Una Auditoría Cordial y Gentil

Lawrence De Berry, CPA, CISA, en la Revista “Internal Auditor” del The Institute of Internal Auditors (IIA) , propone cinco reglas que pueden ayudar a los auditores a lograr mayor efectividad en la presentación de sus informes de auditoría y a conseguir que sus recomendaciones sean consideradas e implementadas, para la consecución de resultados positivos.

REGLA 1: TRATE AL CLIENTE DE AUDITORÍA CON RESPETO

Incluso merecen ser tratadas con respeto aquellas personas que concienzuda y deliberadamente cometen infracciones. Los auditores que siguen esta primera regla se aseguran así de que sus clientes estén preparados para recibir el informe de auditoría, comparten los resultados con sus clientes en la medida en que el trabajo avanza y discuten asuntos que pueden representar debilidades de control o ineficiencias, de forma directa, con los responsables de las áreas involucradas. Antes de la emisión de sus informes, este tipo de auditores, tienen la oportunidad de conocer si el cliente está de acuerdo con los hallazgos y reciben de ellos sus opiniones con relación a la forma de mitigar los riesgos de control o de crear procesos más efectivos.

REGLA 2: DELE A SUS CLIENTES EL BENEFICIO DE LA DUDA

El auditor debe saber darles crédito a sus clientes sobre el trabajo que realizan, conforme a lo que ellos consideran que es correcto, aun cuando sus acciones eventualmente puedan resultar inapropiadas o equivocadas. Este tipo de reconocimiento puede ayudar a desarmar a los clientes, propiciando las condiciones para una retroalimentación más constructiva. Así, cuando se realicen posteriormente las actividades de seguimiento y se requiera la opinión de ese mismo cliente para que le facilite soluciones prácticas, éste estará más inclinado a sentirse parte de la solución, siendo más probable que implemente los cambios recomendados. Los clientes tienen una mayor tendencia a compenetrarse con los procesos que desempeñan y, a identificarse con las recomendaciones propuestas cuando sus opiniones han sido solicitadas.

REGLA 3: ESCOJA SUS BATALLAS CUIDADOSAMENTE

Cuando los auditores encuentran una debilidad significativa sobre efectividad o eficiencia, éstos deben convencer y llegar a un acuerdo con aquellos responsables de implementar los cambios recomendados. Si los auditores no llegan a un acuerdo con el cliente, es probable que sientan la necesidad de imponer sus opiniones. En estos casos, el uso de la agresividad puede traer consigo dos posibles resultados: 1. El auditor no logra nada, debido a que el cliente tiene mayor credibilidad en su propio juicio que en el del auditor; resultando que, a partir de ese momento, los clientes muestren menos voluntad para cooperar con los auditores, un efecto que puede propagarse a otras áreas de la empresa. 2. El auditor gana la batalla pero pierden la guerra. La aplicación obligada de cambios y recomendaciones propuestas crea un ambiente hostil hacia todos los miembros del equipo de auditoría interna. Los clientes buscarán la forma de probar que los cambios son innecesarios, inviables y contraproducentes, con una gran probabilidad de que vuelvan a sus antiguos procedimientos y métodos de trabajo. Para evitar conflictos innecesarios los auditores internos deben escoger sus batallas cuidadosamente, por lo que deben persuadir a sus clientes para que reconozcan la importancia de resolver los problemas que son identificados.

REGLA 4: ACENTÚE LO POSITIVO

Los auditores  deben estar conscientes sobre la necesidad de mantener un enfoque positivo en el proceso de comunicación de los hallazgos. Asimismo, deben estar en capacidad de comunicar los resultados y las recomendaciones, sin utilizar un lenguaje negativo o acusatorio. Por otro lado, deben evitar la tentación de utilizar un tono subjetivo de corte editorial, manteniendo la objetividad y el profesionalismo en su trabajo. Asegurándose de darle crédito a sus clientes para obtener acuerdos positivos, en lugar de simplemente discutir problemas y debilidades. Un enfoque y lenguaje positivos promueven el dialogo entre las personas; mientras que un enfoque negativo usualmente resulta en murallas que son levantadas para mantener a los auditores internos y a sus nuevas ideas a distancia.

