6

sencillos pasos para

realizar auditorías
internas más efectivas
 seis sencillos pasos para realizar auditorías internas más efectivas 2

introducción
Hoy en día, los auditores internos están sometidos a mucha presión. Aunque cada vez
pueden dedicar menos tiempo a cada auditoría, las circunstancias exigen que éstas sean cada
vez más fructíferas. Por eso es más importante que nunca que los auditores aprovechen al
máximo los recursos de los que disponen. Para realizar auditorías que ofrecen el mayor valor
comercial en el menor tiempo posible, los auditores deben ser capaces de investigar a fondo
los datos que reciben para descubrir información significativa, riesgos y la posibilidad de
fraude en sus organizaciones.

Para enfrentarse a este desafío, los auditores deben seguir seis pasos clave si desean realizar
una auditoría interna efectiva que pueda afectar de manera positiva y apreciable a la empresa:

1. Asegurarse de que los cimientos de la auditoría no tienen "grietas"

2. Determinar el nivel de riesgo de las decisiones que se toman en base a sistemas de
información
3. Preparar una respuesta que finalice una estrategia para eliminar deficiencias
4. Asegurarse de que los recursos disponibles son adecuados
5. Finalizar un modelo para realizar actividades de análisis de datos
6. Supervisar y mejorar actividades para asegurarse de que se obtienen los resultados
deseados

1 Cimientos
Crear una función de auditoría es parecido a planificar la construcción de un
edificio. No existen garantías: no siempre es mejor que el proyecto sea lo más
grande posible, pero los proyectos más pequeños no son siempre los más
eficientes. Sea cual sea el tamaño de la función, nunca pueden faltar ciertos
componentes:

Cimientos sólidos
Las funciones de auditoría no salen de la nada, sino que se erigen sobre cimientos
sólidos que presentan la combinación ideal de elementos críticos ligados por
un proceso de creación reiterativo, que a su vez está formado por los siguientes
elementos:

• Liderazgo robusto y efectivo por parte de los cargos directivos

• Comunicación constante y adecuada con el personal directivo superior
• Actividades que demuestran adherencia a los estándares profesionales
• Una combinación equilibrada de personal competente y cualificado
• Un universo de entidad de auditoría amplio y completo
• Resultados de auditoría procedentes de actividades de planificación
priorizadas correctamente

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 3

Autoridad de amplio alcance

Según las Normas Internacionales para el Ejercicio Profesional de la Auditoría
Interna (o Normas), la auditoría interna debería evaluar de manera regular las
exposiciones al riesgo relacionadas con los siguientes elementos:

• El gobierno (las políticas y los procedimientos del personal directivo)

• La fiabilidad y la integridad de la información financiera y operativa
• La eficacia y eficiencia de las operaciones
• La protección de activos
• El cumplimiento de leyes, regulaciones y contratos

Indicadores de éxito
Los indicadores de que existe progreso incluyen:

• Valoraciones más altas en respuestas de satisfacción del cliente

• Captación de nuevos auditores (ya que a muchos les interesa trabajar en un
lugar en el que la tecnología se usa para aumentar la eficacia y la eficiencia)
• Aumento de la confianza del personal en sí mismos
• Disminución drástica de la rotación de personal
• El personal comienza a mostrar interés en investigar diferentes enfoques,
técnicas y herramientas de auditoría
• Una capacidad sólida de adquirir y analizar datos de manera independiente
para corroborar o detectar fallos en la fiabilidad y la integridad de la
información

Cuando las funciones de auditoría tienen unos cimientos sólidos, no solo pueden
completar las auditorías correctamente, sino que también cosechan todos los

2
frutos de una auditoría efectiva gracias al análisis de datos.

Evaluación de riesgos
Las evaluaciones de riesgos se deben llevar a cabo por lo menos una vez al año
para desarrollar un plan de auditoría flexible anual. El plan de auditoría se centra
en áreas determinadas por una metodología basada en riesgos apropiada y tiene
en consideración las preocupaciones relativas a riesgos y controles del personal
directivo.

