LA AUDITORÌA CONTINUA, UN MODELO COMPLEMENTARIO QUE PERMITE

AGREGAR VALOR A LA AUDITORÌA MODERNA.

Por: Francisco Javier Valencia Duque*

CISA-CRISC-COBIT Foundations Universidad Nacional de Colombia (Sede Manizales)

Presentación

Tratar de adelantarnos en el tiempo para poder aventurarnos a predecir lo que

pasará en el futuro, en este caso el futuro de la auditoría, es poco probable, sin

embargo, podemos intentar anticiparnos a lo que va a suceder, si articulamos

adecuadamente el conocimiento disponible, explotando lo que sabemos del pasado

y del presente. Este es el objetivo del ensayo que a continuación se presenta, el

cual gira alrededor de uno de los temas que ha venido emergiendo desde hace

cerca de 25 años, cuando autores como Groomer y Murthy en 1989 publicaron los

primeros papers alrededor del tema (Kogan, Alles, & Vasarhelyi, 2010), pero que a

la fecha no ha sido aún incorporado de forma masiva en las organizaciones. La

Auditoría Continua.

Para ello se tomará como punto de partida, los retos, tendencias, expectativas y

prioridades que afronta actualmente la auditoría interna, en la búsqueda de agregar

valor a la organización, a través del uso de las Tecnologías de Información y

Comunicaciones (en adelante TIC). Sin embargo para poder tener una visión

integral de las TIC en los procesos de auditoría, debemos, con una mirada

retrospectiva, comprender históricamente como se ha venido incorporando el uso

de las TIC en el proceso auditor y cuáles han sido los aportes que diferentes autores

y organizaciones cercanas al mundo de la auditoría han planteado para hacer de

esta función estratégica, una labor con mayores niveles de eficacia y eficiencia, en

beneficio del proceso auditor en particular y de la organización en general.

A partir de esta revisión histórica podemos introducirnos en la Auditoría Continua,

una de las tecnologías más importantes para el desarrollo de la auditoría moderna,

considerada por algunos autores, como el nuevo paradigma de la auditoría.

Con una exhaustiva revisión bibliográfica de sus orígenes, conceptos, contrastes

con la auditoría tradicional y un análisis comparativo de las metodologías de

Auditoría Continua planteadas por cuatro (4) de las principales organizaciones a

nivel internacional que agrupan a contadores y auditores, se formulará una

metodología unificada que recoja las principales fases y actividades a desarrollar en

un proceso de Auditoría Continua, como herramienta base para disminuir la

complejidad que puede representar para un auditor el desarrollo de este tipo de

procesos ante la existencia de diversas metodologías.

Es importante destacar que la Auditoría Continua no entra a reemplazar la auditoría

tradicional, lo que hace es complementar una auditoría que mira retrospectivamente

los hechos, con un modelo proactivo, que se fundamenta en una auditoría predictiva

y preventiva, fundamentada en el uso intensivo de las TIC como herramientas que

apalancan el proceso auditor.

1. Retos, tendencias, expectativas y prioridades que afronta la Auditoría

Interna. Una perspectiva desde las TIC.

Las organizaciones han sido transformadas por las Tecnologías de Información y

Comunicaciones, lo que ha permitido que no existan fronteras de espacio, ni de

tiempo para desarrollar los negocios, generando organizaciones ubicuas, con la

capacidad de desarrollar sus operaciones en diferentes partes del mundo de forma

simultánea, las 24 horas del día, los 7 días de la semana, durante los 365 días del

año, dando respuesta en tiempo real a los cambios que se pueden suscitar en su

entorno de negocios inmediato. Sin embargo la auditoría aún no ha evolucionado a

la par de estas organizaciones, desarrollando sus procesos de auditoría de forma

tardía; días, meses e inclusive años después de que ocurren los eventos

económicos en las organizaciones, llevando a cabo un control tardío de los eventos

económicos, detectando anomalías e irregularidades y en general incumplimiento

de reglas de negocio mucho tiempo después de que ocurrieron, y generando

reportes tardíos que ya no tienen valor para la organización, o si aún lo tienen, ya

han perdido mucho de él.

Bajo la premisa de que los negocios en tiempo real, son impulsados por procesos

en tiempo real y por lo tanto requieren de un control en tiempo real, es necesario

que la auditoría responda a estos retos y uno de los mecanismos para lograrlo es

hacer un uso intensivo de las TIC como parte del proceso auditor, que agregue

valor en su función de aseguramiento.

Diversas investigaciones originadas en el sector productivo y la academia plantean

retos que debe afrontar la auditoría interna para cumplir con uno de los principales

elementos que componen su definición –agregar valor- , elemento que ha sido

cuestionado en algunos de estas investigaciones, y que es ratificado por el Instituto

de Auditores Internos, en su editorial del último número de la revista Internal Auditor

al establecer: “En el 2014 las partes interesadas de auditoría interna dejaron

perfectamente en claro que existe una brecha entre lo que esperan de auditoría

interna y lo que reciben” (Millage, 2014,30).

Recientemente el estudio sobre el estado de la profesión de auditoría interna en

2014 elaborado por PricewaterhouseCoopers establece que tan solo el 45% de los

altos directivos consideran que la auditoría interna aporta un valor significativo a la

organización (PWC, 2014), por su parte la encuesta global a Directores miembros

de comités de auditoría de 21 países llevada a cabo por KPMG y dada a conocer

en Marzo de 2013 plantea que tan solo el 37% de las compañías Latinoamericanas,

están convencidos del valor que entrega a la compañía el área de auditoría interna

(KPMG, 2013).

Si bien, son diversos los factores que han llevado a generar estos porcentajes

relativamente bajos, existe un elemento en común que han planteado estos y otros

estudios alrededor de los retos, tendencias, expectativas y prioridades que tiene la

auditoría para incrementar el valor esperado de su función en la organización, y es

el uso intensivo de las Tecnologías de Información y Comunicaciones en los

procesos de auditoría. Ello obedece fundamentalmente a que las TIC ya no son

simplemente recursos de apoyo en la organización, sino que son parte del negocio,

como es el caso específico de las entidades bancarias.

Es así como el Instituto de Auditores internos de España en uno de sus últimos

documentos del tanque del pensamiento, al plantear los retos futuros para la

auditoría interna de las entidades de crédito, establece, en relación con los

controles: “La Auditoría Interna se apoyará cada vez más en un examen del

funcionamiento de controles automáticos y un mayor tratamiento masivo de datos,

para lo que será necesaria la evolución de las herramientas informáticas que

permitan dichas capacidades”(Instituto de Auditores Internos de España, 2014,9); y

en relación a los riesgos: “El empleo de técnicas de tratamiento masivo de datos

facilita alcanzar la cobertura de Auditoría Interna, mejorar la cuantificación de las

incidencias y mejorar la comprensión de los riesgos” (Instituto de Auditores Internos

de España, 2014,32); complementado con “La tecnología no solo ayudará a

detectar el riesgo de TI, también permitirá su integración en la realización de

trabajos de auditoría a través del análisis masivo de datos. Este hecho

proporcionará la posibilidad de detectar los riesgos de una forma más eficaz sin

incurrir en un mayor coste”(Instituto de Auditores Internos de España, 2014,34).

En el resumen de las tendencias planteadas por este documento para las áreas de

auditoría interna de las entidades de crédito, se plantean 17 tendencias, con

aproximadamente 44 expectativas distribuidas en 4 categorías: recursos humanos,

estructura organizativa, enfoque alcance y organización de revisiones, y recursos

técnicos y medios, de las cuales cerca del 30% de las expectativas, en 3 de las 4

categorías están relacionadas de manera directa con las TIC, como se puede

observar en la tabla 1.

Tabla 1. Retos y expectativas de futuro para la Auditoría Interna de las entidades de crédito relacionadas con Tecnologías

de Información y Comunicaciones.

TENDENCIA EXPECTATIVA

RECURSOS HUMANOS

Aumentarán las auditorías de

equipos integrados por miembros

con distintas especializaciones,

hasta consolidar la figura del

superauditor que aglutine

conocimientos de áreas

relevantes

No se entiende un proceso de negocio sin la

tecnología.

Difícil que un auditor pueda saber de todo,

incluido TI.

No centrarse solo en riesgos de TI.

ENFOQUE, ALCANCE Y ORGANIZACIÓN DE REVISIONES

Disminuirá progresivamente la

auditoría tradicional/presencial de

oficinas, que pasará a tener

menos importancia en términos

Se intensificará el uso de herramientas que

permiten auditar a distancia gracias al uso de

la tecnología en los procesos

Podrían desaparecer los ciclos de revisión de

oficinas siendo visitadas sólo cuando se

de recursos y número de oficinas

revisadas

produzcan determinadas señales de alerta

concretas

Aumentarán los procedimientos

de auditoría a distancia y se

extenderán a otras áreas distintas

al control de la red comercial.

Aumentará la auditoría a distancia de otros

riesgos ajenos a la red de oficinas (TI, capital,

liquidez, etc).

Aumentará la evaluación

dinámica de los riesgos para

determinar los trabajos de

auditoría a realizar

La Auditoría Continua se usará para

alimentar dinámicamente los riesgos.

