You are on page 1of 42

A U D I T O R A

I N T E R N A

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Gua para implantar


con xito un modelo de

Auditora Continua
MIEMBROS DE LA COMISIN TCNICA
COORDINACIN: Daniel Ponz Lillo, CIA, CRMA. Iberdrola.
Alejandro Barroso Bazn. Plus Ultra.
Cristina Baus Rosa, CIA, CRMA. Mazars Auditores.
Juan Luis Escribano Soto, CIA, CRMA. EY.
Vctor Gmez Lpez. Inversis.
Marta Grande Prez. Mapfre.
Borja Guisasola Marrodn. Banco Santander.
Ismael Martn Garca, CIA. Cosentino.
Manuel Mendiola Antona, CIA, CRMA. KPMG.
Marcos Snchez Sotes, CIA, CRMA. taca Auditores.

AUDITORA INTERNA

Complejidad regulatoria, crisis financiera, presin sobre objetivos de negocio, exposicin al fraude, cambio permanente y un largo etctera son algunos de los
crecientes desafos y responsabilidades a los se enfrentan los Consejos de Administracin, los Comits de Auditora y la Direccin de las compaas que demandan contar con un sistema de aseguramiento sobre la eficacia del control y la
gestin de riesgos, fiable, sostenible y continuo.
Las Direcciones de Auditora Interna tenemos el reto de dar respuesta a esta demanda de aseguramiento y hacerlo de una manera proactiva, proyectiva y continua.
Implantar un modelo de Auditora Continua permite a la Direccin de Auditora
Interna determinar rpidamente dnde prestar mayor atencin y recursos, incrementar el alcance y la capacidad de mitigar los riesgos, mejorar la comprensin
de los procesos y, por tanto, mejorar la calidad del aseguramiento que proporciona a la Alta Direccin y al Consejo.
Esta gua hace un exhaustivo anlisis de todas las cuestiones relevantes a considerar y no olvidar cuando se emprende la implantacin de un modelo de Auditora Continua, sus beneficios y desafos.
La riqueza de este anlisis radica en su flexibilidad, los autores presentan todas
las opciones posibles con sus ventajas e inconvenientes para que cada Direccin
de Auditora Interna pueda valorar cul de ellas se adapta mejor a la cultura, al
marco de Gobierno, Riesgo y Cumplimiento y a la realidad de su organizacin.
El documento incluye adems un caso prctico que afianza y aterriza el contenido terico expuesto y despeja dudas para la implantacin con xito de este enfoque.
Felicito a los autores de esta gua por compartir generosamente su valiosa experiencia en la implantacin de un modelo de Auditora Continua que ayuda realmente a las Direcciones de Auditora Interna a afrontar este proyecto estratgico
con menor incertidumbre y mayor probabilidad de xito.

Ernesto Martnez
Presidente del Instituto de Auditores Internos de Espaa
3

AUDITORA INTERNA

ndice
RESUMEN EJECUTIVO

07

INTRODUCCIN

08

DECLOGO DE BUENAS PRCTICAS

11

CONSEJO 2320-4 SOBRE ASEGURAMIENTO CONTINUO

14

MODELO DE MADUREZ

14

CMO IMPLANTAR UN ENFOQUE DE AUDITORA CONTINUA


EN NUESTRA ORGANIZACIN

16

Arranque del proyecto

............................................................................................... 16

Diseo de la plataforma

............................................................................................ 19

Desarrollo

...................................................................................................................... 24

Despliegue

.................................................................................................................... 27

Y luego qu? ......................................................................................................... 29

CASO PRCTICO

33

Descripcin de la empresa ........................................................................................ 33


Mapa de procesos ....................................................................................................... 35
Modelo de Auditora Continua implementado .................................................... 36
Modelo de ejecucin y mantenimiento continuo del modelo

......................... 39

ANEXOS

41

Glosario ........................................................................................................................... 41
Ejemplos de herramientas de mercado

.................................................................

42

Bibliografa .................................................................................................................... 43
5

AUDITORA INTERNA

Resumen Ejecutivo
Los Comits y las Direcciones de Auditora Interna se enfrentan actualmente a importantes retos: incremento de la complejidad regulatoria, crisis financiera, limitacin de recursos, presin sobre objetivos de negocio, exposicin al fraude, globalizacin, cambios tecnolgicos y operativos, etc. Cuestiones que presuponen, ms que nunca, la necesidad de
contar con un sistema de aseguramiento de la eficacia de los sistemas de control y gestin de riesgos fiable, sostenible y continuo.
Habitualmente, son los auditores internos quienes analizan estos controles, pero lo hacen
de forma retrospectiva y cclica, en ocasiones, mucho despus del momento en que se
producen los hechos y con muestras limitadas de poblacin. Un enfoque que restringe la
cobertura del anlisis y el tiempo de respuesta ante eventos relacionados con el cumplimiento regulatorio o incidencias operativas.
La Auditora Continua, en cambio, permite evaluar los riesgos y sus controles, y realizar
auditoras internas de carcter sustantivo, de manera automtica y frecuente. Aunque la
tecnologa es un factor clave, la Auditora Continua implica, adems, un cambio de paradigma: las revisiones peridicas de una muestra de transacciones dan paso a pruebas
de auditora permanentes sobre la totalidad. Los resultados de estos anlisis integran el
proceso de auditora interna en todos sus aspectos: desde el desarrollo y mantenimiento
del plan anual, hasta la realizacin y el seguimiento de auditoras internas especficas.

Los desafos actuales a


los que se enfrenta la
actividad de Auditora
Interna acentan la
necesidad de contar
con un sistema de
aseguramiento de la
eficacia de los sistemas
de control y gestin de
riesgos fiable,
sostenible y continuo.

Esta gua es eminentemente prctica y est orientada a comprender los elementos de un


modelo de Auditora Continua, sus beneficios y los desafos que plantea.
La gua incluye:
Definicin del concepto de Auditora Continua, cmo impacta en los procesos de Auditora Interna y su relacin con otras funciones de aseguramiento y del negocio en general.
Los beneficios de la Auditora Continua y una propuesta de modelos de madurez.
Cmo implantar el enfoque de Auditora Continua en su organizacin.
Un caso prctico para afianzar el contenido terico expuesto.
Ejemplos de posibles herramientas que la Auditora Continua incluye entre sus funcionalidades.
7

AUDITORA INTERNA

Para implantar en su organizacin un enfoque de Auditora Continua, proponemos un Declogo de Buenas Prcticas (desarrollado en las pginas 11 a 13).

Considere la Auditora Continua un proyecto estratgico.

Defina desde el primer momento cmo medir la rentabilidad.

Auditora Continua no es sinnimo de reduccin de personal: no lo convierta en su


principal objetivo.

Un simple conjunto de consultas no es un buen modelo de Auditora Continua.

Ponga los cimientos: defina el modelo antes de definir los indicadores.

Involucre al departamento de tecnologa cuanto antes.

Las reas de negocio son una fuente de ideas.

Cuanto ms configurable sea, mucho mejor.

Tenga cuidado con el umbral de tolerancia.

10

Su negocio no deja de evolucionar, acompelo con su modelo.

Introduccin
Los modelos de
Auditora Continua
aportan mltiples
beneficios: reducen
costes, incrementan la
productividad, facilitan
la adaptacin al cambio
y mejoran el entorno de
control de la
organizacin .
8

Entre los principales beneficios que los modelos de Auditora Continua aportan a las organizaciones que los implantan, destacamos los
siguientes:
Reduccin de costes de desplazamientos,
incremento de productividad y optimizacin
de los equipos de Auditora Interna, especialmente en el caso de organizaciones con
centros de negocio y operativos dispersos
geogrficamente (por ejemplo, bancos,
compaas de seguros, cadenas de super-

mercados o franquicias comerciales, cadenas hoteleras o de restauracin, ).


Mayor adaptacin a cambios en la organizacin (nuevos negocios, productos, actividades,) o del entorno (novedades regulatorias) que pueden implicar nuevos riesgos.
Mejora del entorno de control, porque cubren mbitos que no atenda Auditora Interna, al operar con una sistemtica, medios y herramientas de explotacin intensiva de datos.

AUDITORA INTERNA

Adems de estos motivos para implantar la


Auditora Continua; tambin son un buen incentivo los crecientes requerimientos de consolidacin y supervisin de los sistemas de
Control Interno de las organizaciones.

abarcan desde la evaluacin continua de control hasta la evaluacin continua de riesgos


(todas las actividades en la secuencia controlriesgo).

Existen varias definiciones de Auditora Continua. La Gua de Auditora de Tecnologa Global sobre Auditora Continua del Instituto
Global de Auditores Internos (GTAG 3) la define como todo mtodo utilizado por los auditores internos para realizar actividades relacionadas con la auditora en forma ms
continua. Es la secuencia de actividades que

Las similitudes entre los conceptos de Auditora Continua y Monitorizacin Continua pueden llevar a confusin, pero son conceptos diferentes: la Monitorizacin Continua es responsabilidad directa de la Direccin en materia de Buen Gobierno y la Auditora Continua
es responsabilidad de la Direccin de Auditora Interna, en cuanto a supervisin. Sus diferencias son:

MONITORIZACIN CONTINUA

AUDITORA CONTINUA

PROCESO AUTOMATIZADO Y CONTINUO


QUE PERMITE A LA DIRECCIN:
Evaluar la efectividad de los controles e
identificar incidencias asociadas a los riesgos.
Mejorar los procesos y actividades de negocio,
a la vez que se adhiere a estndares ticos y
de cumplimiento.
Tomar a tiempo ms decisiones basadas en
riesgos cuantitativos y cualitativos.
Incrementar el coste-eficiencia de los controles
y la supervisin a travs de soluciones de TI.

La Monitorizacin Continua permite a la Direccin determinar de forma ms rpida y acertada


dnde debe prestar atencin y recursos, con el
objetivo de mejorar los procesos, implementar
correcciones, abordar riesgos o lanzar iniciativas
para mejorar la capacidad de la organizacin de
conseguir sus objetivos.

La Monitorizacin
Continua es
responsabilidad directa
de la Direccin
mientras que la
Auditora Continua es
responsabilidad de la
Direccin
Auditora Interna.

PROCESO AUTOMATIZADO Y CONTINUO


QUE PERMITE A AUDITORA INTERNA:
Obtener informacin de los procesos,
transacciones y cuentas, que soporten las
actividades de Auditora Interna.
Conseguir un cumplimiento ms rpido y
menos costoso de las polticas, procedimientos
y regulaciones.
Avanzar desde un modelo de revisiones
cclicas o puntuales, con un alcance limitado,
hacia un modelo de revisin ms continuo,
amplio y proactivo.
Evolucionar desde un Plan de Anual de
Auditora Interna esttico, a uno ms dinmico
basado en los resultados de los anlisis de la
Auditora Continua.
Optimizar los recursos de Auditora Interna a
la vez que se incrementa la eficiencia a travs
de soluciones de TI.
La Auditora Continua permite a los auditores
internos determinar de forma ms rpida y acertada dnde deben prestar atencin y recursos,
con el objetivo de gestionar ms eficientemente
los recursos de auditora interna y mejorar la calidad de sus trabajos y el soporte a la Direccin.

Fuente: Deloitte 2010. Continuous monitoring and continuous auditing: From idea to implementation.

AUDITORA INTERNA

Respuesta de la Direccin
Monitorizacin exhaustiva
de los controles internos
Baja
monitorizacin
de controles

El enfoque y el grado
de la Auditora
Continua que se
aplique depender
del nivel de
implementacin de la
Monitorizacin
Continua.

