Auditora permanente: Implicancias para el aseguramiento, el monitoreo y la evaluacin de riesgos

Resumen de la Gua de auditora de tecnologa global de IIA

LIBRO BLANCO

PRLOGO por David Richards, President,The IIA

Como Director ejecutivo de auditora (DEA), reconoc la necesidad creciente de orientacin sobre la gestin de la tecnologa redactada en forma especca para ejecutivos, a n de ayudarlos a mantenerse al tanto del panorama comercial actual en constante evolucin. Al asumir la Presidencia del Institute of Internal Auditors (IIA) (Instituto de Auditores Internos) decid dar prioridad al desarrollo de este tipo de orientacin. As naci la serie de Global Technology Audit Guides (GTAG) (Guas de auditora de tecnologa global). Este libro blanco es un resumen de la tercera gua de la serie, Auditora permanente:

implicancias para el aseguramiento, el monitoreo y la evaluacin de riesgos y busca

brindar asesoramiento sobre la manera de alcanzar un aseguramiento oportuno y permanente respecto de la efectividad de los sistemas de gestin de riesgo y de control, especialmente frente a las presiones normativas y comerciales en aumento. La profesin de auditora se ha visto profundamente afectada por varios acontecimientos en aos recientes. Si bien las consecuencias en el largo plazo todava estn por verse, hay algo que resulta evidente: el presente es un momento excelente para ser auditor interno! Las calicaciones y la habilidad del sector de auditora interna, as como el enfoque en la evaluacin de riesgos y controles pueden valorarse como nunca antes. La Ley SarbanesOxley y otras reglamentaciones de diferentes lugares del mundo han dado lugar a nuevas demandas y oportunidades: auditora interna debe responder a las exigencias rigurosas del cumplimiento. Si bien las oportunidades son atractivas, los desafos y la consecuente carga sobre los departamentos de auditora interna resultan apabullantes para numerosas organizaciones. Los conceptos de auditora, monitoreo y aseguramiento continuos, tal como se los presenta en este libro blanco y en la gua sobre la que este documento se basa, constituyen elementos clave para hallar una solucin sostenible y que haga uso eciente de los recursos disponibles. Quisiera invitarlo a aplicar las nociones de este libro blanco y de la serie completa de guas GTAG en su organizacin como base para la evaluacin y construccin de la estructura y de las prcticas de auditora para el control, el cumplimiento de la normativa y el aseguramiento. Confo en que la combinacin de estos recursos lo ayudar a responder a los desafos del cambio constante, la complejidad creciente, las amenazas que evolucionan con rapidez y la necesidad permanente de mejorar la eciencia sin pausa. La serie de guas GTAG atestigua ms all de toda duda lo que el IIA hace mejor: Progresar compartiendo.

David A. Richards, CIA, CPA President, The Institute of Internal Auditors, Inc.

NDICE

El nuevo entorno de auditora .......................................................................................1 El enfoque de auditora permanente ............................................................................1 Aplicacin de la auditora permanente .........................................................................3 Aplicaciones para la evaluacin permanente de los controles ............................................3 Aplicaciones para la evaluacin permanente de los riesgos ...............................................4 Implementacin de la auditora permanente...............................................................5 Pautas para la implementacin.........................................................................................5 Pasos clave para la implementacin de la auditora permanente .......................................7 Necesidad de un enfoque integrado a travs de la auditora permanente y el monitoreo continuo ..................................................................................................8 Monitoreo continuo .....................................................................................................8 Auditora permanente ..................................................................................................8 Aseguramiento continuo ..............................................................................................9 Ventajas de un enfoque de auditora permanente/monitoreo continuo ..................9 Conclusin.......................................................................................................................10

El contenido de este libro blanco se ha extrado y resumido de la tercera edicin de la Serie de Global Technology Audit Guide (GTAG) (Gua de auditora de tecnologa global) del Institute of Internal Auditors (IIA) (Instituto de Auditores Internos), denominada Auditora permanente: implicancias para el aseguramiento, el monitoreo y la evaluacin de riesgos, sido autor por David Coderre. El IIA ha otorgado el permiso para usarla con la nica intencin de brindar informacin pertinente para educar e informar a los lectores respecto del tema de la auditora permanente. El uso de material del IIA de ninguna manera indica que el IIA avale producto o servicio alguno relacionados con el tema en cuestin.

