Boletín de investigación
Auditoría interna con base en riesgos con herramientas tecnológicas
T. Sector Empresa Auditoría Interna
Mtro. y L.C. Raúl Vaca Castro
L.C. Iván Manuel Miguel Jiménez Carbajal
Presentación
Los avances tecnológicos en los negocios y la velocidad del cambio no tienen precedente, en virtud de lo cual, la auditoría no debe quedarse rezagada respecto a los cambios tecnológicos, sino que debe innovarse a la par. Por ello, actualmente el auditor requiere tener herramientas tecnológicas que le apoyen a cumplir de manera eficiente los objetivos establecidos, por lo que debe invertir el mayor tiempo posible en el análisis de la información, y no en la obtención, preparación y presentación de los datos.
Es importante que el auditor considere que, hoy en día, todo tipo de información se encuentra en dispositivos, sistemas o repositorios electrónicos, a fin de que se prepare para la obtención de los datos y manejo de la información con herramientas tecnológicas, deje atrás las solicitudes de la información para compromisos de aseguramiento y, en su lugar, la obtenga directamente de las fuentes tecnológicas.
La potestad que le da el mandato y/o estatuto de Auditoría confiere al auditor obtener toda la información de las compañías, lo que, complementado con el apoyo de las herramientas tecnológicas, convierte al auditor en un elemento de calidad mundial, debido al poder de la información.
1. Introducción
1.1. La auditoría interna basada en riesgos con herramientas tecnológicas
- Obsolescencia del modelo tradicional sin uso de tecnología
En un entorno empresarial cada vez más digitalizado, con transacciones complejas y múltiples, así como ejecutivos con espacios limitados de atención hacia los auditores, la tecnología desempeña un papel fundamental para mejorar la eficiencia, precisión, oportunidad y eficacia de la función de auditoría interna.
Los procesos tradicionales de auditoría interna están alcanzando la obsolescencia con rapidez, ante la necesidad imperante de contar con aseguramiento y consultoría oportunos, por lo que los profesionales que no utilicen la tecnología no lograrán ser aliados estratégicos que aporten valor a las partes interesadas.
Es de señalar y aclarar que el uso de tecnología no reemplaza la metodología de auditoría interna, sino que proporciona a los auditores herramientas en los compromisos de aseguramiento y consultoría, en las fases de planeación, ejecución, presentación de resultados, seguimiento y gestión de la función, sin olvidar la gestión de la calidad.
Los beneficios son evidentes e incluyen aspectos relevantes, como los siguientes:
- Mejora de la eficiencia: la tecnología automatiza muchas tareas manuales y repetitivas, lo que permite a los auditores dedicar más tiempo a actividades de mayor valor agregado. Mediante el uso de herramientas especializadas, como análisis de datos, automatización, robotización, Inteligencia Artificial (IA), etc., se pueden realizar tareas de auditoría de manera más rápida y eficiente, lo cual reduce costos operativos.
- Mayor precisión y calidad de los datos: la tecnología ayuda a minimizar los errores humanos al realizar pruebas y análisis de datos. Las herramientas tecnológicas permiten analizar grandes volúmenes de información de manera precisa y rápida, identificando patrones, tendencias y anomalías que podrían pasar desapercibidas con métodos tradicionales. Esto mejora la calidad de los informes de auditoría y proporciona una base sólida para la toma de decisiones.
- Mayor cobertura y alcance: la tecnología facilita la revisión de grandes cantidades de datos en tiempo real, lo que reduce exponencialmente el uso de muestras y proyección de conclusiones a la población no probada, además de permitir una detección temprana de posibles irregularidades o riesgos. Mediante el uso de herramientas de auditoría basadas en la nube y la automatización de procesos, se pueden realizar auditorías continuas y monitorear de manera proactiva las transacciones y los controles internos, todo lo cual brinda al auditor una creciente ubicuidad lograda con base en su propio conocimiento del negocio.
- Fortalecimiento de la seguridad y la confidencialidad: la tecnología ofrece soluciones avanzadas para garantizar la seguridad y la confidencialidad de los datos de la auditoría interna. La implementación de controles de acceso, encriptación de datos, registros de auditoría y otras medidas de seguridad proporciona una mayor protección contra el acceso no autorizado y los riesgos cibernéticos. Esto es especialmente relevante si se considera la creciente cantidad de datos confidenciales que se manejan durante los procesos de auditoría.
- Análisis de datos avanzados: la tecnología permite el uso de análisis de datos y su presentación en tableros que no requieren de personal humano para su actualización, así como pruebas automáticas y el uso de otras herramientas como aprendizaje automático (machine learning) o IA para identificar patrones y tendencias complejas en los datos de auditoría. Estas capacidades analíticas mejoradas ayudan a identificar áreas de riesgo, detectar fraudes potenciales y proporcionar información valiosa para la toma de decisiones estratégicas.