Esfuerzo significativo/
mayor cantidad
de recursos

Esfuerzo de Auditora

Segn la GTAG 3, la relacin entre la idoneidad de la gestin de riesgos y de supervisin


de la Direccin (Monitorizacin Continua) y
el alcance de las pruebas detalladas de controles y evaluaciones de riesgos de los auditores (Auditora Continua) es proporcionalmente inversa.
El enfoque y el grado de aplicacin de la Auditora Continua depende del grado de implementacin de la Monitorizacin Continua a
cargo de la Direccin: una Monitorizacin
Continua activa y adecuada permite limitar el
trabajo de Auditora Interna cuando evala su
confiabilidad y efectividad.
Por ejemplo, si la Direccin monitoriza de forma activa y adecuada las transacciones y controles de ciertos sistemas y procesos de negocio, el auditor interno no deber aplicar el
mismo nivel de actividad de Auditora Continua. En este caso, Auditora Interna deber
evaluar la confiabilidad y efectividad de la
Monitorizacin Continua por parte de la Direccin, reduciendo sus pruebas de auditora

10

Esfuerzo
reducido

en estos procesos y dedicando sus recursos a


otras reas de alto riesgo o no cubiertas adecuadamente por la Monitorizacin Continua.
Por ltimo, incluimos tal y como indica el
Instituto Global de Auditores Internos la definicin de Aseguramiento Continuo: combinacin de la Auditora Continua y la supervisin por parte de Auditora Interna de la Monitorizacin Continua del entorno de control
que realiza la Direccin.

Beneficios asociados
a la Auditora Continua
Con la ejecucin de pruebas continuas y eficientes, la organizacin puede:
Identificar y notificar tempranamente las
debilidades, para seguirlas y corregirlas inmediatamente, priorizndolas y focalizndolas en nuevos indicadores.
Incrementar el alcance de la Auditora Interna, con un anlisis ms exhaustivo de los
datos y el acceso a toda la poblacin.

AUDITORA INTERNA

Contar con una Auditora Interna con mayor capacidad para mitigar los riesgos.

Reducir la necesidad de viajes y costes de


desplazamiento.

Reforzar el elemento disuasorio, aumentando la sensacin de control.

Mejorar la fiabilidad de la informacin financiera.

Reducir errores financieros y la probabilidad de fraude.

Aportar ms valor por parte de la Direccin


de Auditora Interna y mejorar el entendimiento de los procesos, dar mayor cobertura a sus trabajos y ms agilidad al identificar y escalar incidencias.

Lograr un enfoque sostenible y un coste eficiente para las actividades de cumplimiento


y evaluacin del entorno de control.

Declogo de Buenas Prcticas


A continuacin, proponemos 10 Buenas Prcticas de Auditora Continua, fruto de la experiencia en la implantacin de estos modelos:

Considere la Auditora Continua un


proyecto estratgico.

Los modelos y plataformas de Auditora Continua mejoran notablemente el control de los


procesos de negocio pero son proyectos complejos, que implican un cambio estratgico.
No se deje engaar por cantos de sirena
con la promesa de que lograr buenos resultados tan solo con implementar unas nuevas
herramientas. La Direccin y el Comit de Auditora deben involucrarse, esponsorizar el
proyecto, y respaldarlo con las buenas prcticas de gobierno corporativo.
Es de vital importancia gestionar el cambio
correctamente, tanto en el rea de Auditora
Interna como en otras funciones afectadas.

Gestionar el impacto en el anlisis de datos, Auditora Continua y Monitorizacin


Continua en auditores y propietarios de los
procesos de negocio.
Adoptar y respaldar la monitorizacin continua por parte de la direccin.
Integrar la Auditora Continua en la planificacin de un sistema de auditora interna
orientado a riesgos.

La Auditora Continua
debe considerarse un
proyecto estratgico y
debe contar con el
respaldo e implicacin
de la Direccin y del
Comit de Auditora.

Defina desde el primer momento cmo medir la rentabilidad

Este proyecto debe contar desde el principio


con los recursos econmicos y de tiempo necesarios para su funcin; por eso es imprescindible el apoyo de la Direccin, y definir claramente cul es el retorno de la inversin: establecer de forma clara y consensuada cules
son los objetivos y criterios de implantacin
11

AUDITORA INTERNA

La Direccin es la
encargada de fijar los
objetivos y criterios de
implantacin de un
proyecto de Auditora
Continua, as como de
establecer un sistema
de medicin de dicho
proceso.

que definen el proyecto de Auditora Continua. Debemos establecer sistemas de medicin que demuestren las mejoras en eficiencia
y dems beneficios que se producen, mayor
cobertura y fiabilidad, incremento en la sensacin de control, etc..

Auditora Continua no es sinnimo


de reduccin de personal: no lo
convierta en su principal objetivo.

Es habitual convertir la mayor eficiencia de


la Auditora Continua en un argumento para
reducir los recursos utilizados. La Auditora
Continua permite una mayor cobertura del
universo auditable sin incrementar los recursos, pero esto no implica necesariamente una
reduccin de personal. Todo depende de cun
ambiciosa sea la cobertura. El umbral de tolerancia que fijamos para cada indicador
determina el volumen de ocurrencias que el
sistema nos ofrece, e influye en el volumen de
personal que necesitamos para analizarlas.
Adems, para impulsar un proyecto de estas
caractersticas, necesitamos mantener y desarrollar las competencias tcnicas de nuestro
personal, poner a su alcance la tecnologa necesaria y los medios para que traten y analicen los datos de los sistemas de informacin.

Un simple conjunto de consultas no


es un buen modelo de Auditora Continua.

Existe Auditora Continua desde el momento


en que disponemos de una serie de consultas
planificadas peridicamente. Sin embargo, un
buen modelo realmente se plantea como un
sistema de informacin especfico que crea
y gestiona diferentes indicadores, y centraliza,
distribuye y analiza los resultados.
12

Ponga los cimientos: defina el modelo antes de definir los indicadores.

Aunque resulte paradjico, lo ltimo que debe


preocuparnos es la relacin de indicadores de
un sistema de Auditoria Continua. Antes tenemos que evaluar el mbito de actuacin del
sistema, el diseo conceptual de la plataforma de gestin, cmo involucramos en el proceso a las reas tecnolgicas y de negocio, los
cambios en la estructura de la Direccin de
Auditora Interna que permitirn analizar y seguir los nuevos indicadores, los cambios que
realizaremos en la planificacin anual (incluso
nos preguntamos si el calificativo anual sigue teniendo sentido). En definitiva, cmo
cambian nuestra estrategia y programas de
auditora interna.

Involucre al departamento de tecnologa cuanto antes.

Es fundamental la cooperacin del departamento de tecnologa, especialmente en la obtencin de la informacin. Da igual si la plataforma de la Auditora Continua es una herramienta adquirida en el mercado o una solucin a medida; si la desarrolla un proveedor
externo o alguien del Departamento de Auditora Interna. Para acceder a las fuentes de informacin que nutren esta herramienta, nos
enfrentamos a diversos retos en los que necesitamos la colaboracin del departamento de
tecnologa por diversas razones:
Dificultad de acceso a los datos.
Diversidad de sistemas de informacin, con
diferentes formatos.
Datos incompletos, con inconsistencias en
la calidad.
Problemas para acceder a los datos por
cuestiones de privacidad o seguridad.
Sistemas en constante evolucin.

AUDITORA INTERNA

Si el departamento de tecnologa no realiza el


debido mantenimiento, el proceso de obtencin de la informacin se ver afectado ante
posibles cambios o modificaciones que pudieran tener lugar.

Las reas de negocio son una fuente


de ideas.

Consulte con las reas de negocio para definir los indicadores de su sistema de Auditora
Continua: le permitir ajustarlos a los riesgos
de la actividad diaria, le facilitar tambin definir y ejecutar de forma independiente, y como respaldo determinadas pruebas sustantivas y controles que ya realiza la organizacin;
o argumentar la necesidad de introducir la
monitorizacin continua en algunas reas de
negocio donde hace falta mejorar el entorno
de control.

Cuanto ms configurable sea, mucho


mejor.

Habitualmente, los indicadores de un sistema


de Auditora Continua son personalizables.
Por ejemplo, Clientes de ms de X aos de
edad que hayan sacado del cajero ms de Y
Euros en el ltimo mes. Lo que no es tan habitual es que el usuario pueda configurar
otros elementos ms generales, como las tipologas de pesos, rankings o marcajes, departamentos existentes, situaciones especiales
o incluso las cabeceras de los diferentes informes y pantallas de la herramienta. Y es menos habitual an, que la plataforma permita
elaborar, sin necesidad de modificar su programacin, los indicadores dinmicos, es
decir, incorporar indicadores nuevos al sistema, o modificarlos seleccionando sus atributos, definiendo cmo se relacionan entre s, o
qu resultados deben generar.

Si la Direccin de Auditora Interna es capaz


de configurar todos estos aspectos a travs
de la auditora continua, logra gran flexibilidad y autosuficiencia, porque no depende sistemticamente del rea de tecnologa para
realizar cambios.

9 Tenga cuidado con el umbral de tolerancia.

El volumen de ocurrencias de cada indicador


depende del umbral de tolerancia. Si ste es
muy bajo, el departamento se colapsa ante el
aluvin de resultados, si es muy alto, apenas
hay ocurrencias para revisar. Defina el proceso
de gestin de ocurrencias en funcin del nmero que puede gestionar por cada indicador,
cambie la configuracin del sistema hasta alcanzar ese volumen prefijado de forma constante, analice el umbral de tolerancia, y evale si es el adecuado para su organizacin. Si
no es as, tendr que aumentar o reducir los
recursos de personal para el seguimiento de
las ocurrencias.

El modelo inicial de
Auditora Continua
puede quedar obsoleto
rpidamente ante la
evolucin del negocio,
es necesario un
mantenimiento
constante.

El Director de Auditora Interna debe garantizar que los hallazgos de la auditora son transmitidos, recibidos y tenidos en consideracin
por la Direccin cuando evala actividades como supervisin de controles, medicin de desempeo y gestin de riesgo empresarial.

10

Su negocio no deja de evolucionar,


acompelo con su modelo.

La configuracin inicial del modelo de Auditora Continua puede quedar obsoleta rpidamente ante la evolucin del negocio, por eso
es necesario un mantenimiento constante
(nuevos indicadores, cambios en los parmetros, etctera).
13

AUDITORA INTERNA

Consejo 2320-4
sobre Aseguramiento Continuo
Qu dice el Marco Internacional para la
Prctica Profesional de Auditora Interna
(MIPP) sobre el Aseguramiento Continuo?
El Consejo 2320-4
sobre Aseguramiento
Continuo del Marco
Internacional para la
Prctica Profesional de
Auditora Interna
constituye una
referencia clave para la
Auditora Continua.

Una referencia clave para la Auditora Continua es el Marco Internacional . En su Consejo


2320-4 sobre Aseguramiento Continuo
considera que, en aquellos casos en los que el
perfil de riesgo requiera de informacin frecuente sobre la efectividad de los sistemas de
control interno, la forma ms efectiva es la
combinacin de la monitorizacin continua
de la direccin y la auditora continua de
Auditora Interna. El Marco enfatiza el papel
relevante de la tecnologa y establece como
clave el que se involucren otras reas y funciones de la organizacin, adems del apoyo
de la alta direccin, aspectos que trata en el
apartado Cmo implantar un enfoque.

De esta forma, el Marco considera que:


El Plan de Auditora debe identificar las
reas susceptibles de un enfoque de Auditora Continua, de acuerdo con el marco de
gestin de riesgos de la organizacin y del
proceso de evaluacin de riesgos de Auditora Interna.
La frecuencia y el alcance de la Auditora
Continua depende del perfil de riesgo de la
organizacin, y del nivel y naturaleza de las
responsabilidades de Monitorizacin continua de la Direccin.
La efectividad y la eficiencia de un modelo
de Auditora Continua deben ser evaluadas
peridicamente por el auditor interno, con
los cambios y ajustes que sean necesarios.

Modelo de madurez
El modelo de madurez es una herramienta
que facilita la identificacin de la situacin
actual y la definicin de planes de accin de
forma grfica e intuitiva. Conocer el grado de
madurez del modelo de Auditora Continua es
14

imprescindible para establecer los posteriores


objetivos, diferentes en funcin del punto de
partida: tenemos ya algn tipo de herramienta que haga las funciones que buscamos?, cul es su grado de evolucin? Otro

AUDITORA INTERNA

punto importante es la madurez de la funcin


de Auditora Interna, los requerimientos regulatorios, las necesidades de la organizacin
(estratgicas, operativas, etctera) y, finalmente debemos tener en cuenta el nivel mnimo
que buscamos con la Auditora Continua.
A su vez, y con visin de largo plazo, definimos las preguntas que queremos responder
con el nuevo modelo. Por ejemplo, podemos
plantearnos los siguientes tipos de anlisis:

Predictivo: responde a qu pasar?, qu


es lo ms probable?
Prescriptivo: responde a cul es la accin
recomendada?

