a uditorÍa interna...• definición del concepto de auditoría continua, cómo impacta en los...

MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Daniel Ponz Lillo, CIA, CRMA. Iberdrola.

Alejandro Barroso Bazán. Plus Ultra.

Cristina Bausá Rosa, CIA, CRMA. Mazars Auditores.

Juan Luis Escribano Soto, CIA, CRMA. EY.

Víctor Gómez López. Inversis.

Marta Grande Pérez. Mapfre.

Borja Guisasola Marrodán. Banco Santander.

Ismael Martín García, CIA. Cosentino.

Manuel Mendiola Antona, CIA, CRMA. KPMG.

Marcos Sánchez Sotes, CIA, CRMA. Ítaca Auditores.

A U D I T O R Í A I N T E R N A

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Guía para implantarcon éxito un modelo deAuditoría Continua

3

Complejidad regulatoria, crisis financiera, presión sobre objetivos de negocio, ex-

posición al fraude, cambio permanente y un largo etcétera son algunos de los

crecientes desafíos y responsabilidades a los se enfrentan los Consejos de Admi-

nistración, los Comités de Auditoría y la Dirección de las compañías que deman-

dan contar con un sistema de aseguramiento sobre la eficacia del control y la

gestión de riesgos, fiable, sostenible y continuo.

Las Direcciones de Auditoría Interna tenemos el reto de dar respuesta a esta de-

manda de aseguramiento y hacerlo de una manera proactiva, proyectiva y conti-

nua.

Implantar un modelo de Auditoría Continua permite a la Dirección de Auditoría

Interna determinar rápidamente dónde prestar mayor atención y recursos, incre-

mentar el alcance y la capacidad de mitigar los riesgos, mejorar la comprensión

de los procesos y, por tanto, mejorar la calidad del aseguramiento que proporcio-

na a la Alta Dirección y al Consejo.

Esta guía hace un exhaustivo análisis de todas las cuestiones relevantes a consi-

derar y no olvidar cuando se emprende la implantación de un modelo de Audito-

ría Continua, sus beneficios y desafíos.

La riqueza de este análisis radica en su flexibilidad, los autores presentan todas

las opciones posibles con sus ventajas e inconvenientes para que cada Dirección

de Auditoría Interna pueda valorar cuál de ellas se adapta mejor a la cultura, al

marco de Gobierno, Riesgo y Cumplimiento y a la realidad de su organización.

El documento incluye además un caso práctico que afianza y aterriza el conteni-

do teórico expuesto y despeja dudas para la implantación con éxito de este enfo-

que.

Felicito a los autores de esta guía por compartir generosamente su valiosa expe-

riencia en la implantación de un modelo de Auditoría Continua que ayuda real-

mente a las Direcciones de Auditoría Interna a afrontar este proyecto estratégico

con menor incertidumbre y mayor probabilidad de éxito.

Ernesto Martínez

Presidente del Instituto de Auditores Internos de España


5

Índice

RESUMEN EJECUTIVO

INTRODUCCIÓN

DECÁLOGO DE BUENAS PRÁCTICAS

CONSEJO 2320-4 SOBRE ASEGURAMIENTO CONTINUO

MODELO DE MADUREZ

CÓMO IMPLANTAR UN ENFOQUE DE AUDITORÍA CONTINUAEN NUESTRA ORGANIZACIÓN

Arranque del proyecto ............................................................................................... 16

Diseño de la plataforma ............................................................................................ 19

Desarrollo ...................................................................................................................... 24

Despliegue .................................................................................................................... 27

Y luego… ¿qué? ......................................................................................................... 29

CASO PRÁCTICO

Descripción de la empresa ........................................................................................ 33

Mapa de procesos ....................................................................................................... 35

Modelo de Auditoría Continua implementado .................................................... 36

Modelo de ejecución y mantenimiento continuo del modelo ......................... 39

ANEXOS

Glosario........................................................................................................................... 41

Ejemplos de herramientas de mercado ................................................................. 42

Bibliografía .................................................................................................................... 43

07

08

11

14

14

16

33

41


7

Los Comités y las Direcciones de Auditoría Interna se enfrentan actualmente a importan-

tes retos: incremento de la complejidad regulatoria, crisis financiera, limitación de recur-

sos, presión sobre objetivos de negocio, exposición al fraude, globalización, cambios tec-

nológicos y operativos, etc. Cuestiones que presuponen, más que nunca, la necesidad de

contar con un “sistema de aseguramiento de la eficacia de los sistemas de control y ges-

tión de riesgos” fiable, sostenible y continuo.

Habitualmente, son los auditores internos quienes analizan estos controles, pero lo hacen

de forma retrospectiva y cíclica, en ocasiones, mucho después del momento en que se

producen los hechos y con muestras limitadas de población. Un enfoque que restringe la

cobertura del análisis y el tiempo de respuesta ante eventos relacionados con el cumpli-

miento regulatorio o incidencias operativas.

La Auditoría Continua, en cambio, permite evaluar los riesgos y sus controles, y realizar

auditorías internas de carácter sustantivo, de manera automática y frecuente. Aunque la

tecnología es un factor clave, la Auditoría Continua implica, además, un cambio de para-

digma: las “revisiones periódicas de una muestra de transacciones” dan paso a “pruebas

de auditoría permanentes sobre la totalidad”. Los resultados de estos análisis integran el

proceso de auditoría interna en todos sus aspectos: desde el desarrollo y mantenimiento

del plan anual, hasta la realización y el seguimiento de auditorías internas específicas.

Esta guía es eminentemente práctica y está orientada a comprender los elementos de un

modelo de Auditoría Continua, sus beneficios y los desafíos que plantea.

La guía incluye:

• Definición del concepto de Auditoría Continua, cómo impacta en los procesos de Audi-

toría Interna y su relación con otras funciones de aseguramiento y del negocio en gene-

ral.

• Los beneficios de la Auditoría Continua y una propuesta de modelos de madurez.

• Cómo implantar el enfoque de Auditoría Continua en su organización.

• Un caso práctico para afianzar el contenido teórico expuesto.

• Ejemplos de posibles herramientas que la Auditoría Continua incluye entre sus funcio-

nalidades.

Los desafíos actuales alos que se enfrenta laactividad de AuditoríaInterna acentúan la necesidad de contarcon un sistema de aseguramiento de laeficacia de los sistemasde control y gestión deriesgos fiable, sostenible y continuo.

Resumen Ejecutivo


8

Para implantar en su organización un enfoque de Auditoría Continua, proponemos un De-cálogo de Buenas Prácticas (desarrollado en las páginas 11 a 13).


Auditoría Continua no es sinónimo de “reducción de personal”: no lo convierta en su principal objetivo.

1 Considere la Auditoría Continua un proyecto estratégico.

2 Defina desde el primer momento cómo medir la rentabilidad.

3

4 Un simple “conjunto de consultas” no es un buen modelo de Auditoría Continua.

5 Ponga los cimientos: defina el modelo antes de definir los indicadores.

6 Involucre al departamento de tecnología cuanto antes.

7 Las áreas de negocio son una fuente de ideas.

8 Cuanto más configurable sea, mucho mejor.

9 Tenga cuidado con el “umbral de tolerancia”.

10 Su negocio no deja de evolucionar, acompáñelo con su modelo.

IntroducciónEntre los principales beneficios que los mode-

los de Auditoría Continua aportan a las orga-

nizaciones que los implantan, destacamos los

siguientes:

· Reducción de costes de desplazamientos,

incremento de productividad y optimización

de los equipos de Auditoría Interna, espe-

cialmente en el caso de organizaciones con

centros de negocio y operativos dispersos

geográficamente (por ejemplo, bancos,

compañías de seguros, cadenas de super-

mercados o franquicias comerciales, cade-nas hoteleras o de restauración, …).

· Mayor adaptación a cambios en la organi-zación (nuevos negocios, productos, activi-dades,…) o del entorno (novedades regu-latorias) que pueden implicar nuevos ries-gos.

· Mejora del entorno de control, porque cu-bren ámbitos que no atendía Auditoría In-terna, al operar con una sistemática, me-dios y herramientas de explotación intensi-va de datos.

Los modelos de Auditoría Continuaaportan múltiples beneficios: reducen costes, incrementan laproductividad, facilitanla adaptación al cambioy mejoran el entorno decontrol de la organización .

PROCESO AUTOMATIZADO Y CONTINUO QUE PERMITE A LA DIRECCIÓN:

· Evaluar la efectividad de los controles e identificar incidencias asociadas a los riesgos.

· Mejorar los procesos y actividades de negocio,a la vez que se adhiere a estándares éticos yde cumplimiento.

· Tomar a tiempo más decisiones basadas enriesgos cuantitativos y cualitativos.

· Incrementar el coste-eficiencia de los controlesy la supervisión a través de soluciones de TI.

PROCESO AUTOMATIZADO Y CONTINUO QUE PERMITE A AUDITORÍA INTERNA:

· Obtener información de los procesos, transacciones y cuentas, que soporten las actividades de Auditoría Interna.

· Conseguir un cumplimiento más rápido y menos costoso de las políticas, procedimientosy regulaciones.

· Avanzar desde un modelo de revisiones cíclicas o puntuales, con un alcance limitado,hacia un modelo de revisión más continuo,amplio y proactivo.

· Evolucionar desde un Plan de Anual de Auditoría Interna estático, a uno más dinámicobasado en los resultados de los análisis de la Auditoría Continua.

· Optimizar los recursos de Auditoría Interna ala vez que se incrementa la eficiencia a travésde soluciones de TI.

9

La Monitorización Continua es responsabilidad directade la Dirección mientras que la Auditoría Continua esresponsabilidad de laDirecciónAuditoría Interna.

Además de estos motivos para implantar laAuditoría Continua; también son un buen in-centivo los crecientes requerimientos de con-solidación y supervisión de los sistemas deControl Interno de las organizaciones.

Existen varias definiciones de Auditoría Conti-nua. La Guía de Auditoría de Tecnología Glo-bal sobre Auditoría Continua del InstitutoGlobal de Auditores Internos (GTAG 3) la defi-ne como “todo método utilizado por los audi-tores internos para realizar actividades rela-cionadas con la auditoría en forma –más–continua. Es la secuencia de actividades que

abarcan desde la evaluación continua de con-trol hasta la evaluación continua de riesgos(todas las actividades en la secuencia control-riesgo)”.

Las similitudes entre los conceptos de Audito-ría Continua y Monitorización Continua pue-den llevar a confusión, pero son conceptos di-ferentes: la Monitorización Continua es res-ponsabilidad directa de la Dirección en mate-ria de Buen Gobierno y la Auditoría Continuaes responsabilidad de la Dirección de Audito-ría Interna, en cuanto a supervisión. Sus dife-rencias son:

MONITORIZACIÓN CONTINUA AUDITORÍA CONTINUA

La Monitorización Continua permite a la Direc-ción determinar de forma más rápida y acertadadónde debe prestar atención y recursos, con elobjetivo de mejorar los procesos, implementarcorrecciones, abordar riesgos o lanzar iniciativaspara mejorar la capacidad de la organización deconseguir sus objetivos.

La Auditoría Continua permite a los auditoresinternos determinar de forma más rápida y acer-tada dónde deben prestar atención y recursos,con el objetivo de gestionar más eficientementelos recursos de auditoría interna y mejorar la ca-lidad de sus trabajos y el soporte a la Dirección.


Fuente: Deloitte 2010. Continuous monitoring and continuous auditing: From idea to implementation.

Según la GTAG 3, la relación entre la “idonei-dad de la gestión de riesgos y de supervisiónde la Dirección” (Monitorización Continua) yel “alcance de las pruebas detalladas de con-troles y evaluaciones de riesgos de los audito-res” (Auditoría Continua) es proporcional-mente inversa.

El enfoque y el grado de aplicación de la Au-ditoría Continua depende del grado de imple-mentación de la Monitorización Continua acargo de la Dirección: una MonitorizaciónContinua activa y adecuada permite limitar eltrabajo de Auditoría Interna cuando evalúa suconfiabilidad y efectividad.

