La auditoría continua es un método automático que se utiliza para realizar actividades de auditoría , como evaluaciones de riesgo y control , con mayor frecuencia. La tecnología juega un papel clave en las actividades de auditoría continua al ayudar a automatizar la identificación de excepciones o anomalías, analizar patrones dentro de los dígitos de campos numéricos clave, revisar tendencias y probar controles, entre otras actividades.
El aspecto "continuo" de la auditoría y la presentación de informes continuos se refiere a la capacidad en tiempo real o casi en tiempo real para verificar y compartir la información financiera. No solo indica que la integridad de la información se puede evaluar en cualquier momento, sino que también significa que la información puede ser verificada constantemente para detectar errores, fraudes e ineficiencias. Es la auditoría más detallada.
Cada instancia de auditoría continua tiene su propio pulso. El marco de tiempo seleccionado para la evaluación depende en gran medida de la frecuencia de las actualizaciones dentro de los sistemas de información contable . El análisis de los datos se puede realizar de forma continua, horaria, diaria, semanal, mensual, etc., según la naturaleza del ciclo económico subyacente para una afirmación determinada.
Fondo
El objetivo de los informes financieros es proporcionar información que sea útil para la administración y las partes interesadas para las decisiones de asignación de recursos. Para que la información financiera sea útil, debe ser oportuna y estar libre de errores materiales, omisiones y fraude. En la economía en tiempo real , la información financiera confiable y oportuna es fundamental para las decisiones comerciales diarias con respecto a la planificación estratégica, adquisición de capital, decisiones crediticias, asociaciones con proveedores, etc. Los avances en los sistemas de información contable, como la llegada de los sistemas de planificación de recursos empresariales (ERP), han permitido la generación de información en tiempo real. Sin embargo, la práctica de la auditoría tradicional no ha seguido el ritmo de la economía en tiempo real. Los procedimientos de auditoría manuales tradicionales requieren mucha mano de obra y tiempo, lo que limita la frecuencia de las auditorías a una base periódica, por ejemplo, una vez al año.
Estas limitaciones de tiempo y esfuerzo pueden aliviarse mediante el uso de tecnología y automatización. La auditoría continua mejora la prestación de servicios de auditoría al hacer que el proceso de auditoría sea más eficiente y eficaz mediante el uso de tecnología y automatización. La mayor eficiencia y eficacia del proceso de auditoría permite auditorías más frecuentes o en tiempo real y, por lo tanto, mejora la confiabilidad de la información subyacente. [1]
Historia
La primera aplicación de auditoría continua se desarrolló en AT&T Bell Laboratories en 1989. [2] Conocido como un sistema de auditoría de proceso continuo (CPAS), el sistema desarrollado por Miklos Vasarhelyi y Halper proporcionó medición, monitoreo y análisis de la información de facturación de la compañía. Aquí también se introdujeron conceptos clave como métricas, análisis y alarmas relacionados con la información financiera.
Componentes
La auditoría continua se compone de tres partes principales: aseguramiento continuo de datos (CDA), monitoreo continuo de controles (CCM) y monitoreo y evaluación continuos de riesgos (CRMA). [3]
Aseguramiento continuo de datos
La garantía continua de datos verifica la integridad de los datos que fluyen a través de los sistemas de información. La garantía continua de datos utiliza software para extraer datos de los sistemas de TI para su análisis a nivel transaccional para proporcionar una garantía más detallada. Los sistemas CDA brindan la capacidad de diseñar modelos de expectativas para procedimientos analíticos a nivel de procesos comerciales, a diferencia de la práctica actual de confiar en el análisis de relaciones o tendencias en niveles más altos de agregación de datos. El software CDA puede monitorear las transacciones de manera continua y automática, comparando sus características genéricas con puntos de referencia predeterminados, identificando así situaciones anómalas. Cuando ocurren discrepancias importantes, las alarmas se activan y se envían a las partes interesadas y los auditores correspondientes.