BSICO

El uso de herramientas: se lleva a cabo ocasionalmente en el mejor de los casos.


No existe un enfoque analtico, procedimientos o metodologa.
Auditora Interna no dispone de herramientas especficas.
Se depende de un nmero pequeo de personas con habilidades en el uso de herramientas informticas, que se usan en menos
de un 10% de los proyectos de Auditora Interna.

EVOLUTIVO

Utilizadas para, al menos, el 25% de los proyectos de Auditora Interna.


Reconocido como generador de valor para los proyectos de Auditora Interna para la eleccin de muestras y pruebas.
No institucionalizado.
Recae en grupo central o en un individuo.
Hay herramientas, pero se emplean de manera no consistente o de manera errnea.

Utilizadas en, al menos, el 50% del ciclo de vida de auditoras.


Existencia de polticas y metodologa de uso de herramientas.
Uso de herramientas promovido por la Direccin.
Se analizan los resultados ofrecidos por las herramientas.
Comprensin del negocio a partir de los procedimientos y resultados de los anlisis.

- La metodologa est institucionalizada y es usada en, al menos, el 75% de los proyectos de Auditora Interna incluyendo el impacto derivado de las incidencias detectadas.
- La Direccin se involucra en los esfuerzos de la auditora continua y estimula su uso.
- La Direccin utiliza la informacin derivada del uso de herramientas.
- Rediseo de los procedimientos de anlisis.
- Las herramientas son usadas para la optimizacin de recursos de Auditora Interna.

LIDERAZGO

ESTABLECIDO

En estos momentos, las organizaciones con


sistema de Auditoria Continua se centran en
los dos primeros tipos de anlisis. El siguiente
cuadro es una gua para determinar en qu
nivel de madurez se encuentra nuestro modelo de Auditora Continua.

AVANZADO

Descriptivo: responde a qu ha pasado


o qu pasa ahora mismo, y compara con
tendencias/patrones histricos?

Diagnstico: responde a por qu ha pasado esto?

- Las prcticas desarrolladas en niveles bsicos que han evolucionado hasta los avanzados se utilizan para mejorar continuamente
los procesos, procedimientos y resultados de los anlisis.
- Los sistemas de monitorizacin continua son utilizados activamente por la Direccin y los propietarios de los procesos, y la Auditora Continua permite evaluar la eficacia de dichos sistemas de forma continua.
- Auditora Interna es capaz de ofrecer aseguramiento continuo sobre la gestin de riesgos de la organizacin.
- Innovacin en nuevas tcnicas de Auditora Continua (ej. minera de datos, big data, modelos predictivos, etc.)
15

AUDITORA INTERNA

Cmo implantar un enfoque


de Auditora Continua
en nuestra organizacin
ARRANQUE DEL PROYECTO
La definicin de los objetivos influye en el
desarrollo del proyecto. As, puede ocurrir que
el proyecto:
En el comienzo de un
proyecto de Auditora
Continua se deben fijar
los objetivos del mismo
y la estrategia de
desarrollo de
indicadores para
optimizar tiempos y
costes.

Persiga nicamente alcanzar un estadio


bsico o, como mucho, evolutivo. Es
decir, generar o acceder directamente a informacin y datos para su explotacin por
parte del rea de Auditora Interna con los
medios y herramientas disponibles.

Acometa las dos fases anteriores de forma escalonada en el tiempo.

Dinmicos: No es necesario modificar la


programacin de la plataforma para incorporar un indicador nuevo, sino que ste se
incluye mediante la seleccin y combinacin de campos de informacin a travs de
mens u otras funcionalidades similares.
Esta alternativa permite indicadores ilimitados, da autonoma e independencia a la
funcin de Auditora Interna, a la gestin
de los indicadores y permite una rpida respuesta ante los nuevos riesgos; pero, como
contrapartida, obliga a invertir ms en el
diseo y desarrollo inicial de la plataforma.

En el estudio inicial, debemos fijar la estrategia de desarrollo de los indicadores de Auditora Continua segn el nivel de cobertura
que hayamos definido, con el objetivo de generar un modelo completo. Acertar en esta
eleccin ser relevante en tiempo y costes.

En ocasiones, se elige un enfoque mixto: con


indicadores fijos y un contenido mnimo, a los
que se incorpora un mdulo con el que el
rea de Auditora Interna puede aadir indicadores dinmicos cuando el negocio o los
riesgos lo requieran.

Pretenda dar un paso adicional que mejore su nivel de madurez con la utilizacin de
sistemas y herramientas de tratamiento automatizado de esa informacin y genere
alertas y ocurrencias para Auditora Interna.

Los indicadores pueden ser:


Fijos: El rea de Auditora Interna define los
indicadores y, normalmente, el departamento de Tecnologa (o un proveedor exter16

no) los programa en la plataforma. Su inconveniente es que cuando se requieren


nuevos indicadores, este sistema resta operatividad y ralentiza la adaptacin a nuevos
riesgos.

Impactos en la Organizacin
Un modelo de Auditora Continua impacta directamente en el Entorno de Control de la Or-

AUDITORA INTERNA

ganizacin, y afecta a las tres lneas de defensa que configuran su Sistema de Control Interno.
En relacin al MODELO DE LAS TRES LNEAS
DE DEFENSA, recomendamos la lectura de la
Gua del Instituto de Auditores Internos de Espaa Marco de relaciones de auditora interna con otras funciones de aseguramiento:
gua prctica, publicada en 2013 dentro del
marco de LA FBRICA DE PENSAMIENTO.
Primera lnea de defensa:
El principal objetivo de un modelo de Auditora Continua es recorrer los procesos que
la organizacin considera claves y establecer criterios de seguimiento sobre los riesgos previamente definidos.
Los departamentos responsables de los
procesos cubiertos por Auditora Continua
participan en el seguimiento de las excepciones y en la identificacin de sus causas.
Segunda lnea de defensa:
Un modelo de Auditora Continua proporciona indicadores de contraste frente a los
implementados por esta segunda lnea, o

nuevos indicadores para la misma. Por


ejemplo, a las funciones de Cumplimiento y
Defensa Penal puede aportarles indicadores
que permitan validar el grado de desempeo de una normativa o establezcan alertas
sobre posibles incumplimientos.
Conviene convertir la segunda lnea de defensa en parte del alcance del modelo de
Auditora Continua.
La segunda lnea da soporte a los gestores
de Auditora Continua en el anlisis de las
causas de las excepciones.
Tercera lnea de defensa:
El sistema de Auditora Continua permite
realizar al rea de Auditora Interna una reevaluacin continua de los principales riesgos, gestionar de forma dinmica el Plan
Anual de Auditora Interna y planificar y
ejecutar determinados trabajos.

Un modelo de Auditora
Continua afecta
directamente al
Entorno de Control de
la Organizacin e
impacta en las tres
lneas de defensa que
constituyen su Sistema
de Control Interno.

ALINEAMIENTO CON EL ENFOQUE GRC


(GOBIERNO, RIESGO Y CUMPLIMIENTO) DE
LA ORGANIZACIN
Los requerimientos formales referidos a la
Gestin de Riesgos Corporativos (ERM) o Sis17

AUDITORA INTERNA

DEPARTAMENTOS
OPERATIVOS

GRC

AUDITORA
INTERNA

TECNOLOGA

Diseo
Desarrollo
Despliegue
Pruebas
Seguimiento/Periodicidad
Alta involucracin

Es esencial integrar el
modelo de Auditora
Continua dentro del
marco de Gobierno,
Riesgo y Cumplimiento
de la organizacin.

temas de Control Interno de Elaboracin de


Informacin Financiera (SCIIF) varan significativamente dependiendo del sector de actividad y de aspectos como la cotizacin del capital o la deuda. Estos aspectos pueden requerir indicadores especficos en un proyecto
de Auditora Continua. Son indicadores que
miden el ratio de eficacia o cumplimiento de
aspectos como SCIIF, prevencin de blanqueo
de capitales, cumplimiento especfico de normativa, refuerzo de los sistemas de defensa
penal, etc.
Tambin pueden incluirse determinados indicadores en los Sistemas de ERM que detectan
el grado de cumplimiento de controles mitigantes o la posible alerta sobre riesgos.
Es fundamental integrar el modelo de Auditora Continua dentro del marco GRC de la organizacin.
POSIBLE GRADO DE INVOLUCRACIN
En un proyecto de este tipo, las diferentes
reas involucradas participan en mayor o menor medida en cada una de las fases. En la
matriz destacamos, para cada una de las fa-

18

Media involucracin

Baja involucracin

ses de implantacin, un ejemplo terico del


posible grado de implicacin.

Costes y presupuesto
El coste de un proyecto de este tipo depende
de varios factores:
Los objetivos y la cobertura del proyecto.
El modelo de desarrollo de los indicadores
(fijos o dinmicos).
La posible contratacin de recursos externos.
Las herramientas externas o internas, etctera.
Es recomendable plantear la posibilidad de
establecer fases dentro del proyecto, y definir
claramente los recursos destinados a cada
una, para medir los hitos en base a las necesidades del rea Auditora Interna. Al considerar los costes de un proyecto de Auditora
Continua, se debe tener en cuenta, ms all
de su implementacin inicial, el coste de la
operacin, mantenimiento y expansin del
sistema.

AUDITORA INTERNA

Presentacin del proyecto


a la Direccin
La Auditora Continua es un nuevo paso frente a las tcnicas de control tradicionales. Las
organizaciones evolucionan, los riesgos varan
y la Direccin de Auditora Interna quiere dar
respuestas rpidas y fiables. Estas medidas
aseguran que los riesgos posibles estn
controlados. El modelo de Auditora Continua
compromete a todas las reas, tanto a Sistemas de la Informacin como a las reas implicadas en el seguimiento. Es un proyecto
transversal que afecta a todas las reas auditadas, con las que se fijan los riesgos de cada
actividad.
Para lograr el apoyo de la Direccin, se puede
plantear un proyecto piloto, con un nmero
reducido de indicadores en caso de que se
opte por dinmicos, es mejor limitar el nmero de campos disponibles pero con una arquitectura que posteriormente sea compatible
y escalable al modelo completo.

DISEO DE LA PLATAFORMA
Arquitectura o planificacin inicial
Se deben considerar los siguientes pasos:
1. IDENTIFICAR REQUERIMIENTOS.
La Direccin de Auditora Interna elabora
una solicitud en la que explica el objetivo
del sistema, de acuerdo con los afectados o
usuarios del proyecto. Conviene estimar
de forma preliminar aspectos como el volumen de datos o las reas a las que se dirigen las ocurrencias.

2. DETERMINAR LAS CARACTERSTICAS BSICAS DE LA PLATAFORMA.


Los modelos de Auditora Continua pueden
orientar a la Direccin de Auditora Interna
en la configuracin de los Planes de Auditora ya que, entre otras cosas, impactan
significativamente en sus programas de trabajo, permiten identificar informacin suficiente, fiable, relevante y til, para evaluar
los riesgos relevantes, localizan las probabilidades de que se produzcan errores, fraude
o incumplimientos y facilitan a los auditores internos la evaluacin del gobierno, la
gestin de riesgos y los controles en la unidad auditada.
Para alcanzar estos objetivos, tenga en
cuenta los siguientes criterios:

La creacin de un
proyecto piloto
de Auditora Continua
puede constituir un
instrumento eficaz a la
hora de lograr el apoyo
de la Direccin.

1. Es una herramienta transversal que


abarca todas las reas de la organizacin susceptibles de formar parte de los
Planes de Auditora Interna.
2. Se implanta con propsito de permanencia y con capacidad de adaptarse a
los nuevos procesos y factores de riesgo
que surjan.
3. Su arquitectura es suficientemente verstil mediante el uso de tecnologas escalables, giles y flexibles, que no obliguen
a acudir a nuevos desarrollos informticos. En caso contrario, existe el riesgo de
hacer el proyecto inviable a medio y largo plazo.
4. Debe involucrar a todas las reas implicadas en las funciones de monitorizacin
continua como complemento a Auditora
Interna. As se pueden justificar o solucionar las ocurrencias que se pongan de
manifiesto.
19

AUDITORA INTERNA

Algunos de los
requisitos de una
plataforma de Auditora
Continua son la
transversalidad,
la versatilidad,
su estabilidad, su
naturaleza colaborativa
o su posible
parametrizacin.