Por ejemplo, si la Dirección monitoriza de for-ma activa y adecuada las transacciones y con-troles de ciertos sistemas y procesos de nego-cio, el auditor interno no deberá aplicar elmismo nivel de actividad de Auditoría Conti-nua. En este caso, Auditoría Interna deberáevaluar la confiabilidad y efectividad de laMonitorización Continua por parte de la Di-rección, reduciendo sus pruebas de auditoría

en estos procesos y dedicando sus recursos aotras áreas de alto riesgo o no cubiertas ade-cuadamente por la Monitorización Continua.

Por último, incluimos –tal y como indica elInstituto Global de Auditores Internos– la de-finición de Aseguramiento Continuo: combi-nación de la Auditoría Continua y la supervi-sión por parte de Auditoría Interna de la Mo-nitorización Continua del entorno de controlque realiza la Dirección.

Beneficios asociados a la Auditoría Continua

Con la ejecución de pruebas continuas y efi-cientes, la organización puede:

· Identificar y notificar tempranamente lasdebilidades, para seguirlas y corregirlas in-mediatamente, priorizándolas y focalizán-dolas en nuevos indicadores.

· Incrementar el alcance de la Auditoría Inter-na, con un análisis más exhaustivo de losdatos y el acceso a toda la población.

10

El enfoque y el gradode la Auditoría Continua que se aplique dependerá del nivel de implementación de laMonitorización Continua.


Respuesta de la Dirección

Esfuerzo de Auditoría

Monitorización exhaustivade los controles internos Esfuerzo

reducido

Bajamonitorización

de controles Esfuerzo significativo/mayor cantidad

de recursos

11

La Auditoría Continuadebe considerarse unproyecto estratégico ydebe contar con el respaldo e implicaciónde la Dirección y delComité de Auditoría.

· Contar con una Auditoría Interna con ma-yor capacidad para mitigar los riesgos.

· Reforzar el elemento disuasorio, aumentan-do la sensación de control.

· Reducir errores financieros y la probabili-dad de fraude.

· Lograr un enfoque sostenible y un coste efi-ciente para las actividades de cumplimientoy evaluación del entorno de control.

· Reducir la necesidad de viajes y costes dedesplazamiento.

· Mejorar la fiabilidad de la información fi-nanciera.

· Aportar más valor por parte de la Direcciónde Auditoría Interna y mejorar el entendi-miento de los procesos, dar mayor cobertu-ra a sus trabajos y más agilidad al identifi-car y escalar incidencias.


Decálogo de Buenas PrácticasA continuación, proponemos 10 Buenas Prác-ticas de Auditoría Continua, fruto de la expe-riencia en la implantación de estos modelos:

Considere la Auditoría Continua unproyecto estratégico.

Los modelos y plataformas de Auditoría Con-tinua mejoran notablemente el control de losprocesos de negocio pero son proyectos com-plejos, que implican un cambio estratégico.No se deje engañar por “cantos de sirena”con la promesa de que logrará buenos resul-tados tan solo con implementar unas nuevasherramientas. La Dirección y el Comité de Au-ditoría deben involucrarse, esponsorizar elproyecto, y respaldarlo con las buenas prácti-cas de gobierno corporativo.

Es de vital importancia gestionar el cambiocorrectamente, tanto en el área de AuditoríaInterna como en otras funciones afectadas.

· Gestionar el impacto en el análisis de da-

tos, Auditoría Continua y Monitorización

Continua en auditores y propietarios de los

procesos de negocio.

· Adoptar y respaldar la monitorización con-

tinua por parte de la dirección.

· Integrar la Auditoría Continua en la planifi-

cación de un sistema de auditoría interna

orientado a riesgos.

Defina desde el primer momento có-mo medir la rentabilidad

Este proyecto debe contar desde el principiocon los recursos económicos y de tiempo ne-cesarios para su función; por eso es impres-cindible el apoyo de la Dirección, y definir cla-ramente cuál es el retorno de la inversión: es-tablecer de forma clara y consensuada cuálesson los objetivos y criterios de implantación

1

2

12

La Dirección es la encargada de fijar losobjetivos y criterios deimplantación de unproyecto de AuditoríaContinua, así como deestablecer un sistemade medición de dichoproceso.

que definen el proyecto de Auditoría Conti-nua. Debemos establecer sistemas de medi-ción que demuestren las mejoras en eficienciay demás beneficios que se producen, mayorcobertura y fiabilidad, incremento en la sensa-ción de control, etc..

Auditoría Continua no es sinónimode “reducción de personal”: no loconvierta en su principal objetivo.

Es habitual convertir la mayor “eficiencia” dela Auditoría Continua en un argumento parareducir los recursos utilizados. La AuditoríaContinua permite una mayor cobertura deluniverso auditable sin incrementar los recur-sos, pero esto no implica necesariamente unareducción de personal. Todo depende de cuánambiciosa sea la cobertura. El “umbral de to-lerancia” que fijamos para cada “indicador”determina el volumen de “ocurrencias” que elsistema nos ofrece, e influye en el volumen depersonal que necesitamos para analizarlas.

Además, para impulsar un proyecto de estascaracterísticas, necesitamos mantener y de-sarrollar las competencias técnicas de nuestropersonal, poner a su alcance la tecnología ne-cesaria y los medios para que traten y anali-cen los datos de los sistemas de información.

Un simple “conjunto de consultas” noes un buen modelo de Auditoría Con-tinua.

Existe Auditoría Continua desde el momentoen que disponemos de una serie de consultasplanificadas periódicamente. Sin embargo, unbuen modelo realmente se plantea como un“sistema de información” específico que creay gestiona diferentes indicadores, y centraliza,distribuye y analiza los resultados.

Ponga los cimientos: defina el mode-lo antes de definir los indicadores.

Aunque resulte paradójico, lo último que debepreocuparnos es la relación de indicadores deun sistema de Auditoria Continua. Antes tene-mos que evaluar el ámbito de actuación delsistema, el diseño conceptual de la platafor-ma de gestión, cómo involucramos en el pro-ceso a las áreas tecnológicas y de negocio, loscambios en la estructura de la Dirección deAuditoría Interna que permitirán analizar y se-guir los nuevos indicadores, los cambios querealizaremos en la planificación anual (inclusonos preguntamos si el calificativo “anual” si-gue teniendo sentido). En definitiva, cómocambian nuestra estrategia y programas deauditoría interna.

Involucre al departamento de tecnolo-gía cuanto antes.

Es fundamental la cooperación del departa-mento de tecnología, especialmente en la ob-tención de la información. Da igual si la plata-forma de la Auditoría Continua es una herra-mienta adquirida en el mercado o una solu-ción a medida; si la desarrolla un proveedorexterno o alguien del Departamento de Audi-toría Interna. Para acceder a las fuentes de in-formación que nutren esta herramienta, nosenfrentamos a diversos retos en los que nece-sitamos la colaboración del departamento detecnología por diversas razones:· Dificultad de acceso a los datos.· Diversidad de sistemas de información, con

diferentes formatos.· Datos incompletos, con inconsistencias en

la calidad.· Problemas para acceder a los datos por

cuestiones de privacidad o seguridad.· Sistemas en constante evolución.


3

5

6

4

Si el departamento de tecnología no realiza eldebido mantenimiento, el proceso de obten-ción de la información se verá afectado anteposibles cambios o modificaciones que pudie-ran tener lugar.

Las áreas de negocio son una fuentede ideas.

Consulte con las áreas de negocio para defi-nir los indicadores de su sistema de AuditoríaContinua: le permitirá ajustarlos a los riesgosde la actividad diaria, le facilitará también de-finir y ejecutar –de forma independiente, y co-mo respaldo– determinadas pruebas sustanti-vas y controles que ya realiza la organización;o argumentar la necesidad de introducir lamonitorización continua en algunas áreas denegocio donde hace falta mejorar el entornode control.

Cuanto más configurable sea, muchomejor.

Habitualmente, los indicadores de un sistemade Auditoría Continua son personalizables.Por ejemplo, “Clientes de más de X años deedad que hayan sacado del cajero más de YEuros en el último mes”. Lo que no es tan ha-bitual es que el usuario pueda configurarotros elementos más generales, como las ti-pologías de pesos, rankings o marcajes, de-partamentos existentes, situaciones especialeso incluso las cabeceras de los diferentes infor-mes y pantallas de la herramienta. Y es me-nos habitual aún, que la plataforma permitaelaborar, sin necesidad de modificar su pro-gramación, los “indicadores dinámicos”, esdecir, incorporar indicadores nuevos al siste-ma, o modificarlos seleccionando sus atribu-tos, definiendo cómo se relacionan entre sí, oqué resultados deben generar.

Si la Dirección de Auditoría Interna es capazde configurar todos estos aspectos a travésde la auditoría continua, logra gran flexibili-dad y autosuficiencia, porque no depende sis-temáticamente del área de tecnología pararealizar cambios.

Tenga cuidado con el umbral de tole-rancia.

El volumen de ocurrencias de cada indicadordepende del “umbral de tolerancia. Si éste esmuy bajo, el departamento se colapsa ante elaluvión de resultados, si es muy alto, apenashay ocurrencias para revisar. Defina el procesode gestión de ocurrencias en función del nú-mero que puede gestionar por cada indicador,cambie la configuración del sistema hasta al-canzar ese volumen prefijado de forma cons-tante, analice el umbral de tolerancia, y eva-lúe si es el adecuado para su organización. Sino es así, tendrá que aumentar o reducir losrecursos de personal para el seguimiento delas ocurrencias.

El Director de Auditoría Interna debe garanti-zar que los hallazgos de la auditoría son trans-mitidos, recibidos y tenidos en consideraciónpor la Dirección cuando evalúa actividades co-mo supervisión de controles, medición de de-sempeño y gestión de riesgo empresarial.

Su negocio no deja de evolucionar,acompáñelo con su modelo.

La configuración inicial del modelo de Audito-ría Continua puede quedar obsoleta rápida-mente ante la evolución del negocio, por esoes necesario un mantenimiento constante(nuevos indicadores, cambios en los paráme-tros, etcétera).

13

El modelo inicial deAuditoría Continuapuede quedar obsoletorápidamente ante laevolución del negocio,es necesario un mantenimiento constante.


7 9

10

8


14

¿Qué dice el Marco Internacional para laPráctica Profesional de Auditoría Interna(MIPP) sobre el Aseguramiento Continuo?

Una referencia clave para la Auditoría Conti-nua es el Marco Internacional . En su Consejo2320-4 sobre “Aseguramiento Continuo”considera que, en aquellos casos en los que elperfil de riesgo requiera de información fre-cuente sobre la efectividad de los sistemas decontrol interno, la forma más efectiva es lacombinación de la “monitorización continua”de la dirección y la “auditoría continua” deAuditoría Interna. El Marco enfatiza el papelrelevante de la tecnología y establece comoclave el que se involucren otras áreas y fun-ciones de la organización, además del apoyode la alta dirección, aspectos que trata en elapartado “Cómo implantar un enfoque…”.

De esta forma, el Marco considera que:

· El Plan de Auditoría debe identificar lasáreas susceptibles de un enfoque de Audi-toría Continua, de acuerdo con el marco degestión de riesgos de la organización y delproceso de evaluación de riesgos de Audi-toría Interna.

· La frecuencia y el alcance de la AuditoríaContinua depende del perfil de riesgo de laorganización, y del nivel y naturaleza de lasresponsabilidades de Monitorización conti-nua de la Dirección.

· La efectividad y la eficiencia de un modelode Auditoría Continua deben ser evaluadasperiódicamente por el auditor interno, conlos cambios y ajustes que sean necesarios.

El Consejo 2320-4 sobre “AseguramientoContinuo” del MarcoInternacional para laPráctica Profesional deAuditoría Interna constituye unareferencia clave para laAuditoría Continua.

Consejo 2320-4 sobre Aseguramiento Continuo

Modelo de madurezEl “modelo de madurez” es una herramientaque facilita la identificación de la situaciónactual y la definición de planes de acción deforma gráfica e intuitiva. Conocer el grado demadurez del modelo de Auditoría Continua es

imprescindible para establecer los posterioresobjetivos, diferentes en función del punto departida: ¿tenemos ya algún tipo de herra-mienta que haga las funciones que busca-mos?, ¿cuál es su grado de evolución? Otro


15

punto importante es la madurez de la funciónde Auditoría Interna, los requerimientos regu-latorios, las necesidades de la organización(estratégicas, operativas, etcétera) y, finalmen-te debemos tener en cuenta el nivel mínimoque buscamos con la Auditoría Continua.