INTRODUCCIN

La necesidad de garantizar la efectividad puntual y continua de la gestin de riesgos y los sistemas de control es clave. Las organizaciones se enfrentan permanentemente a errores, fraudes e ineciencias sustanciales que pueden desencadenar prdidas nancieras e incrementar el riesgo. Adems, el marco normativo en evolucin, la globalizacin creciente, las presiones del mercado para mejorar las operaciones y las condiciones comerciales que cambian con rapidez exigen que las organizaciones se aseguren de que los controles internos sean ecaces y de que la mitigacin del riesgo se lleve a cabo debidamente. La nueva realidad presiona a las organizaciones para que mejoren los mtodos de evaluacin continua de los controles internos que realizan el departamento de auditora interna y la administracin. Esta situacin ha renovado el inters en la auditora permanente y en la investigacin sobre mtodos para instrumentar las mejores prcticas de auditora dentro de los procesos comerciales a n de transferir la propiedad de la evaluacin y el monitoreo de los controles internos a la administracin. El presente libro blanco explora el uso ecaz de la tecnologa como apoyo de la auditora permanente. Su propsito es el de colaborar con los auditores para que maximicen el rendimiento de la inversin tecnolgica y para demostrar las ventajas de estas inversiones dentro de una perspectiva de cumplimiento con la legislacin y desempeo.

EL NUEVO ENTORNO DE AUDITORA

Hoy en da, los departamentos de auditora interna participan activamente de los ms variados esfuerzos por cumplir con la normativa, especialmente debido a legislacin como la Seccin 404 de la Ley Sarbanes-Oxley. Estos esfuerzos han despertado inquietudes, no slo sobre las expectativas en aumento, sino tambin sobre la capacidad del departamento de auditora interna de mantener la independencia y la objetividad a la hora de evaluar la efectividad de los controles, la gestin de riesgos y los procesos de autoridad. Es as que el departamento de auditora interna enfrenta desafos en varias reas:
Cumplimiento de la normativa y controles
Valor e independencia de la auditora interna
Deteccin y control de fraudes
Disponibilidad de recursos capacitados
Determinacin de soluciones tecnolgicas adecuadas Para hacer frente a estos desafos, es fundamental recurrir a un nuevo enfoque: un enfoque que constituya un medio sostenible y rentable de enfrentar los desafos que implican las auditoras presentes y futuras.

EL ENFOQUE DE AUDITORA PERMANENTE

Por tradicin, la evaluacin de los controles del departamento de auditora interna se lleva a cabo segn un modelo retrospectivo y cclico: este tipo de actividades suelen desarrollarse por lo menos meses despus de que hayan tenido lugar las actividades comerciales. Los procedimientos de evaluacin solan basarse en un enfoque de muestreo e incluan actividades como la revisin de polticas, procedimientos, aprobaciones y conciliaciones. Este enfoque, lamentablemente, otorga a los auditores internos un margen reducido de evaluacin que suele demorarse demasiado como para ser de alguna utilidad verdadera para el rendimiento comercial o el cumplimiento de la normativa. Ahora bien, en algunas organizaciones, se hace uso de la tecnologa para instrumentar la auditora permanente, un proceso automtico que ejecuta evaluaciones de riesgos y controles con mayor frecuencia. La auditora permanente modica el paradigma de las auditoras: stas dejan de ser una mera revisin de ejemplos de transacciones para transformarse en procedimientos continuos de auditora que evalan el 100 por ciento de las transacciones.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

Asimismo, los objetivos del marco de aceptacin general para la evaluacin y el monitoreo de los controles internos, el Marco integrado para la gestin de riesgos empresariales del COSO (Comit de organizaciones patrocinantes de la comisin Treadway) insta a los departamentos de auditora a abordar sus actividades desde un punto de vista comercial.

DEFINICIONES
La auditora permanente es un mtodo que aplican los auditores para llevar a cabo actividades relacionadas con la auditora de manera continua. Las actividades van desde la evaluacin permanente de los controles hasta la evaluacin permanente de los riesgos. La tecnologa desempea un papel clave para que sta sea una opcin viable a travs de la automatizacin.

Estos objetivos cambian el enfoque de la auditora permanente, que deja de centrarse en el cumplimento de los controles y las normas para abocarse a mejorar la eciencia de las operaciones dentro de la organizacin. En consecuencia, estas medidas no exigen nicamente procedimientos de auditora puntuales, sino procedimientos que incrementen el alcance y la profundidad de la auditora.
nes

tegi Estra

Ope

o raci

Info

rma

cin

p Cum

limi

ent

Ambiente interno Establecimiento de objetivos Identicacin de eventos Evaluacin de riesgos Respuesta al riesgo

El monitoreo continuo de los controles es un proceso implementado por la administracin para asegurarse de que se cumplan sus polticas y procedimientos, adems de que los procesos comerciales estn funcionando con eciencia. El monitoreo continuo suele incluir la evaluacin automatizada permanente de todas las transacciones dentro del rea de un proceso comercial respecto de un conjunto de normas de control.

