Auditoría de monitoreo continuo de las operaciones

 

Introducción y aspectos generales

 

A medida que pasa el tiempo, las organizaciones, principalmente las de gran tamaño, se apoyan, cada vez más, en las tecnologías de información para realizar y controlar sus operaciones.

 

Los sistemas de información utilizados pueden ser simples o complejos, dependiendo de varios factores como: la cantidad de operaciones, el tamaño de la empresa, la dispersión geográfica de los centros de trabajo que la conforman, etc. En este sentido, conviene señalar que la mayoría de los sistemas y el software que existe en la actualidad tienen una arquitectura basada en el concepto ERP (Enterprise Resource Planning, Planeación de Recursos Empresariales), SCM (Supply Chain Management, Administración de la Cadena de Abastecimiento), CRM (Customer Relationship Management, Administración de Relaciones con los Clientes) y BI (Business Intelligence, Inteligencia de Negocios), cada una tiene una serie de módulos, cuyas operaciones son registradas en una base de datos central, a la cual se accede por medio de una red, desde lugares remotos, independientemente del lugar donde operen; todo lo anterior, bajo la denominación genérica de e-Business. Algunos de los módulos son los de recursos humanos, adquisiciones, almacenes, tesorería, ventas, proyectos de inversión, presupuesto y contabilidad.

 

Ante este entorno, los auditores no pueden ser ajenos a la evolución tecnológica y, por lo tanto, tienen que crear esquemas o mecanismos de auditoría de acuerdo con las circunstancias y apoyarse con estos medios. Por ello, las áreas de auditoría están incorporando auditores especializados en tecnologías de información, quienes, además de revisar aspectos técnicos como los procedimientos y desempeño de los centros de cómputo, seguridad de la información y desarrollo de sistemas —entre otros—, participan en las revisiones de las operaciones del negocio y en el desarrollo de monitoreos junto con otros auditores, apoyándolos de manera alternativa, así como en la construcción de sistemas especializados para responder a las necesidades de administración de la propia área y de la ejecución del proceso de auditoría interna.

 

En la actualidad, se cuenta con una gran variedad de software, tanto para la administración del área de auditoría como para la extracción y análisis de datos, monitoreo continuo de las operaciones, administración de riesgos, de cumplimiento con la Ley Sarbanes-Oxley (SOX), etc. Al contar con esta gama de herramientas, el departamento de auditoría cuenta con la flexibilidad necesaria para aplicar la mejor tecnología a cada tarea específica, dependiendo también de diversos factores y de la complejidad, objetivos, alcances y tareas a lograr por cada revisión.

 

Algunos de los puntos básicos que consumen una considerable cantidad de tiempo del grupo de auditores son, precisamente, los relacionados con la revisión de los aspectos normativos, los cuales presentan una gran oportunidad para incrementar la productividad en la auditoría, ya que pueden automatizarse. Esto permite a los auditores dedicar mayor tiempo a otros aspectos que deben generar propuestas de alto valor.

 

En este sentido, los auditores pueden utilizar software especializado sistemas con el propósito de analizarla y verificarla, principalmente, en cuanto al cumplimiento normativo. De hecho, este enfoque es considerado una mejor práctica por The Institute of Internal Auditors (IIA), organización que cada año realiza una encuesta sobre el uso de este tipo de herramientas, la que refleja un importante incremento en su uso.

 

Por otra parte, la Ley SOX que regula a las empresas que cotizan en la Bolsa de Valores de los Estados Unidos de Norteamérica, y las obliga a contar con sistemas de control interno robustos, ha propiciado que muchas de éstas opten por implementar controles internos basados en el Modelo COSO, mismo que considera dentro de los elementos de control a los procesos de autoevaluación o CRSA (Control Risk Self Assessment), dentro del que incluimos al monitoreo, el cual se puede llevar a cabo mediante el diseño y uso de procedimientos automatizados. En consecuencia, el desarrollo de este concepto ha traído grandes beneficios en los últimos años, tanto a las áreas operativas, como a la propia área de auditoría, por lo que consideramos importante compartir estas experiencias.