RECURSOS TÉCNICOS Y MEDIOS

Los equipos de Auditoría Interna

se apoyarán más en la

verificación del correcto

funcionamiento de determinados

controles automáticos y en el

tratamiento masivo de datos para

obtener conclusiones e indicios.

Las conclusiones de las auditorías se

basarán cada vez más en:

- Los resultados de pruebas masivas de

datos y menos en muestreos estadísticos.

- Pruebas de controles automáticos en los

procesos de negocio.

Posibilidad de explotar cantidades ingentes

de datos, correlacionando información, para

detectar tendencias y patrones así como

incidencias puntuales.

La evolución de los negocios y de

la tecnología irá acompañada de

un progresivo uso de

herramientas informáticas como

apoyo a las auditorías.

La evolución de la Auditoría Continua

dependerá de la capacidad de la explotación

masiva de datos.

Necesidad de herramientas informáticas que

permitan la explotación masiva de datos.

Los auditores internos deben ser

conocedores del manejo de estas

herramientas informáticas.

Fuente: construido a partir de (Instituto de Auditores Internos de España, 2014b)

Sin embargo, no es solo este informe el que ha planteado tales retos alrededor de

las TIC, también existen otra serie de estudios e informes de organizaciones

cercanas a la función de auditoría, entre las que se destacan la encuesta aplicada

por Protiviti (2014), a más de 600 ejecutivos de auditoría en diferentes países del

mundo, orientada a conocer las necesidades y capacidades de los auditores

internos frente a los riesgos emergentes y ser proactivo ante los cambios que se

generan en las organizaciones, quienes priorizan los siguientes aspectos

tecnológicos en los procesos de auditoría:

- Social media, aplicaciones móviles, cloud computing y seguridad

- Técnicas de Auditoría Asistidas por Computador (CAATs en inglés) y análisis

de datos.

- Gestión de fraudes centrados en la Tecnología.

- Cumplimiento de leyes y cambios normativos

- Colaboración con otros miembros de la empresa para compartir experiencias

y comunicar el valor que aporta la auditoría a la organización.

Por su parte la firma Thomson Reuters Accelus en su encuesta anual del estado

de la Auditoría interna en el 2014, donde participaron cerca de 900 auditores

internos en aproximadamente 50 países del mundo y ante la pregunta de cuáles

deben ser las principales prioridades de la función de auditoría interna en su

organización, se obtuvieron como prioridad, el aseguramiento de los procesos de

control interno, con un 63% aproximadamente, seguido de la seguridad y riesgos de

Tecnologías de Información, con un 54%, incrementándose en relación con la

encuesta aplicada en los dos años anteriores(Thomson Reuters, 2014).

De igual forma, el estudio sobre el estado de la profesión de auditoría interna llevado

a cabo por PricewaterhouseCoopers (PwC) en 2014, plantea a partir de las

respuestas de 1920 directivos relacionados con la auditoría en cerca de 37 países

como hoja de ruta para contar con una auditoría interna eficaz, alinear 8 atributos,

como se puede observar en la figura 1, entre los cuales se encuentra la Tecnología,

donde se requiere el empleo de técnicas avanzadas de análisis de datos, utilizando

las técnicas de Auditoría Continua para incrementar la cobertura y proporcionar

indicadores tempranos de advertencia sobre posibles riesgos(PWC, 2014).

Figura 1. Atributos para una Auditoría Interna eficaz.

Fuente: (PWC, 2014)

Por último, KPMG & Instituto de Auditores Internos de España (2015) a través de

su documento “Visión 2020. Desafíos de Auditoría Interna en el horizonte 2020”

plantea la relación del auditor interno con las nuevas tecnologías en tres niveles

diferentes: En primer lugar, está la forma en que la tecnología está presente

actualmente en todas las transacciones de una empresa, lo que implica un cambio

en la planificación de las pruebas de auditoría tradicionales; en segundo lugar, las

nuevas tecnologías ofrecen al auditor una serie de posibilidades para profundizar

en su trabajo, aumentar el rendimiento del mismo y permitir un mayor control sobre

cualquier tipo de operación; y en tercer lugar, el desarrollo de nuevas tecnologías

conlleva a un nuevo campo que debe ser objeto de supervisión por parte del auditor.

En resumen, son diversos los estudios alrededor de la Auditoría interna que

coinciden en la importancia que representan las TIC para el desarrollo eficaz y

eficiente de los procesos de Auditoría, en la búsqueda permanente de hacer de la

auditoría, una función cada vez más pertinente, ajustada a las necesidades y retos

que impone el negocio, y como medio para agregar valor a la organización.

2. Las Tecnologías de Información y Comunicaciones en los procesos de

Auditoría. Una visión retrospectiva.

Los procesos de Auditoría manual son inadecuados en este entorno cada vez más

complejo (Vasarhelyi, 1984). Estas palabras expresadas en 1984 por uno de los

autores más prolíficos en materia de Auditoría Continua, es mucho más vigente hoy,

que hace 31 años. Sin embargo, a pesar del tiempo y la evolución tecnológica que

han tenido las organizaciones, el uso de las TIC en la auditoría no ha sido un tema

prioritario en las áreas de auditoría, así lo demuestran diferentes estudios realizados

principalmente por las agremiaciones y firmas de auditoría a nivel internacional.

No obstante, históricamente la academia y las agremiaciones de auditores han

aportado a lo que se ha denominado de forma genérica como Técnicas y

Herramientas de Auditoría Asistidas por Computador (en adelante CAATT por sus

siglas en inglés, de Computer Assisted Audit Tools and Techniques) para referirse

al uso de las TIC en auditoría.

De manera inicial, es pertinente resumir las diferentes normas que se han

promulgado alrededor del uso de las TIC en los procesos de auditoría, las cuales

son resumidas en la tabla 2, donde se puede concluir, que en particular los

organismos que agrupan contadores y auditores, no han sido ajenos a la

importancia que representa este importante recurso en los procesos de auditoría.

Tabla 2. Resumen de las principales normas y estándares alrededor de las

Tecnologías de Información y Comunicaciones en la Auditoría.

ENTIDAD

EMISORA

NORMA DESCRIPCIÓN

AICPA SAS No 3 Efectos del procesamiento electrónico de

datos sobre el estudio y evaluación de los

controles internos por parte del auditor

AICPA SAS No 48 Los efectos del procesamiento en

computador sobre el examen de los estados

financieros

AICPA SAS No 94 El efecto de la Tecnología de información en

la consideración del control interno del

auditor, en una auditoria de declaraciones

financieras

IFAC ISA 401 Auditoría en un ambiente de sistemas de

información por computador.

IFAC Declaración

Internacional 1001

Ambientes de Sistemas de Información de

cómputo (CIS)-Microcomputadoras

independientes.

IFAC Declaración

Internacional 1002

Ambiente de Sistemas de Información de

cómputo (CIS)-Sistemas de computadoras

en línea.

IFAC Declaración

Internacional 1003

Ambientes de Sistemas de Información de

cómputo (CIS)-Sistemas de base de datos

IFAC Declaración

Internacional

1008

Evaluación del riesgo y el control interno –

Características y consideraciones del

Sistema de Información de cómputo (CIS)

IFAC Declaración

internacional 1009

Técnicas de auditoria con ayuda del

computador.

IFAC Declaración

Internacional 1013

Comercio electrónico – efecto en la auditoria

de estados financieros

ISACA Guía 3 Uso de Técnicas de Auditoría Asistidas por

Computador

IIA Consejos para la

práctica 1220-2,

Norma relacionada

1220.A2

Debido cuidado profesional. Al ejercer el

debido cuidado profesional el auditor interno

debe considerar la utilización de

herramientas de auditoria asistidas por

computador y otras técnicas de análisis de

datos.

Fuente: Elaboración propia

Por su parte, la academia no ha estado al margen de la relación TIC-auditoría, y

existe una posición de diversos autores como (Pinilla Forero, 1997;Loh, 2002;

Cerullo & Cerullo,2003;Smieliauskas & Bewley,2010) quienes han planteado un

enfoque para abordar el uso del computador por parte de los auditores, a partir de

tres perspectivas: La auditoría alrededor del computador, la auditoría a través del

computador y la auditoría con el computador.

La auditoría alrededor del computador (Auditing around the computer), consiste

en conciliar los documentos fuente asociados a las transacciones de entrada al

computador con los resultados generados por este, mientras que el procesamiento

realizado por la aplicación de computador es tratado como una caja negra (Braun &

Davis,2003). Para Smieliauskas & Bewley (2010), fue el primer enfoque utilizado

por los auditores, con la aparición del computador, y es adecuado su uso si los

controles y el sistema de información proporcionan suficiente evidencia visible. Es

el enfoque más simple de utilizar, en el cual se requieren bajos conocimientos en

TIC, sin embargo, no es un enfoque adecuado para evaluar la efectividad de los

controles en los sistemas de información.

