El concepto más cercano para definir a la auditoría continua, es decir que, es un método utilizado por los auditores para realizar actividades relacionadas con revisiones en tiempo real. La tecnología juega un papel importante para la realización de este tipo de auditoría, ya que permite la automatización de la identificación de excepciones o anomalías, el análisis de patrones de los dígitos de campos numéricos clave, el análisis de tendencias, el análisis de transacciones detalladas con valores límite y umbrales, las pruebas de controles y la comparación del proceso o del sistema a través del tiempo o con otras entidades similares.
Antes, la auditoría interna se realizaba con frecuencia, meses después de ocurridas las actividades de negocio, realizando pruebas de los controles en forma retrospectiva y cíclica. Los procedimientos de prueba a menudo
se basaban en un enfoque de muestreo e incluían actividades como revisiones de políticas, procedimientos, aprobaciones y conciliaciones, este sistema ofrecía a los auditores un alcance limitado de evaluación y, en general, es muy tarde para representar un valor real en cuanto al desempeño del negocio o al cumplimiento de regulaciones.
En la actualidad, la auditoría continua es un método empleado para realizar evaluaciones de riesgos y controles de manera automática y más frecuente. Los beneficios esperados a partir de la implementación de un esquema de auditoría continua incluyen: Mayor capacidad para mitigar riesgos, reducciones en el costo que implica la evaluación de controles internos, mayor confianza en los resultados financieros, mejoras en las operaciones financieras y la reducción en los errores financieros y la posibilidad de fraude.
Pasos claves para la implementación del sistema de auditoría continua:
Objetivos de la auditoría continúa: Definir los objetivos de la auditoría continua, obtener y gestionar el respaldo de la alta dirección, establecer el grado en que la dirección está cumpliendo su función de supervisión, identificar y establecer prioridades entre las áreas a abordar y los tipos de auditoría continua a realizar, identificar sistemas de información clave y fuentes de datos, comprender los sistemas de aplicación y los procesos subyacentes de negocio y desarrollar relaciones con la gestión de TI.
Uso y acceso a datos: Seleccionar y adquirir herramientas de análisis; desarrollar capacidades de acceso y análisis; desarrollar y mantener técnicas y habilidades de análisis del auditor; evaluar la integridad y fiabilidad de los datos y depurar y preparar los datos.
Evaluación continua de control: Identificar puntos de control críticos, definir reglas de control, excepciones y diseñar un enfoque tecnológico para pruebas de control y para identificar deficiencias.
Evaluación continua de riesgos: Definir las entidades a evaluar, identificar categorías de riesgos, identificar indicadores de riesgo/desempeño controlados por datos y diseñar pruebas analíticas para medir mayores niveles de riesgo.
Informar y gestionar resultados: Establecer prioridades y determinar la frecuencia de las actividades de auditoría continua, ejecutar pruebas de manera regular y oportuna, identificar deficiencias de control o mayores niveles de riesgo, establecer prioridades entre los resultados, iniciar la respuesta de auditoría correspondiente e informar los resultados a la dirección, gestionar resultados de rastreo, informe, supervisión y seguimiento, evaluar los resultados de las acciones implementadas, supervisar y evaluar la eficacia del proceso de auditoría continua tanto el análisis, como los resultados obtenidos y modificar los parámetros de prueba, garantizar la seguridad del proceso de auditoría continua y asegurar que existan las vinculaciones correspondientes con las iniciativas de la dirección, como por ejemplo, la ERM, la supervisión y la medición de desempeño.
Existen diversos beneficios al trabajar con un enfoque de auditoría continua, ya que les permite a los auditores internos comprender en profundidad los puntos de control crítico, las reglas y las excepciones. Brinda análisis de datos frecuentes y automatizados, que les permite realizar evaluaciones de riesgos y controles en prácticamente en tiempo real y finalmente, puede analizar los sistemas de negocio clave para detectar tanto anomalías en el nivel de la transacción como indicadores controlados por datos referidos a deficiencias de control y riesgos emergentes.
Fuente: NahunfrettBlog