 

La auditoría de monitoreo continuo está compuesta de procedimientos de auditoría automatizados, diseñados para recabar información en línea directamente de las bases de datos de los sistemas de información, con el propósito de evaluar las operaciones de la organización y el grado de  cumplimiento de la normatividad externa e interna.

 

Su implementación consiste en la evaluación del control interno de las operaciones para identificar riesgos, y con base en estos, diseñar los procedimientos automatizados de auditoría, que permitan formular propuestas para administrar estos riesgos y realizar revisiones periódicas a estas operaciones, para vigilar su cumplimiento tanto por la misma área como por auditoría interna.

A juicio del auditor en TI se seleccionan las herramientas que mejor se adapten al tipo de sistema que se va a auditar.

 

A continuación se presenta el funcionamiento conceptual de este tipo de auditorías (gráfica 1).

 

Como se aprecia en la imagen anterior, existen dos grandes ramas de auditoría de monitoreo continuo. La primera, A basada en la aplicación de procedimientos automatizados que permiten identificar desviaciones o incumplimiento normativo, cuyo enfoque es preventivo y puede aplicarse de forma permanente o periódica. La segunda, B permite dirigir o focalizar las revisiones a un determinado tipo de operaciones con el propósito de obtener y analizar la tendencia y comportamiento de ciertas operaciones con alto riesgo que se comentan más adelante.

 

Desarrollo del monitoreo

 

La gráfica 2 presenta los elementos y las actividades a realizar para desarrollar el esquema de monitoreo continuo.

Para iniciar los trabajos se debe contar con auditores de perfil informático y experiencia en el proceso a revisar, así como una capacitación continua sobre herramientas y lenguajes informáticos, ya que, por lo general, es necesario conectarse a las bases de datos que contiene la información a revisar. Asimismo, se requieren auditores financieros u operacionales de preferencia con la especialidad de los procesos a revisar, para dirigir y explotar al máximo la información.

 

Adicionalmente, se necesita acceso a la red, licencias de software y claves de usuario con permisos de consulta a los sistemas. Lo anterior, permite mantener independencia del área de auditoría, respecto de las áreas usuarias e informáticas, al tener acceso directo a los lugares donde se almacena la información. Una vez satisfechas estas condiciones, se deben realizar las actividades siguientes:

 

Análisis del proceso seleccionado e identificación de riesgos.

 

Es importante evaluar y conocer el proceso para identificar los riesgos y los puntos de control que los mitiguen. Asimismo, la normatividad que regula el proceso para ser incluida en el análisis realizado, ya que contiene las condiciones a las que se apega el proceso y las desviaciones que pueden convertirse en excepciones, debilidades o deficiencias de control.

Definición y diseño de monitoreo.

Una vez identificados los riesgos, se puede realizar el modelo conceptual del monitoreo, a partir de las debilidades identificadas y contemplando los controles existentes en el proceso.

 

Posteriormente, se diseña el monitoreo en sí, analizando el procesamiento y la arquitectura de la información, así como el registro informático de las operaciones. A partir de todo lo anterior, se desarrollan los procedimientos automatizados, determinando las consultas a realizar y los parámetros a cumplir.

 

Obtención de herramientas informáticas. Una vez concluido el diseño, se puede identificar la herramienta a utilizar de manera individual o combinada. A continuación se mencionan algunas:

 

—Paquetes de auditoría (ACL, IDEA Fastsearch, etcétera).

—Módulo de auditoría de SAP (AIS).

—Herramientas de extracción y análisis de información

(Business Objects, Access, etcétera).

—Paquetería genérica (Microsoft Office).

—Utilerías de bases de datos (Oracle, SQL Server, etcétera).

—Lenguajes de programación (C++, ABAP de SAP, Visual

Basic, etcétera).