REGLA 5: SEA INFORMATIVO

Para garantizar que los clientes leen y comprenden los informes, los auditores deben prestar atención en lo esencial de su contenido y estructura. Los asuntos que son reportables en el informe, requieren ser suficientemente desarrollados y presentados en una forma convincente. Para asegurar que las observaciones sean informativas y útiles, De Berry propone cinco elementos:

· El criterio: son las normas y principios que llevan al auditor a considerar que un problema o debilidad de control puede existir.

· La condición: explica lo que está ocurriendo (por ejemplo: el estado actual de un proceso), enfocándose únicamente en los hechos.
· La causa: ayuda a explicar la desviación del criterio y el por qué las desviaciones existen.
· El efecto: responde la pregunta ¿Qué impacto tiene?. Sin un efecto convincente, no se podrá afirmar la existencia de una desviación y por lo tanto no se tendrá una observación de auditoría válida.

· La recomendación: describe la acción que deberá considerar la gerencia. Se debe proponer una solución a la condición, sobre la cual las partes involucradas se muestren dispuestas a cumplir y aplicar.

Los auditores además deberán considerar un sexto elemento no mencionado: la respuesta. Las respuestas le proporcionan a la gerencia una oportunidad de aportar su opinión sobre los hallazgos de auditoría señalados en el informe.

AGENTES DE CAMBIO POSITIVOS

Cuando realizan su trabajo, los auditores necesitan recordar que ellos son parte del equipo de la organización, por lo que se debe enfocar cada trabajo de auditoría con una mentalidad cooperativa. Para obtener óptimos resultados, los auditores deben conducirse de una forma tal que los clientes puedan verlos como asesores de confianza. Como agentes de cambio positivos, los auditores deben convertirse en compañeros valiosos – no en personas ajenas a la organización, que hacen que otros se pongan a la defensiva y se resistan a los cambios constructivos. Después de todo, el éxito de los informes de auditoría está determinado en gran medida por la actitud y la manera en que los auditores internos llevan a cabo sus funciones.

Por Lawrence De Berry, CPA, CISA

Fuente :Revista “Internal Auditor” (Octubre) del The Institute of Internal Auditors (IIA)

"El Risk Control Self Assessment (RCSA)- El control de riesgos Autoevaluación: Una combinación de técnicas de evaluación de riesgos del ISO 31010 "

Para los que utilizamos en nuestro trabajo la herramienta del Control Self Assessment (CSA) y el Risk Control Self Assessment (RCSA), no debemos dejar pasar la oportunidad para resaltar la similitud que existen con algunas de las técnicas de evaluación de riesgos señaladas en el ISO 31010.

¿Qué es en esencia el CSA y RCSA?

Es el resultado de una serie de actividades informales orientadas a extraer una opinión por consenso sobre la marcha de los controles y riesgos respectivamente. Una característica básica es que se obtiene opinión de un grupo representativo mediante sesiones, entrevistas o cuestionarios de manera anónima. Sus resultados constituyen actividades a enmendar a la brevedad a iniciativa de los interesados.

Si quisiéramos descomponer la práctica del CSA y RCSA y hallar qué tipo de técnicas de evaluación de riesgos ISO 31010 se asemejan, no cabe duda que sería la combinación de muchas de ellas, entre las cuales están: Lluvia de ideas, entrevista estructuradas o semi-estructuradas, técnica delphi, técnica estructurada “what-if”, evaluación de la fiabilidad humana, análisis de impacto de negocio, análisis de árbol de defectos, análisis de causa – efecto, entre otras.

Es reconfortante y hasta halagador reconocer que quienes dieron origen a las herramientas del CSA y RCSA, no hicieron más adelantarse en sintetizar y dar uso práctico a muchas de estas técnicas de evaluación de riesgos seleccionadas por el ISO 31010, algunas de ellas bastante habituales.

