Resumen de IIA GTAG_17!03!06

L I B R O B L A N C O

Auditoría permanente:

Implicancias para el aseguramiento,

el monitoreo y la evaluación de riesgos

Resumen de la Guía de auditoría de tecnología global de IIA

http://www.acl.com

www.theiia.org

Como Director ejecutivo de auditoría (DEA), reconocí la necesidad creciente de orientación

sobre la gestión de la tecnología redactada en forma específica para ejecutivos, a fin

de ayudarlos a mantenerse al tanto del panorama comercial actual en constante evolución.

Al asumir la Presidencia del Institute of Internal Auditors (IIA) (Instituto de Auditores

Internos) decidí dar prioridad al desarrollo de este tipo de orientación. Así nació la serie

de Global Technology Audit Guides (GTAG) (Guías de auditoría de tecnología global).

Este libro blanco es un resumen de la tercera guía de la serie, Auditoría permanente:

implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos y busca

brindar asesoramiento sobre la manera de alcanzar un aseguramiento oportuno y

permanente respecto de la efectividad de los sistemas de gestión de riesgo y de control,

especialmente frente a las presiones normativas y comerciales en aumento.

La profesión de auditoría se ha visto profundamente afectada por varios acontecimientos

en años recientes. Si bien las consecuencias en el largo plazo todavía están por verse, hay

algo que resulta evidente: ¡el presente es un momento excelente para ser auditor interno!

Las calificaciones y la habilidad del sector de auditoría interna, así como el enfoque

en la evaluación de riesgos y controles pueden valorarse como nunca antes. La Ley Sarbanes-

Oxley y otras reglamentaciones de diferentes lugares del mundo han dado lugar a nuevas

demandas y oportunidades: auditoría interna debe responder a las exigencias rigurosas

del cumplimiento.

Si bien las oportunidades son atractivas, los desafíos y la consecuente carga sobre los

departamentos de auditoría interna resultan apabullantes para numerosas organizaciones.

Los conceptos de auditoría, monitoreo y aseguramiento continuos, tal como se los presenta

en este libro blanco y en la guía sobre la que este documento se basa, constituyen elementos

clave para hallar una solución sostenible y que haga uso eficiente de los recursos disponibles.

Quisiera invitarlo a aplicar las nociones de este libro blanco y de la serie completa de guías

GTAG en su organización como base para la evaluación y construcción de la estructura

y de las prácticas de auditoría para el control, el cumplimiento de la normativa y el

aseguramiento. Confío en que la combinación de estos recursos lo ayudará a responder

a los desafíos del cambio constante, la complejidad creciente, las amenazas que evolucionan

con rapidez y la necesidad permanente de mejorar la eficiencia sin pausa.

La serie de guías GTAG atestigua más allá de toda duda lo que el IIA hace mejor:

“Progresar compartiendo”.

David A. Richards, CIA, CPA President,

The Institute of Internal Auditors, Inc.

PRÓLOGOpor David Richards,

President,The IIA

El nuevo entorno de auditoría .......................................................................................1

El enfoque de auditoría permanente ............................................................................1

Aplicación de la auditoría permanente .........................................................................3

Aplicaciones para la evaluación permanente de los controles ............................................3

Aplicaciones para la evaluación permanente de los riesgos ...............................................4

Implementación de la auditoría permanente ...............................................................5

Pautas para la implementación .........................................................................................5

Pasos clave para la implementación de la auditoría permanente .......................................7

Necesidad de un enfoque integrado a través de la auditoría permanente

y el monitoreo continuo ..................................................................................................8

Monitoreo continuo .....................................................................................................8

Auditoría permanente ..................................................................................................8

Aseguramiento continuo ..............................................................................................9

Ventajas de un enfoque de auditoría permanente/monitoreo continuo ..................9

Conclusión .......................................................................................................................10

El contenido de este libro blanco se ha extraído y resumido de la tercera edición de la Serie de Global Technology Audit

Guide (GTAG) (Guía de auditoría de tecnología global) del Institute of Internal Auditors (IIA) (Instituto de Auditores

Internos), denominada Auditoría permanente: implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos,

sido autor por David Coderre. El IIA ha otorgado el permiso para usarla con la única intención de brindar información

pertinente para educar e informar a los lectores respecto del tema de la auditoría permanente. El uso de material del

IIA de ninguna manera indica que el IIA avale producto o servicio alguno relacionados con el tema en cuestión.

ÍNDICE

http://www.acl.com

ACL, el logotipo de ACL, el logotipo de ACL con el texto “Data you can trust. Results you can see.” son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las demás marcas comerciales son propiedad de sus respectivos dueños.