5. Se recomienda el uso de sistemas colaborativos que aumentan la conexin


entre los usuarios afectados por los indicadores y permiten conocer las deficiencias y establecer mejoras. Esta interconexin configura un sistema de seguimiento continuo en los procesos de
la organizacin.
6. Esto significa que se permite el acceso
a cualquier usuario que determinen las
Unidades de Auditora Interna, mediante un sistema de permisos que los discrimina en funcin de los procedimientos de proteccin de datos y seguridad.
7. La complejidad y cantidad de variables
que gestionan los Sistemas de Auditora Continua, obligan a simplificar el
sistema de configuracin e inclusin de
nuevos indicadores. En caso contrario,
la complejidad del seguimiento afecta a
su gestin. Hay que generar criterios
que discriminen entre indicadores para
otorgarles pesos relativos y permitan el
reclculo automtico.
8. El sistema es ms potente y flexible
cuanto ms parametrizable es su diseo. Por ello, adems de los pesos, hay
que establecer parmetros para todos
los aspectos relacionados con un indicador (valores que generan ocurrencia,
periodicidad de ejecucin, importancia).
9. Cuanto mayores son las reas afectadas, ms elevado es el nmero de indicadores gestionados y, por tanto, ms
complicado su seguimiento. Se facilita
la gestin con la creacin de un cuadro
de mando: una visin rpida e intuitiva
de las principales reas y conceptos de
riesgo, una panormica con las principales variables, un esquema de las re-

20

as revisadas y las conclusiones y sugerencias. El cuadro de mando puede basarse en valores de alerta u objetivos, y
el peso relativo de cada indicador. Tambin puede incluir herramientas de seguimiento, como grficos, y la posibilidad de bajar al mximo nivel posible
hasta el dato concreto en aquellas variables que se consideren.
10. Los datos deben estar actualizados, a
ser posible diariamente. Sirve un sistema que acumule 11 meses e incorpore
la informacin del da en el mes en curso. No obstante, las escasas variaciones
intrada y el esfuerzo tecnolgico que
requiere, aconseja actualizaciones con
plazos superiores, que no deben exceder el mes. Tambin debe considerarse
la generacin de informacin en periodos de doce meses, en lugar de las referidas al ejercicio vigente, para evitar
la estacionalidad de determinados meses junto con la posibilidad de falsos
positivos cuando el nmero de meses
es reducido.
11. Establecer un proceso que garantiza la
calidad de los datos, mediante el acceso a las bases de datos principales de
la Organizacin o a una rplica de las
mismas. Es positivo revisar peridicamente los datos para evitar desajustes
ante cambios organizativos o de producto.
12. Los sistemas de Auditora Continua sirven a otras reas en el seguimiento de
indicadores que les ataen. Por tanto,
se necesitan sistemas de reporting que
identifiquen el trabajo realizado y permitan seguir las conclusiones y sugerencias.

AUDITORA INTERNA

3. DEFINIR POSIBLES MDULOS QUE DEBEN INCORPORARSE


La Auditora Continua es un sistema de
mltiples consultas en el que participan
muchas reas de la Organizacin, por eso
dicho sistema necesita un elevado nivel de
seguimiento para gestionar y centralizar los
diferentes indicadores y distribuir y analizar
adecuadamente los resultados. Es una herramienta compleja que debe disponer de
una serie de mdulos que faciliten su manejo para:
- Extraccin. Proporciona a la plataforma la
informacin necesaria.
- Clculo. Ejecuta los diferentes indicadores
definidos en la plataforma.
- Gestin de Usuarios. Define los usuarios
con acceso a la aplicacin, administracin
de perfiles (administrador, usuario,), indicador de las transacciones y operaciones a
las que tienen acceso. Tambin establece
equipos de trabajo y dems operativas que
afectan al rea de Auditora Interna.
- Parmetros Generales. Cuantos ms parmetros se establezcan, mayor independencia y flexibilidad tiene el rea de Auditora
Interna para disear su modelo de Auditora Continua.

Periodicidad: frecuencia de ejecucin establecida para cada indicador (diaria, semanal, quincenal, una fecha concreta).
Mensajes tipo: definicin de textos utilizados como plantilla en los mensajes y
comunicaciones enviados a las unidades
auditadas.
Modelos de reporting: plantillas de diferentes tipos de informes y resultados proporcionados por la plataforma y la revisin.
- Creacin de Indicadores. Este mdulo permite disear los indicadores de la plataforma. La versatilidad del modelo depende de
si los indicadores son fijos (programados a
medida directamente en la plataforma) o
dinmicos (configurables sin necesidad de
cambios en la programacin de la plataforma). Sean fijos o dinmicos, debe ser posible definir, como mnimo, los parmetros importes, porcentajes, fechas, etctera utilizados en el indicador, e incluso su
peso especfico, seleccionado a partir de la
tipologa de pesos configurada anteriormente al determinar las caractersticas bsicas de la plataforma.

Un sistema de Auditora
Continua es una
herramienta compleja
que debe disponer de
mdulos que faciliten
su utilizacin.

- Consultas. Permite analizar los resultados a


travs de los indicadores.

Entre los posibles aspectos parametrizables


se encuentran:
Marcas sobre cada indicador analizado,
con algn tipo de clasificacin sobre los
resultados de su revisin (por ejemplo, incidencia a seguir, falso positivo, etctera).

- Agenda. Mdulo donde se asignan las tareas a los integrantes del rea de Auditora
Interna. Por ejemplo, cada auditor o equipo
tendr asignadas automticamente y por
defecto una determinada tipologa de ocurrencias. Tambin debe ser posible la asignacin especfica o puntual de las mismas.

Pesos asignados a cada indicador en funcin de su relevancia en el proceso.

- Simulacin. Pruebas con diferentes parmetros asociados a los indicadores para


21

AUDITORA INTERNA

Establecer si los datos


que analizan los
indicadores se
consultan directamente
de las bases de datos
de las aplicaciones ya
existentes o si se crea
un repositorio
especfico, es un
aspecto clave a la hora
de disear una
plataforma de Auditora
Continua.

analizar su impacto, sin necesidad de modificar la configuracin existente o afectar a


los histricos anteriores.
- Comunicacin. Mdulo de comunicacin
con una unidad auditada mediante el envo
de mensajes automticos. Pueden definirse
determinados mensajes para ser enviados
de forma automtica cuando se materializa
un determinado tipo de ocurrencia. Conviene que el mdulo controle aspectos como
qu mensajes reciben respuesta y cules
no, su repeticin automtica si no se recibe
contestacin, etc.
- Ratings y Rankings. Definir ratings alineando la puntuacin de un rea en funcin de
ciertas puntuaciones establecidas por el administrador de la herramienta, y rankings
entre varias unidades anlogas incluidas en
el proceso de Auditora Continua.

El tiempo de ejecucin es ms rpido al


no ser necesaria la extraccin y consolidacin de la informacin.
De un repositorio especfico.
Facilita la generacin de informacin histrica.
Minimiza el impacto en el rendimiento
de las aplicaciones de negocio (especialmente para datos con actualizacin instantnea).
El modelo de datos es ms sencillo de disear y adaptar a las necesidades del
rea de Auditora Interna.
Independiza el diseo de la plataforma
del diseo de las aplicaciones.

- Otros posibles mdulos. Por ejemplo, el de


anlisis histrico de ocurrencias, el de creacin y gestin de diferentes versiones de
parametrizacin de la plataforma, o un grfico para medir la evolucin de uno o varios
indicadores, etc.

Es ms fcil de mantener en caso de que


la estructura de la informacin de las
aplicaciones vare.

4. OBTENER LA INFORMACIN: ACCESO


DIRECTO A APLICACIONES O A REPOSITORIOS?

5. DETERMINAR LA PERIODICIDAD DE ACTUALIZACIN DE LOS RESULTADOS

Es necesario determinar si los datos que


analizan los indicadores se consultan directamente de las bases de datos de las aplicaciones ya existentes o si se debe crear un
repositorio especfico. De ambas decisiones se derivan beneficios:
Del acceso directo a las bases de datos
existentes.
Se reduce el riesgo de fallos de integridad de la informacin y el uso de informacin no actualizada.
22

No se duplica la informacin y se genera


un ahorro en almacenamiento.

Es ms sencillo implantar una plataforma


de indicadores dinmicos.

Es necesario decidir si se quieren los resultados de forma instantnea, on line, o con


determinada periodicidad: diaria, semanal,
mensual, etc. Existen argumentos a favor
de ambos:
De la actualizacin instantnea, on line.
La informacin necesaria para evaluar los
indicadores est permanentemente actualizada. Este enfoque no permite el uso
de repositorios, salvo que se actualicen
en tiempo real.

AUDITORA INTERNA

Esta frecuencia permite identificar un incidente nada ms producirse, lo que es


muy til en indicadores crticos.

Diseo detallado de componentes del


sistema: lgica de proceso, pantallas e
informes.

De la actualizacin peridica.

Diseo de bases de datos o ficheros: tablas, vistas, etc.

Los procesos de ejecucin de indicadores


pueden retrasarse a los momentos en
que los sistemas tienen menos trabajo y
as impactar menos en su rendimiento.
Podemos graduar la antigedad de la informacin analizada y el momento en
que se ejecuta cada indicador segn su
importancia. Por ejemplo, puede establecerse que los indicadores crticos se ejecuten una vez al da con informacin que
se actualiza cada noche.
La implementacin y gestin del sistema
es ms sencilla.
Normalmente, el coste de actualizacin
instantnea es superior y puede no justificar la necesidad que pueda tener el
rea de Auditora Interna de disponer on
line de informacin sobre una determinada ocurrencia.
6. DEFINIR EL DISEO TCNICO
Una vez determinadas las caractersticas
del desarrollo informtico, se prepara la informacin para desarrollar una gua detallada, Diseo Tcnico, del sistema. El documento lo elaboran las reas de desarrollo
del Departamento de Tecnologa e incluye
aspectos tales como:
Entorno fsico del sistema: hardware, comunicaciones, instalaciones, etc.
Diseo tcnico: componentes o subsistemas, interfaces con otros mdulos o con
otros sistemas, requerimientos de seguridad, concurrencia de usuarios y procesamiento en tiempo real.

Definicin de indicadores iniciales,


sus parmetros y pesos
Durante el proceso del diseo del modelo hay
que decidir si los indicadores son dinmicos o
fijos, as como su periodicidad de actualizacin de los resultados. Estas decisiones condicionan el tipo de herramienta, las interconexiones con otros sistemas, el coste y el plazo
de entrega.
Durante el diseo y el programa piloto de implantacin del modelo de Auditora Continua,
es conveniente que el rea de Auditora Interna realice un estudio basado en los siguientes
pasos:
1. Identificar los procesos objeto de anlisis.
2. Si la organizacin tiene identificados y mapeados esos procesos, obtener el detalle de
subprocesos.

En la fase de diseo del


sistema debe decidirse
si los indicadores son
dinmicos o fijos, as
como su periodicidad
de actualizacin
de resultados.

3. Revisar las reas que afectan a dichos procesos y mapear las fases de los mismos si
la organizacin no los tena identificado.s
Realizar una primera aproximacin a los indicadores que identifican los riesgos o permiten evaluar los controles que afectan a
dichas reas.
Comentar los resultados con los responsables y pedir informacin sobre las causas
que provocan falsos positivos.
Preguntar por nuevos indicadores.
23

AUDITORA INTERNA

Agrupar los indicadores en un cuadro de


mando ordenado por procesos.
Comprobar que la informacin obtenida es
consistente con la informacin gestionada
por los distintos departamentos.

Herramienta de mercado o desarrollo


interno?

La seleccin e
implantacin de las
herramientas
tecnolgicas adecuadas
as como su utilizacin
efectiva es elemento
clave en el xito de un
modelo de Auditora
Continua.

El xito de un modelo de Auditora Continua


depende, en gran medida, de la seleccin e
implantacin (o desarrollo) de las herramientas tecnolgicas adecuadas y de su utilizacin
efectiva. Las organizaciones deben evaluar,
por tanto, las caractersticas y funcionalidades
de las herramientas que se adecen a sus necesidades: coste de implantacin, explotacin
y mantenimiento, agilidad y flexibilidad para
adecuarse a cambios organizativos, a distintos los procesos o a los riesgos e indicadores
que se monitoricen.
Existe un abanico de soluciones basadas en
herramientas para tratamiento masivo de la
informacin que sirven de soporte a la Auditora Continua y que facilitan la interconexin
de sistemas:
Herramientas ofimticas. Hojas de clculo o
bases de datos, por ejemplo.
Herramientas estndar de auditora, herramientas CAATT, Computer Assisted Audit
Tools and Techniques.
Procedimientos convencionales de presentacin de informacin. Por ejemplo, de un
sistema ERP.
Business intelligence: cuadros de mando,
informes, etc.
Herramientas con mdulos especficos de
Auditora o Monitorizacin Continua herramientas de tipo GRC.

24

Tanto si se decide por el desarrollo interno como si se adquiere una solucin pre-parametrizada, hay que adaptar esas herramientas a
los requisitos definidos en el modelo de trabajo de Auditora Continua. En el proceso de
seleccin, debe estudiarse la existencia de herramientas similares en la propia organizacin, que exploten el almacn de datos o que
ya utilicen otras reas para su trabajo. Adaptarlas mejorar el retorno de la inversin.
Ventajas de una herramienta comercial versus una herramienta de desarrollo interno
Menor riesgo de incidencias durante el desarrollo desviaciones en tiempo o coste,
funcionalidades no implementadas de forma completa, etc.
Productos probados.
Puesta en marcha en menor tiempo.
Inconvenientes
Puede no facilitar todas las funcionalidades
que proporciona un desarrollo a medida o
no adaptarse a las necesidades especficas
de la organizacin y sus procesos.
Dependencia externa.
De cualquier forma, en cualquier desarrollo
interno o adaptacin hay que considerar su
posterior administracin desde el rea de
Auditora Interna, en la medida de lo posible
y los futuros cambios, bien en el alcance del
proyecto o por cambios en la organizacin.

DESARROLLO
Identificar los atributos de la
informacin que se recopila
Para desarrollar los indicadores, es necesario
analizar la fuente de los datos y sus atributos,
as se podr calificar adecuadamente la informacin y facilitar su gestin.

AUDITORA INTERNA

Anlisis de la
fuente de datos
y sus atributos

Desarrollo
plataforma /
Adaptacon
herramienta

Conexin
con las
fuentes de
informacin

Conexin
con otras
herramientas

En dicho proceso se debe considerar:


Las distintas fuentes de obtencin de datos
con los que calculamos los indicadores.
El uso de informacin externa a la organizacin, sobre todo al comparar datos y valorar posibles alertas.
La validacin de los datos obtenidos.
La posible existencia de falsos positivos como consecuencia de comparaciones no homogneas entre datos obtenidos de fuentes diversas.
Que los indicadores incluyan informacin
suficiente para su correcto estudio.
Adems de estos puntos, es necesario documentar adecuadamente todos los indicadores,
sus frmulas de clculo, los datos que los integran y sus caractersticas.

Gestin de
incidencias

Pruebas

Algunas de las cuestiones clave a tener en


cuenta en esta fase son:
El seguimiento frecuente para el control de
desvos en tiempo y coste.
El uso de prototipos demostraciones y
contraste frecuente con usuarios finales.
Se debe detallar y documentar incidencias
que supongan un riesgo sobre los objetivos
del proyecto en tiempo, forma y coste, indicando las soluciones adoptadas e informando a la Direccin.

Conexin con las aplicaciones /


repositorios
La conexin con las fuentes de informacin
depende del modelo elegido:
En los casos de acceso a la informacin
mediante un repositorio, hay que definir:

Desarrollo de la plataforma /
Adaptacin de la herramienta
de mercado

- Los requerimientos de informacin (tablas, campos y formato esperado).

En base al anlisis funcional y diseo tcnico,


hay que definir y aprobar un plan de implantacin / ejecucin del proyecto, que incluya:

- El tiempo de retencin de la informacin.

La definicin de objetivos.
La asignacin de responsabilidades.
Las necesidades de personal / equipos / licencias / espacio fsico / comunicaciones.
La metodologa de desarrollo e implantacin.
El calendario
Las actividades de seguimiento y reporte.

Anlisis funcional y
diseo tcnico son los
principales aspectos a
tener en consideracin
a la hora de decidir y
aprobar un plan de
implantacin de un
proyecto de Auditora
Continua.

- La periodicidad de carga de la informacin.


- Si los datos se aaden o sustituyen a los
existentes.
- Definicin de responsable de la carga de
la informacin.
- Definicin de informacin necesaria para
realizar validaciones (por ejemplo, nmero de registros y totales sobre campos de
importe).
Si el acceso es directo a las aplicaciones,
debemos acordar cmo se advierte al rea
25

AUDITORA INTERNA

de Auditora Interna de las posibles incidencias en la informacin fuente.


En anlisis de la
conexin con otras
herramientas
existentes, la gestin de
incidencias y la
realizacin de pruebas
son cuestiones
relevantes en el
desarrollo de un
sistema de Auditora
Continua.

El modo de acceso puede implementarse a


bajo nivel, con conectores de bases de datos;
o a alto nivel, con herramientas o aplicaciones especficas. En cualquier caso, se debe tener en cuenta:
El impacto de la carga sobre los procesos
de la compaa, especialmente si se usa repositorio.
Problemas en la operativa, problemas de
seguridad, etc.
Velocidad del proceso de carga, que impacta en la ejecucin posterior de los indicadores.
Disponibilidad de la informacin, con la garanta de que toda la poblacin auditada se
encuentra actualizada en la fuente.
Mecanismos para la gestin y reporte de
incidencias en la carga.

Conexin con otras herramientas


similares ya existentes
La conexin puede ser:
Saliente: La herramienta nutre a aplicaciones externas como, por ejemplo, herramientas de seguimiento de controles (GRC, mapa de riesgos, etc.).
Entrante: Otras herramientas similares nutren a la plataforma de Auditora Continua,
aportando informacin til, por ejemplo,
para algn indicador.
Cuando la herramienta nutre a otras aplicaciones hay que definir un procedimiento de
exportacin de informacin adecuado, que incluya un responsable, la definicin de datos
que se reportan, la periodicidad y las validaciones de integridad.
26

Gestin de incidencias
Las incidencias ms habituales en este tipo de
proyectos son:
Desviaciones en tiempo y coste. Estos proyectos suele comenzar con una definicin
sencilla, que se complica conforme los indicadores evolucionan. El rea de Auditora
Interna, como responsable del proyecto, define el nivel de complejidad de cada indicador, teniendo en cuenta que un buen diseo inicial evita sobrecostes, retrasos, y garantiza que la herramienta cumple las expectativas.
Lentitud de proceso, originada por las tablas origen de la informacin y los procesos
de conexin. El proceso de anlisis de los
indicadores puede, en ocasiones, requerir la
extraccin de bases de cierto tamao, o
consultas pesadas con un alto volumen
de informacin. Por ello, es bsico que se
configure adecuadamente la forma de extraccin y el formato del detalle generado.
Es recomendable definir especficamente
cada indicador, acotando la poblacin de
datos siempre que se pueda, por tiempo,
por geografa, por unidad dentro de la organizacin, etc.

Pruebas
La fase de pruebas del desarrollo, que se integran en el proceso habitual de desarrollo establecido en la organizacin, se divide en:
Pruebas tcnicas para validar la integridad
y coherencia del proceso. Son comunes en
cualquier desarrollo tcnico. Incluyen pruebas unitarias, pruebas completas de un indicador, pruebas de convivencia de los nue-

AUDITORA INTERNA

vos indicadores con el resto de sistemas,


pruebas de velocidad de proceso de informacin en funcin de la informacin fuente, etctera.
Pruebas de usuario o concepto, que tienen
por objetivo validar los resultados obtenidos. En la fase de diseo las define el rea
de Auditora Interna. Las ms habituales
son:
- Formato de la informacin: validar el formato de los campos del indicador como,
por ejemplo, fechas o importes.
- Totalidad de la informacin: validar que
los resultados que contienen informacin
sobre la poblacin esperada, todas las
zonas geogrficas analizadas, todas las
unidades de negocio analizadas, etctera.
- Coherencia contable: comprobar si la informacin se corresponde con los datos
disponibles en los Estados Financieros u
otras fuentes conciliadas contablemente.
- Coherencia: validar que los datos obtenidos son conceptualmente coherentes, como por ejemplo, facturas vencidas que
todava no han sido emitidas.
- Coherencia entre indicadores: validar que
la poblacin de los distintos indicadores
es homognea. Por ejemplo, el nmero
de facturas pendientes de cobro en un
determinado da debe ser la misma para
todos los indicadores que utilicen esta informacin.
- Pruebas sobre el indicador en s mismo:
verificar la utilidad de los datos obtenidos, percepcin de rendimiento por parte
del usuario, etctera.
- Resultados: validar que el objetivo del indicador se ha cumplido.

Estas pruebas ayudan a mejorar el diseo del


indicador, ajustndolo y reduciendo el nmero
de falsos positivos.

DESPLIEGUE
Implantacin
Siempre que el proyecto se presente a la Direccin de forma adecuada y se disee en
una plataforma apropiada, su implantacin
no tiene por qu ser complicada. El principal
obstculo es el limitado conocimiento de la
nueva herramienta que tiene la organizacin.
Hace falta formacin impartida por el rea de
Auditora Interna.
La Auditora Continua se implementa por mdulos, segn una planificacin inicial y, a partir de pruebas piloto, es recomendable chequear a las unidades de negocio y, una vez
validado el xito, extender su alcance. Comprobado el correcto funcionamiento de la plataforma, se realizan los necesarios ajustes en
la parametrizacin y pesos de los indicadores.
Ajustes que se repetirn peridicamente para
adaptarlos a la dinmica de la organizacin y
sus procesos. Las revisiones permiten ajustar
paulatinamente la herramienta y detectar y
reducir las incidencias.

Uno de los principales


obstculos en la
implantacin de un
sistema de Auditora
Continua es el limitado
conocimiento existente
en la organizacin
acerca de la nueva
herramienta.

Comunicacin a la organizacin
La Direccin y las reas afectadas por los
anlisis deben considerar la Auditora Continua como una herramienta de mejora del
aseguramiento de la organizacin. Para el
rea de Auditora Interna esta actividad es la
evolucin natural de su trabajo, de la misma
forma que evolucion desde la Auditora Interna de cumplimiento, o tradicional, hasta un
27

AUDITORA INTERNA

La puesta en marcha de
una herramienta de
Auditora Continua
requiere de un proceso
de formacin y
comunicacin
adecuados, tanto para
los miembros de
Auditora Interna como
para los de los
departamentos
afectados por los
objetivos y desempeo
de sus sistemas.

trabajo basado en el anlisis de riesgos. Ahora es posible avanzar hacia la Auditora Continua. Y as debe transmitirlo.
Conviene estudiar detenidamente cmo se
presentan los resultados finales de los trabajos de Auditoria Continua. Los informes peridicos deben tener una presentacin amigable y deben centrarse slo en los aspectos
realmente relevantes, incorporando nicamente los indicadores que afecten significativamente a una actividad.
El reporting debe procurar, adems, no invadir
nunca las competencias de otras reas de la
organizacin (por ejemplo, Control de Gestin), debe enfocar sus contenidos dentro de
los de la tercera lnea de defensa y evitar que
se considere a Auditora Continua simplemente como una actividad complementaria de los
anlisis propios de otras reas.

El lanzamiento de la plataforma de Auditora


Continua conlleva un proceso de formacin y
comunicacin, tanto para los integrantes de
la Direccin de Auditora Interna como los de
las reas afectadas por los objetivos y desempeo de sus Sistemas.