A su vez, y con visión de largo plazo, defini-mos las preguntas que queremos respondercon el nuevo modelo. Por ejemplo, podemosplantearnos los siguientes tipos de análisis:

• Descriptivo: responde a “¿qué ha pasadoo qué pasa ahora mismo, y compara contendencias/patrones históricos?”

• Diagnóstico: responde a “¿por qué ha pa-

sado esto?

• Predictivo: responde a ¿qué pasará?, ¿qué

es lo más probable?

• Prescriptivo: responde a ¿cuál es la acción

recomendada?

En estos momentos, las organizaciones con

sistema de Auditoria Continua se centran en

los dos primeros tipos de análisis. El siguiente

cuadro es una guía para determinar en qué

nivel de madurez se encuentra nuestro mode-

lo de Auditoría Continua.

BÁSI

CO

- El uso de herramientas: se lleva a cabo ocasionalmente en el mejor de los casos.- No existe un enfoque analítico, procedimientos o metodología.- Auditoría Interna no dispone de herramientas específicas.- Se depende de un número pequeño de personas con habilidades en el uso de herramientas informáticas, que se usan en menos

de un 10% de los proyectos de Auditoría Interna.

EVO

LUTI

VO

- Utilizadas para, al menos, el 25% de los proyectos de Auditoría Interna.- Reconocido como generador de valor para los proyectos de Auditoría Interna para la elección de muestras y pruebas.- No institucionalizado.- Recae en grupo central o en un individuo.- Hay herramientas, pero se emplean de manera no consistente o de manera errónea.

ESTA

BLEC

IDO - Utilizadas en, al menos, el 50% del ciclo de vida de auditorías.

- Existencia de políticas y metodología de uso de herramientas.- Uso de herramientas promovido por la Dirección.- Se analizan los resultados ofrecidos por las herramientas.- Comprensión del negocio a partir de los procedimientos y resultados de los análisis.

AVAN

ZADO

- La metodología está institucionalizada y es usada en, al menos, el 75% de los proyectos de Auditoría Interna incluyendo el im-pacto derivado de las incidencias detectadas.

- La Dirección se involucra en los esfuerzos de la auditoría continua y estimula su uso.- La Dirección utiliza la información derivada del uso de herramientas.- Rediseño de los procedimientos de análisis.- Las herramientas son usa das para la optimización de recursos de Auditoría Interna.

LIDE

RAZG

O - Las prácticas desarrolladas en niveles básicos que han evolucionado hasta los avanzados se utilizan para mejorar continuamentelos procesos, procedimientos y resultados de los análisis.

- Los sistemas de monitorización continua son utilizados activamente por la Dirección y los propietarios de los procesos, y la Audi-toría Continua permite evaluar la eficacia de dichos sistemas de forma continua.

- Auditoría Interna es capaz de ofrecer aseguramiento continuo sobre la gestión de riesgos de la organización.- Innovación en nuevas téc nicas de Auditoría Continua (ej. minería de datos, big data, modelos predictivos, etc.)


16

ARRANQUE DEL PROYECTO

La definición de los objetivos influye en eldesarrollo del proyecto. Así, puede ocurrir queel proyecto:

· Persiga únicamente alcanzar un estadio“básico” o, como mucho, “evolutivo”. Esdecir, generar o acceder directamente a in-formación y datos para su explotación porparte del área de Auditoría Interna con losmedios y herramientas disponibles.

· Pretenda dar un paso adicional que mejo-re su nivel de madurez con la utilización desistemas y herramientas de tratamiento au-tomatizado de esa información y generealertas y ocurrencias para Auditoría Interna.

· Acometa las dos fases anteriores de for-ma escalonada en el tiempo.

En el estudio inicial, debemos fijar la estrate-gia de desarrollo de los indicadores de Audi-toría Continua según el nivel de coberturaque hayamos definido, con el objetivo de ge-nerar un modelo completo. Acertar en estaelección será relevante en tiempo y costes.

Los indicadores pueden ser:

· Fijos: El área de Auditoría Interna define losindicadores y, normalmente, el departa-mento de Tecnología (o un proveedor exter-

no) los programa en la plataforma. Su in-conveniente es que cuando se requierennuevos indicadores, este sistema resta ope-ratividad y ralentiza la adaptación a nuevosriesgos.

· Dinámicos: No es necesario modificar laprogramación de la plataforma para incor-porar un indicador nuevo, sino que éste seincluye mediante la selección y combina-ción de campos de información a través demenús u otras funcionalidades similares.Esta alternativa permite indicadores ilimita-dos, da autonomía e independencia a lafunción de Auditoría Interna, a la gestiónde los indicadores y permite una rápida res-puesta ante los nuevos riesgos; pero, comocontrapartida, obliga a invertir más en eldiseño y desarrollo inicial de la plataforma.

En ocasiones, se elige un enfoque mixto: conindicadores fijos y un contenido mínimo, a losque se incorpora un módulo con el que elárea de Auditoría Interna puede añadir indi-cadores dinámicos cuando el negocio o losriesgos lo requieran.

Impactos en la Organización

Un modelo de Auditoría Continua impacta di-rectamente en el Entorno de Control de la Or-

En el comienzo de unproyecto de AuditoríaContinua se deben fijarlos objetivos del mismoy la estrategia de desarrollo de indicadores para optimizar tiempos ycostes.

Cómo implantar un enfoque de Auditoría Continua en nuestra organización


17

Un modelo de AuditoríaContinua afecta directamente al Entorno de Control dela Organización e impacta en las tres líneas de defensa queconstituyen su Sistemade Control Interno.

ganización, y afecta a las tres líneas de defen-sa que configuran su Sistema de Control In-terno.

En relación al MODELO DE LAS TRES LÍNEASDE DEFENSA, recomendamos la lectura de laGuía del Instituto de Auditores Internos de Es-paña Marco de relaciones de auditoría inter-na con otras funciones de aseguramiento:guía práctica, publicada en 2013 dentro delmarco de LA FÁBRICA DE PENSAMIENTO.

Primera línea de defensa:

· El principal objetivo de un modelo de Audi-toría Continua es recorrer los procesos quela organización considera claves y estable-cer criterios de seguimiento sobre los ries-gos previamente definidos.

· Los departamentos responsables de losprocesos cubiertos por Auditoría Continuaparticipan en el seguimiento de las excep-ciones y en la identificación de sus causas.

Segunda línea de defensa:

· Un modelo de Auditoría Continua propor-ciona indicadores de contraste frente a losimplementados por esta segunda línea, o

nuevos indicadores para la misma. Porejemplo, a las funciones de Cumplimiento yDefensa Penal puede aportarles indicadoresque permitan validar el grado de desempe-ño de una normativa o establezcan alertassobre posibles incumplimientos.

· Conviene convertir la segunda línea de de-fensa en parte del alcance del modelo deAuditoría Continua.

· La segunda línea da soporte a los gestoresde Auditoría Continua en el análisis de lascausas de las excepciones.

Tercera línea de defensa:

· El sistema de Auditoría Continua permiterealizar al área de Auditoría Interna una re-evaluación continua de los principales ries-gos, gestionar de forma dinámica el PlanAnual de Auditoría Interna y planificar yejecutar determinados trabajos.

ALINEAMIENTO CON EL ENFOQUE GRC(GOBIERNO, RIESGO Y CUMPLIMIENTO) DELA ORGANIZACIÓN

Los requerimientos formales referidos a laGestión de Riesgos Corporativos (ERM) o Sis-


18

Es esencial integrar elmodelo de AuditoríaContinua dentro delmarco de Gobierno,Riesgo y Cumplimientode la organización.

DEPARTAMENTOSOPERATIVOS

Diseño

Desarrollo

Despliegue

Pruebas

Seguimiento/Periodicidad

GRCAUDITORÍAINTERNA TECNOLOGÍA

Alta involucración Media involucración Baja involucración

temas de Control Interno de Elaboración deInformación Financiera (SCIIF) varían signifi-cativamente dependiendo del sector de activi-dad y de aspectos como la cotización del ca-pital o la deuda. Estos aspectos pueden re-querir indicadores específicos en un proyectode Auditoría Continua. Son indicadores quemiden el ratio de eficacia o cumplimiento deaspectos como SCIIF, prevención de blanqueode capitales, cumplimiento específico de nor-mativa, refuerzo de los sistemas de defensapenal, etc.

También pueden incluirse determinados indi-cadores en los Sistemas de ERM que detectanel grado de cumplimiento de controles miti-gantes o la posible alerta sobre riesgos.

Es fundamental integrar el modelo de Audito-ría Continua dentro del marco GRC de la or-ganización.

POSIBLE GRADO DE INVOLUCRACIÓNEn un proyecto de este tipo, las diferentesáreas involucradas participan en mayor o me-nor medida en cada una de las fases. En lamatriz destacamos, para cada una de las fa-

ses de implantación, un ejemplo teórico del

posible grado de implicación.

Costes y presupuesto

El coste de un proyecto de este tipo depende

de varios factores:

· Los objetivos y la cobertura del proyecto.

· El modelo de desarrollo de los indicadores

(fijos o dinámicos).

· La posible contratación de recursos exter-

nos.

· Las herramientas externas o internas, etcé-

tera.

Es recomendable plantear la posibilidad de

establecer fases dentro del proyecto, y definir

claramente los recursos destinados a cada

una, para medir los hitos en base a las necesi-

dades del área Auditoría Interna. Al conside-

rar los costes de un proyecto de Auditoría

Continua, se debe tener en cuenta, más allá

de su implementación inicial, el coste de la

operación, mantenimiento y expansión del

sistema.


19

Presentación del proyecto a la Dirección

La Auditoría Continua es un nuevo paso fren-te a las técnicas de control tradicionales. Lasorganizaciones evolucionan, los riesgos varíany la Dirección de Auditoría Interna quiere darrespuestas rápidas y fiables. Estas medidasaseguran que los “riesgos posibles” estáncontrolados. El modelo de Auditoría Continuacompromete a todas las áreas, tanto a Siste-mas de la Información como a las áreas impli-cadas en el seguimiento. Es un proyectotransversal que afecta a todas las áreas audi-tadas, con las que se fijan los riesgos de cadaactividad.

Para lograr el apoyo de la Dirección, se puedeplantear un proyecto piloto, con un númeroreducido de indicadores –en caso de que seopte por dinámicos, es mejor limitar el núme-ro de campos disponibles– pero con una ar-quitectura que posteriormente sea compatibley escalable al modelo completo.

DISEÑO DE LA PLATAFORMA

Arquitectura o planificación inicial

Se deben considerar los siguientes pasos:

1. IDENTIFICAR REQUERIMIENTOS.

La Dirección de Auditoría Interna elaborauna solicitud en la que explica el objetivodel sistema, de acuerdo con los afectados o“usuarios” del proyecto. Conviene estimarde forma preliminar aspectos como el volu-men de datos o las áreas a las que se diri-gen las ocurrencias.

2. DETERMINAR LAS CARACTERÍSTICAS BÁ-SICAS DE LA PLATAFORMA.

Los modelos de Auditoría Continua puedenorientar a la Dirección de Auditoría Internaen la configuración de los Planes de Audi-toría ya que, entre otras cosas, impactansignificativamente en sus programas de tra-bajo, permiten identificar información sufi-ciente, fiable, relevante y útil, para evaluarlos riesgos relevantes, localizan las probabi-lidades de que se produzcan errores, fraudeo incumplimientos y facilitan a los audito-res internos la evaluación del gobierno, lagestión de riesgos y los controles en la uni-dad auditada.

Para alcanzar estos objetivos, tenga encuenta los siguientes criterios:

1. Es una herramienta transversal queabarca todas las Áreas de la organiza-ción susceptibles de formar parte de losPlanes de Auditoría Interna.

2. Se implanta con propósito de perma-nencia y con capacidad de adaptarse alos nuevos procesos y factores de riesgoque surjan.