© 2005 ACL Services Ltd.WP/GTAG/S/181105

1

La necesidad de garantizar la efectividad puntual y continua de la gestión de riesgos y los sistemas de control es clave. Las organizaciones se enfrentan permanentemente a errores, fraudes e ineficiencias sustanciales que pueden desencadenar pérdidas financieras e incrementar el riesgo. Además, el marco normativo en evolución, la globalización creciente, las presiones del mercado para mejorar las operaciones y las condiciones comerciales que cambian con rapidez exigen que las organizaciones se aseguren de que los controles internos sean eficaces y de que la mitigación del riesgo se lleve a cabo debidamente.

La nueva realidad presiona a las organizaciones para que mejoren los métodos de evaluación continua de los controles internos que realizan el departamento de auditoría interna y la administración. Esta situación ha renovado el interés en la auditoría permanente y en la investigación sobre métodos para instrumentar las mejores prácticas de auditoría dentro de los procesos comerciales a fin de transferir la propiedad de la evaluación y el monitoreo de los controles internos a la administración.

El presente libro blanco explora el uso eficaz de la tecnología como apoyo de la auditoría permanente. Su propósito es el de colaborar con los auditores para que maximicen el rendimiento de la inversión tecnológica y para demostrar las ventajas de estas inversiones dentro de una perspectiva de cumplimiento con la legislación y desempeño.

Hoy en día, los departamentos de auditoría interna participan activamente de los más variados esfuerzos por cumplir con la normativa, especialmente debido a legislación como la Sección 404 de la Ley Sarbanes-Oxley. Estos esfuerzos han despertado inquietudes, no sólo sobre las expectativas en aumento, sino también sobre la capacidad del departamento de auditoría interna de mantener la independencia y la objetividad a la hora de evaluar la efectividad de los controles, la gestión de riesgos y los procesos de autoridad.

Es así que el departamento de auditoría interna enfrenta desafíos en varias áreas:

Cumplimiento de la normativa y controles

Valor e independencia de la auditoría interna

Detección y control de fraudes

Disponibilidad de recursos capacitados

Determinación de soluciones tecnológicas adecuadas

Para hacer frente a estos desafíos, es fundamental recurrir a un nuevo enfoque: un enfoque que constituya un medio sostenible y rentable de enfrentar los desafíos que implican las auditorías presentes y futuras.

Por tradición, la evaluación de los controles del departamento de auditoría interna se lleva a cabo según un modelo retrospectivo y cíclico: este tipo de actividades suelen desarrollarse por lo menos meses después de que hayan tenido lugar las actividades comerciales. Los procedimientos de evaluación solían basarse en un enfoque de muestreo e incluían actividades como la revisión de políticas, procedimientos, aprobaciones y conciliaciones. Este enfoque, lamentablemente, otorga a los auditores internos un margen reducido de evaluación que suele demorarse demasiado como para ser de alguna utilidad verdadera para el rendimiento comercial o el cumplimiento de la normativa.

Ahora bien, en algunas organizaciones, se hace uso de la tecnología para instrumentar la auditoría permanente, un proceso automático que ejecuta evaluaciones de riesgos y controles con mayor frecuencia. La auditoría permanente modifica el paradigma de las auditorías: éstas dejan de ser una mera revisión de ejemplos de transacciones para transformarse en procedimientos continuos de auditoría que evalúan el 100 por ciento de las transacciones.

EL NUEVO ENTORNO DE AUDITORÍA

EL ENFOQUE DE AUDITORÍA PERMANENTE

INTRODUCCIÓN



2

Asimismo, los objetivos del marco de aceptación general para la evaluación y el monitoreo de los controles internos, el Marco integrado para la gestión de riesgos empresariales del COSO (Comité de organizaciones patrocinantes de la comisión Treadway) insta a los departamentos de auditoría a abordar sus actividades desde un punto de vista comercial.

Estos objetivos cambian el enfoque de la auditoría permanente, que deja de centrarse en el cumplimento de los controles y las normas para abocarse a mejorar la eficiencia de las operaciones dentro de la organización. En consecuencia, estas medidas no exigen únicamente procedimientos de auditoría puntuales, sino procedimientos que incrementen el alcance y la profundidad de la auditoría.

La auditoría permanente es un marco integrador de las funciones y metodología del departamento de auditoría. Esta noción puede aplicarse a cuestiones de microauditoría, como puede ser la evaluación detallada de las transacciones procurando evaluar la efectividad de los controles, y a cuestiones de macroauditoría, como, por ejemplo, el uso de la identificación y la evaluación de riesgos para crear el plan de auditoría anual. También responde a los requisitos del nivel medio, como, por ejemplo, el desarrollo de los objetivos de auditoría para cada caso en particular.

