Auditoría continua coordinar auditoría continua y monitoreo para proveer aseguramiento continuo

Auditoría continua: coordinar auditoría continua y monitoreo para proveer aseguramiento continuo

Introducción

El enfoque de la auditoría interna para evaluar la eficacia de la gestión de riesgos y control interno ha sido retrospectivo, la organización necesita seguir el ritmo del negocio respondiendo más oportunamente a cambios y riesgos emergentes.

En muchas organizaciones, la Gerencia y la Dirección exhiben saturación por la duplicación o superposición de evaluaciones de gestión de riesgos y controles entre las tres líneas de defensa.

La auditoría continua tiene el potencial para mitigar esta sensación de fatiga optimizando esfuerzos, promoviendo un uso más eficiente de recursos, reduciendo el costo de evaluación y ofreciendo aseguramiento sobre los controles internos, ayudando con una comunicación temprana de las deficiencias y debilidades facilitando la toma de acciones correctiva oportuna.

Guías del Marco Internacional para la Práctica Profesional

Las guías del Marco Internacional para la Práctica Profesional relacionadas con la auditoría continua, supervisión continua y el aseguramiento continuo, son:

  • Norma 1210: Aptitud
  • Norma 2010: Planificación
  • Norma 2120: Gestión de Riesgos
  • Norma 2130: Control
  • Norma 2320: Análisis y Evaluación
  • Consejo para la Práctica (PA) 2320-4: Aseguramiento Continuo
  • GTAG 14: Auditoría de aplicaciones desarrolladas por el usuario
  • GTAG 16: Tecnologías de análisis de datos
Marco Básico de Aseguramiento Continuo

El marco inicial o básico de aseguramiento continuo abarca el proceso de Auditoría Continua y las pruebas del monitoreo continuo.

Como tercera línea de defensa en gestión de riesgos y controles, la Auditoría Interna se esfuerza en detectar áreas de interés dentro de su marco de control y, a su vez, proporcionar a la organización el más alto nivel de aseguramiento.

Auditoría Continua

En la auditoría continua, el personal de auditoría interna usa tecnología para analizar frecuentemente los datos para una pronta identificación de valores atípicos. Esto ayuda a centrar sus recursos. El monitoreo continuo, establece el análisis de medidas clave de desempeño para que la administración las revise en tiempo real y actúe sobre ellas cuando sea necesario.

La auditoría continua entonces incluye el análisis de otras fuentes de datos, como los niveles de seguridad, registro de incidentes, datos no estructurados y cambios en las configuraciones de TI, controles de aplicación y controles en la segregación de tareas.

Evaluaciones continuas de riesgos y controles

Las evaluaciones continuas de riesgos deben incluir una revisión de los resultados de los esfuerzos de monitoreo de la Gerencia, incluyendo indicadores predictivos, medidas de rendimiento, controles de calidad y segregación de tareas. La evaluación continua de riesgos en forma permanente identifica y evalúa los riesgos mediante técnicas de auditoría basadas en tecnología.

Evaluación continua del control

Una evaluación continua de control evalúa en forma permanente los controles internos partiendo de un estado básico o de inicio detectando cambios posteriores en las condiciones y considera la interrelación de los controles automatizados, controles generales de TI y controles manuales como se ilustra en la Figura 2.

En cada caso, el auditor debe buscar comportamientos inusuales o desvíos. La evaluación del control continuo permite a los Gerentes de Auditoría suministrar un servicio de alertas tempranas sobre violaciones de control o deficiencias.

Evaluación Continua de Controles

No es necesario que las evaluaciones continuas de control se ejecuten en tiempo real. La frecuencia del análisis debe ser determinada por el nivel de riesgo, el ciclo de procesos de negocio y el grado con el cual la Gerencia está monitoreando estos controles.

