POSIBLES ALERTAS.
c. LA VALIDACIÓN DE LOS DATOS OBTENIDOS.
d. LA POSIBLE EXISTENCIA DE FALSOS POSITIVOS COMO CONSECUENCIA DE
COMPARACIONES NO HOMOGÉNEAS ENTRE DATOS OBTENIDOS DE FUENTES
DIVERSAS.
e. QUE LOS INDICADORES INCLUYAN INFORMACIÓN SUFICIENTE PARA SU CORRECTO
ESTUDIO.
ADEMÁS DE ESTOS PUNTOS, ES NECESARIO DOCUMENTAR ADECUADAMENTE TODOS LOS
INDICADORES, SUS FÓRMULAS DE CÁLCULO, LOS DATOS QUE LOS INTEGRAN Y SUS
CARACTERÍSTICAS.
109. 1.2 DESARROLLO DE LA PLATAFORMA / ADAPTACIÓN DE
LA HERRAMIENTA DE MERCADO
EN BASE AL ANÁLISIS FUNCIONAL Y DISEÑO
TÉCNICO, HAY QUE DEFINIR Y APROBAR UN PLAN DE
IMPLANTACIÓN / EJECUCIÓN DEL PROYECTO, QUE
INCLUYA:
a. LA DEFINICIÓN DE OBJETIVOS.
b. LA ASIGNACIÓN DE RESPONSABILIDADES.
c. LAS NECESIDADES DE PERSONAL / EQUIPOS /
LICENCIAS / ESPACIO FÍSICO / COMUNICACIONES.
d. LA METODOLOGÍA DE DESARROLLO E
IMPLANTACIÓN.
e. EL CALENDARIO
f. LAS ACTIVIDADES DE SEGUIMIENTO Y REPORTE.
ALGUNAS DE LAS CUESTIONES CLAVE A TENER EN
CUENTA EN ESTA FASE SON:
a. EL SEGUIMIENTO FRECUENTE PARA EL CONTROL
DE DESVÍOS EN TIEMPO Y COSTE.
b. EL USO DE PROTOTIPOS –DEMOSTRACIONES– Y
CONTRASTE FRECUENTE CON USUARIOS
FINALES.
c. SE DEBE DETALLAR Y DOCUMENTAR INCIDENCIAS
QUE SUPONGAN UN RIESGO SOBRE LOS
OBJETIVOS DEL PROYECTO EN TIEMPO, FORMA Y
COSTE, INDICANDO LAS SOLUCIONES ADOPTADAS
E INFORMANDO A LA DIRECCIÓN.
110. 1.3 CONEXIÓN CON LAS APLICACIONES / REPOSITORIOS
LA CONEXIÓN CON LAS FUENTES DE INFORMACIÓN DEPENDE DEL MODELO ELEGIDO:
a. EN LOS CASOS DE ACCESO A LA INFORMACIÓN MEDIANTE UN REPOSITORIO, HAY QUE
DEFINIR:
b. LOS REQUERIMIENTOS DE INFORMACIÓN (TABLAS, CAMPOS Y FORMATO ESPERADO).
c. LA PERIODICIDAD DE CARGA DE LA INFORMACIÓN.
d. EL TIEMPO DE RETENCIÓN DE LA INFORMACIÓN.
e. SI LOS DATOS SE AÑADEN O SUSTITUYEN A LOS EXISTENTES.
f. DEFINICIÓN DE RESPONSABLE DE LA CARGA DE LA INFORMACIÓN.
g. DEFINICIÓN DE INFORMACIÓN NECESARIA PARA REALIZAR VALIDACIONES (POR EJEMPLO,
NÚMERO DE REGISTROS Y TOTALES SOBRE CAMPOS DE IMPORTE).
h. SI EL ACCESO ES DIRECTO A LAS APLICACIONES, DEBEMOS ACORDAR CÓMO SE ADVIERTE
AL ÁREA DE AUDITORÍA INTERNA DE LAS POSIBLES INCIDENCIAS EN LA INFORMACIÓN
FUENTE.