3. Su arquitectura es suficientemente versá-til mediante el uso de tecnologías esca-lables, ágiles y flexibles, que no obliguena acudir a nuevos desarrollos informáti-cos. En caso contrario, existe el riesgo dehacer el proyecto inviable a medio y lar-go plazo.

4. Debe involucrar a todas las áreas impli-cadas en las funciones de monitorizacióncontinua como complemento a AuditoríaInterna. Así se pueden justificar o solu-cionar las ocurrencias que se pongan demanifiesto.

La creación de un proyecto piloto de Auditoría Continuapuede constituir un instrumento eficaz a lahora de lograr el apoyode la Dirección.


20

5. Se recomienda el uso de sistemas cola-borativos que aumentan la conexiónentre los usuarios afectados por los in-dicadores y permiten conocer las defi-ciencias y establecer mejoras. Esta in-terconexión configura un sistema de se-guimiento continuo en los procesos dela organización.

6. Esto significa que se permite el accesoa cualquier usuario que determinen lasUnidades de Auditoría Interna, median-te un sistema de permisos que los dis-crimina en función de los procedimien-tos de protección de datos y seguridad.

7. La complejidad y cantidad de variablesque gestionan los Sistemas de Audito-ría Continua, obligan a simplificar elsistema de configuración e inclusión denuevos indicadores. En caso contrario,la complejidad del seguimiento afecta asu gestión. Hay que generar criteriosque discriminen entre indicadores paraotorgarles pesos relativos y permitan elrecálculo automático.

8. El sistema es más potente y flexiblecuanto más parametrizable es su dise-ño. Por ello, además de los pesos, hayque establecer parámetros para todoslos aspectos relacionados con un indi-cador (valores que generan ocurrencia,periodicidad de ejecución, importan-cia…).

9. Cuanto mayores son las áreas afecta-das, más elevado es el número de indi-cadores gestionados y, por tanto, máscomplicado su seguimiento. Se facilitala gestión con la creación de un cuadrode mando: una visión rápida e intuitivade las principales áreas y conceptos deriesgo, una panorámica con las princi-pales variables, un esquema de las áre-

as revisadas y las conclusiones y suge-rencias. El cuadro de mando puede ba-sarse en valores de alerta u objetivos, yel peso relativo de cada indicador. Tam-bién puede incluir herramientas de se-guimiento, como gráficos, y la posibili-dad de bajar al máximo nivel posiblehasta el dato concreto en aquellas va-riables que se consideren.

10. Los datos deben estar actualizados, aser posible diariamente. Sirve un siste-ma que acumule 11 meses e incorporela información del día en el mes en cur-so. No obstante, las escasas variacionesintradía y el esfuerzo tecnológico querequiere, aconseja actualizaciones conplazos superiores, que no deben exce-der el mes. También debe considerarsela generación de información en perio-dos de doce meses, en lugar de las re-feridas al ejercicio vigente, para evitarla estacionalidad de determinados me-ses junto con la posibilidad de falsospositivos cuando el número de meseses reducido.

11. Establecer un proceso que garantiza lacalidad de los datos, mediante el acce-so a las bases de datos principales dela Organización o a una réplica de lasmismas. Es positivo revisar periódica-mente los datos para evitar desajustesante cambios organizativos o de pro-ducto.

12. Los sistemas de Auditoría Continua sir-ven a otras áreas en el seguimiento deindicadores que les atañen. Por tanto,se necesitan sistemas de reporting queidentifiquen el trabajo realizado y per-mitan seguir las conclusiones y suge-rencias.

Algunos de los requisitos de una plataforma de AuditoríaContinua son la transversalidad, la versatilidad, su estabilidad, su naturaleza colaborativao su posible parametrización.


21

3. DEFINIR POSIBLES MÓDULOS QUE DE-BEN INCORPORARSE

La Auditoría Continua es un sistema demúltiples consultas en el que participanmuchas áreas de la Organización, por esodicho sistema necesita un elevado nivel deseguimiento para gestionar y centralizar losdiferentes indicadores y distribuir y analizaradecuadamente los resultados. Es una he-rramienta compleja que debe disponer deuna serie de módulos que faciliten su ma-nejo para:

- Extracción. Proporciona a la plataforma lainformación necesaria.

- Cálculo. Ejecuta los diferentes indicadoresdefinidos en la plataforma.

- Gestión de Usuarios. Define los usuarioscon acceso a la aplicación, administraciónde perfiles (administrador, usuario,…), indi-cador de las transacciones y operaciones alas que tienen acceso. También estableceequipos de trabajo y demás operativas queafectan al área de Auditoría Interna.

- Parámetros Generales. Cuantos más pará-metros se establezcan, mayor independen-cia y flexibilidad tiene el área de AuditoríaInterna para diseñar su modelo de Audito-ría Continua.

Entre los posibles aspectos parametrizablesse encuentran:· Marcas sobre cada indicador analizado,

con algún tipo de clasificación sobre losresultados de su revisión (por ejemplo, in-cidencia a seguir, falso positivo, etcétera).

· Pesos asignados a cada indicador en fun-ción de su relevancia en el proceso.

· Periodicidad: frecuencia de ejecución es-tablecida para cada indicador (diaria, se-manal, quincenal, una fecha concreta…).

· Mensajes tipo: definición de textos utili-zados como plantilla en los mensajes ycomunicaciones enviados a las unidadesauditadas.

· Modelos de reporting: plantillas de dife-rentes tipos de informes y resultados pro-porcionados por la plataforma y la revi-sión.

- Creación de Indicadores. Este módulo per-mite diseñar los indicadores de la platafor-ma. La versatilidad del modelo depende desi los indicadores son fijos (programados “amedida” directamente en la plataforma) odinámicos (configurables sin necesidad decambios en la programación de la platafor-ma). Sean fijos o dinámicos, debe ser posi-ble definir, como mínimo, los paráme-tros –importes, porcentajes, fechas, etcéte-ra– utilizados en el indicador, e incluso supeso específico, seleccionado a partir de latipología de pesos configurada anterior-mente al determinar las características bá-sicas de la plataforma.

- Consultas. Permite analizar los resultados através de los indicadores.

- Agenda. Módulo donde se asignan las ta-reas a los integrantes del área de AuditoríaInterna. Por ejemplo, cada auditor o equipotendrá asignadas automáticamente y pordefecto una determinada tipología de ocu-rrencias. También debe ser posible la asig-nación específica o puntual de las mismas.

- Simulación. Pruebas con diferentes pará-metros asociados a los indicadores para

Un sistema de AuditoríaContinua es una herramienta complejaque debe disponer demódulos que facilitensu utilización.


22

analizar su impacto, sin necesidad de modi-ficar la configuración existente o afectar alos históricos anteriores.

- Comunicación. Módulo de comunicacióncon una unidad auditada mediante el envíode mensajes automáticos. Pueden definirsedeterminados mensajes para ser enviadosde forma automática cuando se materializaun determinado tipo de ocurrencia. Convie-ne que el módulo controle aspectos comoqué mensajes reciben respuesta y cuálesno, su repetición automática si no se recibecontestación, etc.

- Ratings y Rankings. Definir ratings alinean-do la puntuación de un área en función deciertas puntuaciones establecidas por el ad-ministrador de la herramienta, y rankingsentre varias unidades análogas incluidas enel proceso de Auditoría Continua.

- Otros posibles módulos. Por ejemplo, el deanálisis histórico de ocurrencias, el de crea-ción y gestión de diferentes versiones deparametrización de la plataforma, o un grá-fico para medir la evolución de uno o variosindicadores, etc.

4. OBTENER LA INFORMACIÓN: ¿ACCESODIRECTO A APLICACIONES O A REPOSI-TORIOS?

Es necesario determinar si los datos queanalizan los indicadores se consultan direc-tamente de las bases de datos de las apli-caciones ya existentes o si se debe crear unrepositorio específico. De ambas decisio-nes se derivan beneficios:

Del acceso directo a las bases de datosexistentes.

· Se reduce el riesgo de fallos de integri-dad de la información y el uso de infor-mación no actualizada.

· No se duplica la información y se genera

un ahorro en almacenamiento.

· El tiempo de ejecución es más rápido al

no ser necesaria la extracción y consoli-

dación de la información.

De un repositorio específico.

· Facilita la generación de información his-

tórica.

· Minimiza el impacto en el rendimiento

de las aplicaciones de negocio (especial-

mente para datos con actualización ins-

tantánea).

· El modelo de datos es más sencillo de di-

señar y adaptar a las necesidades del

área de Auditoría Interna.

· Independiza el diseño de la plataforma

del diseño de las aplicaciones.

· Es más fácil de mantener en caso de que

la estructura de la información de las

aplicaciones varíe.

· Es más sencillo implantar una plataforma

de indicadores dinámicos.

5. DETERMINAR LA PERIODICIDAD DE AC-TUALIZACIÓN DE LOS RESULTADOS

Es necesario decidir si se quieren los resul-

tados de forma instantánea, on line, o con

determinada periodicidad: diaria, semanal,

mensual, etc. Existen argumentos a favorde ambos:

De la actualización instantánea, on line.

· La información necesaria para evaluar los

indicadores está permanentemente ac-

tualizada. Este enfoque no permite el uso

de repositorios, salvo que se actualicen

en tiempo real.

Establecer si los datosque analizan los indicadores se consultan directamentede las bases de datosde las aplicaciones yaexistentes o si se creaun repositorio específico, es un aspecto clave a la horade diseñar una plataforma de AuditoríaContinua.


23

· Esta frecuencia permite identificar un in-cidente nada más producirse, lo que esmuy útil en indicadores críticos.

De la actualización periódica.

· Los procesos de ejecución de indicadorespueden retrasarse a los momentos enque los sistemas tienen menos trabajo yasí impactar menos en su rendimiento.

· Podemos graduar la antigüedad de la in-formación analizada y el momento enque se ejecuta cada indicador según suimportancia. Por ejemplo, puede estable-cerse que los indicadores críticos se eje-cuten una vez al día con información quese actualiza cada noche.

· La implementación y gestión del sistemaes más sencilla.

· Normalmente, el coste de actualizacióninstantánea es superior y puede no justi-ficar la necesidad que pueda tener elárea de Auditoría Interna de disponer online de información sobre una determina-da ocurrencia.

6. DEFINIR EL DISEÑO TÉCNICO

Una vez determinadas las característicasdel desarrollo informático, se prepara la in-formación para desarrollar una guía deta-llada, Diseño Técnico, del sistema. El docu-mento lo elaboran las áreas de desarrollodel Departamento de Tecnología e incluyeaspectos tales como:

· Entorno físico del sistema: hardware, co-municaciones, instalaciones, etc.

· Diseño técnico: componentes o subsiste-mas, interfaces con otros módulos o conotros sistemas, requerimientos de seguri-dad, concurrencia de usuarios y procesa-miento en tiempo real.

· Diseño detallado de componentes del

sistema: lógica de proceso, pantallas e

informes.

· Diseño de bases de datos o ficheros: ta-

blas, vistas, etc.

Definición de indicadores iniciales, sus parámetros y pesos

Durante el proceso del diseño del modelo hay

que decidir si los indicadores son dinámicos o

fijos, así como su periodicidad de actualiza-

ción de los resultados. Estas decisiones condi-

cionan el tipo de herramienta, las intercone-

xiones con otros sistemas, el coste y el plazo

de entrega.

Durante el diseño y el programa piloto de im-

plantación del modelo de Auditoría Continua,

es conveniente que el área de Auditoría Inter-

na realice un estudio basado en los siguientes

pasos:

1. Identificar los procesos objeto de análisis.

2. Si la organización tiene identificados y ma-

peados esos procesos, obtener el detalle de

subprocesos.

3. Revisar las áreas que afectan a dichos pro-

cesos y mapear las fases de los mismos si

la organización no los tenía identificado.s

· Realizar una primera aproximación a los in-

dicadores que identifican los riesgos o per-

miten evaluar los controles que afectan a

dichas áreas.

· Comentar los resultados con los responsa-

bles y pedir información sobre las causas

que provocan falsos positivos.

· Preguntar por nuevos indicadores.

En la fase de diseño delsistema debe decidirsesi los indicadores sondinámicos o fijos, así como su periodicidadde actualización de resultados.


24

· Agrupar los indicadores en un cuadro de

mando ordenado por procesos.

