Las organizaciones modernas han integrado las Tecnologías de Información y Comunicaciones (TIC) en sus operaciones centrales, transformándolas en entidades ubicuas capaces de operar globalmente las 24 horas del día, los 7 días de la semana, los 365 días del año. Esto les permite responder en tiempo real a los cambios en su entorno de negocios.
Sin embargo, la auditoría a menudo se queda rezagada, realizando sus procesos de forma tardía, detectando anomalías e irregularidades mucho después de que ocurran los eventos económicos. Esto genera reportes tardíos que pueden haber perdido su valor para la organización.
En respuesta a este reto, la Auditoría Continua juega un papel protagónico, integrando las tecnologías de información como parte fundamental del proceso auditor. Esto se materializa a través de diversos modelos, metodologías y guías que se han difundido desde 1989.
A la fecha existen más de 30 modelos de Auditoría Continua divulgados en la literatura científica y profesional, cuyo origen es diverso, desde guías promulgadas por organizaciones de Auditoría tales como el IIA e ISACA, hasta experiencias en organizaciones como AT&T, Siemens, Unibanco, pasando por esquemas teóricos difundidos por diversos investigadores, entre los que se destaca Miklos Vasarhelyi, considerado por Krell (2004) como el padre de la Auditoría Continua.
Para cumplir con este propósito, este artículo se centra en desarrollar una propuesta de taxonomía de modelos de Auditoría Continua que aporte de manera inicial a orientar a la comunidad de auditores en la selección del modelo que más se ajuste a su contexto, en la búsqueda de masificar esta importante alternativa de la Auditoría moderna.
Lea también: Contabilidad de Materia Prima
Evolución de la Auditoría y las TIC
Con la introducción en los años 50 de la computación en las esferas de la Administración, las Finanzas y la Contabilidad; surge un nuevo reto para la Auditoría, el soporte de papel utilizado tradicionalmente, comenzaba a ser sustituido por formatos digitales y, consecuentemente, las técnicas tradicionales de los auditores debieron ser modificadas para adaptarlas a las nuevas condiciones.
Existen diferentes enfoques en el uso de las Tecnologías de Información y Comunicaciones en el proceso auditor, enmarcándolas en una de las clasificaciones más generalizadas por la comunidad científica:
- Auditoría alrededor del computador: Consiste en conciliar los documentos fuente asociados a las transacciones de entrada al computador con los resultados generados por este, mientras que el procesamiento realizado por la aplicación de computador es tratado como una caja negra. Fue el primer enfoque utilizado por los auditores con la aparición del computador, y es adecuado su uso si los controles y el sistema de información proporcionan suficiente evidencia visible.
- Auditoría con el computador: Hace un uso más intensivo de las herramientas tecnológicas que de las técnicas de auditoría propiamente dichas.
- Auditoría a través del computador: Está inscrito en las técnicas que requieren probar controles automatizados, consiste en que el auditor evalúa la tecnología para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad operacional de los controles relacionados con el computador. A diferencia de los dos anteriores, las técnicas que hacen parte de la Auditoría a través del computador, tratan de permear la tecnología, para evaluar los controles inmersos en esta y hace un uso más intensivo de las técnicas que de las herramientas tecnológicas, las cuales pueden ser automatizadas por los mismos auditores que cuenten con conocimientos profundos de Tecnología, o con el apoyo del área de tecnología de información.
Definición de Auditoría Continua
Por su parte el IIA a través de su Guía de Auditoría de Tecnología Global (GTAG en inglés) número 3, define la Auditoría Continua, como “todo método utilizado por los auditores para realizar actividades relacionadas con la auditoría en forma (más) continua. Es la secuencia de actividades que abarcan desde la evaluación continua de control hasta la evaluación continua de riesgos”.
Un método utilizado por los profesionales de Auditoría y Aseguramiento de TI para llevar a cabo evaluación de riesgos y controles, sobre una base más frecuente. Es un método que utiliza TAAC’s que permite a los profesionales de auditoría y aseguramiento de TI monitorear los riesgos y controles en forma continua. Este enfoque permite a los profesionales de auditoría y aseguramiento de TI reunir evidencia selectiva de auditoría a través del computador.
En la literatura científica y profesional existen diversos términos para describir las fases y actividades desarrolladas por una persona u organización para llevar a cabo un proceso de Auditoría Continua, entre ellos se pueden encontrar términos como: metodologías, guías, modelos y casos; por tal razón y para efectos de este escrito, los llamaremos genéricamente esquemas de Auditoría, como un término que puede recoger estas cuatro expresiones.
Lea también: Ejemplos de Contabilidad
Tipos de Esquemas de Auditoría Continua
El desarrollo de un esquema de auditoría continua, puede estar orientado a ofrecer una solución técnica o a definir un esquema metodológico y en algunos casos pueden aportar ambos enfoques, en este sentido se han clasificado los esquemas teniendo en cuenta su enfoque exclusivamente hacia lo técnico o hacia lo metodológico, tomando como criterio para su clasificación el involucramiento de técnicas o tecnologías específicas para su desarrollo.
- Orientación hacia a lo metodológico: Este tipo de esquemas sugieren una serie de fases a desarrollar y en la mayoría de los casos presentan neutralidad tecnológica.
- Orientación hacia lo técnico: Dentro de esta tipología, se encuentran aquellos que por lo general pueden estar orientados a una tecnología específica para dar solución a un problema donde se requiera la Auditoría Continua. Desde este punto de vista, existe una variedad de tecnologías, desde aquellas cuyo foco está orientado a analizar los módulos de Auditoría Continua con que cuentan las principales ERP’s del mercado, hasta soluciones orientadas a web services, XML, SOA, agentes inteligentes entre otros.
Implementación Técnica de la Auditoría Continua
Para la implementación de la Auditoría Continua desde el punto de vista técnico, los esquemas de Auditoría Continua han propuesto dos enfoques: el primero es el de módulos embebidos de auditoría (Embedded Audit Module - EAM) y el segundo es el de capa de monitoreo y control (Monitoring and Control Layer - MCL).
- Módulos Embebidos de Auditoría (EAM): Son subrutinas dentro de un programa de aplicación de una entidad que ejecuta procedimientos de control y auditoria de forma concurrente con el procesamiento normal de la aplicación, y contempla la instalación de archivos o segmentos de código dentro de un sistema objeto de control. La primera herramienta que muchos auditores internos consideraron al momento de utilizar la tecnología en un modelo de Auditoría Continua fue el uso de módulos embebidos de auditoría.
- Capa de Monitoreo y Control (MCL): Es una solución de software independiente, no integrada con el sistema de información, para lo cual se usa middleware para extraer datos y realizar análisis, frente a unas reglas previamente definidas, este enfoque surgió como una alternativa a EAM, propuesto por una gran cantidad de modelos.
Kuhn & Sutton (2010), han propuesto un enfoque híbrido, denominado EAM Ghosting.
Software Generalizado de Auditoría (GAS)
“Software generalizado de auditoría” (GAS) por sus siglas en inglés, es una de las familias de software que se utiliza frecuentemente en la Auditoría Asistida por Computadora. Es una de las herramientas con las que cuenta TI, para obtener pruebas directamente en la calidad de los registros producidos y mantenidos por sistemas y aplicaciones.
Según el estudio “Barreras y habilitadores de los auditores para la aceptación de Software Generalizado de Auditoría”, elaborado por la organización global de capacitación y certificación para profesionales ISACA, se ha demostrado que cuando se presentan barreras de uso de un sistema, estas tienden a disuadir a los usuarios; sin embargo, no por la ausencia de estas, se fomenta el uso del software. Por ejemplo, el hecho de que un sistema esté disponible y sea confiable; no significa que sea más probable que se use.
Lea también: Importancia de los Rubros Contables
Ejemplos de Software de Auditoría
Existen diversas herramientas de software de auditoría disponibles en el mercado, cada una con sus propias características y funcionalidades. Algunos ejemplos incluyen:
- Software para auditoría automática de servidores, estaciones de trabajo y computadoras remotas, que permite la programación flexible y el almacenamiento centralizado de resultados.
- Kaseya: Un proveedor global de software de Automatización de Gestión de Servicios (Managed Service Automation-MSA) para proveedores de Soluciones de Tecnologías de la Información (TI) y firmas de Outsourcing y Organizaciones Corporativas de TI.
- Software de auditoría basada en riesgos para procesos de negocio.
Es esencial que el auditor evalúe el impacto que los cambios al sistema en producción pueden tener sobre el uso de las herramientas de software de auditoría.
Beneficios del Software de Auditoría
La utilización de software de auditoría ofrece numerosos beneficios, incluyendo:
- Reducir el nivel de riesgo de auditoría.
- Mayor independencia respecto del auditado.
- Cobertura más amplia y coherente de la auditoría.
- Mayor disponibilidad de información.
- Mejor identificación de excepciones.
- Mayores oportunidades de cuantificar las debilidades del control interno.
Además, la oportunidad de evaluar datos e información en el momento en que está disponible mejora la eficiencia del proceso.
Consideraciones al Utilizar Software de Auditoría
Es importante tener en cuenta lo siguiente al utilizar software de auditoría:
- Conocimiento del sistema sujeto a evaluación.
- Conocimiento, pericia y experiencia del auditor en sistemas de información.
- Capacidad del auditor para usar la técnica, tanto a nivel de planificación, ejecución y uso de los resultados obtenidos.
- Disponibilidad de TAACs e instalaciones adecuadas para su implementación.
- Efectividad y eficiencia.
Software de Auditoría más Usado
La siguiente tabla muestra una representación de los software de auditoría más usados, aunque no se incluye la tabla como tal en el documento original, se menciona una encuesta de 2006 presentada por The Institute of Internal Auditors acerca del tema.
Como ya se mencionó, son programas computarizados que pueden utilizarse para brindar información para uso de auditoría. Sin embargo, el auditor debe obtener seguridad razonable de la integridad y utilidad de la herramienta de software de auditoría por medio de la planificación, diseño, prueba y revisión de la documentación apropiada.
Cuando se utiliza una herramienta de software de auditoría para acceder a datos en producción, el auditor debe dar los pasos necesarios para proteger la integridad del sistema y datos de información. Las herramientas pueden utilizarse para extraer datos sensitivos que deben mantenerse confidenciales. El auditor debe resguardar los datos extractados con un nivel adecuado de confidencialidad y seguridad. El auditor debe utilizar procedimientos adecuados, y documentar los resultados de los mismos, para proveer medidas que aseguren la integridad, confidencialidad y seguridad continua de las herramientas de software de auditoría.