EL MODO DE ACCESO PUEDE IMPLEMENTARSE A BAJO NIVEL, CON CONECTORES DE BASES DE
DATOS; O A ALTO NIVEL, CON HERRAMIENTAS O APLICACIONES ESPECÍFICAS. EN CUALQUIER
CASO, SE DEBE TENER EN CUENTA:
a. EL IMPACTO DE LA CARGA SOBRE LOS PROCESOS DE LA COMPAÑÍA, ESPECIALMENTE SI
SE USA REPOSITORIO.
b. PROBLEMAS EN LA OPERATIVA, PROBLEMAS DE SEGURIDAD, ETC.
c. VELOCIDAD DEL PROCESO DE CARGA, QUE IMPACTA EN LA EJECUCIÓN POSTERIOR DE
LOS INDICADORES.
d. DISPONIBILIDAD DE LA INFORMACIÓN, CON LA GARANTÍA DE QUE TODA LA POBLACIÓN
AUDITADA SE ENCUENTRA ACTUALIZADA EN LA FUENTE.
e. MECANISMOS PARA LA GESTIÓN Y REPORTE DE INCIDENCIAS EN LA CARGA.
111. 1.4 CONEXIÓN CON OTRAS
HERRAMIENTAS SIMILARES YA
EXISTENTES
LA CONEXIÓN PUEDE SER:
a. SALIENTE: LA HERRAMIENTA NUTRE
A APLICACIONES EXTERNAS COMO,
POR EJEMPLO, HERRAMIENTAS DE
SEGUIMIENTO DE CONTROLES (GRC,
MAPA DE RIESGOS, ETC.).
b. ENTRANTE: OTRAS HERRAMIENTAS
SIMILARES NUTREN A LA
PLATAFORMA DE AUDITORÍA
CONTINUA, APORTANDO
INFORMACIÓN ÚTIL, POR EJEMPLO,
PARA ALGÚN INDICADOR.
CUANDO LA HERRAMIENTA NUTRE A
OTRAS APLICACIONES HAY QUE DEFINIR
UN PROCEDIMIENTO DE EXPORTACIÓN
DE INFORMACIÓN ADECUADO, QUE
INCLUYA UN RESPONSABLE, LA
DEFINICIÓN DE DATOS QUE SE
REPORTAN, LA PERIODICIDAD Y LAS
VALIDACIONES DE INTEGRIDAD.
112. 1.5 GESTIÓN DE INCIDENCIAS
LAS INCIDENCIAS MÁS HABITUALES EN ESTE TIPO DE
PROYECTOS SON:
a. DESVIACIONES EN TIEMPO Y COSTE. ESTOS PROYECTOS
SUELEN COMENZAR CON UNA DEFINICIÓN SENCILLA, QUE
SE COMPLICA CONFORME LOS INDICADORES
EVOLUCIONAN.
EL ÁREA DE AUDITORÍA INTERNA, COMO RESPONSABLE
DEL PROYECTO, DEFINE EL NIVEL DE COMPLEJIDAD DE
CADA INDICADOR, TENIENDO EN CUENTA QUE UN BUEN
DISEÑO INICIAL EVITA SOBRECOSTES, RETRASOS, Y
GARANTIZA QUE LA HERRAMIENTA CUMPLE LAS
EXPECTATIVAS.
b. LENTITUD DE PROCESO, ORIGINADA POR LAS TABLAS
ORIGEN DE LA INFORMACIÓN Y LOS PROCESOS DE
CONEXIÓN. EL PROCESO DE ANÁLISIS DE LOS
INDICADORES PUEDE, EN OCASIONES, REQUERIR LA
EXTRACCIÓN DE BASES DE CIERTO TAMAÑO, O
CONSULTAS “PESADAS” CON UN ALTO VOLUMEN DE
INFORMACIÓN.
POR ELLO, ES BÁSICO QUE SE CONFIGURE
ADECUADAMENTE LA FORMA DE EXTRACCIÓN Y EL
FORMATO DEL DETALLE GENERADO.
ES RECOMENDABLE DEFINIR ESPECÍFICAMENTE CADA
INDICADOR, ACOTANDO LA POBLACIÓN DE DATOS SIEMPRE
QUE SE PUEDA, POR TIEMPO, POR GEOGRAFÍA, POR
UNIDAD DENTRO DE LA ORGANIZACIÓN, ETC.