Monitoreo continuo de controles
El monitoreo continuo de controles consiste en un conjunto de procedimientos utilizados para monitorear la funcionalidad de los controles internos. CCM se basa en procedimientos automáticos, asumiendo que tanto los controles en sí mismos como los procedimientos de seguimiento son formales o pueden formalizarse. CCM se puede utilizar para supervisar el control de acceso y las autorizaciones, las configuraciones del sistema y los ajustes de los procesos comerciales. CDA y CCM son procesos complementarios. Ninguno de los procesos es autosuficiente ni integral. Incluso si no se encuentran fallas en los datos, no se puede concluir que los controles sean a prueba de fallas. Además, incluso si se implementan controles, no se puede asumir la integridad de los datos. Sin embargo, cuando se combinan, estos enfoques de monitoreo presentan una imagen de dependencia más completa.
Monitoreo y evaluación continuos de riesgos
El monitoreo y la evaluación continuos de riesgos se utilizan para medir dinámicamente el riesgo y proporcionar información para la planificación de la auditoría. CRMA es un enfoque de evaluación de riesgos integrado en tiempo real, que agrega datos a través de diferentes tareas funcionales en las organizaciones para evaluar las exposiciones al riesgo y proporcionar una seguridad razonable sobre las evaluaciones de riesgo de las empresas.
Registro de caja negra
Además de los tres componentes antes mencionados, el archivo de registro de auditoría de caja negra también es una parte importante de la auditoría continua. Este archivo puede verse como una extensión de la práctica existente de documentar las actividades de auditoría en documentos de trabajo manuales o automatizados. Un archivo de registro de caja negra es un registro de solo lectura controlado por terceros de las acciones de los auditores. El objetivo del registro de caja negra es proteger un sistema de auditoría continuo contra las manipulaciones del auditor y la administración. [4]
Informes continuos
Los informes continuos son la publicación de información financiera y no financiera en tiempo real o casi en tiempo real. El propósito de los informes continuos es permitir que las partes externas accedan a la información a medida que ocurren los eventos subyacentes, en lugar de esperar los informes de final de período. La adopción de XBRL por parte de las empresas hace que la publicación de información de informes continuos sea más factible. Los informes continuos también benefician a los usuarios en virtud de la divulgación justa de la normativa . La información continua es un punto de constante debate. Algunas partes, incluidos analistas e inversores, están interesadas en saber cómo le está yendo a una empresa en un momento determinado. Argumentan que la información casi en tiempo real les proporcionaría la capacidad de aprovechar los movimientos comerciales importantes a medida que ocurren. Sin embargo, los oponentes se muestran escépticos sobre cómo la información en bruto puede ser útil y temen la sobrecarga de información , o que haya demasiada información irrelevante por ahí. Además, algunas empresas temen que la información financiera reportada de forma continua revele importantes movimientos estratégicos y socave la ventaja competitiva.
Implementación
Generalmente, la implementación de la auditoría continua consta de seis pasos de procedimiento, que generalmente son administrados por un gerente de auditoría continua. Conocer estos pasos permitirá a los auditores monitorear mejor el proceso de auditoría continua y brindar recomendaciones para su mejora, si es necesario. [5] Estos pasos incluyen:
- Establecimiento de áreas prioritarias.
Esto implica elegir qué áreas organizacionales auditar. Al realizar las acciones enumeradas anteriormente, los auditores deben considerar los objetivos clave de cada procedimiento de auditoría. Los objetivos se pueden clasificar en uno de cuatro tipos: detectives, disuasorios (también conocidos como preventivos), financieros y de cumplimiento. Un área de prioridad de auditoría en particular puede satisfacer cualquiera de estos cuatro objetivos.
- Identificación de reglas de seguimiento y auditoría continua.
El segundo paso consiste en determinar las reglas o análisis que guiarán la actividad de auditoría continua, que deben programarse, repetirse con frecuencia y reconfigurarse cuando sea necesario. Además, las reglas de seguimiento y auditoría deben tener en cuenta los aspectos legales y ambientales, así como los objetivos del proceso en particular.
- Determinación de la frecuencia del proceso.
La auditoría continua no necesita ser literalmente continua. Los auditores deben considerar el ritmo natural del proceso que se audita, incluido el tiempo de los procesos informáticos y comerciales, así como el tiempo y la disponibilidad de auditores capacitados o con experiencia en auditoría continua.
- Configuración de parámetros de auditoría continua.