 

Desarrollo de aplicaciones. Una vez seleccionadas las herramientas y diseñado el monitoreo, se procede a construir la aplicación y crear los procedimientos automatizados de auditoría, realizando las pruebas sistémicas correspondientes.

 

Liberación del monitoreo. Al concluir el desarrollo, se deben realizar las pruebas operativas necesarias a los procedimientos creados, con la finalidad de verificar la oportunidad y la operación, adecuarlas según sea el caso y capacitar al personal sobre la operación de la solución  desarrollada.

 

Puesta en producción. Finalmente, los procedimientos se ponen a disposición de las áreas operativas y de los auditores para que los utilicen en el desarrollo continuo de sus revisiones.

 

Procedimiento general para la ejecución de auditorías de monitoreo

 

Una vez liberado el sistema de monitoreo, se realizan revisiones periódicas sobre la información de los sistemas, desarrollando las siguientes actividades:

 

Ejecución de procedimientos automatizados de monitoreo sobre la totalidad de las operaciones. Esta actividad es utilizada, principalmente, para obtener la información del universo y poder detectar posibles desviaciones o indicios de deficiencias de control de acuerdo a los monitoreos realizados.

 

Determinación del alcance de la auditoría. Una vez definido el universo, se seleccionan las operaciones o las condiciones de los registros a las que se les darán énfasis durante la revisión. Lo anterior con la finalidad de acotar las transacciones a revisar y cumplir con los objetivos y alcances planteados en la auditoría.

 

Obtención de reportes de cumplimiento normativo o desempeño de las operaciones.Esto se refiere a la obtención de la información a evaluar para verificar el cumplimiento normativo o el correcto desempeño de las actividades por parte de las áreas operativas.

 

Análisis de los reportes e investigación de causas. Se documenta y se integra el análisis de los componentes del problema hasta determinar la causa que originó la desviación, para lo cual es necesario definir el problema, determinar el impacto, la evidencia y, con base en la causa, determinar la recomendación que elimine la causa y nos ayude a eliminar o administrar el riesgo y, por consiguiente, a acabar con el problema. Si las desviaciones detectadas no fueron corregidas

durante la auditoría, se formalizan las recomendaciones correspondientes.

 

Seguimiento de las acciones de corrección, prevención y mejora. Se ejecutan los procedimientos automatizados para verificar que se hayan realizado las correcciones necesarias en los controles y que los errores detectados sean subsanados.

 

La aplicación de estos procedimientos debe tener una periodicidad determinada, principalmente por la naturaleza y riesgos de las operaciones revisadas, misma que puede ser establecida por el historial de hallazgos y las tendencias que han presentado estas operaciones.

 

Algunos ejemplos de las transacciones que son susceptibles de verificar por este método, las cuales dependen de las operaciones de cada negocio, pueden ser:

 

Nóminas y recursos humanos. Cálculo de la nómina y descuentos al personal, su registro contable y depósito bancario en cada una de las cuentas de los empleados; número de jornadas laboradas y pagadas; tiempo extra; préstamos y su recuperación; viáticos, personal en nómina, controles de asistencia, jubilaciones, liquidaciones, y otros conceptos.

 

Adquisiciones e Inventarios. Disponibilidad presupuestal; solicitudes de cotización enviadas y recibidas; tendencia de precios; adquisiciones por año, proveedor, grupo y tipo de compras y comprador; por tipo de compra, modificaciones a pedidos; anticipos, pagos, devoluciones, circulación de saldos, etcétera.

 

Almacenes. Recepción de bienes, de acuerdo con lo solicitado, movimientos de los bienes en el almacén, antigüedad del inventario, identificación de bienes de lento movimiento y situación de las mercancías en tránsito, etcétera.