Actividades de control Informacin y comunicacin Supervisin

El Marco para la gestin de riesgos empresariales del COSO

La auditora permanente es un marco integrador de las funciones y metodologa del departamento de auditora. Esta nocin puede aplicarse a cuestiones de microauditora, como puede ser la evaluacin detallada de las transacciones procurando evaluar la efectividad de los controles, y a cuestiones de macroauditora, como, por ejemplo, el uso de la identicacin y la evaluacin de riesgos para crear el plan de auditora anual. Tambin responde a los requisitos del nivel medio, como, por ejemplo, el desarrollo de los objetivos de auditora para cada caso en particular. Un enfoque de auditora permanente permite que los auditores internos:

El aseguramiento continuo es la combinacin de actividades desarrolladas por el departamento de auditora interna para evaluar en forma independiente los controles internos y la gestin del riesgo, adems de las actividades de monitoreo de los controles por parte de la administracin.

Comprendan cabalmente los puntos, las normas y las excepciones clave de los controles
Ejecuten controles y evaluaciones de riesgo en tiempo real o en un perodo cercano al tiempo real
Analicen los sistemas empresariales clave en busca de anomalas a nivel de las transacciones
Examinen indicadores basados en datos de las deciencias en los controles y el riesgo emergente
Integren los resultados de sus anlisis a todos los aspectos del proceso de auditora La auditora permanente presenta la ventaja de una evaluacin inteligente e ininterrumpida de los controles y riesgos que genera noticaciones oportunas, sobre las deciencias y los puntos dbiles, de los que se hace un seguimiento y se procura solucionarlos. Al modicar el enfoque global de esta manera, los auditores alcanzarn una comprensin ms amplia de su entorno empresarial y de los riegos potenciales para su compaa a n de favorecer el cumplimiento con las normas y de mejorar el desempeo comercial.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

APLICACIN DE LA AUDITORA PERMANENTE

Cada vez aumentan ms las presiones para que el departamento de auditora haga ms con menos. Entre los desafos ms exigentes a los que debe responder el rea de auditora, estn los siguientes:
Brindar un aseguramiento de la efectividad de los controles internos en tiempo y forma
Identicar y evaluar los niveles de riesgo con mayor precisin
Identicar con celeridad el incumplimiento de la normativa y las polticas A todas estas reas puede aplicarse la auditora permanente. La tecnologa instrumental para estos procesos puede incluir desde software de planillas de clculo o scripts desarrollados con software especco para auditoras hasta paquetes de soluciones comerciales o sistemas personalizados. La solucin que se preera debe ser exible y escalable, y debe permitir que los auditores comiencen su trabajo en un rea para luego ampliar del mbito, la escala y la frecuencia de su anlisis. Las actividades que conforman la auditora permanente van desde la evaluacin continua de los controles hasta la evaluacin continua de los riesgos. A continuacin, de describen las aplicaciones para cada una de las reas.

Aplicaciones para la evaluacin permanente de los controles

Por medio de estudios analticos instrumentados a travs de la tecnologa, el departamento de auditora puede evaluar el marco de controles internos y garantizar de manera independiente su aptitud frente al comit de auditora y los directivos. Las evaluaciones permanentes de los controles no necesitan hacerse en tiempo real. La frecuencia de los anlisis depender del nivel de riesgo y del grado en el que la administracin est monitoreando los controles. Identicacin de deciencias en los controles Si bien es de aceptacin general el hecho de que la administracin es responsable del monitoreo, el diseo y el mantenimiento de los controles, la norma 2120.A1 del Institute of Internal Auditors (IIA) (Instituto de Auditores Internos) establece lo siguiente: el departamento de auditora debe asistir a la organizacin en el mantenimiento de controles ecaces, a travs de la evaluacin de la efectividad y eciencia de stos, y de la promocin de mejoras permanentes. La identicacin de deciencias y puntos dbiles es bsica para el cumplimiento de la normativa como Seccin 404 de la Ley Sarbanes-Oxley. Segn el grado en el que la administracin est monitoreando los controles internos, puede esperarse que los auditores realicen evaluaciones permanentes de los controles ms minuciosas. La evaluacin del control permanente de los datos de transacciones contra los controles internos puede poner de relieve errores y anomalas con rapidez. Estas situaciones pueden informarse a la administracin para que se tomen las medidas necesarias en forma inmediata. Tambin puede contribuir a la conabilidad e integridad de la informacin nanciera y operativa, adems de a la eciencia y efectividad de las operaciones. Revelacin de fraude, derroche y abuso El uso de tecnologas de apoyo para la evaluacin permanente de los controles puede ayudar a que el departamento de auditora analice las transacciones en detalle y tambin los datos resumidos a n de identicar anomalas y dems indicadores de derroche, abuso y fraude. Por ejemplo, auditora puede sacar provecho de los datos para identicar casos en los que se excedi o evit la autoridad contractual. Por ejemplo, en la nmina, puede servir para identicar empleados cticios o tarifas anormales.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

Aplicaciones para la evaluacin permanente de los riesgos

Si bien la administracin tiene la responsabilidad de desarrollar y mantener un sistema de identicacin y mitigacin del riesgo, los auditores son responsables de la identicacin y la evaluacin de la exposicin al riesgo, y de colaborar para mejorar la gestin del riesgo y el control. Es responsabilidad de los Directores ejecutivos de auditora (DEAs) instrumentar planes basados en los riesgos y determinar las prioridades de la actividad del departamento de auditora interna, de forma tal que sta sea congruente con las metas de la organizacin. El departamento de auditora puede valerse de una evaluacin permanente de los riesgos para identicar y evaluar los niveles cambiantes de riesgo en estas dos actividades relacionadas. Esto permite que auditora evale las actividades que realiza la administracin para la mitigacin del riesgo y apoye los objetivos de desarrollo de las auditoras individuales y del plan de auditora anual. La evaluacin permanente de los riesgos no es un sistema esttico. La identicacin de indicadores y la evaluacin de su uso y valor son tareas clave. Deben realizarse evaluaciones continuas de los riesgos internos y externos con el objetivo de informar sobre los riesgos potenciales y de hacerles frente en forma oportuna y adecuada. Corresponde al DEA determinar la manera en que se aplicarn los resultados de la auditora para la gestin del riesgo empresarial. Desarrollo del plan de auditora La evaluacin permanente de los riesgos hace posible que el DEA aplique a los planes de auditora un contexto ms estratgico. Asimismo, proporciona una ayuda de alto nivel que permite la identicacin basada en datos y la evaluacin de los indicadores de riesgo. Por otro lado, la evaluacin continua de los riesgos contribuye al establecimiento de un universo para la auditora y a la recopilacin de datos cuantitativos, lo que facilita que el departamento de auditora se centre en el riesgo de alta prioridad y optimiza la adjudicacin de sus escasos recursos. El plan de auditora anual puede no estar respondiendo con suciente precisin a los niveles cambiantes de riesgo dentro de un entorno comercial que evoluciona con velocidad. No obstante, por medio de actividades asistidas por la tecnologa, se simplica la actualizacin de las evaluaciones de los riesgos, as como el monitoreo de los indicadores de riesgo en forma continua. Apoyo para auditoras individuales La evaluacin permanente de los riesgos contribuye con las auditoras individuales porque colabora con la identicacin y la evaluacin de los riesgos, adems de con el desarrollo del alcance y los objetivos pertinentes. Tambin puede usarse para determinar la ubicacin de las auditoras y sus criterios especcos, como, por ejemplo, las lneas de consulta. La principal diferencia entre el uso de la evaluacin permanente de los riesgos para desarrollar el plan de auditora anual para toda la empresa y para brindar apoyo a las auditoras individuales es el grado en el que se emplear la informacin detallada para identicar y evaluar los riesgos. El plan de auditora anual para toda la empresa puede requerir nicamente de informacin resumida para cada una de las entidades. Por otro lado, para una auditora individual hace falta informacin ms detallada a n de identicar los riesgos a un nivel que respalde la denicin del mbito de la auditora y el desarrollo de sus objetivos. En una auditora convencional, la escala y el mbito de los procedimientos de revisin analtica se encuentran limitados por el tipo y la cantidad de datos que pueden recolectarse por medio de las tcnicas tradicionales. Por el contrario, en un proceso de auditora permanente, existe la posibilidad de aumentar la cantidad y el alcance de los datos de que dispone el auditor.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

Seguimiento de las recomendaciones del departamento de auditora Al vincular los indicadores basados en datos con las recomendaciones, los auditores pueden utilizar la evaluacin permanente de los riesgos para determinar si se han instrumentado las recomendaciones y si estn teniendo las consecuencias que se buscaban. Particularmente, si se utilizara la evaluacin permanente de los riesgos para identicar y evaluar el riesgo como parte del desarrollo del mbito y los objetivos de la auditora, podran usarse los mismos indicadores para evaluar el impacto de la instrumentacin de las recomendaciones de auditora.

