Los orígenes de las pruebas de control automatizadas se remontan a la década de 1960 con la instalación e implementación de módulos de auditoría integrados (EAM, en inglés). Sin embargo, estos módulos eran difíciles de construir y mantener, y eran utilizados en relativamente pocas organizaciones. A fines de los años 1970, los auditores comenzaron a dejar de lado este enfoque. En la década de 1980, algunos profesionales de auditoría comenzaron a adoptar técnicas de auditoría asistidas por computadora (CAATT, en inglés) para análisis e investigaciones ad hoc.
Simultáneamente, se presentó, por
primera vez, la noción de supervisión continua a los auditores en un gran
contexto académico. La premisa básica era que el uso de análisis de datos
automáticos permanente ayudaría a que los auditores identifiquen las áreas de
mayor riesgo, como punto de partida para determinar sus planes de auditoría. En
general, sin embargo, los auditores no estaban preparados para este tipo de
enfoque. Carecían de un acceso sencillo a las herramientas de software
apropiadas, de pericia y de recursos técnicos para enfrentar desafíos de acceso
a los datos y, sobre todo, de la predisposición de las organizaciones para
aceptar el compromiso que implicaba la adopción de una metodología y un enfoque
de auditoría notablemente distintos.
Durante los años 1990, en la profesión
de auditoría a nivel mundial, hubo una adopción generalizada de soluciones de
análisis de datos que se consideraron una herramienta crítica para respaldar
las pruebas de eficacia de los controles internos. Esta tecnología se empleó
para examinar las transacciones en busca de indicadores de incidentes que sucedían
porque no se aplicaba un control o porque este no se realizaba correctamente. También identificaba
transacciones que no cumplían con las normas de control. Además, el análisis de
datos respaldaba las pruebas de controles que no se evidenciaban en forma
directa por medio de los datos transaccionales. Por ejemplo: se podían analizar
las tablas de autorización y acceso de planificación de recursos empresariales
(ERP, en inglés) para identificar fallas a fin de mantener una separación
adecuada de funciones. No obstante, incluso con esta tecnología como sustento,
los procesos de auditoría tradicional a menudo se basaban en muestras
representativas en lugar de evaluar toda la población, y los análisis
continuaban luego de haber finalizado la actividad de negocio (transacción).
Por eso, había más chances de que los problemas de riesgo y control siguieran
avanzando y repercutieran negativamente en el desempeño del negocio.
Entorno de auditoría
actual
En la actualidad, la proliferación de
sistemas de información en el entorno de negocio ofrece a los auditores un acceso
más sencillo a una cantidad mayor de información relevante, pero también
implica la gestión y la revisión de volúmenes de datos y transacciones mucho
más grandes.
Además, el ritmo vertiginoso de los
negocios requiere una rápida identificación y respuesta a los problemas de
control. Regulaciones como el Artículo 404 de la Ley Sarbanes-Oxley de Estados
Unidos exigen una revelación oportuna delas deficiencias de control y las
afirmaciones de la dirección con respecto a la idoneidad del esquema de control.
Este imperativo de cumplimiento estatutario, así como los cambios constantes en
las normas de auditoría y la evolución del software de auditoría, están
impulsando y permitiendo a los auditores adoptar nuevos enfoques para el acceso
a información y controles.
El DEA debe poder brindar a la alta
dirección evaluaciones permanentes, en lugar de simples revisiones periódicas, relativas
al estado de los controles internos y los niveles de riesgo de la organización.
Hoy en día, los auditores internos no sólo auditan actividades de control;
también observan el perfil de riesgo de una compañía y desempeñan un papel fundamental
en la identificación de áreas para mejorar los procesos de gestión de riesgos.
Sin embargo, si no comprenden en profundidad los procesos de negocio y los
riesgos asociados, los auditores sólo pueden realizar tareas sobre listas de verificación
de auditoría tradicional. La auditoría continua permite a los auditores superar
los límites de los enfoques de auditoría tradicional y las restricciones de los
muestreos, la revisión de informes estándar y las evaluaciones puntuales.
Un componente crucial de la auditoría
continua es el desarrollo de un modelo de revisión permanente (continuo) de transacciones
en el momento exacto, o aproximado, en el que ocurren.
Una cuestión clave que repercute en el
enfoque de los auditores internos hacia la auditoría continua es el alcance de
la implementación de sistemas por parte de la dirección destinados a supervisar
controles en forma continua e identificar deficiencias de control e indicadores
de riesgo.
La auditoría continua mide atributos
específicos que, si cumplen con determinados parámetros, generarán el inicio de
acciones de los auditores. El concepto paraguas de auditoría continua engloba
dos actividades principales:
•
Evaluación
continua de control, destinada a centrarse lo más pronto posible en las
deficiencias de control.
•
Evaluación
continua de riesgos, destinada a destacar los procesos o sistemas que presentan
niveles de riesgo más altos de lo esperado.
La frecuencia de la actividad de
auditoría continua dependerá del riesgo inherente al proceso o sistema. Además,
es posible comenzar examinando los controles y las áreas
de riesgo clave, y luego ampliar la
aplicación de auditoría continua a medida que los auditores ganan experiencia y
logran resultados medibles que contribuyan al cumplimiento, la eficacia y la
eficiencia operativas y la integridad de los informes financieros.
Información tomada de la Guía de
Auditoría de Tecnología Global (GTAG) 3 Auditoría continua: implicancias para
el aseguramiento, la supervisión y la evaluación de riesgos.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario