Auditoría Interna

Por: CP Iván Rodríguez. Colaborador de Auditool.

El monitoreo continuo en auditoría se ha constituido en una práctica clave que permite identificar riesgos y detectar problemas en tiempo real, lo cual posibilita a las organizaciones responder de manera proactiva. Aunque habitualmente es empleado en auditoría interna y en auditoría de sistemas, también se emplea en otros tipos de auditoría.  

Una de las prácticas que han sido habituales en el trabajo de los auditores ha sido la aplicación del muestreo. Esto es, seleccionar muestras de transacciones y examinar las unidades de muestreo durante las evaluaciones. Sobre esa base, los resultados se utilizan para determinar el impacto de los riesgos en las datos y procesos; si los controles están presentes y funcionan como se esperan. A pesar de sus bondades, el muestreo tiene algunas limitaciones:

• Error de muestreo: ¿Qué tan diferente es la población de lo que muestra la muestra?
• Extrapolación: ¿Es posible utilizar la información obtenida de la muestra y predecir si los resultados aplican a toda la población?

Ahora bien, teniendo en cuenta lo anterior y que actualmente se requiere examinar miles o incluso millones de registros y transacciones, los auditores no tienen certeza de si la comprensión de los problemas advertidos y la identificación de la fuente de las anomalías encontradas realmente permite cuantificar apropiadamente los problemas, así como determinar su generalizados y costos. Para abordar las brechas estadísticas entre una muestra y la población de la que se extrajo, los auditores comenzaron a utilizar programas y aplicativos para examinar un mayor número de transacciones tales como hojas electrónicas, manejadores de bases de datos y programas de consulta. El uso de estas herramientas también permite, en condiciones favorables de costos y tiempo, repetir los procedimientos previamente aplicados, para monitorear el problema y verificar que se ha solucionado. Esta actividad (aplicar el proceso de revisión con alguna frecuencia) también se suele adelantar como parte del monitoreo regular de manera que los problemas, en caso de repetirse, puedan identificarse lo antes posible. La ejecución de esta actividad por parte de la alta administración se denomina monitoreo continuo (CM) y si es realizada por los auditores, se denomina auditoría continua (CA).

Algunos elementos propios del monitoreo continuo en auditoría son:

• Automatización del análisis de datos: Se utilizan herramientas y programas que permiten revisar y analizar transacciones y procesos en tiempo real o en intervalos cortos. Estas herramientas pueden identificar patrones inusuales o inconsistencias que podrían indicar fraudes o errores.
• Indicadores de rendimiento clave (KPIs): Se acostumbra a establecer métricas específicas que se monitorean constantemente, lo que permite asegurar el cumplimiento de las políticas internas y las normativas externas.
• Alertas tempranas: Es aconsejable que el sistema de monitoreo continuo genere alertas cuando se detectan excepciones o irregularidades, lo cual puede ser indicativo de problemas potenciales. Esto permite a los auditores y a la alta administración actuar de inmediato.
• Evaluación del cumplimiento: Uno de los usos frecuentes del monitoreo para las empresas, es evidenciar si se da el cumplimiento normativo de manera constante, (esto es, la adhesión a leyes, reglamentos y políticas internas en todo momento).
• Reportes automatizados: Los informes sobre el rendimiento, el cumplimiento y los posibles riesgos se generan automáticamente y se envían a las partes interesadas, lo que facilita la toma de decisiones rápida.
• Tecnología de inteligencia artificial: El uso de IA y aprendizaje automático mejora la capacidad del monitoreo continuo al aprender de los datos históricos y predecir posibles problemas futuros.

Toda vez que el monitoreo continuo y la auditoría continua requieren del concurso de la alta dirección y del área de auditoría, es necesario que cada una de estas instancias asuma las responsabilidades que le competen. En el caso del monitoreo, la gerencia es responsable del establecimiento y seguimiento de objetivos, riesgos y controles. Al implementar un mecanismo de CM, puede adelantarse a los problemas y, de manera preventiva o correctiva poco después de que ocurran, intervenir para corregir las deficiencias advertidas. Algunos ejemplos de actividades sujetas a monitoreo continuo son la supervisión de transacciones, las anulaciones manuales, los defectos en producción y los retrasos en los envíos o entregas de productos o servicios.

En el caso de la auditoría continua, los auditores son responsables de revisar los programas y procesos, procurando no afectar las operaciones empresariales. Deben actuar con objetividad e independencia. Aplicar auditoría continua, puede proporcionar información relacionada con el cumplimiento de políticas, procedimientos, regulaciones y otros temas que respaldan las actividades y los objetivos de informes financieros y operativos. Algunos ejemplos de transacciones que pueden auditarse de manera continua son:

• Revisión de transacciones (acumulación o división), para detectar elusión de los límites de aprobación
• Revisión de los datos de colaboradores y empleados frente a información de los proveedores
• Pagos por montos que deben ser reportados a las autoridades tributarias o que vigilan el tema de lavado de activos.
• Operaciones poco frecuentes o sospechosas de un proveedor (por ejemplo, valores atípicos, frecuencias inexplicables o acumulación de operaciones)
• Horarios de los empleados o verificación de datos de identificación

Los auditores, una vez han identificado los riesgos, han comprendido el funcionamiento de los controles relacionados, deben seleccionar el conjunto de datos apropiado y definir el algoritmo necesario para sondear las transacciones correspondientes. Con base en lo anterior, los procedimientos se programan para ejecutarse automáticamente en la medida en que los sistemas de la empresa realicen trabajos periódicos. Los resultados también permiten realizar análisis para determinar si se han materializado riesgos o se han presentado fallos en los controles. Una vez advertidas estas situaciones, es posible notificar de manera inmediata por correo electrónico, tableros de datos u otros medios de notificación para que la administración o la auditoría actúen y revisen más a fondo.

No hay que olvidar que la gestión de los riesgos debe ser realizada por la dirección y la evaluación de riesgos por los auditores, aunque pareciera que hay superposición en sus labores. También es importante definir con claridad los intervalos de tiempo entre revisiones, de manera que se pueda evitar que las fallas de control se presenten con frecuencia y causen daños significativos a la organización.

El auditor, al hacer uso de la auditoría continua (y de la información del monitoreo continuo) requiere datos utilizables, una mentalidad de riesgo, coordinación con los propietarios de los controles y ofrecer una solución oportuna. Estos procedimientos continuos pueden mejorar la gobernanza, la gestión de riesgos y el cumplimiento, al tiempo que reducen los costos en beneficio de la organización y del trabajo de los auditores, por lo que es necesario estudiar con profundidad su metodología y aplicación.

• Guía para el desarrollo de auditorías continuas
• Guía para las auditorías continuas y a distancia
• Curso Virtual: Desarrollo de auditorías continuas
• Curso Virtual: Últimas tendencias en auditorías continuas
• Curso Virtual: Auditorías continuas y a distancia

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.