Seis pasos clave para implementar la auditoría continua

Iván Rodríguez

La auditoría continua es una metodología que tiene amplia aceptación en el actual entrono tecnológico. La literatura técnica plantea diferentes maneras para abordar su implementación que, en términos generales, comparten pasos o etapas comunes, que generalmente son administrados por un gerente de auditoría continua. Conocer los pasos principales permitirá a los auditores monitorear mejor el proceso continuo de auditoría y proporcionar recomendaciones para su mejora, si es necesario (Internal Auditor Online). Estos pasos incluyen al menos, lo siguiente:

1. Establecer áreas prioritarias
2. Identificar las reglas de monitoreo y auditoría continua
3. Determinar la frecuencia del proceso
4. Configurar parámetros
5. Seguimiento
6. Comunicar resultados

1. Establecer áreas prioritarias

La actividad de elegir qué áreas organizativas auditar debe integrarse como parte del plan anual de auditoría interna y el programa de gestión de riesgos de la empresa. Típicamente, cuando se deciden áreas prioritarias para auditar continuamente, los auditores internos y los gerentes deben:

• Identificar los procesos críticos que necesitan ser auditados desglosando y calificando las áreas de riesgo.
• Comprender la disponibilidad de datos de auditoría continua para esas áreas de riesgo.
• Evaluar los costos y beneficios de implementar un proceso de auditoría continua para un área de riesgo particular.
• Considerar las ramificaciones corporativas de auditar continuamente el área o función particular.
• Elegir las primeras aplicaciones para auditar, donde la rápida demostración de resultados podría ser de gran valor para la organización.

Una vez que un proyecto de demostración se complete con éxito, negocie con diferentes auditados y áreas de auditoría interna, si es necesario, para que se implemente un plan de implementación a más largo plazo.

2. Reglas de monitoreo y auditoría continua

El segundo paso consiste en determinar las reglas o análisis que guiarán la actividad de auditoría continua, que deben programarse, repetirse con frecuencia y reconfigurarse cuando sea necesario. Por ejemplo, los bancos pueden monitorear todas las cuentas corrientes todas las noches extrayendo archivos que cumplan con el criterio de tener un saldo de la deuda que sea 20% mayor que el umbral del préstamo y en el que el saldo sea más de US $ 1,000.

3. Determinación de la frecuencia del proceso

Los auditores deben considerar el ritmo natural del proceso que se audita, incluido el tiempo de los procesos informáticos y comerciales, así como el tiempo y la disponibilidad de auditores capacitados o con experiencia en auditoría continua. La relación costo-beneficio de auditar continuamente un área, en particular, debe considerarse antes de su monitoreo.

Además, otras herramientas utilizadas por el gerente de la función de auditoría continua incluyen un panel de control de auditoría en el que se pueden activar las variaciones de frecuencia y parámetros.

4. Configuración de parámetros de auditoría continua

Las reglas utilizadas en cada área de auditoría deben configurarse antes de implementar el procedimiento de auditoría continua (CAP). Además, es posible que la frecuencia de cada parámetro deba cambiarse después de su configuración inicial en función de los cambios derivados de la actividad auditada. Por lo tanto, las reglas, los parámetros iniciales y la frecuencia de la actividad, también un tipo especial de parámetro, deben definirse antes de que comience el proceso de auditoría continua y reconfigurarse en función de los resultados de monitoreo de la actividad.

5. Seguimiento

Otro tipo de parámetro se relaciona con el tratamiento de alarmas y errores detectados. Preguntas tales como quién recibirá la alarma (p. Ej., Gerentes de línea, auditores internos, o ambos), generalmente la alarma se envía al gerente de procesos, al supervisor inmediato del gerente o al auditor a cargo de ese CAP); cuando se realiza el seguimiento, la actividad debe completarse y abordarse al establecer el proceso de auditoría continua.

6. Comunicar resultados

Un último elemento a considerar es cómo comunicarse con los auditados. Al informar a los auditados sobre los resultados de la actividad de auditoría continua, es importante que el intercambio sea independiente y consistente. Por ejemplo, si se emiten múltiples alarmas del sistema y se distribuyen a varios auditados, es crucial que los pasos 1-5 se realicen antes del intercambio de comunicación y que existan pautas detalladas para las consideraciones de factores individuales. Además, el desarrollo y la implementación de pautas de comunicación y procedimientos de seguimiento deben considerar el riesgo de colusión. Gran parte del trabajo sobre fraude indica que la mayoría es colusoria y puede ser realizado por una parte interna o externa.

¿Te ha gustado la información? ¡Compártela con otro auditor interno!