Para evaluar de manera específica riesgos asociados con información operativa y

financiera, los auditores deben recopilar y mantener información que incluye:

• Los tipos de sistemas que usa la organización

• El propietario de estos sistemas
• Comprensión de en qué medida depende la organización de la información
procedente de estos sistemas

Si es la primera vez que la auditoría interna completa estas actividades, la tarea

puede resultar abrumadora. Sin embargo, las actualizaciones futuras serán mucho
más sencillas.

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 4

Las actividades que se deben completar y actualizar anualmente son:

Metodología basada en riesgos

Establezca una metodología basada en riesgos apropiada que ayude a garantizar
que las prioridades de la auditoría se establecen en función de la probabilidad
de ocurrencia y el impacto potencial. Las metodologías basadas en riesgo se
pueden desarrollar, adoptar de otra organización o adquirir comercialmente. Es
posible que los propietarios de un auxiliar de auditoría automático o un sistema
de documentos de trabajo ya dispongan de una metodología de evaluación de
riesgos.

Sistemas de información empresarial

Cree un inventario de todos los sistemas de información empresarial actuales y
futuros capturando un nivel de detalle adecuado al proceso de evaluación en cada
caso. Las conversaciones con las unidades empresariales que poseen y mantienen
cada sistema deberían revelar si se producen problemas específicos debido al uso
de estos sistemas.

Ciclo de vida de los datos

Documente el ciclo de vida de los datos en cada sistema. Incluya el origen de los
datos y la manera en la que se recopilaron, dónde y cómo se almacenan tanto
estos datos como sus copias de seguridad, qué decisiones empresariales clave
se tomaron en función de los datos y cómo se distribuyen los datos (incluyendo
la retención y la destrucción de los mismos). Permanezca alerta a cualquier
problema relacionado con la segregación de funciones que pueda surgir.

Niveles de permiso del sistema

Para cada sistema, documente los niveles de permiso concedidos a empleados
específicos o a grupos de empleados, así como los detalles relacionados con
la forma de conceder y cambiar los permisos a lo largo del tiempo. Esta área es
ideal para implementar scripts de análisis de datos que lean continuamente datos
actuales y produzcan una matriz de usuarios por nivel de permisos, hora del día o
día de la semana para sistemas específicos.

Tras completar estas actividades, la función de auditoría podría identificar áreas

susceptibles de mejora, en cuyo caso se deberían mantener conversaciones con

3
el personal directivo para determinar cuáles son las principales preocupaciones y
las medidas correctivas apropiadas.

respuesta al incumplimiento
Las responsabilidades mínimas de las auditorías internas son descubrir errores,
irregularidades o casos de incumplimiento significativos, así como revelar posibles
indicadores de fraude. El uso y la aplicación del análisis de datos puede ayudar a
completar estas tareas y a determinar si los datos que utiliza la organización para
llevar a cabo sus negocios no son fiables. Si este fuera el caso, es posible que el
personal directivo esté tomando decisiones incorrectas o realizando acciones que
no resultan en operaciones más eficientes y efectivas.

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 5

Si la evaluación de riesgos que se mencionó en el paso 2 descubre deficiencias

significativas en las actividades de supervisión del personal directivo, la respuesta
de la auditoría podría ser más proactiva. Es probable que el nivel de respuesta sea
diferente para cada tabla de datos, como se describe a continuación:

Control de calidad extensivo o moderado

Si la evaluación de riesgos indica que los controles son insuficientes o no existen,
es necesario volcar más recursos en esta área dependiendo de la frecuencia y
el impacto de los problemas. El equipo de auditoría debe comunicarse con el
propietario o los propietarios del sistema para decidir cómo proceder. Se deben
llevar a cabo actividades de análisis frecuentemente para localizar errores e
irregularidades, y las unidades operativas pueden usar las pruebas para fortalecer
los controles.

Control de calidad mínimo

La evaluación de riesgos podría revelar que las deficiencias son mínimas o que
no existen, o que una entidad independiente está supervisando de manera activa
la integridad y la fiabilidad de la información. En este caso, la auditoría tendrá
que confirmar la legitimidad de la situación concentrándose en descartar errores
significativos o indicadores de fraude.