Un enfoque de auditoría permanente permite que los auditores internos:

Comprendan cabalmente los puntos, las normas y las excepciones clave de los controles

Ejecuten controles y evaluaciones de riesgo en tiempo real o en un período cercano al tiempo real

Analicen los sistemas empresariales clave en busca de anomalías a nivel de las transacciones

Examinen indicadores basados en datos de las deficiencias en los controles y el riesgo emergente

Integren los resultados de sus análisis a todos los aspectos del proceso de auditoría

La auditoría permanente presenta la ventaja de una evaluación inteligente e ininterrumpida de los controles y riesgos que genera notificaciones oportunas, sobre las deficiencias y los puntos débiles, de los que se hace un seguimiento y se procura solucionarlos. Al modificar el enfoque global de esta manera, los auditores alcanzarán una comprensión más amplia de su entorno empresarial y de los riegos potenciales para su compañía a fin de favorecer el cumplimiento con las normas y de mejorar el desempeño comercial.

El Marco para la gestión de riesgos empresariales del COSO

La auditoría permanente es un

método que aplican los auditores para

llevar a cabo actividades relacionadas

con la auditoría de manera continua.

Las actividades van desde la evaluación

permanente de los controles hasta

la evaluación permanente de los riesgos.

La tecnología desempeña un papel clave

para que ésta sea una opción viable

a través de la automatización.

El monitoreo continuo de los

controles es un proceso implementado

por la administración para asegurarse

de que se cumplan sus políticas

y procedimientos, además de que

los procesos comerciales estén

funcionando con eficiencia. El monitoreo

continuo suele incluir la evaluación

automatizada permanente de todas

las transacciones dentro del área

de un proceso comercial respecto

de un conjunto de normas de control.

El aseguramiento continuo

es la combinación de actividades

desarrolladas por el departamento

de auditoría interna para evaluar

en forma independiente los controles

internos y la gestión del riesgo, además

de las actividades de monitoreo

de los controles por parte

de la administración.

DEFINICIONES

Cumplimiento

Ambiente interno

Establecimiento de objetivos

Identificación de eventos

Evaluación de riesgos

Respuesta al riesgo

Actividades de control

Información y comunicación

Supervisión

Información

EstrategiaOperaciones



3

Cada vez aumentan más las presiones para que el departamento de auditoría haga más con menos. Entre los desafíos más exigentes a los que debe responder el área de auditoría, están los siguientes:

Brindar un aseguramiento de la efectividad de los controles internos en tiempo y forma

Identificar y evaluar los niveles de riesgo con mayor precisión

Identificar con celeridad el incumplimiento de la normativa y las políticas

A todas estas áreas puede aplicarse la auditoría permanente. La tecnología instrumental para estos procesos puede incluir desde software de planillas de cálculo o scripts desarrollados con software específico para auditorías hasta paquetes de soluciones comerciales o sistemas personalizados. La solución que se prefiera debe ser flexible y escalable, y debe permitir que los auditores comiencen su trabajo en un área para luego ampliar del ámbito, la escala y la frecuencia de su análisis.

Las actividades que conforman la auditoría permanente van desde la evaluación continua de los controles hasta la evaluación continua de los riesgos. A continuación, de describen las aplicaciones para cada una de las áreas.

Aplicaciones para la evaluación permanente de los controles

Por medio de estudios analíticos instrumentados a través de la tecnología, el departamento de auditoría puede evaluar el marco de controles internos y garantizar de manera independiente su aptitud frente al comité de auditoría y los directivos. Las evaluaciones permanentes de los controles no necesitan hacerse en tiempo real. La frecuencia de los análisis dependerá del nivel de riesgo y del grado en el que la administración está monitoreando los controles.

Identificación de deficiencias en los controlesSi bien es de aceptación general el hecho de que la administración es responsable del monitoreo, el diseño y el mantenimiento de los controles, la norma 2120.A1 del Institute of Internal Auditors (IIA) (Instituto de Auditores Internos) establece lo siguiente: “el departamento de auditoría debe asistir a la organización en el mantenimiento de controles eficaces, a través de la evaluación de la efectividad y eficiencia de éstos, y de la promoción de mejoras permanentes”. La identificación de deficiencias y puntos débiles es básica para el cumplimiento de la normativa como Sección 404 de la Ley Sarbanes-Oxley.

Según el grado en el que la administración esté monitoreando los controles internos, puede esperarse que los auditores realicen evaluaciones permanentes de los controles más minuciosas. La evaluación del control permanente de los datos de transacciones contra los controles internos puede poner de relieve errores y anomalías con rapidez. Estas situaciones pueden informarse a la administración para que se tomen las medidas necesarias en forma inmediata. También puede contribuir a la confiabilidad e integridad de la información financiera y operativa, además de a la eficiencia y efectividad de las operaciones.

Revelación de fraude, derroche y abusoEl uso de tecnologías de apoyo para la evaluación permanente de los controles puede ayudar a que el departamento de auditoría analice las transacciones en detalle y también los datos resumidos a fin de identificar anomalías y demás indicadores de derroche, abuso y fraude. Por ejemplo, auditoría puede sacar provecho de los datos para identificar casos en los que se excedió o evitó la autoridad contractual. Por ejemplo, en la nómina, puede servir para identificar empleados ficticios o tarifas anormales.

APLICACIÓN DE LA AUDITORÍA

PERMANENTE



4

Aplicaciones para la evaluación permanente de los riesgos

Si bien la administración tiene la responsabilidad de desarrollar y mantener un sistema de identificación y mitigación del riesgo, los auditores son responsables de la identificación y la evaluación de la exposición al riesgo, y de colaborar para mejorar la gestión del riesgo y el control. Es responsabilidad de los Directores ejecutivos de auditoría (DEAs) instrumentar planes basados en los riesgos y determinar las prioridades de la actividad del departamento de auditoría interna, de forma tal que ésta sea congruente con las metas de la organización.

El departamento de auditoría puede valerse de una evaluación permanente de los riesgos para identificar y evaluar los niveles cambiantes de riesgo en estas dos actividades relacionadas. Esto permite que auditoría evalúe las actividades que realiza la administración para la mitigación del riesgo y apoye los objetivos de desarrollo de las auditorías individuales y del plan de auditoría anual.

La evaluación permanente de los riesgos no es un sistema estático. La identificación de indicadores y la evaluación de su uso y valor son tareas clave. Deben realizarse evaluaciones continuas de los riesgos internos y externos con el objetivo de informar sobre los riesgos potenciales y de hacerles frente en forma oportuna y adecuada. Corresponde al DEA determinar la manera en que se aplicarán los resultados de la auditoría para la gestión del riesgo empresarial.

Desarrollo del plan de auditoría La evaluación permanente de los riesgos hace posible que el DEA aplique a los planes de auditoría un contexto más estratégico. Asimismo, proporciona una ayuda de alto nivel que permite la identificación basada en datos y la evaluación de los indicadores de riesgo. Por otro lado, la evaluación continua de los riesgos contribuye al establecimiento de un “universo” para la auditoría y a la recopilación de datos cuantitativos, lo que facilita que el departamento de auditoría se centre en el riesgo de alta prioridad y optimiza la adjudicación de sus escasos recursos.

El plan de auditoría anual puede no estar respondiendo con suficiente precisión a los niveles cambiantes de riesgo dentro de un entorno comercial que evoluciona con velocidad. No obstante, por medio de actividades asistidas por la tecnología, se simplifica la actualización de las evaluaciones de los riesgos, así como el monitoreo de los indicadores de riesgo en forma continua.

Apoyo para auditorías individualesLa evaluación permanente de los riesgos contribuye con las auditorías individuales porque colabora con la identificación y la evaluación de los riesgos, además de con el desarrollo del alcance y los objetivos pertinentes. También puede usarse para determinar la ubicación de las auditorías y sus criterios específicos, como, por ejemplo, las líneas de consulta.

La principal diferencia entre el uso de la evaluación permanente de los riesgos para desarrollar el plan de auditoría anual para toda la empresa y para brindar apoyo a las auditorías individuales es el grado en el que se empleará la información detallada para identificar y evaluar los riesgos. El plan de auditoría anual para toda la empresa puede requerir únicamente de información resumida para cada una de las entidades. Por otro lado, para una auditoría individual hace falta información más detallada a fin de identificar los riesgos a un nivel que respalde la definición del ámbito de la auditoría y el desarrollo de sus objetivos.

En una auditoría convencional, la escala y el ámbito de los procedimientos de revisión analítica se encuentran limitados por el tipo y la cantidad de datos que pueden recolectarse por medio de las técnicas tradicionales. Por el contrario, en un proceso de auditoría permanente, existe la posibilidad de aumentar la cantidad y el alcance de los datos de que dispone el auditor.



5

Seguimiento de las recomendaciones del departamento de auditoría Al vincular los indicadores basados en datos con las recomendaciones, los auditores pueden utilizar la evaluación permanente de los riesgos para determinar si se han instrumentado las recomendaciones y si están teniendo las consecuencias que se buscaban. Particularmente, si se utilizara la evaluación permanente de los riesgos para identificar y evaluar el riesgo como parte del desarrollo del ámbito y los objetivos de la auditoría, podrían usarse los mismos indicadores para evaluar el impacto de la instrumentación de las recomendaciones de auditoría.