IMPLEMENTACIN DE LA AUDITORA PERMANENTE

La nocin de auditora permanente no engloba un concepto difcil. Aun as, los auditores no han generalizado la implementacin de la auditora permanente, as como tampoco los directivos han aceptado la idea plenamente ni aportado los fondos para la tecnologa necesaria. Para que la implementacin de este concepto sea un xito, todos los participantes deben conar en l y abocarse a un enfoque escalonado que se ocupe de los sistemas crticos de la empresa. Si bien es cierto que cada organizacin es nica, existe un nmero de pasos comunes que deben planearse y administrarse denodadamente cuando se procura introducir la auditora permanente.

Pautas para la implementacin

El DEA debe reconocer que la auditora permanente modica el paradigma de la auditora, lo que incluye la naturaleza de las pruebas, el momento en que se las lleva a cabo, los procedimientos y el nivel de esfuerzo. Todo lo anterior implica que el departamento de auditora deber enfrentar nuevas exigencias. Para poder cumplir mejor con estas exigencias, deben instrumentarse las siguientes pautas bsicas para la implementacin. Obtener apoyo a nivel ejecutivo Una vez denidos los objetivos de la auditora permanente, debe obtenerse el apoyo del comit de auditora y de los directivos. Debe informarse al comit de auditora y a los directivos de las condiciones previas, especialmente de los requisitos de acceso y de cmo y cundo se reportarn los resultados. En caso contrario, podra ponerse en tela de juicio la legitimidad de la auditora permanente, lo que podra entorpecer el proceso cuando se identiquen anomalas y se busque a los gerentes para pedirles explicaciones. Determinar el mbito y la frecuencia de las pruebas A la hora de determinar el momento, el mbito y la cobertura de las pruebas de auditora permanente, el DEA debera considerar en primera instancia los objetivos de la auditora permanente, la necesidad de riesgo de la organizacin, el nivel y la naturaleza del monitoreo de la administracin y las actividades de riesgo de la empresa. El paso siguiente es el de determinar la frecuencia de las pruebas de auditora continua. La frecuencia variar de la revisin de transacciones detalladas en tiempo real o en un perodo cercano al tiempo real a los anlisis peridicos de transacciones detalladas, imgenes instantneas o datos resumidos. No hay una respuesta simple a la pregunta sobre la frecuencia con la que deben llevarse a cabo las pruebas de auditora continua: baste decir que una mayor frecuencia suele ser mejor que una menor. Es importante tener presente que la automatizacin de las pruebas de auditora permanente reduce el costo de ejecucin de las evaluaciones de los riesgos y de la vericacin de los controles.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

Identicar las fuentes de informacin y obtener el acceso a la informacin adecuada Si bien este paso se asemeja al que se sigue para cualquier auditora o revisin de los controles, su objetivo principal es el de evitar las limitaciones de los modos antiguos de pensar. El DEA debe haber adquirido una comprensin cabal de los objetivos antes de denir los requisitos de informacin. En primer lugar, debe identicarse lo que debe lograrse. Posteriormente podr determinarse cmo se hace esto. Para que la implementacin de la auditora permanente sea exitosa, es fundamental el acceso a los datos pertinentes. El DEA deber identicar las aplicaciones comerciales a las que el departamento de auditora necesita acceder y determinar cules son las ms importantes. Acto seguido, negociar los derechos de acceso con los propietarios de los sistemas: para esta tarea es necesario estar en buenos trminos con la direccin de tecnologa de la informacin. Asimismo, todos los auditores deben comprender la importancia de identicar las fuentes electrnicas de informacin, internas y externas. Por ejemplo, aquellos auditores que estn realizando trabajo de campo pueden descubrir aplicaciones desarrolladas por los usuarios nales que podran resultar de utilidad para la auditora permanente. Comprender los procesos comerciales e identicar los controles y riesgos clave Una vez que se han identicado las principales fuentes de informacin, el departamento de auditora deber comprender los sistemas informticos y los procesos comerciales para los que stos se emplean. Pueden extraerse las nociones bsicas de la documentacin existente. Crear aptitudes para la auditora El personal de auditora debe estar debidamente capacitado e informado para poder hacer frente a un proceso de auditora permanente. Especialmente, los auditores que desarrollan y mantienen las aplicaciones para la auditora permanente deben poseer conocimientos rmes sobre los sistemas a los que acceden y sobre los sistemas y funciones subyacentes que generan las transacciones que se estn monitoreando. Garantizar la integridad de los datos En una etapa inicial, auditora debe llevar a cabo una evaluacin de la integridad de los datos del sistema comercial. La profundidad de esta evaluacin, concepto clave para hallar el punto medio entre una sobreauditora y una subauditora, depender de las consecuencias de apoyarse en resultados incorrectos y de establecer el grado de pruebas y vericaciones precisas para reducir el riesgo de la auditora hasta un nivel permisible. Gestionar y reportar los resultados Uno de los desafos concretos que hacen a la implementacin de un sistema de auditora o monitoreo permanente es el de asegurar la respuesta eciente para controlar las excepciones y los riesgos que se identican. Al comenzar la implementacin de un sistema de auditora o monitoreo permanente, no sorprende encontrar una gran cantidad de excepciones. El sistema de auditora permanente debe permitir la conguracin de los parmetros para identicar las deciencias de control o los riesgos que representen una preocupacin considerable. Adems, la naturaleza de la respuesta del departamento de auditora a las excepciones no ser siempre la misma. No har falta una auditora o una accin inmediata frente a todas las excepciones. Debe establecerse una prioridad entre los resultados para actuar ante stos segn corresponda.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

