Es un método utilizado por los auditores para realizar actividades relacionadas con revisiones en tiempo real. La tecnología desempeña un papel fundamental en la automatización de la identificación de excepciones o anomalías, el análisis de patrones de los dígitos de campos numéricos clave, el análisis de tendencias, el análisis de transacciones detalladas con valores límite y umbrales, las pruebas de controles y la comparación del proceso o del sistema a través del tiempo o con otras entidades similares.
Históricamente la auditoría interna realizaba pruebas de los controles en forma retrospectiva y cíclica, con frecuencia muchos meses después del momento en el que ocurrían las actividades de negocio. Los procedimientos de prueba a menudo se basaban en un enfoque de muestreo e incluían actividades como revisiones de políticas, procedimientos, aprobaciones y conciliaciones. En la actualidad, sin embargo, se reconoce que este enfoque sólo ofrece a los auditores internos un alcance limitado de evaluación y, en general, es muy tarde para representar un valor real en cuanto al desempeño del negocio o al cumplimiento de regulaciones. La auditoría continua es un método empleado para realizar evaluaciones de riesgos y controles de manera automática y más frecuente.
Los beneficios esperados a partir de la implementación de un esquema de auditoría continua incluyen:
- Mayor capacidad para mitigar riesgos.
- Reducciones en el costo que implica la evaluación de controles internos.
- Mayor confianza en los resultados financieros.
- Mejoras en las operaciones financieras.
- Reducciones en los errores financieros y la posibilidad de fraude.
Pasos claves implementación sistema de auditoría continua
- Objetivos de la auditoría continúa
- Definir los objetivos de la auditoría continua.
- Obtener y gestionar el respaldo de la alta dirección.
- Determinar el grado en que la dirección está cumpliendo su función de supervisión.
- Identificar y establecer prioridades entre las áreas a abordar y los tipos de auditoría continua a realizar.
- Identificar sistemas de información clave y fuentes de datos.
- Comprender los sistemas de aplicación y los procesos subyacentes de negocio.
- Desarrollar relaciones con la gestión de TI.
Uso y acceso a datos
- Seleccionar y adquirir herramientas de análisis.
- Desarrollar capacidades de acceso y análisis.
- Desarrollar y mantener técnicas y habilidades de análisis del auditor.
- Evaluar la integridad y fiabilidad de los datos.
- Depurar y preparar los datos.
Evaluación continua de control
- Identificar puntos de control críticos.
- Definir reglas de control.
- Definir excepciones.
- Diseñar un enfoque tecnológico para pruebas de control y para identificar deficiencias.
Evaluación continua de riesgos
- Definir las entidades a evaluar.
- Identificar categorías de riesgos.
- Identificar indicadores de riesgo/desempeño controlados por datos.
- Diseñar pruebas analíticas para medir mayores niveles de riesgo.
Informar y gestionar resultados
- Establecer prioridades y determinar la frecuencia de las actividades de auditoría continua.
- Ejecutar pruebas de manera regular y oportuna.
- Identificar deficiencias de control o mayores niveles de riesgo.
- Establecer prioridades entre los resultados.
- Iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección.
- Gestionar resultados (rastreo, informe, supervisión y seguimiento).
- Evaluar los resultados de las acciones implementadas.
- Supervisar y evaluar la eficacia del proceso de auditoría continua (tanto el análisis, por ejemplo, reglas e indicadores, como los
- Resultados obtenidos) y modificar los parámetros de prueba, según sea necesario.
- Garantizar la seguridad del proceso de auditoría continua y asegurar que existan las vinculaciones correspondientes con las
- Iniciativas de la dirección, como por ejemplo, la ERM, la supervisión y la medición de desempeño.
Un enfoque de auditoría continua permite a los auditores internos comprender en profundidad los puntos de control crítico, las reglas y las excepciones. Con análisis de datos frecuentes y automatizados, pueden realizar evaluaciones de riesgos y controles en tiempo real o prácticamente en tiempo real. Pueden analizar los sistemas de negocio clave para detectar tanto anomalías en el nivel de la transacción como indicadores controlados por datos referidos a deficiencias de control y riesgos emergentes.
Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/