113. 1.6 PRUEBAS
LA FASE DE PRUEBAS DEL DESARROLLO, QUE SE INTEGRAN EN EL PROCESO HABITUAL DE DESARROLLO
ESTABLECIDO EN LA ORGANIZACIÓN, SE DIVIDE EN:
a. PRUEBAS TÉCNICAS PARA VALIDAR LA INTEGRIDAD Y COHERENCIA DEL PROCESO. SON COMUNES EN
CUALQUIER DESARROLLO TÉCNICO. INCLUYEN PRUEBAS UNITARIAS, PRUEBAS COMPLETAS DE UN INDICADOR,
PRUEBAS DE CONVIVENCIA DE LOS NUEVOS INDICADORES CON EL RESTO DE SISTEMAS, PRUEBAS DE
VELOCIDAD DE PROCESO DE INFORMACIÓN EN FUNCIÓN DE LA INFORMACIÓN FUENTE, ETCÉTERA.
b. PRUEBAS DE USUARIO O CONCEPTO, QUE TIENEN POR OBJETIVO VALIDAR LOS RESULTADOS OBTENIDOS.
EN LA FASE DE DISEÑO LAS DEFINE EL ÁREA DE AUDITORÍA INTERNA. LAS MÁS HABITUALES SON:
b.1 FORMATO DE LA INFORMACIÓN: VALIDAR EL FORMATO DE LOS CAMPOS DEL INDICADOR COMO, POR
EJEMPLO, FECHAS O IMPORTES.
b.2 TOTALIDAD DE LA INFORMACIÓN: VALIDAR QUE LOS RESULTADOS QUE CONTIENEN INFORMACIÓN SOBRE
LA POBLACIÓN ESPERADA, TODAS LAS ZONAS GEOGRÁFICAS ANALIZADAS, TODAS LAS UNIDADES DE
NEGOCIO ANALIZADAS, ETCÉTERA.
b.3 COHERENCIA CONTABLE: COMPROBAR SI LA INFORMACIÓN SE CORRESPONDE CON LOS DATOS
DISPONIBLES EN LOS ESTADOS FINANCIEROS U OTRAS FUENTES CONCILIADAS CONTABLEMENTE.
b.4 COHERENCIA: VALIDAR QUE LOS DATOS OBTENIDOS SON CONCEPTUALMENTE COHERENTES, POR
EJEMPLO, FACTURAS VENCIDAS QUE TODAVÍA NO HAN SIDO EMITIDAS.
b.5 COHERENCIA ENTRE INDICADORES: VALIDAR QUE LA POBLACIÓN DE LOS DISTINTOS INDICADORES ES
HOMOGÉNEA. POR EJEMPLO, EL NÚMERO DE FACTURAS PENDIENTES DE COBRO EN UN DETERMINADO DÍA
DEBE SER LA MISMA PARA TODOS LOS INDICADORES QUE UTILICEN ESTA INFORMACIÓN.
b.6 PRUEBAS SOBRE EL INDICADOR EN SÍ MISMO: VERIFICAR LA UTILIDAD DE LOS DATOS OBTENIDOS,
PERCEPCIÓN DE RENDIMIENTO POR PARTE DEL USUARIO, ETCÉTERA.
b.7 RESULTADOS: VALIDAR QUE EL OBJETIVO DEL INDICADOR SE HA CUMPLIDO.
ESTAS PRUEBAS AYUDAN A MEJORAR EL DISEÑO DEL INDICADOR, AJUSTÁNDOLO Y REDUCIENDO EL NÚMERO DE
FALSOS POSITIVOS.
114. I. DESPLIEGUE
2.1 IMPLANTACIÓN
➢ SIEMPRE QUE EL PROYECTO SE PRESENTE A LA
DIRECCIÓN DE FORMA ADECUADA Y SE DISEÑE EN
UNA PLATAFORMA APROPIADA, SU IMPLANTACIÓN
NO TIENE POR QUÉ SER COMPLICADA.
➢ EL PRINCIPAL OBSTÁCULO ES EL LIMITADO
CONOCIMIENTO DE LA NUEVA HERRAMIENTA QUE
TIENE LA ORGANIZACIÓN.
➢ HACE FALTA FORMACIÓN IMPARTIDA POR EL ÁREA
DE AUDITORÍA INTERNA.
➢ LA AUDITORÍA CONTINUA SE IMPLEMENTA POR
MÓDULOS, SEGÚN UNA PLANIFICACIÓN INICIAL Y, A
PARTIR DE PRUEBAS PILOTO, ES RECOMENDABLE
CHEQUEAR A LAS UNIDADES DE NEGOCIO Y, UNA VEZ
VALIDADO EL ÉXITO, EXTENDER SU ALCANCE.