La siguiente tabla resume los pasos clave para la implementacin de la auditora permanente:

Pasos clave para la implementacin de la auditora permanente

Objetivos de la auditora permanente
Denir los objetivos de la auditora permanente
Obtener y administrar el apoyo de los directivos
Asegurarse de la profundidad de la funcin de monitoreo de la administracin
Identicar las reas a las que debe hacerse frente, establecer prioridades entre ellas y decidir los tipos de auditora permanente que deben aplicarse
Identicar los sistemas de informacin y las fuentes de los datos clave
Comprender los procesos comerciales y los sistemas de aplicacin subyacentes
Desarrollar relaciones con la direccin de tecnologa de la informacin Acceso a los datos y uso de los mismos
Seleccionar y adquirir herramientas de anlisis
Desarrollar capacidades de acceso y anlisis
Desarrollar y mantener las habilidades y tcnicas de anlisis de los auditores
Evaluar la integridad y conabilidad de los datos
Limpiar y preparar los datos Evaluacin permanente de los controles
Identicar puntos de control clave
Denir las normas y las excepciones de los controles
Disear un enfoque asistido por la tecnologa para evaluar los controles e identicar las deciencias
Gestionar y reportar los resultados
Establecer prioridades entre los resultados y determinar la frecuencia de las actividades de auditora permanente
Realizar pruebas de manera regular y oportuna
Identicar las deciencias en los controles o el aumento en los niveles de riesgo
Establecer prioridades entre los resultados
Responder con la accin de auditora pertinente y comunicar los resultados a la administracin
Gestionar los resultados, el rastreo, la presentacin de informes, el monitoreo y el seguimiento inclusive
Evaluar los resultados de las acciones que se siguieron
Monitorear y evaluar la efectividad del proceso de auditora permanente, tanto el anlisis (por ejemplo, normas/indicadores) como los resultados alcanzados, y variar los parmetros de evaluacin segn sea necesario

Evaluacin permanente de los riesgos

Denir las entidades que deben evaluarse
Identicar las categoras de riesgo
Identicar los indicadores basados en datos de riesgo/desempeo
Disear pruebas analticas para medir el aumento del riesgo

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

NECESIDAD DE UN ENFOQUE INTEGRADO A TRAVS DE LA AUDITORA PERMANENTE Y EL MONITOREO CONTINUO

A la luz de las preocupaciones de los DEAs sobre la carga que representan los esfuerzos por cumplir con la normativa, la escasez de recursos y la necesidad de mantener la independencia de la auditora, resulta ideal la aplicacin de un enfoque integrado en el que el departamento de auditora se ocupe de la auditora permanente y la administracin, del monitoreo continuo. Si los auditores cumplen con su trabajo: la vericacin de los controles y riesgos: y la administracin, con el suyo: el desarrollo y monitoreo de los controles, y la gestin del riesgo: la organizacin contar con un nivel ms alto de aseguramiento de que los controles funcionan, los riesgos se estn gestionando y la informacin para la toma de decisiones posee integridad.

Monitoreo continuo
El monitoreo continuo suele responder a la responsabilidad de los administradores de evaluar la aptitud y efectividad de los controles. Varias tcnicas de monitoreo continuo se asemejan a las que auditora interna puede aplicar en la auditora permanente. Un elemento clave que hace al monitoreo continuo es que la administracin debe ser propietaria del proceso y llevarlo a cabo. Puesto que la administracin es responsable de los controles internos, debe tener los medios para determinar en forma permanente si los controles funcionan segn fueron planeados. La capacidad de identicar y corregir los problemas respecto de los controles en tiempo y forma mejora el sistema total de control.