La noción de auditoría permanente no engloba un concepto difícil. Aun así, los auditores no han generalizado la implementación de la auditoría permanente, así como tampoco los directivos han aceptado la idea plenamente ni aportado los fondos para la tecnología necesaria.

Para que la implementación de este concepto sea un éxito, todos los participantes deben confiar en él y abocarse a un enfoque escalonado que se ocupe de los sistemas críticos de la empresa. Si bien es cierto que cada organización es única, existe un número de pasos comunes que deben planearse y administrarse denodadamente cuando se procura introducir la auditoría permanente.

Pautas para la implementación

El DEA debe reconocer que la auditoría permanente modifica el paradigma de la auditoría, lo que incluye la naturaleza de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo. Todo lo anterior implica que el departamento de auditoría deberá enfrentar nuevas exigencias. Para poder cumplir mejor con estas exigencias, deben instrumentarse las siguientes pautas básicas para la implementación.

Obtener apoyo a nivel ejecutivoUna vez definidos los objetivos de la auditoría permanente, debe obtenerse el apoyo del comité de auditoría y de los directivos. Debe informarse al comité de auditoría y a los directivos de las condiciones previas, especialmente de los requisitos de acceso y de cómo y cuándo se reportarán los resultados. En caso contrario, podría ponerse en tela de juicio la legitimidad de la auditoría permanente, lo que podría entorpecer el proceso cuando se identifiquen anomalías y se busque a los gerentes para pedirles explicaciones.

Determinar el ámbito y la frecuencia de las pruebasA la hora de determinar el momento, el ámbito y la cobertura de las pruebas de auditoría permanente, el DEA debería considerar en primera instancia los objetivos de la auditoría permanente, la necesidad de riesgo de la organización, el nivel y la naturaleza del monitoreo de la administración y las actividades de riesgo de la empresa. El paso siguiente es el de determinar la frecuencia de las pruebas de auditoría continua. La frecuencia variará de la revisión de transacciones detalladas en tiempo real o en un período cercano al tiempo real a los análisis periódicos de transacciones detalladas, imágenes instantáneas o datos resumidos. No hay una respuesta simple a la pregunta sobre la frecuencia con la que deben llevarse a cabo las pruebas de auditoría continua: baste decir que una mayor frecuencia suele ser mejor que una menor. Es importante tener presente que la automatización de las pruebas de auditoría permanente reduce el costo de ejecución de las evaluaciones de los riesgos y de la verificación de los controles.

IMPLEMENTACIÓN DE LA AUDITORÍA

PERMANENTE



6

Identificar las fuentes de información y obtener el acceso a la información adecuadaSi bien este paso se asemeja al que se sigue para cualquier auditoría o revisión de los controles, su objetivo principal es el de evitar las limitaciones de los modos antiguos de pensar. El DEA debe haber adquirido una comprensión cabal de los objetivos antes de definir los requisitos de información. En primer lugar, debe identificarse lo que debe lograrse. Posteriormente podrá determinarse cómo se hace esto.

Para que la implementación de la auditoría permanente sea exitosa, es fundamental el acceso a los datos pertinentes. El DEA deberá identificar las aplicaciones comerciales a las que el departamento de auditoría necesita acceder y determinar cuáles son las más importantes. Acto seguido, negociará los derechos de acceso con los propietarios de los sistemas: para esta tarea es necesario estar en buenos términos con la dirección de tecnología de la información.

Asimismo, todos los auditores deben comprender la importancia de identificar las fuentes electrónicas de información, internas y externas. Por ejemplo, aquellos auditores que estén realizando trabajo de campo pueden descubrir aplicaciones desarrolladas por los usuarios finales que podrían resultar de utilidad para la auditoría permanente.

Comprender los procesos comerciales e identificar los controles y riesgos claveUna vez que se han identificado las principales fuentes de información, el departamento de auditoría deberá comprender los sistemas informáticos y los procesos comerciales para los que éstos se emplean. Pueden extraerse las nociones básicas de la documentación existente.

Crear aptitudes para la auditoríaEl personal de auditoría debe estar debidamente capacitado e informado para poder hacer frente a un proceso de auditoría permanente. Especialmente, los auditores que desarrollan y mantienen las aplicaciones para la auditoría permanente deben poseer conocimientos firmes sobre los sistemas a los que acceden y sobre los sistemas y funciones subyacentes que generan las transacciones que se están monitoreando.