La auditoría con el computador (Auditing with the computer), es asociado por

autores como Cerullo & Cerullo (2003) y Smieliauskas & Bewley (2010) con el uso

de software generalizado de auditoría (Generalized Audit Software, GAS), que

consiste en utilizar el computador para desarrollar labores en las diferentes fases

del ciclo de auditoría, y cuenta con desarrollos muy importantes en el campo del

análisis de datos, haciendo uso de diferentes aplicaciones, algunas especializadas

y otras que no tienen foco específico en auditoría, pero que cuentan con funciones

que apoyan alguna de sus fases. La auditoría con el computador, hace un uso más

intensivo de las herramientas tecnológicas que de las técnicas de auditoría

propiamente dichas. Dentro de esta categoría, pueden encontrarse desde suites

ofimáticas hasta herramientas especializadas en auditoría.

La auditoría a través del computador (Auditing through the computer), asociado

directamente por Smieliauskas & Bewley (2010) a las CAATT propiamente dichas,

está inscrito en las técnicas que requieren probar controles automatizados, consiste

en que el auditor evalúa la tecnología para determinar la confiabilidad de las

operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad

operacional de los controles relacionados con el computador, según aseguran

Louwers et al. (2011). A diferencia de los dos anteriores, las técnicas que hacen

parte de la auditoría a través del computador, tratan de permear la tecnología, para

evaluar los controles inmersos en esta y hace un uso más intensivo de las técnicas

que de las herramientas tecnológicas, las cuales pueden ser automatizadas por los

mismos auditores que cuenten con conocimientos profundos de tecnología, o con

el apoyo del área de tecnología de información, aunque en ocasiones no es muy

recomendable debido a la pérdida de independencia que puede generar.

En general todos los tipos de auditoría y todos los tipos de auditores pueden tomar

ventaja de las técnicas y herramientas de auditoría asistidas por computador para

ser más eficientes y efectivos (Senft & Gallegos, 2009).

3. La auditoría continúa. El paradigma de la auditoría basada en TIC

3.1. Conceptos y aclaraciones.

La Auditoría Continua, también llamada auditoria continua en línea, tiene varias

acepciones en la literatura académica y profesional, sin embargo, la más reconocida

es la planteada en 1999, por el Instituto Americano de Contadores Públicos

Certificados (The American Institute of Certified Public Accountants (AICPA)) y el

Instituto Canadiense de Contadores Públicos (The Canadian Institute of Chartered

Accountants (CICA)) quienes la definen como una metodología para la emisión de

informes de auditoría simultáneamente, o un corto periodo de tiempo después de la

ocurrencia de los hechos relevantes (Searcy, Woodroof, & Behn, 2003).

Como complemento, existen dos definiciones alternas, que permiten dar una visión

más amplia de la Auditoría continua, para no limitarnos tan solo a la fase de

informes. La primera planteada por el Instituto de Auditores internos (IIA), a través

de su Guía de Auditoría de Tecnología Global número 3, quien la define como “Todo

método utilizado por los auditores para realizar actividades relacionadas con la

Auditoría en forma (más) continua. Es la secuencia de actividades que abarcan

desde la evaluación continua de control hasta la evaluación continua de riesgos”.

(Coderre, 2005,7)

Por su parte la Asociación de Control y Auditoría de Sistemas de Información

(ISACA), en la directriz número 42 de auditoría de sistemas de información, define

la Auditoría Continua como un método para llevar a cabo evaluación de riesgos y

controles, sobre una base más frecuente. Es un método que utiliza técnicas de

auditoría asistidas por computador que permite a los profesionales de auditoría

monitorear los riesgos y controles en forma continua. Este enfoque permite reunir

evidencia selectiva de auditoría a través del computador (ISACA, 2010).

Retomando los conceptos planteados previamente y a fin de contar con una

definición incluyente en cada una de las etapas de un ciclo de auditoría, se puede

afirmar que La Auditoría Continua es un proceso a través del cual los auditores (de

cualquier tipo) desarrollan su ciclo de auditoría de forma más oportuna y de manera

constante con el apoyo de las TIC, utilizando técnicas de auditoría concurrentes

para evaluar y monitorear permanentemente la ocurrencia de riesgos y el

incumplimiento de controles de aquellos procesos de negocio que utilizan de

manera intensiva las TIC para su desarrollo.

Concomitante con lo anterior, es necesario diferenciar el concepto de Auditoría

Continua con otros conceptos similares que en ocasiones generan confusión y que

es necesario delimitar para no incurrir en equivocaciones.

Inicialmente, el término Auditoría Continua es asociado indistintamente con

monitoreo continuo y aunque las técnicas y tecnologías empleadas son las mismas,

su principal diferencia radica en la propiedad de los procesos. La Auditoría Continua

es responsabilidad del área de auditoría, mientras que el monitoreo continuo es

responsabilidad de la administración o de los dueños del proceso.

De otro lado, términos como monitoreo continuo del control (Continuous Control

Monitoring –CCM-), aseguramiento continuo de datos (Continuous Data Assurance

–CDA-) y monitoreo y evaluación continuo del riesgo (Continuos Risk Monitoring

and Assessment –CRMA-), están estrechamente relacionados, y como lo plantea

Vasarhelyi, Alles, & Williams (2010), es un ciclo, como se puede apreciar en la figura

2, que inicia con la adecuada identificación, monitoreo y evaluación de riesgos

(CRMA), el cual requiere de un flujo constante de datos con ciertos criterios de

calidad, a través de procesos de aseguramiento (CDA), que permiten establecer

procesos de Monitoreo continuo del Control (CCM) en respuesta a los riesgos; y

dentro de este ciclo, la Auditoría Continua, juega un papel importante para

garantizar que estos tres componentes cumplan su función y puedan fluir para dar

respuesta oportuna a los eventos adversos que pueden ocurrir en una organización.

Figura 2. Principales Componentes de la Auditoría Continua

Fuente: (Vasarhelyi et al., 2010)

3.2. Breve historia

De acuerdo con Blundell (2007), la Auditoría Continua(AC) no es un concepto

totalmente nuevo, ni tampoco es un concepto ampliamente implementado en las

organizaciones. El término AC, ha sido explorado en los círculos de auditoría interna

desde la década de los 70 (Heffes, 2006), pero fue tratado de manera específica,

por primera vez en 1975 por William Sprague en un artículo titulado “Interim

Financial reporting and continuous auditing” publicado en el CPA Journal (Murcia,

2008), aunque algunos autores plantean que los primeros papers publicados fueron

los de Groomer y Murthy en 1989 y los de Vasarhelyi y Halper en 1991(Kogan et

al., 2010).

Tanto la academia como el sector productivo, han sido impulsores permanentes de

la evolución de la Auditoría Continua. La comunidad académica a través de

múltiples artículos científicos y conferencias divulgadas en congresos

internacionales, destacándose autores como Miklos Vasarhelyi (considerado el

padre de la Auditoría continua), Michael Alles , David Coderre, Alexander Kogan,

Huanzhuo Ye; Centros de investigación como el “Continuous Auditing & Reporting

Lab” (CARLAB) de la Universidad de Rutgers y eventos de difusión de avances y

experiencias en Auditoría continua como el “World Continuous Auditing and

Reporting Systems Symposium” desarrollado por la Universidad de Rutgers, a

través del CARLAB, algunos de los cuales han sido desarrollados en Latinoamérica,

en el marco de la International Conference on Information Systems and Technology

Management (CONTECSI) liderada por la Universidad de Sao Paulo. Por su parte

en el sector productivo, organizaciones como AT&T, Siemens, HCA y UNIBANCO

han sido pioneras en la implementación de procesos de Auditoría continua, hasta

las agremiaciones de profesionales de contadores y auditores a nivel internacional,

quienes han promulgado estándares y guías alrededor del tema.

Un resumen de los sucesos más significativos en el desarrollo y difusión de la

Auditoría Continua, desde sus inicios exploratorios en 1970, y que han marcado el

desarrollo de la Auditoría continua a nivel internacional se puede observar en la

figura 3.

Figura 3. Eventos destacados de la Auditoría Continua

Fuente: (Valencia Duque, 2012)

3.3. Auditoría continua vs auditoría tradicional

Son diversas las fuentes que han planteado la existencia de un nuevo paradigma

de auditoría en un contexto cada vez más influenciado por las Tecnologías de

Información y Comunicaciones. Es así como (ACL, 2005) establece lo siguiente: La

Auditoría Continua modifica el paradigma de la auditoría, dejando de ser una mera

revisión de ejemplos de transacciones para transformarse en procedimientos

continuos de auditoría que evalúen el 100% de las transacciones, transformando la

naturaleza de las pruebas, el momento en que se las lleva a cabo, los

procedimientos y el nivel de esfuerzo.

En la siguiente tabla, se plantea un paralelo entre la Auditoría tradicional y la

Auditoría continua, desde 7 dimensiones.

Tabla 3. Paralelo entre la Auditoría Tradicional y la Auditoría Continua.

AUDITORÍA

TRADICIONAL CONTINUA

1. FRECUENCIA

Periódica Continua ó más frecuente

2. ENFOQUE

Reactivo Proactivo

3. PROCEDIMIENTOS DE AUDITORÍA

Manuales Automatizados

4. TRABAJO Y ROL DE LOS AUDITORES

La mayor parte del trabajo

desarrollado está centrado y es

intensivo en los procedimientos de

Auditoría

La mayor parte del trabajo realizado se

centra en el manejo de excepciones y

procedimientos de Auditoría que requieren

el juicio humano

Roles independientes del auditor

interno y del auditor externo

El papel del auditor externo se convierte en

el certificador del Sistema de Auditoría

Continua

5. NATURALEZA, OPORTUNIDAD Y ALCANCE

5.1. NATURALEZA

Las pruebas consisten en

procedimientos de revisión analíticos

y pruebas detalladas sustantivas

Las pruebas consisten en monitoreo de

controles continuo y aseguramiento de

datos continuo

5.2. OPORTUNIDAD

Las pruebas de controles y las

pruebas detalladas se producen de

forma independiente

El monitoreo de los controles y las pruebas

detalladas ocurren simultáneamente

5.3. ALCANCE

Muestreo en las pruebas La población entera se considera en las

pruebas

6. PRUEBAS

Pruebas desarrolladas por las

personas

El modelado de datos y el análisis de datos

son usados para monitorear y probar

7. INFORMES

Periódicos Continuos o muy frecuentes

Fuente: (Chan & Vasarhelyi, 2011)

McNamee en su texto “Risk Management: Changing the Internal Auditor´s

Paradigm” editado por el IIA Research Foundation, referenciado por (Texeira, 2009),

plantea dos paradigmas de Auditoría, llamadas simplemente Viejo y Nuevo

paradigma, caracterizando en este último, aspectos de la Auditoría continua, como

se puede observar en la siguiente tabla.

Tabla 4. Paralelo de dos paradigmas de la Auditoría Continua

ASPECTO DE

AUDITORÌA

VIEJO PARADIGMA NUEVO

PARADIGMA

Foco de la Auditoría

Interna

Control Interno Riesgos de Negocio

Respuesta de la

Auditoría Interna

Reactiva, después de los

hechos, discontinua,

observadora de las iniciativas

del plan estratégico

Proactiva, en tiempo

real, monitoreo

continuo, participante

en los planes

estratégicos

Evaluación de riesgos Factores de riesgo Planeamiento de

escenarios

Pruebas de Auditoría Controles Importantes Riesgos importantes

Métodos de Auditoría Énfasis en las pruebas de

control detalladas y completas

Énfasis en la

importancia y el

alcance de que los

riesgos del negocio

estén cubiertos

Recomendaciones de

Auditoría

Control Interno:

Fortalecimiento,

Costo/Beneficio,

Eficiencia/Eficacia

Gestión de Riesgos:

Evitar/diversificar el

riesgo

Compartir/Transferir

el riesgo

Controlar/Aceptar el

riesgo

Informes de Auditoría Dirigida a los controles

funcionales

Dirigida a los riesgos

de los procesos.

Papel del Auditor

Interno en la

Organización

Función de Evaluación

Independiente.

Integración de la

gestión de riesgos en

el gobierno de la

organización

Fuente: (Texeira, 2009)

Por último, (Chan & Vasarhelyi, 2011) plantean tres componentes estructurales,

en el análisis de la Auditoría continua, frente a la tradicional: la naturaleza, el tiempo

y la extensión de las pruebas. Con respecto a la naturaleza, plantean los autores

que, en una Auditoría tradicional, el control es manual y las pruebas sustantivas

detalladas son desarrolladas periódicamente para evaluar las afirmaciones de la

administración. Por el contrario en la Auditoría continua, el monitoreo del control es

continuo y automatizado y se requiere un aseguramiento continuo de los datos. En

lo que respecta al tiempo, generalmente en la Auditoría tradicional las pruebas de

control interno ocurren en la planeación y las pruebas sustantivas detalladas ocurren

en la fase de trabajo de campo de la Auditoría. Por el contrario, el monitoreo de los

controles internos y las pruebas de los datos de las transacciones ocurren

simultáneamente en un ambiente de Auditoría continua. En lo atinente a la extensión

de las pruebas, en una Auditoría tradicional, se usa el muestreo, debido a lo

intensivo en tiempo y mano de obra que requieren las pruebas. En contraste, una

auditoria continua considera a toda la población de transacciones en el monitoreo y

las pruebas.

4. Propuesta de una metodología integrada de Auditoría Continua.

Se han desarrollado a través del tiempo diversas formas de llevar a cabo una

Auditoría Continua, denominados por diferentes autores como modelos,

metodologías, esquemas o casos, como se puede observar en la tabla 5. Muchos

de ellos son modelos teóricos, otros están orientados a presentar experiencias de

implementación en organizaciones, y otros son guías de orientación formuladas por

las principales organizaciones que agrupan los auditores y contadores a nivel

internacional.

Tabla 5. Modelos, guías, esquemas y casos de Auditoría Continua

Año Modelo/Guía/Esquema/Caso de Auditoría Continua

1989 Modelo de Groomer and Murthy

1991 CPAS –The Continuous Process Auditing System

2001 Modelo Woodroof

2002 Modelo Rezaee

2002 Auditoría continua en el gobierno Chino

2003 Modelo Onions

2004 Hospital corporation of America (HCA).

2004 A continuous auditing web services model for XML-based accounting systems

2005 Model for Transaction-based continuous auditing

2005 Modelo RCMP

2005 Modelo IIA

2005 Embedded Audit Modules in ERP Systems: Implementation and Functionality

2006 Modelo CMBPC

2007 Continuous Auditing From a Practical Perspective

2007 Continuous Auditing Model in the context of independent audits.

2007 A Theoretical and Technical Model of an external Continuous Auditing System

2007 A Theoretical and Technical Model of an external Continuous Auditing System

2008 Modelo WSCAM

2008 AUDIT SERVER

2008 On Application of SOA to Continuous Auditing

2010 CAIMOR – Continuous Auditing Immune Model based on Object-Oriented Rule base

2010 Six Steps to an Effective Continuous Audit Process

2010 Auditoría Continua: Mejores Prácticas y Caso Real

2010 G42 CONTINUOUS ASSURANCE

2010 Modelo del Instituto de Contadores Pùblicos de Australia

2011 Modelo CRCA (Continuous Risk and Control Assurance)

2011 Innovation and practice of continuous auditing

2011 Metodología Mainardi

2013 The Predictive Audit Framework

2014 Guía para implantar con éxito un modelo de Auditoría Continua

Fuente: Elaboración propia.

Y son precisamente estas últimas las que servirán de base para la construcción de

una metodología integrada que permita desarrollar un proceso de Auditoría

Continua basado en la homogeneización de las principales fases y actividades

propuestas por las principales entidades que agrupan a auditores y contadores de

todo el mundo: El Instituto de Auditores Internos (IIA global), La Asociación de

Control y Auditoría de Sistemas de Información (ISACA), El Instituto de Contadores

Públicos de Australia (The Institute of Chartered Accountants in Australia) y se ha

incluido el Instituto de Auditores Internos de España, con su reciente publicación

de la Fabrica del pensamiento.

El Instituto de Auditores Internos (IIA) en 1995 como parte de sus guías de Auditoría

de Tecnología, difundió la guía número 3, denominada “Continuous Auditing:

Implications for Assurance, Monitoring, and Risk Asessment” cuyo resumen se

puede observar en la tabla 6, y a través de la cual se identifica qué se debe hacer

para lograr un uso eficaz de la tecnología a favor de la Auditoría Continua. Esta guía

se encuentra actualmente en proceso de actualización y está disponible para los

profesionales de Auditoría afiliados al IIA.

Tabla 6. Pasos clave del modelo de Auditoría Continua del Instituto de Auditores Internos.

1. OBJETIVOS DE LA AUDITORÍA CONTINUA

1.1. Definir los Objetivos de Auditoría Continua

1.2. Obtener y gestionar el respaldo de la alta dirección

1.3. Determinar el grado en que la dirección está cumpliendo su función de supervisión

1.4. Identificar y establecer prioridades entre las áreas a abordar y los tipos de Auditoría Continua a realizar

1.5. Identificar sistemas de información clave y fuentes de datos

1.6. Comprender los sistemas de aplicación y los procesos subyacentes de negocio

1.7. Desarrollar relaciones con la gestión de TI

2. USO Y ACCESO A DATOS

2.1. Seleccionar y adquirir herramientas de análisis

2.2. Desarrollar capacidades de acceso y análisis

2.3. Desarrollar y mantener técnicas y habilidades de análisis del auditor.

2.4. Evaluar la integridad y fiabilidad de los datos

2.5. Depurar y preparar los datos

3. EVALUACIÓN CONTINUA DE RIESGOS

3.1. Definir las entidades a evaluar

3.2. Identificar categorías de riesgos

3.3. Identificar indicadores de riesgo/desempeño controlados por datos

3.4. Diseñar pruebas analíticas para medir mayores niveles de riesgo

4. EVALUACIÓN CONTINUA DEL CONTROL

4.1. Identificar puntos de control críticos

4.2. Definir reglas de control

4.3. Definir excepciones

4.4. Diseñar un enfoque tecnológico para pruebas de control y para identificar deficiencias.

5. INFORMAR Y GESTIONAR RESULTADOS

5.1. Establecer prioridades y determinar la frecuencia de las actividades de Auditoría Continua

5.2. Ejecutar pruebas de manera regular y oportuna

5.3. Identificar deficiencias de control o mayores niveles de riesgo

5.4. Establecer prioridades entre los resultados

5.5. Iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección

5.6. Gestionar resultados (rastreo, informe, supervisión y seguimiento)

5.7. Evaluar los resultados de las acciones implementadas

5.8. Supervisar y evaluar la eficacia del proceso de Auditoría Continua (tanto el análisis, por ejemplo, reglas e indicadores, como los resultados obtenidos) y modificar los parámetros de pruebas, según sea necesario.

5.9. Garantizar la seguridad del proceso de Auditoría continua y asegurar que existan las vinculaciones correspondientes con las iniciativas de dirección, como por ejemplo, la ERM, la supervisión y medición del desempeño.

Fuente: (IIA, 2005b)

La Asociación de Control y Auditoría de Sistemas de Información (ISACA), liberó en

el año 2010, como parte de sus guías de auditoría, la guía 42 denominada

“Continuous Assurance” cuyo resumen se puede observar en la tabla 6, a través de

la cual se pretende dar orientaciones a los profesionales en Auditoría, Control y

Gobierno de Tecnologías de Información alrededor de la planeación,

implementación y monitoreo de los procesos y sistemas de aseguramiento continuo

en una empresa. Es importante recordar que ISACA promulga tres tipos de

documentos que orientan la función del auditor de sistemas: los estándares, los

cuales son obligatorios en el cumplimiento de la función de Auditoría de sistemas

(en especial para el auditor que cuenta con la certificación internacional CISA); las

guías o directrices, las cuales proporcionan asesoría y apoyo en la aplicación de los

estándares de Auditoría de sistemas; y los Procedimientos, proporcionan ejemplos

de procedimientos que puede seguir un Auditor de Sistemas para cumplir con los

estándares.

Tabla 7. Fases de la Auditoría Continua de acuerdo a ISACA

1. Priorizar las áreas a cubrir y seleccionar un enfoque adecuado de Auditoría Continua 2. Asegurar la disponibilidad de personal clave del cliente.

3. Seleccionar la herramienta de análisis adecuada, estas podrían ser rutinas escritas en la empresa o software proporcionado por un proveedor.

4. Desarrollar rutinas de Auditoría Continua para evaluar controles e identificar las deficiencias.

5. Determinar la frecuencia de la aplicación de rutinas de Auditoría Continua.

6. Definir los requisitos de salida.

7. Desarrollar un proceso de reportes.

8. Establecer relaciones con la línea relevante y la gestión de TI.

9. Evaluar la integridad de los datos y preparar los datos.

10. Determinar las necesidades de recursos, es decir, el personal, el ambiente de procesamiento (instalaciones de la empresa de TI o instalaciones de la auditoría de TI).

11. Entender la medida en la cual la administración está llevando a cabo su función de supervisión (monitoreo continuo).

Fuente: (ISACA, 2010)

El Instituto de Contadores Públicos de Australia (The Institute of Chartered

Accountants in Australia) liberó en Julio de 2010, un documento titulado “Continuous

Assurance for the Now Economy” cuyo objetivo, como lo plantea en su prólogo, es

promover la discusión sobre el aseguramiento continuo como un concepto, y en

donde no solo las profesiones de contador y auditor se encuentran involucrados,

sino otras instancias tales como los organismos de normalización, los reguladores,

los usuarios gubernamentales y demás stakeholders relacionados con este

concepto.

Figura 3. Fases de Auditoría Continua, de acuerdo al Instituto de Contadores Públicos de Australia.

Fuente: (Vasarhelyi et al., 2010, 59)

Por último, el Instituto de Auditores Internos de España, en Octubre de 2014 dio a

conocer a través de su programa “La Fábrica del Pensamiento” un documento

titulado “Guía para Implantar con éxito un modelo de Auditoría Continua” donde se

presenta a la comunidad de auditores un esquema de implementación del modelo

de Auditoría continua de acuerdo a la cultura de cada entidad.

Tabla 8. Fases de Auditoría Continua de acuerdo al Instituto de Auditores Internos de España.

1. Arranque del Proyecto

1.1. Definición de Objetivos

1.2. Estrategia de desarrollo de indicadores

1.3. Impactos en la organización

1.4. Costes y Presupuesto

1.5. Presentación del proyecto a la Dirección

2. Diseño de la plataforma

2.1. Arquitectura Inicial

2.2. Indicadores iniciales, parámetros y pesos

1. Arranque del Proyecto

2.3. Herramienta Comercial/Desarrollo Interno

3. Desarrollo

3.1. Atributos de la Información Recopilada

3.2. Desarrollo de la plataforma/ Adaptación herramienta comercial

3.3. Conexión con aplicaciones/repositorios

3.4. Conexión con otras herramientas

3.5. Gestión de incidencias

3.6. Pruebas

4. Despliegue

4.1. Implantaciòn

4.2. Comunicación a la Organización

4.3. Análisis tras el despliegue - Factores de éxito y fracaso.

5. Administración de la plataforma

6. Medición de la rentabilidad

7. Cambios en el Área de Auditoría Interna

Fuente: (Instituto de Auditores Internos de España, 2014a)

4.1. Armonización de los modelos de Auditoría Continua.

La Auditoría Continua se integra al proceso de auditoría en todos sus aspectos,

desde el desarrollo y mantenimiento del plan de auditoría empresarial, hasta la

realización y el seguimiento de auditorías específicas (Coderre, 2005), de allí que la

armonización de las guías de Auditoría Continua propuestas por las organizaciones

antes mencionadas, pretende establecer los elementos comunes alrededor de las

fases generalmente aceptadas de auditoría, a fin de realizar una aproximación a un

guía genérica que integre los elementos generalmente propuestos en cada uno de

ellos y disminuya la complejidad para el área de auditoría de atender varios modelos

al momento de emprender el proceso de implementación.

Para lograrlo, se llevará a cabo la siguiente metodología:

- Definición del modelo base

- Análisis de cada una de las actividades propuestas por las diferentes guías

- Relación de cada actividad con el modelo base

- Conteo número de veces en que se presenta la actividad en los modelos de

referencia.

- Estimación porcentual del número de veces en que se presenta la actividad,

sobre el número de modelos objeto de análisis.

El resultado del cálculo porcentual, es lo que denominaremos índice de cohesión,

cuyo significado determina la similitud metodológica que tienen en general todos los

modelos, con el modelo base de referencia y que servirá de base para establecer la

metodología de Auditoría Continua a proponer.

Estos valores utilizarán como base de interpretación, la escala de calificación

planteada por (Pino, Baldassarre, Piattini, & Visaggio, 2010) dada la similitud del

proceso y se complementará con su significado en función de la inclusión o no en

el modelo de referencia y la asignación de colores a cada nivel para una

visualización más amigable, como se puede apreciar en la tabla 8.

Tabla 9. Niveles de valoración del índice de cohesión de los modelos.

Nivel Rango del índice

de cohesión

Nivel de

relacionamiento

Decisión de

inclusión como

parte del modelo.

MUY ALTO 86-100% Fuertemente

relacionado

Incluir como parte

del modelo.

ALTO 51-85% Relacionado en gran

medida

Incluir como parte

del modelo.

PARCIAL 21-50% Parcialmente

relacionado

Incluir como parte

del modelo.

DEBIL 1-20% Débilmente

relacionado

No Incluir como

parte del modelo.

SIN 0% No relacionado No Incluir como

parte del modelo.

Fuente: Elaboración propia.

Una vez confrontados los 4 modelos guía de Auditoría Continua, los resultados por

son los siguientes:

ETAPA FASE Índice de cohesión

Nivel de relación

1.Definición de Recursos y Análisis de Costos

1.1.Definición de personal, recursos clave y gestión de competencias del auditor 50%

Parcial

1.2.Evaluación de costos y beneficios 50%

Parcial

2.Relaciones con la Administración

2.1.Obtener el respaldo de la alta dirección 75%

Alto

2.2.Estado actual del monitoreo continuo 50%

Parcial

2.3.Desarrollar relaciones con la gestión de TI 50%

Parcial

3.Plan Anual de Auditoría 3.1.Establecer áreas prioritarias 75%

Alto

4.Planeación Detallada

4.1.Comprender los procesos de negocio 50%

Parcial

4.2.Definición de Objetivos y alcance de Auditoría Continua 75%

Alto

4.3.Identificar Riesgos e Indicadores de Riesgo 75%

Alto

4.4.Identificar Controles e Indicadores de Control 50%

Parcial

4.5.Identificar y Comprender Sistemas de Información clave 50%

Parcial

4.6.Conocer y comprender las fuentes de datos 50%

Parcial

4.7.Conexión con aplicaciones/repositorios 25%

Parcial

4.8.Depurar y preparar los datos 50% Parcial

4.9.Desarrollar rutinas de auditoría para evaluar controles e identificar ocurrencia de riesgos 50%

Parcial

4.10.Determinar la frecuencias de los procesos 75%

Alto

4.11.Seleccionar y adquirir herramientas de análisis 75%

Alto

5.Ejecución

5.1.Configurar los parámetros de aseguramiento continuo 25%

Parcial

5.2.Ejecutar pruebas de manera regular y oportuno para identificar excepciones 50%

Parcial

6.Comunicación de Resultados

6.1.Supervisar permanentemente los Resultados de Auditoría Continua (Identificar desviaciones o deficiencias de control) 75%

Alto

6.3.Informar a la Dirección 100% Muy Alto

7.Seguimiento

7.1.Seguimiento a la implementación de las acciones recomendadas 50%

Parcial

7.2. Garantizar la continuidad del proceso de Auditoría Continua. 50%

Parcial

Índice promedio de cohesión 58% Alto

En resumen, el índice promedio de cohesión de las diferentes etapas y fases de los

4 modelos de auditoría analizados es de un 58%, lo que representa un nivel de

cohesión alto, de acuerdo a los parámetros establecidos para tal fin, lo que permite

establecer un modelo aplicable a cualquier organización, respaldado por las guías

de las principales organizaciones que agrupan profesionales de auditoría y

contaduría a nivel internacional.

4.2. Aspectos relevantes a tener en cuenta en algunas fases del modelo

de Auditoría Continua integrado.

Si bien el objetivo del presente ensayo, no es presentar en detalle cada una de las

etapas y fases del modelo de Auditoría Continua integrado resultante, sino

demostrar el valor que puede llegar a agregar la Auditoría Continua para la función

de auditoría en su búsqueda de competitividad y pertinencia, y para la organización

en general, es necesario para el propósito del ensayo resaltar y explicar algunos

aspectos que a juicio del autor son importantes tener en cuenta al momento de llevar

a la práctica este modelo. Entre ellos se encuentran los siguientes:

4.2.1. Recursos clave para la Auditoría Continua

La norma 2030 Administración de recursos del IIA establece que el director

ejecutivo de auditoría debe asegurar que los recursos de auditoría son apropiados,

suficientes y eficazmente asignados para cumplir con los planes de auditoría, lo que

incluye una mezcla adecuada de conocimientos, aptitudes y otras competencias

requeridas. Es necesario, que el área de auditoría, además de los recursos

tradicionales con que cuenta para desarrollar su labor y de acuerdo a su nivel de

madurez y a su disponibilidad de recursos financieros, incorpore plataformas y

herramientas tecnológicas especializadas que faciliten la labor de Auditoría

Continua, en especial herramientas de software, que pueden ir desde

complementos de las herramientas ofimáticas tradicionales tales como Power pivot

pasando por software especializado en análisis de datos (ej. ACL, IDEA….) que si

bien no cumple la labor específica de Auditoría Continua, puede ser el inicio del

proceso; hasta llegar a las herramientas especializadas en Auditoría Continua (ej.

Caseware monitor, ACL Auditexchange…), siendo estas últimas las más costosas

del mercado.

4.2.2. Competencias del auditor para afrontar los retos de la Auditoría

Continua

Los auditores requieren contar con las competencias necesarias para desarrollar la

Auditoría Continua en la organización, lo que implica además de claridad conceptual

y metodológica en el tema, requiere contar con competencias tecnológicas para

desarrollar el proceso.

De acuerdo con el IIA (2005a), el Comité Internacional de Tecnología Avanzada del

IIA, ha identificado tres categorías de conocimiento de TIC para los auditores

internos:

Categoría 1: Todos los Auditores: Es el conocimiento de TIC necesario para todos

los auditores profesionales, desde las nuevas incorporaciones hasta el director de

auditoría interna. El conocimiento de TIC abarca entender conceptos, como las

diferencias en el software usado en aplicaciones, sistemas operativos y software de

sistemas y redes. Esto implica entender los componentes básicos de seguridad de

TI y de control, tales como seguridad perimetral, detección de intrusos, autenticación

y controles de los sistemas de aplicación. El conocimiento básico incluye entender

cómo los controles de negocio y los objetivos de aseguramiento pueden verse

afectados por vulnerabilidades en las operaciones de negocio y lo relacionado con

los sistemas de soporte y los componentes de redes y datos.

Es fundamental asegurar que los auditores tienen suficiente conocimiento para

centrarse en el entendimiento de los riesgos de TI, sin necesariamente tener

conocimientos técnicos significativos.

Categoría 2: Supervisores de Auditoría: Se aplica al nivel de supervisión de

auditoría. Además de tener el conocimiento básico en TIC, los supervisores de

auditoría deben entender los aspectos y elementos de TIC, de forma suficiente para

considerarlos en las tareas de auditoría de planificación, pruebas, análisis, informe

y seguimiento y en la asignación de las habilidades de los auditores a los proyectos

de auditoría. Esencialmente, el supervisor de auditoría debe:

Entender las amenazas y vulnerabilidades asociadas a procesos

automatizados de negocio.

Entender los controles de negocio y la mitigación del riesgo que debe ser

proporcionada por la TIC.

Planificar y supervisar las tareas de auditoría para considerar las

vulnerabilidades y los controles relacionados con la TIC, así como la eficacia

de la TI en la provisión de controles para las aplicaciones y entornos de

negocio.

Asegurar que el equipo de auditoría tiene competencia suficiente, incluidas

las habilidades en TIC, para las tareas de auditoría.

Asegurar el uso eficaz de las herramientas de TIC en los trabajos de auditoría

y en las pruebas.

Aprobar los planes y las técnicas para probar los controles y la información.

Evaluar los resultados de las pruebas de auditoría para evidenciar las

vulnerabilidades o debilidades de control de la TIC.

Analizar los síntomas detectados y relacionarlos con las causas que pueden

tener su origen en el negocio o en la misma TIC, como planificación,

ejecución, operaciones, gestión de cambios, autenticación, u otras áreas de

riesgo.

Proporcionar recomendaciones de auditoría basadas en los objetivos del

aseguramiento del negocio, centrándose en los orígenes de los problemas

observados, más que en divulgar simplemente los problemas o los errores

detectados.

Categoría 3: Especialistas en Auditoría Técnica de TIC: Esta categoría aplica al

especialista en auditoría de sistemas. Aunque los auditores de TIC pueden

funcionar a nivel de supervisión, deben entender la tecnología subyacente que

respalda a los componentes del negocio y estar familiarizados con las amenazas y

vulnerabilidades asociadas a las tecnologías. Los auditores de TI también pueden

especializarse en ciertas áreas de la tecnología.

Son los auditores los que pueden impulsar la Auditoría Continua en la organización

y ello depende en gran medida de las competencias que en el ámbito tecnológico

posean cada uno de los integrantes del equipo de auditoría.

4.2.3. Los beneficios de la Auditoría Continua

La relación costo beneficio, siempre presente en las diferentes actividades de

gestión de una organización, no es ajena a la Auditoría Continua, y si bien los costos

de formación y actualización del personal de auditoría, sumados a los costos

tecnológicos pueden llegar a ser representativos, los beneficios obtenidos serán

muy superiores en el mediano y largo plazo.

Los beneficios de la Auditoría Continua, como complemento de la labor tradicional

de auditoría son múltiples, y muchos de ellos ya se han mencionado a lo largo del

documento, sin embargo a efectos de compilar algunos de los más significativos se

enuncian a continuación los siguientes:

Tabla 10. Cinco (5) formas de agregar valor de la Auditoría Continua

1. La ubicuidad del auditor

El tiempo y espacio son dos variables que condicionan la función de auditoría. En

este sentido la Auditoría Continua, una vez consolidada, permite que las tareas

de auditoría se logren realizar en menor tiempo, obteniendo una mayor cobertura

y una menor repitencia del proceso auditor, por el mayor nivel de efectividad en

la identificación de riesgos y en la detección del incumplimiento de controles. De

igual forma, el poder hacer presencia de forma simultánea en diferentes partes de

la organización, sin necesidad de la presencia física del auditor, hace de la

Auditoría Continua una potente herramienta de expansión de la función de

aseguramiento.

2. Incremento de la efectividad del control

La esencia del proceso auditor es evaluar la efectividad de los controles internos,

y aunque esta labor se está cumpliendo, de acuerdo a lo establecido por PWC

(2014) donde establece que el 80% de los directivos consideran que esta labor

se está cumpliendo, es menos cierto el tiempo en el cual perdura la efectividad

del control, la cual se atenúa con el tiempo, sufriendo altibajos de acuerdo a la

periodicidad de su revisión y a la tipología de control, como se puede observar en

la Figura 3. La Auditoría Continua incrementa la efectividad de los controles, dada

la tipología del control su frecuencia de revisión y la garantía que proporciona un

control automático que no depende de una persona en particular.

Figura 1. Jerarquía de Controles. Desde la detección manual hasta la

prevención automatizada

Fuente: Traducido de (Klein Tank, 2011)

3. Un auditor más analítico

El auditor debe dejar de ser un profesional que dedica una gran parte de su

tiempo a labores operativas, enfocadas en la búsqueda de evidencia que permita

respaldar sus hallazgos de auditoría a ser un profesional más analítico que sea el

constructor de un control con mayor perdurabilidad, haciendo uso de su

experiencia y delegando muchas de sus labores operativas a la Tecnología. Para

ello debe mejorar sus competencias, incorporando no solo adecuados esquemas

de identificación de riesgos en la estrategia de auditoría orientada a riesgos, sino

en tener capacidades para el análisis de datos, lo que es corroborado por la

encuesta de PWC (2014) donde establece como una de las áreas en las que se

espera mayor participación por parte de los Auditores internos en “Big data y

análisis de datos empresariales” con un 71.5% en promedio .