· Comprobar que la información obtenida es

consistente con la información gestionada

por los distintos departamentos.

¿Herramienta de mercado o desarrollointerno?

El éxito de un modelo de Auditoría Continuadepende, en gran medida, de la selección eimplantación (o desarrollo) de las herramien-tas tecnológicas adecuadas y de su utilizaciónefectiva. Las organizaciones deben evaluar,por tanto, las características y funcionalidadesde las herramientas que se adecúen a sus ne-cesidades: coste de implantación, explotacióny mantenimiento, agilidad y flexibilidad paraadecuarse a cambios organizativos, a distin-tos los procesos o a los riesgos e indicadoresque se monitoricen.

Existe un abanico de soluciones –basadas enherramientas para tratamiento masivo de lainformación– que sirven de soporte a la Audi-toría Continua y que facilitan la interconexiónde sistemas:

· Herramientas ofimáticas. Hojas de cálculo obases de datos, por ejemplo.

· Herramientas estándar de auditoría, herra-mientas CAATT, Computer Assisted AuditTools and Techniques.

· Procedimientos convencionales de presen-tación de información. Por ejemplo, de unsistema ERP.

· Business intelligence: cuadros de mando,informes, etc.

· Herramientas con módulos específicos deAuditoría o Monitorización Continua –he-rramientas de tipo GRC.

Tanto si se decide por el desarrollo interno co-mo si se adquiere una solución pre-parametri-zada, hay que adaptar esas herramientas alos requisitos definidos en el modelo de tra-bajo de Auditoría Continua. En el proceso deselección, debe estudiarse la existencia de he-rramientas similares en la propia organiza-ción, que exploten el almacén de datos o queya utilicen otras áreas para su trabajo. Adap-tarlas mejorará el retorno de la inversión.

Ventajas de una herramienta comercial ver-sus una herramienta de desarrollo interno· Menor riesgo de incidencias durante el de-

sarrollo –desviaciones en tiempo o coste,funcionalidades no implementadas de for-ma completa, etc.

· Productos probados.· Puesta en marcha en menor tiempo.

Inconvenientes· Puede no facilitar todas las funcionalidades

que proporciona un desarrollo a medida ono adaptarse a las necesidades específicasde la organización y sus procesos.

· Dependencia externa.

De cualquier forma, en cualquier desarrollointerno o adaptación hay que considerar suposterior administración –desde el área deAuditoría Interna, en la medida de lo posible–y los futuros cambios, bien en el alcance delproyecto o por cambios en la organización.

DESARROLLO

Identificar los atributos de la información que se recopila

Para desarrollar los indicadores, es necesarioanalizar la fuente de los datos y sus atributos,así se podrá calificar adecuadamente la infor-mación y facilitar su gestión.

La selección e implantación de las herramientas tecnológicas adecuadasasí como su utilizaciónefectiva es elementoclave en el éxito de unmodelo de AuditoríaContinua.


25

En dicho proceso se debe considerar:

· Las distintas fuentes de obtención de datoscon los que calculamos los indicadores.

· El uso de información externa a la organi-zación, sobre todo al comparar datos y va-lorar posibles alertas.

· La validación de los datos obtenidos.

· La posible existencia de falsos positivos co-mo consecuencia de comparaciones no ho-mogéneas entre datos obtenidos de fuen-tes diversas.

· Que los indicadores incluyan informaciónsuficiente para su correcto estudio.

Además de estos puntos, es necesario docu-mentar adecuadamente todos los indicadores,sus fórmulas de cálculo, los datos que los inte-gran y sus características.

Desarrollo de la plataforma / Adaptación de la herramienta de mercado

En base al análisis funcional y diseño técnico,hay que definir y aprobar un plan de implan-tación / ejecución del proyecto, que incluya:

· La definición de objetivos.

· La asignación de responsabilidades.

· Las necesidades de personal / equipos / li-cencias / espacio físico / comunicaciones.

· La metodología de desarrollo e implanta-ción.

· El calendario

· Las actividades de seguimiento y reporte.

Algunas de las cuestiones clave a tener encuenta en esta fase son:

· El seguimiento frecuente para el control dedesvíos en tiempo y coste.

· El uso de prototipos –demostraciones– ycontraste frecuente con usuarios finales.

· Se debe detallar y documentar incidenciasque supongan un riesgo sobre los objetivosdel proyecto en tiempo, forma y coste, indi-cando las soluciones adoptadas e infor-mando a la Dirección.

Conexión con las aplicaciones / repositorios

La conexión con las fuentes de informacióndepende del modelo elegido:

· En los casos de acceso a la informaciónmediante un repositorio, hay que definir:

- Los requerimientos de información (ta-blas, campos y formato esperado).

- La periodicidad de carga de la informa-ción.

- El tiempo de retención de la información.

- Si los datos se añaden o sustituyen a losexistentes.

- Definición de responsable de la carga dela información.

- Definición de información necesaria pararealizar validaciones (por ejemplo, núme-ro de registros y totales sobre campos deimporte).

· Si el acceso es directo a las aplicaciones,debemos acordar cómo se advierte al área

Análisis funcional y diseño técnico son losprincipales aspectos atener en consideracióna la hora de decidir yaprobar un plan de implantación de unproyecto de AuditoríaContinua.

Análisis de lafuente de datosy sus atributos

Desarrolloplataforma /Adaptacíonherramienta

Conexióncon las

fuentes deinformación

Conexióncon otras

herramientas

Gestión deincidencias Pruebas


26

de Auditoría Interna de las posibles inci-dencias en la información fuente.

El modo de acceso puede implementarse abajo nivel, con conectores de bases de datos;o a alto nivel, con herramientas o aplicacio-nes específicas. En cualquier caso, se debe te-ner en cuenta:· El impacto de la carga sobre los procesos

de la compañía, especialmente si se usa re-positorio.

· Problemas en la operativa, problemas deseguridad, etc.

· Velocidad del proceso de carga, que impac-ta en la ejecución posterior de los indicado-res.

· Disponibilidad de la información, con la ga-rantía de que toda la población auditada seencuentra actualizada en la fuente.

· Mecanismos para la gestión y reporte deincidencias en la carga.

Conexión con otras herramientas similares ya existentes

La conexión puede ser:

· Saliente: La herramienta nutre a aplicacio-nes externas como, por ejemplo, herramien-tas de seguimiento de controles (GRC, ma-pa de riesgos, etc.).

· Entrante: Otras herramientas similares nu-tren a la plataforma de Auditoría Continua,aportando información útil, por ejemplo,para algún indicador.

Cuando la herramienta nutre a otras aplica-ciones hay que definir un procedimiento deexportación de información adecuado, que in-cluya un responsable, la definición de datosque se reportan, la periodicidad y las valida-ciones de integridad.

Gestión de incidencias

Las incidencias más habituales en este tipo deproyectos son:

· Desviaciones en tiempo y coste. Estos pro-yectos suele comenzar con una definiciónsencilla, que se complica conforme los indi-cadores evolucionan. El área de AuditoríaInterna, como responsable del proyecto, de-fine el nivel de complejidad de cada indica-dor, teniendo en cuenta que un buen dise-ño inicial evita sobrecostes, retrasos, y ga-rantiza que la herramienta cumple las ex-pectativas.

· Lentitud de proceso, originada por las ta-blas origen de la información y los procesosde conexión. El proceso de análisis de losindicadores puede, en ocasiones, requerir laextracción de bases de cierto tamaño, oconsultas “pesadas” con un alto volumende información. Por ello, es básico que seconfigure adecuadamente la forma de ex-tracción y el formato del detalle generado.Es recomendable definir específicamentecada indicador, acotando la población dedatos siempre que se pueda, por tiempo,por geografía, por unidad dentro de la or-ganización, etc.

Pruebas

La fase de pruebas del desarrollo, que se inte-gran en el proceso habitual de desarrollo es-tablecido en la organización, se divide en:

· Pruebas técnicas para validar la integridady coherencia del proceso. Son comunes encualquier desarrollo técnico. Incluyen prue-bas unitarias, pruebas completas de un in-dicador, pruebas de convivencia de los nue-

En análisis de la conexión con otras herramientas existentes, la gestión deincidencias y la realización de pruebasson cuestiones relevantes en el desarrollo de un sistema de AuditoríaContinua.


27

vos indicadores con el resto de sistemas,pruebas de velocidad de proceso de infor-mación en función de la información fuen-te, etcétera.

· Pruebas de usuario o concepto, que tienenpor objetivo validar los resultados obteni-dos. En la fase de diseño las define el áreade Auditoría Interna. Las más habitualesson:

- Formato de la información: validar el for-mato de los campos del indicador como,por ejemplo, fechas o importes.

- Totalidad de la información: validar quelos resultados que contienen informaciónsobre la población esperada, todas laszonas geográficas analizadas, todas lasunidades de negocio analizadas, etcéte-ra.

- Coherencia contable: comprobar si la in-formación se corresponde con los datosdisponibles en los Estados Financieros uotras fuentes conciliadas contablemente.

- Coherencia: validar que los datos obteni-dos son conceptualmente coherentes, co-mo por ejemplo, facturas vencidas quetodavía no han sido emitidas.

- Coherencia entre indicadores: validar quela población de los distintos indicadoreses homogénea. Por ejemplo, el númerode facturas pendientes de cobro en undeterminado día debe ser la misma paratodos los indicadores que utilicen esta in-formación.

- Pruebas sobre el indicador en sí mismo:verificar la utilidad de los datos obteni-dos, percepción de rendimiento por partedel usuario, etcétera.

- Resultados: validar que el objetivo del in-dicador se ha cumplido.

Estas pruebas ayudan a mejorar el diseño delindicador, ajustándolo y reduciendo el númerode falsos positivos.

DESPLIEGUE

Implantación

Siempre que el proyecto se presente a la Di-rección de forma adecuada y se diseñe enuna plataforma apropiada, su implantaciónno tiene por qué ser complicada. El principalobstáculo es el limitado conocimiento de lanueva herramienta que tiene la organización.Hace falta formación impartida por el área deAuditoría Interna.

La Auditoría Continua se implementa por mó-dulos, según una planificación inicial y, a par-tir de pruebas piloto, es recomendable che-quear a las unidades de negocio y, una vezvalidado el éxito, extender su alcance. Com-probado el correcto funcionamiento de la pla-taforma, se realizan los necesarios ajustes enla parametrización y pesos de los indicadores.Ajustes que se repetirán periódicamente paraadaptarlos a la dinámica de la organización ysus procesos. Las revisiones permiten ajustarpaulatinamente la herramienta y detectar yreducir las incidencias.

Comunicación a la organización

La Dirección y las áreas afectadas por losanálisis deben considerar la Auditoría Conti-nua como una herramienta de mejora delaseguramiento de la organización. Para elárea de Auditoría Interna esta actividad es laevolución natural de su trabajo, de la mismaforma que evolucionó desde la Auditoría In-terna de cumplimiento, o tradicional, hasta un

Uno de los principalesobstáculos en la implantación de un sistema de AuditoríaContinua es el limitadoconocimiento existenteen la organización acerca de la nuevaherramienta.


28

trabajo basado en el análisis de riesgos. Aho-ra es posible avanzar hacia la Auditoría Conti-nua. Y así debe transmitirlo.

Conviene estudiar detenidamente cómo sepresentan los resultados finales de los traba-jos de Auditoria Continua. Los informes perió-dicos deben tener una presentación “amiga-ble” y deben centrarse sólo en los aspectosrealmente relevantes, incorporando única-mente los indicadores que afecten significati-vamente a una actividad.

El reporting debe procurar, además, no invadirnunca las competencias de otras áreas de laorganización (por ejemplo, Control de Ges-tión), debe enfocar sus contenidos dentro delos de la tercera línea de defensa y evitar quese considere a Auditoría Continua simplemen-te como una actividad complementaria de losanálisis propios de otras áreas.

El lanzamiento de la plataforma de AuditoríaContinua conlleva un proceso de formación ycomunicación, tanto para los integrantes dela Dirección de Auditoría Interna como los delas áreas afectadas por los objetivos y desem-peño de sus Sistemas.

