La tercera parte y final del curso Auditoría Contínua o de Tiempo Real comprende: 1. METODOLOGÍA PARA LA AUDITORÍA 2. AUTOEVALUACIÓN DE LA AUDITORÍA. 3. MODELO DE CAPACIDAD ANALÍTICA DE AUDITORÍA. 4. VALOR AGREGADO DE LA AUDITORÍA. 5. APLICACIONES PRÁCTICAS DE LA AUDITORÍA. 6. INDICADORES. 7. LAS LÍNEAS DE DEFENSA. 8. ESTUDIO DE CASOS.

4. LA METODOLOGÍA PARA LA AUDITORÍA IMPLICARÍA:
1. NO HAY SEPARACIÓN ESTRICTA ENTRE FASES. ESTO SIGNIFICA QUE LA PLANIFICACIÓN Y EL TRABAJO DE CAMPO
PUEDEN FUNCIONAR EN PARALELO. EL TRABAJO DE CAMPO PUEDE COMENZAR EN PASOS QUE YA HAN SIDO
PLANEADOS.
EN LUGAR DE UNA POSIBLE REUNIÓN CON PARTES INTERESADAS CLAVE DIFÍCILES DE PROGRAMAR QUE
RALENTIZAN LA AUDITORÍA ENTERA, SÓLO RALENTIZA UN PASO; MIENTRAS QUE ESE PASO SE RALENTIZA, EL
TRABAJO DE CAMPO EN OTROS PASOS CONTINÚA.
2. UNA MUESTRA DE DATOS, SI ES NECESARIO, SE SOLICITA AL INICIO. NO ES NECESARIO ESPERAR A QUE LA
PLANIFICACIÓN SEA COMPLETA PARA SOLICITAR DATOS. LOS DATOS A MENUDO PUEDEN HABLAR POR SÍ MISMOS
MUCHO MEJOR QUE UN USUARIO, QUE NORMALMENTE TIENE UN ENFOQUE MUY DIFERENTE DE LOS AUDITORES.
TENGA EN CUENTA QUE A MENUDO HAY UN RETRASO EN LA OBTENCIÓN DE DATOS, POR LO TANTO, ES
IMPORTANTE QUE LAS TAREAS, ESPECIALMENTE LAS QUE NO DEPENDEN DEL EQUIPO DE AUDITORÍA, SE EJECUTAN
EN PARALELO.»
3. DOCUMENTACIÓN FORMAL PRODUCIDA SÓLO AL FINAL DE LA AUDITORÍA. ESTO NO SIGNIFICA QUE NO HAYA
PLANIFICACIÓN; SÓLO SIGNIFICA QUE LOS DOCUMENTOS FORMALES SE PRODUCEN AL FINAL, DOCUMENTANDO LO
QUE HIZO LA AUDITORÍA, EN LUGAR DE LA COMPRENSIÓN INICIAL DE LO QUE ESTABA PLANEANDO HACER.
ESTO MEJORA EN GRAN MEDIDA LA EFICIENCIA, HABIDA CUENTA QUÉ SI ALGUNAS PRUEBAS SON MATERIALES O
NO, ESTA SUJETO HASTA QUE LOS DATOS SE CORROBOREN, CONFIRMEN Y DEMUESTRE QUE SON IRREFUTABLES.
EN UNA AUDITORÍA TRADICIONAL, UNA CANTIDAD DESPROPORCIONADAMENTE GRANDE DE TIEMPO SE PUEDE
GASTAR DOCUMENTANDO UNA PRUEBA COMPLETAMENTE INMATERIAL PLANEADA DEBIDO A LA FALTA DE DATOS.
4. DESDE EL PRINCIPIO, TODOS LOS ESFUERZOS DEBEN DARSE PARA DETERMINAR LAS CUESTIONES CLAVE,
MATERIALES, PERO SIN PRODUCIR DOCUMENTACIÓN FORMAL, QUE SÓLO SE PRODUCIRÁ AL FINAL.
5. GESTIÓN DE TIEMPOS DE INACTIVIDAD Y CUELLOS DE BOTELLA. POR EJEMPLO, DOCUMENTE Y ESCRIBA LOS
HALLAZGOS COMO VIENEN SI HAY TIEMPO OCIOSO. SI NO ES ASÍ, PROGRAME TAREAS PARA MINIMIZAR EL TIEMPO
DE ESPERA DE DATOS O DE TIEMPO DE REUNIÓN.
6. CAMBIAR LOS RECURSOS, SI ES NECESARIO.

12. EN EL DISEÑO DE LA PLATAFORMA PARA LA APLICACIÓN DE TÉCNICAS DE AUDITORÍA CONTINUA Y/O
A DISTANCIA, HABRÁ QUE CONSIDERAR TRES ASPECTOS FUNDAMENTALES:
1. UBICACIÓN DE LOS DATOS:
SE DEFINE SI LA PLATAFORMA OBTIENE LA INFORMACIÓN NECESARIA PARA LOS EVENTOS
DIRECTAMENTE DE LAS BASES DE DATOS Y FICHEROS DE LAS APLICACIONES O BIEN SE CREA UN
REPOSITORIO ESPECÍFICO EN EL QUE SE DEPOSITA PERIÓDICAMENTE TODA LA INFORMACIÓN
NECESARIA.
2. DEFINICIÓN DE EVENTOS:
HAY QUE IDENTIFICAR LA ESTRATEGIA A SEGUIR EN EL DESARROLLO DE EVENTOS PARA LA
PLATAFORMA.
2.1 EVENTOS FIJOS: DEFINIDOS POR EL PERSONAL DE AUDITORÍA Y DESARROLLADOS POR EL
DEPARTAMENTO DE TECNOLOGÍA, UN PROVEEDOR EXTERNO, ETC.
CADA VEZ QUE SE QUIERA CREAR UN NUEVO TIPO DE EVENTO FIJO, HABRÍA QUE ENCARGAR
UN DESARROLLO A “MEDIDA”.
2.2 EVENTOS DINÁMICOS: SERÍAN DEFINIDOS, DESARROLLADOS Y PARAMETRIZADOS POR LOS
PROPIOS USUARIOS DE AUDITORÍA.
3. PARA ELLO, LOS AUDITORES PODRÁN “PROGRAMAR” EVENTOS MEDIANTE EL USO DE UNA SERIE
DE COMANDOS SIMILARES (AUNQUE MÁS SENCILLOS) A LOS QUE SE UTILIZAN EN LA CREACIÓN
DE CONSULTAS A BASES DE DATOS.
EL DEPARTAMENTO DE TECNOLOGÍA SOLO PARTICIPARÁ EN CASO DE QUE SE NECESITE
DESARROLLAR EL ACCESO O LA INCORPORACIÓN AL REPOSITORIO DE UN ATRIBUTO DE
INFORMACIÓN NO RECOGIDO HASTA ESE MOMENTO.

13. ACTUALIZACIÓN DE RESULTADOS:
EN LA AUDITORÍA CONTINUA HABRÁ QUE DEFINIR LA FRECUENCIA DE ACTUALIZACIÓN DE LOS
RESULTADOS DE LOS EVENTOS, LA CUAL PUEDE SER INSTANTÁNEA (AUDITORÍA RECIBE
INFORMACIÓN DEL EVENTO SEGÚN SE PRODUCE) O PERIÓDICA –SE RECIBE ESTA INFORMACIÓN CON
UNA FRECUENCIA SUPERIOR, YA SEA DIARIA, SEMANAL, ETC.
ASPECTOS A EVALUAR EN EL DISEÑO DE HERRAMIENTAS DE AUDITORÍA CONTÍNUA O A DISTANCIA.

14. UBICACIÓN DE LOS DATOS
REPOSITORIO DE INFORMACIÓN ACCESO DIRECTO A BASES DE DATOS
DE LAS APLICACIONES
1. FACILITA LA GENERACIÓN DE
HISTÓRICOS.
2. NO IMPACTA EN EL DESARROLLO
DEL NEGOCIO.
3. MÁS SENCILLO. MODELO DE
DATOS A MEDIDA.
4. FACILITA INDEPENDIZAR EL
DISEÑO DE LA PLATAFORMA DEL
DISEÑO DE LAS APLICACIONES.
5. FÁCIL DE MANTENER EN CASO DE
CAMBIOS RELEVANTES EN LA
ESTRUCTURA DE LA
INFORMACIÓN DE LAS
APLICACIONES.
6. COMPLEJIDAD EN LA
EXTRACCIÓN DE GRANDES
CANTIDADES DE DATOS.
1. NO ES NECESARIO EXTRAER LOS
DATOS DEL ENTORNO DE LAS
APLICACIONES DE LA ORGANIZACIÓN.
2. NO SE DUPLICA LA INFORMACIÓN.
OCUPA MENOS ESPACIO EN DISCO.
3. SE REDUCE EL RIESGO DE FALLOS EN
LA INTEGRIDAD DE LA INFORMACIÓN.
4. SE INCREMENTA LA SEGURIDAD DE LA
INFORMACIÓN.
5. TIEMPO DE EJECUCIÓN MÁS RÁPIDO.
6. ES MÁS COMPLEJO IMPLANTAR LA
OPCIÓN DE EVENTOS DINÁMICOS.

15. DEFINICIÓN DE EVENTOS
EVENTOS FIJOS EVENTOS DINÁMICOS
1. LA COMPLEJIDAD
DE IMPLANTACIÓN
ES BAJA.
2. INICIALMENTE SE
PUEDE DEFINIR E
IMPLEMENTAR UN
CONJUNTO DE
EVENTOS.
3. CADA NUEVO TIPO
DE EVENTO
REQUIERE UN
DESARROLLO
POSTERIOR,
RALENTIZÁNDOSE
SU
DISPONIBILIDAD.
1. EL NÚMERO DE
EVENTOS DEFINIBLES
ES ILIMITADO
(DEPENDIENDO DE LA
RIQUEZA DE
INFORMACIÓN DE LOS
SISTEMAS O EL
REPOSITORIO).
2. INDEPENDENCIA CASI
TOTAL DE ÁREAS DE
TECNOLOGÍA.
3. SE MINIMIZA EL
MANTENIMIENTO Y
MAXIMIZA LA
POTENCIA DE LA
HERRAMIENTA.
4. COMPLEJIDAD DE
IMPLANTACIÓN ALTA.

16. ACTUALIZACIÓN RESULTADOS
INSTANTÁNEA PERIÓDICA
1. LA INFORMACIÓN DE LOS EVENTOS SE
ACTUALIZA EN TIEMPO REAL.
2. POSIBILIDAD DE RESPONDER SIN
DEMORA ANTE FALLOS CRÍTICOS.
3. HABITUALMENTE, ESTA OPCIÓN NO
PERMITE EL USO DE REPOSITORIOS.
1. LOS PROCESOS DE GENERACIÓN DE
EVENTOS SE PUEDEN RETRASAR A
LOS MOMENTOS EN QUE LOS
SISTEMAS TIENEN MENOS TRABAJO.
2. LA ANTIGÜEDAD DE LA INFORMACIÓN
SE PUEDE GRADUAR SEGÚN LA
URGENCIA DEL EVENTO (POR
EJEMPLO, UN DÍA PARA LOS
CRÍTICOS).
3. LOS ERRORES EN LOS PROCESOS SON
MÁS SENCILLOS DE GESTIONAR.

17. EVALUACIÓN CONTINUA DE RIESGOS
1. DEFINIR LAS ENTIDADES A EVALUAR.
2. IDENTIFICAR CATEGORÍAS DE RIESGOS.
3. IDENTIFICAR INDICADORES DE RIESGO/DESEMPEÑO CONTROLADOS POR DATOS.
4. DISEÑAR PRUEBAS ANALÍTICAS PARA MEDIR MAYORES NIVELES DE RIESGO.
INFORMAR Y GESTIONAR RESULTADOS
1. ESTABLECER PRIORIDADES Y DETERMINAR LA FRECUENCIA DE LAS ACTIVIDADES
DE AUDITORÍA CONTINUA.
2. EJECUTAR PRUEBAS DE MANERA REGULAR Y OPORTUNA.
3. IDENTIFICAR DEFICIENCIAS DE CONTROL O MAYORES NIVELES DE RIESGO.
4. ESTABLECER PRIORIDADES ENTRE LOS RESULTADOS.
5. INICIAR LA RESPUESTA DE AUDITORÍA CORRESPONDIENTE E INFORMAR LOS
RESULTADOS A LA DIRECCIÓN.
6. GESTIONAR RESULTADOS (RASTREO, INFORME, SUPERVISIÓN Y SEGUIMIENTO).
7. EVALUAR LOS RESULTADOS DE LAS ACCIONES IMPLEMENTADAS.
8. SUPERVISAR Y EVALUAR LA EFICACIA DEL PROCESO DE AUDITORÍA CONTINUA
(TANTO EL ANÁLISIS, POR EJEMPLO, REGLAS E INDICADORES, COMO LOS
9. RESULTADOS OBTENIDOS) Y MODIFICAR LOS PARÁMETROS DE PRUEBA, SEGÚN
SEA NECESARIO.
10. GARANTIZAR LA SEGURIDAD DEL PROCESO DE AUDITORÍA CONTINUA Y
ASEGURAR QUE EXISTAN LAS VINCULACIONES CORRESPONDIENTES CON LAS
11. INICIATIVAS DE LA DIRECCIÓN, COMO POR EJEMPLO, LA ERM, LA SUPERVISIÓN Y
LA MEDICIÓN DE DESEMPEÑO.

22. EL USO DE LOS CONCEPTOS, LA METODOLOGÍA Y LA TECNOLOGÍA REQUERIDOS PARA LA AUDITORÍA CONTINUA NO SE
HA APLICADO UNIFORMEMENTE EN TODOS LOS DEPARTAMENTOS DE AUDITORÍA INTERNA.
ALGUNOS AUDITORES SON LÍDERES EN ADOPTAR Y OBTENER EL BENEFICIO MÁXIMO DE LA AUDITORÍA CONTINUA,
MIENTRAS QUE OTROS NI SIQUIERA HAN INICIADO EL PROCESO DE IMPLEMENTACIÓN.
LA MAYORÍA DE LAS ORGANIZACIONES SE UBICAN EN EL PUNTO MEDIO DE ESTOS DOS EXTREMOS.
GENERALMENTE, EL USO DE LA AUDITORÍA CONTINUA SE PUEDE UBICAR EN UNA DE ESTAS TRES CATEGORÍAS
PRINCIPALES: NIVEL INTRODUCTORIO, NIVEL MODERADO Y NIVEL INTEGRADO/AVANZADO.
CADA CATEGORÍA SE PUEDE CARACTERIZAR EN FUNCIÓN DEL GRADO DE IMPLEMENTACIÓN DE LA AUDITORÍA CONTINUA
Y DE SU INTEGRACIÓN CON LOS PROCESOS DE AUDITORÍA.
EL DEA DEBE SABER EN QUÉ LUGAR SE ENCUENTRA EL DEPARTAMENTO DE AUDITORÍA EN TÉRMINOS DE AUDITORÍA
CONTINUA Y DÓNDE SE DESEARÍA QUE ESTÉ.
PARTE DEL PROCESO DE PASAR A UN GRADO DE USO MÁS AVANZADO DE LA AUDITORÍA CONTINUA INCLUYE
UNA EVALUACIÓN DE LAS APTITUDES Y DEL CONOCIMIENTO DE LOS AUDITORES INTERNOS.
SE NECESITAN DIVERSOS NIVELES DE CONOCIMIENTO DE TI EN LA ORGANIZACIÓN PARA EVALUAR Y MEJORAR LA
EFICACIA DE LOS PROCESOS DE GESTIÓN DE RIESGOS, CONTROL Y GOBIERNO.
ES ESENCIAL EL CONOCIMIENTO DE LOS SISTEMAS DE NEGOCIO, SUS RIESGOS RELACIONADOS Y PROBLEMAS DE
CONTROL, ADEMÁS DE LA CAPACIDAD DE UTILIZAR LA TI COMO RECURSO EN LA IMPLEMENTACIÓN DE LA AUDITORÍA
CONTINUA.
EL DEA PUEDE UTILIZAR LAS SIGUIENTES DESCRIPCIONES DE NIVELES PARA AUTOEVALUAR HASTA QUÉ GRADO EL
DEPARTAMENTO DE AUDITORÍA HA ADOPTADO E IMPLEMENTADO LA AUDITORÍA CONTINUA.
NIVEL INTRODUCTORIO LOS DEPARTAMENTOS DE AUDITORÍA QUE SE ENCUENTRAN EN EL NIVEL INTRODUCTORIO NO
HAN COMENZADO A IMPLEMENTAR VERDADERAMENTE LAS METODOLOGÍAS Y TECNOLOGÍAS DE AUDITORÍA CONTINUA.
A PESAR DE QUE ALGUNOS AUDITORES PUEDEN HABER OBTENIDO ALGUNOS BENEFICIOS DEL USO DE LA TECNOLOGÍA
INFORMÁTICA, LA MAYOR PARTE DE LAS TAREAS DE EVALUACIÓN DE RIESGOS Y CONTROLES
TODAVÍA SE REALIZAN MANUALMENTE.
EN EL NIVEL INTRODUCTORIO, EL ANÁLISIS DE DATOS SE PUEDE UTILIZAR PARA RESPALDAR LA AUDITORÍA CONTINUA,
PERO DE MANERA AD HOC.

23. LOS ANÁLISIS SE REALIZAN UNA VEZ, Y LOS RESULTADOS SE UTILIZAN ÚNICAMENTE PARA TRATAR OBJETIVOS DE
AUDITORÍA ESPECÍFICOS.
EL NIVEL INTRODUCTORIO SE CARACTERIZA POR LOS SIGUIENTES ASPECTOS:
1. UNA COMPRENSIÓN GENERAL DE LOS CONTROLES Y RIESGOS DEL NEGOCIO.
2. EL USO AD HOC DE LA TI PARA BUSCAR ANOMALÍAS O EXCEPCIONES.
3. EVALUACIONES DE LAS TRANSACCIONES EN UN MOMENTO EN PARTICULAR PARA TRATAR OBJETIVOS DE AUDITORÍA
ESPECÍFICOS.
4. EVALUACIONES DE RIESGOS QUE SE BASAN EN CRITERIOS CUALITATIVOS Y CARECEN DE CUANTIFICACIÓN.
5. EVALUACIONES DE CONTROL QUE SE REALIZAN MANUALMENTE.
6. USO DE TECNOLOGÍA NO INTEGRADA CON LOS PROCESOS DE PLANIFICACIÓN DE AUDITORÍA, LA EVALUACIÓN DE
RIESGOS DE AUDITORÍA O CON LA EVALUACIÓN DE LOS CONTROLES.
EN ESTE NIVEL, EL DEA NO TIENE UN PLAN QUE LE PERMITE VISUALIZAR EL AVANCE DEL DEPARTAMENTO DE AUDITORÍA
EN SUS ESFUERZOS POR IMPLEMENTAR LA AUDITORÍA CONTINUA.
LA TECNOLOGÍA NO ESTÁ PLANIFICADA NI PREVISTA EN LOS PLANES A CORTO O LARGO PLAZO DEL DEPARTAMENTO DE
AUDITORÍA.
GENERALMENTE, EL USO DE LA TECNOLOGÍA ES POCO SISTEMÁTICO Y TIENE POR OBJETIVO TRATAR UN SOLO
PROBLEMA.
NIVEL MODERADO
EN EL NIVEL MODERADO, LAS TÉCNICAS DE AUDITORÍA CONTINUA EJERCEN SU IMPACTO SOBRE LAS AUDITORÍAS REALES
QUE SE ESTÉN LLEVANDO A CABO.
NO OBSTANTE, EL IMPACTO SIGUE SIENDO UN TANTO LIMITADO Y SU USO NO SE APLICA NI GESTIONA DE MANERA
CONSISTENTE.
MUCHAS VECES, SÓLO UNOS POCOS AUDITORES ESTÁN UTILIZANDO LAS TÉCNICAS DE AUDITORÍA CONTINUA Y ES
POSIBLE QUE SUS ESFUERZOS NO ESTÉN RESPALDADOS POR EL DEA.
ADEMÁS, ES POSIBLE QUE LA ALTA DIRECCIÓN DE LA COMPAÑÍA NO TENGA CONOCIMIENTO DEL TIPO O EL ALCANCE DE
LA AUTORÍA CONTINUA, UTILIZADA POR ESTOS AUDITORES.

24. LOS TIPOS DE AUDITORÍAS REALIZADAS, LOS RESULTADOS OBTENIDOS Y LA METODOLOGÍA EMPLEADA NO HAN
CAMBIADO; LO ÚNICO QUE HA CAMBIADO ES QUE SE UTILIZA LA TECNOLOGÍA PARA REALIZAR DETERMINADAS
FUNCIONES. LA TECNOLOGÍA PUEDE ESTAR EN LOS PLANES, PERO NO HAY UNA VISIÓN CLARA DE HACIA DÓNDE SE
DIRIGE EL USO DE LA AUDITORÍA CONTINUA DEL DEPARTAMENTO DE AUDITORÍA.
ADEMÁS, LA APLICACIÓN DE LA AUDITORÍA CONTINUA NO ESTÁ INTEGRADA CON EL PROCESO DE PLANIFICACIÓN DE
AUDITORÍA NI CON LA EVALUACIÓN DE PROBLEMAS DE RIESGO Y CONTROL.
EL USO MODERADO SE CARACTERIZA POR LO SIGUIENTE:
1. UNA COMPRENSIÓN BÁSICA DE LAS AMENAZAS Y VULNERABILIDADES RELACIONADAS CON LOS SISTEMAS
AUTOMATIZADOS DE NEGOCIO Y LOS CONTROLES ASOCIADOS.
2. EQUIPOS DE AUDITORÍA QUE CUENTAN CON LAS APTITUDES Y EL CONOCIMIENTO NECESARIOS PARA EXTRAER Y
UTILIZAR DATOS PROVENIENTES DE SISTEMAS DE NEGOCIO CLAVE.
3. UN DEPARTAMENTO DE AUDITORÍA QUE HA COMPRADO HERRAMIENTAS DE TI PARA REALIZAR EVALUACIONES Y
PRUEBAS Y LAS ESTÁ UTILIZANDO.
4. PRUEBAS DE AUDITORÍA QUE SE EJECUTAN, DE MANERA AD HOC, PARA REALIZAR BÚSQUEDAS EN LAS
TRANSACCIONES CON EL PROPÓSITO DE HALLAR EVIDENCIAS DE PUNTOS VULNERABLES, RIESGOS DE TI O
DEFICIENCIAS DE CONTROL.
5. SÍNTOMAS DETECTADOS EN RELACIÓN CON LOS SISTEMAS DE NEGOCIO PARA IDENTIFICAR CAUSAS Y EMITIR
RECOMENDACIONES.
6. LOS PLANES DE AUDITORÍA PARA TODA LA EMPRESA PUEDEN INCLUIR ALGUNOS CRITERIOS CUANTITATIVOS Y
CUALITATIVOS, PERO ESTOS SE ACTUALIZAN ÚNICAMENTE DURANTE EL PRO CESO DE PLANIFICACIÓN DE
AUDITORÍA ANUAL.
ESTOS DEPARTAMENTOS DE AUDITORÍA SE ENCUENTRAN EN UN PUNTO CRÍTICO. LA IMPLEMENTACIÓN DE LA AUDITORÍA
CONTINUA PUEDE SUFRIR UN RETROCESO SI DETERMINADAS PERSONAS CLAVE SE RETIRAN DE LA EMPRESA O SI EL USO
DE LA AUDITORÍA CONTINUA NO ES PARTE INTEGRAL DEL PROCESO DE AUDITORÍA.
NIVEL INTEGRADO O AVANZADO
EN ESTE NIVEL, EL DEA Y TODOS LOS AUDITORES RECONOCEN LA IMPORTANCIA DE LA TECNOLOGÍA Y DE LA AUDITORÍA
CONTINUA.
LA IMPLEMENTACIÓN Y EL MANTENIMIENTO DE LA AUDITORÍA CONTINUA DISPONEN DE SUFICIENTES RECURSOS
(HUMANOS Y FINANCIEROS) Y LA TECNOLOGÍA ESTÁ INTEGRADA EN LOS PROCESOS DE AUDITORÍA GENERAL.

25. LA AUDITORÍA SE HA CONVERTIDO EN UN PROCESO CONTINUO, LOS AUDITORES REALIZAN EVALUACIONES DE RIESGOS
Y CONTROLES AL EXAMINAR LAS TENDENCIAS Y ANALIZAR LAS TRANSACCIONES EN DETALLE PARA DETECTAR
ANOMALÍAS O EXCEPCIONES.
LOS RESULTADOS SE UTILIZAN PARA ACTIVAR ALARMAS Y EN FUNCIÓN DE ELLAS SE ESTABLECEN PRIORIDADES PARA
ACTUAR DE INMEDIATO.
EN ESTE NIVEL, LA NATURALEZA DE LA ACTIVIDAD DE AUDITORÍA HA CAMBIADO.
LAS ENTRADAS, LAS SALIDAS Y LOS PROCESOS NO SON LOS MISMOS QUE LOS DE UN DEPARTAMENTO DE AUDITORÍA
QUE NO HA IMPLEMENTADO LA AUDITORÍA CONTINUA.
LOS TIPOS DE AUDITORÍA IMPLEMENTADOS, EL CICLO DE PLANIFICACIÓN, EL TIEMPO DEL CICLO Y MUCHOS OTROS
ASPECTOS SE VEN AFECTADOS POR LA IMPLEMENTACIÓN DE LA AUDITORÍA CONTINUA.
EL USO INTEGRADO/AVANZADO SE CARACTERIZA POR LO SIGUIENTE:
1. CONOCIMIENTO DE LOS PROCESOS DE NEGOCIO CLAVE Y SUS SISTEMAS ASOCIADOS, ADEMÁS DE UNA BUENA
COMPRENSIÓN DE LOS RIESGOS Y PROBLEMAS DE CONTROL.
2. LA IDENTIFICACIÓN DE PUNTOS DE CONTROL CRÍTICOS, ADEMÁS DE EXCEPCIONES Y REGLAS DE CONTROL.
3. EL DEPARTAMENTO DE AUDITORÍA HA IDENTIFICADO CATEGORÍAS DE RIESGOS CLAVE E INDICADORES DE RIESGO
CONTROLADOS POR DATOS.
4. EJECUCIÓN DE EVALUACIONES DE RIESGO Y CONTROL EN TIEMPO REAL O CASI EN TIEMPO REAL PARA LOS
PROCESOS DE NEGOCIO CLAVE.
5. SISTEMAS DE NEGOCIO CLAVE QUE SON ANALIZADOS EN BUSCA DE EXCEPCIONES O ANOMALÍAS EN EL NIVEL DE
LAS TRANSACCIONES Y EN BUSCA DE TENDENCIAS QUE INDIQUEN RIESGOS EMERGENTES.
6. UN PROCESO DE PLANIFICACIÓN DE AUDITORÍA PARA TODA LA EMPRESA QUE INCLUYE INDICADORES DE RIESGO Y
DESEMPEÑO CONTROLADOS POR DATOS.
7. AUDITORÍAS QUE INTENTAN IDENTIFICAR INDICADORES CONTROLADOS POR DATOS PARA LAS RECOMENDACIONES
DE AUDITORÍA, QUE, A SU TURNO, SE ANALIZAN PARA EVALUAR LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES
POR PARTE DE LA DIRECCIÓN.
8. RESULTADOS DE AUDITORÍA CONTINUA QUE SE INTEGRAN EN TODOS LOS ASPECTOS DEL PROCESO DE AUDITORÍA
Y RESULTADOS QUE ESTÁN RELACIONADOS CON ERM, CUADRO DE MANDO E INICIATIVAS DE MEJORA CONTINUA.

26. 9. AUDITORES QUE EVALÚAN Y CONSIDERAN LOS PROCESOS DE SUPERVISIÓN DE LA DIRECCIÓN AL MOMENTO
DE REALIZAR AUDITORÍAS CONTINUAS.
10. AUDITORÍA CONTINUA, PLANIFICADA, GESTIONADA Y EVALUADA PARA LA MEJORA CONTINUA.
EN LA ACTUALIDAD, NO SON MUCHOS LOS DEPARTAMENTOS DE AUDITORÍA QUE SE ENCUENTRAN EN EL NIVEL
INTEGRADO/AVANZADO DE LA AUDITORÍA CONTINUA.
PERO EL CAMINO PARA LLEGAR HASTA ALLÍ SE PUEDE ADOPTAR DE MANERA GRADUAL, COMENZANDO CON LA
IDENTIFICACIÓN DE LOS CONTROLES Y DE LOS SISTEMAS DE NEGOCIO CLAVE.
LAS PRIMERAS APLICACIONES DE AUDITORÍA CONTINUA SE PUEDEN EJECUTAR EN FORMA PERIÓDICA, EN LUGAR
DE CONTINUA.
ES DE SUMA IMPORTANCIA QUE LOS DEA ENTIENDAN EN QUÉ LUGAR SE ENCUENTRA ACTUALMENTE EL
DEPARTAMENTO DE AUDITORÍA PARA DESARROLLAR UNA PERSPECTIVA DE DÓNDE QUISIERAN ESTAR Y PLANIFICAR
CÓMO LLEGAR HASTA ALLÍ.

29. PASOS PARA IMPLEMENTAR EL MODELO
PASO 1 NIVELES 1 Y 2:
▪ VALIDAR LA INTEGRIDAD DE LOS DATOS DE LOS PROCESOS
SELECCIONADOS. ESTO ES PREVIO A INICIAR LA ELABORACIÓN
DE LAS RUTINAS AUTOMÁTICAS.
▪ DETERMINAR LAS PRUEBAS PARA LOS PROCESOS
SELECCIONADOS, LA VALIDEZ Y SU FRECUENCIA.
▪ ELABORAR LAS RUTINAS AUTOMÁTICAS EN LA HERRAMIENTA
DE SOFTWARE.
▪ VALIDAR LOS RESULTADOS OBTENIDOS Y HACER LOS AJUSTES
DEL CASO.
▪ INCLUIR NUEVOS PROCESOS A LOS ORIGINALES Y HACER LAS
RUTINAS RESPECTIVAS.
PASOS PARA IMPLEMENTAR EL MODELO
PASO 2 NIVELES 3 AL 5:
▪ ADQUIRIR LA HERRAMIENTA DE SOFTWARE QUE PERMITA
IMPLANTAR LOS TRES NIVELES RESTANTES (EJ. ACL AUDIT
EXCHANGE).
▪ EN CASO DE QUE NO SE TENGA UN SERVIDOR DE DATOS DEL DAI
DONDE SE CENTRALICEN Y ADMINISTREN LAS RUTINAS
AUTOMÁTICAS CREADAS PREVIAMENTE, ADQUIRIRLO.
▪ CAPACITAR AL PERSONAL DEL DAI EN EL USO DE LA
HERRAMIENTA.
▪ IMPLANTAR ESQUEMAS DE AUDITORÍA CONTINUA.
▪ IMPLANTAR ESQUEMAS DE MONITOREO CONTINUO.
1. ANÁLISIS DE
DATOS
2. APLICANDO
ANALÍTICOS
3. ADMINISTRANDO
ANALÍTICOS.
4. AUDITORÍA
CONTINUA.
5. MONITOREO
CONTINUO.

30. NIVEL 1 BÁSICO – ANALISIS DE DATOS
EL AUDITOR:
1. REALIZA CLASIFICACIONES DE DATOS (SUMAR
MONTOS POR TIPOS), COMPARA TOTALES.
2. IDENTIFICA FACTURAS O CÓDIGOS DE
INVENTARIO DUPLICADOS, SALTO DE
SECUENCIA DE CHEQUES, FACTURAS ENTRE
OTROS.
3. UTILIZA EL SOFTWARE DE FORMA AD HOC Y
POCO PLANIFICADA.
4. CUBRE EN LAS PRUEBAS EL 100% DE LA
POBLACIÓN DE DATOS.
5. IDENTIFICAN INDICADORES EN FORMA MÁS
ÁGIL QUE SI LO HICIERAN MANUAL
BENEFICIOS:
1. CONOCIMIENTO RÁPIDO DE GRANDES
POBLACIONES DE DATOS
2. MAYOR CAPACIDAD PARA DETECTAR FRAUDE,
ERRORES
3. INCREMENTO EN LA CALIDAD Y PRECISIÓN DE
LOS RESULTADOS DE AUDITORIA

31. NIVEL 2 APLICADO
1. EL PROCESO DE ANÁLISIS DE DATOS ESTÁ
INTEGRADO DENTRO DE TODO EL PROCESO DE
AUDITORÍA.
2. LA PLANEACIÓN DE AUDITORÍA Y EL DISEÑO DEL
PROGRAMA DE AUDITORÍA SE APOYA EN ANÁLISIS
DE DATOS.
3. UN PASO U OBJETIVO DE AUDITORÍA SE ALCANZA
CON LA AYUDA DE RUTINAS AUTOMÁTICAS DE
ANÁLISIS DE DATOS.
4. EL AUDITOR REALIZA PRUEBAS DE ANÁLISIS DE
DATOS REPETITIVAS, PARA SOPORTAR TODA UN
ÁREA A SER AUDITADA.
5. A TRAVÉS DEL TIEMPO, EL AUDITOR
PROGRESIVAMENTE, ADICIONA MÁS RUTINAS
AUTOMÁTICAS PARA SOPORTAR MÁS OBJETIVOS
DE AUDITORÍA.
BENEFICIOS:
1. AUMENTA EL CONOCIMIENTO EN LAS ÁREAS
2. MEJORA LA CAPACIDAD PARA DETECTAR FRAUDE,
ERRORES E INEFICIENCIAS, PARA ELLO DEBE SER
DISEÑADO CON PROCEDIMIENTOS AUTOMÁTICOS
REPETITIVOS

32. NIVEL 3 ADMINISTRADO
1. LAS RUTINAS AUTOMÁTICAS SE
ENCUENTRAN ALMACENADAS Y
SON CENTRALIZADAS EN UN
SERVIDOR.
2. SE INCREMENTA LA EFICIENCIA
DEBIDO A QUE LAS RUTINAS
AUTOMÁTICAS, AL SER
CENTRALIZADAS, SE EJECUTAN
EN MENOS TIEMPO.
3. SE REDUCE EL RIESGO DE QUE EL
“CONOCIMIENTO” QUE EL
AUDITOR TENGA SOBRE LAS
RUTINAS SE PIERDA SI EL
AUDITOR CAMBIA DE TRABAJO.

33. NIVEL 4 AUTOMATIZADO
AUDITORÍA CONTINUA
1. UN ALTO GRADO DE AUTOMATIZACIÓN ESTÁ PRESENTE EN TODO EL PROCESO DE LAS RUTINAS
AUTOMÁTICAS, DESDE EL ACCESO A LOS DATOS HASTA LA DISTRIBUCIÓN DE LOS RESULTADOS A
LOS AUDITORES.
2. AUDITORIA, CONCURRENTEMENTE, PUEDE ESTAR AUDITANDO CUATRO O CINCO ÁREAS DEL
NEGOCIO.
3. AUDITORÍA ADVIERTE FALLAS DE CONTROL Y RIESGOS, OPORTUNAMENTE Y NO MUCHO TIEMPO
DESPUÉS.
4. EL ALTO GRADO DE AUTOMATIZACIÓN DE LA AUDITORÍA PERMITE A LOS AUDITORES DISPONER DE
MÁS TIEMPO PARA ENFOCARSE EN OTRAS ÁREAS DE RIESGO.
¿QUÉ NECESITO PARA MAXIMIZAR BENEFICIOS?
PROCESOS
1. CAMBIOS EN LOS PROCEDIMIENTOS TRADICIONALES DE AUDITORIA.
2. DECISIONES EN ÁREAS BAJO AUDITORIA CONTINUA.
3. REVISIÓN Y RESPUESTA A LOS RESULTADOS Y EXCEPCIONES.
PERSONAS
1. DEFINICIÓN DE ROLES.
2. GERENTE DEL PROGRAMA/LEADER.
3. CAPACITACIÓN.
TECNOLOGÍA
1. SOFTWARE ESPECIALIZADO EN ANÁLISIS ELECTRÓNICO DE DATOS PARA AUDITORÍA.
2. SCRIPTS Y DISPARADORES.

34. NIVEL 5 MONITORERO CONTINUO
1. LOS DUEÑOS DE LOS PROCESOS DE
NEGOCIOS SON INFORMADOS, VÍA
CORREO ELECTRÓNICO, DE
EXCEPCIONES SOBRE FRAUDES Y
ERRORES, TAN PRONTO COMO
OCURREN.
2. AUDITORÍA INTERNA DEMUESTRA EL
VALOR DEL ANÁLISIS DE DATOS PARA
DETECTAR FALLAS DE CONTROL.
BENEFICIOS
1. SE DESARROLLA UN MAYOR TRABAJO
EN EQUIPO CON LOS DUEÑOS DE LOS
PROCESOS.
2. PERMITE A LA ORGANIZACIÓN
OBTENER INFORMACIÓN PRECISA Y
OPORTUNA PARA LA TOMA DE
DECISIONES, ACTUAR SOBRE
TENDENCIAS NO DESEADAS,
CONVERTIR EL MONITOREO CONTINUO
EN UNA VENTAJA COMPETITIVA.

35. PASOS PARA IMPLEMENTAR EL MODELO
PASO 1 NIVELES 1 Y 2:
1. VALIDAR LA INTEGRIDAD DE LOS DATOS DE LOS PROCESOS SELECCIONADOS. ESTO ES PREVIO
A INICIAR LA ELABORACIÓN DE LAS RUTINAS AUTOMÁTICAS.
2. DETERMINAR LAS PRUEBAS PARA LOS PROCESOS SELECCIONADOS, LA VALIDEZ Y SU
FRECUENCIA.
3. ELABORAR LAS RUTINAS AUTOMÁTICAS EN LA HERRAMIENTA DE SOFTWARE.
4. VALIDAR LOS RESULTADOS OBTENIDOS Y HACER LOS AJUSTES DEL CASO.
5. INCLUIR NUEVOS PROCESOS A LOS ORIGINALES Y HACER LAS RUTINAS RESPECTIVAS.
PASO 2 NIVELES 3 AL 5:
1. ADQUIRIR LA HERRAMIENTA DE SOFTWARE QUE PERMITA IMPLANTAR LOS TRES NIVELES
RESTANTES (EJ. ACL AUDIT EXCHANGE).
2. EN CASO DE QUE NO SE TENGA UN SERVIDOR DE DATOS DEL DAI DONDE SE CENTRALICEN Y
ADMINISTREN LAS RUTINAS AUTOMÁTICAS CREADAS PREVIAMENTE, ADQUIRIRLO.
3. CAPACITAR AL PERSONAL DEL DAI EN EL USO DE LA HERRAMIENTA.
4. IMPLANTAR ESQUEMAS DE AUDITORÍA CONTINUA. •IMPLANTAR ESQUEMAS DE MONITOREO
CONTINUO.

38. 1. LA UBICUIDAD DEL AUDITOR
▪ EL TIEMPO Y ESPACIO SON DOS
VARIABLES QUE CONDICIONAN LA
FUNCIÓN DE AUDITORÍA.
▪ EN ESTE SENTIDO LA AUDITORÍA
CONTINUA, UNA VEZ CONSOLIDADA,
PERMITE QUE LAS TAREAS DE
AUDITORÍA SE LOGREN REALIZAR EN
MENOR TIEMPO, OBTENIENDO UNA
MAYOR COBERTURA Y UNA MENOR
REPITENCIA DEL PROCESO AUDITOR,
POR EL MAYOR NIVEL DE EFECTIVIDAD
EN LA IDENTIFICACIÓN DE RIESGOS Y
EN LA DETECCIÓN DEL
INCUMPLIMIENTO DE CONTROLES.
▪ DE IGUAL FORMA, EL PODER HACER
PRESENCIA DE FORMA SIMULTÁNEA
EN DIFERENTES PARTES DE LA
ORGANIZACIÓN, SIN NECESIDAD DE LA
PRESENCIA FÍSICA DEL AUDITOR,
HACE DE LA AUDITORÍA CONTINUA
UNA POTENTE HERRAMIENTA DE
EXPANSIÓN DE LA FUNCIÓN DE
ASEGURAMIENTO.

39. 2. INCREMENTO DE LA EFECTIVIDAD DEL
CONTROL
LA ESENCIA DEL PROCESO AUDITOR ES
EVALUAR LA EFECTIVIDAD DE LOS
CONTROLES INTERNOS, Y AUNQUE ESTA
LABOR SE ESTÁ CUMPLIENDO, DE ACUERDO
A LO ESTABLECIDO POR PWC (2014) DONDE
ESTABLECE QUE EL 80% DE LOS
DIRECTIVOS CONSIDERAN QUE ESTA LABOR
SE ESTÁ CUMPLIENDO, ES MENOS CIERTO
EL TIEMPO EN EL CUAL PERDURA LA
EFECTIVIDAD DEL CONTROL, LA CUAL SE
ATENÚA CON EL TIEMPO, SUFRIENDO
ALTIBAJOS DE ACUERDO A LA
PERIODICIDAD DE SU REVISIÓN Y A LA
TIPOLOGÍA DE CONTROL, COMO SE PUEDE
OBSERVAR EN LA FIGURA .
LA AUDITORÍA CONTINUA INCREMENTA LA
EFECTIVIDAD DE LOS CONTROLES, DADA LA
TIPOLOGÍA DEL CONTROL SU FRECUENCIA
DE REVISIÓN Y LA GARANTÍA QUE
PROPORCIONA UN CONTROL AUTOMÁTICO
QUE NO DEPENDE DE UNA PERSONA EN
PARTICULAR.

40. CONTROLES
PREVENTIVOS
AUTOMATIZADOS.
CONTROLES
DETECTIVOS
AUTOMATIZADOS.
CONTROLES
PREVENTIVOS
MANUALES.
CONTROLES
DETECTIVOS
MANUALES.

41. 3. UN AUDITOR MÁS ANALÍTICO
EL AUDITOR DEBE DEJAR DE SER UN PROFESIONAL QUE
DEDICA UNA GRAN PARTE DE SU TIEMPO A LABORES
OPERATIVAS, ENFOCADAS EN LA BÚSQUEDA DE
EVIDENCIA QUE PERMITA RESPALDAR SUS HALLAZGOS
DE AUDITORÍA A SER UN PROFESIONAL MÁS ANALÍTICO
QUE SEA EL CONSTRUCTOR DE UN CONTROL CON
MAYOR PERDURABILIDAD, HACIENDO USO DE SU
EXPERIENCIA Y DELEGANDO MUCHAS DE SUS LABORES
OPERATIVAS A LA TECNOLOGÍA. PARA ELLO DEBE
MEJORAR SUS COMPETENCIAS, INCORPORANDO NO
SOLO ADECUADOS ESQUEMAS DE IDENTIFICACIÓN DE
RIESGOS EN LA ESTRATEGIA DE AUDITORÍA ORIENTADA
A RIESGOS, SINO EN TENER CAPACIDADES PARA EL
ANÁLISIS DE DATOS, LO QUE ES CORROBORADO POR LA
ENCUESTA DE PWC (2014).
DONDE ESTABLECE COMO UNA DE LAS ÁREAS EN LAS
QUE SE ESPERA MAYOR PARTICIPACIÓN POR PARTE DE
LOS AUDITORES INTERNOS EN “BIG DATA Y ANÁLISIS DE
DATOS EMPRESARIALES” CON UN 71.5% EN PROMEDIO.
UN ESTUDIO RECIENTE LLEVADO A CABO POR
LOMBARDI, BLOCH, & VASARHELYI (2014), PRODUCTO
DEL CONSENSO ENTRE EXPERTOS, UTILIZANDO EL
MÉTODO DELPHI, EN UN PERIODO DE SEIS (6) MESES,
CONCLUYE ENTRE OTROS ASPECTOS, “LA
AUTOMATIZACIÓN PUEDE SER UTILIZADA PARA TAREAS
MÁS TEDIOSAS, DE MANERA QUE LOS AUDITORES
PUEDAN USAR SU JUICIO EXPERTO PARA ASUNTOS MÁS
APREMIANTES”(P. 29).