ParteTexto en linea ®. All Rights Reserved para:

Alberto Villanueva Chang

CINCO SEÑALES SOBRE FALLAS EN LA PREPARACIÓN DEL PLAN DE AUDITORÍA

Bruce McCuaig, refiere en su artículo "5 Signs that your audit planning aproach is failing" algunas interesantes preguntas: ¿Cuál es la diferencia entre un Plan de Auditorías y una Lista de Auditorías?, ¿Puede responder a la pregunta sobre por qué los auditores están aquí?, ¿Son excesivos los requerimientos especiales?, ¿Puede explicarse lo que no está en el plan anual de auditorías?, ¿Se han consultado las evaluaciones de riesgo de la Gerencia?, ¿Provee el Plan de Auditorías una base suficiente para formularse una amplia opinión sobre toda organización?...

Según el autor, una manera de iniciar la planificación del año siguiente es evaluando el plan actual y el anterior, e incluyendo en la discusión a los Gerentes para lograr una mayor comprensión de los asuntos que ellos enfrentan (sus necesidades) y la identificación del modo en que la actividad de auditoría puede añadir valor. Por lo que importa definir donde y qué debe ser auditado, cuáles servicios específicos de aseguramiento se deben proporcionar y cuando, así como qué valor añadirá la actividad de auditoría a la organización. Por otra parte, sobre los requerimientos especiales se señala que la utilización de recursos de auditoría, más allá del 10%, para atender tales requerimientos especiales, puede ser evidencia de fallas en el proceso de planificación. Sobre este aspecto, es importante destacar la necesidad de facilitar a la Gerencia la comprensión de las implicaciones y consecuencias que, eventualmente, puede traer consigo el hacer cambios para la satisfacción de requerimientos especiales.

Asimismo, McCuaig considera que en la mayoría de los casos, la cobertura anual de auditoría no debería exceder el 5% de los asuntos posibles de aseguramiento existentes en el universo, por lo que antes que determinar lo que debe ser auditado, puede resultar más relevante decidir qué debe dejarse por fuera del plan. Con relación a las evaluaciones de riesgo de la Gerencia, menciona que una alternativa es considerar como estrategia de aseguramiento por parte de auditoría la inclusión de las revisiones de tales evaluaciones, con el propósito de determinar el grado de confiabilidad, lo cual implica practicar un proceso de verificación bastante distinto al de una auditoría regular, como uno de los criterios a emplear en el proceso de planificación de auditorías.

El plan de auditorías deberá estar diseñado para reunir la evidencia que permita soportar una opinión sobre la eficacia del control interno, por lo que es recomendable al diseñar la planificación que cada auditoría deba ser seleccionada, en parte, considerando cómo ésta contribuirá a nivel macro.

La diferencia entre una un plan de auditorías y una lista de auditorías, radica en que un plan de auditorías debe ser cuidadosamente diseñado para asegurar que los accionistas o miembros del Consejo o Directorio, dispongan continuamente de información confiable sobre el grado de adecuación de los procesos de gestión de riesgos, control y gobierno a los Estándares Internacionales para la Práctica Profesional de Auditoría, y sobre la capacidad de la unidad de auditoría interna para añadir valor. Por todo lo anterior, McCuaig considera importante que los equipos de auditoría se tomen el tiempo necesario para la revisión del proceso de planificación, toda vez que dicha revisión puede marcar la verdadera diferencia entre una unidad de auditoría interna promedio y una sobresaliente.

Fragmento texto ®. All Rights Reserved por:

Bruce McCuaig

"Escepticismo Profesional. En una auditoría de estados financieros"

El escepticismo profesional es fundamental para mantener una actitud objetiva e independiente, que permita al auditor adoptar un enfoque de indagación, al probar, corroborar y evaluar la información, y llegar a conclusiones. En este sentido, el escepticismo profesional está directamente vinculado con los principios éticos de la objetividad e independencia del auditor. La independencia del auditor incrementa su capacidad para actuar con integridad, objetividad y con una actitud de “alerta”.