Análisis de la situación tras el despliegue

Finalizado el proceso de despliegue del Sis -tema de Auditoría Continua, conviene anali-zar si se han conseguido los objetivos marca-dos y plantearse el cumplimiento de factoresde éxito y fracaso para mantener vivo el im-pulso inicial y adelantarse a los posibles pro-blemas.

La siguiente tabla resume la lista de desafíosy sus causas, y los factores de éxito en la im-plantación de un Sistema de Auditoría Conti-nua.

La puesta en marcha deuna herramienta deAuditoría Continua requiere de un procesode formación y comunicación adecuados, tanto paralos miembros deAuditoría Interna comopara los de los departamentos afectados por los objetivos y desempeñode sus sistemas.

FACTORES DE FRACASO· Soluciones demasiado complejas o poco

prácticas.· Soluciones desarrolladas en forma aislada

por consultores o por un equipo externo.· Mejores prácticas copiadas, pero no ajus-

tadas para satisfacer la operación de laempresa.

· Soluciones no “asumidas” por los propie-tarios del proceso/equipo.

· Organización sin roles y responsabilidadesclaros.

· Gerencia que no demanda ni respalda elcambio.

· Resistencia al cambio.· Pobre comprensión de la manera en que

deben aplicarse los nuevos procesos o he-rramientas que han sido desarrollados.

· Habilidades y perfiles no coincidentes conlos requerimientos del rol.

FACTORES DE ÉXITO· Enfocarse en ganancias rápidas (quick wins) y pro-

yectos manejables.· Realizar pequeñas mejoras para probar el enfoque y

asegurarse que funciona.· Involucrar a los propietarios de los procesos y a

otros terceros interesados en el desarrollo de la me-jora.

· Asegurarse de que los roles y responsabilidades sonclaras y aceptadas, cambiando las descripciones delos roles y perfiles, si es necesario.

· Llevar la mejora desde la gerencia hacia abajo y através de toda la empresa.

· Aplicar una formación adecuada, cuando sea nece-sario.

· Desarrollar los procesos antes de intentar automati-zarlos.

· Reorganizar, si es necesario, para habilitar una mejorapropiación de los procesos.

· Hacer coincidir los roles (específicamente aquellosque son claves para el éxito) con las capacidades ycaracterísticas individuales.

RIESGO: FALLO EN LA ADOPCIÓN O APLICACIÓN DE MEJORAS


29

Y LUEGO… ¿QUÉ?

Administración de la plataforma

Una vez implantado el modelo de AuditoríaContinua, la administración de la plataformarequiere de los siguientes trabajos:

· Crear nuevos indicadores. La evolución dela organización puede exigir crear nuevosindicadores o ajustar los existentes a las

nuevas situaciones o riesgos. De aquí la ne-cesidad de retroalimentación.

· Gestionar la información de los afecta-dos. Es muy importante que los receptoresreciban puntualmente la información y su-gerencias sobre puntos de mejora, sobretodo en la fase inicial. Estas sugerenciasdeben analizarse desde un punto de vistaglobal, porque algunas áreas parciales delnegocio podrían no contar con información

FACTORES DE FRACASO· Metas y métricas no establecidas o sin

funcionar efectivamente.· Seguimiento de beneficios no aplicados

después de la implementación.· Pérdida de foco en los beneficios y el valor

que se obtendrá.· Pobre comunicación de los éxitos.

FACTORES DE ÉXITO· Establecer metas claras, medibles y realistas (resul-

tado esperable de la mejora).· Establecer métricas prácticas de rendimiento (para

monitorizar si la mejora está llevando al logro de lasmetas).

· Producir cuadros de mando que muestren la maneraen que se mide el desempeño.

· Comunicar en términos del impacto en el negocio,los resultados y beneficios que se están obteniendo.

· Implementar ganancias rápidas (quick wins) y entre-gar soluciones en escalas de tiempo breves.

RIESGO: DIFICULTAD PARA MOSTRAR O MEDIR BENEFICIOS

FACTORES DE FRACASO· La mejora continua no es parte de la cul-

tura.· Gestión que no produce resultados soste-

nidos.· Recursos focalizados en actividades de

bombero y entrega de servicio, y no en lamejora.

· Personal sin motivación, que no puede verel beneficio personal al adoptar y conducirel cambio.

FACTORES DE ÉXITO· Asegurar que la gerencia comunica y refuerza regu-

larmente la necesidad de servicios, soluciones y unbuen gobierno confiables y robustos. Comunicar lasmejoras logradas a todas las partes interesadas.

· Visitar nuevamente a las partes interesadas y obte-ner su respaldo para ‘alimentar’ el impulso.

· Si los recursos son escasos, aprovechar la oportuni-dad para implementar mejoras en el transcurso deltrabajo, como parte de un proyecto de la rutina dia-ria.

· Focalizarse en tareas de mejora regulares y gestio-nables.

· Obtener asistencia externa, pero que permanezcacomprometida.

· Alinear los sistemas de recompensa personales conlas metas y métricas de mejora en el desempeño,tanto personales como organizacionales.

RIESGO: PÉRDIDA DE INTERÉS O MOMENTO

Fuente: COBIT 5


30

suficiente para valorar el proyecto en suconjunto. No obstante, siempre debe que-dar constancia y trazabilidad de las suge-rencias, tanto para el “cliente interno”, co-mo para el resto de participantes.

· Distribuir los resultados. El principal activode un sistema de Auditoría Continua es lagestión automática y simultánea de múlti-ples puntos de control. Se realizan análisisperiódicos (diarios, semanales, mensuales) yse comunican inmediatamente las inciden-cias o problemas a los responsables de lasáreas afectadas. Posteriormente, el área deAuditoría Interna emite un reporte dondedetalla las acciones adoptadas para subsa-narlos. La plataforma se configura comouna aplicación corporativa de acceso públi-co con Cuadros de Mando que facilitan sugestión.

Medición de la rentabilidad

En general, el principal beneficio de los mode-los de Auditoría Continua es la clara y eviden-te mejora de la eficiencia y eficacia en el tra-bajo de Auditoría Interna, una mayor cobertu-ra del aseguramiento, la detección tempranade incidencias, la reducción de gastos de viajey la mejora del entorno global de control. Es

necesario registrar y medir estos beneficiospara poner en valor las inversiones realizadasde cara a la organización.

Cambios en el área de Auditoría Interna

· Organizativos. Incorporación de nuevashabilidades y competencias en el equipo deAuditoría Interna: perfiles profesionales conconocimientos de Sistemas de Información.

· Universo auditable. Las técnicas de Audi-toría Interna no se basan únicamente enpruebas de cumplimiento, aumenta la im-portancia de las pruebas sustantivas y elanálisis de toda la población de datos.

· Planificación dinámica. Al disponer de unsistema de indicadores y alertas, se revisael Plan de Auditoría Interna con una perio-dicidad mayor.

· Enfoques de Auditoría Interna. Mayor dis-ciplina y unificación en la forma de realizarel trabajo de auditoría interna en todo elequipo.

· Programas de trabajo. Las pruebas se en-focan hacia los Sistemas de Información yno tanto hacia el papel o hacia los informesfinales generados por los usuarios.

Administrar la plataforma, medir larentabilidad del proceso e incorporarmejoras en AuditoríaInterna para asegurarla correcta utilizaciónde la herramienta deAuditoría Continua sonlas principales actividades a realizaruna vez puesta en marcha dicha aplicación.


31

Definición de objetivos

Estrategia de desarrollo de indicadores

Impactos en la Organización

Costes y presupuesto

Presentación del proyecto a la Dirección

Tres líneas de defensaEnfoque GRCGrado de involucración

DISEÑO DE PLATAFORMA

2

DESARROLLO3

DESPLIEGUE

Y LUEGO… ¿QUÉ?

5

IMPLANTACIÓN DE UN MODELO DE AUDITORÍA CONTINUA · CONSIDERACIONES

1

ARRANQUE DEL PROYECTO

Arquitectura inicial

Indicadores iniciales, parámetros y pesos

Herramienta comercial/Desarrollo interno

RequerimientosCaracterísticas básicasMódulos a incorporarAcceso directo/RepositoriosPeriodicidad de actualizaciónDiseño técnico

Atributos de la información recopilada

Desarrollo de la plataforma/ Adaptaciónherramienta comercial

Conexión con aplicaciones/repositorios

Conexión con otras herramientas

Gestón de incidencias

Pruebas

Desviaciones tiempo y costeLentitud de proceso

TécnicasDe usuario o concepto

4 Implantación

Comunicación a la Organización

Análisis tras el despliegue:factores de éxito - factores de fracaso

Fallo en adopción de mejoras

Dificultad para mostrar oproveer beneficios

Pérdida de interéso momento

Administración de la plataforma

Medición de la rentabilidad

Cambios en el Área de Auditoría Interna

Crear nuevos indicadoresGestionar informaciónde los afectadosDistribuir resultados

OrganizativosUniverso auditablePlanificación dinámicaEnfoques de auditoríaProgramas de trabajo


33

MODELO DE AUDITORÍA CONTINUA EN FLEXI ACER

DESCRIPCIÓN DE LA EMPRESA

EMPRESAFLEXI ACER. (se trata de una empresa ficticia. Los datos que seincluyen en este supuesto práctico no han sido ex-traídos de ninguna empresa real).

DESCRIPCIÓNTrabaja de forma industrial con componentesde acero para construir mobiliario urbano (porejemplo, papeleras, barandillas, etc). Tienen lasede en Málaga, plantas de fabricación enMálaga, Madrid, Barcelona y México y filialescomerciales internacionales en Alemania, Ita-lia, México, EEUU y Argentina.

En total, factura alrededor de 1.000 Millonesde Euros anuales, especialmente fuera de Es-paña. Tiene un total de 2.500 empleados re-partidos por Europa y América.

SITUACIÓNLa caída de ventas, como efecto de la menoractividad industrial, ha impactado en su cuen-ta de resultados. Esto ha provocado:

· Aumento del nivel de fraude interno. Elesquema retributivo establecido al personalde sus filiales se basa en incentivar el resul-tado obtenido en las mismas, lo cual ha lle-vado a múltiples intentos de fraude porparte de responsables en diferentes filiales,

que han procurado enmascarar la cifra deventas o diferir pérdidas, ocultando deter-minados indicadores que afectan al resulta-do, o difiriendo costes de un ejercicio aotro.

· Reducción del margen de beneficio. Lanecesidad de detener la caída de negocioha llevado a acuerdos de dudosa rentabili-dad y caídas de márgenes, hasta dejar lacuenta de algunas filiales en situación com-prometida, que puede afectar a la viabili-dad de la organización.

· Cambios en la organización. Ante la nece-sidad de aumentar el entorno de control enla estructura de la Sociedad, y de reducir elnivel de gastos, se están agrupando las ac-tividades realizadas en filiales, mediante lacentralización de servicios en Agrupaciónde Interés Económico (AIE) que prestan suapoyo a las distintas filiales del Grupo.

ENTORNO DE CONTROLBasado en un esquema de tres líneas de de-fensa:

· 1ª Línea: Gestión operativa realizada.

- Desde las distintas áreas operativas decada una de las filiales.

- Desde las áreas operativas de fases delnegocio centralizado en AIE.

- Desde las áreas de central que gestionanla realización de funciones a nivel Grupo.

Son Finanzas, RR HH, TI y Administración.

Caso práctico


34

· 2ª línea: a nivel Grupo. La Sociedad dispo-ne de las siguientes áreas de control queafectan a la matriz y a todas las filiales delGrupo:

- Control Financiero y de Gestión.

- Seguridad en la Información.

- Gestión de Riesgos Corporativos.

- Calidad.

- Cumplimiento.

- Control Interno.

· 3ª línea: Auditoría Interna.

- Ubicado en la Sede Central, formado por3 auditores más un Director de AuditoríaInterna.

- Dedican más del 50% de su tiempo a vi-sitas presenciales en las distintas sedes,validando procedimientos y realizandorevisiones periódicas.

- Depende directamente del CEO.

- Reporta a un Comité de Auditoría, inte-grado por Consejeros independientes dela sociedad.

HERRAMIENTAS PARA EL CONTROL INTERNO

La 2ª línea de defensa dispone de las siguien-tes herramientas y aplicaciones para un ade-cuado seguimiento del sistema de Control In-terno.