- Triángulo para el éxito de un modelo tecnológico de auditoría con base en riesgos
La construcción y el uso de aplicaciones y herramientas tecnológicas en auditoría no garantiza su efectividad. Para lograr que se aporte valor a las partes interesadas, es necesario que el Chief Audit Executive (CAE, o Director Ejecutivo de Auditoría) y su equipo cuenten con tres aspectos interrelacionados: proficiencia en metodología de auditoría interna, conocimiento profundo del negocio y uso de tecnología para la auditoría interna.
Proficiencia en metodología de auditoría interna
El CAE debe ser experto en el conocimiento y aplicación de la metodología de auditoría interna con base en riesgos, además de poseer habilidades blandas que le permitan contar con un fortalecido criterio profesional.
La importancia de la proficiencia consiste en plasmar los conocimientos del negocio y la metodología de auditoría que, con el uso de tecnología, producirán datos e información útiles que constituirán evidencia de auditoría.
Conocimiento profundo del negocio
Cada negocio es complejo y tiene aspectos únicos. El tiempo promedio para entender los procesos clave de un negocio para un auditor interno puede tomar de uno hasta tres años. Hay que adicionar el dinamismo que supone considerar cambios en normativas internas, estructuras organizacionales, sistemas financieros y operativos, así como otros factores que inciden, como son modificaciones en el compliance externo y propio de la industria de la entidad, cultura empresarial, autopercepción del negocio y preocupaciones de la administración y demás partes interesadas.
Un CAE que no tiene un profundo conocimiento del negocio sólo será un ayudante de auditoría que aplique procedimientos tradicionales que no aportarán valor, más allá de decirle cosas obvias a los ejecutivos expertos de la administración, quienes serán condescendientes para hacer breves las interacciones con los encargados de la auditoría interna.
Uso de tecnología para la auditoría interna
El mundo de hoy mañana no será el mismo. La información es generada en tiempo real. El grado de atención del ciudadano promedio es de menos de un minuto y, en el caso de los ejecutivos, la estadística es más severa. Además, debe considerarse que, en la mayoría de las profesiones, se requiere utilizar la tecnología como apoyo o base para obtener el poder de la información.
Un CAE que no utiliza la tecnología hoy, será igual que un CAE que revisó transacciones a principios del siglo pasado: el Excel con sus tablas dinámicas y macros constituyen las nuevas hojas de 14 columnas que se resistieron por más de 100 años a ser reemplazadas, con el consiguiente daño a la imagen de la profesión.
Las combinaciones de proficiencia, conocimiento del negocio y uso de tecnología son vitales debido a que:
- Auditoría interna ágil
The Institute of Internal Auditors (IIA o Instituto de Auditores Internos) proporciona consejos sobre la implementación de una función ágil de auditoría interna:
- Verificación de controles de generación de información (financiera y no financiera)
Todos los análisis e interpretaciones sobre la entidad se basan en la información de la cual se dispone. Si no se efectúa un adecuado aseguramiento que valide la integridad y exactitud de la información generada por la entidad, cualquier análisis realizado no aportará valor. - Equipo de construcción de análisis de datos
Reclutar o desarrollar talento interdisciplinario será siempre la vía de preferencia. Es válido buscar talento en el área de Tecnologías de la Información (TI) e integrarlo al equipo; lo importante es contar con elementos cualificados en el equipo de auditoría interna que logren desarrollar herramientas tecnológicas para la función. Tercerizar dichas actividades tarde o temprano pasará factura al crear dependencia, exponer información sensible y denostar el potencial de los miembros del equipo actual. - Capacidad de apoyar en el logro de los objetivos estratégicos
Mientras que las pruebas tradicionales validan si un proceso opera conforme a lo planeado, data analytics permite mejorar procesos de negocio. Para ello, es necesario dominar el negocio y tener como socios estratégicos a lo largo de todas las áreas de la administración a los responsables de los procesos auditables.
Innovación y agilidad van de la mano. Esto implica identificar y abordar las respuestas de la entidad a riesgos emergentes con apoyo de herramientas como la automatización de pruebas, robotización de tableros y pruebas e IA. Además, "agilidad” conlleva cultivar nuevos vínculos con ejecutivos de la operación y directores.
La premisa de la filosofía ágil es ofrecer al cliente entregas mínimas iterativas que aporten valor y construir aportes más complejos sobre la base de lo elegido por el propio cliente o derivado de los cambios en los contextos que obliguen a priorizaciones de servicios que maximicen el valor; por ello, es primordial mejorar los vínculos con quienes operan el negocio y considerarlos como clientes, no como “auditados”. Se requieren buenos resultados para que ellos también perciban este cambio y demuestren satisfacción sobre su auditor y no rivalidad o condescendencia.