Anlisis de la situacin tras el despliegue


Finalizado el proceso de despliegue del Sistema de Auditora Continua, conviene analizar si se han conseguido los objetivos marcados y plantearse el cumplimiento de factores
de xito y fracaso para mantener vivo el impulso inicial y adelantarse a los posibles problemas.
La siguiente tabla resume la lista de desafos
y sus causas, y los factores de xito en la implantacin de un Sistema de Auditora Continua.

RIESGO: FALLO EN LA ADOPCIN O APLICACIN DE MEJORAS


FACTORES DE FRACASO
Soluciones demasiado complejas o poco
prcticas.
Soluciones desarrolladas en forma aislada
por consultores o por un equipo externo.
Mejores prcticas copiadas, pero no ajustadas para satisfacer la operacin de la
empresa.
Soluciones no asumidas por los propietarios del proceso/equipo.
Organizacin sin roles y responsabilidades
claros.
Gerencia que no demanda ni respalda el
cambio.
Resistencia al cambio.
Pobre comprensin de la manera en que
deben aplicarse los nuevos procesos o herramientas que han sido desarrollados.
Habilidades y perfiles no coincidentes con
los requerimientos del rol.

28

FACTORES DE XITO
Enfocarse en ganancias rpidas (quick wins) y proyectos manejables.
Realizar pequeas mejoras para probar el enfoque y
asegurarse que funciona.
Involucrar a los propietarios de los procesos y a
otros terceros interesados en el desarrollo de la mejora.
Asegurarse de que los roles y responsabilidades son
claras y aceptadas, cambiando las descripciones de
los roles y perfiles, si es necesario.
Llevar la mejora desde la gerencia hacia abajo y a
travs de toda la empresa.
Aplicar una formacin adecuada, cuando sea necesario.
Desarrollar los procesos antes de intentar automatizarlos.
Reorganizar, si es necesario, para habilitar una mejor
apropiacin de los procesos.
Hacer coincidir los roles (especficamente aquellos
que son claves para el xito) con las capacidades y
caractersticas individuales.

AUDITORA INTERNA

RIESGO: DIFICULTAD PARA MOSTRAR O MEDIR BENEFICIOS


FACTORES DE FRACASO
Metas y mtricas no establecidas o sin
funcionar efectivamente.
Seguimiento de beneficios no aplicados
despus de la implementacin.
Prdida de foco en los beneficios y el valor
que se obtendr.
Pobre comunicacin de los xitos.

FACTORES DE XITO
Establecer metas claras, medibles y realistas (resultado esperable de la mejora).
Establecer mtricas prcticas de rendimiento (para
monitorizar si la mejora est llevando al logro de las
metas).
Producir cuadros de mando que muestren la manera
en que se mide el desempeo.
Comunicar en trminos del impacto en el negocio,
los resultados y beneficios que se estn obteniendo.
Implementar ganancias rpidas (quick wins) y entregar soluciones en escalas de tiempo breves.

RIESGO: PRDIDA DE INTERS O MOMENTO


FACTORES DE FRACASO
La mejora continua no es parte de la cultura.
Gestin que no produce resultados sostenidos.
Recursos focalizados en actividades de
bombero y entrega de servicio, y no en la
mejora.
Personal sin motivacin, que no puede ver
el beneficio personal al adoptar y conducir
el cambio.

Y LUEGO QU?
Administracin de la plataforma
Una vez implantado el modelo de Auditora
Continua, la administracin de la plataforma
requiere de los siguientes trabajos:
Crear nuevos indicadores. La evolucin de
la organizacin puede exigir crear nuevos
indicadores o ajustar los existentes a las

FACTORES DE XITO
Asegurar que la gerencia comunica y refuerza regularmente la necesidad de servicios, soluciones y un
buen gobierno confiables y robustos. Comunicar las
mejoras logradas a todas las partes interesadas.
Visitar nuevamente a las partes interesadas y obtener su respaldo para alimentar el impulso.
Si los recursos son escasos, aprovechar la oportunidad para implementar mejoras en el transcurso del
trabajo, como parte de un proyecto de la rutina diaria.
Focalizarse en tareas de mejora regulares y gestionables.
Obtener asistencia externa, pero que permanezca
comprometida.
Alinear los sistemas de recompensa personales con
las metas y mtricas de mejora en el desempeo,
tanto personales como organizacionales.

Fuente: COBIT 5

nuevas situaciones o riesgos. De aqu la necesidad de retroalimentacin.


Gestionar la informacin de los afectados. Es muy importante que los receptores
reciban puntualmente la informacin y sugerencias sobre puntos de mejora, sobre
todo en la fase inicial. Estas sugerencias
deben analizarse desde un punto de vista
global, porque algunas reas parciales del
negocio podran no contar con informacin
29

AUDITORA INTERNA

Administrar la
plataforma, medir la
rentabilidad del
proceso e incorporar
mejoras en Auditora
Interna para asegurar
la correcta utilizacin
de la herramienta de
Auditora Continua son
las principales
actividades a realizar
una vez puesta
en marcha dicha
aplicacin.

suficiente para valorar el proyecto en su


conjunto. No obstante, siempre debe quedar constancia y trazabilidad de las sugerencias, tanto para el cliente interno, como para el resto de participantes.
Distribuir los resultados. El principal activo
de un sistema de Auditora Continua es la
gestin automtica y simultnea de mltiples puntos de control. Se realizan anlisis
peridicos (diarios, semanales, mensuales) y
se comunican inmediatamente las incidencias o problemas a los responsables de las
reas afectadas. Posteriormente, el rea de
Auditora Interna emite un reporte donde
detalla las acciones adoptadas para subsanarlos. La plataforma se configura como
una aplicacin corporativa de acceso pblico con Cuadros de Mando que facilitan su
gestin.

Medicin de la rentabilidad
En general, el principal beneficio de los modelos de Auditora Continua es la clara y evidente mejora de la eficiencia y eficacia en el trabajo de Auditora Interna, una mayor cobertura del aseguramiento, la deteccin temprana
de incidencias, la reduccin de gastos de viaje
y la mejora del entorno global de control. Es

30

necesario registrar y medir estos beneficios


para poner en valor las inversiones realizadas
de cara a la organizacin.

Cambios en el rea de Auditora


Interna
Organizativos. Incorporacin de nuevas
habilidades y competencias en el equipo de
Auditora Interna: perfiles profesionales con
conocimientos de Sistemas de Informacin.
Universo auditable. Las tcnicas de Auditora Interna no se basan nicamente en
pruebas de cumplimiento, aumenta la importancia de las pruebas sustantivas y el
anlisis de toda la poblacin de datos.
Planificacin dinmica. Al disponer de un
sistema de indicadores y alertas, se revisa
el Plan de Auditora Interna con una periodicidad mayor.
Enfoques de Auditora Interna. Mayor disciplina y unificacin en la forma de realizar
el trabajo de auditora interna en todo el
equipo.
Programas de trabajo. Las pruebas se enfocan hacia los Sistemas de Informacin y
no tanto hacia el papel o hacia los informes
finales generados por los usuarios.

AUDITORA INTERNA

IMPLANTACIN DE UN MODELO DE AUDITORA CONTINUA CONSIDERACIONES


1

Definicin de objetivos
Estrategia de desarrollo de indicadores

ARRANQUE DEL PROYECTO

Impactos en la Organizacin
Costes y presupuesto
Presentacin del proyecto a la Direccin

Arquitectura inicial
Indicadores iniciales, parmetros y pesos

DISEO DE PLATAFORMA

Herramienta comercial/Desarrollo interno

Tres lneas de defensa


Enfoque GRC
Grado de involucracin

Requerimientos
Caractersticas bsicas
Mdulos a incorporar
Acceso directo/Repositorios
Periodicidad de actualizacin
Diseo tcnico

Atributos de la informacin recopilada

DESARROLLO

Desarrollo de la plataforma/ Adaptacin


herramienta comercial
Conexin con aplicaciones/repositorios
Conexin con otras herramientas
Gestn de incidencias
Pruebas

Desviaciones tiempo y coste


Lentitud de proceso
Tcnicas
De usuario o concepto

Implantacin

DESPLIEGUE

Comunicacin a la Organizacin
Anlisis tras el despliegue:
factores de xito - factores de fracaso

Fallo en adopcin de mejoras


Dificultad para mostrar o
proveer beneficios
Prdida de inters
o momento

5
Y LUEGO QU?

Administracin de la plataforma
Medicin de la rentabilidad
Cambios en el rea de Auditora Interna

Crear nuevos indicadores


Gestionar informacin
de los afectados
Distribuir resultados
Organizativos
Universo auditable
Planificacin dinmica
Enfoques de auditora
Programas de trabajo

31

AUDITORA INTERNA

Caso prctico
MODELO DE AUDITORA
CONTINUA EN FLEXI ACER
DESCRIPCIN DE LA EMPRESA
EMPRESA
FLEXI ACER.
(se trata de una empresa ficticia. Los datos que se
incluyen en este supuesto prctico no han sido extrados de ninguna empresa real).

DESCRIPCIN
Trabaja de forma industrial con componentes
de acero para construir mobiliario urbano (por
ejemplo, papeleras, barandillas, etc). Tienen la
sede en Mlaga, plantas de fabricacin en
Mlaga, Madrid, Barcelona y Mxico y filiales
comerciales internacionales en Alemania, Italia, Mxico, EEUU y Argentina.
En total, factura alrededor de 1.000 Millones
de Euros anuales, especialmente fuera de Espaa. Tiene un total de 2.500 empleados repartidos por Europa y Amrica.
SITUACIN
La cada de ventas, como efecto de la menor
actividad industrial, ha impactado en su cuenta de resultados. Esto ha provocado:
Aumento del nivel de fraude interno. El
esquema retributivo establecido al personal
de sus filiales se basa en incentivar el resultado obtenido en las mismas, lo cual ha llevado a mltiples intentos de fraude por
parte de responsables en diferentes filiales,

que han procurado enmascarar la cifra de


ventas o diferir prdidas, ocultando determinados indicadores que afectan al resultado, o difiriendo costes de un ejercicio a
otro.
Reduccin del margen de beneficio. La
necesidad de detener la cada de negocio
ha llevado a acuerdos de dudosa rentabilidad y cadas de mrgenes, hasta dejar la
cuenta de algunas filiales en situacin comprometida, que puede afectar a la viabilidad de la organizacin.
Cambios en la organizacin. Ante la necesidad de aumentar el entorno de control en
la estructura de la Sociedad, y de reducir el
nivel de gastos, se estn agrupando las actividades realizadas en filiales, mediante la
centralizacin de servicios en Agrupacin
de Inters Econmico (AIE) que prestan su
apoyo a las distintas filiales del Grupo.
ENTORNO DE CONTROL
Basado en un esquema de tres lneas de defensa:
1 Lnea: Gestin operativa realizada.
- Desde las distintas reas operativas de
cada una de las filiales.
- Desde las reas operativas de fases del
negocio centralizado en AIE.
- Desde las reas de central que gestionan
la realizacin de funciones a nivel Grupo.
Son Finanzas, RR HH, TI y Administracin.
33

AUDITORA INTERNA

2 lnea: a nivel Grupo. La Sociedad dispone de las siguientes reas de control que
afectan a la matriz y a todas las filiales del
Grupo:
- Control Financiero y de Gestin.
- Seguridad en la Informacin.
- Gestin de Riesgos Corporativos.
- Calidad.
- Cumplimiento.
- Control Interno.
3 lnea: Auditora Interna.
- Ubicado en la Sede Central, formado por
3 auditores ms un Director de Auditora
Interna.
- Dedican ms del 50% de su tiempo a visitas presenciales en las distintas sedes,
validando procedimientos y realizando
revisiones peridicas.

- Inversiones financieras.
- Planificacin y anlisis de gestin.
- Recursos humanos.
- Sistemas de Informacin.
- Gestin de Riesgos.
- Supervisin y Control Interno.
- Proveedores.
- Ventas.
- Facturacin y cobro.
Mapas de Riesgos. La Sociedad agrupa a
sus distintos responsables de reas en responsables de riesgos encargados de definir y valorar los riesgos que les afectan. De
esta forma, configura un mapa de riesgos,
basado en tres niveles, que incluyen:
- Descripcin del riesgo.