Las reglas utilizadas en cada área de auditoría deben configurarse antes de que se implemente el procedimiento de auditoría continua (CAP). Además, es posible que sea necesario cambiar la frecuencia de cada parámetro después de su configuración inicial en función de los cambios derivados de la actividad que se audita. Al definir un CAP, los auditores deben considerar los costos y beneficios de la detección de errores, así como las actividades de seguimiento de la auditoría y la gestión.
- Siguiendo.
Otro tipo de parámetro se relaciona con el tratamiento de alarmas y errores detectados. Preguntas tales como quién recibirá la alarma (por ejemplo, gerentes de línea, auditores internos o ambos; por lo general, la alarma se envía al gerente de proceso, al supervisor inmediato del gerente o al auditor a cargo de ese CAP) y cuándo se realiza el seguimiento. La actividad debe completarse, debe abordarse al establecer el proceso de auditoría continua.
- Comunicando resultados.
Un último elemento a considerar es cómo comunicarse con los auditados. Al informar a los auditados de los resultados continuos de la actividad de auditoría, es importante que el intercambio sea independiente y coherente.
Demanda
La demanda de auditoría continua proviene de una variedad de fuentes, principalmente requisitos impulsados por el usuario. La divulgación externa, los impulsores internos, las leyes y regulaciones, y la tecnología juegan un papel importante en el aumento de la demanda.
Divulgación externa
La divulgación más frecuente determinará la naturaleza del proceso de auditoría. Este aumento mejora la calidad de las ganancias al tiempo que reduce la agresividad de los administradores y disminuye la volatilidad del mercado de valores. [6]
Controladores internos
A medida que las empresas se han integrado más dentro de sus propios departamentos y con otras empresas, como proveedores y minoristas, el deseo de integridad de los datos en todo el proceso de intercambio electrónico de datos también está impulsando la demanda de auditorías continuas. [7] [8]
Leyes y regulación
Las leyes y los reglamentos requieren actividades y formas de seguir una empresa para lograr un objetivo específico que se debe monitorear. En virtud de dichas leyes y regulaciones, la empresa comenzó a realizar auditorías continuas.
Tecnología
XBRL
XBRL facilita el desarrollo de módulos de auditoría continua al proporcionar una forma para que los sistemas comprendan el significado de los datos etiquetados. El uso adecuado de XBRL asegura que los datos relevantes recopilados de múltiples fuentes sean fácilmente comparables y analizables. XBRL es un derivado del formato de archivo XML , que etiqueta datos con información contextual y jerárquica. Se espera que muchos sistemas de planificación de recursos empresariales proporcionen datos en formato XBRL-GL para facilitar la lectura por máquina.
Seguridad
Debido a la naturaleza de la información que pasa a través de los sistemas de auditoría continua, también se están abordando los problemas de seguridad y privacidad. Las técnicas de garantía de datos, así como los mecanismos y políticas de control de acceso, se están implementando en los sistemas de CA para evitar el acceso y la manipulación no autorizados, y CCM puede ayudar a probar estos controles.
Desafíos
Para muchas organizaciones, existen varios desafíos para implementar un enfoque de auditoría continua. Los siguientes son algunos desafíos comunes con recomendaciones asociadas. [9]
Acceso a un entorno de sistema complejo y diverso
Pocas organizaciones tienen un entorno de sistema completamente homogéneo y sin fisuras. Por lo general, existe una combinación de ERP o varias instancias de un ERP, sistemas de mainframe, aplicaciones estándar y sistemas heredados, todos los cuales pueden contener datos valiosos. La tecnología está disponible para acceder a todos estos datos y obtener una imagen completa.
Renuencia a expandir el uso de la tecnología
La tecnología puede verse como una amenaza para quienes perciben que la automatización podría reemplazar los trabajos. Un beneficio de la auditoría continua es que realiza tareas rutinarias y repetitivas y brinda la oportunidad para el trabajo exploratorio más interesante que agrega mucho más valor a la organización.