1.2. Insumos de información para un plan de auditoría interna con base en riesgos
En la misma línea del enfoque ágil, el CAE debe elaborar su plan de auditoría con base en riesgos para proporcionar aseguramiento y consultoría, a fin de apoyar en el logro de los objetivos estratégicos del negocio, siempre teniendo en cuenta la cultura corporativa, la cual descansa en la misión, visión y valores.
Así, el plan apuntará a las preocupaciones definidas por las partes interesadas en los documentos corporativos emitidos bajo un apropiado Gobierno corporativo y no será elaborado de acuerdo con un modelo estándar de auditoría o conforme a la opinión de la industria o incluso del propio CAE.
- La misión es la razón de ser de la compañía.
- La visión es a dónde quiere llegar.
- Los valores son los ejes rectores que se deben respetar en el camino a la visión.
- Los objetivos estratégicos son metas claras de la entidad para llegar a su visión.
El plan de auditoría debe proporcionar confort a las partes interesadas sobre la consecución de los Objetivos estratégicos y debe indicar qué tan efectiva es la entidad para gestionar las amenazas a los mismos (riesgos).
Un auditor interno que no basa su plan de auditoría en estos elementos trabajará fútilmente durante el año. Si se considera el dinamismo de los contextos de todas las industrias, se vuelve ocioso realizar planes que excedan el año calendario, pues la constante que representa el cambio implicará modificaciones periódicas. Lo más recomendable es realizar revisiones y ajustes trimestrales al plan anual de auditoría para asegurarse de mantenerlo efectivo.
A continuación, se brinda un ejemplo de la consideración de estos pilares:
Una vez que el CAE sabe hacia dónde desea ir la compañía, se deben identificar los riesgos estratégicos y de la industria. Para ello existen diversas fuentes, como pueden ser:
- Mapa de riesgos, emitido por la segunda o primera línea.
- Análisis de riesgos de la entidad, emitido por un tercero.
- Análisis de riesgos de la industria, emitido por alguna firma especializada o por el sector.
- Inventario de riesgos principales, emitido por la entidad en documentos públicos.
- Análisis de riesgos, elaborado por personal de auditoría interna.
Una vez identificados los riesgos, comienza la evaluación de la respuesta a los mismos. Para la construcción del plan anual se deben considerar, al menos, los siguientes factores:
Evaluación de riesgos. Se determina la materialidad con base en metodología y se identifican las cuentas y procesos clave a revisar; en ello, se priorizan los procesos core del negocio y aquellos donde se concentren los mayores riesgos en términos de probabilidad e impacto.
Conocimiento del negocio. Se requiere personal experto en el negocio para identificar los procesos clave y así tener un entendimiento claro de los procesos punta a punta, con la finalidad de construir un plan efectivo.
Procesos documentados y matrices de riesgos y controles. Dependiendo de la madurez del control interno de la entidad se dispondrá de funciones robustas que lo tengan adecuadamente documentado. Esta información es el punto de partida de la auditoría interna; de lo contrario, se tendrá que generar el entendimiento de cada proceso desde cero y crear planes de pruebas basados en sustantivación.
Información pública. El CAE debe asegurarse de obtener toda la información que la entidad ha hecho pública y utilizar estas fuentes para la preparación de su plan anual. En el caso de entidades que coticen en Nueva York, debe asegurar que se considere la información del formato 10K o 20F; en el caso de cotización en bolsas locales, se debe consultar el formato aplicable, así como informes anuales y de sustentabilidad, y cualquier información pública, por ejemplo: llamadas o reuniones con inversionistas, analistas, calificadoras y demás agencias de rating o de generación de información o análisis de información financiera y no financiera.
Solicitudes del management. Las preocupaciones de la Alta Gerencia y demás partes interesadas deben ser consideradas dentro de la elaboración del plan de auditoría interna, a efecto de que el CAE evalúe su incorporación, con la debida autorización del Comité de Auditoría, ya sea anualmente o derivadas de eventos durante el año que impliquen la intervención de la auditoría interna en dichos temas.
Ya que se evaluaron a detalle la estrategia y la evaluación de la gestión de riesgos de la entidad, se deben considerar también los aspectos de compliance en todos niveles:
- Control interno: Committee of Sponsoring Organizations of the Treadway (Coso, o Comité de Organizaciones Patrocinadoras de la Comisión Treadway), Criteria of Control (Coco, o Criterios de Control), el modelo Cadbury, etc.
- Contable financiero: United States Generally Accepted Accounting Principles (US GAAP, o Principios de Contabilidad Generalmente Aceptados en Estados Unidos), International Financial Reporting Standard (IFRS, o Normas Internacionales de Información Financiera), Normas de Información Financiera (NIF), etc.