42. 4. DISMINUCIÓN DE LA LATENCIA
ENTRE LOS PROCESOS
ORGANIZACIONALES Y LOS
PROCESOS DE CONTROL
LA AUDITORÍA CONTINUA
DISMINUYE LA LATENCIA
EXISTENTE ENTRE EL
MOMENTO EN QUE OCURRE UN
EVENTO ADVERSO EN LA
ORGANIZACIÓN Y EL MOMENTO
EN QUE ES DETECTADO POR EL
AUDITOR.

43. 5. INCREMENTO DEL AUTOCONTROL
PARA EXPLICAR LA FORMA COMO LA AUDITORÍA CONTINUA APORTA AL AUTOCONTROL, SE
ACUDIRÁ A UNA TEORÍA DESARROLLADA POR EL FILÓSOFO JEREMY BENTHAM, QUIEN EN 1791
ACUÑO EL TÉRMINO PANÓPTICO, PENSADO INICIALMENTE PARA REDUCIR EL COSTO DE
OPERACIÓN DE LAS CÁRCELES BRITÁNICAS.
EL PROPÓSITO DE DICHA TEORÍA ERA LA OBSERVACIÓN DE LOS PRESOS DE UNA CÁRCEL QUE
SUPERABAN EN NÚMERO A LOS VIGILANTES DE ÉSTA, DESDE UN PUNTO ÚNICO SIN QUE ESTOS
SE DIERAN CUENTA.
UNA ANALOGÍA INTERESANTE PARA EXPLICAR EL AUTOCONTROL, SI SE TIENE EN CUENTA QUE
LA IMPLEMENTACIÓN DE LA AUDITORÍA CONTINUA, PROVEE UN EFECTO PANÓPTICO SOBRE EL
CONTROL, AL PODER OBSERVAR DESDE UN PUNTO ÚNICO (LA TECNOLOGÍA DE AUDITORÍA
CONTINUA) LAS ACCIONES QUE DESARROLLA LA ADMINISTRACIÓN, SIN QUE ESTOS SE DEN
CUENTA.
SIN EMBARGO SI SE DIVULGA LA EXISTENCIA DE CONTROLES EMBEBIDOS QUE ESTÁN
MONITOREANDO CONSTANTE LOS PROCESOS ORGANIZACIONALES, SEGURAMENTE AQUELLAS
PERSONAS QUE DESEEN COMETER UN FRAUDE O INCUMPLIR REGLAS DE CONTROL SE
INHIBIRÁN Y EJERCERÁN EL AUTOCONTROL.
COMO EJEMPLO DE APLICACIÓN DE ESTE CONCEPTO, SE PUEDE ACUDIR A LOS COMPARENDOS
ELECTRÓNICOS, A TRAVÉS DE LOS CUALES LOS ORGANISMOS DE TRANSITO INSTALAN
CÁMARAS EN SITIOS ESTRATÉGICOS DE LA CIUDAD PARA DETECTAR EN LÍNEA Y DE FORMA
ELECTRÓNICA AQUELLOS INFRACTORES DE TRÁNSITO, QUIENES AL MOMENTO DE CONOCER
LA UBICACIÓN DE LAS CÁMARAS EN LOS DIFERENTES PUNTOS DE LA CIUDAD, SE INHIBEN DE
COMETER LA INFRACCIÓN, POR EL COMPARENDO QUE ELLO GENERA, CREANDO CONCIENCIA E
INCREMENTANDO EL AUTOCONTROL EN LOS CONDUCTORES.

44. ELLO SE LOGRA MEDIANTE:

48. LA AUDITORÍA CONTINUA APOYA LAS
ACTIVIDADES DE AUDITORÍA A LO LARGO DE
TODO EL PROCESO DE AUDITORÍA
LA AUDITORÍA CONTINUA PUEDE APLICARSE
AL DESARROLLO DEL PLAN DE AUDITORÍA, AL
SOPORTE DE EJECUCIÓN DE AUDITORÍA Y AL
SEGUIMIENTO DE RECOMENDACIONES DE
AUDITORÍA.
ADEMÁS, EL DEA DEBE RECONOCER QUE
EXISTEN VARIAS FUNCIONES DE SEGUNDA
LÍNEA DE DEFENSA CON FUERTES VÍNCULOS
CON AUDITORÍA CONTINUA, COMO LA
GESTIÓN DE RIESGOS, CUMPLIMIENTO, ÉTICA
Y SEGURIDAD. AUDITORÍA INTERNA DEBE
DETERMINAR CÓMO LA AUDITORÍA CONTINUA
PUEDE VALERSE PARA EVALUAR LA FUNCIÓN
DE SEGUNDA LÍNEA DE DEFENSA Y UTILIZAR
LA INFORMACIÓN GENERADA POR ESAS
FUNCIONES.

49. EL TITULAR DE ÓRGANO DE CONTROL INSTITUCIONAL DEBE ESTABLECER UNA ESTRATEGIA DE
AUDITORÍA CONTINUA A CORTO Y LARGO PLAZO, CON LA AUTORIDAD CONCEDIDA A TRAVÉS DE UN
MANDATO, MISIÓN O EN EL ESTATUTO DE AUDITORÍA INTERNA.
POR EJEMPLO, UNA ESTRATEGIA A CORTO PLAZO PODRÍA INCLUIR LA INTRODUCCIÓN DE LA
AUDITORÍA CONTINUA PARA APOYAR AUDITORÍAS DE CUMPLIMIENTO REGULATORIO.
SIN EMBARGO, LOS BENEFICIOS ADICIONALES CORRESPONDIENTES A LA MEJORA DEL
RENDIMIENTO DEL NEGOCIO PUEDEN SER IGUALMENTE SIGNIFICATIVOS.
LAS PRINCIPALES ACTIVIDADES SON LAS SIGUIENTES:

50. 1. DEFINIR LOS OBJETIVOS DE LA AUDITORÍA
CONTINUA.
2. OBTENER Y GESTIONAR EL RESPALDO DE LA
ALTA DIRECCIÓN.
3. DETERMINAR EL GRADO EN QUE LA DIRECCIÓN
ESTÁ CUMPLIENDO SU FUNCIÓN DE
SUPERVISIÓN.
4. IDENTIFICAR Y ESTABLECER PRIORIDADES
ENTRE LAS ÁREAS A ABORDAR Y LOS TIPOS DE
AUDITORÍA CONTINUA A REALIZAR.
5. IDENTIFICAR SISTEMAS DE INFORMACIÓN
CLAVE Y FUENTES DE DATOS.
6. COMPRENDER LOS SISTEMAS DE APLICACIÓN Y
LOS PROCESOS SUBYACENTES DE NEGOCIO.
7. DESARROLLAR RELACIONES CON LA GESTIÓN
DE TI.

51. ¿ES REALMENTE EL CONCEPTO DE
AUDITORÍA CONTINUA UN
CONCEPTO QUE PUEDE SER
ENTENDIDO COMO UN TIPO DE
AUDITORÍA, EN TODO EL SENTIDO
DE LA PALABRA, CON SUS
IMPLICACIONES METODOLÓGICAS,
O SON SIMPLEMENTE UNA SERIE DE
TÉCNICAS MODERNAS QUE HACEN
PARTE DEL PROCESO AUDITOR?.

52. PROBLEMÁTICA DEL CONTROL
GUBERNAMENTAL PERUANO
ACEPCIONES Y
CONFUSIONES DE LA
AUDITORÍA
CONTINUA.
LA AUDITORÍA
CONTINUA UN
CAMBIO DE
PARADIGMA
MODELOS Y
METODOLOGÍAS
DE AUDITORÍA
CONTINUA

53. 1. UNA METODOLOGÍA PARA LA EMISIÓN DE
INFORMES DE AUDITORÍA, O UN CORTO
PERÍODO DE TIEMPO DESPUÉS DE LA
OCURRENCIA DE LOS HECHOS RELEVANTES”.
2. “TODO MÉTODO UTILIZADO POR LOS
AUDITORES PARA REALIZAR ACTIVIDADES
RELACIONADAS CON LA AUDITORÍA EN FORMA
CONTINUA. ES LA SECUENCIA DE
ACTIVIDADES QUE ABARCAN DESDE LA
EVALUACIÓN CONTINUA DE CONTROL HASTA
LA EVALUACIÓN CONTINUA DE RIESGOS”.
3. “UN MÉTODO UTILIZADO POR LOS
PROFESIONALES DE AUDITORÍA Y
ASEGURAMIENTO DE TI PARA LLEVAR A CABO
EVALUACIÓN DE RIESGOS Y CONTROLES,
SOBRE UNA BASE MÁS FRECUENTE. ES UN
MÉTODO QUE UTILIZA TAAC’S QUE PERMITE A
LOS PROFESIONALES DE AUDITORÍA Y
ASEGURAMIENTO DE TI MONITOREAR LOS
RIESGOS Y CONTROLES EN FORMA CONTINUA.
ESTE ENFOQUE PERMITE A LOS
PROFESIONALES DE AUDITORÍA Y
ASEGURAMIENTO DE TI REUNIR EVIDENCIA
SELECTIVA DE AUDITORÍA A TRAVÉS DEL
COMPUTADOR TI”.

54. 1. FALTA DE OPORTUNIDAD EN LOS
PROCESOS
2. FRECUENCIA DE REVISIÓN BAJA
3. FALTA DE AUTOMATIZACIÓN DE
CONTROLES
4. ESCASA COBERTURA CON
RECURSOS ACTUALES
CONTROL DE
ADVERTENCIA
DESAPROVECHADO
SIN EL USO DE LAS
TIC’S.

55. LA AUDITORÍA CONTINUA PUEDE INTEGRARSE CON EL TRABAJO DE CAMPO DE LA AUDITORÍA; LAS
TÉCNICAS DE AUDITORÍA CONTINUA MENUDO SUELEN MEJORAR Y MADURAR DURANTE EL CURSO DE
LOS TRABAJOS DE AUDITORÍA.
LOS AUDITORES DISEÑAN Y MODIFICAN LAS TÉCNICAS DE AUDITORÍA CONTINUA A MEDIDA QUE
DESCUBREN RIESGOS, EVALÚAN ANÁLISIS DE AUDITORÍA Y ESFUERZOS DE REMEDIACIÓN. LA
AUDITORÍA CONTINUA PERMITE A LOS AUDITORES:
1. PRECISAR EL ALCANCE DEL TRABAJO PARA CENTRARSE MEJOR EN LOS RIESGOS.
2. REALIZAR PRUEBAS DE AUDITORÍA EN SITUACIONES DONDE EL OBJETIVO DE AUDITORÍA NO
PUEDE LOGRARSE SÓLO MEDIANTE LA COMPARACIÓN DE DATOS.
3. PROFUNDIZAR PARA IDENTIFICAR LOS INDICADORES DE RIESGO Y EVALUAR CONTROLES
CRÍTICOS.
4. DETECTAR LOS SÍNTOMAS DE FRAUDE, PÉRDIDA Y ABUSO A TRAVÉS LA IDENTIFICACIÓN DE
ANOMALÍAS Y DESVÍOS.
LA AUDITORÍA ANALÍTICA Y LAS TÉCNICAS DE AUDITORÍA CONTINUA DIFIEREN EN CUANTO AL
ALCANCE, OPORTUNIDAD Y PROPÓSITO.
5. LA AUDITORÍA ANALÍTICA NORMALMENTE ESTÁ:
5.1 OBLIGADA POR EL ALCANCE Y EL TIEMPO DE UN DETERMINADO PROCEDIMIENTO.
5.2 DISEÑADA PARA MEJORAR LA CALIDAD DE UN PROCEDIMIENTO.
6. LAS TÉCNICAS DE AUDITORÍA CONTINUA, A MENUDO ORIGINADAS EN ANÁLISIS Y EXPERIENCIAS
DE AUDITORÍAS ANTERIORES, SE LLEVAN A CABO DE FORMA SISTEMÁTICA, SE EJECUTAN
DURANTE Y CON POSTERIORIDAD AL ALCANCE, EXCEDIENDO EL TIEMPO DE UN PROCEDIMIENTO
DE AUDITORÍA Y PROVEEN NOTIFICACIÓN OPORTUNA DE TENDENCIAS, PATRONES Y DESVÍOS.

57. 1. LA FRECUENCIA DE LAS
AUDITORÍAS SE DEBE BASAR EN
LOS FACTORES DE RIESGO DE UN
PROCESO DE NEGOCIO.
2. EN UN ALTO NIVEL, LA
EVALUACIÓN CONTINUA DE
RIESGOS RESPALDA EL
DESARROLLO DE PLANES DE
AUDITORÍA, PERMITIENDO LA
IDENTIFICACIÓN CONTROLADA DE
DATOS Y LA EVALUACIÓN DE
INDICADORES DE RIESGO.
3. RESPALDA TANTO EL
ESTABLECIMIENTO DEL UNIVERSO
DE LA AUDITORÍA COMO LA
RECOPILACIÓN DE DATOS
CUANTITATIVOS, LO QUE LE
PERMITE AL ÓRGANO DE CONTROL
INSTITUCIONAL CENTRARSE EN LA
PRIORIDADES DE RIESGO MÁS
ALTO DE LA ORGANIZACIÓN Y
DESTINAR LOS RECURSOS
APROPIADOS A ÁREAS NUEVAS Y
CAMBIANTES.

58. DURANTE LA FASE DE DESARROLLO
DEL PLAN DE AUDITORÍA, AUDITORÍA
CONTINUA AYUDA A LOS AUDITORES
PARA COMPILAR Y MANTENER UN
UNIVERSO DE AUDITORÍA QUE ES
MÁS SENSIBLE A LOS RIESGOS.
RESULTA MÁS PREFERIBLE QUE LAS
AUDITORÍAS PROGRAMADAS CON UN
CICLO ESTÁNDAR DE ROTACIONES EN
UNO, DOS O TRES AÑOS, QUE LA
FRECUENCIA DE LAS AUDITORÍAS
ESTÉ BASADA EN EL RIESGO, LA
COMPLEJIDAD, LA PROFUNDIDAD Y
LA VELOCIDAD DE CAMBIOS.
LA AUDITORÍA CONTINUA AYUDA A LA
AUDITORÍA INTERNA DE FORMA
RÁPIDA A IDENTIFICAR CAMBIOS EN
LOS RIESGOS Y POTENCIALES
EXPOSICIONES.

61. APLICACIÓN DE LA EVALUACIÓN CONTINUA DE RIESGOS
▪ APROVECHAR LA EVALUACIÓN CONTINUA DE RIESGOS
PARA SEGUIR LAS DESVIACIONES DE AUDITORÍA, ES
UNA HERRAMIENTA PODEROSA PARA ASEGURAR LA
MEJORA CONTINUA Y UN ELEVADO RENDIMIENTO.
▪ DESPUÉS DE UN PROCEDIMIENTO, LOS AUDITORES
PUEDEN APROVECHAR LA EVALUACIÓN CONTINUA DE
RIESGOS PARA DETERMINAR SI LAS
RECOMENDACIONES HAN SIDO IMPLEMENTADAS Y
CUÁNDO LOS PLANES DE REMEDIACIÓN HAN LOGRADO
EL EFECTO DESEADO.
▪ LOS PLANES DE ACCIÓN DE LA GERENCIA DEBEN
IDENTIFICAR INDICADORES DE RENDIMIENTO PARA
EVALUAR EL ÉXITO DE LA REMEDIACIÓN.
▪ LOS INDICADORES DE DESEMPEÑO FACILITAN EL
ESTABLECIMIENTO DE UN PUNTO DE INICIO PARA
COMPARAR LOS RESULTADOS ANTES Y DESPUÉS DE
LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES.
▪ LOS AUDITORES DEBEN COLABORAR CON LA
GERENCIA PARA ENCONTRAR INDICADORES
ADECUADOS QUE PUEDAN, IDEALMENTE, MEDIRSE DE
MANERA SISTEMÁTICA.

62. 1. CUANDO LOS AUDITORES INTERNOS
PUEDEN CONFIAR EN EL DESEMPEÑO DEL
MONITOREO CONTINUO POR PARTE DE LA
DIRECCIÓN, NO SE REQUIERE EL MISMO
NIVEL DE DETALE DE TÉCNICAS DE
EVALUACIÓN CONTINUA DE CONTROL.
2. CUANDO EL MONITOREO DE LA DIRECCIÓN
NO ES SUFICIENTE, LOS AUDITORES
DEBEN REALIZAR PRUEBAS DETALLADAS
EMPLEANDO TÉCNICAS DE EVALUACIÓN
CONTINUA DE CONTROL A FIN DE
VALORAR LA IDONEIDAD DE LOS
CONTROLES.
3. NO ES NECESARIO EJECUTAR LAS
EVALUACIONES CONTINUAS DE CONTROL
EN TIEMPO REAL.
4. LA FRECUENCIA DEL ANÁLISIS
DEPENDERÁ DEL NIVEL DE RIESGO Y DEL
GRADO DE MONITOREO DE CONTROLES
POR PARTE DE LA DIRECCIÓN.

63. AL VINCULAR INDICADORES
CONTROLADOS POR DATOS CON
RECOMENDACIONES, LOS AUDITORES
PUEDEN UTILIZAR EVALUACIONES
CONTINUAS DE RIESGOS PARA
DETERMINAR SI LAS RECOMENDACIONES
SE HAN IMPLEMENTADO Y SI ESTÁN
LOGRANDO EL EFECTO DESEADO DE
REDUCIR EL NIVEL DE RIESGO.
EN UNA SITUACIÓN IDEAL, CADA
AUDITORÍA IDENTIFICA INDICADORES
CONTROLADOS POR DATOS PARA CADA
RECOMENDACIÓN.
ESTO FACILITARÁ EL ESTABLECIMIENTO
DE UNA BASE Y LA COMPARACIÓN DE
RESULTADOS, ANTES Y DESPUÉS DE
IMPLEMENTAR LA RECOMENDACIÓN.
EMPERO, LOS AUDITORES DEBERÁN
ENCONTRAR INDICADORES APROPIADOS
QUE SE PUEDAN MEDIR
ELECTRÓNICAMENTE.

64. COORDINAR CON LAS PRIMERA Y SEGUNDA LÍNEAS
DE DEFENSA PARA APOYAR LA LÍNEA DE NEGOCIO Y
QUE TI ADHIERA Y APOYE A LA ESTRATEGIA DE
AUDITORÍA CONTINUA.
LA AUDITORÍA INTERNA DEBE ABORDAR EL PROCESO
DE NEGOCIO DE EXTREMO A EXTREMO Y LAS
INTERDEPENDENCIAS DE LOS CONTROLES DE TI.
LA CONFIABILIDAD DE LOS SISTEMAS DE NEGOCIOS
Y DE LOS DATOS TRANSACCIONALES ES DE SUMA
IMPORTANCIA, NO SÓLO PARA EL MARCO DE
CONTROL INTERNO Y LA INTEGRIDAD DE LA
INFORMACIÓN FINANCIERA, SINO TAMBIÉN PARA LA
EFICIENCIA DE LAS OPERACIONES DEL NEGOCIO.
POR LO TANTO, ASEGURAR LA CONFIABILIDAD,
INTEGRIDAD Y DISPONIBILIDAD DE LOS SISTEMAS Y
LOS DATOS DEBEN SER UN OBJETIVO FUNDAMENTAL
PARA EL TITULAR DE ÓRGANO DE CONTROL
INSTITUCIONAL Y LA ALTA DIRECCIÓN.
LA AUDITORÍA CONTINUA PUEDE APOYAR EL LOGRO
DE ESTE OBJETIVO, FACILITANDO LA EVALUACIÓN DE
LA GESTIÓN DE RIESGOS Y CONTROLES.

65. LA AUDITORÍA CONTINUA REQUIERE
ACCESO PERMANENTE A LAS
APLICACIONES Y DATOS PRODUCTIVOS.
LAS TECNOLOGÍAS CONFIABLES PUEDEN
REQUERIR UNA INVERSIÓN
SIGNIFICATIVA Y VARIOS AÑOS DE
ESFUERZOS DE IMPLEMENTACIÓN.
POR LO TANTO, EL APOYO DE LA
DIRECCIÓN Y LA ALTA GERENCIA ES
ESENCIAL.
UNA ESTRATEGIA QUE CONTEMPLE LA
IMPLEMENTACIÓN GRADUAL DURANTE
DOS O MÁS AÑOS LE AYUDARÁ A
MANEJAR EL RITMO Y LAS
EXPECTATIVAS Y, SOSTENIDAMENTE,
MOSTRAR LOS BENEFICIOS DE LAS
TECNOLOGÍAS Y METODOLOGÍAS DE
AUDITORÍA CONTINUA.

66. DESARROLLAR UNA HOJA DE RUTA PARA LAS ÁREAS DE
GRANDES PROCESOS TALES COMO CONTRATACIONES
POR PAGAR O COBRANZAS, Y LUEGO RELACIONAR LAS
TÉCNICAS DE AUDITORÍA CONTINUA A TRES
CATEGORÍAS DE RIESGO: OPERACIONES DE TI,
APLICACIONES Y PROCESOS TRANSACCIONALES.
APROVECHAR EL ANÁLISIS DE AUDITORÍA PARA
DISEÑAR ESPECIFICACIONES DE LOS INDICADORES DE
RIESGO Y CONTROLES. COORDINAR EL PLAN DE
AUDITORÍA INTERNA PARA IDENTIFICAR LAS ÁREAS Y
AUDITORÍAS DE PROCESOS A LOS EFECTOS DE
ESPECIFICAR LOS INDICADORES DE RIESGOS CLAVE
(KRI) Y MEDIDAS DE CONTROL PARA SU USO POSTERIOR
EN LA EVALUACIÓN CONTINUA.
A TRAVÉS DE AUDITORÍAS PLANIFICADAS, LOS EQUIPOS
DE AUDITORÍA Y LA GERENCIA PUEDEN EN CONJUNTO
IDENTIFICAR INDICADORES DE TENDENCIA O DE
DESEMPEÑO QUE MIDAN LOS RIESGOS Y CONTROLES
VINCULADOS A OBJETIVOS DEL NEGOCIO.
POR LO TANTO, SE APROVECHAN LOS RESULTADOS DE
LAS AUDITORÍAS PARA DESARROLLAR
ESPECIFICACIONES CON UNA MIRADA A FUTURO.