Monitoreo Continuo

La Gerencia debe poseer y ejecutar monitoreo continuo. Muchas de las técnicas que la Gerencia utiliza para monitorear continuamente los controles son similares a las técnicas de auditoría continua utilizados por los auditores internos. Los principios de monitoreo continuo incluyen:

  • Propósito – considerar el objetivo de negocio y los factores críticos de éxito.
  • Riesgo – determinar posibles obstáculos que limiten el éxito de la organización.
  • Respuesta – alinear diversas fuentes de datos para descubrir y corroborar los riesgos emergentes tales como las condiciones configurables, cambios, registro de eventos, transacciones financieras y datos no estructurados.
  • Sincronización – detectar problemas de control en tiempo real.
  • Acción – seguir las deficiencias para la toma de acciones correctivas.

Marco optimizado de aseguramiento continuo

En algunos casos, los auditores internos pueden estratégicamente colaborar con las funciones de quienes son propietarios y gestionan los riesgos y controles (primera línea de defensa) y las funciones que supervisan los riesgos y controles (segunda línea de defensa), ayudando a establecer procesos de gestión de riesgos y controles.

El aseguramiento continuo se optimiza cuando las técnicas de auditoría continúa basadas en tecnología son adoptadas para su uso en los esfuerzos de monitoreo continuo de las primeras y segundas líneas de defensa, y aquellos esfuerzos de monitoreo continuo serán confiables y sensibles al riesgo.

Cuando las técnicas de auditoría continua son adoptadas por la Gerencia para el monitoreo continuo, se introduce una delgada línea de diferenciación, porque hay una probable superposición entre el monitoreo y la auditoría continuos y entre la segunda y tercera líneas de defensa.

Cuando las técnicas de auditoría continua se están transfiriendo a la Gerencia deben tomarse resguardos para asegurar que los auditores no asuman un rol de “dueño” respecto del monitoreo continuo, lo que cual puede afectar su objetividad.

Relación entre Auditoría Continua y Monitoreo Continuo

Existe una relación inversa entre la auditoría y el monitoreo continuos. Las tres líneas de defensa contribuyen a la medición y el fortalecimiento de la eficacia de la gestión de riesgos y control.

La Auditoría Interna debe ajustar el alcance de su trabajo de auditoría continúa teniendo en cuenta la adecuación y coherencia que la Gerencia despliega sobre el Monitoreo Continuo.

Si el Monitoreo continúo ejecutado por la primera y segunda líneas de defensa es insuficiente o inconsistente, la Auditoría Interna debe incrementar sus esfuerzos de auditoría continua de manera proporcional.

En las áreas donde la Gerencia no ha implementado monitoreo continuo, los auditores deben realizar pruebas de cumplimiento extensivas mediante el uso de técnicas de auditoría continua.

Donde la primera o segunda línea de defensa realiza monitoreo continuo de forma integral con pruebas “de extremo a extremo” sobre procesos de negocio, la auditoría interna puede no realizar las mismas técnicas detalladas de auditoría continua.

En lugar de ello, los auditores deberían ejecutar procedimientos para determinar si el proceso de monitoreo continuo es confiable.

Aplicaciones prácticas de Auditoría Continua

La auditoría continua apoya todo el proceso de auditoría. Como se ilustra en la Figura 5, auditoría continua puede aplicarse al desarrollo del plan de auditoría, al soporte de ejecución de auditoría y al seguimiento de recomendaciones de auditoría.

Además, el DEA debe reconocer que existen varias funciones de segunda línea de defensa con fuertes vínculos con auditoría continua, como la gestión de riesgos, cumplimiento, ética y seguridad.

Auditoría Interna debe determinar cómo la auditoría continua puede valerse para evaluar la función de segunda línea de defensa y utilizar la información generada por esas funciones.

Auditoría Continua durante el proceso de Auditoría

Implementación de Auditoría Continua

Una implementación exitosa de auditoría continua requiere liderazgo, gestión del cambio y un enfoque por etapas que aborde inicialmente los sistemas de negocios más críticos.

Aunque cada organización es única, existen 4 pasos comunes que incluyen actividades que deben ser cuidadosamente planificadas y administradas en el desarrollo y mantenimiento de auditoría continua:

Establecer una Estrategia de Auditoría Continua

El DEA debe establecer una estrategia de auditoría continua a corto y largo plazo, con la autoridad concedida a través de un mandato, misión o en el estatuto de auditoría interna.

Las principales actividades incluyen coordinar con la Primera y Segunda Líneas de Defensa, establecer prioridades y obtener apoyo de la gerencia y adaptar el Plan de Auditoría a ciertos indicadores continuos

Obtener datos para el uso rutinario

Durante la selección de tecnologías para auditoría continua, el DEA debe considerar las tecnologías y capacidades actuales del espectro de TI de la organización.

Las actividades clave incluyen establecer accesos de rutina al entorno de producción, desarrollar capacidades de análisis, construir Habilidades Técnicas y Conocimiento de auditoría, evaluar la confiabilidad de las fuentes de datos y preparar y validar los datos.

El tema es tratado a mayor profundidad en la GTAG 16: Tecnologías de análisis de datos, del IIA.

Construir indicadores de auditoría continua Evaluación continua de riesgos

Incluye desarrollar indicadores de riesgo y el diseñar métricas para detectar el incremento en los niveles de riesgo.

Evaluación continua de los controles

Una evaluación continua de control proporciona un análisis independiente de los controles de aplicación automatizados y de controles generales de TI a través de considerar sus condiciones iniciales y los cambios posteriores en la configuración.

El uso de la evaluación continua de control permite al DEA proporcionar a la Gerencia una alerta temprana de fallas de control o deficiencias.

Determinar los controles clave

Evaluar el estado inicial de los controles

Una vez que los procesos claves del negocio, los objetivos de control relacionados y los controles automatizados están definidos, ordénelos decreciente para identificar los puntos de control críticos (el más alto impacto / riesgo).

Reportar y administrar resultados

Después de diseñar y construir indicadores de auditoría continua, los auditores internos deben planificar evaluaciones continuas de riesgos y controles dentro del universo de auditoría. Las evaluaciones continuas deben analizar los resultados de las técnicas de auditoría continua, probarlas si es necesario e informar recomendaciones.

Establecer una metodología repetible

Una metodología estructurada para gestionar los resultados debe incluir estos pasos para asegurarse que las excepciones identificadas son abordadas y remediadas oportunamente.

Informar de los resultados

Se puede implementar una variedad de soluciones de reporte para satisfacer las necesidades de la primera, segunda, y tercera líneas de defensa, la Gerencia y el Consejo.

Facilitar la acción de la gerencia

Cada plan de acción debe tener un dueño responsable de la remediación hasta su resolución. La excepción debe ser seguida y, una vez reportada como resuelta, el monitoreo continuo posterior debe evaluar si la resolución es sustentable en el tiempo.

Alinearse con el Monitoreo Continuo y adaptar la estrategia de Auditoría Continua

La auditoría continua debe permanecer flexible y atenta a los cambios que se producen en la exposición al riesgo y en el entorno de control.

Conclusiones

La auditoría continua comprende la constante evaluación de riesgos y controles, realizado a través de la tecnología, de evaluaciones periódicas de los riesgos y controles basados en una muestra de operaciones, a evaluaciones continuas de una mayor proporción de las transacciones.

La auditoría continua también incluye el análisis de otras fuentes de datos que pueden revelar valores atípicos en los sistemas de negocios.

Para liberar todo el potencial de un programa de auditoría continua se debe coordinar con los programas de monitoreo continuos realizados por las funciones operativas y de supervisión de las gerencias de la organización.

Ello involucra identificar objetivos de control aplicables, asegurar las decisiones y establecer pruebas automatizadas para las actividades principales y las transacciones que no cumplan con las normas esperadas.

La coordinación de la auditoría continua, monitoreo continuo y las pruebas de auditoría sobre el monitoreo continuo ayudará a la auditoría interna y a la Gerencia a maximizar sus respectivos retornos sobre el esfuerzo invertido, logrando alcanzar los objetivos de cumplimiento y proveer la oportunidad de contribuir a la salud general y competitividad de la organización, así como mejorar la comprensión general de la organización respecto de los datos, el riesgo y el control, y maximizar la capacidad de auditoría interna para proporcionar aseguramiento continuo eficaz a la Alta Gerencia y el Consejo.

Bibliografía

GTAG-3 Auditoría Continua: Coordinar Auditoría Continua y Monitoreo para proveer Aseguramiento Continuo 2ª Edición. Marzo 2015. The Institute of Internal Auditors.
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *