El ojo de Sauron y la Auditoría Contínua en las organizaciones
Por: Javier Fernando Klus – Buenos Aires, Argentina – Colaborador de www.auditool.org
Para comenzar este artículo me gustaría recordar la película el señor de los anillos, si alguno tuvo la suerte de verla recordarán aquel ojo de Sauron que cual faro observaba todo, y como Froddo en casi toda la trilogía se va escondiendo a fin que el ojo no deposite la mirada en él, finalmente Froddo consigue llegar al Monte del Destino y bueno… no quiero contar más la historia, ahora bien, viéndolo en retrospectiva me doy cuenta que el ojo de Sauron terminó no siendo tan bueno y permitió que Froddo cumpliera su propósito. Y ¿Por qué el Ojo de Sauron fracaso? porque era como un gran faro que depositaba su mirada en un lugar a la vez, apenas veían venir al ojo todos se escondían, no era omnipresente, es decir que estaba en todos los lugares al mismo tiempo, lo que si hubiera impedido que Froddo tuviera éxito.
Ahora bien, ¿podemos asociar esta anécdota con la auditoría? yo creo que sí y les explicaré ¿Por qué?
La Auditoría en sus inicios comenzó siendo una actividad planificada, de revisión de documentos, presencial, muestral y por sobre todas las cosas de revisión de hechos ya ocurridos. En el contexto de mediados del siglo pasado este enfoque resultaba ser el apropiado, sumemos a esto que la detección de cualquier anormalidad pasaba por un proceso de análisis y validación que finalmente hacía que el reporte de los hechos detectados así como su solución sucedieran mucho tiempo después de ocurrido el problema.
El entorno actual que vive una empresa es totalmente diferente, en principio la alta dirección reclama de forma permanente información en tiempo real a todos los sectores, incluyendo el área de auditoría, con el advenimiento de las nuevas tecnologías el volumen de operaciones ha crecido exponencialmente, en muchos casos las empresas tiene un exceso de información, la cual muchas veces no es relevante. Manejamos el concepto de información en la nube, e-commerce, vemos como una empresa radicada en California vende por internet a alguien que se encuentra en Italia, y la operación se perfecciona, se generan los documentos, ordenes de despacho, etc. a las 4:00 AM hora de California 12:00 PM hora de Milán por ejemplo. Todo este contexto exige respuestas rápidas y es aquí donde nos planteamos el problema y necesidad que la Gerencia de Auditoría interna deba dar respuestas a la Gerencia y accionistas casi en tiempo real.
Aquí es donde el concepto de Auditoría Continúa se hace fundamental, podemos entender a la Auditoría Contínua como la recopilación, por parte de los auditores internos u otras áreas de control, de pruebas e indicadores de auditoría sobre procesos, transacciones, controles y sistemas de información de forma frecuente o contínua, durante un período de tiempo.
Lo importante de este concepto son las palabras “frecuente o contínua” esto implica que la revisión seguirá siendo ex – post pero con una frecuencia tal que permita detectar el problema de forma oportuna. El sentido de la oportunidad en una sociedad como la actual es fundamental.
La tecnología brinda una herramienta indispensable al Auditor para poder cumplir con los objetivos de una Auditoría Contínua. A través de distintos software se puede manejar un enorme volumen de información, permitiendo que el auditor trabaje sobre el universo en su totalidad y no sobre muestras, y manejando una velocidad de procesamiento que permite detectar cualquier anormalidad casi en tiempo real.
Repasando algunos conceptos de la Guía de Auditoría de Tecnología Global (GTAG) 3 del IIA, los pasos claves de un proceso de Auditoría Contínua serían:
Objetivos de la Auditoría Contínua
• Definir los objetivos de la auditoría continua
• Obtener y gestionar el respaldo de la alta dirección
• Determinar el grado en que la dirección está cumpliendo su función de supervisión
• Identificar y establecer prioridades entre las áreas a abordar y los tipos de auditoría contínua a realizar
• Identificar sistemas de información claves y fuentes de datos
• Comprender los sistemas de aplicación y los procesos subyacentes de negocio
• Desarrollar relaciones con la gestión de TI
Uso y Acceso de Datos
• Seleccionar y adquirir herramientas de análisis
• Desarrollar capacidades de acceso y análisis
• Desarrollar y mantener técnicas y habilidades de análisis del auditor
• Evaluar la integridad y fiabilidad de los datos
• Depurar y preparar los datos
Evaluación contínua de control
• Identificar puntos de control críticos
• Definir reglas de control
• Definir excepciones
• Diseñar un enfoque tecnológico para pruebas de control y para identificar deficiencias
Evaluación contínua de riesgos
• Definir las entidades a evaluar
• Identificar categorías de riesgo
• Identificar indicadores de riesgo/desempeño controlados por datos
• Diseñar pruebas analíticas para medir mayores niveles de riesgo
Informar y Gestionar resultados
• Establecer prioridades y determinar frecuencia de las actividades de auditoría contínua
• Ejecutar pruebas de manera regular y oportuna
• Identificar deficiencias de control o mayores niveles de riesgo
• Establecer prioridades entre los resultados
• Iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección
• Gestionar resultados (rastreo, informes, supervisión y seguimiento)
• Evaluar los resultados de las acciones implementadas
• Supervisar y evaluar la eficacia del proceso de auditoría contínua
• Garantizar la seguridad del proceso de auditoría contínua y asegurar que existan las vinculaciones correspondientes con las iniciativas de la dirección.
Cada uno de estos pasos es fundamental para poder gestionar un proceso de Auditoría Contínua exitoso. En resumen, la auditoría continúa permite a la Gerencia de Auditoría responder de forma oportuna a los riesgos que cualquier organización se encuentra expuesta en la actualidad.
Importante: El próximo 30 de abril es el lanzamiento del Curso Virtual, «Gestión del Riesgo de Fraude y la Auditoría. Los interesados pueden obtener mayor información ingresando desde AQUÍ
Del Autor: Javier Fernando Klus esGerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa). Colaborador de Auditool
Comentarios