67. LA AUDITORÍA CONTINUA NO ES PURAMENTE UNA
CUESTIÓN TÉCNICA.
SIN EMBARGO, LA SELECCIÓN DE LAS TECNOLOGÍAS
DISPONIBLES ES CLAVE PARA SU ÉXITO A LARGO PLAZO.
LA ESTRATEGIA DE AUDITORÍA CONTINUA DEBE GUIAR
LA SELECCIÓN DE SOLUCIONES DE SOFTWARE.
DURANTE LA SELECCIÓN DE TECNOLOGÍAS PARA
AUDITORÍA CONTINUA, EL TITULAR DE ÓRGANO DE
CONTROL INSTITUCIONAL DEBE CONSIDERAR LAS
TECNOLOGÍAS Y CAPACIDADES ACTUALES DEL
ESPECTRO DE TI DE LA ORGANIZACIÓN.
ES IMPORTANTE VINCULAR EL PROGRAMA CON EL
ENTORNO INFORMÁTICO DE LA ORGANIZACIÓN Y LOS
PLANES FUTUROS PARA LOS SISTEMAS CLAVE DEL
NEGOCIO.
LAS SOLUCIONES DE SOFTWARE DE ANÁLISIS
ESPECÍFICOS DE AUDITORÍA PROPORCIONAN
FLEXIBILIDAD Y LA POSIBILIDAD DE LEER DIVERSOS
TIPOS DE DATOS, INCLUYENDO SISTEMAS MAINFRAME,
CLIENTE / SERVIDOR Y SISTEMAS WEB, O APLICACIONES
EMPRESARIALES COMO SAP, ORACLE Y OTROS
SISTEMAS DE NEGOCIOS.
LAS ACTIVIDADES CLAVE SE DESCRIBEN A
CONTINUACIÓN.

68. EL TITULAR DE ÓRGANO DE CONTROL
INSTITUCIONAL DEBE TRABAJAR CON LA
GERENCIA PARA ASEGURAR QUE EL
ACCESO Y USO DE LOS DATOS DE LOS
SISTEMAS DEL NEGOCIO NO AFECTEN
NEGATIVAMENTE EL DESEMPEÑO
OPERACIONAL DEL ENTORNO
PRODUCTIVO Y LOS SISTEMAS
RELACIONADOS, Y QUE LA TECNOLOGÍA
DE AUDITORÍA ES COMPATIBLE CON EL
AMBIENTE DE TI DE LA EMPRESA.
LA AUDITORÍA INTERNA DEBE EVALUAR
LAS REGULACIONES APLICABLES EN
MATERIA DE PRIVACIDAD, Y MANTENER
LOS ESTÁNDARES DE SEGURIDAD Y
PRIVACIDAD QUE CUMPLAN O EXCEDAN
LOS ESTABLECIDOS PARA EL AMBIENTE
DE PRODUCCIÓN.

69. CONSTRUIR CAPACIDADES DE ANÁLISIS DE
ACUERDO CON LA ESTRATEGIA DE AUDITORÍA
CONTINUA Y LOS OBJETIVOS DE NEGOCIOS
ANTES DE LA AUTOMATIZACIÓN DEL
MONITOREO.
LAS PRUEBAS DE AUDITORÍA CONTINUA A
MENUDO SON SUFICIENTEMENTE PERSUASIVAS
USANDO UNA COMBINACIÓN DE INDICADORES
TALES COMO LOS CAMBIOS EN LOS CONTROLES
AUTOMATIZADOS, LA SEGURIDAD DEL SISTEMA,
INCIDENTES, DESVÍOS Y TRANSACCIONES.
LAS DISCUSIONES CON LOS DUEÑOS DE LOS
SISTEMAS DEL NEGOCIO PUEDEN AYUDAR A
LOS AUDITORES A DETERMINAR EL MÉTODO DE
TRANSFERENCIA, EL CRONOGRAMA Y EL
PROTOCOLO DE DATOS MÁS ADECUADO PARA
LA AUDITORÍA CONTINUA.

70. LA CONFIABILIDAD DE LOS DATOS ES
FUNDAMENTAL PARA UNA EXITOSA
IMPLEMENTACIÓN DE AUDITORÍA
CONTINUA Y DEBE SER EVALUADA
DESDE EL INICIO DE LA AUDITORÍA.
LOS DATOS PROCEDENTES DE UN
ENTORNO DE PRODUCCIÓN SUJETO A
CONTROLES GENERALES DE TI SON MÁS
CONFIABLES QUE AQUELLOS
ORIGINADOS DESDE APLICACIONES
DESARROLLADAS POR EL USUARIO
FINAL.
A MEDIDA QUE LA CONFIABILIDAD
AUMENTA, EL NIVEL DE LAS PRUEBAS Y
VERIFICACIONES NECESARIAS PARA
REDUCIR EL RIESGO DE AUDITORÍA A
UN NIVEL ACEPTABLE, DISMINUYE.

71. DESARROLLE CAPACIDADES DE VALIDACIÓN
DE DATOS ROBUSTAS PARA ASEGURAR LA
INTEGRIDAD PREVIAMENTE AL ANÁLISIS.
UNA DE LAS MAYORES VENTAJAS DE
AUDITORÍA CONTINUA ES LA EXTRACCIÓN
DE DATOS DE DIFERENTES SISTEMAS DE LA
ORGANIZACIÓN Y RELACIONARLOS PARA
SU POSTERIOR ANÁLISIS
MULTIPLATAFORMA.
LA COMBINACIÓN DE DATOS DE SISTEMAS
DISPERSOS REQUIERE DE VALIDACIONES
PARA ELIMINAR TRANSACCIONES NO
CONFIABLES Y PREPARAR LOS DATOS EN
UN FORMATO ESTÁNDAR DE AUDITORÍA.
LA EXISTENCIA DE FUENTES DE DATOS
AUTOMATIZADAS PUEDEN REDUCIR LOS
TIEMPOS DE VALIDACIÓN Y AUMENTAR LA
FRECUENCIA DE ANÁLISIS.

72. RELACIONAR
OBJETIVOS DE
CONTROL
DETERMINAR
CONTROLES CLAVE
EVALUAR
CONDICIÓN DE
INICIO DE LOS
CONTROLES
▪ AUTORIZACIÓN
▪ INTEGRIDAD
▪ EXACTITUD
VERIFICACIÓN DE
APROBACIONES CREDITICIAS
COINCIDENCIA DE “TRES
VÍAS” SEGREGACIÓN DE
TAREAS ELEMENTOS
REQUERIDOS A SISTEMAS:
➢ DATOS DEL CLIENTE.
➢ DATOS DEL MATERIAL.
➢ PRECIO.
ESCALADA EN LA
RECONCILIACIÓN
CODIFICACIÓN DE LAS
CUENTAS DE INGRESOS
NIVELES DE TOLERANCIA.
CONDICIÓN: ¿ESTÁ ACTIVO
EL CONTROL
CONFIGURABLE?.
CAMBIO: ¿SE CONCRETÓ
ALGÚN CAMBIO AL
CONTROL CONFIGURADO
DESDE LA AUDITORÍA
ANTERIOR?.

73. DESPUÉS DE DISEÑAR Y CONSTRUIR
INDICADORES DE AUDITORÍA CONTINUA, LOS
AUDITORES INTERNOS DEBEN PLANIFICAR
EVALUACIONES CONTINUAS DE RIESGOS Y
CONTROLES DENTRO DEL UNIVERSO DE
AUDITORÍA. LAS EVALUACIONES CONTINUAS
DEBEN ANALIZAR LOS RESULTADOS DE LAS
TÉCNICAS DE AUDITORÍA CONTINUA,
PROBARLAS SI ES NECESARIO E INFORMAR
RECOMENDACIONES.
LOS ENTREGABLES PUEDEN VARIAR DESDE UN
SIMPLE GRÁFICO DE COMPARACIONES Y
TENDENCIAS A VISUALIZACIÓN DE DATOS DE
RIESGOS Y CONTROLES (VÉASE EL APÉNDICE).
EL PROCESO ES REPETITITIVO Y LAS
COMPETENCIAS EN AUDITORÍA CONTINUA /
MONITOREO CONTINUO EVOLUCIONA A
AUDITORES QUE COLABORAN CON LA PRIMERA
Y SEGUNDA LÍNEAS DE DEFENSA.
EL ÉXITO DE LOS PROGRAMAS DE AUDITORÍA
CONTINUA / MONITOREO CONTINUO ES
PROMOVER OPORTUNAMENTE LA TOMA DE
DECISIONES, COORDINAR PLANES DE
ACCIONES Y REMEDIAR EXITOSAMENTE LOS
PROBLEMAS.

74. UNA METODOLOGÍA ESTRUCTURADA PARA
GESTIONAR LOS RESULTADOS DEBE INCLUIR
ESTOS PASOS PARA ASEGURARSE QUE LAS
EXCEPCIONES IDENTIFICADAS SON ABORDADAS
Y REMEDIADAS OPORTUNAMENTE:
1. REVISAR Y DISCRIMINAR LAS EXCEPCIONES
DE RIESGO CON PRECISIÓN CRECIENTE.
2. REALIZAR EL ANÁLISIS DE “CAUSA RAÍZ”
PARA IDENTIFICAR DEFICIENCIAS EN EL
DISEÑO DEL CONTROL, EN SU EJECUCIÓN O
EN AMBAS COSAS. ATACANDO LAS
CONDICIONES DE CAUSA RAÍZ, SE PUEDEN
DISUADIR EXCEPCIONES RECURRENTES,
ORIENTAR A MEJORES RECOMENDACIONES
Y RESALTAR EL VALOR AGREGADO DE LA
METODOLOGÍA DE AUDITORÍA CONTINUA.
3. DESARROLLAR UNA RECOMENDACIÓN PARA
LA REMEDIACIÓN.
4. REGISTRO Y SEGUIMIENTO DEL PLAN DE
ACCIÓN DE LA GERENCIA PARA LA
REMEDIACIÓN.

75. ES PREFERIBLE INFORMAR DE LOS RESULTADOS DE
AUDITORÍA CONTINUA A TRAVÉS DE UNA PÁGINA WEB EN
LUGAR DE ENVIAR ARCHIVOS SENSIBLES Y DE GRAN
TAMAÑO A TRAVÉS DEL CORREO ELECTRÓNICO.
LAS ESTRATEGIAS DE REPORTE VARÍAN DESDE LA SIMPLE
EXPORTACIÓN DE EXCEPCIONES EN UNA CARPETA
COMPARTIDA EN UNA UNIDAD DE RED, HASTA LAS
NOTIFICACIONES POR CORREO ELECTRÓNICO,
SEGUIMIENTO DE ACCIONES DE REMEDIACIÓN MEDIANTE
HERRAMIENTAS DE FLUJO DE TRABAJO (WORKFLOW),
TABLEROS DE COMANDO Y VISUALIZACIÓN DE DATOS.
SE PUEDE IMPLEMENTAR UNA VARIEDAD DE SOLUCIONES
DE REPORTE PARA SATISFACER LAS NECESIDADES DE LA
PRIMERA, SEGUNDA, Y TERCERA LÍNEAS DE DEFENSA, LA
GERENCIA Y EL CONSEJO. LAS CONSIDERACIONES CLAVES
PARA INFORMAR LOS RESULTADOS DE AUDITORÍA
CONTINUA INCLUYEN:
▪ PUBLICAR REGULARMENTE UN AMPLIO CONJUNTO DE
INFORMES A UNA UNIDAD DE RED A NIVEL DE DETALLE
REQUERIDO PARA APOYAR EL MONITOREO CONTINUO
Y LA AUDITORÍA CONTINUA.
▪ ALMACENAR LOS RESULTADOS DE EXCEPCIONES EN
UNA BASE DE DATOS SEGURA.
▪ PRESENTAR INFORMACIÓN DE TENDENCIAS EN UN
TABLERO DE COMANDOS EN LA WEB O EN UN “MAPA
DE CALOR”.

76. CADA PLAN DE ACCIÓN DEBE TENER
UN DUEÑO RESPONSABLE DE LA
REMEDIACIÓN HASTA SU
RESOLUCIÓN.
LA EXCEPCIÓN DEBE SER SEGUIDA Y,
UNA VEZ REPORTADA COMO
RESUELTA, EL MONITOREO CONTINUO
POSTERIOR DEBE EVALUAR SI LA
RESOLUCIÓN ES SUSTENTABLE EN EL
TIEMPO.

81. El DESEMPEÑO BASADO EN PRINCIPIOS ES EL LOGRO DE OBJETIVOS CONFIABLES,
ABORDANDO LA INCERTIDUMBRE Y ACTUANDO CON INTEGRIDAD.
DESEMPEÑO
RIESGO Y
CONTROL
CUMPLIMIENTO
LOGRO DE
OBJETIVOS
CONFIABLES
ABORDANDO LA
INCERTIDUMBRE
ACTUANDO CON
INTEGRIDAD

82. NEGOCIO INFORMACIÓN APLICATIVOS TECNOLOGÍA
1. MISIÓN VISIÓN.
2. ESTRATEGIA.
3. ORGANIZACIÓN.
4. RECURSOS.
5. PROCESOS.
1. MODELOS.
2. INFORMACIÓN.
3. DATOS.
4. REPRESENTACION
ES.
1. FUNCIONALIDADES.
2. APLICACIONES.
1. HARDWARE.
2. SOFTWARE.
3. SERVIDORES.
4. SOPORTE.

83. SE DEBEN FIJAR LOS OBJETIVOS DEL PROYECTO Y LA ESTRATEGIA DE DESARROLLO DE
INDICADORES PARA OPTIMIZAR TIEMPOS Y COSTOS

84. ALGUNOS DE LOS REQUISITOS DE UNA PLATAFORMA DE AUDITORIA CONTINUA SON LA
TRANSVERSALIDAD, LA VERSATILIDAD, SU ESTABILIDAD , SU NATURALEZA COLABORATIVA O SU
POSIBLE PARAMETRIZACIÓN

85. ANÁLISIS FUNCIONAL Y DISEÑO TÉCNICO SON ASPECTOS PRINCIPALES A TENER
EN CUENTA.

86. PUESTA EN PRODUCCIÓN, COMUNICACIÓN A LA ORGANIZACIÓN Y FORMACIÓN

87. GESTIÓN Y ACTUALIZACIÓN DEL MODELO DE AUDITORIA CONTINUA

88. EVENTOS INICIALES
DEFINICIÓN DE LAS TIPOLOGÍAS DE EVENTO A INCLUIR
INDICADORES, ALARMAS, KPIS, INFORMACIÓN DE GESTIÓN.
IDENTIFICACIÓN DE LOS PROCESOS DE NEGOCIO
INVOLUCRADOS, SUS RIESGOS Y LOS CONTROLES EXISTENTES
ACTUALMENTE.
IDENTIFICACIÓN Y PREDEFINICIÓN DE LOS EVENTOS INICIALES
A INCLUIR EN LA PLATAFORMA.
CONTRASTE CON LOS PROGRAMAS DE TRABAJO DE AUDITORÍA
Y LA OPERATIVA HABITUAL PARA CONFIRMAR QUE NO DEJAN
ASPECTOS SUSCEPTIBLES DE AUTOMATIZAR.
DEFINICIÓN DE PARÁMETROS INICIALES. ESTIMACIÓN DE SUS
VALORES IDÓNEOS.
EVENTOS FIJOS:
DEFINIDOS POR EL PERSONAL DE AUDITORÍA Y
DESARROLLADOS POR EL DEPARTAMENTO DE TECNOLOGÍA, UN
PROVEEDOR EXTERNO, ETC. CADA VEZ QUE SE QUIERA CREAR
UN NUEVO TIPO DE EVENTO FIJO, HABRÍA QUE ENCARGAR UN
DESARROLLO A “MEDIDA”.
EVENTOS DINÁMICOS:
SERÍAN DEFINIDOS, DESARROLLADOS Y PARAMETRIZADOS POR
LOS PROPIOS USUARIOS DE AUDITORÍA.
PARA ELLO, LOS AUDITORES PODRÁN “PROGRAMAR” EVENTOS
MEDIANTE EL USO DE UNA SERIE DE COMANDOS SIMILARES
(AUNQUE MÁS SENCILLOS) A LOS QUE SE UTILIZAN EN LA
CREACIÓN DE CONSULTAS A BASES DE DATOS

89. OBJETIVOS DE CONTROL PARA LA INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS – COBIT,
PROPONE UN MODELO DE MADUREZ DE 6 NIVELES PARA MEDIR LA EFECTIVIDAD DEL AMBIENTE DE
CONTROL:
NIVEL 0: "INEXISTENTE" UNA FUNCIÓN DE AUDITORÍA NO EXISTE O NO SE REALIZA.
NIVEL 1: "MANUAL DE
AUDITORÍA INFORMAL"
INDIVIDUO(S) REALIZA(N) TAREAS DE AUDITORÍA SOBRE UNA BASE AD
HOC, PERO SIN UNA POLÍTICA FORMAL.
NIVEL 2: "MANUAL DE
AUDITORÍA FORMAL
UNA FUNCIÓN DE AUDITORÍA SE ESTABLECE CON UNA CARTERA Y UN
CONJUNTO DE PROCEDIMIENTOS OPERATIVOS ESTÁNDAR QUE RIGEN
SUS TAREAS Y FUNCIONES.
NIVEL 3: "AUDITORÍAS
DESARROLLADAS CON
TECNOLOGÍAS AD HOC"
LA FUNCIÓN DE AUDITORÍA FORMAL UTILIZA LA TECNOLOGÍA PARA
COMPLETAR SUS AUDITORÍAS, PERO DE UNA MANERA AD HOC. SI SE
UTILIZAN HERRAMIENTAS ESPECÍFICAS, NO SE UTILIZAN
CONSISTENTEMENTE NI EL PERSONAL DE AUDITORÍA SE ENCUENTRA
BIEN VERSADO EN EL USO DE ELLAS.
NIVEL 4: "AUDITORÍAS
DESARROLLADAS CON
TECNOLOGÍA"
LA FUNCIÓN DE AUDITORÍA FORMAL UTILIZA LA TECNOLOGÍA SIEMPRE
QUE SEA POSIBLE Y TRABAJA PARA AUTOMATIZAR LOS
PROCEDIMIENTOS MANUALES RESTANTES. EL PERSONAL SE ENCUENTRA
CÓMODO Y ES HÁBIL EN EL USO DE HERRAMIENTAS DE AUDITORÍA,
TALES COMO SOFTWARE GENERALIZADOS DE AUDITORÍA. EXISTEN
POLÍTICAS Y PROCEDIMIENTOS CLAROS QUE RIGEN LA PLANIFICACIÓN,
DISEÑO Y EJECUCIÓN DE AUDITORÍAS DESARROLLADAS CON
TECNOLOGÍA.
NIVEL 5: "AUDITORÍA
CONTINUA"
LA EVIDENCIA DE AUDITORÍA ES RECOPILADA EN TIEMPO REAL O CASI EN
TIEMPO REAL, Y EL AUDITOR PUEDE EVALUAR LA FIABILIDAD DE LA
INFORMACIÓN REPORTADA SIN ESFUERZOS MANUALES SIGNIFICATIVOS.
NIVEL 6: "MONITOREO Y
AUDITORÍA CONTINUA
OPTIMIZADOS"
EL MONITOREO CONTINUO ES LLEVADO A CABO POR LOS PROPIETARIOS
DE LOS PROCESOS DE NEGOCIO Y LA AUDITORÍA CONTINUA SE
DESARROLLA PARA VERIFICAR CONTINUAMENTE LA EFICACIA
OPERATIVA DE LOS PROCEDIMIENTOS DE MONITOREO CONTINUO.

91. UNA IMPLEMENTACIÓN EXITOSA DE AUDITORÍA CONTINUA REQUIERE LIDERAZGO, GESTIÓN DEL CAMBIO
Y UN ENFOQUE POR ETAPAS QUE ABORDE INICIALMENTE LOS SISTEMAS DE NEGOCIOS MÁS CRÍTICOS.
AUNQUE CADA ORGANIZACIÓN ES ÚNICA, EXISTEN ALGUNAS ACTIVIDADES COMUNES QUE DEBEN SER
CUIDADOSAMENTE PLANIFICADAS Y ADMINISTRADAS EN EL DESARROLLO Y MANTENIMIENTO DE
AUDITORÍA CONTINUA.
LA SECUENCIA DE ACTIVIDADES DE LA TABLA QUE SE DETALLA AL PIE PUEDE VARIAR, Y PUEDEN SER
NECESARIAS OTRAS ACTIVIDADES NO IDENTIFICADAS DURANTE EL DESARROLLO DE LA AUDITORÍA
CONTINUA PARA DAR APOYO A UNA AUDITORÍA ESPECÍFICA.
PASOS CLAVE PARA IMPLEMENTAR AUDITORÍA CONTINUA
1. ESTABLECER UNA ESTRATEGIA DE AUDITORÍA CONTINUA
• COORDINAR CON LA PRIMERA Y SEGUNDA LÍNEA DE DEFENSA.
• ESTABLECER PRIORIDADES Y OBTENER SOPORTE DE LA GERENCIA.
• ADAPTAR EL PLAN DE AUDITORÍA A INDICADORES CONTINUOS ESPECÍFICOS.
2. OBTENER DATOS PARA USO RUTINARIO
• ESTABLECER ACCESO RUTINARIO AL ENTORNO PRODUCTIVO.
• DESARROLLAR CAPACIDADES DE ANÁLISIS.
• CONSTRUIR HABILIDADES TÉCNICAS Y CONOCIMIENTOS EN AUDITORÍA.
• EVALUAR LA CONFIABILIDAD DE LOS ORÍGENES DE DATOS.
• PREPARAR Y VALIDAR LOS DATOS.
3. CONSTRUIR INDICADORES DE AUDITORÍA CONTINUA
3.1 EVALUACIÓN CONTINUA DE RIESGOS
• DESARROLLAR INDICADORES DE RIESGOS.
• DISEÑAR PRUEBAS ANALÍTICAS PARA MEDIR
EL INCREMENTO EN LOS NIVELES DE RIESGO
3.2 EVALUACIÓN CONTINUA DE CONTROLES
• IDENTIFICAR LOS OBJETIVOS DE CONTROL.
• DETERMINAR LOS CONTROLES CLAVE.
• EVALUAR CAMBIOS A LAS CONDICIONES DE
INICIO DE LOS CONTROLES.
4. REPORTAR Y ADMINISTRAR RESULTADOS
• ESTABLECER UNA METODOLOGÍA REPETIBLE.
• REPORTAR LOS RESULTADOS.
• FACILITAR LA ACCIÓN DE LA GERENCIA.
• ALINEAR CON EL MONITOREO CONTINUO Y ADAPTAR LA ESTRATEGIA DE AUDITORÍA CONTINUA.