- Regulatorio: Securities and Exchange Commission (SEC, o Comisión de Bolsa y Valores), Bolsa Mexicana de Valores (BMV), acuerdo Basilea, circulares, etc.
- Tecnologías de la Información: Control Objetives for Information and Related Technology (Cobit, u Objetivos de Control para la Información y Tecnología Relacionada), National Institute of Standards and Technology (NIST, o Instituto Nacional de Estándares y Tecnología) ISO 27001, etc.
- Fraude: Association of Certified Fraud Examiners (ACFE, o Asociación de Certificadores de Fraude), legislación particular, circulares específicas, etc.
- Proyectos: Project Management Institute (PMI, o Instituto de Gestión de Proyectos), etc.
- Sustentabilidad: World Economic Forum (WEF, o Foro Económico Mundial), Global Reporting Initiative (GRI, o Iniciativa de Reporte Global), Sustainability Accounting Standards Board (SASB, o Junta de Normas de Contabilidad de Sostenibilidad), Task Force on Climate-related Financial Disclosures (Tcfd, o Grupo de Trabajo sobre Divulgaciones Financieras Relacionadas con el Clima), etc.
- Negocio: legislación y mejores prácticas por industria.
- Gobierno corporativo: Código de Principios y Mejores Prácticas de Gobierno Corporativo (CPMPGC), Organización para la Cooperación y el Desarrollo Económicos (OCDE), normas internas, etc.
A continuación, se presenta el modelo de insumos utilizados para la construcción del Plan Anual de Auditoría con base en riesgos:
2. Desarrollo
2.1. Herramientas tecnológicas utilizadas en el proceso de auditoría interna con base en riesgos
Existen varias herramientas tecnológicas que pueden mejorar la función de auditoría interna en una organización. Estas herramientas pueden ayudar a automatizar tareas, mejorar la eficiencia, aumentar la precisión y proporcionar un mejor análisis de datos.
El propósito de las mismas es evitar el uso de horas en la recopilación, clasificación y preparación de datos para su análisis; en su lugar, se utilizan herramientas tecnológicas para tal efecto, a fin de destinar el tiempo de los auditores a labores que involucren el juicio y criterio profesional humano y que aporten valor a la compañía.
No nos referiremos por el momento a los diversos softwares de documentación de auditoría que existen en el mercado, los cuales son también herramientas que apoyan a los equipos para la administración de papeles de auditorías y que permiten documentar la planificación, ejecución y seguimiento de manera más eficiente, incluyendo la generación de informes y gestión de los hallazgos, dentro de un flujo de trabajo colaborativo, lo que garantiza la confidencialidad de la información y la homologación de trabajos en diferentes negocios y geografías, todo lo cual procura la simplicidad pero cumpliendo con lo requerido por las normas de auditoría interna.
A continuación, se muestran cuatro principales herramientas tecnológicas que pueden aportar mucho valor a los equipos de auditoría interna:
a) Inteligencia de negocios (Business Intelligence o BI)
Implementación y uso de Tableros de Auditoría Interna (TAI)
Consiste en tecnologías, aplicaciones y prácticas utilizadas para recopilar, integrar, analizar y presentar datos y obtener información relevante para la toma de decisiones. Su objetivo es transformar los datos brutos en información y conocimientos accionables que impulsen la eficiencia operativa, la toma de decisiones estratégicas y el rendimiento empresarial.
Etapas en el uso de BI:
- Extracción y consolidación de datos: se recopilan de diversas fuentes, como bases de datos internas, sistemas de gestión empresarial, aplicaciones externas y fuentes de datos externas. Estos datos se extraen, transforman y consolidan en un almacén de datos o data warehouse.
- Análisis de datos: los datos almacenados se analizan utilizando técnicas y herramientas de análisis, como consultas con Structured Query Language (SQL o Lenguaje de consultas estructuradas), minería de datos, modelado estadístico y análisis de tendencias. El objetivo es descubrir patrones, identificar relaciones y obtener información significativa que ayude a comprender el rendimiento empresarial.
- Presentación de información: la información se presenta a través de tableros con visualizaciones interactivas para facilitar la comprensión y el análisis. Estas representaciones visuales permiten a los usuarios explorar los datos, realizar consultas a la medida y obtener respuestas a preguntas específicas.
- Toma de decisiones: la información se utiliza para la toma de decisiones informadas. Se pueden utilizar estos conocimientos para identificar oportunidades, optimizar procesos, mejorar la eficiencia operativa y corregir las desviaciones que se hayan identificado.
El BI abarca una amplia gama de tecnologías, como sistemas de gestión de bases de datos, herramientas de análisis y visualización de datos, y aplicaciones de generación de informes. Estas herramientas permiten a la función de auditoría interna mantenerse competitiva en un entorno empresarial dinámico, en el que lo único que prevalece es el constante cambio.
En auditoría interna, el uso de BI es particularmente útil para modelar información financiera, no financiera, controles, procesos, ubicaciones, deficiencias y en general prácticamente cualquier dato.
Para efectos del presente boletín, se muestran los Tableros de Auditoría Interna (TAI) de Estados Financieros, Análisis Horizontal, Detalle de Ventas y Benchmark de Costos de Producción de todos los países donde se tiene operación en la División minera de Grupo México.
Los tableros de Estados Financieros incluyen Balance General, Estado de Resultados, Saldos Deudores y Acreedores (que indican la antigüedad de cada partida que los integra), así como Análisis Horizontal de Balance y Resultados. Estos tableros muestran los principales rubros y de manera automática la información de cada cifra presentada por compañía, rubro, cuenta, mes, etc.
El tablero de Estado de Resultados muestra los rubros y último nivel de detalle de las cuentas por cada mes, incluyendo a todas las compañías por un horizonte de 8 años:
El tablero de Análisis Horizontal muestra la información financiera a lo largo del tiempo, con una visualización de tendencias, lo que permite identificar variaciones en los rubros y cuentas a último nivel de detalle. Además, se incluye a todas las compañías por un horizonte de 8 años y se contemplan visualizaciones diferentes para el Balance General (saldos) y para el Estado de Resultados (acumulativo):
El TAI de Ventas a nivel División muestra todas las transacciones a nivel detalle y las visualizaciones revelan en orden de importancia las compañías que facturan, los productos vendidos, los clientes, los orígenes y destinos de cada venta, el tipo de cliente, los meses y años en que ocurrieron, así como una tabla con detalles operativos como factura, embarque, aduana, contenidos y valores de cada producto vendido, incluyendo deducciones y premios.
El TAI de Benchmark de Costos de Producción a nivel División muestra todos los países, compañías, minas, plantas, procesos y subprocesos operativos, clasifica los costos incurridos por elementos de costeo, como son materiales, mano de obra, indirectos y otros. Además, señala la información financiera por cuenta contable a último nivel de detalle de cada mes. Incluye también contabilidad administrativa, al mostrar la información en función a su Centro de Costos por área de responsabilidad.
b) Automatización
Implementación de automatización de pruebas de auditoría interna
La automatización de pruebas en auditoría interna consiste en ejecutar pruebas y evaluaciones utilizando software Extract, Transform, Load (ETL, o Extracción, Transformación y Carga) para llevar a cabo tareas repetitivas y rutinarias de manera automatizada. ETL es un proceso utilizado en gestión de datos para extraer éstos de diversas fuentes, transformarlos según las necesidades y cargarlos en un destino final, como un almacén de datos o una base de ellos.
La automatización de pruebas puede abarcar varias áreas, como la reconciliación de datos, la verificación de transacciones, la validación de cálculos, la detección de fraudes, la revisión de políticas y procedimientos, entre otros.
La mecánica para su uso es determinar umbrales en que los procesos y controles deben funcionar, de modo que se generen alertamientos, mismos que son revisados por los equipos de auditoría interna, informan resultados de forma ágil y constituyen así una Auditoría continua.
Para efectos didácticos, se muestra una Auditoría continua en la que se realizó lo siguiente:
Proceso/Subproceso: almacenes de materiales/materiales sin uso, resguardados en el almacén.
Objetivo de auditoría: identificar compras recurrentes de ítems que se vuelven obsoletos.
Sistema: SAP Transacción MB51 (detalle de entradas y salidas de materiales).
Regla de negocio: cada 24 meses, los artículos sin salidas deben considerarse obsoletos, para venta a terceros a valor de rescate.
Construcción del indicador: con el 100% de los artículos de todos los almacenes de todas las compañías en todas las ubicaciones operativas, obtener los movimientos de los últimos años, con la finalidad de identificar entradas y salidas de cada artículo con número de stock.
Alertamientos: artículos con entradas recurrentes y que no tengan salidas en 24 meses.
Validación: analizar los alertamientos con los dueños de los procesos, quienes están encargados de la requisición de materiales, autorización, compra, almacenamiento y gestión de artículos.
Reporte de resultados: se realiza un TAI en BI que muestre los casos donde no exista razón de negocio, excluyendo los falsos positivos, como son: materiales de emergencia y demás artículos autorizados o solicitados por la Dirección de operaciones.