· Mapas de procesos. Identifica en tres nive-les los distintos procesos que componen laSociedad. A nivel 1, serían:

- Asesoría Jurídica.

- Atención al Cliente.

- Comercial.

- Comunicación.

- Contabilidad.

- Inmuebles y logística.

- Fiscal.

- Inversiones financieras.

- Planificación y análisis de gestión.

- Recursos humanos.

- Sistemas de Información.

- Gestión de Riesgos.

- Supervisión y Control Interno.

- Proveedores.

- Ventas.

- Facturación y cobro.

· Mapas de Riesgos. La Sociedad agrupa asus distintos responsables de áreas en “res-ponsables de riesgos” encargados de defi-nir y valorar los riesgos que les afectan. Deesta forma, configura un mapa de riesgos,basado en tres niveles, que incluyen:

- Descripción del riesgo.

- Causas.

- Controles mitigantes.

- Valoración antes de controles.

- Valoración después de controles. (la valo-ración se basa en un esquema de proba-bilidad e impacto).

A primer nivel, clasifica los riesgos en los si-guientes grupos:

- Crédito (de cobro, …).

- Financiero (tipo de interés, valoración in-versiones, …).

- Operacional.

- Regulatorio.

- Negocio.

· Sistemas de Información. Dispone de:

- Data Warehouse, con información de to-das las variables que considera para se-guimiento de la actividad de todas lasunidades de la Organización.


35

- Work Flow en la Intranet, con asignación

de funciones a todos los empleados de la

organización, identificando acciones ante

determinados aspectos programados.

- Paquete contable integrado en SAP, que

cuenta con un módulo de gestión de al-

macenes y materiales. Algunas unidades

pueden utilizar otro sistema, aunque la

empresa está en un proceso de unifica-

ción de los mismos.

- Para gestión de costes y márgenes ope-

rativos cuentan con un sistema de Busi-

ness Intelligence (BI) de reciente implan-

tación.

- Aplicativo de Auditoría Interna enfocado

a un esquema de programas de trabajo y

realización de informes, enfocado a los

sistemas tradicionales de Auditoría Ope-

rativa.

Estos son los aspectos previos considerados,

antes de definir la implantación de un modelo

de Auditoría Continua. Para desarrollarlo, ha-

ce falta revisar el trabajo que realizan todos

los implicados, pues existe el riesgo de dupli-

car áreas.

Ahora, en base a este supuesto, se detalla la

implantación de un modelo de Auditoría Con-

tinua, mediante:

· Descripción de procesos.

· Asignación de riesgos.

· Departamentos responsables. Vemos cómo

afecta la existencia de cambios organizati-

vos.

· Identificamos el nivel de madurez de Audi-

toría por procesos.

· Para procesos con sistemas de Auditoría

Continua desarrollado, identificamos indi-

cadores.

· Conexión con otras herramientas: ver cómo

afectan los nuevos desarrollos.

· Reporting a funciones clave.

· Seguimiento realizado sobre indicadores:

- Por áreas responsables (Monitorización

Continua).

- Por Auditoría Interna (Auditoría Conti-

nua).

· Sistema para determinar nuevos indicado-

res y actualización de los existentes.

MAPA DE PROCESOS

La Dirección de FLEXI ACER ha implantado un

modelo de gestión orientado a procesos, don-

de las necesidades y la satisfacción del cliente

forman el eje de la estrategia del negocio.

En el proceso de implantación del modelo de

Auditoría Continua, la Dirección de Auditoría

Interna decide seguir un enfoque “incremen-

tal” e “iterativo”. En el alcance inicial del mo-

delo se incluyen aquellos procesos relaciona-

dos con los riesgos más críticos del negocio y

susceptibles de ser automatizados mediante

las herramientas disponibles en FLEXI ACER.

La Dirección de Auditoría Interna dispone de

un proceso de monitorización que identifica

los cambios en el perfil de riesgo de la com-

pañía o en sus procesos para adaptar los indi-

cadores, y los indicadores incluidos en el mo-

delo de Auditoría Continua.


36

En la actualidad, han sido implementadosdentro del modelo de Auditoría Continua deFLEXI ACER los procesos señalados en el grá-fico anterior.

El resto de procesos se siguen cubriendo me-diante un enfoque de auditoría “tradicional”(cíclicas, ad-hoc, presenciales). Periódicamen-te, la Dirección de Auditoría Interna evalúa laposibilidad de incluir algunos de los procesosque faltan en el modelo de Auditoría Conti-nua. Para ello contempla los riesgos asocia-dos, las limitaciones tecnológicas o la natura-leza del proceso.

Para los procesos incluidos dentro del modelode Auditoría Continua, adicionalmente a lasupervisión continua del perfil de riesgo y laefectividad de los controles, se realizan audi-

torías complementarias con un enfoque “tra-dicional”, que cubren aspectos específicos dealta criticidad o no susceptibles de automati-zación.

MODELO DE AUDITORÍA CONTINUA IMPLEMENTADO EN FLEXI ACER

La plataforma de auditoría continua imple-mentada en FLEXI ACER tiene dos años deantigüedad y presenta las siguientes caracte-rísticas:

· El diseño de la plataforma fue realizado porla Dirección de Auditoría Interna. Posterior-mente, su desarrollo e implantación fuesubcontratado a una consultora especiali-


37

zada, en conjunción con el Departamentode Tecnología de FLEXI ACER. El Departa-mento de Tecnología se encarga del mante-nimiento y la incorporación de nuevas fun-cionalidades.

· La plataforma utiliza la información exis-tente en un repositorio para evaluar los di-ferentes indicadores. Este repositorio se ac-tualiza cada noche con un volcado directode las tablas existentes en el entorno deproducción.

· La plataforma admite la incorporación deindicadores dinámicos que son definidos,desarrollados y parametrizados por losusuarios de Auditoría Interna. No es nece-saria la involucración del área de tecnolo-gía para incorporar un nuevo indicador (sal-vo que sea necesario incorporar al reposito-rio alguna tabla nueva no considerada has-ta ese momento).

Existe un administrador en el área de Audi-toría Interna que incorpora estos nuevos in-dicadores (o modifica sus parámetros) unavez han sido aprobados por la Dirección deAuditoría Interna. La descripción y detallede los mismos se recoge en una ficha quese cumplimenta desde la propia platafor-ma.

· La periodicidad de ejecución de cada indi-cador es parametrizable y depende de laimportancia del mismo. En cualquier caso,dicha periodicidad es –como mínimo– deun día.

· La plataforma cuenta con una serie de mó-dulos que permiten, entre otras funciones,gestionar y/o incorporar indicadores, con-sultar resultados, asignarlos (de forma ma-nual o predefinida) a los auditores internospara su análisis, comunicarse directamente

con las unidades auditadas para solicitar

mayor información, seguimiento centraliza-

do de ocurrencias, acceso a históricos, etcé-

tera.

En base a los procesos incorporados por FLE-

XI ACER en el modelo de Auditoría Continua,

se muestran los indicadores establecidos para

dos de los procesos de negocio:

Gestión de Compras- Proveedores duplicados.

- Campos faltantes en el maestro de provee-

dores.

- Pedidos creados tarde/a posteriori (en el

momento de la primera recepción de mer-

cancía o factura).

- Pedidos parciales (o troceados, sin contro-

les de autorización adicionales para pedi-

dos de importe o criticidad más elevada).

- Facturas afloradas con retraso (facturas enel cajón).

- Facturas conformadas (validadas, autoriza-

das) con retraso.

- Facturas que superan cierto importe y no

han sido apropiadamente autorizadas.

- Facturas duplicadas.

- Partidas con potenciales problemas de cor-

te de operaciones.

- Partidas abiertas de proveedor por un pe-

ríodo de tiempo muy largo.

- Porcentaje de facturas sin referencia a pedi-

do de compra.

- Pagos a proveedores en paraísos fiscales.

- Pagos a personal vinculado a la empresa

(por ejemplo, con misma dirección o cuenta

bancaria que el empleado).


38

Gestión de Hardware y Software- Volumen de personal externo que accede a

información sensible de los clientes.

- Usuarios del entorno de desarrollo que ac-cede al área de producción.

- Aplicaciones que registran más de X solici-tudes de mantenimiento correctivo en Z días.

- Tiempo medio de resolución de incidenciassuperior a Z días.

- Desviaciones en proyectos respecto a laplanificación inicial superiores a Z días.

- Volumen de intentos de acceso a ficherosde passwords.

- El rendimiento de determinados servidoresinferior a un X%.

- Usuarios con actividad fuera de horas nor-males de trabajo.

- Usuarios con muy baja actividad (o nula)(Son potencialmente innecesarios).

La ficha para incorporar nuevos indicadores omodificar la definición de los existentes pre-senta el siguiente formato:

Ficha Indicador(A cumplimentar como paso previo a su creación o modificación)

CabeceraIdentificador indicador: A-S-005Título indicador: Aplicaciones que presentan un alto mantenimiento correctivo

Tipo indicador: Alarma Ámbito: Prueba sustantiva

Periodicidad de ejecución: Diaria Importancia: Media Versión indicador: 1.0

Aprobación diseño: Director AuditoríaFecha de aprobación: 10/05/2013

Fecha de última revisión: 10/05/2013

Resumen

Departamento asignado: Auditoría tecnológica Área auditada: Tecnología

Breve descripción del indicador: Aplicaciones que registran más X solicitudes de mantenimiento correctivo en Z días

Tipo Riesgo: Tecnológico Epígrafe: Función de Desarrollo

Detalle

Riesgo evaluado:

Que una aplicación presente un volumen de mantenimiento correctivo alto en un breve periodo de tiempo, puede ser un síntoma de que dicha aplicación no ha sido lo suficientemente probrada (o no lo ha sido algún cambio realizado sobre la misma).En cualquier caso, denota el riesgo de que dicha aplicación esté generando un volumen de errores superior al habitual, lo que puede dar lugar a problemas de integridad en la información, dificultades operativas, etc.

Párametros indicador: * Volumen de solicitudes de mantenimiento realizadas en un periodo dado* Días que componen el periodo evaluado

Información adicionala solicitar:

* Tipología de errores, causas identificadas hasta el momento, transacciones afectadas y posible impacto (y/o impacto real de haberse materializado)…

Comunicación resultados si es una incidencia real:

* Dirección de auditoría* Dirección de negocio implicada en el uso de la aplicación

GestiónResultados

Cómo revisar cada ocurrencia:

*Analizar la tipología de solicitudes pendientes. Evaluar si se concentran en alguna transacción u operativa concreta cuyo mal funcionamiento se considere de riesgo relevante (gestión de saldos, facturación, informes financieros, atención al cliente, etc.)*Envío de correo automático desde la aplicación de auditoría a distancia al personal del departamento de Desarrollo para solicitar más información. Posible entrevista adicional

Información a mostrar: *Identificador solicitudes pendientes * Código de la aplicación * Tiempo de resolución medio* Volumen de solicitudes * Solicitudes pendientes


39

MODELO DE EJECUCIÓN Y MAN TENIMIENTO CONTINUODEL MODELO DE AUDITORÍACONTINUA

Modelo de Ejecución

Se distinguen dos tipos de ejecución de indi-

cadores de Auditoría Continua:

· Análisis Continuo: los indicadores se eje-

cutan de forma automática una vez a la se-

mana y se almacena el detalle de los resul-

tados en el directorio compartido de Audi-

toría Interna. Además, se dispone de un

cuadro de mando funcional que permite

analizar la evolución de un indicador a lo

largo del tiempo y separar para su análisis

las excepciones relevantes.

Con motivo de la reunión semestral de la

Comisión de Auditoría de Flexi Acer, Audito-

ría Interna prepara un resumen ejecutivo de

la evolución del modelo de Auditoría Conti-

nua y de las excepciones detectadas.

· Análisis “ad hoc”: los indicadores se eje-cutan a petición del usuario, que puede se-leccionar la ventana temporal de trabajo, lasociedad o sociedades del alcance, y los in-dicadores que ejecuta. Este modelo es ha-bitualmente un paso previo a la auditoríade una filial de Flexi Acer, así se dispone delmáximo de información antes de la inspec-ción física.