Un estudio reciente llevado a cabo por Lombardi, Bloch, & Vasarhelyi (2014),

producto del consenso entre expertos, utilizando el método Delphi, en un periodo

de seis (6) meses, concluye entre otros aspectos, “La automatización puede ser

utilizada para tareas más tediosas, de manera que los auditores puedan usar su

juicio experto para asuntos más apremiantes”(p. 29).

4. Disminución de la latencia entre los procesos organizacionales y los

procesos de control

La Auditoría continua disminuye la latencia existente entre el momento en que

ocurre un evento adverso en la organización y el momento en que es detectado

por el auditor.

5. Incremento del autocontrol

Para explicar la forma como la Auditoría Continua aporta al autocontrol, se acudirá

a una teoría desarrollada por el filósofo Jeremy Bentham, quien en 1791 acuño el

término Panóptico, pensado inicialmente para reducir el costo de operación de las

cárceles británicas. El propósito de dicha teoría era la observación de los presos

de una cárcel que superaban en número a los vigilantes de ésta, desde un punto

único sin que estos se dieran cuenta. Una analogía interesante para explicar el

autocontrol, si se tiene en cuenta que la implementación de la Auditoría Continua,

provee un efecto panóptico sobre el control, al poder observar desde un punto

único (la tecnología de Auditoría Continua) las acciones que desarrolla la

administración, sin que estos se den cuenta. Sin embargo si se divulga la

existencia de controles embebidos que están monitoreando constante los

procesos organizacionales, seguramente aquellas personas que deseen cometer

un fraude o incumplir reglas de control se inhibirán y ejercerán el autocontrol.

Como ejemplo de aplicación de este concepto, se puede acudir a los

comparendos electrónicos, a través de los cuales los organismos de transito

instalan cámaras en sitios estratégicos de la ciudad para detectar en línea y de

forma electrónica aquellos infractores de tránsito, quienes al momento de conocer

la ubicación de las cámaras en los diferentes puntos de la ciudad, se inhiben de

cometer la infracción, por el comparendo que ello genera, creando conciencia e

incrementando el autocontrol en los conductores.

4.2.4. Plan Anual de Auditoría continua

El plan anual de Auditoría Continua hace parte del plan anual de auditoría que debe

elaborar la función de auditoría interna, y no es que sea otro plan independiente, es

parte del plan, tal como lo promulga el numeral 5 del consejo para la práctica 2320-

4 sobre aseguramiento continuo del IIA, donde establece: ”el plan anual de auditoría

debe identificar áreas potencialmente sujetas a Auditoría Continua”(IIA, 2013,1).

Un aspecto importante a considerar en esta fase es tratar de iniciar con un proyecto

de Auditoría Continua, cuyos procesos hubieren sido auditados de forma tradicional

previamente, y que hayan sufrido alguna transformación, debido a su

automatización o informatización, dado el conocimiento que ya se tiene del proceso,

de sus riesgos y de sus controles.

Para cumplir con este propósito se requiere establecer los criterios de Auditoría

Continua para ser parte del plan, y si bien esto es propio de cada organización, se

recomienda tener en cuenta las siguientes variables, además de las que son propias

del plan anual de auditoría : nivel de automatización del proceso sujeto de control,

nivel de importancia del proceso, nivel de importancia del riesgo, experiencia previa

en la auditoría del proceso (como una alternativa evolutiva de los procesos

actuales).

4.2.5. Identificación de los riesgos, controles y sus respectivos KRI y KCI

Siendo coherentes con el actual enfoque de auditoría, y dado que ya es una práctica

generalizada por parte de la comunidad de auditores, se toma como base el enfoque

RBA (Risk Based Approach), ello lleva a identificar los riesgos relacionados y la

identificación a partir de ellos de los KRI (Key Risk Indicators) o indicadores claves

de riesgo, definido de forma general por el comité de organizaciones patrocinadoras

de la comisión Treadway (COSO) a través de (Beasley, Branson, Hancock, &

Landes, 2010) como métricas usadas por las organizaciones para proveer una señal

temprana de incremento de la exposición al riesgo en varias áreas de la empresa;

y definidos desde una perspectiva financiera por (Delfiner & Pailhé, 2008) como

variables de carácter financiero u operacional que ofrecen una base razonable para

estimar la probabilidad y severidad de uno o más eventos de riesgo operacional.

Los KRI tienen una cualidad muy específica que ningún otro programa de riesgo

operacional ofrece y es información sobre la exposición al riesgo en “tiempo real”,

similar a la forma en que el combustible, la presión de aceite, los indicadores de

temperatura del motor y el velocímetro de un coche proporcionan información vital

acerca de la seguridad en un viaje por carretera, y los KRI son el único mecanismo

de gestión para obtener información en tiempo real, necesaria para realizar los

ajustes cuando se requieran. Esto es esencial para el logro de los objetivos de

negocio y la seguridad de la organización (KRIEX, 2015). Lo anterior conlleva a que

los KRI deben estar asociados a datos que son gestionados por sistemas de

información.

Uno de los sectores que más ha desarrollado este tema es la industria bancaria,

quienes a través una iniciativa denominada “KRI Library and Services” reúne

información referida a KRI de las entidades participantes, y cuyo marco de

referencia y KRI’s puede ser consultada en http://www.kriex.org/.

En general existen dos tipos de KRI, predictivos y detectivos, los primeros están

basados en información histórica y modelos de regresión y correlación que pueden

generar tendencias a través del cual se generarán las alarmas respectivas, de

acuerdo a los umbrales definidos. Los KRI detectivos son más puntuales y están

basados en el aspecto puntual que genera la alarma bajo el umbral definido.

Con respecto a los controles, es importante tener en cuenta que el control es una

variable dependiente del riesgo, es decir, la razón de ser de los controles es aportar

en la mitigación del riesgo, por lo tanto se deben identificar los controles, con base

en los riesgos y a partir de los controles identificar los KCI (Key Control Indicators)

definidos como indicadores que miden el posible incumplimiento de un control, de

forma tal que el deterioro de una KCI puede indicar un incremento en la probabilidad

o impacto de un riesgo.

4.2.6. Diseño y desarrollo de rutinas de auditoría para evaluar controles e

identificar ocurrencia de riesgos.

Para el diseño de las rutinas de auditoría que se implementaran sobre el sistema

objeto de análisis, existen dos métodos tradicionalmente usados en los diferentes

modelos de Auditoría Continua: el primero denominado Módulos embebidos de

auditoría (EAM por sus siglas en inglés, de Embedded Audit Modules) y el segundo

como una capa de monitoreo y control externa denominada (MCL por sus siglas en

inglés, de Monitoring and Control Layer).

El método de módulos embebidos de auditoría (EAM), consiste en insertar código

de control en el sistema de información que soporta el proceso de negocio que es

objeto de auditoría, el cual se puede albergar como parte del código del sistema de

información o en la capa de base de datos en el cual se soporta el sistema de

información.

La Capa de Monitoreo y Control es una solución de software independiente, no

integrada con el sistema de información, para lo cual se usa middleware para extraer

datos y realizar análisis, frente a unas reglas previamente definidas (Best,

Rikhardsson, & Toleman, 2009), este enfoque surgió como una alternativa a EAM,

propuesto por una gran cantidad de modelos. Este tipo de técnica, es un módulo de

software que opera de forma independiente al sistema objeto de monitoreo.

La selección de uno u otro método depende del nivel de acceso que podemos tener

al sistema de información, de la disponibilidad del código fuente y del tipo de equipo

auditor con que se cuenta. Sin embargo, el método más utilizado actualmente por

la arquitectura con la cual se construyen los sistemas de información y por las

complejidades de diversa índole, que conlleva acceder al código fuente de una

aplicación, en cualquier organización, es el MCL.

5. Conclusiones

El ensayo pone de manifiesto los planteamientos realizados por diferentes estudios

acerca de los retos y expectativas que generan las Tecnologías de Información y

Comunicaciones para agregar valor a la función de auditoría. En contraste se realiza

una breve retrospectiva de las normas y las posiciones académicas acerca de cómo

las TIC han venido siendo incorporadas en la función de auditoría, para finalmente

y una vez establecidas las bases de lo que es considerado por algunos autores

como el nuevo paradigma de auditoría, proponer un modelo de Auditoría Continua

que integre las 4 guías de auditoría continua propuestas por el IIA global, ISACA, el

Instituto de Contadores públicos de Australia y el Instituto de Auditores Internos de

España, con el fin de presentar un modelo guía unificado que facilite la labor de las

áreas de auditoría, ante la proliferación de modelos, y pueda agregar el valor

esperado y la integración entre la auditoría continua y el monitoreo continuo, con el

efecto panóptico esperado.