Resultados abrumadores
Cuando no se implementa correctamente, la auditoría continua puede resultar en cientos, incluso miles, de falsos positivos y esfuerzo inútil. Muchas empresas que han tenido éxito con la auditoría continua recomiendan que comience con algo pequeño. Seleccione qué área de la empresa presenta el mayor riesgo y dónde sus transacciones y sistemas de control son más importantes para la empresa para su incursión inicial en la auditoría continua. Automatice una pequeña cantidad de pruebas iniciales clave, como comparar el archivo maestro de proveedores de cuentas por pagar con el archivo de direcciones de empleados, para descubrir posibles infracciones de políticas o fraudes. En el futuro, aumente las pruebas y amplíe gradualmente a otros procesos comerciales por etapas.
Capacitación
El entrenamiento es fundamental para obtener resultados óptimos. Varias instituciones, incluida ACL Services Ltd., ofrecen capacitación en técnicas de auditoría asistida por computadora, incluida la auditoría continua a través de la automatización. La formación puede realizarse in situ o de forma remota, según las necesidades de las empresas.
Comparación con la auditoría asistida por computadora
La auditoría continua a menudo se confunde con la auditoría asistida por computadora . Sin embargo, el propósito y el alcance de las dos técnicas son bastante diferentes. La auditoría asistida por computadora emplea tecnología de usuario final que incluye software de hoja de cálculo, como Microsoft Excel, para permitir que los auditores tradicionales realicen análisis específicos de auditoría mientras realizan la auditoría periódica. La auditoría continua, por otro lado, implica herramientas analíticas avanzadas que automatizan la mayor parte del plan de auditoría. Cuando los auditores extraen datos manualmente y ejecutan sus propios análisis en la auditoría asistida por computadora durante el curso de su auditoría tradicional, los servidores de alta potencia extraen y analizan automáticamente los datos a intervalos específicos como parte de la auditoría continua.
Ver también
Referencias
- ^ Vasarhelyi, Miklos y David Y. Chan. "Innovación y Práctica de la Auditoría Continua" Revista Internacional de Sistemas de Información Contable. (Número especial sobre métodos de investigación) 12, (2011) 152-160.
- ^ Vasarhelyi, MA y Halper, FB, 1991, La auditoría continua de sistemas en línea, Auditoría: una revista de práctica y teoría, 10 (1), 110-125.
- ^ Vasarhelyi, Miklos. "La era venidera de la seguridad continua". Perspectivas. Melbourne Business and Economics. Abril de 2011. 23-30.
- ^ Alles, Michael, Alexander Kogan y Miklos Vasarhelyi. "Registro de caja negra y monitoreo terciario de sistemas de aseguramiento continuo". Revista de control de sistemas de información 1. (2003): 37-39.
- ^ Vasarhelyi, Miklos, Carlos Elder Maciel De Aquino, Nilton Sigolo y Washington Lopes Da Silva. "Seis pasos para un proceso de auditoría continuo eficaz". The Tech Forum, Instituto de Auditores Internos. Julio de 2008.
- ^ Hunton, J., A. Wright y S. Wright. 2002. Evaluación del impacto de la presentación de informes de estados financieros externos más frecuentes y la garantía del auditor independiente sobre la calidad de las ganancias y los efectos del mercado de valores. Documento de trabajo presentado en el Quinto Simposio de Auditoría Continua.
- ^ Van Decker, J., 2004, The Need for Continuous Controls Monitoring, disponible en línea, Delta 2951: METAgroup, http://www.metagroup.com/webhost/ONLINE/739743/d2951.htm .
- ^ Vasarhelyi, MA, Alles, M. y Kogan, A., 2004, Principios de monitoreo analítico para aseguramiento continuo, Revista de tecnologías emergentes en contabilidad, 1 (1), 1-21.
- ^ ACL: "Copia archivada" (PDF) . Archivado desde el original (PDF) el 25 de mayo de 2010 . Consultado el 18 de enero de 2013 .CS1 maint: copia archivada como título ( enlace )
enlaces externos
- Web de contabilidad de Rutgers
- Estudio comparativo de auditoría de TI de 2009 (Instituto de Auditores Internos)
- Patente 7,676,427 de la Oficina de Marcas y Patentes de los Estados Unidos Sistema y método de garantía continua
- CICA / AICPA. 1999. Auditoría continua. Informe de investigación, Toronto, Canadá: Instituto Canadiense de Contadores Públicos
- ISACA
- IIA GTAG # 3