97. CONSTRUIR UNA HOJA DE RUTA INTEGRADA CON EL PLAN DE AUDITORÍA. DISEÑAR Y CONSTRUIR TÉCNICAS DE
AUDITORÍA CONTINUA BASADAS EN EL APRENDIZAJE Y ESPECIFICACIONES RESULTANTES DE LAS AUDITORÍAS
TRADICIONALES ANTERIORES.
EVALUACIÓN CONTINUA DE RIESGOS
DE ACUERDO CON LA NORMA 2120, LA AUDITORÍA CONTINUA PERMITE A LOS AUDITORES "EVALUAR LA EFICACIA Y
CONTRIBUIR A LA MEJORA DE LOS PROCESOS DE GESTIÓN DE RIESGOS". LAS PRINCIPALES ACTIVIDADES Y
CONSIDERACIONES EN LA REALIZACIÓN DE UNA EVALUACIÓN CONTINUA DE RIESGOS INCLUYEN:
1. DESARROLLAR INDICADORES DE RIESGO:
1.1 LA RECOPILACIÓN Y EL ANÁLISIS DE LOS DATOS QUE SOPORTAN LOS PROCESOS DE NEGOCIO CLAVE Y ÁREAS
DE ALTO RIESGO DEBEN SER OBTENIDAS DESDE MÚLTIPLES NIVELES DE LA ORGANIZACIÓN PARA IDENTIFICAR,
EVALUAR Y RESPONDER A LOS RIESGOS.
1.2 COLABORAR CON LOS DUEÑOS DEL NEGOCIO Y PROFESIONALES DE TI PARA EL DESARROLLO DE INDICADORES
DE RIESGO QUE SEAN FÁCILMENTE MEDIBLES Y SENSIBLES A LOS CAMBIOS.
1.3 HACER USO DE LOS RESULTADOS DE LA EVALUACIÓN DE RIESGOS PARA, EVENTUALMENTE, MODIFICAR EL
PLAN DE AUDITORÍA, ASÍ COMO LOS ALCANCES Y OBJETIVOS DE AUDITORÍAS INDIVIDUALES.
2. DISEÑAR MÉTRICAS PARA DETECTAR EL INCREMENTO EN LOS NIVELES DE RIESGO.
2.1 LOS KRIS DEBEN:
a. ENFOCAR EN LA MAGNITUD DEL CAMBIO EXPERIMENTADO POR UNA ENTIDAD A TRAVÉS DEL TIEMPO
(DISEÑAR KRIS PARA IDENTIFICAR TENDENCIAS)
b. RESULTAR UNA COMBINACIÓN ENTRE LOS INDICADORES PREDICTIVOS BASADOS EN PROCESOS E
INDICADORES DETECTIVOS BASADOS EN SÍNTOMAS.
c. IDENTIFICAR UN NÚMERO SUFICIENTE DE CASOS QUE AL REALIZAR LAS COMPARACIONES RUTINARIAS
PERMITA AISLAR DESVÍOS QUE SE ENCUENTRAN POR ENCIMA DEL NIVEL DE RIESGOS ESTABLECIDO.
d. CUESTIONAR LOS CONTROLES CONFIGURADOS SISTEMÁTICAMENTE PARA DETERMINAR SUS CONDICIONES
ACTUALES Y DE ORIGEN Y EVALUAR SI ESTÁN OPERANDO EFECTIVAMENTE, TAL COMO HAN SIDO
DISEÑADOS.
e. LOS CAMBIOS AL MONITOREO, LOS CUALES DEBERÍAN SER POCO FRECUENTES, A CONTROLES
CONFIGURABLES AUTOMATIZADOS. LOS CONTROLES AUTOMATIZADOS QUE NO ESTÁN BIEN

99. KPI KCI KRI
OBJETIVO
ESTRATEGIA
RIESGOS
PROCESOS Y
PRESUPUESTO

101. OTROS FACTORES DE
RIESGO
BENCHMARKING EXTERNO
➢ DATOS DE TERCEROS.
➢ ESENARIOS DE RIESGO.
➢ CONCURRENTES.
➢ BUENAS PRÁCTICAS.
INDICADORES DE RIESGO CLAVE (KRI)
PÉRDIDAS E
INCIDENTES
➢ PÉRDIDAS.
➢ INCIDENTES.
REGULATORIO
POLÍTICAS
➢ REQUERIMIENTOS
LEGALES.
➢ POLÍTICAS.
STAKEHOLDER
➢ CLIENTES.
➢ COMERCIAL.
➢ EMPLEADOS.
➢ OTROS.
OBJETIVOS /
ESTRATEGIA
➢ PLAN DE NEGOCIOS.
➢ OBJETIVOS DE
NEGOCIO.
➢ MÉTRIAS DE
DESEMPEÑO.

102. KRI ES UNA MEDIDA PARA INDICAR LA PRESENCIA POTENCIAL, NIVEL O TENDENCIA DE UN
RIESGO. UN KRI ES ANTE TODO UNA HERRAMIENTA DE MEDICIÓN Y, SOBRE LA BASE DE LA
MEDICIÓN, AYUDA EN LA TOMA DE DECISIONES SOBRE QUÉ DIRECCIÓN SEGUIR.
CAUSA
KRI
OBJETIVOS Y
ESTRATEGIA
RIESGO
FACTOR DE
RIESGO
APETITO POR EL RIESGO
PROCESO
CONTROLES
CONSECUENCIA
DESEMPEÑO

103. 1. INDICADOR PARA MONITOREAR Y EVALUAR EL PROGRESO DE LAS MEDIDAS DE DESEMPEÑO
(PERFORMANCE) (METAS) DEFINIDAS A PARTIR DE LOS OBJETIVOS Y ESTRATEGIAS DE LA
ORGANIZACIÓN.
2. RESPONDER A LA PREGUNTA: ¿ESTAMOS LOGRANDO NUESTROS NIVELES DE
DESEMPEÑO(PERFORMANCE) DESEADOS?.

104. 1. KCI´s SE UTILIZA PARA EVALUAR SI LOS CONTROLES TIENEN SUFICIENTE EFICACIA PARA
ALCANZAR LOS OBJETIVOS ESTABLECIDOS.
2. EL PAPEL DE KCI´s ES ASEGURAR QUE LA RESPUESTAS SE ACTIVAN DE UNA MANERA
APROPIADA A UNA SITUCIÓN PELIGROSA IDENTIFICADA POR KRI´s.
3. KCI´s TÍPICOS CUBREN LA FIABILIDAD DE LA INFORMACIÓN FINANCIERA, EL NÚMERO DE
ASUNTOS O ÍNDICES DE ASEGURAMIENTO DE LA CALIDAD DEL PRODUCTO.

105. SIENDO COHERENTES CON EL ACTUAL ENFOQUE DE AUDITORÍA, Y DADO QUE YA ES UNA PRÁCTICA
GENERALIZADA POR PARTE DE LA COMUNIDAD DE AUDITORES, SE TOMA COMO BASE EL ENFOQUE
RBA (RISK BASED APPROACH), ELLO LLEVA A IDENTIFICAR LOS RIESGOS RELACIONADOS Y LA
IDENTIFICACIÓN A PARTIR DE ELLOS DE LOS KRI (KEY RISK INDICATORS) O INDICADORES CLAVES
DE RIESGO, DEFINIDO DE FORMA GENERAL POR EL COMITÉ DE ORGANIZACIONES PATROCINADORAS
DE LA COMISIÓN TREADWAY (COSO) A TRAVÉS DE (BEASLEY, BRANSON, HANCOCK, & LANDES, 2010)
COMO MÉTRICAS USADAS POR LAS ORGANIZACIONES PARA PROVEER UNA SEÑAL TEMPRANA DE
INCREMENTO DE LA EXPOSICIÓN AL RIESGO EN VARIAS ÁREAS DE LA EMPRESA; Y DEFINIDOS
DESDE UNA PERSPECTIVA FINANCIERA POR (DELFINER & PAILHÉ, 2008) COMO VARIABLES DE
CARÁCTER FINANCIERO U OPERACIONAL QUE OFRECEN UNA BASE RAZONABLE PARA ESTIMAR LA
PROBABILIDAD Y SEVERIDAD DE UNO O MÁS EVENTOS DE RIESGO OPERACIONAL.
LOS KRI TIENEN UNA CUALIDAD MUY ESPECÍFICA QUE NINGÚN OTRO PROGRAMA DE RIESGO
OPERACIONAL OFRECE Y ES INFORMACIÓN SOBRE LA EXPOSICIÓN AL RIESGO EN “TIEMPO REAL”,
SIMILAR A LA FORMA EN QUE EL COMBUSTIBLE, LA PRESIÓN DE ACEITE, LOS INDICADORES DE
TEMPERATURA DEL MOTOR Y EL VELOCÍMETRO DE UN COCHE PROPORCIONAN INFORMACIÓN VITAL
ACERCA DE LA SEGURIDAD EN UN VIAJE POR CARRETERA, Y LOS KRI SON EL ÚNICO MECANISMO DE
GESTIÓN PARA OBTENER INFORMACIÓN EN TIEMPO REAL, NECESARIA PARA REALIZAR LOS
AJUSTES CUANDO SE REQUIERAN. ESTO ES ESENCIAL PARA EL LOGRO DE LOS OBJETIVOS DE
NEGOCIO Y LA SEGURIDAD DE LA ORGANIZACIÓN (KRIEX, 2015). LO ANTERIOR CONLLEVA A QUE
LOS KRI DEBEN ESTAR ASOCIADOS A DATOS QUE SON GESTIONADOS POR SISTEMAS DE
INFORMACIÓN.
UNO DE LOS SECTORES QUE MÁS HA DESARROLLADO ESTE TEMA ES LA INDUSTRIA BANCARIA,
QUIENES A TRAVÉS UNA INICIATIVA DENOMINADA “KRI LIBRARY AND SERVICES” REÚNE
INFORMACIÓN REFERIDA A KRI DE LAS ENTIDADES PARTICIPANTES, Y CUYO MARCO DE REFERENCIA
Y KRI’S PUEDE SER CONSULTADA EN

106. EN GENERAL EXISTEN DOS TIPOS DE KRI,
PREDICTIVOS Y DETECTIVOS, LOS PRIMEROS
ESTÁN BASADOS EN INFORMACIÓN HISTÓRICA Y
MODELOS DE REGRESIÓN Y CORRELACIÓN QUE
PUEDEN GENERAR TENDENCIAS A TRAVÉS DEL
CUAL SE GENERARÁN LAS ALARMAS
RESPECTIVAS, DE ACUERDO A LOS UMBRALES
DEFINIDOS. LOS KRI DETECTIVOS SON MÁS
PUNTUALES Y ESTÁN BASADOS EN EL ASPECTO
PUNTUAL QUE GENERA LA ALARMA BAJO EL
UMBRAL DEFINIDO.
CON RESPECTO A LOS CONTROLES, ES
IMPORTANTE TENER EN CUENTA QUE EL
CONTROL ES UNA VARIABLE DEPENDIENTE DEL
RIESGO, ES DECIR, LA RAZÓN DE SER DE LOS
CONTROLES ES APORTAR EN LA MITIGACIÓN DEL
RIESGO, POR LO TANTO SE DEBEN IDENTIFICAR
LOS CONTROLES, CON BASE EN LOS RIESGOS Y
A PARTIR DE LOS CONTROLES IDENTIFICAR LOS
KCI (KEY CONTROL INDICATORS) DEFINIDOS
COMO INDICADORES QUE MIDEN EL POSIBLE
INCUMPLIMIENTO DE UN CONTROL, DE FORMA
TAL QUE EL DETERIORO DE UNA KCI PUEDE
INDICAR UN INCREMENTO EN LA PROBABILIDAD
O IMPACTO DE UN RIESGO.

107. PASOS CLAVES PARA IMPLEMENTACIÓN
1. ESTABLECER UNA ESTRATEGIA DE AUDITORÍA CONTINUA:
▪ COORDINAR CON LA PRIMER Y SEGUNDA LÍNEA DE DEFENSA.
▪ ESTABLECER PRIORIDADES Y OBTENER APOYO DE LA GERENCIA.
▪ ADAPTAR EL PLAN ANUAL DE AUDITORÍA PARA ESPECIFICAR INDICADORES EN CURSO.
2. ADQUIRIR DATOS PARA USO RUTINARIO
▪ ESTABLECER RUTINAS DE ACCESO AL AMBIENTE PRODUCTIVO.
▪ DESARROLLAR CAPACIDADES DE ANÁLISIS.
▪ DESARROLLAR HABILIDADES Y CONOCIMIENTOS TÉCNICOS DE AUDITORÍA.
▪ EVALUAR LA FIABILIDAD DE LAS FUENTES DE DATOS.
▪ PREPARAR Y VALIDAR LOS DATOS.
4. CONSTRUIR INDICADORES DE AUDITORÍA CONTINUA
▪ EVALUACIÓN DE RIESGOS.
▪ DESARROLLAR INDICADORES DE RIESGO.
▪ DISEÑO DE ANÁLISIS PARA MEDIR LOS NIVELES DE RIESGO SE INCREMENTARON.
▪ EVALUACIÓN DE CONTROLES.
▪ RELATIVO A OBJETIVOS DE CONTROL.
▪ DETERMINAR CONTROLES CLAVE.
▪ EVALUAR LA CONDICIÓN DE LÍNEA BASE Y CAMBIOS EN LOS CONTROLES.
4. INFORMAR Y GESTIONAR LOS RESULTADOS
▪ ESTABLECER UNA METODOLOGÍA REPETIBLE.
▪ REPORTAR RESULTADOS.
▪ FACILITAR ACCIONES DE GESTIÓN.
▪ ALINEARSE CON MONITORIZACIÓN CONTINUA Y ADAPTAR LA ESTRATEGIA DE AUDITORÍA
CONTINUA.

112. LA AUDITORÍA CONTINUA PROPORCIONA UNA MANERA DE
IDENTIFICAR INDICADORES DE RIESGO Y EVALUAR LOS
PARÁMETROS DE RIESGO A TRAVÉS DE LAS OPERACIONES
DE TI, APLICACIONES DE TI Y PROCESOS DE NEGOCIO
MEDIANTE SISTEMAS DE ANÁLISIS DE
1. PRIMERA LÍNEA DE DEFENSA:
▪ GERENCIA DE OPERACIONES
▪ ES DUEÑA Y GESTIONA LOS RIESGOS
2. SEGUNDA LÍNEA DE DEFENSA:
▪ FUNCIONES DE SUPERVISIÓN DE RIESGOS (EJ:
GESTIÓN DE RIESGOS, CUMPLIMIENTO)
3. TERCERA LÍNEA DE DEFENSA:
▪ AUDITORÍA INTERNA PROVEE ASEGURAMIENTO
INDEPENDIENTE
▪ PRUEBA DE AUDITORÍA SOBRE EL MONITOREO
CONTINUO DE LA 1RA Y 2DA LÍNEA DE DEFENSA
▪ AUDITORÍA CONTINUA BASADA EN TECNOLOGÍA
▪ EVALUACIÓN CONTINUA DE RIESGOS Y
CONTROLES

115. EL MODELO 3LD REALZA EL ENTENDIMIENTO DEL MANEJO DE RIESGOS Y CONTROLES MEDIANTE LA
ASIGNACIÓN O CLARIFICACIÓN DE ROLES Y RESPONSABILIDADES A TRAVÉS DE TODA LA ORGANIZACIÓN.
ESTE MODELO ES RECOMENDADO POR COSO, EL INSTITUTO DE AUDITORES INTERNOS, EL COMITÉ DE
BASILEA Y UN SIN NÚMERO DE INSTITUCIONES DE SUPERVISIÓN Y REGULACIÓN DEL SISTEMA FINANCIERO
EN EL MUNDO.
EL MODELO DE 3LD DEBE SER GUIADO POR LA ALTA ADMINISTRACIÓN Y VIGILADO POR LA JUNTA DIRECTIVA
COMO UNA MANERA DE ASEGURAR LA EFECTIVIDAD DE LA ADMINISTRACIÓN DE RIESGOS Y CONTROLES EN
LA ORGANIZACIÓN.
LA AUDITORÍA CONTINUA CON LAS 3° LÍNEAS DE DEFENSA EN LA GESTIÓN EFICAZ DE LOS RIESGOS Y EL
CONTROL Y AMPLÍA SU FOCO PARA INCLUIR, NO SÓLO LOS DATOS DE TRANSACCIONES, SINO TAMBIÉN
OTRAS FUENTES DE DATOS COMO LOS NIVELES DE SEGURIDAD, REGISTROS, INCIDENTES, DATOS NO
ESTRUCTURADOS, CAMBIOS A CONFIGURACIONES DE TI, CONTROLES DE APLICACIÓN Y SEGREGACIÓN DE
CONTROLES.
LA AUDITORÍA INTERNA PUEDE PROPORCIONAR A LA ORGANIZACIÓN ASEGURAMIENTO CONTINUO MEDIANTE
LA REALIZACIÓN DE PRUEBAS PERMANENTES DE MONITOREO CONTINUO DE MANERA CONCURRENTE CON
SUS ACTIVIDADES DE AUDITORÍA CONTINUA.
EL MONITOREO CONTINUO ABARCA LOS ESFUERZOS PERMANENTES DE LA PRIMERA Y SEGUNDA LÍNEAS DE
DEFENSA PARA ASEGURAR QUE LAS POLÍTICAS, PROCEDIMIENTOS Y PROCESOS DE NEGOCIOS ESTÁN
OPERANDO DE MANERA EFECTIVA, ELLO INVOLUCRA IDENTIFICAR OBJETIVOS DE CONTROL APLICABLES,
ASEGURAR LAS DECISIONES Y ESTABLECER PRUEBAS AUTOMATIZADAS PARA LAS ACTIVIDADES
PRINCIPALES Y LAS TRANSACCIONES QUE NO CUMPLAN CON LAS NORMAS ESPERADAS.
SI BIEN NO CABE HABLAR DE UNA CUARTA LÍNEA EN EL MODELO DE LAS TRES LÍNEAS DE DEFENSA, HAY
QUE TENER EN CONSIDERACIÓN QUE EN ÚLTIMA INSTANCIA, ESTÁN LOS REGULADORES Y LAS
AUTORIDADES DE CONTROL CON CAPACIDAD DE SUPERVISIÓN Y LA PROPIA ADMINISTRACIÓN DE JUSTICIA,
ERIGIÉNDOSE COMO CUARTA LÍNEA DE DEFENSA, NO DE LA PROPIA ORGANIZACIÓN EN ESTE CASO, SINO DE
LA SOCIEDAD EN GENERAL.
ASÍ MISMO, DEBE TENERSE EN CUENTA QUE EXISTE LA FUNCIÓN DE AUDITORÍA EXTERNA (O DE TERCERA
PARTE), QUE NO ESTÁ BAJO EL CONTROL DE LA ORGANIZACIÓN Y DEBERÍA CONSIDERARSE COMO LA
CUARTA LÍNEA DE DEFENSA.

116. QUIZÁ EL BENEFICIO DEL MODELO DE 3DL
RADIQUE EN LA CREACIÓN DE UNA CULTURA
QUE PERMITA QUE TODOS ACEPTEN Y
TOMEN RESPONSABILIDAD POR GESTIONAR
RIESGOS Y ASEGURAR CONTROLES DESDE
DIFERENTES POSICIONES: EJECUTORES,
FACILITADORES, REVISORES,
SUPERVISORES.
A LA VEZ, UN MODELO DE 3LD EFICIENTE,
DE UN LADO, DEBERÍA PROPICIAR LA
INTERACCIÓN ENTRE LAS UNIDADES DE
NEGOCIO Y SOPORTE Y LAS DE CONTROL Y
PREVENCIÓN, PARA PROCURAR LA MEJORA
CONTINUA Y AYUDAR AL ALCANCE DE LOS
OBJETIVOS ORGANIZACIONALES Y, DE OTRO
LADO, DEBERÍA BRINDAR SEGURIDAD
RAZONABLE O CONFORT A ACCIONISTAS,
DIRECTORES Y REGULADORES SOBRE EL
CONTROL DE LOS RIESGOS DE LA ENTIDAD Y
DE SU SOSTENIBILIDAD.
ADEMÁS, EL MODELO DE 3LD PUEDE
PERMITIRNOS REEVALUAR LA ESTRATEGIA
DE LOS PLANES DE SUCESIÓN Y DE GESTIÓN
DEL GOBIERNO CORPORATIVO DE ARRIBA
ABAJO Y DESDE ABAJO HASTA LA CIMA.

