Auditoría y monitoreo continuos: Una manera de impulsar decisiones más rápidas - CICDE

CICDE Consultores Fiscales

Auditoría y monitoreo continuos: Una manera de impulsar decisiones más rápidas
 

auditoria-y-monitoreos-continuos

Las organizaciones necesitan anticipar y mitigar riesgos de forma activa. Hay métodos que pueden mejorar la revisión continua, y oportuna de datos financieros y de control interno.

Cuando la administración de Hewlett Packard Co. (HP) identificó la frecuencia y volumen de los registros manuales en el libro diario, la función de auditoría interna de la compañía inició un panel de control que permitiera evaluaciones continuas. HP adoptó un enfoque de auditoría y de monitoreo continuos para identificar la causa originaria de esas transacciones y para facilitar mejores decisiones con registros estandarizados bajo mejores controles. Diversos grupos de mando corporativo y de cumplimiento colaboraron para diseñar sistemas de análisis de alto nivel con capacidad de profundización. Podían identificar y estudiar tendencias, movimientos en las cuentas, picos de actividad durante el ejercicio, naturaleza de los asientos y a las personas que hicieran los registros. El éxito del programa fue una pronta medida para reducir el número y riesgo de asientos en el diario. “Es un paso muy sencillo de avance,” dice Brad Ames, director de auditoría interna de HP.

En el mundo de los negocios donde el cambio ocurre rápidamente y las organizaciones tienen acceso a una oferta aparentemente ilimitada de información o datos, las compañías quieren actuar sobre esos datos en tiempo real. Las organizaciones necesitan anticipar y mitigar los riesgos en forma activa, y cada vez más el análisis de datos para mejorar el ambiente del control es parte de ese proceso. Jason Pett, directivo de la práctica de auditoría interna en PwC, dice que los auditores internos de las compañías líderes están aprovechando la información para impulsar todo lo que hacen.

“¿Cómo usamos los datos para impulsar nuestras decisiones de alcance? ¿Cómo usamos los datos para impulsar nuestro proceso de evaluación del riesgo? ¿Cómo los usamos para ayudar a decidir qué auditorías deberíamos hacer? Creo que hablamos del apalancamiento de datos para transformar totalmente el desempeño de la auditoría interna.”

En este entorno, la auditoría y el monitoreo continuo crecen como herramientas para que los auditores internos produzcan más valor para sus empleadores. En la auditoría continua, el personal de auditoría interna usa tecnología para analizar frecuentemente los datos para una pronta identificación de valores atípicos. Esto ayuda a centrar sus recursos. El monitoreo continuo es un poco diferente. Se establece el análisis de medidas clave de desempeño para que la administración las revise en tiempo real y actúe sobre ellas cuando sea necesario. Estos métodos pueden mejorar la revisión continua, oportuna de datos financieros y de control interno en una organización.

La encuesta 2014 de la consultora Protiviti sobre capacidades y necesidades de la auditoría interna señala que las habilidades en herramientas de auditoría y análisis de datos con ayuda de computadora son las competencias que más se necesitan. Estas herramientas y tecnologías apoyan las actividades de monitoreo y auditoría continuos.

Las empresas necesitan anticipar y mitigar los riesgos en forma activa, y cada vez más el análisis de datos para mejorar el ambiente de control es parte de ese proceso.”

Según el informe Los grandes riesgos requieren pensar en grandes datos, de la encuesta de EY de 2014, la muy regulada industria de energía y servicios es líder en el uso de herramientas de análisis forense de datos para el monitoreo continuo. En otro informe de una encuesta de PwC, 2014, sobre dicha industria, Fomentar la agilidad de los negocios: Fortalecer el impacto y valor de la auditoría interna, 57% de directores de auditoría (superior a 31% de 2012) califican a la auditoría continua como muy importante. Una encuesta de 2013 de PwC encontró que las áreas donde se usaba más la auditoría continua eran:

  1. Tarjetas de gastos y suministros de empleados (72%)
  2. Cuentas por pagar, desembolsos, compras y otros gastos (72%)
  3. Análisis de asientos del diario (40%)
  4. Auditorías de fraudes (40%)
  5. Cadena de suministro e inventario (36%)
  6. Nómina, tiempo extra y reportes de tiempo (20%)
  7. Análisis de operaciones (20%)
  8. Análisis de estados financieros (20%)

Brad Ames dice que “uno de los mayores beneficios son las evaluaciones o análisis continuos que acortan el tiempo para hacer que la administración responda al riesgo, como departamento de auditoría se puede ser más persuasivo y facilitar acciones oportunas de la administración mediante el análisis mucho más rápido o con mucha más eficiencia de lo que se podría con una auditoría tipo inspección”.