El escepticismo profesional también incluye una evaluación crítica de la evidencia de auditoría, que comprende la información que sustenta y corrobora las aseveraciones hechas por la Administración, así como aquella información que las contradiga. Esto significa cuestionar y considerar la suficiencia y competencia de la evidencia de auditoría obtenida en relación con las circunstancias.
Por supuesto, los aspectos de dificultad, tiempo o costo involucrado, no son justificación válida para que el auditor omita algún procedimiento de auditoría, para el que no haya otra alternativa o para que esté satisfecho con evidencia de auditoría que sea menos contundente para soportar sus conclusiones.

¿Por qué es importante el escepticismo profesional?

El escepticismo profesional desempeña una parte integral del conjunto de habilidades del auditor y está estrechamente relacionado con el juicio profesional. Ambos son esenciales para desempeñar una auditoría independiente y son elementos clave que contribuyen a la calidad de la auditoría.

El escepticismo profesional facilita el ejercicio de un adecuado juicio profesional del auditor, especialmente sobre decisiones, respecto a, por ejemplo:
La naturaleza, la oportunidad y el alcance de los procedimientos de auditoría a realizarse.

• La evaluación sobre si se ha obtenido evidencia de auditoría suficiente y competente, o bien, si se requiere hacer trabajo adicional para cubrir adecuadamente los objetivos de las NIA.
• La evaluación de los juicios de la Administración en la aplicación de las NIF aplicables, para la emisión de información financiera.
• Las conclusiones basadas en la evidencia de auditoría obtenida; por ejemplo, al evaluar la razonabilidad de las estimaciones efectuadas y supuestos considerados por la Administración, en la preparación de los estados financieros.

¿Cómo fortalecer el escepticismo profesional?
En el escepticismo profesional influyen ciertas características personales de comportamiento, como son la actitud y los valores éticos, además del nivel de competencia, es decir, los conocimientos del personal que participa en una auditoría, incluyendo su educación, capacitación y experiencia profesional.
En el escepticismo profesional dentro del equipo de trabajo influyen, tanto las acciones tomadas por los líderes del ambiente profesional en el que se desenvuelven (la firma de auditoría o el gobierno corporativo, en el caso de auditores internos); así como del líder de un proyecto de auditoría en específico.
A nivel firma de auditoría
El liderazgo de la firma de auditoría y los ejemplos que se establecen, influyen significativamente en la cultura interna. Por consiguiente, el “tono en los niveles superiores” y la continua reafirmación de la importancia del escepticismo profesional en los trabajos de auditoría, son influencias importantes en el comportamiento de los individuos.
Algunos ejemplos de actividades que permiten a las firmas de auditoría enfatizar las expectativas sobre la importancia del escepticismo profesional, son:

• Establecer políticas y procedimientos para promover una cultura interna que reconozca que la calidad es esencial en el desempeño de los trabajos.
• Promover una cultura interna orientada a la calidad, mediante acciones y mensajes consistentes y continuos a todos los niveles.
• Establecer políticas y procedimientos diseñados para proveer a la propia firma de auditoría, una certeza razonable de que tiene suficiente personal con la competencia, capacidad y compromiso a los principios éticos que se requieren.
• Desarrollar e implementar programas internos de capacitación y educación continua a todos los niveles. Cabe destacar que la competencia del personal depende, en gran medida, de un nivel adecuado desarrollo profesional continuo.

A nivel ejecución de un trabajo de auditoría
A nivel ejecución de un trabajo de auditoría se requiere que el líder del proyecto asuma la responsabilidad sobre la calidad de cada trabajo de auditoría que se le asigne. Sus acciones y mensajes a los demás miembros del equipo de trabajo, deben enfatizar que la calidad es esencial en el desempeño del trabajo, así como para la calidad de la propia auditoría.