117. RESPONSABILIDADES DE CUMPLIMIENTO DE CADA LÍNEA DE DEFENSA
1ª LÍNEA 2ª LÍNEA 3ª LÍNEA
IDENTIFICAR Y EVALUAR LOS RIESGOS
DE LAS DIFERENTES OPERACIONES EN
SU ÁREA DE NEGOCIO.
CONTROLAR Y MITIGAR LOS RIESGOS
DE SUS OPERACIONES.
IMPLEMENTAR Y ADAPTAR LOS
CONTROLES, MANTENIENDO SU
EFICACIA EN EL TIEMPO.
ASEGURAR EL CUMPLIMIENTO DE LAS
NORMAS INTERNAS Y LEGISLACIÓN
APLICABLE A SUS OPERACIONES.
EJECUTAR ANÁLISIS Y EVALUACIONES
DE LOS RIESGOS DE LOS QUE SON
PROPIETARIOS.
IMPLEMENTAR PROCEDIMIENTOS QUE
LE PERMITAN CUMPLIR LAS NORMAS
DE COMPLIANCE QUE LE AFECTEN.
INFORMAR A LA SEGUNDA LÍNEA LAS
VARIACIONES EN EL RIESGO O EN LAS
CIRCUNSTANCIAS DE CONTROL.
ELABORAR EL MARCO PARA LA
GESTIÓN DEL RIESGO EN LA
ORGANIZACIÓN.
PROMOVER Y AYUDAR EN LA GESTIÓN
DEL RIESGO DE TODA LA
ORGANIZACIÓN.
VERIFICAR QUE LAS ACCIONES PARA
MITIGAR LOS RIESGOS SE APLIQUEN
CON EFICACIA.
ASESORAR A LOS PROPIETARIOS DE
LOS RIESGOS A DEFINIR EL APETITO
DE RIESGO EN LAS OPERACIONES.
AYUDAR A CREAR LOS CONTROLES DE
LA PRIMERA LÍNEA DE DEFENSA.
MONITORIZAR LOS CONTROLES DE
GESTIÓN OPERATIVA.
ASEGURAR QUE LA PRIMERA LÍNEA DE
DEFENSA ESTÁ BIEN DISEÑADA E
IMPLANTADA, Y QUE SU DESEMPEÑO
ES EL ADECUADO.
GESTIONAR DE MANERA
ESPECIALIZADA LOS RIESGOS
TRANSVERSALES DE LA
ORGANIZACIÓN.
MONITOREAR LA IMPLEMENTACIÓN DE
LOS CONTROLES PARA TRATAMIENTO
DE LOS RIESGOS TRANSVERSALES.
OTRAS FUNCIONES SEGÚN EL
ALCANCE DEFINIDO (COMPLIANCE
PENAL, PRL, PRIVACIDAD…)
COLABORAR A ASEGURAR EL
GOBIERNO CORPORATIVO, LA
GESTIÓN DEL RIESGO Y EL CONTROL
INTERNO.
EVALUAR LA FORMA EN QUE LA
PRIMERA Y SEGUNDA LÍNEA DE
DEFENSA OPERAN.
INFORMAR A LA PRIMERA Y
SEGUNDA LÍNEAS DEL RESULTADO DE
LAS EVALUACIONES.
ASEGURAR QUE SE ESTÉN CUBRIENDO
ADECUADAMENTE LAS
RESPONSABILIDADES DE LA PRIMERA
Y SEGUNDA LÍNEA DE DEFENSA.
REVISAR LA GESTIÓN DE LOS RIESGOS
MÁS RELEVANTES DE LA
ORGANIZACIÓN.
ASESORAR A LOS ÓRGANOS DE
GOBIERNO DE LA ORGANIZACIÓN
RESPECTO LA GESTIÓN DE LOS
RIESGOS.
REVISAR EL PLAN DE ACCIONES
CORRECTIVAS (PAC) APORTADO POR
LOS AUDITADOS.

118. PRIMERA LÍNEA SEGUNDA LÍNEA TERCERA LÍNEA CUARTA LÍNEA DE
DEFENSA
SE REFIERE A QUE
LA DIRECCIÓN DE
CADA
DEPARTAMENTO,
ES RESPONSABLE
DE INSTRUMENTAR
Y PONER EN
PRÁCTICA LA
GESTIÓN
OPERATIVA DE LOS
RIESGOS Y
CONTROLES
IDENTIFICA LOS
RIESGOS
ACTUALES Y
EMERGENTES
CONSTITUIDA POR
LA FUNCIÓN DE
AUDITORÍA
INTERNA.
LOS AUDITORES
EXTERNOS,
REGULADORES Y
OTROS ENTES
EXTERNOS (LOS
ORGANISMOS DE
CONTROL) SE
UBICAN FUERA DE
LA ORGANIZACIÓN
DEFINE LAS
POLÍTICAS DE
RIESGO, APOYO A
LA GESTIÓN Y
CONTROL EN SU
ÁMBITO DE
ESPECIALIDAD
TRANSVERSAL
DEBEN
PROPORCIONAR A
LOS ORGANISMOS
DE GOBIERNO
CORPORATIVO Y A
LA ALTA
DIRECCIÓN, UN
ASEGURAMIENTO
BASADO EN
INDEPENDENCIA Y
OBJETIVIDAD,
REFERIDO A LOS
TEMAS DE BUEN
GOBIERNO Y
PROCESOS DE LA
ORGANIZACIÓN.
TIENEN UN ROL EN
LA ESTRUCTURA
GENERAL DE
GOBIERNO
CORPORATIVO Y
CONTROL DE LA
ORGANIZACIÓN

119. 1. LA PRIMERA LÍNEA DEBE GESTIONAR
LOS RIESGOS Y CONTROLES: LA
CULTURA DE CONTROL DEBE
ENFOCARSE A QUE LAS UNIDADES DE
NEGOCIO INTERNALICEN QUE ELLAS
TIENEN LA PRINCIPAL
RESPONSABILIDAD EN MATERIA DE
CONTROL. ESTE ES UN DESAFÍO
MAYOR EN LAS ENTIDADES
FINANCIERAS QUE CON EL PASO DEL
TIEMPO, LAS TENDENCIAS Y LAS
EXIGENCIAS NORMATIVAS HAN
LOGRADO, EN MUCHOS CASOS, IR
SIENDO PARTE DEL ESFUERZO DE
CONTROL Y MEJORA CONTINUA.
2. LA SEGUNDA LÍNEA MONITOREA LOS
RIESGOS Y CONTROLES QUE
SOPORTAN EL MANEJO DE LAS
FUNCIONES DE LAS UNIDADES DE
PREVENCIÓN Y CONTROL: ESTAS
UNIDADES DE RIESGOS,
CUMPLIMIENTO, CONTROL
FINANCIERO, SEGURIDAD DE LA
INFORMACIÓN Y OTRAS, DEBEN
COMPARTIR UNA INFRAESTRUCTURA
DE LA TECNOLOGÍA DE LA
INFORMACIÓN (TI) Y UNA BASE DE
DATOS PARA INTEGRAR ESFUERZOS,
UNIFICAR MÉTODOS Y TRABAJAR EN
CONJUNTO CON LAS UNIDADES DE
NEGOCIO Y DE SOPORTE.
3. LA TERCERA LÍNEA DE DEFENSA
TIENE COMO MISIÓN PROVEER
ASEGURAMIENTO INDEPENDIENTE A
LA JUNTA DIRECTIVA Y A LA ALTA
ADMINISTRACIÓN CON RESPECTO A
LA EFECTIVIDAD DEL MANEJO DE
RIESGOS Y CONTROLES: EN ESTE
SENTIDO LA VISIÓN DE LA AUDITORÍA
INTERNA Y SUS CAPACIDADES
ACTUALES, DEBEN SERVIR PARA EL
ANÁLISIS DE AQUELLAS ÁREAS,
SUBSIDIARIAS, PRODUCTOS Y
SERVICIOS, INFRAESTRUCTURA DE TI
RELEVANTES Y QUE INCIDEN EN LA
DEFINICIÓN DE UNA COBERTURA
AMPLIA DEL PLAN ANUAL DE LA
UNIDAD QUE SIRVA A LAS
EXPECTATIVAS DE LAS PARTES
INTERESADAS Y SE ALINEE CON LA
ESTRATEGIA DEL NEGOCIO.
GESTIÓN OPERATIVA
FUNCIONES DE GESTIÓN DE
RIESGOS Y CUMPLIMIENTO
AUDITORÍA INTERNA

120. 1ª LÍNEA 2ª LÍNEA 3ª LÍNEA
1. IDENTIFICAR Y EVALUAR LOS
RIESGOS DE LAS DIFERENTES
OPERACIONES EN SU ÁREA DE
NEGOCIO.
2. CONTROLAR Y MITIGAR LOS
RIESGOS DE SUS OPERACIONES.
3. IMPLEMENTAR Y ADAPTAR LOS
CONTROLES, MANTENIENDO SU
EFICACIA EN EL TIEMPO.
4. ASEGURAR EL CUMPLIMIENTO
DE LAS NORMAS INTERNAS Y
LEGISLACIÓN APLICABLE A SUS
OPERACIONES.
5. EJECUTAR ANÁLISIS Y
EVALUACIONES DE LOS RIESGOS
DE LOS QUE SON PROPIETARIOS.
6. IMPLEMENTAR PROCEDIMIENTOS
QUE LE PERMITAN CUMPLIR LAS
NORMAS DE COMPLIANCE QUE
LE AFECTEN.
7. INFORMAR A LA SEGUNDA LÍNEA
LAS VARIACIONES EN EL RIESGO
O EN LAS CIRCUNSTANCIAS DE
CONTROL.
1. ELABORAR EL MARCO PARA LA
GESTIÓN DEL RIESGO EN LA
ORGANIZACIÓN.
2. PROMOVER Y AYUDAR EN LA GESTIÓN
DEL RIESGO DE TODA LA
ORGANIZACIÓN.
3. VERIFICAR QUE LAS ACCIONES PARA
MITIGAR LOS RIESGOS SE APLIQUEN
CON EFICACIA.
4. ASESORAR A LOS PROPIETARIOS DE
LOS RIESGOS A DEFINIR EL APETITO
DE RIESGO EN LAS OPERACIONES.
5. AYUDAR A CREAR LOS CONTROLES DE
LA PRIMERA LÍNEA DE DEFENSA.
6. MONITORIZAR LOS CONTROLES DE
GESTIÓN OPERATIVA.
7. ASEGURAR QUE LA PRIMERA LÍNEA DE
DEFENSA ESTÁ BIEN DISEÑADA E
IMPLANTADA, Y QUE SU DESEMPEÑO
ES EL ADECUADO.
8. GESTIONAR DE MANERA
ESPECIALIZADA LOS RIESGOS
TRANSVERSALES DE LA
ORGANIZACIÓN.
8. MONITOREAR LA IMPLEMENTACIÓN DE
LOS CONTROLES PARA TRATAMIENTO
DE LOS RIESGOS TRANSVERSALES.
9. OTRAS FUNCIONES SEGÚN EL
ALCANCE DEFINIDO (COMPLIANCE
PENAL, PRL, PRIVACIDAD
1. COLABORAR A ASEGURAR EL
GOBIERNO CORPORATIVO, LA
GESTIÓN DEL RIESGO Y EL
CONTROL INTERNO.
2. EVALUAR LA FORMA EN QUE LA
PRIMERA Y SEGUNDA LÍNEA DE
DEFENSA OPERAN.
3. INFORMAR A LA PRIMERA Y
SEGUNDA LÍNEAS DEL
RESULTADO DE LAS
EVALUACIONES.
4. ASEGURAR QUE SE ESTÉN
CUBRIENDO ADECUADAMENTE
LAS RESPONSABILIDADES DE
LA PRIMERA Y SEGUNDA LÍNEA
DE DEFENSA.
5. REVISAR LA GESTIÓN DE LOS
RIESGOS MÁS RELEVANTES DE
LA ORGANIZACIÓN.
6. ASESORAR A LOS ÓRGANOS DE
GOBIERNO DE LA
ORGANIZACIÓN RESPECTO LA
GESTIÓN DE LOS RIESGOS.
7. REVISAR EL PLAN DE ACCIONES
CORRECTIVAS (PAC) APORTADO
POR LOS AUDITADOS.

122. EL MODELO DE LAS CUATRO LÍNEAS IMPLICARÍA UNA NUEVA CONFIGURACIÓN DE
LOS PROCESOS Y NORMAS, ESPECÍFICAMENTE EN CUANTO A LA INFORMACIÓN QUE
DESEAN COMPARTIR LOS AUDITORES INTERNOS, SUPERVISORES Y AUDITORES
EXTERNOS.

125. LOS CONTROLES DE APLICACIÓN SON CONFIGURADOS PARA REFORZAR LA INTEGRIDAD,
EXACTITUD, Y AUTORIZACIÓN DE LAS TRANSACCIONES.
AUTOMATIZAR LA REVISIÓN DE LOS CONTROLES DE APLICACIÓN PUEDE AYUDAR A LOS
AUDITORES Y A LOS PROFESIONALES DE CUMPLIMIENTO A CONTESTAR ESTAS PREGUNTAS:
1. ¿CON QUE FRECUENCIA OCURREN CAMBIOS EN LOS CONTROLES AUTOMÁTICOS?
2. ¿EL EQUIPO DE APLICACIÓN O DE TECNOLOGÍA INFORMÁTICA APLICÓ LAS
ACTUALIZACIONES (UPGRADES) O PARCHES?
3. ¿HA SIDO MODIFICADA LA CONFIGURACIÓN DE UN PROCESO DE NEGOCIO RELEVANTE?
4. ¿PUEDE ALGUNO DE LOS CAMBIOS IMPACTAR LA FORMA EN LA QUE LA APLICACIÓN SE
COMPORTA?
LAS RESPUESTAS A ESTAS PREGUNTAS PUEDEN DETERMINAR LA NECESIDAD DE UN MAYOR
NÚMERO DE PRUEBAS Y POTENCIALMENTE INCREMENTAR LA EFICIENCIA Y EFECTIVIDAD DE LA
AUDITORÍA.
EN ESTE CASO DE ESTUDIO, UNA EVALUACIÓN CONTINUA DE LOS CONTROLES DE APLICACIÓN
ESTUVO ATADA A UNA REDUCCIÓN EN LAS PRUEBAS DE CASI 6000 HORAS DE TRABAJO
COMPARADAS CON EL AÑO ANTERIOR.
LUEGO DE OBTENER EL SOPORTE DE LAS PARTES INTERESADAS CLAVE TALES COMO LA
GERENCIA, IT, AUDITORES EXTERNOS, Y DUEÑOS DE APLICACIONES, LOS AUDITORES INTERNOS
IDENTIFICARON OBJETOS CLAVE DEL CONTROL DE CONFIGURACIÓN, EXTRACCIÓN
AUTOMATIZADA DE DATOS Y RESULTADOS COMPARADOS.

126. EL PRIMER PASO HACIA LA EVALUACIÓN CONTINUA
DEL CONTROL FUE EL DE IDENTIFICAR LOS OBJETOS
CLAVES DENTRO DE LAS FUNCIONES DE CONTROL DE
LA APLICACIÓN, INCLUYENDO PROGRAMAS,
PANTALLAS, PÁGINAS WEB, Y TABLAS.
LOS SIGUIENTES PASOS FUERON DETERMINAR CÓMO
AUTOMATIZAR LA EXTRACCIÓN DE DATOS Y SI LOS
CONTROLES FUERON CAMBIADOS.

127. VARIAS HERRAMIENTAS COMERCIALES PARA LA
EXTRACCIÓN DE DATOS ESTÁN DISPONIBLES EN EL
MERCADO.
SIN EMBARGO, EN ESTE CASO, OPTARON POR UNA
HERRAMIENTA DE EXTRACCIÓN DE DATOS
DESARROLLADA INTERNAMENTE, REDUCIENDO ASÍ EL
COSTO DE LA IMPLEMENTACIÓN DE AUDITORÍA
CONTINUA.
UNA VEZ SELECCIONADA LA HERRAMIENTA, SE
NECESITABA TOMAR CIERTAS DECISIONES:
1. ¿CON QUÉ FRECUENCIA DEBERÍA EXTRAERSE DE LA
APLICACIÓN LA INFORMACIÓN DE CONTROL PARA
SER COMPARADA CON LA BASE DE REFERENCIA?
2. ¿QUIÉN DEBERÍA MANTENER EL HISTORIAL DE DATOS
Y DONDE VA A ALMACENARSE?
3. CUANDO SE COMPARE LA INFORMACIÓN DE CONTROL
CON LA BASE DE REFERENCIA DE AUDITORÍA, ¿QUIÉN
DEBERÍA SER EL RESPONSABLE DE EVALUAR LA
IMPORTANCIA DE LOS CAMBIOS EN LA APLICACIÓN Y
DE DETERMINAR QUÉ CONTROLES NECESITAN SER
PROBADOS NUEVAMENTE?

128. LUEGO DE QUE LOS DATOS FUERON EXTRAÍDOS,
FUERON COMPARADOS CON UN PERÍODO BASE.
EL REPORTE DE COMPARACIÓN IDENTIFICÓ LOS
CONTROLES AUTOMÁTICOS CLAVES QUE FUERON
SUJETOS DE CAMBIO LUEGO DEL PERÍODO BASE, Y EL
TIPO DE CAMBIO Ver figura.
IDEALMENTE, LOS CONTROLES DE APLICACIÓN NO
DEBERÍAN CAMBIARSE.
LOS AUDITORES SELECCIONARON CONTROLES CLAVE Y
LOS ANALIZARON EN PROFUNDIDAD PARA EVALUAR EL
CAMBIO.
COMO ES APROPIADO, LOS REPORTES DE COMPARACIÓN
FUERON INCORPORADOS EN LOS PAPELES DE TRABAJO
DE AUDITORÍA, YA SEA PARA PROVEER EVIDENCIA DE
QUE NO ERA NECESARIO PROFUNDIZAR MÁS SOBRE LAS
PRUEBAS DE LOS CONTROLES O BIEN PARA SOPORTAR
LA NECESIDAD DE REALIZAR LA PRUEBA NUEVAMENTE.
EN ESTE SENTIDO, LA COMPARACIÓN FACILITÓ UN
ABORDAJE BASADO EN RIESGOS PARA LA NUEVA
PRUEBA, EJECUTADO A TRAVÉS DE LOS ESFUERZOS DE
MONITOREO CONTINUO DE LA GERENCIA CUANDO FUE
POSIBLE, SUMINISTRANDO EFICIENCIA ADICIONAL.

130. LUEGO DE LA IMPLEMENTACIÓN DE LA EVALUACIÓN CONTINUA DEL CONTROL, EL 58% DE LOS
CONTROLES DE APLICACIÓN PUDIERON SER VALIDADOS SIN PRUEBAS.
DEL 42% REMANENTE, EL 16% FUE PROBADO DURANTE LA PRIMERA MITAD DEL AÑO, Y EL 26%
FUERON EVIDENCIADOS NUEVAMENTE DURANTE LA SEGUNDA MITAD DEL AÑO.
EL TIEMPO REQUERIDO PARA LA EVALUACIÓN DE LOS CONTROLES DE APLICACIÓN DISMINUYÓ
DE 6300 A 352 HORAS DE TRABAJO, LO QUE IMPLICA UN 94% DE DISMINUCIÓN AÑO A AÑO, VER
FIGURA.

131. AUDITAR EN FORMA CONTINUA ES POTENCIALMENTE MÁS EFECTIVO CUANDO SE APLICA A SISTEMAS DE ALTO
VOLUMEN QUE SON ACCEDIDOS POR UN GRAN NÚMERO DE USUARIOS. ESTE CASO ILUSTRA CÓMO LOS AUDITORES
INTERNOS APLICARON TÉCNICAS DE AUDITORÍA CONTINUA A UN SISTEMA DE GASTOS DE UN EMPLEADO.
ANTECEDENTES Y DESAFÍOS
LAS AUDITORÍAS PREVIAS DE LOS SISTEMAS DE GASTOS DE EMPLEADOS CONSUMÍAN TIEMPO Y REQUERÍAN DE
UNA LABOR INTENSIVA, Y EL ALCANCE DE LA AUDITORÍA ERA A VECES LIMITADO POR RESTRICCIONES DE
RECURSOS. EL SISTEMA DE GASTOS DE EMPLEADOS ESTABA BASADO EN REGLAS CON NUMEROSOS CONTROLES
AUTOMÁTICOS IMPLEMENTADOS EN MÚLTIPLES NIVELES, PARA GESTIONAR LA CALIDAD DE LOS DATOS
INGRESADOS E INICIAR EL PROCESO DE APROBACIÓN DE GASTOS. LOS EJEMPLOS INCLUYEN:
1. UN CONTROL DE ENVÍO DE DATOS:
1.1 SI SE INGRESAN GASTOS DUPLICADOS PARA LA MISMA FECHA, CATEGORÍA Y MONTO, EL SISTEMA PODRÍA
INDICAR AL USUARIO UNA ALERTA QUE REQUERIRÍA UNA APROBACIÓN GERENCIAL, Y MARCARÍA LA
TRANSACCIÓN PARA UNA REVISIÓN DE LA OPERACIÓN.
2. CONTROLES ACTIVOS DE APROBACIÓN
2.1 LAS TRANSACCIONES DE RIESGO FUERON RETENIDAS A LA ESPERA DE UNA REVISIÓN DE UN
SUPERVISOR.
2.2 UN EMPLEADO NO PUEDE APROBAR SU PROPIO ENVÍO DE GASTOS.
LOS CONTROLES TÍPICAMENTE SE ENFOCARON EN LÍMITES O AUTORIZACIONES, PERO NO NECESARIAMENTE SE
COMPRUEBA LA VALIDEZ O LA EXACTITUD DE LOS DATOS INGRESADOS. UNA CATEGORIZACIÓN INADVERTIDA O
INTENCIONALMENTE INCORRECTA O COMENTARIOS CONFUSOS INGRESADOS POR UN EMPLEADO PODÍAN PASAR
INADVERTIDOS. LA EFECTIVIDAD DEL SISTEMA BASADO EN REGLAS DEPENDÍA DE:
1. LA EXACTITUD Y HONESTIDAD DE LAS ENTRADAS DEL EMPLEADO QUE INGRESA EL ÍTEM DEL GASTO
2. LA PREDISPOSICIÓN Y HABILIDAD DE LOS GERENTES PARA REVISAR PRECISAMENTE Y APROBAR O DENEGAR
EL GASTO OPORTUNAMENTE
ENFRENTADOS CON ESTOS DESAFÍOS, LOS AUDITORES INTERNOS TRATARON DE ENCONTRAR LA MEJOR FORMA DE
EVALUAR LA VALIDEZ DE LAS TRANSACCIONES DE GASTOS.

