Consejo para la Prctica 2320-4:

Aseguramiento Continuo
Norma principalmente relacionada:
2320: Anlisis y evaluacin
Los auditores internos deben basar sus conclusiones y los resultados del
trabajo en anlisis y evaluaciones adecuados.
-------------------------------------------------------------------------------------------------------1. La prueba tradicional de controles se ha realizado de forma retrospectiva
y cclica, a menudo meses despus de haber ocurrido las actividades
empresariales, y se basa a menudo en la tcnica de muestreo histrico.
Estas auditoras basadas en muestras pueden no satisfacer las
necesidades de una organizacin, sobre todo cuando el perfil de riesgo
de una organizacin puede requerir informacin ms oportuna.
Debido a que el ritmo de los negocios y la tasa de cambio organizacional
requieren una identificacin ms proactiva de los problemas, la tecnologa
puede ser aprovechada para identificar los problemas e inquietudes ms
puntuales posibles. La auditora interna debe considerar la evaluacin de
la efectividad del control continuo, si se justifica por el perfil de riesgo, en
lugar de usar la prueba histrica peridica ms tradicional de los
controles internos seleccionados y riesgos en una organizacin.
2. El Glosario del Marco Internacional para la Prctica Profesional (MIPP)
define Servicios de aseguramiento como Un examen objetivo de
evidencias con el propsito de proveer una evaluacin independiente de
los procesos de gestin de riesgos, control y gobierno de una
organizacin. Por ejemplo: trabajos financieros, de desempeo, de
cumplimiento, de seguridad de sistemas y de diligencia debida (due
diligence). El aseguramiento continuo puede lograrse mejor mediante una
combinacin de responsabilidades de monitoreo continuo de la gestin y
las actividades de auditora continua de la auditora interna.
3. El monitoreo continuo es un proceso de gestin que controla si los
controles internos funcionan con eficacia sobre una base continua.
Eventos de mayor riesgo (por ejemplo, las transacciones inusuales o no
recurrentes) se pueden observar y marcada para la atencin o pruebas
adicionales. Adems de los procesos de monitoreo continuo, las rutinas
de auditora continua desarrollados por los auditores internos, en su caso,
pueden ser la transicin a la gestin, en cuyo caso se convierten en
procedimientos de monitoreo continuo realizados por la direccin.

4.

Muchas de las tcnicas de gestin utilizan para monitorear

continuamente los controles que son similares a las tcnicas de auditora
continua que puede realizar el auditor interno. La clave para el monitoreo
continuo es que el proceso debe ser propiedad y realizado por la
direccin como parte de su responsabilidad de implementar y mantener
un ambiente de control efectivo.
Dado que la gestin se hace
responsable de los controles internos, debe tener un medio para
determinar, en forma permanente, si los controles estn funcionando
como se disearon. Al ser capaz de identificar y corregir los problemas de
control oportunamente, el sistema de control general se puede mejorar.

5. El plan anual de auditora debe identificar reas potencialmente sujetas a

auditora continua. La auditora interna debe aprovechar el marco de la
organizacin de gestin de riesgos (si se ha desarrollado), as como su
propia evaluacin del riesgo, para identificar estas reas. La frecuencia
de la cobertura debe basarse en los factores de riesgo en un rea o
proceso de negocio. La auditora continua ayuda a los auditores internos
a identificar y evaluar los riesgos y establecer los umbrales inteligentes y
dinmicos que responden a los cambios en la empresa. Tambin
contribuye a la identificacin de riesgos y la evaluacin.
6. La implementacin exitosa de la auditora continua requiere del apoyo de
las principales partes interesadas. Los siguientes pasos deben ser
considerados en el desarrollo y mantenimiento de las actividades de
auditora continua:
Dar prioridad a las reas de cobertura y seleccionar un enfoque de
auditora continua.
Definir los requisitos de salida (resultados).
Seleccionar las herramientas de anlisis, que podran ser
desarrolladas internamente o proporcionadas por el proveedor de
software.
Determinar el alcance de las rutinas de auditora continua. .
Evaluar la integridad y preparacin de la data.
Entender el enfoque de supervisin continua de la administracin...
Desarrollar rutinas de auditora continua para evaluar los controles e
identificar las deficiencias.
7.

Una vez definidos los objetivos de la auditora continua, el apoyo de la

alta direccin se debe obtener para la debida cobertura de auditora
continua.

8.