¿Cómo fomentar la cultura del escepticismo profesional?
El escepticismo profesional, como muchas otras cosas en la vida, se fomenta con el ejemplo. Es importante que a cada nivel de la firma de auditoría, así como en los equipos de auditoría interna, se fomente una mentalidad escéptica en los individuos, que estén alertas y sean capaces de detectar cualquier situación de riesgo, de buscar motivos, pruebas y justificaciones; inconsistencias; crear explicaciones alternas; establecer vínculos y comprender los motivos y conductas de las personas y considerar la confiabilidad e independencia de las fuentes de información. Se requiere que despierten su curiosidad y den seguimiento a cualquier problema, hasta resolverlo.
En ocasiones, los equipos del cliente pueden influir de manera negativa en las conductas del auditor al pretender imponer fechas límite demasiado exigentes, proporcionando información a última hora o proporcionando respuestas confusas; sin embargo, la revisión oportuna y activa de los miembros del equipo con mayor experiencia, contribuye a reducir el impacto de estas presiones cuando se sienten con la confianza de manifestar, cuando no entienden algo y cuestionar al cliente si detectan inconsistencias.

¿Cómo evidenciar el escepticismo profesional?
El escepticismo profesional normalmente se demuestra en las diversas discusiones sostenidas por el auditor durante el transcurso de una auditoría.
No obstante, la documentación de auditoría continua siendo crítica para evidenciar el escepticismo profesional, toda vez que provee evidencia de que la auditoría se planeó y realizó de conformidad con las NIA y con los requerimientos legales y regulatorios aplicables, las NIA requieren que el auditor cuente con suficiente evidencia (documentación) de auditoría para que, otro auditor con experiencia, que no tenga relación previa con la auditoría, entienda las decisiones significativas tomadas sobre los asuntos significativos surgidos durante la auditoría, las conclusiones a que se llegó sobre estos y los juicios utilizados para llegar a dichas conclusiones.
Algunos ejemplos de circunstancias que son importantes documentar adecuadamente son:

• Las decisiones significativas tomadas durante la discusión entre los miembros del equipo de trabajo, respecto a la susceptibilidad de los estados financieros de la entidad a contener errores materiales debido a fraude y las comunicaciones sobre el fraude hechas a la Administración, a los encargados del gobierno corporativo, a los reguladores y otros.2
• Los casos identificados o que se sospechen de incumplimiento de leyes y regulaciones y los resultados de la discusión con la Administración y, en su caso, con los encargados del gobierno corporativo.3
• La base para las conclusiones del auditor sobre la razonabilidad de las estimaciones contables y revelaciones que den lugar a riesgos significativos, así como a cualquier indicador de posible sesgo por parte de la Administración.4
• La información inconsistente o incongruente identificada, sobre un asunto significativo, incluyendo cómo se cubrió dicha inconsistencia.5
• La base para las conclusiones del auditor sobre la razonabilidad de las áreas que involucren juicios subjetivos.
• La base para la conclusión del auditor, sobre la autenticidad de un documento cuando se emprende una investigación adicional (por ejemplo, el uso de procedimientos de confirmación) en respuesta a condiciones identificadas durante la auditoría que hicieron que el auditor considerará que el documento pueda no ser auténtico.6

En conclusión, dado que el escepticismo profesional es una actitud, un estado mental, resulta difícil que la documentación del auditor capte completamente cómo se aplicó el escepticismo profesional mediante la auditoría.
Aun cuando las NIA indican que no hay una sola forma de evidenciar el escepticismo profesional del auditor, la documentación de auditoría puede proveer evidencia del nivel de escepticismo profesional mostrado por el auditor, mediante las diferentes etapas de la auditoría, desde la documentación de:

• El proceso de evaluación de aceptación del cliente.
• La diligencia en la rotación del personal.
• Las consultas técnicas efectuadas a miembros de la propia firma o a externos, sobre asuntos significativos.
• El entrenamiento técnico y continuo recibido por los miembros del equipo de trabajo.
• Las entrevistas con los diversos funcionarios del cliente en las diferentes etapas de la auditoría, etcétera.