Construcción en ETL de la prueba automatizada:
Resultados de la prueba que muestran los alertamientos definidos para todo el universo:
TAI que muestra la interrelación entre los alertamientos de la prueba automatizada e información de Requisitor, Comprador y Proveedor, a la par que se identifican indicios de fraude para planear una auditoría forense:
Una vez que se identificaron tendencias o patrones entre requisitores, compradores, proveedores y artículos que se compran, no se usan y se terminan vendiendo a valor de rescate, es factible realizar una auditoría forense, a efecto de identificar responsabilidades e informar a la administración. Por lo tanto, la automatización permite que el auditor interno profundice en sus análisis y efectúe auditorías integrales, que permiten proporcionar aseguramiento a diversos objetivos de control: en este caso, la eficiencia operativa y salvaguarda de activos; sin embargo, este tipo de pruebas se puede orientar también a verificar el cumplimiento o asegurar la integridad de la información financiera y no financiera.
Como puede verse, al definir alertamientos con base en reglas de negocio de un proceso determinado, las pruebas automáticas permiten mantener una auditoría continua, con las siguientes ventajas:
- Cobertura del 100% del universo del tema auditado.
- Prevención de errores manuales o de carga de información.
- Percepción del usuario de presencia permanente de Auditoría Interna.
- Eficiencia en la ejecución de pruebas con una reducción sustancial de inversión de tiempo.
- Los alertamientos pueden programarse con la periodicidad deseada.
- Permite profundizar en las causas raíz y documentar tendencias o patrones en los eventos.
- Permite análisis más profundos y realizar auditorías interdepartamentales.
c) Robotización
Implementación de robotización de pruebas y procesos de auditoría interna
La robotización, también conocida como Robotic process automation (RPA, o automatización robótica de procesos), se refiere al uso de software para automatizar tareas y procesos.
Los robots de software están diseñados para interactuar con sistemas de la misma manera que lo haría un ser humano, ejecutando tareas repetitivas, reglas predefinidas y procesando datos de manera eficiente. Las tareas más comunes incluyen:
- Extraer información de documentos y sitios
- Ingresar datos en sistemas
- Procesar transacciones
- Enviar correos electrónicos y comunicaciones
- Generar informes
- Proveer información a otras herramientas como tableros de BI y pruebas automatizadas
Estos robots de software pueden trabajar las 24 horas del día, los 7 días de la semana, sin errores ni descanso, lo que puede mejorar la eficiencia y precisión de la función de auditoría interna.
Al automatizar tareas manuales y repetitivas, se pueden reducir costos, aumentar la productividad, mejorar la calidad y liberar tiempo para que los miembros del equipo de auditoría se enfoquen en tareas de mayor valor agregado, como el diseño de pruebas más profundas o afinar la comunicación con los usuarios.
Es importante destacar que la robotización no reemplaza necesariamente a los auditores internos, sino que los libera de tareas rutinarias y monótonas.
Asimismo, es primordial tener en cuenta que la robotización en la auditoría interna requiere un análisis cuidadoso de los objetivos del equipo de auditoría interna.
Es fundamental que se implementen los controles necesarios para garantizar la calidad e integridad de los resultados obtenidos mediante la robotización, por lo que es necesario que el CAE se asegure de contar con pruebas de integridad sobre la información producida por los robots y que éstas hayan sido ejecutadas por miembros del equipo de auditoría con la experiencia necesaria en el tema.
Proceso de robotización de Estados Financieros
d) Inteligencia Artificial (IA)
Implementación y uso de IA en auditoría interna
Es la capacidad de una máquina o sistema informático para imitar o simular la inteligencia humana. Puede desempeñar un papel significativo en la función al eficientar varias actividades. Es importante destacar que, si bien la IA puede ser una herramienta poderosa, todavía se requiere el criterio humano y la supervisión del equipo de auditoría para interpretar los resultados, evaluar la relevancia de los hallazgos y tomar decisiones estratégicas, basadas en la información proporcionada por la IA.
Áreas de aplicación actual de IA en auditoría interna. Existen diversas soluciones de IA en el mercado: algunas se están consolidando y otras, emergiendo. A continuación, se realiza una breve exposición de las que pueden aportar valor en la función de auditoría interna:
Labores y funciones administrativas. La IA puede ayudar a automatizar tareas rutinarias, lo que permite concentrarse en tareas de mayor valor y reducir los errores humanos. Por ejemplo:
- Redacción de correos electrónicos, memorándums, etc.
- Creación de templates y formularios de interacción humana.
- Resumen de grandes textos: contratos, normativas, etc.
- Mapeo de cambios en normativas diversas.
- Sistemas de reconocimiento de voz para transcribir en texto reuniones de auditoría y entrevistas.
Compendio técnico de templates, guías y mejores prácticas. La IA es una aliada de los equipos de auditoría interna al brindar apoyo que facilita conocimiento sobre cualquier tema, incluso técnico:
- Planeación. Se pueden hacer consultas sobre temas de riesgos emergentes, temas selectos por industria, aspectos fiscales, contables, normativos, etc.