132. EN RESUMEN, LOS AUDITORES INTERNOS DETERMINARON:
1. LOS DETALLES DE LAS TRANSACCIONES DE TARJETAS DE CRÉDITO ESTABAN DISPONIBLES
DESDE EL EMISOR DE LA TARJETA, Y COMPARANDO LOS DATOS DEL SISTEMA ELECTRÓNICO DE
GASTOS CON LOS DEL EMISOR DE LA TARJETA, SE LOGRÓ UN MEJOR PANORAMA DE LA
VALIDEZ DE LOS GASTOS.
2. UNA VEZ QUE EL REPORTE DE DATOS DEL EMISOR DE LA TARJETA FUE COMPARADO CON LOS
DATOS DEL SISTEMA ELECTRÓNICO DE GASTOS POR NÚMERO DE EMPLEADO, FECHA DE CARGA,
Y MONTO DE CARGA, LA CATEGORIZACIÓN DEL GASTO Y LOS COMENTARIOS PUDIERON SER
COMPARADOS CON EL CÓDIGO DEL COMERCIANTE DE LA TRANSACCIÓN Y LA DESCRIPCIÓN DE
LA TRANSACCIÓN. POR EJEMPLO, SE PODÍA IDENTIFICAR UNA TRANSACCIÓN CON UN CÓDIGO
DE COMERCIANTE DE UNA TIENDA DE ZAPATOS, PERO CATEGORIZADO EN EL REGISTRO DE
GASTOS COMO DE ALIMENTOS.
3. EL EMISOR DE LA TARJETA PROVEYÓ “REPORTES CUESTIONABLES” QUE PODÍAN SER
PERSONALIZADOS PARA IDENTIFICAR TIPOS ESPECÍFICOS DE COMERCIOS Y CORRERLOS CON
UNA FRECUENCIA MENSUAL O CUATRIMESTRAL.
A CONTINUACIÓN SE ENCUENTRAN EJEMPLOS DE TÉCNICAS DE AUDITORIO CONTINUO QUE
FUERON USADAS PARA IDENTIFICAR DEFICIENCIAS DE CONTROL, ANOMALÍAS Y BANDERAS ROJAS
INDICANDO POTENCIAL FRAUDE O ABUSO.
A PESAR DE QUE NO FUERON CUANTIFICADOS AQUÍ, LOS AUDITORES INTERNOS REPORTARON UNA
REDUCCIÓN EN LA CANTIDAD DE HORAS QUE ERAN PREVIAMENTE NECESARIAS PARA ADQUIRIR LA
INFORMACIÓN, EJECUTAR EL ANÁLISIS DE DATOS, Y REVISAR LOS RESULTADOS, COMPARADOS CON
LAS AUDITORÍAS PREVIAS DEL SISTEMA ELECTRÓNICO DE GASTOS.
IDENTIFICACIÓN DE TODOS LOS GASTOS CUESTIONABLES ACUMULADOS POR CÓDIGO DE
COMERCIANTE, EMPLEADO Y ESTABLECIMIENTO.

133. IDENTIFICACIÓN DE TODOS LOS GASTOS
CUESTIONABLES ACUMULADOS POR CÓDIGO DE
COMERCIANTE, EMPLEADO Y ESTABLECIMIENTO.
CONSUMOS CUESTIONABLES EN ESTABLECIMIENTOS
RESTRINGIDOS
IDENTIFICACIÓN DE TODA LA ACTIVIDAD DE GASTOS
PARA LOS ESTABLECIMIENTOS RESTRINGIDOS
FACTURADOS COMO UN GASTO DE UN EMPLEADO.
LOS ESTABLECIMIENTOS RESTRINGIDOS FUERON
IDENTIFICADOS A TRAVÉS DE INDICADORES TALES
COMO NOMBRES LEGALES DE PROVEEDORES,
COINCIDENCIA DE DIRECCIONES, SITIOS CON UNA
MEZCLA DE GASTOS Y ACTIVIDAD PERSONAL,
TRANSACCIONES DE ALTO VALOR DIVIDIDAS, Y
PALABRAS CLAVE RESTRINGIDAS (POR EJEMPLO
NIÑOS, HOSPITAL, CLUB NOCTURNO, CABALLEROS,
CASINOS, PREMIUM, UPGRADE).
RESUMEN DE CATEGORIZACIÓN INCORRECTA
IDENTIFICACIÓN DE TODOS LOS GASTOS NO
RELACIONADOS CON ALIMENTOS (POR EJEMPLO
GASTOS DE INDUMENTARIA) INCORRECTAMENTE
CATEGORIZADOS COMO ALIMENTOS O
ENTRETENIMIENTO.

135. IDENTIFICACIÓN DE PALABRAS CLAVE RESTRINGIDAS (POR EJEMPLO NIÑO,
HOSPITAL, CLUB NOCTURNO, CABALLEROS, CASINOS, PREMIUM Y UPGRADE) EN LOS
CAMPOS DE IDENTIFICACIÓN DE LA TRANSACCIÓN.
ESTE TIPO DE ANÁLISIS GENERALMENTE REQUIERE EL USO DE SOFTWARE DE
ANÁLISIS DE DATOS.

136. 1. GASTOS DE ALTO VALOR SIN RECIBO
IDENTIFICACIÓN DE LOS GASTOS DE ALTO VALOR DENTRO DE CADA CATEGORÍA DE GASTOS
QUE FUERON ENVIADOS SIN RECIBO.
2. ACTIVIDAD DE TARJETA EN LA CIUDAD DE RESIDENCIA
IDENTIFICACIÓN DE ACTIVIDAD ININTERRUMPIDA DE LA TARJETA EN EL DOMICILIO O CIUDAD
DEL TARJETAHABIENTE Y EN SUS ALREDEDORES.
3. FACTURA DEL HOTEL
IDENTIFICACIÓN DE TODOS LOS GASTOS CUESTIONABLES DE LA FACTURA DEL HOTEL
ACUMULADOS POR ÍTEM, EMPLEADO Y HOTEL. ESTO INCLUYÓ ÍTEMS NO REEMBOLSADOS
BAJO LA POLÍTICA DE GASTOS QUE FUERON OCULTADOS DENTRO DEL CARGO TOTAL DEL
HOTEL.
4. TARIFAS DE AEROLÍNEAS
IDENTIFICACIÓN DE TODOS LOS GASTOS DE VIAJES AÉREOS DONDE HABÍA UNA FALTA DE
CORRELACIÓN ENTRE EL COMENTARIO / CATEGORÍA DEL GASTO Y LA DESCRIPCIÓN DEL
PROVEEDOR DE LA TARIFA. POR EJEMPLO, ÍTEMS COMO MEJORAS DE ASIENTOS O CABINAS
QUE FUERON INGRESADOS COMO TARIFAS DE AIRE O DE EQUIPAJE.
5. ACTIVIDAD PERSONAL EN TARJETAS MOROSAS
IDENTIFICACIÓN DE ACTIVIDAD ININTERRUMPIDA DE LA TARJETA PERSONAL EN CUENTAS
PREVIAMENTE MOROSAS.

137. 6. ACTIVIDAD PERSONAL Y NO GASTADA
IDENTIFICACIÓN DE TODA ACTIVIDAD PERSONAL Y NO GASTADA CON TARJETA COMPARADA
CON LOS RECLAMOS DE DINERO EN EFECTIVO.
7. GASTOS DIVIDIDOS
IDENTIFICACIÓN DE GASTOS QUE PODRÍAN HABER SIDO DIVIDIDOS PARA EVADIR LOS
UMBRALES POR TRANSACCIÓN. ESTE ANÁLISIS FUE EJECUTADO A TRAVÉS DE LA BÚSQUEDA
DE TRANSACCIONES CON IGUAL VENDEDOR Y FECHA. HERRAMIENTAS DE ANÁLISIS DE DATOS
CON FUNCIONALIDADES INCORPORADAS PARA ANALIZAR DUPLICADOS FUERON MUY ÚTILES.

138. UNA EVALUACIÓN CONTINUA DE RIESGO A NIVEL DE
PROCESO PUEDE:
▪ IDENTIFICAR RIESGOS NUEVOS Y EMERGENTES
DENTRO DE UN TIEMPO CORTO DESDE LA
TRANSACCIÓN INICIAL ASOCIADA.
▪ AYUDAR A LOS AUDITORES A IDENTIFICAR
TENDENCIAS ANORMALES Y EVALUAR EL IMPACTO
ACUMULATIVO Y EL VALOR TOTAL DE RIESGO.
ESTE CASO RESALTA LOS PASOS TOMADOS POR LOS
AUDITORES INTERNOS PARA DESARROLLAR E
IMPLEMENTAR UNA EVALUACIÓN DE RIESGO CONTINUA DE
UN PROCESO DE COMPROBANTES DE DIARIO MANUAL.
1. ENTENDER EL PROCESO
EL PRIMER PASO PARA DESARROLLAR LA EVALUACIÓN
CONTINUA DE RIESGO FUE DESARROLLAR UN
ENTENDIMIENTO DIRECTO DEL PROCESO. EN ESTE
CASO, LOS AUDITORES LLEVARON A CABO UNA
INVESTIGACIÓN EXTERNA Y RECABARON
INFORMACIÓN RELEVANTE DE LA GERENCIA Y DE LOS
DUEÑOS DE LOS PROCESOS PARA LOGRAR LA
COMPRENSIÓN TOTAL DE LA POBLACIÓN, LOS
REPORTES DISPONIBLES, LAS ÁREAS NO ESTÁNDAR, Y
LAS DEPENDENCIAS CON OTROS PROCESOS. EL PASO
SIGUIENTE FUE CONSTRUIR UN PROTOTIPO DE BASE
DE DATOS DE ATRIBUTOS DE RIESGOS QUE PODRÍAN
IMPACTAR EN EL PROCESO DEL DIARIO.

139. 2. CREAR UN PROTOTIPO DE BASE DE DATOS DE RIESGOS
SE UTILIZARON HERRAMIENTAS ANALÍTICAS Y ESTADÍSTICAS PARA CREAR UN PROTOTIPO DE BASE DE DATOS
DE RIESGOS. LA BASE DE DATOS FUE DESARROLLADA A TRAVÉS DE UN PROCESO REPETITIVO QUE REVISABA
LA INTEGRIDAD DE LOS DATOS, COMPLETITUD Y EXACTITUD LÓGICA.
POR EJEMPLO, LOS ATRIBUTOS DE RIESGO DE LA BASE DE DATOS DE RIESGOS DEL PROCESO MANUAL DE
ASIENTO DIARIO INCLUYERON:
2.1 RESULTADOS DE RIESGO
a. IMPACTO DEL PROCESO EN EL BENEFICIO NETO
b. IMPACTO DEL PROCESO EN LOS INGRESOS Y GASTOS
c. IMPACTO DEL PROCESO EN EL EFECTIVO Y OTROS ACTIVOS
d. IMPACTO DEL PROCESO EN EL PASIVO
2.2 INDICADORES DE RIESGO
a. COMPROBANTES CONTABILIZADOS POR USUARIOS CANCELADOS O NO AUTORIZADOS
b. COMPROBANTES CONTABILIZADOS LUEGO DE LA FECHA DE CORTE
c. COMPROBANTES CONTABILIZADOS EN VACACIONES
d. COMPROBANTES CONTABILIZADOS SIN UNA ADECUADA SEGREGACIÓN DE FUNCIONES
e. COMPROBANTES CONTABILIZADOS SIN DOCUMENTACIÓN NI APROBACIONES
f. COMPROBANTES DE ALTO VALOR
g. COMPROBANTES DE TRANSACCIONES DIVIDIDAS

140. 3. IDENTIFICAR RIESGOS NO CONOCIDOS Y ATÍPICOS
UTILIZANDO TÉCNICAS ESTADÍSTICAS.
PARA IDENTIFICAR RIESGOS NUEVOS Y EMERGENTES SE
APLICARON TÉCNICAS ESTADÍSTICAS, REDUCIENDO
POTENCIALMENTE EL ELEMENTO SORPRESA. SE
EJECUTARON ANÁLISIS DE TIPO GRILLA,
CONGLOMERADOS, LEY DE BENFORD, REGRESIÓN, Y DEL
TIPO “QUÉ PASA SI”.
▪ LOS ANÁLISIS DE GRILLA FUERON UTILIZADOS PARA
SEGMENTAR LA POBLACIÓN POR DOS VARIABLES
INDEPENDIENTES, EL PORCENTAJE DE INGRESO DE
COMPROBANTES MANUALES DEL LIBRO DIARIO Y LOS
MONTOS DEL BALANCE GENERAL. EN LA SIGUIENTE
GRILLA, FUERON SEGMENTADOS 10 PAÍSES PARA
MOSTRAR LOS PAÍSES MÁS RIESGOSOS A PRIMERA
VISTA, ASÍ COMO LOS PAÍSES CON MEJOR
DESEMPEÑO, LOS QUE FUERON CAPITALIZADOS PARA
COMPARTIR LAS MEJORES PRÁCTICAS.
▪ LOS ANÁLISIS DE CONGLOMERADOS FUERON
UTILIZADOS PARA SEGMENTAR LA POBLACIÓN E
IDENTIFICAR CONGLOMERADOS DE TRANSACCIONES
RIESGOSAS UTILIZANDO VARIABLES MÚLTIPLES
TALES COMO TRANSACCIONES DE ALTO VALOR,
CONTABILIZACIONES EN DÍAS NO LABORABLES Y
TRANSACCIONES DE CIERRE DE EJERCICIO.
▪ LA LEY DE BENFORD FUE UTILIZADA PARA ANALIZAR
LA OCURRENCIA DE CIERTOS DÍGITOS DENTRO DE LOS
CAMPOS NUMÉRICOS CLAVE PARA ENCONTRAR
PATRONES ANORMALES, FABRICADOS O
POTENCIALMENTE FRAUDULENTOS. UN EJEMPLO DE
UN ANÁLISIS DE TENDENCIA ANORMAL DE UN PAÍS:

141. ▪ LOS ANÁLISIS DE REGRESIÓN FUERON
UTILIZADOS PARA IDENTIFICAR DESVÍOS.
EN EL SIGUIENTE EJEMPLO, LOS
ANÁLISIS DE REGRESIÓN IDENTIFICARON
PAÍSES CON DESVÍOS ALCANZANDO EL
VALOR TOTAL DE LOS COMPROBANTES
MANUALES DE LIBRO DIARIO POR ENCIMA
DEL BALANCE GENERAL.
▪ LOS ANÁLISIS DE TIPO “QUÉ-PASA-SI”
FUERON UTILIZADOS PARA PREDECIR
RELACIONES FUTURAS ENTRE
VARIABLES.

142. 4. COLABORAR EN LOS ESFUERZOS DE REPORTE
LA EVALUACIÓN CONTINUA DE RIESGO FUE
DISEÑADA PARA AUTOMÁTICAMENTE MOSTRAR
RESULTADOS EN GRÁFICOS, TABLAS, Y OTRAS
HERRAMIENTAS VISUALES PARA REPORTES Y
TABLEROS DE COMANDO DE AUDITORÍA. LOS
TABLEROS DE COMANDO DE AUDITORÍA FUERON
CREADOS SISTEMÁTICAMENTE Y LUEGO EL
PROCESO FUE EXPANDIDO PARA INCLUIR
TABLEROS DE COMANDO DE LA GERENCIA.
ESTO EVITÓ LA DUPLICACIÓN DE DATOS Y LOS
ESFUERZOS REQUERIDOS PARA GENERAR
REPORTES Y PUBLICAR LOS RESULTADOS DE LA
GERENCIA.
LA GERENCIA PUDO MONITOREAR MEJOR LOS
INDICADORES CLAVE DE DESEMPEÑO LA
COLABORACIÓN AYUDÓ A LOS AUDITORES
INTERNOS A ENTENDER LOS RESULTADOS DEL
MONITOREO CONTINUO DE LA GERENCIA.
LA AUDITORÍA INTERNA TUVO CUIDADO DE
MANTENER SU INDEPENDENCIA Y NO TOMAR LA
PROPIEDAD DE LOS RIESGOS. LOS REPORTES DE
MONITOREO CONTINUO INFORMARON LOS PLANES
DE ACCIÓN DE LA GERENCIA Y PROVEYERON
OPORTUNIDADES MEJORADAS PARA DETECTAR EL
FRAUDE Y EVITAR SORPRESAS.

144. 1. IDENTIFIQUE, SI LOS SIGUIENTES ENUNCIADOS SON CONTROLES Y QUE FACTORES FALTAN
PARA QUE SEA UN DISEÑO ADECUADO DE CONTROL, DE ACUERDO A LO SIGUIENTE:
a. LOS CONTRATOS QUE ESTÁN SUJETOS A NIVELES DE SERVICIO SON MONITOREADOS POR
EL RESPONSABLE DE LA RELACIÓN CON EL PROVEEDOR.
b. CADA VEZ QUE UN CONTRATO ESTÉ POR FINALIZAR, EL SISTEMA DE GESTIÓN DE
CONTRATOS EMITE UNA ALERTA A LAS ÁREAS QUE PARTICIPARON EN LA SOLICITUD DE
GENERACIÓN Y APROBACIÓN DEL CONTRATO, PARA TOMAR LAS ACCIONES RESPECTIVAS
DE RENOVACIÓN O NO.
c. CADA VEZ QUE SE FIRMA UN CONTRATO, SE ENVÍA EL FÍSICO AL PROVEEDOR DE
ALMACENAMIENTO Y UNA COPIA AL ÁREA DE COMPRAS PARA SU ARCHIVO.
d. CADA VEZ QUE SE FIRMA Y APRUEBA UN CONTRATO, QUEDA REGISTRADO DIGITALMENTE
EN LA BITÁCORA DE FLUJO DE ESTADOS DEL SISTEMA DE GESTIÓN DE CONTRATOS.
2. IDENTIFIQUE QUE FACTORES FALTAN PARA QUE SEA UN DISEÑO ADECUADO DE CONTROL, DE
ACUERDO A LOS SIGUIENTES ENUNCIADOS QUE TIENE LA ENTIDAD COMO CONTROL:
a. CADA VEZ QUE SE EMITE UN CHEQUE, SE EMITE CON LA CONDICIÓN DE "NO
NEGOCIABLES", CON LO CUAL SE REDUCE LA POSIBILIDAD DE QUE EL CHEQUE SEA
COBRADO POR UNA PERSONA DISTINTA A LA QUE SE HA GIRADO.
b. CUANDO SE REQUIERA, EL JEFE DE CONTABILIDAD Y LA SUPERVISORA DE TAXES
REVISAN LAS FACTURAS DE SERVICIOS PARA EVALUAR QUE SE HA GENERADO LA
DETRACCIÓN EN CASO CORRESPONDA. COMO EVIDENCIA COLOCAN SU V° B° EN LA
FACTURA Y ENVÍA A LA ANALISTA DE TESORERÍA PARA EL CORRESPONDIENTE REGISTRO
Y PAGO.

146. SI BIEN LA AUDITORÍA CONTINUA SE PUEDE UTILIZAR EN CUALQUIER ÁREA DE LA ORGANIZACIÓN, UN SIMPLE EJEMPLO
QUE INCLUYE CUENTAS A PAGAR (CP) MUESTRA LAS FORTALEZAS DE ESTE ENFOQUE CUANDO SE LO APLICA A UNA
AUDITORÍA ESPECÍFICA. EN EL EJEMPLO, SE SUPONE QUE EXISTEN NUMEROSOS CENTROS DE PROCESAMIENTO DE CP
SEPARADOS, DE DIFERENTES TAMAÑOS, QUE LLEVAN A CABO FUNCIONES SIMILARES.
EL EJEMPLO SE UTILIZARÁ PARA ANALIZAR CUATRO OBJETIVOS PRINCIPALES:
1. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS EN RELACIÓN CON LOS PROCESOS DE CP.
2. IDENTIFICACIÓN DE LAS TENDENCIAS RELACIONADAS CON EL DESEMPEÑO Y LA EFICIENCIA.
3. IDENTIFICACIÓN DE DEFICIENCIAS DE CONTROL, ANOMALÍAS ESPECÍFICAS Y FRAUDES POTENCIALES.
4. RASTREO DE LA IMPLEMENTACIÓN DE RECOMENDACIONES DE AUDITORÍA Y SU EFECTO EN LAS OPERACIONES DE
CUENTAS A PAGAR.
EN CADA CASO, EL ANÁLISIS CONSIDERARÁ LAS TENDENCIAS EN EL TRANSCURSO DEL TIEMPO Y COMPARARÁ LA
SECCIÓN DE CP BAJO REVISIÓN CON LOS OTROS GRUPOS DE CP DE LA ORGANIZACIÓN. EL USO DEL BENCHMARKING EN
LAS OPERACIONES DE CP EXTERNAS AGREGARÁ OTRA DIMENSIÓN A LA INSPECCIÓN.
EVALUACIÓN E IDENTIFICACIÓN DE RIESGOS
EN LA EVALUACIÓN DE RIESGOS INICIAL, SE DEBE INCLUIR UNA GRAN VARIEDAD DE FACTORES DE RIESGO
CONTROLADOS POR DATOS Y NO CONTROLADOS POR DATOS. LA EVALUACIÓN INTEGRAL DEL DESEMPEÑO DEL NEGOCIO
SE CENTRA EN EL COSTO, LA CALIDAD Y LAS MEDIDAS DE DESEMPEÑO BASADAS EN EL TIEMPO.
1. LAS MEDIDAS BASADAS EN EL COSTO CUBREN EL ASPECTO FINANCIERO, POR EJEMPLO, EL COSTO DE MANO DE
OBRA CORRESPONDIENTE A LAS CP.
2. LAS MEDIDAS BASADAS EN LA CALIDAD EVALÚAN EN QUÉ MEDIDA LOS PRODUCTOS O SERVICIOS DE UNA
ORGANIZACIÓN´SATISFACEN LAS NECESIDADES DE LOS CLIENTES, POR EJEMPLO, LA CANTIDAD PROMEDIO DE
ERRORES POR FACTURA.
3. LAS MEDIDAS BASADAS EN EL TIEMPO SE CENTRAN EN LA EFICIENCIA DEL PROCESO, POR EJEMPLO, LA CANTIDAD
PROMEDIO DE DÍAS PARA PAGAR UNA FACTURA.
TAMBIÉN ES POSIBLE DETERMINAR, EN CADA SECCIÓN DE CP, LOS TIPOS DE TRANSACCIONES Y LOS MONTOS EN
DÓLARES. POR EJEMPLO, CONSIDERE LA CANTIDAD DE ASIENTOS CORREGIDOS EN EL LIBRO DIARIO Y LAS REVISIONES
REALIZADAS MANUALMENTE.