Si bien, la documentación de la auditoría no es estándar o rígida, sí es la esencia de la evidencia del trabajo del auditor.

1 Párrafo 13(l) de la NIA 200, Objetivos globales del auditor Independiente y realización de la auditoría de conformidad con las Normas Internacionales de Auditoría.
2 Párrafos 44 (a) y 46 de la NIA 200.
3 Párrafo 29 de la NIA 250.
4 Párrafo 23 de la NIA 540.
5 Párrafo 11 de la NIA 230.
6 Párrafo A10 de la NIA 230.

ParteTexto en linea®. All Rights Reserved por:

C.P.C. Adriana Fabiola Rubio Gutiérrez
Socia de Auditoría, PwC
Secretario de la Comisión de Normas de Auditoría y Aseguramiento

"Sancionada Ley Estatutaria de Hábeas Data 02 “

 “Por la cual se dictan disposiciones generales para la protección de datos personales”.

El pasado 17 de octubre, el presidente de la República, Juan Manuel Santos, sancionó la Ley 1581 del 2012, que establece disposiciones generales para la protección de datos personales.

La norma desarrolla el derecho constitucional a conocer, actualizar y rectificar la información recogida en bases de datos o archivos, y los demás derechos, libertades y garantías a que se refieren los artículos 15 y 20 de la Constitución (derecho a la intimidad y derecho a la información, respectivamente).

Dichas reglas se aplicarán a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de públicas o privadas.

La ley exceptúa del régimen de protección los archivos y las bases de datos pertenecientes al ámbito personal o doméstico; los que tienen por finalidad la seguridad y la defensa nacionales; la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo, y los que contengan información de inteligencia y contrainteligencia.

Además, están excluidos las bases de datos y los archivos de información periodística y otros contenidos editoriales; los datos regulados por la Ley 1266 del 2008 (información financiera y crediticia, comercial, de servicios y proveniente de terceros países) y los regulados por la Ley 79 de 1993, sobre censos de población y vivienda.

La norma clasifica en una categoría especial a los denominados datos sensibles, es decir, los que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación. Así mismo, brinda una protección especial a los datos de los menores de edad.

La vigilancia para el respeto de los principios, derechos, garantías y procedimientos previstos en la Ley 1581 está en cabeza de la Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales.

Por otra parte, se establece un periodo de transición de seis meses, contados a partir de la entrada en vigencia de la norma, para que las personas que ejerzan alguna de las actividades reguladas se adecúen a las nuevas disposiciones.

Esta ley fue sometida a control de constitucionalidad, mediante la Sentencia C-748 del 2011. En el fallo, con ponencia del magistrado Jorge Ignacio Pretelt, la Corte Constitucional declaró exequible por su aspecto formal el Proyecto de Ley Estatutaria No. 046/10 Cámara – 184/10 Senado.

Sin embargo, declaró inexequibles por vicios de procedimiento los artículos 29, 30 y 31 de la norma, referidos, entre otras cosas, a los registros delictivos y de identificación nacional y las bases de datos de las entidades que desarrollan actividades de inteligencia y contrainteligencia.

El fallo también declaró inexequible el artículo 27 del proyecto, que le otorgaba al Gobierno la facultad de regular el tratamiento de los datos personales que requieran disposiciones especiales.

(Ley 1581, oct. 17/12)

Texto tomado de

 http://www.ambitojuridico.com

"Auditoría Continua "

Es un método utilizado por los auditores para realizar actividades relacionadas con revisiones en tiempo real. La tecnología desempeña un papel fundamental en la automatización de la identificación de excepciones o anomalías, el análisis de patrones de los dígitos de campos numéricos clave, el análisis de tendencias, el análisis de transacciones detalladas con valores límite y umbrales, las pruebas de controles y la comparación del proceso o del sistema a través del tiempo o con otras entidades similares.