Garantizar la integridad de los datosEn una etapa inicial, auditoría debe llevar a cabo una evaluación de la integridad de los datos del sistema comercial. La profundidad de esta evaluación, concepto clave para hallar el punto medio entre una “sobreauditoría” y una “subauditoría”, dependerá de las consecuencias de apoyarse en resultados incorrectos y de establecer el grado de pruebas y verificaciones precisas para reducir el riesgo de la auditoría hasta un nivel permisible.

Gestionar y reportar los resultadosUno de los desafíos concretos que hacen a la implementación de un sistema de auditoría o monitoreo permanente es el de asegurar la respuesta eficiente para controlar las excepciones y los riesgos que se identifican. Al comenzar la implementación de un sistema de auditoría o monitoreo permanente, no sorprende encontrar una gran cantidad de excepciones. El sistema de auditoría permanente debe permitir la configuración de los parámetros para identificar las deficiencias de control o los riesgos que representen una preocupación considerable. Además, la naturaleza de la respuesta del departamento de auditoría a las excepciones no será siempre la misma. No hará falta una auditoría o una acción inmediata frente a todas las excepciones. Debe establecerse una prioridad entre los resultados para actuar ante éstos según corresponda.



7

La siguiente tabla resume los pasos clave para la implementación de la auditoría permanente:

Pasos clave para la implementación de la auditoría permanente

Objetivos de la auditoría permanente

Definir los objetivos de la auditoría permanente

Obtener y administrar el apoyo de los directivos

Asegurarse de la profundidad de la función de monitoreo de la administración

Identificar las áreas a las que debe hacerse frente, establecer prioridades entre ellas

y decidir los tipos de auditoría permanente que deben aplicarse

Identificar los sistemas de información y las fuentes de los datos clave

Comprender los procesos comerciales y los sistemas de aplicación subyacentes

Desarrollar relaciones con la dirección de tecnología de la información

Acceso a los datos y uso de los mismos

Seleccionar y adquirir herramientas de análisis

Desarrollar capacidades de acceso y análisis

Desarrollar y mantener las habilidades y técnicas de análisis de los auditores

Evaluar la integridad y confiabilidad de los datos

Limpiar y preparar los datos

Evaluación permanente de los

controlesEvaluación permanente de los riesgos

Identificar puntos de control clave

Definir las normas y las excepciones

de los controles

Diseñar un enfoque asistido por

la tecnología para evaluar los controles

e identificar las deficiencias

Definir las entidades que deben

evaluarse

Identificar las categorías de riesgo

Identificar los indicadores basados

en datos de riesgo/desempeño

Diseñar pruebas analíticas para medir

el aumento del riesgo

Gestionar y reportar los resultados

Establecer prioridades entre los resultados y determinar la frecuencia de las actividades

de auditoría permanente

Realizar pruebas de manera regular y oportuna

Identificar las deficiencias en los controles o el aumento en los niveles de riesgo

Establecer prioridades entre los resultados

Responder con la acción de auditoría pertinente y comunicar los resultados

a la administración

Gestionar los resultados, el rastreo, la presentación de informes, el monitoreo

y el seguimiento inclusive

Evaluar los resultados de las acciones que se siguieron

Monitorear y evaluar la efectividad del proceso de auditoría permanente, tanto

el análisis (por ejemplo, normas/indicadores) como los resultados alcanzados, y variar

los parámetros de evaluación según sea necesario



8

A la luz de las preocupaciones de los DEAs sobre la carga que representan los esfuerzos por cumplir con la normativa, la escasez de recursos y la necesidad de mantener la independencia de la auditoría, resulta ideal la aplicación de un enfoque integrado en el que el departamento de auditoría se ocupe de la auditoría permanente y la administración, del monitoreo continuo.

Si los auditores cumplen con su trabajo: la verificación de los controles y riesgos: y la administración, con el suyo: el desarrollo y monitoreo de los controles, y la gestión del riesgo: la organización contará con un nivel más alto de aseguramiento de que los controles funcionan, los riesgos se están gestionando y la información para la toma de decisiones posee integridad.

Monitoreo continuo

El monitoreo continuo suele responder a la responsabilidad de los administradores de evaluar la aptitud y efectividad de los controles. Varias técnicas de monitoreo continuo se asemejan a las que auditoría interna puede aplicar en la auditoría permanente.

Un elemento clave que hace al monitoreo continuo es que la administración debe ser propietaria del proceso y llevarlo a cabo. Puesto que la administración es responsable de los controles internos, debe tener los medios para determinar en forma permanente si los controles funcionan según fueron planeados. La capacidad de identificar y corregir los problemas respecto de los controles en tiempo y forma mejora el sistema total de control.

Auditoría permanente

Existe una relación inversa entre la aptitud de las actividades de monitoreo continuo que lleva a cabo la administración y las actividades de auditoría permanente que desarrolla el departamento de auditoría.

