Por: Rosemary Amato CISA, CMA*
Los programas de Auditoría eficaces se enfocan primero en los objetivos
Gracias a excelentes materiales como este (this one) 1 , la creación de programas de auditoría y aseguramiento puede parecer tan fácil como contar: ¡uno, dos, tres, cuatro y cinco! Al menos a primera vista, y ahí es donde los programas de auditoría pueden salir mal. El auditor a menudo no tiene en cuenta los objetivos que en realidad desea que el programa lleve a cabo mientras se mueve a través de las cinco fases de planificación.
Cualquiera puede seguir un programa de auditoría, pero para lograr buenos resultados se requiere algo más. Si los auditores adaptan su ejecución del programa para cumplir los cuatro objetivos clave de un plan de auditoría y aseguramiento de clase mundial, su ejecución será más rápida, más eficiente y ellos garantizarán que se están haciendo las cosas correctamente para mitigar el riesgo.
Entonces, ¿qué objetivos clave debe tener un proceso de auditoría? A continuación se enumeran:
- Procedimientos de auditoría formalmente documentados y pasos secuenciales.
- Procedimientos que son replicables y fáciles de usar por parte de los auditores internos o externos que necesiten llevar a cabo auditorías similares.
- Métodos de prueba documentados que serán utilizados (de cumplimiento y/o de fondo).
- Normas de auditoría generalmente aceptadas relacionadas con la fase de planificación en el proceso de auditoría.
Estos objetivos deben considerarse en la preparación de cada uno de los cinco pasos del proceso de planificación de la auditoría y el aseguramiento e incluyen: 1) Determinar el objeto de la auditoría, 2) definir el objetivo de la auditoría, 3) establecer el alcance de la auditoría, 4) realizar la planificación previa a la auditoría y 5) determinar los procedimientos de auditoría y los pasos para la recopilación de datos.
Procedimientos bien documentados ahorran tiempo y dinero
El primer objetivo (procedimientos de auditoría formalmente documentados y pasos secuenciales) debe enlazarse con los cinco pasos clave de planificación; porque si un auditor toma atajos podría fallar al identificar el verdadero sujeto de la auditoría y, por consiguiente, no lograr una comprensión clara del objetivo de la auditoría. Esto puede causar numerosos problemas que afectarían negativamente la auditoría prevista. La falla podría consistir en que el ámbito de aplicación de la auditoría sea demasiado limitado, demasiado amplio o incluso incorrecto. También, puede ocurrir que tome o demasiado o muy poco tiempo llevar a cabo la auditoría. Otros riesgos podrían ser que no se sigan los pasos clave y que no se obtenga la asignación de los recursos requeridos. Por otra parte, la ejecución podría implicar un trabajo innecesario. Todos estos factores afectan la efectividad de la auditoría y aumentan sus costos.
Por ejemplo, procedimientos sin soporte documental o mal documentados requerirán revisiones parciales o completas, lo que acarrea el riesgo de incurrir en costos adicionales. Muchos de nosotros hemos oído (o experimentado nosotros mismos) situaciones en las que, debido a procedimientos documentados erróneamente, el equipo de auditoría tuvo que rehacer el trabajo y los clientes incurrieron en gastos adicionales.
Procedimientos repetibles
La evaluación y sus herramientas han mejorado a lo largo de los años a medida que la tecnología ha evolucionado. El uso de herramientas de visualización de datos como QlikView y Tableau permite hacer un seguimiento continuo en lugar de sólo ejecutar las pruebas para un período de tiempo determinado. En una conferencia reciente de EuroCACS en Dublín, los participantes del Foro de Directores de Auditoría de Tecnologías de la Información (TI) discutieron la visualización de datos y cómo esta puede aplicarse y utilizarse para la creación de programas de auditoría y aseguramiento en la planificación de sistemas de recursos empresariales (ERP 2). Hoy en día contamos con herramientas de prueba que se orientan específicamente hacia la visualización de datos y que deben escogerse de acuerdo a las necesidades del programa de auditoría y aseguramiento.
Comprender las Normas de Auditoría
Por último, durante la planificación se debe considerar cómo el programa cumplirá con las normas de auditoría generalmente aceptadas en la fase misma del proceso de planificación. Si el auditor no entiende las normas que se deben aplicar, la auditoría tomará más tiempo del necesario, y probablemente se cometan errores en la selección del personal adecuado y en el enfoque de la auditoría. El auditor, también, debe asegurarse de entender completamente el propósito de la auditoría particular que está llevando a cabo. Como una ayuda para los auditores de sistemas de información, ISACA 3 ha desarrollado el “ITAF 4:Un Marco para la Práctica Profesional de los Sistemas de Información de Auditoría y Aseguramiento” que contiene las normas y directrices necesarias para la planificación y la realización de auditorías.
Finalmente, los programas de auditoría y aseguramiento sólo son eficaces si se centran en la consecución de los cuatro objetivos principales que toda auditoría debe tener. Sin un énfasis firme en los objetivos a lo largo de todo el proceso, una auditoría puede fácilmente perder su punto de referencia en términos de su objeto, objetivos, alcance, planificación y recopilación de datos y, en última instancia, resultar fallida.
1 “Sistemas de información de auditoría: Herramientas y técnicas de creación de programas de auditoría”. Aquí se esbozan los pasos básicos necesarios para desarrollar programas de auditorías integrales que documentan claramente los procedimientos utilizados para probar controles y recopilar datos de apoyo.
2 Enterprise Resource Planning.
3 Information Systems Audit and Control Association. Asociación de Auditoría y Control de Sistemas de Información.
4 Information Technology Assurance Framework.
Rosemary M. Amato, CISA, CMA, * Directora de finanzas globales en una de las cuatro compañías más importantes del mundo en el sector de la consultoría y auditoría (big 4). También, es miembro de la junta de la IMA presidiendo el Comité de Supervisión del rendimiento y de Auditoría.
Tomado de: http://corporatecomplianceinsights.com
Xavier Mármol Blum 