➢ COMPROBADO EL CORRECTO FUNCIONAMIENTO DE
LA PLATAFORMA, SE REALIZAN LOS NECESARIOS
AJUSTES EN LA PARAMETRIZACIÓN Y PESOS DE LOS
INDICADORES.
➢ AJUSTES QUE SE REPETIRÁN PERIÓDICAMENTE
PARA ADAPTARLOS A LA DINÁMICA DE LA
ORGANIZACIÓN Y SUS PROCESOS. LAS REVISIONES
PERMITEN AJUSTAR PAULATINAMENTE LA
HERRAMIENTA Y DETECTAR Y REDUCIR LAS
INCIDENCIAS.
115. 2.2 COMUNICACIÓN A LA ORGANIZACIÓN
❖ LA DIRECCIÓN Y LAS ÁREAS AFECTADAS POR LOS ANÁLISIS DEBEN CONSIDERAR LA
AUDITORÍA CONTINUA COMO UNA HERRAMIENTA DE MEJORA DEL ASEGURAMIENTO DE
LA ORGANIZACIÓN.
❖ PARA EL ÁREA DE AUDITORÍA INTERNA ESTA ACTIVIDAD ES LA EVOLUCIÓN NATURAL DE
SU TRABAJO, DE LA MISMA FORMA QUE EVOLUCIONÓ DESDE LA AUDITORÍA INTERNA DE
CUMPLIMIENTO, O TRADICIONAL, HASTA UN TRABAJO BASADO EN EL ANÁLISIS DE
RIESGOS.
❖ AHORA ES POSIBLE AVANZAR HACIA LA AUDITORÍA CONTINUA Y ASÍ DEBE
TRANSMITIRLO.
❖ CONVIENE ESTUDIAR DETENIDAMENTE CÓMO SE PRESENTAN LOS RESULTADOS
FINALES DE LOS TRABAJOS DE AUDITORIA CONTINUA. LOS INFORMES PERIÓDICOS
DEBEN TENER UNA PRESENTACIÓN “AMIGABLE” Y DEBEN CENTRARSE SÓLO EN LOS
ASPECTOS REALMENTE RELEVANTES, INCORPORANDO ÚNICAMENTE LOS INDICADORES
QUE AFECTEN SIGNIFICATIVAMENTE A UNA ACTIVIDAD.
❖ EL REPORTING DEBE PROCURAR, ADEMÁS, NO INVADIR NUNCA LAS COMPETENCIAS DE
OTRAS ÁREAS DE LA ORGANIZACIÓN (POR EJEMPLO, CONTROL DE GESTIÓN), DEBE
ENFOCAR SUS CONTENIDOS DENTRO DE LOS DE LA TERCERA LÍNEA DE DEFENSA Y
EVITAR QUE SE CONSIDERE A AUDITORÍA CONTINUA SIMPLEMENTE COMO UNA
ACTIVIDAD COMPLEMENTARIA DE LOS ANÁLISIS PROPIOS DE OTRAS ÁREAS.
❖ EL LANZAMIENTO DE LA PLATAFORMA DE AUDITORÍA CONTINUA CONLLEVA UN
PROCESO DE FORMACIÓN Y COMUNICACIÓN, TANTO PARA LOS INTEGRANTES DE LA
DIRECCIÓN DE AUDITORÍA INTERNA COMO LOS DE LAS ÁREAS AFECTADAS POR LOS
OBJETIVOS Y DESEMPEÑO DE SUS SISTEMAS.
116. 2.3 ANÁLISIS DE LA SITUACIÓN TRAS EL DESPLIEGUE
FINALIZADO EL PROCESO DE DESPLIEGUE DEL SISTEMA DE AUDITORÍA CONTINUA, CONVIENE
ANALIZAR SI SE HAN CONSEGUIDO LOS OBJETIVOS MARCADOS Y PLANTEARSE EL
CUMPLIMIENTO DE FACTORES DE ÉXITO Y FRACASO PARA MANTENER VIVO EL IMPULSO INICIAL
Y ADELANTARSE A LOS POSIBLES PROBLEMAS.