A partir de esta integración de conceptos se puede concluir lo siguiente:

1. La sociedad moderna impone constantemente la necesidad de cambios,

cambios innovadores que agreguen valor y que se ajusten a las realidades

que impone el medio a las organizaciones, y la Auditoría Continua es uno de

esos cambios necesarios y requeridos que adecuadamente implementados

y de manera progresiva, llevarán a la función de auditoría a agregar valor y

alinearse con los retos tecnológicos que afrontan las organizaciones.

2. El futuro de la auditoría depende en gran medida del aprovechamiento del

poder de la tecnología, y el concepto de Auditoría Continua explota al máximo

las posibilidades que proporciona la tecnología, sin embargo, se debe

concebir como una forma alterna y a la vez complementaria de la auditoría

tradicional, concebida no simplemente como una serie de técnicas modernas

basadas en tecnología, sino como un concepto que potencia

tecnológicamente todas las fases de auditoría.

3. La auditoría continua debe ser concebida como un modelo complementario

y no sustituto de la auditoría tradicional, por lo que puede ser incorporado

como parte del Plan Anual de Auditoría que desarrolla cualquier

organización.

4. Existe un alto nivel de integración entre las cuatro (4) guías de auditoría

continua propuestas por las entidades que sumados sus miembros

representan la mayor cantidad de profesionales de auditoría en el mundo, y

como tal la guía final puede ser aplicada, con la garantía que integra las

mejores prácticas de Auditoría Continua.

5. La búsqueda del autocontrol puede avanzar a partir del efecto panóptico

esperado que representa la implementación de la Auditoría Continua y su

integración al monitoreo continuo.

BIBLIOGRAFIA.

ACL. (2005). Auditoría permanente: Implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos.

Baksa, R., & Turoff, M. (2010). The Current State of Continuous Auditing and Emergency Management ’ s Valuable Contribution. In 7th International ISCRAM Conference (pp. 1–10).

Beasley, M. S., Branson, B. C., Hancock, B. V, & Landes, C. (2010). Developing Key Risk Indicators To Strengthen Enterprise Risk Management. Risk Management. COSO. Retrieved from http://www.coso.org/documents/COSOKRIPaperFull-FINALforWebPostingDec110.pdf

Best, P. J., Rikhardsson, P., & Toleman, M. (2009). Continuous Fraud Detection in Enterprise Systems through Audit Trail Analysis. Journal of Digital Forensics, Security and Law, 4(1), 39–61.

Blundell, A. (2007, July). Continuous auditing technologies and models. Computers & Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964

Braun, R. L., & Davis, H. E. (2003). Computer-assisted audit tools and techniques: analysis and perspectives. Managerial Auditing Journal, 18(9), 725–731. doi:10.1108/02686900310500488

Cerullo, M. V., & Cerullo, M. J. (2003). Impact of SAS No. 94 on Computer Audit Techniques. Information Systems Control Journal, 1(94).

Chan, D. Y., & Vasarhelyi, M. A. (2011). Innovation and practice of continuous auditing. International Journal of Accounting Information Systems, 12(2), 152–160. doi:10.1016/j.accinf.2011.01.001

Delfiner, M., & Pailhé, C. (2008). Técnicas cualitativas para la gestión del riesgo operacional.

González Tallón, J. M. (2011). ¿ Puede la auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría ? Auditoría Pública, 54, 33 – 42. Retrieved from http://www.auditoriapublica.com/hemeroteca/Pag 33-42 no 54.pdf

Heffes, E. (2006). Theory to practice; continuous auditing gains. Financial Executive, 17–18. Retrieved from http://scholar.google.com/scholar?hl=en&btnG=Search&q=intitle:Theory+to+Practice:Continuous+Auditing+Gains#0

IIA. (2005a). GTAG 1. Controles de Tecnología de la Información (No. 1a Edición). Altamonte Springs (Florida).

IIA. (2005b). Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment. The Institute of Internal Auditors.

IIA. (2013). Practice Advisory 2320-4 : Continuous Assurance. Retrieved from https://na.theiia.org/standards-guidance/Member Documents/PA_2320-4.pdf

Instituto de Auditores Internos de España. (2014a). Guía para implantar con éxito un modelo de Auditoría Continua.

Instituto de Auditores Internos de España. (2014b). Retos y Expectativas de Futuro para la Auditoría Interna de las Entidades de Crédito Retos y Expectativas de Futuro para la Auditoría Interna de las Entidades de Crédito.

ISACA. (2010). IS Auditing Guideline: G42 Continuous Assurance. ISACA. Retrieved from http://www.isaca.org/Knowledge-Center/Standards/Documents/G42-Continuous-Assurance-18Feb10.pdf

Klein Tank, K. (2011). Continuous Auditing & Continuous Monitoring in a Broader Perspective The Performance Management Potential of CA & CM. Risk Management. University of Twente.

Kogan, A., Alles, M. G., & Vasarhelyi, M. A. (2010). Analytical Procedures for Continuous Data Level Auditing : Continuity Equations. Accounting and Finance.

KPMG. (2013). Encuesta Global a directores miembros de Comités de Auditoría. Retrieved from www.kpmg.com/aci

KPMG, & Instituto de Auditores Internos de España. (2015). Visión 2020. Desafìos de Auditorìa Interna en el horizonte 2020.

KRIEX. (2015). Setting Up a Key Risk Indicator Program. Retrieved from http://www.kriex.org/Public.KRIServices.aspx

Loh, S. (2002). Using Continuous Assurance to Detect Fraud in e-commerce Transactions. Design. The University of New South Wales.

Lombardi, D., Bloch, R., & Vasarhelyi, M. A. (2014). The future of Audit. Journal of Information Systems and Technology Management, 11(1), 21–32.

Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., & Thibodeau, J. (2011). Auditing & Assurance Services (4th ed.). New York: McGraw-Hill.

Millage, A. (2014). La Auditoría Interna en el 2015. Nota del Editor. Internal Auditor, LXXI(VI).

Murcia, F. D. (2008). Continuous Auditing : A Literature Review Auditoria Contínua : uma revisão da literatura. Organizações Em Contexto, 4(7), 1–17.

Pinilla Forero, J. D. (1997). Auditoría de Sistemas en funcionamiento (1a ed., p. 278). Santafé de Bogota: ROESGA.

Pino, F. J., Baldassarre, M. T., Piattini, M., & Visaggio, G. (2010). Harmonizing maturity levels from CMMI-DEV and ISO/IEC 15504. Journal of Software Maintenance and Evolution: Research and Practice., (22), 279–296. doi:10.1002/spip

Protiviti. (2014). Assessing the Top Priorities for Internal Audit Functions.

PWC. (2014). Estudio sobre el estado de la profesiòn de Auditorìa Interna de 2014.

Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations, benefits, problems, and challenges identified by partners of a Big 4 accounting firm. In 36th Annual Hawaii International Conference on System Sciences (Vol. 00, pp. 1–10). Ieee. doi:10.1109/HICSS.2003.1174565

Senft, S., & Gallegos, F. (2009). Information Technology Control and Audit (3a ed., p. 767). Taylor & Francis Group LLC.

Smieliauskas, W., & Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach (5th ed., pp. 1–28). Retrieved from http://highered.mcgraw-hill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdf

Texeira, C. R. (2009). A Importância atribuída pelos Empresários da da Rocha Alves da Silva Grande Lisboa ao Controlo Interno.

Thomson Reuters. (2014). State of Internal Audit Survey 2014 – Adapting to Complex Challenges?

Thornton, G. (2011). Looking to the future : Perspectives and trends from internal audit leaders. Risk Management (p. 20).

Valencia Duque, F. J. (2012). La Auditorìa Continua, gènesis, evoluciòn, estado actual y aplicaciòn en el sector pùblico Colombiano. In Congreso Latinoamericano de Auditoría Interna 2012. Asunciòn (Paraguay): Federaciòn Latinoamericana de Auditorìa Interna.

Vasarhelyi, M. A. (1984). Automation and changes in audit process. Auditing: A Journal of Practice & Theory, 4(1).

Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010). Continuous Assurance for the Now Economy (First Edit.). Sidney (Australia): The Institute of Chartered Accountants in Australia.

*Curriculum Vitae Francisco Javier Valencia Duque

c.c. 10’280.374 fjvalenciad@unal.edu.co

Certificaciones Internacionales

Certified Information Systems Auditor (CISA)

Certified in Risk and Information Systems Control (CRISC)

COBIT Foundations

Datos académicos

Magister en Administraciòn de Tecnologìas de Informaciòn Instituto Tecnològico de Estudios Superiores de Monterrey. 2008

Especialista en Diseño de Sistemas de Auditorìa Universidad Nacional de Colombia. 1998 Ingeniero de Sistemas Universidad Antonio Nariño. 2004. Tarjeta Profesional 17255136083 Administrador de Empresas Universidad Nacional de Colombia. 1994. Tarjeta Profesional 18761

Datos Profesionales

Docente/Investigador Universidad Nacional de Colombia (sede Manizales) 2010- a la fecha Director del programa de Especialización en Auditoría de Sistemas Universidad Nacional de Colombia 2010- a la fecha Auditor de Sistemas de Información/Experto en gestión de riesgos Independiente. 2008-2010

Coordinador de Auditoría y Verificación UNE EMTELSA S.A. E.S.P. 1999-2008