HP ha usado auditoría y monitoreo continuos para hacer mejoras en varias áreas, incluyendo:

Simplificar la certificación de la Sección 404 de la Sarbanes-Oxley sobre controles generales de Tecnologías de la Información (TI) y controles de aplicación de TI. Establecer un marco comparativo de controles automatizados configurables para medir la oportunidad y extensión del cambio optimiza las pruebas de control de aplicación. El fin es rastrear tendencias y comparar cambios con un umbral predeterminado para sostener y llevar adelante la conclusión de la base de referencia con un examen mínimo (es decir, serían validados sin mayor examen los controles automatizados que no hayan cambiado desde la anterior auditoría).
Analizar los asientos del diario y conciliación de cuentas para dar a los auditores y a la administración un panorama continuo del volumen y frecuencia de los registros del diario en todo el negocio. El monitoreo manual de registros del diario se diseña para aislar los indicadores clave atípicos como:

  1. Asientos de gran valor en el diario registrados en cuentas de alto riesgo.
  2. Usuarios no financieros que registran asientos del diario en cuentas financieras.
  3. Asientos del diario registrados, en los que se utilice el acceso de usuarios descontinuados.
  4. Conflictos de segregación de deberes (es decir, usuarios que tengan la capacidad de iniciar, revisar y aprobar entradas del diario en todas las aplicaciones).
  5. Usuarios que registran entradas del diario incluso después de las fechas tope del cierre de fin de mes.
  6. Asientos del diario con descripciones o explicaciones poco claras o incompletas.

Monitorear compensación de ventas, que consiste en evaluación continua de razonabilidad de bonos y comisiones. Los factores que sugerirían algo atípico pueden incluir:

  1. Medición del desempeño de la compensación de ventas meta vs. ventas reales (o sea, comisiones fuera de rango que no correspondan con el desempeño).
  2. Beneficiarios de comisiones en funciones que no son de ventas.
  3. Niveles de responsabilidad por incentivos altos (es decir, bonos pagados por adelantado).

Monitorear cambios en la vida útil y depreciación de activos fijos para constatar si los activos se conforman a la política contable de la compañía. El panel de control proporciona una visión de las siguientes excepciones para acción de la administración:

  1. Compara y coteja la exactitud de la vida útil de activos recién adquiridos con base en la clase de activo.
  2. Señala los activos atípicos a los que se haya asignado una vida útil mayor que los límites de la política.

Monitorear el fraude de garantía del producto. El objetivo del análisis es detectar conducta potencialmente fraudulenta. El análisis compara datos en las partes de refacción que se embarcaron a localidades de los clientes con los datos en las partes usadas que se devuelven a HP, para monitorear las siguientes excepciones:

  1. Partes devueltas con menos valor que el del envío.
  2. Partes devueltas en menor cantidad que las enviadas.
  3. Partes devueltas de un tipo diferente a las enviadas (es decir, se envió un aparato de la red, se devolvió el disco duro).
  4. Casos de servicio por garantía creados por ingenieros que se los asignan a sí mismos para su resolución.

Se crea una visión de resumen para mostrar el número de excepciones de cada tipo y el monto en dólares por ingeniero. Otra gráfica muestra la tendencia por ingeniero. Los informes se usan para seleccionar casos para más investigación.

Indicadores de riesgo en monitoreo de gasto de empleados para aislar los potenciales errores:

  1. Gastos cuestionables en establecimientos restringidos o en artículos restringidos y palabras clave (por ejemplo, tarjeta de obsequio, premio o modernización).
  2. Categorización incorrecta (es decir, gastos que no son de alimentos identificados como un alimento).
  3. Actividad de tarjeta en la propia ciudad.
  4. Gastos no reportados y actividad personal en tarjetas deudoras (es decir, saldos altos que pasan de mes a mes debido a cargos personales que no se han reportado).

FUNCIÓN DE LOS ERP

Las grandes organizaciones que han gastado mucho dinero en modernizar sus Sistemas de Planeación de Recursos de la Empresa (ERP, por sus siglas en inglés) en particular están acelerando su uso del monitoreo continuo, según Christopher Wright, consultor y director administrativo y líder en remedios financieros y cumplimiento de reportes para Protiviti.

Asegura que ya que la mayoría de los sistemas ERP guardan todos los datos en un mismo lugar y que los reportes rutinarios de excepción son estándar en estos sistemas, habilitan a auditoría interna para crear e implementar plataformas de monitoreo continuo. Esto permite a auditoría interna y a la administración maximizar el valor de los sistemas ERP y hacer más ágil su organización.

Wright explica que el primer paso para las compañías que buscan iniciar el monitoreo continuo es levantar un inventario de las herramientas que ya tengan y ver qué datos podrían ser fácilmente usados en tiempo real.