Mantenimiento del Modelo

Se ha definido un responsable de AuditoríaInterna como responsable del modelo de indi-cadores de Auditoría Continua. También se hadefinido un interlocutor del área de sistemasresponsable de la alimentación de la informa-ción necesaria y de la gestión de las mejorascontinuas del modelo.

En general, los usuarios del modelo disponende un perfil estándar, que permite parametri-zar ejecuciones y ejecutar indicadores. El res-ponsable de Auditoría Interna y el responsa-ble del área de sistemas disponen de capaci-dad de administración, lo que permite realizar

ValorObjetivosegún AI

Pedidos creados tarde

Pedidos parciales

Facturas afloradas con retraso (>6 meses)Facturas conformadas con retraso (>1 mes)Facturas FI registradas sin pedidoFacturas duplicadasCorte de operacionesPartidas abiertas de proveedorAnálisis apuntes manualesPlazo pago s/ política

2013 H2

TOTAL España Francia Alemania ItaliaAmérica del Sur

Argentina Brasil Uruguayen momento recepción

respecto fecha factura

DelegadaCentralizadaDelegadaCentralizadaDirectaDelegada

1%1%1%1%15%1%1%5%2%

CumpleN/A

CumpleCumpleCumple

2%0%3%

0,9%13%2%

0,4%2%

0,8%Cumple

N/ACumpleCumpleCumple

4%0%0%0%7%2%1%2%

0,4%Cumple


1,4%0,6%4%

1,2%13%4%

0,6%5%1%

CumpleN/A

CumpleCumpleCumple

0%0%2%0%

13%0%

0,1%3%0%

CumpleN/A

CumpleCumpleCumple

0%0%0%0%0%0%0%1%1%

CumpleN/A

CumpleCumpleCumple

0%0%0%0%0%0%1%1%

0,5%Cumple


0%0%0%0%0%0%0%0%

0,2%Cumple


0%0%0%0%

40%0%

0,7%1%0%

CumpleN/A

CumpleCumpleCumple

CUADRO DE MANDO UTILIZADO POR FLEXI ACER PARA PRESENTAR LOS RESULTADOS DEL MODELO DE AUDITORÍA CONTINUA


40

tareas de gestión de usuarios y resolución deincidencias.

Se dispone de un flujo de resolución de inci-dencias de ejecución del modelo, completa-mente integrado con el proceso de resoluciónde incidencias de Flexi Acer y con responsa-bles asignados.

Independientemente de las modificaciones realizadas asociadas al mantenimiento correc-tivo (resolución de incidencias), el modelo deAuditoría Continua será revisado cuando:

· Se produzcan cambios relevantes en losprocesos de negocio de Flexi Acer o en el

enfoque de Auditoría Interna, que obliguen

a una evolución del modelo para adaptarlo

a los nuevos requerimientos funcionales.

· Si el responsable de la ejecución detecta

que algún indicador no funciona de forma

adecuada (por ejemplo, detectando un nú-

mero elevado de falsos positivos).

· Se produzcan cambios tecnológicos signifi-

cativos que permitan incorporar mejoras o

adaptaciones a la implementación técnica.

· Como máximo, el modelo completo debe

ser actualizado a los tres años.

Pedidos creados tarde

Pedidos parciales

En momento de 1ª

recepción(en importe

pedidos)

Respectoa fecha

de factura(en importe

facturas)

Delegada

Centralizada

Delegada

Centralizada

Delegada

Directa

Todos los indicadores de pedidos creados tarde muestran una tendencia a la baja, encontrándose el de Compra Centrali-zada dentro de los parámetros considerados aceptables. La Compra Delegada, si bien mejora, aún muestra valores por encima de la tolerancia definida.

Las incidencias más relevantes, tal y como sucedió en el semestre anterior, se localizan en Francia. En este país los indicadores han mejorado respecto al primer semestre (cuando se identificaron un número elevado de incidencias debido a problemas en la migración al ERP corporativo, donde un número elevado de pedidos no se trasladaron de manera adecuada), si bien aún existe margen de mejora.

La labor de monitorización y concienciación que lleva realizando Compras, sigue siendo crítica para reducir la inciden-cia de este tipo de hechos.

El indicador respecto a Compra Directa se mantiene estable respecto a la anterior ejecución y continua por debajo del umbral definido. Sigue destacando el número de incidencias en Francia (921k€), Alemania (353k€) y Uruguay (147k€). España destaca por el bajo nivel de incidencias (80k€). Recomendamos que Compras continúe monitorizando estas posibles compras troceadas de forma recurrente.

En cuanto a Compra Delegada, únicamente se han identificado casos puntuales en Francia (125k€) y España (40k€)

EVOLUCIÓN DE INDICADORES


41

GLOSARIO

Aseguramiento Continuo

El aseguramiento continuo puede lograrse mejormediante una combinación de responsabilidadesde seguimiento continuo de la Dirección y las acti-vidades de supervisión continua de Auditoría Inter-na.

Auditoría Continua

GTAG 3 lo define como todo método utilizado porlos auditores para realizar actividades relacionadascon la auditoría de forma (más) continua. Es la se-cuencia de actividades que abarcan desde la eva-luación continua de control hasta la evaluacióncontinua de riesgos (todas las actividades en la se-cuencia control-riesgo).

Auditoría a distancia

Es aquella auditoría que pretende facilitar el segui-miento de los diversos riesgos sin necesidad de realizar una visita in situ a la ubicación física obje-to de la auditoría.

Falso positivo

Cuando una ocurrencia, normalmente ligada a unindicador tipo alarma, no refleja realmente una si-tuación anómala o atípica. Normalmente no se de-be a un fallo en la configuración o programacióndel indicador, sino a que éste no está lo suficiente-mente elaborado o su umbral de tolerancia es muybajo.

GTAG - Global Tecnology Audit Guide

Guía de Auditoría de Tecnología Global, emitidapor el Instituto Internacional de Auditores Internos.

Indicador

La base de un sistema de auditoría continua es laejecución de una serie de consultas, análisis ypruebas que –en esta guía – se han denominado“indicadores”. Los indicadores pueden tener diver-sas finalidades, por lo que hay diferentes tipos:- Alarmas. Alertas sobre situaciones atípicas cuyo

origen podría ser (o no) la materialización de undeterminado riesgo. Es el tipo de indicador másfrecuente.

- Key Performance Indicators (KPI) y Key Risk Indi-cators (KRI). Ratios e indicadores clave. Porejemplo, el volumen de horas de mantenimientocorrectivo que, anualmente, se realiza sobre unaaplicación.

- Pre-auditorías. La ejecución de una determinadaprueba de auditoría (por ejemplo, el recálculo dela facturación de un servicio) o la obtención deinformación general (por ejemplo, listados declientes).

- Excepciones. Avisos sobre fallos en el funciona-miento de una transacción, un control, etc.

Indicador Fijo / Indicador Dinámico - En un modelo de Auditoría Continua basado en

indicadores fijos, cada vez que se desea incorpo-rar un indicador es necesario programarlo “amedida” dentro de la plataforma. Normalmentela programación la lleva a cabo el departamentode tecnología, un proveedor externo o la empre-sa que ha desarrollado la herramienta de Audi-toría Continua utilizada.

- En cambio, los indicadores dinámicos se puedenir incorporando a la plataforma mediante la pa-rametrización de determinados elementos exis-tentes en la misma, para que no sea necesariomodificar su programación (salvo que se quiera

Anexos


42

incorporar más “elementos” al conjunto de losexistentes).

Los indicadores fijos son fáciles de incorporar alprincipio y si son muchos, pero se vuelve muy “te-dioso” añadirlos de forma esporádica, lo que haceque poco a poco la evolución de la plataforma seralentice o se detenga.

En cambio, cuesta mucho al principio diseñar unaplataforma que permita indicadores dinámicos (es-pecialmente cuando urge dar resultados que justi-fiquen la inversión) pero, si se consigue, será relati-vamente sencillo ir adaptando los indicadores a laevolución de los riesgos.

Monitorización continua o Supervisión continua

Abarca los procesos que la dirección implementapara garantizar que las políticas, los procedimien-tos y los procesos de negocio funcionen eficazmen-te. Implica la responsabilidad de la dirección encuanto a evaluar la idoneidad y eficacia de los con-troles.

Ocurrencia

Resultado o resultados que devuelve cada indica-dor.

Servicios de aseguramiento

El Glosario del Marco Internacional para la PrácticaProfesional de la Auditoría Interna (MIPP) defineServicios de aseguramiento como “Un examen ob-jetivo de evidencias con el propósito de proveeruna evaluación independiente de los procesos degestión de riesgos, control y gobierno de una orga-nización”. Por ejemplo: trabajos financieros, dedesempeño, de cumplimiento, de seguridad de sis-temas y de diligencia debida (due diligence).

Umbral de tolerancia

Es el grado de sensibilidad del indicador. Cuantomás bajo sea, mayor volumen de ocurrencias gene-rará (y viceversa). Lo ideal es que el umbral de to-lerancia determine el volumen de personal necesa-rio para analizar los resultados obtenidos, aunquelo habitual es que sea al revés (en función del per-sonal disponible se ajusta el umbral).

Fuente: Forrester Research Q1 2014. The Forrester Wave:Governance, Risk, and Compliance Platforms

ABILI

TY TO

EXE

CUTI

VE

COMPLETENESS OF VISION As of September 2013

VISIONARIES

LEADERS

NICHE PLAYERS

CHALLENGERS

EMC (RSA)Thomson Reuters

SAPMetricStream

Nasdaq OMX (BWise)

Software AGSASEnablon

CMO ComplianceMega

Resolver

Wynyard Group

Sword Group

Protiviti

Fuente: Gartner Magic Quadrant for Enterprise Governan-ce, Risk and Compliance Platforms, 2013.

EJEMPLOS DE HERRAMIENTASDE MERCADOEn cuanto a las herramientas comerciales disponi-bles en el mercado, es más frecuente encontrar so-luciones de propósito general, que soluciones es-pecíficas de Auditoría Continua.

En esta sección tratamos de reflejar estudios demercado sobre plataformas GRC, que en su granmayoría incluyen funcionalidades que soportan losprocesos de Auditoría Continua, adicionalmente aotros procesos de aseguramiento.


43

BIBLIOGRAFÍA

- Auditoría Continua y Supervisión Continua. Pre-sente y futuro. Estudio de KPMG en la regiónEMA. Diciembre 2012.

- Auditoría Continua y Supervisión Continua. Resul-tado del estudio en España. KPMG. 2010.

- Auditoría tecnológicamente avanzada: Auditoría adistancia y Auditoria Continua. Partida doble, nº.204. Manuel Mendiola. Noviembre 2008.

- Beyong Continuous Auditing. Norman Marks. De-cember 2010.

- “Consejo para la práctica 2320-4: AseguramientoContinuo”. Marco Internacional para la PrácticaProfesional de la Auditoría Interna.

- Continuous monitoring and continuous auditing.From idea to implementation. Deloitte. 2010.

- Continuous process monitoring: your primary pro-cesses, structurally in control. EY. 2011.

- Gartner Magic Quadrant for Enterprise Governan-ce, Risk and Compliance Platforms, 2013.

- GTAG-3-Guía de Auditoría de Tecnología Global.Auditoria continua: implicaciones para el asegura-miento, la supervisión y la evaluación de riesgos.David Coderre. Octubre 2005.

- Guía Práctica: Marco de relaciones de AuditoríaInterna con otras funciones de Aseguramiento.Instituto de Auditores Internos de España. Diciem-bre 2013.

- Implementing a continuous audit process. The Ins-titute of Internal Auditors. December 2010.

- The Forrester Wave: Governance, Risk, and Com-pliance Platforms. Christopher McClean, Nick Ha-yes and Renee Murphy. January 27, 2014.

- Transforming Internal Audit: A Maturity Modelfrom Data Analytics to Continuous Assurance.KPMG.

Instituto de Auditores Internos de España

Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es

Depósito Legal: M-29726-2014

ISBN: 978-84-941921-8-0

Diseño y maquetación: desdecero, estudio gráfico

Impresión: IAG, SL

a uditorÍa interna...• definición del concepto de auditoría continua, cómo impacta en los...

Documents