Los archivos de datos, como los archivos detallados de transacciones, a

menudo slo se conservan durante un breve periodo de tiempo. Por lo
tanto, el auditor interno debe hacer los arreglos necesarios para retener la
data indispensable. El acceso a los programas / sistemas y data debe
estar dispuesta con suficiente antelacin durante el perodo de tiempo
necesario para evitar interferencias con el entorno de produccin. El
auditor interno debe evaluar el efecto que los cambios en los programas
de produccin / del sistema, incluyendo la seguridad de acceso, puedan
tener en el uso de las rutinas de auditora continua. El auditor interno
debe obtener una seguridad razonable de la integridad, fiabilidad, utilidad
y seguridad de las rutinas de auditora continua a travs de una adecuada
planificacin, diseo, pruebas, procesamiento y revisin de la
documentacin.

9.

El auditor interno debe examinar la idoneidad de las actividades de

monitoreo continuo de la administracin. Esto determinar la cantidad de
auditoras internas necesarias en la dependencia para cumplir el entorno
de control de la organizacin, lo que afectar la naturaleza y frecuencia
de los trabajos de auditora a realizar.

10.

El auditor interno debe considerar los objetivos de la auditora continua,

el apetito de riesgo de la empresa, y el nivel y la naturaleza del monitoreo
continuo de la gestin, al fijar el calendario, el alcance y la cobertura de
las pruebas de auditora continua.

11. La frecuencia de las actividades de auditora continua estar en el

intervalo de tiempo real para anlisis peridico de las transacciones
detalladas, las instantneas, o datos resumidos. La frecuencia depender
del nivel de los riesgos asociados con el sistema o proceso a ser
examinado, as como la adecuacin de seguimiento continuo realizado
por la administracin y los recursos disponibles. Los sistemas crticos con
controles clave pueden ser objeto de anlisis en tiempo real de datos
transaccionales. El auditor interno debe considerar los requisitos legales y
el grado en el que la gestin se ocupa de la exposicin al riesgo y los
impactos potenciales. Cuando la gerencia ha implementado sistemas de
monitoreo continuo de los controles, los auditores internos y externos
deben determinar hasta qu punto se puede confiar en los procesos de
monitoreo continuo para reducir las pruebas de control detallado.
12. Cuando se cambian las rutinas de auditora continua, el auditor interno
debe llevar a cabo una revisin de los cambios en cuanto a integridad,
fiabilidad, utilidad y seguridad. El auditor interno debe documentar los

resultados de esta revisin antes de confiar en las rutinas de auditora

continua revisadas.
13. Una vez que las rutinas de auditora continua se han ejecutado, el auditor
interno debe revisar los resultados para identificar las transacciones que
no satisfacen las pruebas de control. El aumento de los niveles de riesgo
pueden ser identificados por anlisis comparativo (es decir, la
comparacin de un proceso con otros procesos, una entidad u otras
entidades, o ejecutar las mismas pruebas y la comparacin de resultados
en el tiempo). Uno de los retos de la implementacin de una auditora
continua o un sistema de vigilancia es la respuesta eficaz para el control
de excepciones y los riesgos que se identifican. Cuando se implementa
un sistema de auditora o monitoreo continuo, es comn que un gran
nmero de excepciones puedan ser identificados, que, tras la
investigacin, demuestran no ser una preocupacin. El sistema de
auditora continua debe permitir que los parmetros de la prueba que se
ajustan de manera que tales excepciones no resulten en avisos o
notificaciones. Una vez que se realiza el proceso de elaboracin de esos
falsos positivos, el sistema cada vez se basa en identificar slo las
deficiencias de control o riesgos de preocupacin.
14. Si una falla de control y/o la preocupacin de riesgo se identifican a travs
de la auditora continua, se debe informar a la direccin. En consiguiente,
el auditor interno debe solicitar una respuesta de la administracin para
esbozar el plan de accin y los compromisos de tiempo, segn sea el
caso. Una vez que se han tomado las medidas adecuadas, el auditor
interno puede considerar el uso nuevamente del programa de auditora
continua para verificar que la remediacin se dirigi a la debilidad de
control y reduce el nivel de riesgo.
15. El auditor interno debe revisar la eficacia y eficiencia de los programas de
auditora continua peridicamente .Puede ser necesario aadir unos y
otros pueden ser eliminados con base a las evaluaciones de riesgo
actualizadas, puntos de control adicionales o exposiciones de riesgo .Los
lmites, las pruebas de control y parmetros para diferentes anlisis
pueden ser necesario ajustarlos o adecuarlos.
16.

El proceso de auditora continua debe ser documentado lo suficiente

como para proporcionar evidencia de auditora adecuada. Es conveniente
consultar el Consejo para la Prctica 2330-1: Documentacin de la
Informacin para orientacin adicional.

Efectivo a partir de junio 2013.