LA SIGUIENTE TABLA RESUME LA LISTA DE DESAFÍOS Y SUS CAUSAS, Y LOS FACTORES DE
ÉXITO EN LA IMPLANTACIÓN DE UN SISTEMA DE AUDITORÍA CONTINUA.
FACTORES DE FRACASO
1. SOLUCIONES DEMASIADO COMPLEJAS O POCO PRÁCTICAS.
2. SOLUCIONES DESARROLLADAS EN FORMA AISLADA POR CONSULTORES O POR UN EQUIPO EXTERNO.
3. MEJORES PRÁCTICAS COPIADAS, PERO NO AJUSTADAS PARA SATISFACER LA OPERACIÓN DE LA EMPRESA.
4. SOLUCIONES NO “ASUMIDAS” POR LOS PROPIETARIOS DEL PROCESO/EQUIPO.
5. ORGANIZACIÓN SIN ROLES Y RESPONSABILIDADES CLAROS.
6. GERENCIA QUE NO DEMANDA NI RESPALDA EL CAMBIO.
7. RESISTENCIA AL CAMBIO.
8. POBRE COMPRENSIÓN DE LA MANERA EN QUE DEBEN APLICARSE LOS NUEVOS PROCESOS O HERRAMIENTAS QUE HAN SIDO DESARROLLADOS.
9. HABILIDADES Y PERFILES NO COINCIDENTES CON LOS REQUERIMIENTOS DEL ROL.
FACTORES DE ÉXITO
1. ENFOCARSE EN GANANCIAS RÁPIDAS (QUICK WINS) Y PROYECTOS MANEJABLES.
2. REALIZAR PEQUEÑAS MEJORAS PARA PROBAR EL ENFOQUE Y ASEGURARSE QUE FUNCIONA
3. INVOLUCRAR A LOS PROPIETARIOS DE LOS PROCESOS Y A OTROS TERCEROS INTERESADOS EN EL DESARROLLO DE LA MEJORA.
4. ASEGURARSE DE QUE LOS ROLES Y RESPONSABILIDADES SON CLARAS Y ACEPTADAS, CAMBIANDO LAS DESCRIPCIONES DE LOS ROLES Y
PERFILES, SI ES NECESARIO.
5. LLEVAR LA MEJORA DESDE LA GERENCIA HACIA ABAJO Y A TRAVÉS DE TODA LA EMPRESA.
6. APLICAR UNA FORMACIÓN ADECUADA, CUANDO SEA NECESARIO.
7. DESARROLLAR LOS PROCESOS ANTES DE INTENTAR AUTOMATIZARLOS.
8. REORGANIZAR, SI ES NECESARIO, PARA HABILITAR UNA MEJOR APROPIACIÓN DE LOS PROCESOS.
9. HACER COINCIDIR LOS ROLES (ESPECÍFICAMENTE AQUELLOS QUE SON CLAVES PARA EL ÉXITO) CON LAS CAPACIDADES Y CARACTERÍSTICAS
INDIVIDUALES.
117. EL ÚLTIMO PASO EN LA EVALUACIÓN CONTINUA DE
RIESGOS ES REUNIR Y ANALIZAR LOS DATOS Y
RESPALDAR LOS PROCESOS CLAVE DE NEGOCIO Y LAS
ÁREAS DE MAYOR RIESGO.
A MENUDO, ESTA INFORMACIÓN SE DEBE RECOPILAR
DESDE LOS DIFERENTES NIVELES DE LA
ORGANIZACIÓN PARA IDENTIFICAR Y EVALUAR
RIESGOS, Y PARA RESPONDER A ELLOS.
LOS PROPIETARIOS DEL NEGOCIO Y LOS
PROFESIONALES DE TI PUEDEN AYUDAR A LOS
AUDITORES A DESARROLLAR INDICADORES DE RIESGO
CONTROLADOS POR DATOS. ESTOS INDICADORES
DEBEN REACCIONAR SEGÚN LOS NIVELES
CAMBIANTES DE RIESGO Y SE PUEDEN MEDIR CON
FACILIDAD.
LOS RESULTADOS DE LA EVALUACIÓN CONTINUA DE
RIESGOS RESPALDARÁN LA VIGENCIA DEL PLAN DE
AUDITORÍA, LO CUAL POSIBLEMENTE HAGA QUE SE
AGREGUE UNA AUDITORÍA ESPECÍFICA AL PLAN.
TAMBIÉN SERÁN ÚTILES AL MOMENTO DE
DESARROLLAR EL ALCANCE Y LOS OBJETIVOS DE UNA
AUDITORÍA INDIVIDUAL, Y SE PODRÁN PROPORCIONAR
A LA DIRECCIÓN CON FINES INFORMATIVOS Y DE
ATENCIÓN.
118. AL ESTABLECER LA OPORTUNIDAD, EL ALCANCE Y LA COBERTURA DE LAS
PRUEBAS DE AUDITORÍA CONTINUA, EL DEA DEBE CONSIDERAR LOS
OBJETIVOS DE AUDITORÍA CONTINUA, EL GRADO DE ACEPTACIÓN DE
RIESGO DE LA ORGANIZACIÓN, EL NIVEL Y LA NATURALEZA DE LA
SUPERVISIÓN DE LA DIRECCIÓN Y LAS ACTIVIDADES DE RIESGO
EMPRESARIAL.
EN ALGUNOS CASOS, LOS AUDITORES DEBEN ESTABLECER PRIORIDADES
ENTRE LOS RIESGOS Y SELECCIONAR ÚNICAMENTE ALGUNAS POCAS
ÁREAS DE ALTO RIESGO O PUNTOS DE CONTROL CLAVE PARA LA PRIMERA
IMPLEMENTACIÓN DE LA AUDITORÍA CONTINUA.
EL PRÓXIMO PASO ES DETERMINAR CON QUÉ FRECUENCIA SE
EJECUTARÁN LAS PRUEBAS DE AUDITORÍA CONTINUA. LA FRECUENCIA DE
LAS ACTIVIDADES DE AUDITORÍA CONTINUA PUEDE VARIAR DESDE UNA
REVISIÓN EN TIEMPO REAL DE LAS TRANSACCIONES DETALLADAS, O CASI
EN TIEMPO REAL, HASTA EL ANÁLISIS PERIÓDICO DE TRANSACCIONES
DETALLADAS, VISTAS INSTANTÁNEAS O DATOS RESUMIDOS.
LA FRECUENCIA DEPENDERÁ NO SÓLO DEL NIVEL DE RIESGO ASOCIADO AL
SISTEMA O AL PROCESO QUE SE EXAMINA, SINO TAMBIÉN DE LA
SUFICIENCIA QUE TENGA LA SUPERVISIÓN REALIZADA POR LA DIRECCIÓN.
LOS SISTEMAS CRÍTICOS CON CONTROLES CLAVE ESTARÁN SUJETOS A
ANÁLISIS EN TIEMPO REAL DE LOS DATOS TRANSACCIONALES. LAS
PRUEBAS DE AUDITORÍA CONTINUA DE UNA NÓMINA DE SALARIOS SE
PUEDEN EJECUTAR JUSTO ANTES DE LA EJECUCIÓN DE ESA NÓMINA (POR
EJEMPLO, CADA DOS SEMANAS O DOS VECES POR MES).
LAS PRUEBAS DE TRANSACCIONES CON TARJETA CORPORATIVA SE
IMPLEMENTARÁN TODOS LOS MESES, CUANDO SE RECIBAN LOS DATOS DE
LA TARJETA CORPORATIVA ENVIADOS POR LA COMPAÑÍA DE LA TARJETA
DE CRÉDITO.
LAS EVALUACIONES DE RIESGOS PARA RESPALDAR EL PLAN DE AUDITORÍA
ANUAL SE PUEDEN EFECTUAR EN FORMA CUATRIMESTRAL, MIENTRAS QUE
LAS QUE RESPALDAN LA AUDITORÍA INDIVIDUAL Y EL RASTREO DE LAS
RECOMENDACIONES DE AUDITORÍA PUEDEN TENER LUGAR TODOS LOS
DÍAS.
119. NO HAY RESPUESTAS SIMPLES PARA LA PREGUNTA SOBRE CON QUÉ FRECUENCIA SE DEBEN REALIZAR LAS PRUEBAS DE
AUDITORÍA CONTINUA, SALVO PARA INDICAR QUE SIEMPRE ES MEJOR EFECTUARLAS LO MÁS FRECUENTEMENTE
POSIBLE, EN LUGAR DE MENOS.