El enfoque de auditoría en cuanto a la profundidad de la auditoría permanente depende de la profundidad de la implementación del monitoreo continuo por parte de la administración. En aquellas áreas en las que la administración no ha implementado un monitoreo continuo, auditoría debería realizar evaluaciones detalladas empleando técnicas de auditoría permanente.

En cambio, en aquellas áreas en las que la administración sí ha implementado un monitoreo continuo exhaustivo, auditoría interna ya no necesitará usar las mismas técnicas detalladas que se aplican en un contexto de auditoría permanente. En vez de esto, el auditor debe instrumentar procedimientos que busquen determinar si el proceso de monitoreo continuo es confiable.

NECESIDAD DE UN ENFOQUE INTEGRADO A TRAVÉS

DE LA AUDITORÍA PERMANENTE Y EL MONITOREO CONTINUO

Respuesta de la administración

Esfuerzo de auditoría

Monitoreo exhaustivo

de los controles internos

Esfuerzo sustancial/más recursos

Esfuerzo reducido

Escaso monitoreo de los

controles



9

Aseguramiento continuo

El aseguramiento de auditoría es una declaración de la aptitud y efectividad de los controles y de la integridad de la información. El monitoreo continuo de controles por parte de la administración es un punto central

dentro de las estrategias efectivas de aseguramiento. No obstante, auditoría también debe garantizar que las actividades de la administración sean pertinentes y efectivas.

El departamento de auditoría interna presta servicios de aseguramiento a través del examen objetivo de las pruebas. Puede suministrarse un aseguramiento continuo cuando auditoría lleva a cabo evaluaciones ininterrumpidas de controles y riesgos, como por ejemplo una auditoría permanente, y evalúa la aptitud de las actividades de monitoreo continuo de la administración.

Desde su función de gerencia, cabe a la administración la responsabilidad primaria de evaluar los riesgos y de realizar la gestión de los controles dentro de una organización. Auditoría interna es responsable de la identificación y la evaluación de la efectividad del sistema de gestión del riesgo y de los controles de la organización, según implementa estas actividades la administración. Los resultados de la auditoría permanente y el monitoreo continuo (a cargo de la administración) son similares y abarcan notificaciones o advertencias para señalar las deficiencias en los controles o los niveles más elevados del riesgo.

Ante estas notificaciones, la administración puede proceder a solucionar inmediatamente una deficiencia en los controles y a corregir una transacción errónea. El departamento de auditoría puede responder realizando una auditoría inmediata del sistema de control cuyas falencias han quedado en descubierto o bien señalando un área para la realización de una auditoría en el futuro.

Una de las ventajas más importantes de la auditoría continua es su independencia de los sistemas operativos y financieros subyacentes, así como del monitoreo del que se encarga la administración. Esta autonomía mejora los marcos administrativo y de control, a la vez que aporta mecanismos a los que pueden recurrir los auditores para apoyar sus actividades independientes de revisión y evaluación.

VENTAJAS DE UN ENFOQUE DE AUDITORÍA PERMANENTE/

MONITOREO CONTINUO

Aseguramiento continuo

Resultados del proceso de auditoría permanente y monitoreo continuo

Evaluación del monitoreo continuo realizada por el departamento de auditoría Auditoría permanente

Monitoreo continuo

Actividades, transacciones y acontecimientos

Sistemas y procesos comerciales

Auditoría, monitoreo y aseguramiento continuos (Modelo conceptual)

AD

MIN

ISTR

ACI

ÓN

AU

DIT

ORÍ

A



10

La auditoría permanente ayuda a que el departamento de auditoría pueda evaluar la función de monitoreo que realiza la administración. Esto faculta al DEA a presentar ante el comité de auditoría y los directivos la garantía independiente de que los sistemas de control y los procesos de auditoría están funcionando con la debida eficiencia. También permite identificar las áreas de riesgo y brindar información a los auditores, que puede comunicarse a la administración para ayudar a mitigar el riesgo.

Entre los beneficios que pueden esperarse dentro de un marco de auditoría permanente, se destacan:

Mayor capacidad de mitigación de riesgos

Reducción en el costo de evaluación de los controles internos

Aumento de la confianza en los resultados financieros

Mejoras a las operaciones financieras

Reducción de los errores financieros y del potencial de fraude

Mayor rentabilidad

Si bien puede lograrse mayor eficiencia maximizando el uso de la tecnología, la auditoría permanente no está exenta de desafíos. Es necesario entender y controlar la tecnología, tanto como los procesos y sistemas comerciales subyacentes. Los auditores deben tener acceso a las herramientas de software y datos, y a las técnicas y conocimientos necesarios para aprovechar con inteligencia la gran cantidad de información financiera y de otro tipo.