 

Contabilidad y Finanzas. Desviaciones en la aplicación contable; comparación de importe entre montos contratados y pagados; transferencias y posiciones de caja; conciliaciones bancarias, validación del cálculo de la depreciación y amortizaciones, ministración de fondos, control de inversiones y rendimientos por instrumento financiero, etcétera.

 

Beneficios

 

Identificación de riesgos. Diagnóstico oportuno del riesgo a que están sujetas las operaciones de la organización, ya que se analiza el proceso y la normatividad correspondiente.

 

Cobertura total del universo a revisar y en menor tiempo. Es posible revisar todas las transacciones realizadas, directamente, en los registros del sistema, lo cual se ejecuta rápido y se obtienen reportes de excepciones para su análisis.

 

Efecto disuasivo al tener presencia vía electrónica en las áreas de registro de los centros de trabajo. Derivado de la oportunidad creada al revisar la mayor cantidad de transacciones y el tiempo reducido, se actúa rápido para solucionar la desviación. Los usuarios, al percatarse de esta situación, ponen más atención a las labores que realizan. En el caso de la Banca existen desarrollos que reportan excepciones en línea al momento que se generaba en cualquier área ó sucursal, proporcionando alertas para su atención inmediata; por ejemplo, préstamos, cambios de moneda por arriba de los límites permitidos, etcétera.

 

Enfoque de procesos. Permite revisar las operaciones desde su inicio hasta su conclusión, privilegiando el cumplimiento normativo y validando la efectividad y eficacia del proceso.

 

Mayor oportunidad y credibilidad en la detección de posibles desviaciones, abandonando en lo posible el muestreo. Este esquema permite evaluar, de modo rápido, el universo y enfocarse a las desviaciones, lo cual hace que disminuya la utilización del muestreo estadístico como base de la revisión y para la elaboración de conclusiones.

 

Incrementa la independencia del auditor respecto de las áreas, tanto informáticas como usuarias. Al tener acceso directo a la información, los auditores no tienen que esperar que las áreas usuarias o informáticas la envíen.

 

Mayor seguridad, precisión y objetividad en los resultados. Debido a que los procedimientos son automatizados garantizan que los resultados mostrados son los registrados en el sistema auditado.

 

Proporciona información para la ejecución de auditorias especificas. Mediante este esquema se puede dirigir la selección de la información por alguna característica en particular.

 

Valor agregado a las revisiones y a la función. Los hallazgos y la precisión que se puede tener de las desviaciones, permiten que la función de auditoría agregue mayor valor, mediante una mejor determinación de las causas que las originaron derivado del análisis del problema, según se comentó en párrafos anteriores.

 

El auditor deberá estar al tanto de los cambios que se realicen a los sistemas, para evitar que los procedimientos automatizados se vuelvan obsoletos, al perder la compatibilidad con las nuevas versiones de sistemas. En este caso, el auditor deberá participar en los grupos de trabajo que realicen las modificaciones a los sistemas, con el propósito de conocer los cambios a éstos y verificar en que grado afectan los controles establecidos originalmente y, si es necesario, proponer nuevos, así como modificar los procedimientos automatizados de auditoría.

 

Conclusión

 

Las áreas de auditoría deben enfatizar en evolucionar al mismo ritmo tecnológico que lo hacen sus empresas y continuar creando los esquemas y mecanismos necesarios con el apoyo de las tecnologías de información para mantener la independencia de las áreas usuarias e informáticas.

 

Para lograr lo antes descrito, el auditor, entre otras herramientas de apoyo, cuenta con el esquema de auditoría de monitoreo continuo de las operaciones, cuyo concepto puede aplicarse en cualquier organización, sin importar el tamaño de ésta o las tecnologías de información que utiliza.

 

Las grandes ventajas de este esquema son que se aplica con mayor oportunidad a todo un universo para determinar las excepciones a revisar, lo que redunda en un mejor análisis y en la eficacia y eficiencia del trabajo del auditor.

-----

Fuente:   http://www.contaduriapublica.org.mx/

-----

primi sui motori con e-max