AL ANALIZAR LA FRECUENCIA, ES IMPORTANTE CONSIDERAR QUE LA AUTOMATIZACIÓN DE LAS PRUEBAS DE AUDITORÍA
CONTINUA REDUCIRÁ EL COSTO DE REALIZAR EVALUACIONES DE RIESGOS Y VERIFICACIÓN DE CONTROL. POR LO
GENERAL, PARA EXAMINAR 200 FACTURAS EN FORMA MANUAL SE TARDARÁ EL DOBLE QUE PARA EXAMINAR 100.
LAS PRUEBAS TOTALMENTE AUTOMATIZADAS SON FÁCILES DE ESCALAR (POR NÚMERO Y FRECUENCIA),
DE MANERA QUE LA FRECUENCIA DE LA OPERACIÓN O EL VOLUMEN DE LAS TRANSACCIONES CONSIDERADAS NO
IMPLIQUEN CARGA DE TRABAJO O COSTO ADICIONALES. DEBIDO A QUE EL SOFTWARE DE AUDITORÍA CONTINUA
EFECTÚA EL ANÁLISIS, ANALIZAR UN MILLÓN DE TRANSACCIONES POR SEMANA NO IMPLICA MÁS TRABAJO QUE
REVISAR MIL POR TRIMESTRE.
POR ÚLTIMO, AL DETERMINAR CON QUÉ FRECUENCIA Y DÓNDE SE LLEVARÁ A CABO LA AUDITORÍA CONTINUA, EL DEA
DEBE TENER EN CUENTA NO SÓLO LOS REQUISITOS REGLAMENTARIOS, SINO TAMBIÉN HASTA QUÉ GRADO LA
DIRECCIÓN SE OCUPA DE LAS EXPOSICIONES AL RIESGO Y LOS IMPACTOS POTENCIALES.
CUANDO LA DIRECCIÓN HA IMPLEMENTADO SISTEMAS DE SUPERVISIÓN CONTINUA PARA LOS CONTROLES, LOS
AUDITORES INTERNOS Y EXTERNOS PUEDEN TENERLO EN CUENTA Y DECIDIR HASTA QUÉ PUNTO ES POSIBLE CONFIAR
EN LOS PROCESOS DE SUPERVISIÓN CONTINUA PARA REDUCIR PRUEBAS DETALLADAS DE CONTROLES. PARA PODER
CONFIAR EN LOS PROCESOS, LOS AUDITORES DEBEN TENER EN CUENTA Y EVALUAR LO SIGUIENTE:
1. IDENTIFICACIÓN DE LOS CONTROLES INTERNOS ESPECÍFICOS ABORDADOS.
2. SEGURIDAD DEL ACCESO AL SISTEMA DE SUPERVISIÓN.
3. RESPUESTA A LAS ANOMALÍAS DE CONTROL IDENTIFICADAS.
4. CONCILIACIONES DE CONTROL TOTAL.
5. REGISTROS DE LA AUDITORÍA PARA LAS ACTIVIDADES DE PROCESAMIENTO.
6. REGISTROS DE LA AUDITORÍA PARA LOS CAMBIOS REALIZADOS EN UMBRALES Y PARÁMETROS DE PRUEBA.
UNA VEZ QUE SE REALIZARON LAS PRUEBAS, EL DEA PUEDE REVISAR LOS RESULTADOS PARA IDENTIFICAR DÓNDE
EXISTEN PROBLEMAS.
LAS DEBILIDADES DE CONTROL SE PONEN EN EVIDENCIA POR MEDIO DE LAS TRANSACCIONES QUE NO PASAN LAS
PRUEBAS DE CONTROL.
SE PUEDEN IDENTIFICAR MAYORES NIVELES DE RIESGO A TRAVÉS DE ANÁLISIS COMPARATIVOS (ES DECIR, AL COMPRAR
UN PROCESO CON OTROS, UNA ENTIDAD CON OTRAS, O BIEN, AL REALIZAR LAS MISMAS PRUEBAS Y
COMPARAR SUS RESULTADOS EN EL TRANSCURSO DEL TIEMPO).
120. UNO DE LOS DESAFÍOS PRÁCTICOS DE IMPLEMENTAR UNA AUDITORÍA CONTINUA O UN SISTEMA DE SUPERVISIÓN ES LA
RESPUESTA EFICAZ A LAS EXCEPCIONES DE CONTROL Y LOS RIESGOS QUE SE IDENTIFICAN.