Asesoría
Para algunas organizaciones, resulta más provechoso que el equipo de auditoría
desempeñe el papel de asesor y que una de sus labores principales sea ayudar al
personal directivo a evaluar los riesgos de nuevas iniciativas estratégicas, ocuparse
de la diligencia debida y completar otros proyectos.

Dependiendo de la respuesta, el jefe de auditoría debería reconsiderar el

papel de la auditoría interna tal como se describe en el estatuto de auditoría
interna y recomendar los cambios pertinentes. Podría ser necesario mantener
conversaciones con el personal directivo superior, con equipos de auditoría
externa y con el comité de auditoría del consejo si se esperan cambios. El jefe de
auditoría también debería asegurarse de que la organización es consciente del
papel de la auditoría interna en todas las áreas críticas, incluyendo las iniciativas de
análisis y minería de datos.

Dentro de la auditoría interna, la oportunidad de descubrir mejores herramientas

y habilidades de auditoría convive con la necesidad de expandir el alcance del
análisis y la minería de datos. Estas competencias pueden mejorar para que la
empresa pueda ir más allá del mero cumplimiento con las Normas. El uso de

4
herramientas de análisis o de la minería de datos le ofrece a la auditoría interna la
oportunidad de lograr mejores resultados en las auditorías y de reducir la duración
del ciclo de auditoría.

herramientas y recursos
El jefe de auditoría debe asegurarse de que los recursos sean apropiados,
suficientes y eficazmente asignados para cumplir con el plan aprobado. Esto
incluye comunicar el impacto de cualquier limitación de recursos (ver las Normas
del IIA 2020 y 2030), que pueden ser obstáculos para el éxito. Resolver cualquier
problema que pueda surgir con los recursos antes de que se apruebe el plan de
auditoría anual aumentará la probabilidad de que los procesos de análisis de datos
se desarrollen correctamente.

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 6

Las áreas a considerar son:

Obtener datos corporativos

Si se producen problemas durante la adquisición de datos, el plan de auditoría
no se completará con éxito. Es importante ser proactivo para evitar este tipo de
obstáculos familiarizándose con la política de organización de los permisos y
privilegios relativos al acceso de datos (y si no hay ninguna política implementada,
averiguar por qué).

Intervención del personal

¿A quién se asignarán las actividades de análisis de datos: a auditores del
departamento informático, a auditores financieros o a todo el personal? Tenga
en cuenta que los jefes de auditoría no suelen empezar con el objetivo de lograr
un 100 % de competencia; la mayoría de las funciones empiezan con un objetivo
relativamente modesto y cada año se va añadiendo más personal a medida que se
logran éxitos y se mejoran habilidades.

Evalúe habilidades y competencias

Los auditores con experiencia en análisis de datos pueden ayudar al resto. Otros
recursos formativos pueden proceder de la misma organización, pero también
puede encontrar a un proveedor externo que imparta cursos o seminarios bien
dentro de la empresa o bien fuera. Otra posibilidad es contratar a nuevo personal
que ya tenga experiencia en el análisis de datos.

Adquiera herramientas efectivas y eficientes

Intente localizar herramientas que ya estén a disposición del equipo de auditoría
pero que solo utilicen ciertas personas. Aunque es frecuente utilizar herramientas
de oficina general debido a que están disponibles para la mayoría del personal
(como Microsoft Excel), estas herramientas palidecen ante técnicas de auditoría
básicas, como la adquisición, la combinación, la organización y el muestreo de
datos.

Las herramientas avanzadas de análisis de datos más recientes, como CaseWare

IDEA, integran las necesidades y los requisitos de la auditoría, lo cual permite
que el personal pueda actuar de manera efectiva y eficiente con una formación
mínima. Si necesita herramientas nuevas o adicionales, adquiera software notable
por su facilidad de uso y su acceso a asistencia técnica y atención al cliente fiables.

Las necesidades de recursos deberían incluir la compra del software así como la
formación inicial, si fuera necesaria.