 Históricamente la auditoría interna realizaba pruebas de los controles en forma retrospectiva y cíclica, con frecuencia muchos meses después del momento en el que ocurrían las actividades de negocio. Los procedimientos de prueba a menudo

se basaban en un enfoque de muestreo e incluían actividades como revisiones de políticas, procedimientos, aprobaciones y conciliaciones. En la actualidad, sin embargo, se reconoce que este enfoque sólo ofrece a los auditores internos un alcance limitado de evaluación y, en general, es muy tarde para representar un valor real en cuanto al desempeño del negocio o al cumplimiento de regulaciones. La auditoría continua es un método empleado para realizar evaluaciones de riesgos y controles de manera automática y más frecuente.

Los beneficios esperados a partir de la implementación de un esquema de auditoría continua incluyen:

1. Mayor capacidad para mitigar riesgos.

2. Reducciones en el costo que implica la evaluación de controles internos.

3. Mayor confianza en los resultados financieros.

4. Mejoras en las operaciones financieras.

5. Reducciones en los errores financieros y la posibilidad de fraude.

Pasos claves implementación sistema de auditoría continua

Objetivos de la auditoría continúa

1. Definir los objetivos de la auditoría continua.

2. Obtener y gestionar el respaldo de la alta dirección.

3. Determinar el grado en que la dirección está cumpliendo su función de supervisión.

4. Identificar y establecer prioridades entre las áreas a abordar y los tipos de auditoría continua a realizar.

5. Identificar sistemas de información clave y fuentes de datos.

6. Comprender los sistemas de aplicación y los procesos subyacentes de negocio.

7. Desarrollar relaciones con la gestión de TI.

Uso y acceso a datos

1. Seleccionar y adquirir herramientas de análisis.

2. Desarrollar capacidades de acceso y análisis.

3. Desarrollar y mantener técnicas y habilidades de análisis del auditor.

4. Evaluar la integridad y fiabilidad de los datos.

5. Depurar y preparar los datos.

Evaluación continua de control

1. Identificar puntos de control críticos.

2. Definir reglas de control.

3. Definir excepciones.

4. Diseñar un enfoque tecnológico para pruebas de control y para identificar deficiencias.

Evaluación continua de riesgos

1. Definir las entidades a evaluar.

2. Identificar categorías de riesgos.

3. Identificar indicadores de riesgo/desempeño controlados por datos.

4. Diseñar pruebas analíticas para medir mayores niveles de riesgo.

Informar y gestionar resultados

1. Establecer prioridades y determinar la frecuencia de las actividades de auditoría continua.

2. Ejecutar pruebas de manera regular y oportuna.

3. Identificar deficiencias de control o mayores niveles de riesgo.

4. Establecer prioridades entre los resultados.

5. Iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección.

6. Gestionar resultados (rastreo, informe, supervisión y seguimiento).

7. Evaluar los resultados de las acciones implementadas.

8. Supervisar y evaluar la eficacia del proceso de auditoría continua (tanto el análisis, por ejemplo, reglas e indicadores, como los,

9. Resultados obtenidos) y modificar los parámetros de prueba, según sea necesario.

10. Garantizar la seguridad del proceso de auditoría continua y asegurar que existan las vinculaciones correspondientes con las

11. iniciativas de la dirección, como por ejemplo, la ERM, la supervisión y la medición de desempeño.

Un enfoque de auditoría continua permite a los auditores comprender en profundidad los puntos de control crítico, las reglas y las excepciones. Con análisis de datos frecuentes y automatizados, pueden realizar evaluaciones de riesgos y controles en tiempo real o prácticamente en tiempo real. Pueden analizar los sistemas de negocio clave para detectar tanto anomalías en el nivel de la transacción como indicadores controlados por datos referidos a deficiencias de control y riesgos emergentes.

Texto tomado del blog elaborado por

Nahun Frett®. All Rights Reserved, 2012.