Vistos los desafíos actuales, es imperativo que el DEA halle nuevas formas de responder con eficiencia a las demandas de un entorno comercial que cambia con rapidez y a la carga creciente de requisitos normativos que afectan al sector de auditoría interna. El enfoque integrado de auditoría permanente y monitoreo continuo, con instrumentación tecnológica, es clave para la concreción de una solución sostenible, rentable y que haga uso eficiente de los recursos.

El DEA puede ver estos desafíos como oportunidades para ofrecer un valor sin igual para la organización. El departamento de auditoría interna está en una posición única para asegurar a la organización que está cumpliendo con el marco normativo, como por ejemplo, con la Ley Sarbanes-Oxley. Más aún, el enfoque integrado que se analiza en el presente trabajo puede ayudar a reducir el costo total del cumplimiento con la normativa a través de el mejoramiento de la eficiencia de los procesos comerciales y de la función del departamento de auditoría. El rendimiento de esta inversión se refleja con rapidez en las mejoras de los resultados contables de la organización, basándose en la identificación certera del aumento de riesgos, errores y fraude, así como en la creación de un entorno de control interno más fuerte en toda la empresa.

CONCLUSIÓN

ACL Headquarters

T +1 604 669 4225F +1 604 669 3557

[email protected]

Acerca de ACL Services Ltd.

ACL es el proveedor internacional líder de Business Assurance Analytics para ejecutivos de las finanzas, profesionales del cumplimiento y auditores. Al combinar el software de estudio analítico de datos líder en el mercado con la experiencia en servicios profesionales, las soluciones de ACL les brindan a las organizaciones confianza en la exactitud e integridad de las transacciones y en la efectividad de los controles internos subyacentes a las operaciones comerciales cada vez más complejas. Desde 1987, la tecnología comprobada de ACL ha permitido garantizar a los responsables financieros el cumplimiento de los controles, reducir los riesgos, detectar los fraudes, mejorar la rentabilidad y lograr una rápida amortización. ACL ofrece sus soluciones en más de 130 países mediante una red global de oficinas y socios de canal de ACL. Nuestros clientes incluyen el 70 por ciento de las compañías Fortune 500 y de los dotrecios de los grupo Global 500, así como cientos de gobiernos nacionales, estaduales y locales, y las Cuatro Grandes firmas contables.

Acerca del IIA

El Institute of Internal Auditors (IIA) (Instituto de Auditores Internos) es la voz global, la autoridad reconocida, el líder asumido, el defensor principal y el principal ente de capacitación de los profesionales dedicados a la auditoría interna en el mundo entero. Fundado en 1941, el IIA presta servicio a miembros de todo el mundo en cuestiones relacionadas con la auditoría interna, la autoridad, el control interno, la auditoría informática, la auditoría del gobierno, la educación y la seguridad. El Instituto de Auditores Internos es el líder mundial en certificación, educación, investigación y orientación tecnológica de la profesión. La entidad fija lasNormas internacionales para el ejercicio profesional de la auditoría interna y brinda orientación complementaria en varios niveles. También se ocupa de certificar profesionales a través del programa Certified Internal Auditor® (CIA®) (Auditor interno certificado) y de otorgar certificaciones con especialización en gobierno, auto-evaluación de controles y servicios financieros. Asimismo, organiza eventos, seminarios y sesiones de capacitación en línea de última generación, diseña productos educativos progresistas, realiza análisis de aseguramiento de la calidad, ofrece servicios de referenciamiento y asesoría, y crea oportunidades de trabajo en red para grupos especializados. Si desea obtener más información acerca del IIA, consulte www.theiia.org.

Acerca de la Serie Global Technology Audit Guides (GTAG) (Guías de auditoría de tecnología global) del IIA

El presente libro blanco es un resumen de la Guía de auditoría de tecnología global del IIA denominada Auditoría permanente: implicancias para el aseguramiento, el monitoreo y la evaluación de riesgos, sido autor por David Coderre, Royal Canadian Mounted Police (Real Policía Montada del Canadá). Entre los colaboradores que participaron se destacan: John G. Verver, ACL Services Ltd., y Donald J. Warren, Center for Continuous Auditing (CCA) (Centro para la auditoría continua) de la Universidad Rutgers.

La guía (GTAG) es la tercera de la serie y está disponible en www.theiia.org y www.acl.com/gtag.

http://www.acl.com

www.theiia.org

www.theiia.org

www.acl.com/gtag

www.acl.com/gtag

Resumen de IIA GTAG_17!03!06

Documents

Transcript of Resumen de IIA GTAG_17!03!06