- Depende directamente del CEO.

- Causas.

- Reporta a un Comit de Auditora, integrado por Consejeros independientes de


la sociedad.

- Controles mitigantes.

HERRAMIENTAS PARA EL CONTROL


INTERNO
La 2 lnea de defensa dispone de las siguientes herramientas y aplicaciones para un adecuado seguimiento del sistema de Control Interno.
Mapas de procesos. Identifica en tres niveles los distintos procesos que componen la
Sociedad. A nivel 1, seran:
- Asesora Jurdica.
- Atencin al Cliente.
- Comercial.
- Comunicacin.
- Contabilidad.
- Inmuebles y logstica.
34

- Fiscal.

- Valoracin antes de controles.


- Valoracin despus de controles. (la valoracin se basa en un esquema de probabilidad e impacto).
A primer nivel, clasifica los riesgos en los siguientes grupos:
- Crdito (de cobro, ).
- Financiero (tipo de inters, valoracin inversiones, ).
- Operacional.
- Regulatorio.
- Negocio.
Sistemas de Informacin. Dispone de:
- Data Warehouse, con informacin de todas las variables que considera para seguimiento de la actividad de todas las
unidades de la Organizacin.

AUDITORA INTERNA

- Work Flow en la Intranet, con asignacin


de funciones a todos los empleados de la
organizacin, identificando acciones ante
determinados aspectos programados.
- Paquete contable integrado en SAP, que
cuenta con un mdulo de gestin de almacenes y materiales. Algunas unidades
pueden utilizar otro sistema, aunque la
empresa est en un proceso de unificacin de los mismos.
- Para gestin de costes y mrgenes operativos cuentan con un sistema de Business Intelligence (BI) de reciente implantacin.
- Aplicativo de Auditora Interna enfocado
a un esquema de programas de trabajo y
realizacin de informes, enfocado a los
sistemas tradicionales de Auditora Operativa.
Estos son los aspectos previos considerados,
antes de definir la implantacin de un modelo
de Auditora Continua. Para desarrollarlo, hace falta revisar el trabajo que realizan todos
los implicados, pues existe el riesgo de duplicar reas.
Ahora, en base a este supuesto, se detalla la
implantacin de un modelo de Auditora Continua, mediante:
Descripcin de procesos.

Para procesos con sistemas de Auditora


Continua desarrollado, identificamos indicadores.
Conexin con otras herramientas: ver cmo
afectan los nuevos desarrollos.
Reporting a funciones clave.
Seguimiento realizado sobre indicadores:
- Por reas responsables (Monitorizacin
Continua).
- Por Auditora Interna (Auditora Continua).
Sistema para determinar nuevos indicadores y actualizacin de los existentes.

MAPA DE PROCESOS
La Direccin de FLEXI ACER ha implantado un
modelo de gestin orientado a procesos, donde las necesidades y la satisfaccin del cliente
forman el eje de la estrategia del negocio.
En el proceso de implantacin del modelo de
Auditora Continua, la Direccin de Auditora
Interna decide seguir un enfoque incremental e iterativo. En el alcance inicial del modelo se incluyen aquellos procesos relacionados con los riesgos ms crticos del negocio y
susceptibles de ser automatizados mediante
las herramientas disponibles en FLEXI ACER.

Asignacin de riesgos.
Departamentos responsables. Vemos cmo
afecta la existencia de cambios organizativos.
Identificamos el nivel de madurez de Auditora por procesos.

La Direccin de Auditora Interna dispone de


un proceso de monitorizacin que identifica
los cambios en el perfil de riesgo de la compaa o en sus procesos para adaptar los indicadores, y los indicadores incluidos en el modelo de Auditora Continua.
35

AUDITORA INTERNA

En la actualidad, han sido implementados


dentro del modelo de Auditora Continua de
FLEXI ACER los procesos sealados en el grfico anterior.
El resto de procesos se siguen cubriendo mediante un enfoque de auditora tradicional
(cclicas, ad-hoc, presenciales). Peridicamente, la Direccin de Auditora Interna evala la
posibilidad de incluir algunos de los procesos
que faltan en el modelo de Auditora Continua. Para ello contempla los riesgos asociados, las limitaciones tecnolgicas o la naturaleza del proceso.
Para los procesos incluidos dentro del modelo
de Auditora Continua, adicionalmente a la
supervisin continua del perfil de riesgo y la
efectividad de los controles, se realizan audi36

toras complementarias con un enfoque tradicional, que cubren aspectos especficos de


alta criticidad o no susceptibles de automatizacin.

MODELO DE AUDITORA
CONTINUA IMPLEMENTADO
EN FLEXI ACER
La plataforma de auditora continua implementada en FLEXI ACER tiene dos aos de
antigedad y presenta las siguientes caractersticas:
El diseo de la plataforma fue realizado por
la Direccin de Auditora Interna. Posteriormente, su desarrollo e implantacin fue
subcontratado a una consultora especiali-

AUDITORA INTERNA

zada, en conjuncin con el Departamento


de Tecnologa de FLEXI ACER. El Departamento de Tecnologa se encarga del mantenimiento y la incorporacin de nuevas funcionalidades.
La plataforma utiliza la informacin existente en un repositorio para evaluar los diferentes indicadores. Este repositorio se actualiza cada noche con un volcado directo
de las tablas existentes en el entorno de
produccin.
La plataforma admite la incorporacin de
indicadores dinmicos que son definidos,
desarrollados y parametrizados por los
usuarios de Auditora Interna. No es necesaria la involucracin del rea de tecnologa para incorporar un nuevo indicador (salvo que sea necesario incorporar al repositorio alguna tabla nueva no considerada hasta ese momento).
Existe un administrador en el rea de Auditora Interna que incorpora estos nuevos indicadores (o modifica sus parmetros) una
vez han sido aprobados por la Direccin de
Auditora Interna. La descripcin y detalle
de los mismos se recoge en una ficha que
se cumplimenta desde la propia plataforma.
La periodicidad de ejecucin de cada indicador es parametrizable y depende de la
importancia del mismo. En cualquier caso,
dicha periodicidad es como mnimo de
un da.
La plataforma cuenta con una serie de mdulos que permiten, entre otras funciones,
gestionar y/o incorporar indicadores, consultar resultados, asignarlos (de forma manual o predefinida) a los auditores internos
para su anlisis, comunicarse directamente

con las unidades auditadas para solicitar


mayor informacin, seguimiento centralizado de ocurrencias, acceso a histricos, etctera.
En base a los procesos incorporados por FLEXI ACER en el modelo de Auditora Continua,
se muestran los indicadores establecidos para
dos de los procesos de negocio:

Gestin de Compras
- Proveedores duplicados.
- Campos faltantes en el maestro de proveedores.
- Pedidos creados tarde/a posteriori (en el
momento de la primera recepcin de mercanca o factura).
- Pedidos parciales (o troceados, sin controles de autorizacin adicionales para pedidos de importe o criticidad ms elevada).
- Facturas afloradas con retraso (facturas en
el cajn).
- Facturas conformadas (validadas, autorizadas) con retraso.
- Facturas que superan cierto importe y no
han sido apropiadamente autorizadas.
- Facturas duplicadas.
- Partidas con potenciales problemas de corte de operaciones.
- Partidas abiertas de proveedor por un perodo de tiempo muy largo.
- Porcentaje de facturas sin referencia a pedido de compra.
- Pagos a proveedores en parasos fiscales.
- Pagos a personal vinculado a la empresa
(por ejemplo, con misma direccin o cuenta
bancaria que el empleado).
37

AUDITORA INTERNA

Gestin de Hardware y Software


- Volumen de personal externo que accede a
informacin sensible de los clientes.
- Usuarios del entorno de desarrollo que accede al rea de produccin.
- Aplicaciones que registran ms de X solicitudes de mantenimiento correctivo en Z
das.
- Tiempo medio de resolucin de incidencias
superior a Z das.
- Desviaciones en proyectos respecto a la
planificacin inicial superiores a Z das.

- Volumen de intentos de acceso a ficheros


de passwords.
- El rendimiento de determinados servidores
inferior a un X%.
- Usuarios con actividad fuera de horas normales de trabajo.
- Usuarios con muy baja actividad (o nula)
(Son potencialmente innecesarios).
La ficha para incorporar nuevos indicadores o
modificar la definicin de los existentes presenta el siguiente formato:

Ficha Indicador
(A cumplimentar como paso previo a su creacin o modificacin)
Cabecera

Resumen

Identificador indicador:
Ttulo indicador:

A-S-005
Tipo indicador:
Alarma
mbito:
Prueba sustantiva
Aplicaciones que presentan un alto mantenimiento correctivo

Departamento asignado:

Auditora tecnolgica

rea auditada:

Tecnologa

Tipo Riesgo:

Tecnolgico

Epgrafe:

Funcin de Desarrollo

Breve descripcin del indicador: Aplicaciones que registran ms X solicitudes de mantenimiento correctivo en Z das

Riesgo evaluado:

Que una aplicacin presente un volumen de mantenimiento correctivo alto en un breve


periodo de tiempo, puede ser un sntoma de que dicha aplicacin no ha sido lo
suficientemente probrada (o no lo ha sido algn cambio realizado sobre la misma).
En cualquier caso, denota el riesgo de que dicha aplicacin est generando un volumen de
errores superior al habitual, lo que puede dar lugar a problemas de integridad en la
informacin, dificultades operativas, etc.

Prametros indicador:

* Volumen de solicitudes de mantenimiento realizadas en un periodo dado


* Das que componen el periodo evaluado

Detalle

Periodicidad de ejecucin: Diaria

Importancia:

Media

Aprobacin diseo: Director Auditora

Fecha de aprobacin:
10/05/2013

Versin indicador:

1.0

Fecha de ltima revisin:


10/05/2013

Informacin a mostrar: * Cdigo de la aplicacin * Tiempo de resolucin medio *Identificador solicitudes pendientes
* Volumen de solicitudes * Solicitudes pendientes

Gestin
Resultados

Cmo revisar
cada ocurrencia:

*Analizar la tipologa de solicitudes pendientes. Evaluar si se concentran en alguna


transaccin u operativa concreta cuyo mal funcionamiento se considere de riesgo relevante
(gestin de saldos, facturacin, informes financieros, atencin al cliente, etc.)
*Envo de correo automtico desde la aplicacin de auditora a distancia al personal del
departamento de Desarrollo para solicitar ms informacin. Posible entrevista adicional

Informacin adicional
a solicitar:

* Tipologa de errores, causas identificadas hasta el momento, transacciones afectadas y


posible impacto (y/o impacto real de haberse materializado)

Comunicacin resultados
si es una incidencia real:

38

* Direccin de auditora
* Direccin de negocio implicada en el uso de la aplicacin

AUDITORA INTERNA

MODELO DE EJECUCIN
Y MANTENIMIENTO CONTINUO
DEL MODELO DE AUDITORA
CONTINUA
Modelo de Ejecucin
Se distinguen dos tipos de ejecucin de indicadores de Auditora Continua:
Anlisis Continuo: los indicadores se ejecutan de forma automtica una vez a la semana y se almacena el detalle de los resultados en el directorio compartido de Auditora Interna. Adems, se dispone de un
cuadro de mando funcional que permite
analizar la evolucin de un indicador a lo
largo del tiempo y separar para su anlisis
las excepciones relevantes.
Con motivo de la reunin semestral de la
Comisin de Auditora de Flexi Acer, Auditora Interna prepara un resumen ejecutivo de
la evolucin del modelo de Auditora Continua y de las excepciones detectadas.

Anlisis ad hoc: los indicadores se ejecutan a peticin del usuario, que puede seleccionar la ventana temporal de trabajo, la
sociedad o sociedades del alcance, y los indicadores que ejecuta. Este modelo es habitualmente un paso previo a la auditora
de una filial de Flexi Acer, as se dispone del
mximo de informacin antes de la inspeccin fsica.