CUANDO UNA AUDITORÍA CONTINUA, O UN SISTEMA DE SUPERVISIÓN, SE IMPLEMENTAN POR PRIMERA VEZ, NO ES
INUSUAL QUE SE IDENTIFIQUE UNA GRAN CANTIDAD DE EXCEPCIONES, QUE LUEGO AL REALIZAR SU INVESTIGACIÓN, NO
RESULTAN SER UN PROBLEMA.
EL SISTEMA DE AUDITORÍA CONTINUA DEBE PERMITIR QUE LOS PARÁMETROS DE PRUEBA SE AJUSTEN DE MANERA
TAL QUE, CUANDO SEA APROPIADO, TALES EXCEPCIONES NO DEN LUGAR A ALERTAS O NOTIFICACIONES.
UNA VEZ QUE SE LLEVÓ A CABO EL PROCESO DE IDENTIFICAR TALES “FALSOS POSITIVOS”, SE PUEDE CONFIAR CADA VEZ
MÁS EN QUE EL SISTEMA IDENTIFICARÁ ÚNICAMENTE LAS DEFICIENCIAS DE CONTROL O LOS RIESGOS QUE
REPRESENTEN UN PROBLEMA SIGNIFICATIVO.
ADEMÁS, LA NATURALEZA DE LA RESPUESTA DE LA AUDITORÍA FRENTE A LAS TRANSACCIONES IDENTIFICADAS VARIARÁ
Y NO TODAS REQUERIRÁN UNA AUDITORÍA O UNA ACCIÓN INMEDIATA.
SE DEBEN ESTABLECER PRIORIDADES ENTRE LOS RESULTADOS Y TOMAR MEDIDAS EN CONSECUENCIA. LOS DETALLES A
MANTENER DEBEN INCLUIR:
1. LOS RESULTADOS OBTENIDOS.
2. LAS DECISIONES RELACIONADAS CON LA MEDIDA A TOMAR.
3. A QUIÉN SE NOTIFICÓ Y CUÁNDO.
4. LA FECHA DE RESPUESTA ESPERADA.
SI UNA TRANSACCIÓN SE DERIVÓ A LA DIRECCIÓN, EL AUDITOR DEBE SOLICITAR TAMBIÉN UNA RESPUESTA DE LA
DIRECCIÓN DONDE SE RESUMA EL PLAN DE ACCIÓN Y LA FECHA. UNA VEZ QUE SE TOMÓ LA MEDIDA ADECUADA, EL
AUDITOR DEBE IMPLEMENTAR NUEVAMENTE LA PRUEBA DE AUDI
TORÍA CONTINUA PARA VER SI LA CORRECCIÓN RESOLVIÓ LA DEBILIDAD DE CONTROL O SI REDUJO EL NIVEL DE RIESGO.
EN LAS PRUEBAS POSTERIORES, NO SE DEBERÍA IDENTIFICAR EL MISMO PROBLEMA.
ES VITAL QUE TODOS COMPRENDAN LA BASE LÓGICA DE LA AUDITORÍA CONTINUA. ES IGUALMENTE IMPORTANTE
INTENTAR OBTENER INDICADORES QUE NO SEAN FACTIBLES DE MANIPULACIONES.
EL DEA DEBE COMPRENDER Y TOMAR MEDIDAS PARA EVITAR LA MANIPULACIÓN, LOS ERRORES DE INTERPRETACIÓN Y LA
“PARÁLISIS DEBIDO AL ANÁLISIS”. UNA CLAVE PARA EL ÉXITO ES GARANTIZAR QUE LOS INDICADORES DEN RESPUESTA
ADECUADA ANTE LOS CAMBIOS EN CUANTO A RIESGOS Y CONTROLES, QUE SEAN FÁCILES DE ENTENDER PARA TODOS
LOS INVOLUCRADOS, QUE ESTÉN PROTEGIDOS CONTRA MANIPULACIÓN DIRECTA O INDIRECTA SIN NECESIDAD DE
CAMBIO EN EL COMPORTAMIENTO SUBYACENTE Y QUE SE CENTREN EN LAS METAS ORGANIZATIVAS A CORTO Y LARGO
PLAZO.