Auditora permanente
Existe una relacin inversa entre la aptitud de las actividades de monitoreo continuo que lleva a cabo la administracin y las actividades de auditora permanente que desarrolla el departamento de auditora. El enfoque de auditora en cuanto a la profundidad de la auditora permanente depende de la profundidad de la implementacin del monitoreo continuo por parte de la administracin. En aquellas reas en las que la administracin no ha implementado un monitoreo continuo, auditora debera realizar evaluaciones detalladas empleando tcnicas de auditora permanente.
Respuesta de la administracin Monitoreo exhaustivo de los controles internos
Escaso monitoreo de los controles

Esfuerzo reducido

Esfuerzo sustancial/ ms recursos

Esfuerzo de auditora

En cambio, en aquellas reas en las que la administracin s ha implementado un monitoreo continuo exhaustivo, auditora interna ya no necesitar usar las mismas tcnicas detalladas que se aplican en un contexto de auditora permanente. En vez de esto, el auditor debe instrumentar procedimientos que busquen determinar si el proceso de monitoreo continuo es conable.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

Aseguramiento continuo
El aseguramiento de auditora es una declaracin de la aptitud y efectividad de los controles y de la integridad de la informacin. El monitoreo continuo de controles por parte de la administracin es un punto central dentro de las estrategias efectivas de aseguramiento. No obstante, auditora tambin debe garantizar que las actividades de la administracin sean pertinentes y efectivas. El departamento de auditora interna presta servicios de aseguramiento a travs del examen objetivo de las pruebas. Puede suministrarse un aseguramiento continuo cuando auditora lleva a cabo evaluaciones ininterrumpidas de controles y riesgos, como por ejemplo una auditora permanente, y evala la aptitud de las actividades de monitoreo continuo de la administracin.
Aseguramiento continuo

AUDITORA

Resultados del proceso de auditora permanente y monitoreo continuo

Evaluacin del monitoreo continuo realizada por el departamento de auditora

Auditora permanente

ADMINISTRACIN

Monitoreo continuo

Actividades, transacciones y acontecimientos Sistemas y procesos comerciales

Auditora, monitoreo y aseguramiento continuos (Modelo conceptual)

VENTAJAS DE UN ENFOQUE DE AUDITORA PERMANENTE/ MONITOREO CONTINUO

Desde su funcin de gerencia, cabe a la administracin la responsabilidad primaria de evaluar los riesgos y de realizar la gestin de los controles dentro de una organizacin. Auditora interna es responsable de la identicacin y la evaluacin de la efectividad del sistema de gestin del riesgo y de los controles de la organizacin, segn implementa estas actividades la administracin. Los resultados de la auditora permanente y el monitoreo continuo (a cargo de la administracin) son similares y abarcan noticaciones o advertencias para sealar las deciencias en los controles o los niveles ms elevados del riesgo. Ante estas noticaciones, la administracin puede proceder a solucionar inmediatamente una deciencia en los controles y a corregir una transaccin errnea. El departamento de auditora puede responder realizando una auditora inmediata del sistema de control cuyas falencias han quedado en descubierto o bien sealando un rea para la realizacin de una auditora en el futuro. Una de las ventajas ms importantes de la auditora continua es su independencia de los sistemas operativos y nancieros subyacentes, as como del monitoreo del que se encarga la administracin. Esta autonoma mejora los marcos administrativo y de control, a la vez que aporta mecanismos a los que pueden recurrir los auditores para apoyar sus actividades independientes de revisin y evaluacin.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

La auditora permanente ayuda a que el departamento de auditora pueda evaluar la funcin de monitoreo que realiza la administracin. Esto faculta al DEA a presentar ante el comit de auditora y los directivos la garanta independiente de que los sistemas de control y los procesos de auditora estn funcionando con la debida eciencia. Tambin permite identicar las reas de riesgo y brindar informacin a los auditores, que puede comunicarse a la administracin para ayudar a mitigar el riesgo. Entre los benecios que pueden esperarse dentro de un marco de auditora permanente, se destacan:
Mayor capacidad de mitigacin de riesgos
Reduccin en el costo de evaluacin de los controles internos
Aumento de la conanza en los resultados nancieros
Mejoras a las operaciones nancieras
Reduccin de los errores nancieros y del potencial de fraude
Mayor rentabilidad Si bien puede lograrse mayor eciencia maximizando el uso de la tecnologa, la auditora permanente no est exenta de desafos. Es necesario entender y controlar la tecnologa, tanto como los procesos y sistemas comerciales subyacentes. Los auditores deben tener acceso a las herramientas de software y datos, y a las tcnicas y conocimientos necesarios para aprovechar con inteligencia la gran cantidad de informacin nanciera y de otro tipo.