147. SE TRATA DE INDICADORES DE CARGA DE TRABAJO ADICIONAL.
EL ANÁLISIS LE INDICARÁ TAMBIÉN CUÁNTOS TIPOS DIFERENTES DE TRANSACCIONES SE ESTÁN PROCESANDO.
EN TÉRMINOS GENERALES, LA COMPLEJIDAD ES MAYOR EN LAS OPERACIONES DONDE SE PROCESAN MÁS TIPOS DE
TRANSACCIÓN.
TAMBIÉN PUEDE EXAMINAR LOS COMPONENTES DE LA ESTRUCTURA ORGANIZATIVA, COMO LAS RELACIONES DE
SUMINISTRO DE INFORMES, CANTIDAD, CLASIFICACIÓN Y NIVEL DEL PERSONAL, TIEMPO EN EL TRABAJO, ÍNDICES DE
RETENCIÓN Y CAPACITACIÓN RECIBIDA.
ESTOS DATOS DEBEN ESTAR DISPONIBLES DESDE EL ÁREA DE RECURSOS HUMANOS.
LA COMBINACIÓN DE ESTE TIPO DE INFORMACIÓN CON LOS TIPOS Y VOLÚMENES DE TRANSACCIÓN PUEDE AYUDAR A
IDENTIFICAR ÁREAS DE RIESGO, COMO LA ESCASEZ DE PERSONAL O LA FALTA DE PERSONAL CAPACITADO PARA
MANEJAR TIPOS DE TRANSACCIÓN COMPLEJOS.
TENDENCIAS EN EL DESEMPEÑO Y LA EFICIENCIA
AL EVALUAR LAS CP, LOS DATOS DE TENDENCIAS IDENTIFICARÁN FÁCILMENTE CUESTIONES DE DESEMPEÑO Y
EFICIENCIA. POR EJEMPLO, PARA CADA OPERACIÓN DE CP, LA AUDITORÍA CONTINUA PUEDE DETERMINAR:
1. CANTIDAD, CLASIFICACIÓN Y NIVEL DEL PERSONAL DE CP.
2. CANTIDAD DE FACTURAS PROCESADAS POR CADA USUARIO EN CADA EXTREMO DEL ESPECTRO. (SI LA CANTIDAD ES
EXCESIVA O MUY REDUCIDA, SE VERÁ INCREMENTADO EL RIESGO).
3. COSTO PROMEDIO EN DÓLARES PARA PROCESAR UNA FACTURA.
4. CANTIDAD PROMEDIO DE DÍAS PARA PROCESAR UN PAGO.
5. PORCENTAJE DE FACTURAS PAGADAS DE MANERA ATRASADA O ANTICIPADA. (ESTO, EN PARTICULAR, REVELARÁ SI
NO SE ESTÁN TOMANDO LOS DESCUENTOS POR PAGO ANTICIPADO).
6. PORCENTAJE DE ASIENTOS AJUSTADOS.
7- PORCENTAJE DE PAGOS RECURRENTES O DE PAGOS CON TRANSFERENCIA ELECTRÓNICA DE FONDOS.
8. PORCENTAJE DE REVISIONES MANUALES.

148. 9. PORCENTAJE DE FACTURAS QUE NO HACEN REFERENCIA A UNA ORDEN DE COMPRA.
10. PORCENTAJE DE FACTURAS DE UN MONTO MENOR A US$500. (SE PODRÍA UTILIZAR UNA TARJETA CORPORATIVA
PARA LOGRAR MAYOR EFICIENCIA Y MENOR COSTO).
LAS MEDIDAS DE EFICIENCIA PERMITEN A LOS AUDITORES COMPARAR UN ÁREA DE AUDITORÍA CON OTRA MEDIANTE
UNA REPRESENTACIÓN GRÁFICA DE LOS RESULTADOS.
POR EJEMPLO, LOS GRÁFICOS A (MÁS ABAJO) Y B EN LA SIGUIENTE PÁGINA), ILUSTRAN QUE LA DIVISIÓN B PROCESA
LA MENOR CANTIDAD PROMEDIO DE TRANSACCIONES POR USUARIO E INCURRE EN EL COSTO DE MANO DE OBRA
DIRECTA MÁS ALTO POR TRANSACCIÓN; ESTE ES CLARAMENTE UN CANDIDATO PARA IMPLEMENTAR MEJORAS EN
CUANTO A EFICIENCIA OPERATIVA.
ANALIZAR LAS TENDENCIAS PUEDE AYUDAR A IDENTIFICAR NO SÓLO PROBLEMAS, SINO TAMBIÉN ESAS ÁREAS DONDE
SE HAN REALIZADO MEJORAS.
EL GRÁFICO C MUESTRA QUE LA DIVISIÓN D AÚN EVIDENCIA EL PORCENTAJE MÁS ALTO DE FACTURAS SIN REFERENCIA
A SU CORRESPONDIENTE ORDEN DE COMPRA, PERO LA DIVISIÓN HA EXPERIMENTADO MEJORAS IMPORTANTES
DURANTE EL AÑO ANTERIOR, MIENTRAS QUE EL PORCENTAJE DE LA DIVISIÓN G HA AUMENTADO.
IDENTIFICACIÓN DE DEFICIENCIAS DE CONTROL, ANOMALÍAS O FRAUDE POTENCIAL DENTRO DE CP, LAS POSIBLES
ANOMALÍAS Y MEDIDAS DE FRAUDE POTENCIAL SON LAS SIGUIENTES:
1. IDENTIFICACIÓN DE PAGOS DUPLICADOS. (AQUÍ SE DEBE INCLUIR UNA COMPARACIÓN CON LOS AÑOS ANTERIORES
PARA DETECTAR SI LAS OPERACIONES ESTÁN MEJORANDO).
2. FACTURAS PROCESADAS CONTRA ÓRDENES DE COMPRA QUE SE CREARON LUEGO DE LA FECHA DE FACTURACIÓN
(POR EJEMPLO, ÓRDENES DE COMPRA CON FECHA POSTERIOR A LA DE LA FACTURA).

149. 3. CANTIDAD DE FACTURAS QUE PASAN A LAS CUENTAS TRANSITORIAS.
4. IDENTIFICACIÓN DE NOMBRES DUPLICADOS EN EL LISTADO DE PROVEEDORES, PROVEEDORES CON NOMBRES
COMO C.A.J.A, SR., SRA. O PROVEEDORES SIN INFORMACIÓN DE CONTACTO, NÚMEROS DE TELÉFONO U OTRA
INFORMACIÓN CLAVE.
5. IDENTIFICACIÓN DE TODAS LAS FUNCIONES REALIZADAS POR CADA USUARIO PARA IDENTIFICAR LA
INCOMPATIBILIDAD O FALTA DE SEPARACIÓN DE FUNCIONES, POR EJEMPLO:
6. PROVEEDORES QUE FUERON CREADOS Y SON UTILIZADOS POR UN ÚNICO Y MISMO EMPLEADO DE CP.
7. CASOS EN LOS QUE EL USUARIO QUE INGRESA EL ASIENTO ES EL MISMO QUE APRUEBA EL PAGO.
8. CASOS EN LOS QUE EL BENEFICIARIO DE PAGO ES EL USUARIO QUE INGRESA EL ASIENTO O EL QUE LO APRUEBA.
SEGUIMIENTO DE LAS RECOMENDACIONES DE AUDITORÍA
EL OBJETIVO FINAL DE LA EVALUACIÓN CONTINUA DE RIESGOS ES EL SEGUIMIENTO DE LAS RECOMENDACIONES.
EL OBJETIVO ES DETERMINAR SI LA DIRECCIÓN HA IMPLEMENTADO LAS RECOMENDACIONES Y SI ESTAS TIENEN EL
EFECTO DESEADO. LAS POSIBLES MEDIDAS SON:
1. EVIDENCIA DEL AUMENTO DEL USO DE TARJETAS CORPORATIVA PARA TRANSACCIONES DE POCO MONTO EN
DÓLARES (POR EJEMPLO, REDUCCIÓN DEL PORCENTAJE DE FACTURAS MENORES DE $500 E INCREMENTO DEL
PORCENTAJE DE PAGOS DE MENOS DE $500 EFECTUADOS CON TARJETA CORPORATIVA).
2. REDUCCIÓN DE NOMBRES DUPLICADOS EN EL LISTADO PRINCIPAL DE PROVEEDORES.
3. DISMINUCIÓN DE LA CANTIDAD Y EL VALOR EN DÓLARES DE FACTURAS DUPLICADAS.
4. MEJORAS EN CUANTO A LOS MONTOS EN FUNCIÓN DE LA FECHA DE PAGO (POR EJEMPLO, REDUCCIÓN EN LOS
CARGOS POR PAGO ATRASADO; MÁS OPORTUNIDADES PARA OBTENER DESCUENTOS POR PAGO ADELANTADO).
5. MEJORAS EN LAS OPERACIONES (POR EJEMPLO, MENOR COSTO POR FACTURA, MÁS CANTIDAD DE PAGOS
EFECTUADOS POR TRANSFERENCIA ELECTRÓNICA DE FONDOS [EFT, EN INGLÉS]).
6. RIGUROSO ACCESO DE USUARIOS BASADO EN SUS ROLES QUE LIMITA LAS POSIBILIDADES DE FRAUDE,
DESPERDICIO Y ABUSO (POR EJEMPLO, MENOS CASOS DE FALTA DE SEGREGACIÓN DE FUNCIONES).

150. EL GRÁFICO D MUESTRA CÓMO SE PUEDE UTILIZAR LA EVALUACIÓN CONTINUA DE RIESGOS PARA DETERMINAR SI EN
LAS OPERACIONES DE CP DE CADA DIVISIÓN SE HA IMPLEMENTADO CON ÉXITO LA RECOMENDACIÓN QUE EXIGE QUE SE
UTILICEN TARJETAS CORPORATIVAS PARA TRANSACCIONES DE BAJO MONTO EN DÓLARES.
DEBIDO A QUE TODOS LOS AÑOS INGRESAN MILLONES DE TRANSACCIONES EN UNA GRAN CANTIDAD DE CENTROS DE
PROCESAMIENTO DE CP, LA ACTIVIDAD DE AUDITORÍA PUEDE RESULTAR EFICAZ Y EFICIENTE MEDIANTE EL USO DE LA
TECNOLOGÍA DE AUDITORÍA CONTINUA.
LA AUDITORÍA CONTINUA AYUDA A DEFINIR LOS OBJETIVOS DE AUDITORÍA, A SELECCIONAR OFICINAS PARA EL
TRABAJO DE AUDITORÍA EN EL LUGAR Y A IDENTIFICAR ANOMALÍAS Y DEBILIDADES DE CONTROL.
POR ÚLTIMO, LA AUDITORÍA CONTINUA PERMITE A LOS AUDITORES REALIZAR UN SEGUIMIENTO, EN FORMA
ELECTRÓNICA, DE LA IMPLEMENTACIÓN DE LAS RECOMENDACIONES DE AUDITORÍA, SIN QUE SEA NECESARIO
TRASLADARSE PERSONALMENTE A LAS DIVERSAS OFICINAS PARA EFECTUAR LA REVISIÓN MANUAL DE LAS
TRANSACCIONES.

153. 1. ENORME SALIDA FINANCIERA.
2. MUY ALTO VOLUMEN DE TRANSACCIONES.
3. INVOLUCRANDO MÚLTIPLES DEPARTAMENTOS Y SISTEMAS.
4. MÚLTIPLES ARCHIVOS DE DATOS A SER COMPARADOS Y
RECONCILIADOS.
5. INTERVENCIÓN DE PERSONAL EXTERNO.

154. 1. INFORME DEL ÁREA SOLICITANTE DEL
2. VALOR REFERENCIAL
3. REQUERIMIENTO DE COMPRAS
4. EXPEDIENTE TÉCNICO.
5. CONTRATOS Y ADENDAS
6. ORDENES DE COMPRA
7. FACTURAS
8. PAGOS
9. MAESTRO DE EMPLEADOS
10. MAESTRO DE PROVEEDORES/SUPLIDORES
11. MAESTRO DE LISTA DE PRECIOS.
12. BALANCE DE LOS BIENES ADQUIRIDOS, INGRESADOS, UTILIZADOS,
DEVUELTOS, STOCK ALMACÉN.

155. 1. PRUEBA COMPARANDO NÚMERO DE
PRODUCTOS Y PRECIOS UNITARIOS
CONTRA ORDEN DE COMPRA Y FACTURA.
2. COMPARAR FACTURA DE PRECIO
UNITARIO CONTRA EL PRECIO UNITARIO
ESTÁNDAR.
3. DETECTAR PAGOS DUPLICADOS.
4. CONFLICTOS DE INTERESES ENTRE EL
PROVEEDOR-EMPLEADO.
5. ANÁLISIS DE TENDENCIA POR EMPLEADO,
PROVEEDOR Y PRODUCTO.
6. IDENTIFICAR OPORTUNIDADES PARA
INCREMENTAR LA EFICIENCIA
OPERACIONAL.

156. 1. IDENTIFICAR ARCHIVOS
RELEVANTES
2. VINCULAR MÚLTIPLES
ARCHIVOS LÓGICAMENTE
3. EJECUTAR PRUEBA DE
EXCEPCIÓN
4. AGREGAR EXCEPCIONES
MEDIANTE INDICADORES
CLAVES POR MATERIALIDAD

158. CASO PRÁCTICO
MODELO DE AUDITORÍA CONTINUA EN FLEXI HACER DESCRIPCIÓN DE LA EMPRESA FLEXI ACER.
(SE TRATA DE UNA EMPRESA FICTICIA. LOS DATOS QUE SE INCLUYEN EN ESTE SUPUESTO PRÁCTICO NO HAN SIDO
EXTRAÍDOS DE NINGUNA EMPRESA REAL).
DESCRIPCIÓN
TRABAJA DE FORMA INDUSTRIAL CON COMPONENTES DE ACERO PARA CONSTRUIR MOBILIARIO URBANO (POR
EJEMPLO, PAPELERAS, BARANDILLAS, ETC). TIENEN LA SEDE EN MÁLAGA, PLANTAS DE FABRICACIÓN EN MÁLAGA,
MADRID, BARCELONA Y MÉXICO Y FILIALES
COMERCIALES INTERNACIONALES EN ALEMANIA, ITALIA, MÉXICO, EEUU Y ARGENTINA.
EN TOTAL, FACTURA ALREDEDOR DE 1.000 MILLONES DE EUROS ANUALES, ESPECIALMENTE FUERA DE ESPAÑA.
TIENE UN TOTAL DE 2.500 EMPLEADOS REPARTIDOS POR EUROPA Y AMÉRICA.
SITUACIÓN
LA CAÍDA DE VENTAS, COMO EFECTO DE LA MENOR ACTIVIDAD INDUSTRIAL, HA IMPACTADO EN SU CUENTA DE
RESULTADOS. ESTO HA PROVOCADO:
1. AUMENTO DEL NIVEL DE FRAUDE INTERNO. EL ESQUEMA RETRIBUTIVO ESTABLECIDO AL PERSONAL DE SUS
FILIALES SE BASA EN INCENTIVAR EL RESULTADO OBTENIDO EN LAS MISMAS, LO CUAL HA LLEVADO A MÚLTIPLES
INTENTOS DE FRAUDE POR PARTE DE RESPONSABLES EN DIFERENTES FILIALES, QUE HAN PROCURADO
ENMASCARAR LA CIFRA DE VENTAS O DIFERIR PÉRDIDAS, OCULTANDO DETERMINADOS INDICADORES QUE
AFECTAN AL RESULTADO, O DIFIRIENDO COSTES DE UN EJERCICIO A OTRO.
2. REDUCCIÓN DEL MARGEN DE BENEFICIO. LA NECESIDAD DE DETENER LA CAÍDA DE NEGOCIO HA LLEVADO A
ACUERDOS DE DUDOSA RENTABILIDAD Y CAÍDAS DE MÁRGENES, HASTA DEJAR LA CUENTA DE ALGUNAS FILIALES
EN SITUACIÓN COMPROMETIDA, QUE PUEDE AFECTAR A LA VIABILIDAD DE LA ORGANIZACIÓN.
3. CAMBIOS EN LA ORGANIZACIÓN. ANTE LA NECESIDAD DE AUMENTAR EL ENTORNO DE CONTROL EN LA
ESTRUCTURA DE LA SOCIEDAD, Y DE REDUCIR EL NIVEL DE GASTOS, SE ESTÁN AGRUPANDO LAS ACTIVIDADES
REALIZADAS EN FILIALES, MEDIANTE LA CENTRALIZACIÓN DE SERVICIOS EN AGRUPACIÓN DE INTERÉS
ECONÓMICO (AIE) QUE PRESTAN SU APOYO A LAS DISTINTAS FILIALES DEL GRUPO.

159. ENTORNO DE CONTROL
BASADO EN UN ESQUEMA DE TRES LÍNEAS DE DEFENSA:
1. 1ª LÍNEA: GESTIÓN OPERATIVA REALIZADA.
➢ DESDE LAS DISTINTAS ÁREAS OPERATIVAS DE CADA UNA DE LAS FILIALES.
➢ DESDE LAS ÁREAS OPERATIVAS DE FASES DEL NEGOCIO CENTRALIZADO EN AIE.
➢ DESDE LAS ÁREAS DE CENTRAL QUE GESTIONAN LA REALIZACIÓN DE FUNCIONES A NIVEL GRUPO. SON
FINANZAS, RR HH, TI Y ADMINISTRACIÓN.
2. 2ª LÍNEA: A NIVEL GRUPO. LA SOCIEDAD DISPONE DE LAS SIGUIENTES ÁREAS DE CONTROL QUE AFECTAN A LA
MATRIZ Y A TODAS LAS FILIALES DEL GRUPO:
❖ CONTROL FINANCIERO Y DE GESTIÓN.
❖ SEGURIDAD EN LA INFORMACIÓN.
❖ GESTIÓN DE RIESGOS CORPORATIVOS.
❖ CALIDAD.
❖ CUMPLIMIENTO.
❖ CONTROL INTERNO.
3. 3ª LÍNEA: AUDITORÍA INTERNA.
 UBICADO EN LA SEDE CENTRAL, FORMADO POR 3 AUDITORES MÁS UN DIRECTOR DE AUDITORÍA INTERNA.
 DEDICAN MÁS DEL 50% DE SU TIEMPO A VISITAS PRESENCIALES EN LAS DISTINTAS SEDES, VALIDANDO
PROCEDIMIENTOS Y REALIZANDO REVISIONES PERIÓDICAS.
 DEPENDE DIRECTAMENTE DEL CEO.
 REPORTA A UN COMITÉ DE AUDITORÍA, INTEGRADO POR CONSEJEROS INDEPENDIENTES DE LA SOCIEDAD.

160. HERRAMIENTAS PARA EL CONTROL INTERNO
LA 2ª LÍNEA DE DEFENSA DISPONE DE LAS SIGUIENTES HERRAMIENTAS Y APLICACIONES PARA UN ADECUADO
SEGUIMIENTO DEL SISTEMA DE CONTROL INTERNO.
1. MAPAS DE PROCESOS. IDENTIFICA EN TRES NIVELES
LOS DISTINTOS PROCESOS QUE COMPONEN LA SOCIEDAD. A NIVEL 1, SERÍAN:
▪ ASESORÍA JURÍDICA.
▪ ATENCIÓN AL CLIENTE.
▪ COMERCIAL.
▪ COMUNICACIÓN.
▪ CONTABILIDAD.
▪ INMUEBLES Y LOGÍSTICA.
▪ FISCAL.
▪ INVERSIONES FINANCIERAS.
▪ PLANIFICACIÓN Y ANÁLISIS DE GESTIÓN.
▪ RECURSOS HUMANOS.
▪ SISTEMAS DE INFORMACIÓN.
▪ GESTIÓN DE RIESGOS.
▪ SUPERVISIÓN Y CONTROL INTERNO.
▪ PROVEEDORES.
▪ VENTAS.
▪ FACTURACIÓN Y COBRO.

161. MAPAS DE RIESGOS.
LA SOCIEDAD AGRUPA A SUS DISTINTOS RESPONSABLES DE ÁREAS EN “RESPONSABLES DE RIESGOS” ENCARGADOS DE
DEFINIR Y VALORAR LOS RIESGOS QUE LES AFECTAN DE ESTA FORMA, CONFIGURA UN MAPA DE RIESGOS,
BASADO EN TRES NIVELES, QUE INCLUYEN:
1. DESCRIPCIÓN DEL RIESGO.
2. CAUSAS.
3. CONTROLES MITIGANTES.
4. VALORACIÓN ANTES DE CONTROLES.
5. VALORACIÓN DESPUÉS DE CONTROLES. (LA VALORACIÓN SE BASA EN UN ESQUEMA DE PROBABILIDAD E IMPACTO).
A PRIMER NIVEL, CLASIFICA LOS RIESGOS EN LOS SIGUIENTES GRUPOS:
1. CRÉDITO (DE COBRO, …).
2. FINANCIERO (TIPO DE INTERÉS, VALORACIÓN INVERSIONES, …).
3. OPERACIONAL.
4. REGULATORIO.
5. NEGOCIO.
SISTEMAS DE INFORMACIÓN. DISPONE DE:
1. DATA WAREHOUSE, CON INFORMACIÓN DE TODAS LAS VARIABLES QUE CONSIDERA PARA SEGUIMIENTO DE LA
ACTIVIDAD DE TODAS LAS UNIDADES DE LA ORGANIZACIÓN.
2. WORK FLOW EN LA INTRANET, CON ASIGNACIÓN DE FUNCIONES A TODOS LOS EMPLEADOS DE LA ORGANIZACIÓN,
IDENTIFICANDO ACCIONES ANTE DETERMINADOS ASPECTOS PROGRAMADOS.
3. PAQUETE CONTABLE INTEGRADO EN SAP, QUE CUENTA CON UN MÓDULO DE GESTIÓN DE ALMACENES Y
MATERIALES. ALGUNAS UNIDADES PUEDEN UTILIZAR OTRO SISTEMA, AUNQUE LA EMPRESA ESTÁ EN UN PROCESO
DE UNIFICACIÓN DE LOS MISMOS.
4. PARA GESTIÓN DE COSTES Y MÁRGENES OPERATIVOS CUENTAN CON UN SISTEMA DE BUSINESS INTELLIGENCE (BI)
DE RECIENTE IMPLANTACIÓN.
5 .APLICATIVO DE AUDITORÍA INTERNA ENFOCADO A UN ESQUEMA DE PROGRAMAS DE TRABAJO Y REALIZACIÓN DE
INFORMES, ENFOCADO A LOS SISTEMAS TRADICIONALES DE AUDITORÍA OPERATIVA.
ESTOS SON LOS ASPECTOS PREVIOS CONSIDERADOS, ANTES DE DEFINIR LA IMPLANTACIÓN DE UN MODELO DE
AUDITORÍA CONTINUA. PARA DESARROLLARLO, HACE FALTA REVISAR EL TRABAJO QUE REALIZAN TODOS LOS
IMPLICADOS, PUES EXISTE EL RIESGO DE DUPLICAR ÁREAS.