- Ejecución de pruebas. Acervo de programas de trabajo por rubro, puntos clave y aspectos a cuidar.
- Comunicación de resultados. La IA puede crear tablas, matrices, reportes y redacción en texto sobre la presentación de resultados, emulando emociones y sentido del texto.
- Creación de código. Puede crear código de Phyton, R, lenguaje DAX, visual, etc.
Diseño de comunicaciones, campañas e imagen corporativa. La IA es capaz de crear contenidos en lenguaje de negocios y puede emular tanto sensaciones o estilos determinados como emociones. Es necesario utilizar los prompts adecuados (instrucciones o estímulos para guiar a un modelo de IA de lenguaje, al darle contexto a fin de satisfacer mejor las necesidades y expectativas del humano que la utiliza). Se puede emplear para:
- Elaboración de comunicados sobre actualización de normativas y cambios.
- Diseño de logotipos e imagen corporativa.
- Creación de campañas de marketing de función.
- Redacción profesional de comunicados de resultados.
- Creación de imágenes libres de derechos de autor.
Existen aplicaciones que pueden crear imágenes a través de descripciones en texto, lo que puede servir de banco ilustrativo para cualquier publicación, y sólo es necesario indicar que se trata de imágenes creadas por IA. En realidad, las imágenes del presente boletín fueron creadas por la IA con base en el contexto de cada tema.
Ejecución de pruebas basadas en aprendizajes previos.
Algoritmos de aprendizaje automático. Detectan patrones en grandes cantidades de datos y desarrollo de modelos predictivos, lo que puede ayudar a los auditores a identificar riesgos, anomalías, fraude y errores contables de forma más eficiente y precisa y anticiparse a eventos futuros.
Uso de Chatbots. Estos mecanismos se emplean para entrevistas iniciales en el proceso de auditoría interna: interactúan con los usuarios mediante voz o texto para identificar nuevos riesgos en los procesos. Asimismo, actualizan el entendimiento e incorporación de datos nuevos en modelos previamente cargados sobre el proceso.
Detección de fraudes. La IA puede utilizar algoritmos avanzados para identificar patrones y comportamientos anómalos que podrían indicar actividades fraudulentas. De igual modo, puede analizar grandes conjuntos de datos, como transacciones financieras, registros de actividad y comunicaciones electrónicas, para detectar posibles fraudes y ayudar a prevenir pérdidas.
Análisis de texto y procesamiento de lenguaje natural. La IA puede analizar documentos y textos relacionados con la auditoría, como políticas, contratos y correos electrónicos, mediante el uso de técnicas de Procesamiento de Lenguaje Natural (PLN). Esto facilita la identificación de información relevante, la extracción de datos clave y la detección de discrepancias o riesgos en la documentación.
Es primordial mencionar que, a pesar de los riesgos que implica el uso de la IA, la auditoría interna no puede quedarse al margen de su uso, debido a que la situación exige que la función provea servicios de aseguramiento sobre la misma, en caso de que ésta sea utilizada por la administración. Por ello, es necesario que el CAE asegure la proficiencia de su equipo en este tema, siendo también conveniente que se analice en qué contextos puede aportar valor a la función y sacar provecho de sus beneficios desde etapas tempranas, toda vez que se cuiden los riesgos mencionados.
Auditar IA implicará la evaluación, por parte del equipo de auditoría interna, de los siguientes rubros:
- Aspectos de evaluación del diseño de las herramientas creadas por la administración.
- Funcionamiento técnico de modelos de IA construidos por la administración.
- Aspectos éticos de decisiones tomadas por la IA con base en las tendencias de información aprendida.
Actualmente, existe un debate internacional para establecer regulaciones a la construcción y uso de la IA, por lo que los auditores internos debemos estar atentos a este tipo de tecnologías emergentes y mantenernos informados y actualizados en el tema.
2.2. Generación del Plan de auditoría interna con base en riesgos y uso de herramientas tecnológicas
La aplicación de las herramientas tecnológicas descritas apoya a la elaboración del Plan de auditoría interna, puesto que identifican el universo auditado de forma que se puedan analizar las actividades o procesos de la entidad y se muestren las áreas de riesgo, lo que facilita la distribución de tiempos y movimientos del personal con que se cuenta. A su vez, con base en la determinación de horas del equipo de auditoría interna y la descripción de cargas de trabajo, se mostrará la alineación de las auditorías con los riesgos identificados en el proceso de la elaboración del plan base de riesgos para cubrir los aspectos que preocupan y ocupan a la administración, con el objetivo de minimizar la probabilidad de que se materialicen los riesgos y afecten el logro de los objetivos estratégicos de cualquier entidad.