CONCLUSIN

Vistos los desafos actuales, es imperativo que el DEA halle nuevas formas de responder con eciencia a las demandas de un entorno comercial que cambia con rapidez y a la carga creciente de requisitos normativos que afectan al sector de auditora interna. El enfoque integrado de auditora permanente y monitoreo continuo, con instrumentacin tecnolgica, es clave para la concrecin de una solucin sostenible, rentable y que haga uso eciente de los recursos. El DEA puede ver estos desafos como oportunidades para ofrecer un valor sin igual para la organizacin. El departamento de auditora interna est en una posicin nica para asegurar a la organizacin que est cumpliendo con el marco normativo, como por ejemplo, con la Ley Sarbanes-Oxley. Ms an, el enfoque integrado que se analiza en el presente trabajo puede ayudar a reducir el costo total del cumplimiento con la normativa a travs de el mejoramiento de la eciencia de los procesos comerciales y de la funcin del departamento de auditora. El rendimiento de esta inversin se reeja con rapidez en las mejoras de los resultados contables de la organizacin, basndose en la identicacin certera del aumento de riesgos, errores y fraude, as como en la creacin de un entorno de control interno ms fuerte en toda la empresa.

ACL, el logotipo de ACL, el logotipo de ACL con el texto Data you can trust. Results you can see. son marcas comerciales o marcas comerciales registradas de ACL Services Ltd. IIA y el logotipo del IIA son marcas comerciales o marcas comerciales registradas de The Institute of Internal Auditors (IIA) (Instituto de Auditores Internos). Todas las dems marcas comerciales son propiedad de sus respectivos dueos.
2005 ACL Services Ltd. WP/GTAG/S/181105

10

Acerca de la Serie Global Technology Audit Guides (GTAG) (Guas de auditora de tecnologa global) del IIA El presente libro blanco es un resumen de la Gua de auditora de tecnologa global del IIA denominada Auditora permanente: implicancias para el aseguramiento, el monitoreo y la evaluacin de riesgos, sido autor por David Coderre, Royal Canadian Mounted Police (Real Polica Montada del Canad). Entre los colaboradores que participaron se destacan: John G. Verver, ACL Services Ltd., y Donald J. Warren, Center for Continuous Auditing (CCA) (Centro para la auditora continua) de la Universidad Rutgers. La gua (GTAG) es la tercera de la serie y est disponible en www.theiia.org y www.acl.com/gtag.

Acerca del IIA El Institute of Internal Auditors (IIA) (Instituto de Auditores Internos) es la voz global, la autoridad reconocida, el lder asumido, el defensor principal y el principal ente de capacitacin de los profesionales dedicados a la auditora interna en el mundo entero. Fundado en 1941, el IIA presta servicio a miembros de todo el mundo en cuestiones relacionadas con la auditora interna, la autoridad, el control interno, la auditora informtica, la auditora del gobierno, la educacin y la seguridad. El Instituto de Auditores Internos es el lder mundial en certicacin, educacin, investigacin y orientacin tecnolgica de la profesin. La entidad ja lasNormas internacionales para el ejercicio profesional de la auditora interna y brinda orientacin complementaria en varios niveles. Tambin se ocupa de certicar profesionales a travs del programa Certied Internal Auditor (CIA) (Auditor interno certicado) y de otorgar certicaciones con especializacin en gobierno, auto-evaluacin de controles y servicios nancieros. Asimismo, organiza eventos, seminarios y sesiones de capacitacin en lnea de ltima generacin, disea productos educativos progresistas, realiza anlisis de aseguramiento de la calidad, ofrece servicios de referenciamiento y asesora, y crea oportunidades de trabajo en red para grupos especializados. Si desea obtener ms informacin acerca del IIA, consulte www.theiia.org.

Acerca de ACL Services Ltd. ACL es el proveedor internacional lder de Business Assurance Analytics para ejecutivos de las nanzas, profesionales del cumplimiento y auditores. Al combinar el software de estudio analtico de datos lder en el mercado con la experiencia en servicios profesionales, las soluciones de ACL les brindan a las organizaciones conanza en la exactitud e integridad de las transacciones y en la efectividad de los controles internos subyacentes a las operaciones comerciales cada vez ms complejas. Desde 1987, la tecnologa comprobada de ACL ha permitido garantizar a los responsables nancieros el cumplimiento de los controles, reducir los riesgos, detectar los fraudes, mejorar la rentabilidad y lograr una rpida amortizacin. ACL ofrece sus soluciones en ms de 130 pases mediante una red global de ocinas y socios de canal de ACL. Nuestros clientes incluyen el 70 por ciento de las compaas Fortune 500 y de los dotrecios de los grupo Global 500, as como cientos de gobiernos nacionales, estaduales y locales, y las Cuatro Grandes rmas contables.

ACL Headquarters T +1 604 669 4225 F +1 604 669 3557 acl.com info@acl.com