Si define los recursos de auditoría como las herramientas, el personal y el

presupuesto necesario para adquirir y mantener el nivel de actividades apropiadas,
la función será más efectiva. Para complementar el uso de herramientas de análisis
de datos, las habilidades que tendría que desarrollar el equipo de auditoría (o que

5
deberían estar presentes en el nuevo personal que vaya a formar parte del equipo)
incluyen pensamiento crítico y comprensión de sistemas de información y bases
de datos relacionales.

MODELO PARA GUIAR EL CAMBIO

Si establece un modelo para guiar el cambio, podría ayudar al personal a entrar en
materia y evitar salidas en falso. Puede realizar auditorías de prueba usando datos
reales para establecer un modelo apropiado que guíe al personal. Tendrá que cubrir
las siguientes áreas:

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 7

Adquisición e importación de datos

Los empleados deben saber cómo obtener no solo los datos, sino también los
elementos (o campos) de los datos necesarios. En algunas organizaciones, el
personal del departamento de informática necesitará una solicitud de servicio
completada y aprobada. Las organizaciones con sistemas de planificación de
recursos empresariales muy desarrollados podrían proporcionar generadores de
informes a los auditores que les permiten acceder a datos directamente (con el
permiso adecuado). Las organizaciones que usen sistemas tradicionales pueden
ofrecer habitualmente informes estándar de manera electrónica en forma de
"informes impresos" que se pueden importar a continuación a la herramienta de
análisis de datos.

Validación
Los datos se deberían comprobar para verificar que son completos y precisos.
Los datos deberían concordar con informes de empresa, resultados o estados
financieros específicos, o con una comparación con el presupuesto del mismo
período del año anterior o el presupuesto del año actual. Antes de seguir adelante
con el proceso, se debería resolver cualquier discrepancia.

Análisis
El análisis comprende una amplia gama de actividades, incluyendo la combinación
y unión de archivos de datos, el muestreo o la extracción de registros específicos y
la organización o búsqueda de patrones de datos en cuanto a fechas, ausencias e
irregularidades. De esta manera, el análisis puede apoyar las conclusiones.

Supervisión
Las Normas requieren que el trabajo se supervise de manera adecuada y
apropiada. Se deben crear directrices que indiquen cómo se van a llevar a cabo
estas actividades y quién será el responsable de realizarlas. Algunos documentos
de trabajo facilitan actividades y funciones relacionadas con la revisión de
supervisión.

Documentación
Para respaldar las conclusiones de la auditoría es necesario mantener registros de
auditoría e historiales de actividades relacionadas con el análisis impecables. El
cliente necesita estar convencido de que el trabajo de auditoría no ha introducido
problemas de integridad o fiabilidad de los datos en los documentos de trabajo.
Las herramientas de análisis de datos específicas para la auditoría que usen los
auditores deberían tener un registro de historial automatizado incorporado.

Compartir experiencias
Algunas funciones de auditoría organizan una conferencia de cierre de las
actividades de análisis de datos poco después de presentar el informe de auditoría
final. Compartir experiencias es provechoso tanto para los auditores como para
los directivos: mantener una conversación abierta acerca de lo que funcionó y lo
que no funcionó refuerza tanto las actividades de supervisión como el trabajo de
auditoría que se realizará en el futuro.

Establecer un modelo ayuda a mantener la función de auditoría organizada. Si el

equipo de auditoría lo cree necesario, se podrían realizar pruebas adicionales que
revelen problemas que han pasado desapercibidos, como errores en los datos o
fraude.

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 8

6 supervise y siga su plan

El líder de un equipo de auditoría debe supervisar las actividades periódicamente
para garantizar que se obtienen los máximos beneficios. Esto es de especial
importancia si se han introducido nuevas herramientas y metodologías. La
supervisión periódica también les ofrece a los líderes la oportunidad de mostrar a
la función de auditoría que aprecian su trabajo y sus logros.

Intente centrarse en las siguientes áreas:

Rendimiento
Las metas relacionadas con eficacia y eficiencia se deberían identificar claramente,
comunicar y supervisar. Como regla general, el trabajo de auditoría debería ser
cada vez más barato, más rápido y de mejor calidad. Se deberían implementar
controles para identificar oportunidades desaprovechadas o áreas en las que el
rendimiento podría haber sido mejor.