Mantenimiento del Modelo


Se ha definido un responsable de Auditora
Interna como responsable del modelo de indicadores de Auditora Continua. Tambin se ha
definido un interlocutor del rea de sistemas
responsable de la alimentacin de la informacin necesaria y de la gestin de las mejoras
continuas del modelo.
En general, los usuarios del modelo disponen
de un perfil estndar, que permite parametrizar ejecuciones y ejecutar indicadores. El responsable de Auditora Interna y el responsable del rea de sistemas disponen de capacidad de administracin, lo que permite realizar

CUADRO DE MANDO UTILIZADO POR FLEXI ACER PARA PRESENTAR LOS RESULTADOS DEL MODELO DE AUDITORA CONTINUA

Delegada
Centralizada
respecto fecha
Delegada
factura
Centralizada
Directa
Pedidos parciales
Delegada
Facturas afloradas con retraso (>6 meses)
Facturas conformadas con retraso (>1 mes)
Facturas FI registradas sin pedido
Facturas duplicadas
Corte de operaciones
Partidas abiertas de proveedor
Anlisis apuntes manuales
Plazo pago s/ poltica
Pedidos
creados
tarde

en momento
recepcin

Valor
Objetivo
segn AI
1%
1%
1%
1%
15%
1%
1%
5%
2%
Cumple
N/A
Cumple
Cumple
Cumple

2013 H2
TOTAL

Espaa

Francia

2%
0%
3%
0,9%
13%
2%
0,4%
2%
0,8%
Cumple
N/A
Cumple
Cumple
Cumple

4%
0%
0%
0%
7%
2%
1%
2%
0,4%
Cumple
N/A
Cumple
Cumple
Cumple

1,4%
0,6%
4%
1,2%
13%
4%
0,6%
5%
1%
Cumple
N/A
Cumple
Cumple
Cumple

Alemania
0%
0%
2%
0%
13%
0%
0,1%
3%
0%
Cumple
N/A
Cumple
Cumple
Cumple

Italia
0%
0%
0%
0%
0%
0%
0%
1%
1%
Cumple
N/A
Cumple
Cumple
Cumple

Amrica del Sur


Argentina Brasil
Uruguay
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
40%
0%
0%
0%
1%
0%
0,7%
1%
0%
1%
0,5%
0,2%
0%
Cumple Cumple Cumple
N/A
N/A
N/A
Cumple Cumple Cumple
Cumple Cumple Cumple
Cumple Cumple Cumple

39

AUDITORA INTERNA

EVOLUCIN DE INDICADORES

Pedidos creados tarde

En momento
de 1
recepcin
(en importe
pedidos)

Todos los indicadores de pedidos creados tarde muestran


una tendencia a la baja, encontrndose el de Compra Centralizada dentro de los parmetros considerados aceptables. La
Compra Delegada, si bien mejora, an muestra valores por
encima de la tolerancia definida.

Delegada

Centralizada

Las incidencias ms relevantes, tal y como sucedi en el


semestre anterior, se localizan en Francia. En este pas los
indicadores han mejorado respecto al primer semestre (cuando
se identificaron un nmero elevado de incidencias debido a
problemas en la migracin al ERP corporativo, donde un
nmero elevado de pedidos no se trasladaron de manera
adecuada), si bien an existe margen de mejora.

Delegada
Respecto
a fecha
de factura
(en importe
facturas)

La labor de monitorizacin y concienciacin que lleva


realizando Compras, sigue siendo crtica para reducir la incidencia de este tipo de hechos.

Centralizada

Pedidos parciales
Directa

Delegada

El indicador respecto a Compra Directa se mantiene estable respecto a la anterior


ejecucin y continua por debajo del umbral definido. Sigue destacando el nmero de
incidencias en Francia (921k), Alemania (353k) y Uruguay (147k). Espaa destaca
por el bajo nivel de incidencias (80k). Recomendamos que Compras contine
monitorizando estas posibles compras troceadas de forma recurrente.
En cuanto a Compra Delegada, nicamente se han identificado casos puntuales en
Francia (125k) y Espaa (40k)

tareas de gestin de usuarios y resolucin de


incidencias.
Se dispone de un flujo de resolucin de incidencias de ejecucin del modelo, completamente integrado con el proceso de resolucin
de incidencias de Flexi Acer y con responsables asignados.

40

enfoque de Auditora Interna, que obliguen


a una evolucin del modelo para adaptarlo
a los nuevos requerimientos funcionales.
Si el responsable de la ejecucin detecta
que algn indicador no funciona de forma
adecuada (por ejemplo, detectando un nmero elevado de falsos positivos).

Independientemente de las modificaciones


realizadas asociadas al mantenimiento correctivo (resolucin de incidencias), el modelo de
Auditora Continua ser revisado cuando:

Se produzcan cambios tecnolgicos significativos que permitan incorporar mejoras o


adaptaciones a la implementacin tcnica.

Se produzcan cambios relevantes en los


procesos de negocio de Flexi Acer o en el

Como mximo, el modelo completo debe


ser actualizado a los tres aos.

AUDITORA INTERNA

Anexos
GLOSARIO
Aseguramiento Continuo
El aseguramiento continuo puede lograrse mejor
mediante una combinacin de responsabilidades
de seguimiento continuo de la Direccin y las actividades de supervisin continua de Auditora Interna.
Auditora Continua
GTAG 3 lo define como todo mtodo utilizado por
los auditores para realizar actividades relacionadas
con la auditora de forma (ms) continua. Es la secuencia de actividades que abarcan desde la evaluacin continua de control hasta la evaluacin
continua de riesgos (todas las actividades en la secuencia control-riesgo).
Auditora a distancia
Es aquella auditora que pretende facilitar el seguimiento de los diversos riesgos sin necesidad de
realizar una visita in situ a la ubicacin fsica objeto de la auditora.
Falso positivo
Cuando una ocurrencia, normalmente ligada a un
indicador tipo alarma, no refleja realmente una situacin anmala o atpica. Normalmente no se debe a un fallo en la configuracin o programacin
del indicador, sino a que ste no est lo suficientemente elaborado o su umbral de tolerancia es muy
bajo.
GTAG - Global Tecnology Audit Guide
Gua de Auditora de Tecnologa Global, emitida
por el Instituto Internacional de Auditores Internos.

Indicador
La base de un sistema de auditora continua es la
ejecucin de una serie de consultas, anlisis y
pruebas que en esta gua se han denominado
indicadores. Los indicadores pueden tener diversas finalidades, por lo que hay diferentes tipos:
- Alarmas. Alertas sobre situaciones atpicas cuyo
origen podra ser (o no) la materializacin de un
determinado riesgo. Es el tipo de indicador ms
frecuente.
- Key Performance Indicators (KPI) y Key Risk Indicators (KRI). Ratios e indicadores clave. Por
ejemplo, el volumen de horas de mantenimiento
correctivo que, anualmente, se realiza sobre una
aplicacin.
- Pre-auditoras. La ejecucin de una determinada
prueba de auditora (por ejemplo, el reclculo de
la facturacin de un servicio) o la obtencin de
informacin general (por ejemplo, listados de
clientes).
- Excepciones. Avisos sobre fallos en el funcionamiento de una transaccin, un control, etc.
Indicador Fijo / Indicador Dinmico
- En un modelo de Auditora Continua basado en
indicadores fijos, cada vez que se desea incorporar un indicador es necesario programarlo a
medida dentro de la plataforma. Normalmente
la programacin la lleva a cabo el departamento
de tecnologa, un proveedor externo o la empresa que ha desarrollado la herramienta de Auditora Continua utilizada.
- En cambio, los indicadores dinmicos se pueden
ir incorporando a la plataforma mediante la parametrizacin de determinados elementos existentes en la misma, para que no sea necesario
modificar su programacin (salvo que se quiera
41

AUDITORA INTERNA

incorporar ms elementos al conjunto de los


existentes).

EJEMPLOS DE HERRAMIENTAS
DE MERCADO

Los indicadores fijos son fciles de incorporar al


principio y si son muchos, pero se vuelve muy tedioso aadirlos de forma espordica, lo que hace
que poco a poco la evolucin de la plataforma se
ralentice o se detenga.

En cuanto a las herramientas comerciales disponibles en el mercado, es ms frecuente encontrar soluciones de propsito general, que soluciones especficas de Auditora Continua.

En cambio, cuesta mucho al principio disear una


plataforma que permita indicadores dinmicos (especialmente cuando urge dar resultados que justifiquen la inversin) pero, si se consigue, ser relativamente sencillo ir adaptando los indicadores a la
evolucin de los riesgos.

En esta seccin tratamos de reflejar estudios de


mercado sobre plataformas GRC, que en su gran
mayora incluyen funcionalidades que soportan los
procesos de Auditora Continua, adicionalmente a
otros procesos de aseguramiento.

Monitorizacin continua o Supervisin continua


Abarca los procesos que la direccin implementa
para garantizar que las polticas, los procedimientos y los procesos de negocio funcionen eficazmente. Implica la responsabilidad de la direccin en
cuanto a evaluar la idoneidad y eficacia de los controles.
Ocurrencia
Resultado o resultados que devuelve cada indicador.
Servicios de aseguramiento
El Glosario del Marco Internacional para la Prctica
Profesional de la Auditora Interna (MIPP) define
Servicios de aseguramiento como Un examen objetivo de evidencias con el propsito de proveer
una evaluacin independiente de los procesos de
gestin de riesgos, control y gobierno de una organizacin. Por ejemplo: trabajos financieros, de
desempeo, de cumplimiento, de seguridad de sistemas y de diligencia debida (due diligence).

Fuente: Forrester Research Q1 2014. The Forrester Wave:


Governance, Risk, and Compliance Platforms

LEADERS

CHALLENGERS

Thomson Reuters

SAP
MetricStream
Nasdaq OMX (BWise)
Protiviti
Enablon

Umbral de tolerancia

42

Software AG
SAS
CMO Compliance

Mega

ABILITY TO EXECUTIVE

Es el grado de sensibilidad del indicador. Cuanto


ms bajo sea, mayor volumen de ocurrencias generar (y viceversa). Lo ideal es que el umbral de tolerancia determine el volumen de personal necesario para analizar los resultados obtenidos, aunque
lo habitual es que sea al revs (en funcin del personal disponible se ajusta el umbral).

EMC (RSA)

Resolver
Sword Group
Wynyard Group

NICHE PLAYERS
COMPLETENESS OF VISION

VISIONARIES
As of September 2013

Fuente: Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms, 2013.

AUDITORA INTERNA

BIBLIOGRAFA
- Auditora Continua y Supervisin Continua. Presente y futuro. Estudio de KPMG en la regin
EMA. Diciembre 2012.
- Auditora Continua y Supervisin Continua. Resultado del estudio en Espaa. KPMG. 2010.
- Auditora tecnolgicamente avanzada: Auditora a
distancia y Auditoria Continua. Partida doble, n.
204. Manuel Mendiola. Noviembre 2008.
- Beyong Continuous Auditing. Norman Marks. December 2010.
- Consejo para la prctica 2320-4: Aseguramiento
Continuo. Marco Internacional para la Prctica
Profesional de la Auditora Interna.
- Continuous monitoring and continuous auditing.
From idea to implementation. Deloitte. 2010.
- Continuous process monitoring: your primary processes, structurally in control. EY. 2011.

- Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms, 2013.
- GTAG-3-Gua de Auditora de Tecnologa Global.
Auditoria continua: implicaciones para el aseguramiento, la supervisin y la evaluacin de riesgos.
David Coderre. Octubre 2005.
- Gua Prctica: Marco de relaciones de Auditora
Interna con otras funciones de Aseguramiento.
Instituto de Auditores Internos de Espaa. Diciembre 2013.
- Implementing a continuous audit process. The Institute of Internal Auditors. December 2010.
- The Forrester Wave: Governance, Risk, and Compliance Platforms. Christopher McClean, Nick Hayes and Renee Murphy. January 27, 2014.
- Transforming Internal Audit: A Maturity Model
from Data Analytics to Continuous Assurance.
KPMG.

43

Instituto de Auditores Internos de Espaa


Santa Cruz de Marcenado, 33 28015 Madrid Tel.: 91 593 23 45 Fax: 91 593 29 32 www.auditoresinternos.es

Depsito Legal: M-29726-2014


ISBN: 978-84-941921-8-0

Diseo y maquetacin: desdecero, estudio grfico


Impresin: IAG, SL