“Su sistema ERP no es solo un procesador de palabras costoso. Realmente funciona en forma que añade valor, fija un umbral al flujo de trabajo y mejora la estructura de control de una manera eficiente y productiva en cuanto a costo”, dice Christopher Wright.

¿SUPERAN LOS BENEFICIOS A LOS COSTOS?

No obstante, el costo puede ser un obstáculo para la auditoría y el monitoreo continuos para organizaciones medianas y pequeñas que ya enfrentan importantes cargas de cumplimiento en un entorno de negocios cada vez más regulado. Ames, de HP, asegura que los costos pueden justificarse debido a los beneficios que la auditoría continua y el monitoreo continuo brindan en dos niveles.

Primero, los beneficios se ven a lo largo del ciclo de vida de la auditoría, desde la planeación al compromiso de trabajo (con conclusiones más precisas y rápidas) hasta la recomendación y acción correctiva, cuando se pueden establecer análisis para soportar la corrección o remedios. Segundo, puede haber múltiples beneficiarios, incluyendo las funciones de ética y cumplimiento, administración de riesgos de la empresa, y seguridad de TI.

“Cuando realizan monitoreo continuo, se tienen más beneficiarios, más patrocinadores a quienes puede rendir un mayor beneficio e incrementar el rendimiento sobre inversión,” dice Ames. Con esto en mente, algo que puede seriamente inhibir la implementación y utilidad de la auditoría y el monitoreo continuos es la reestructuración organizativa, explica Ames.

Y también que puede establecerse un equipo de cumplimiento y trabajar con auditoría interna como un fuerte patrocinador del monitoreo y auditoría continuos, solo para hacer cambiar las prioridades de la administración con la reestructuración. Eso puede llevar a frustración al implementar y ejecutar la auditoría y el monitoreo continuos.

En el monitoreo continuo se establece el análisis de medidas clave de desempeño para que la administración las revise en tiempo real y actúe sobre ellas si es necesario.”

El foco sobre el monitoreo y la auditoría continuos no disminuye la necesidad de aseguramiento mediante el reporte tradicional de auditoría que se ha realizado por muchos años. Pese a todos los desarrollos tecnológicos de años pasados, las compañías siguen centradas en las mediciones trimestrales del ejercicio fiscal debido a los requisitos regulatorios sobre información.

Los requisitos de auditoría externa también vinculan algunos de los reportes tradicionales de auditoría interna al año fiscal. Pero el monitoreo continuo sí cambia el foco de algunos de los proyectos tradicionales de auditoría interna.

“Cualquier momento en que esté manejando tiempo real, cambia la dinámica de selección (triage) del hecho mismo a decir, ‘Esto es lo que encontramos. Esto es lo que arreglamos. Esto es lo que ya estamos haciendo en forma diferente’, cuando reporte al consejo. Condensa la dinámica de identificación de la auditoría y de solución de problemas. Puede condensarlo de manera que puede reportar la solución, si no el estatus”, expresa Wright.

A su vez, la auditoría y reporte tradicional pueden también estimular el monitoreo continuo adicional para producir mejoras adicionales. En HP se pidió a los auditores internos que desempeñan trabajo de campo tradicional que identificaran de tres a cinco indicadores, en las áreas que estaban auditando, que soportaran la reparación y proporcionaran nuevas medidas para monitorear.

Mientras tanto, Ames ha visto que la función de planeación de auditoría interna se hace mucho más estratégica y centrada en el futuro. Y auditoría interna hace planeación en forma colaborativa con la función de riesgo/cumplimiento como socio estratégico.

Ames asegura que “no solo es bastante bueno tener la capacidad técnica y los datos estandarizados. Hay que tener la capacidad de coordinación y de administración de relaciones para planear en forma conjunta con la segunda línea de defensa y la función de cumplimiento. Tenemos un buen programa en HP que lo desarrolla y lo entrena, lo equipa con tecnología y datos estandarizados, y fija la expectativa de monitoreo del riesgo. Eso requiere liderazgo”.

Fuente: Este artículo es una reseña del original titulado “Driving faster decisions”, publicado en Journal of Accountancy, abril/ mayo de 2015. Traducción para Veritas, del Colegio de Contadores Públicos de México, por Jorge Abenamar Suárez Arana.

En CICDE nuestra división de auditoría y proyectos supervisa, evalúa y reestructura el trabajo realizado por los contadores de las empresas para detectar errores u omisiones y ofrecer una opinión técnica con propuestas para realizar correcciones y mejoras al control interno.

Administrador

No hay comentarios.

Responder

Mensaje




"Aviso de Privacidad"