Mejora continua
El personal debería buscar siempre nuevas y mejores formas de realizar actividades
y trabajo de auditoría. Es muy importante usar como referencia los conocimientos
de la empresa y de la industria, así como las herramientas y las técnicas que
usan otros auditores. Además, se podrían descubrir nuevas ideas asistiendo a
encuentros de grupos de usuarios y asociaciones profesionales.

Seguimiento
La auditoría interna debería desarrollar un proceso para catalogar formalmente
análisis y resultados de pruebas. Este repositorio sería un gran recurso para la
auditoría interna y se podría utilizar para mejorar el servicio y demostrar el grado
de éxito del equipo.

Análisis de experiencias
Si los indicadores sugieren que es necesario aplicar cambios, es posible que tenga
que ajustar las expectativas de rendimiento, los estándares y los indicadores de
progreso. Podría desarrollar nuevas ideas asistiendo a encuentros de grupos de
usuarios y asociaciones profesionales.

Promocione sus servicios

La auditoría debería usar sus éxitos para publicitarse. Esto demuestra que el equipo
está orgulloso de sus éxitos y podría animar a otros departamentos a recurrir a la
auditoría cuando tengan problemas relacionados con los datos. Además, ayudar al
personal directivo a alcanzar las metas de la empresa puede repercutir de manera
positiva en auditorías futuras.

Si bien la supervisión ayuda a la función de auditoría y al personal a seguir un

plan predefinido, también es el inicio de un proceso reiterativo que representará
un triunfo no solo para el departamento, sino para toda la empresa. Cuando el
personal observa que sus esfuerzos son apreciados y valorados, el orgullo y la
moral del departamento de auditoría aumentan.

w w w www.casewareanalytics.com/es
. c a s e w a reanalytics. com
 seis sencillos pasos para realizar auditorías internas más efectivas 9

conclusión
Estos seis pasos son la clave para que su función de auditoría se convierta en un
recurso más efectivo y valioso para enfrentarse a los problemas operacionales y de
control de su empresa. Al seguir estos pasos, los auditores se convierten en socios
estratégicos que ayudan a la empresa a alcanzar sus metas.

Las herramientas y las técnicas de análisis de datos tienen un impacto incluso más
positivo, pues se pueden transferir a unidades de negocio, que pueden usarlas a su
vez para autoevaluarse y mejorar sus controles. Cuando la auditoría se utiliza más y
más frecuentemente como una herramienta de asesoramiento, la empresa entera
se beneficia de la situación, ya que puede demostrar que está comprometida a
operar de manera eficiente y responsable.

Solo se puede decir que el proceso de auditoría interna es verdaderamente

efectivo cuando los departamentos de auditoría funcionan de tal manera que el
personal siente que sus datos financieros y operacionales presentan la fiabilidad
necesaria para tomar decisiones correctas y presentar informes financieros
precisos.

CaseWare IDEA
El software de análisis de datos CaseWare IDEA es un producto de CaseWare
Analytics, creadores de soluciones de software de análisis de datos y supervisión
continua para auditores y otros profesionales del ámbito financiero. El análisis
avanzado de IDEA, que incluye análisis basados en la Ley de Benford y duplicación
aproximada, ayuda a los auditores a analizar el 100 % de sus datos con un solo
clic, revelando así patrones, tendencias y excepciones que podrían indicar fraude
u otros riesgos. Descubra por qué tres de las mejoras compañías de contabilidad
del mundo y 76 de las 100 mejores compañías de contabilidad de Estados Unidos
confían en IDEA para analizar sus datos: visite nuestro sitio web o póngase en
contacto con nosotros si está interesado en una demostración gratuita de IDEA.

www.casewareanalytics.com/es
1-800-265-4332 ext. 2800
salesidea@caseware.com
IDEA es una marca registrada de CaseWare International Inc.

ww
ww www.casewareanalytics.com/es
ww
. c. a
c sa es w
e w
a ra er a
enan
a la yl ty it ci sc .s c. o
comm