El TAI de Ubicaciones del universo auditable a nivel División muestra la localización geográfica de todas las operaciones, plantas, proyectos y oficinas que operan actualmente y sirve para inducción del personal, ya que permite el recorrido de procesos de manera que se pueda visualizar la infraestructura, operaciones y actividades de la entidad; además de apoyar en la planeación.
El TAI de Fuerza laboral sirve para conocer en horas la capacidad del equipo de trabajo, es decir, de las personas que forman parte del equipo, considerando vacaciones, capacitación, días festivos, fines de semana y cualquier otro evento ponderable en la determinación de horas disponibles para compromisos de auditoría interna.
El producto final de la planeación es el Plan Anual de Auditoría Interna para todas las compañías, divisiones y/o países de forma homologada, cubriendo todas las especialidades.
3. Conclusiones
Hoy en día podemos afirmar que la tecnología no es el futuro, es el presente.
Debemos reinventarnos día a día para mantenernos vivos y participar en esta sociedad actual; no podemos seguir haciendo nuestras labores, cualesquiera que éstas sean, como las hacíamos hace años, pues esto nos llevaría a desaparecer o salir de este juego llamado vida. Como ejemplo de empresas que han sucumbido a los cambios tecnológicos recordemos a Kodak, Sección Amarilla, cadenas de hoteles, alquileres de vehículos de transportes, correo postal tradicional, banca tradicional, casas de enciclopedias, etc. Todas sucumbieron ante las nuevas tecnologías y fueron reemplazadas por smartphones, Google, Airbnb, redes sociales, taxis de plataforma, Wikipedia, e-mail, Waze, etc., todas ellas basadas en y aprovechando las nuevas tecnologías.
La auditoría interna no debe quedarse fuera de este nuevo juego; este documento pretende ser una aportación para mostrar el aprovechamiento de la tecnología en la función de auditoría interna, que ya se ha estado implementando y es una realidad. Es responsabilidad de la función mantenerse a la vanguardia tecnológica, no por innovar, sino porque muchas industrias y profesiones ya están obteniendo valor de estas herramientas y también se demandarán trabajos de aseguramiento y consultoría sobre su uso. Lideremos la transformación hacia una gestión de riesgos más efectiva y descubramos historias ocultas en los datos a simple vista.
Actualmente, la Universidad Nacional Autónoma de México ha incorporado en su Plan de estudios, a solicitud de la Academia de Auditoría, la materia Herramientas tecnológicas para la Auditoría interna, en la cual hemos tenido durante tres semestres la oportunidad de exponer la presente metodología y el honor de compartir con los alumnos la aplicación de estas herramientas. Otras instituciones y organismos colegiados de profesionales, como el Colegio de Contadores Públicos de México y el Instituto Mexicano de Auditores Internos (IMAI) han solicitado la exposición e implementación de la presente metodología como parte de su oferta técnica de educación continua en cursos, seminarios y conferencias anuales, a efecto de incentivar el uso de la tecnología de formas disruptivas para mejora de la función.
Recomendamos a los CAE fortalecer a su equipo con capacitación y adiestramiento en el uso de herramientas tecnológicas, incorporando éstas a través de toda la función de auditoría interna, a fin de generar valor incremental a las partes interesadas con agilidad, eficiencia, oportunidad, calidad, excelencia y procurar cada vez más la percepción de ubicuidad de la función de auditoría interna mediante el uso de estas herramientas.
El cambio es inevitable, pero el éxito depende de cómo nos adaptemos. La tecnología no reemplazará a los auditores internos, sino que los empoderará. Los humanos jugamos un papel fundamental en el diseño, supervisión y gestión de la tecnología que se utilizará cada vez más para ejecutar funciones repetitivas y monótonas; seguiremos siendo irreemplazables a mediano plazo en tareas que requieren habilidades cognitivas, creativas y emocionales, como la planeación, revisión y comunicación de resultados, ya que éstas implican proficiencia y criterio profesional, características que, hasta el momento, las soluciones tecnológicas no han logrado realizar de forma satisfactoria. Exhortamos a los lectores a disfrutar esta nueva etapa de la profesión que nos permitirá ser parte de su evolución para continuar siendo socios estratégicos de las partes interesadas. ¿Estamos listos para abrazar la tecnología, desafiar los límites y liderar el camino hacia una auditoría interna más ágil, efectiva y emocionante? ¡La elección está en nuestras manos!, el futuro es hoy.
"No es la especie más fuerte la que sobrevive, ni la más inteligente, sino la que mejor se adapta al cambio" –Charles Darwin.
"El mayor cambio en la auditoría interna vendrá de aquellos que piensan en formas no convencionales y utilizan la tecnología para revolucionar la profesión" –Richard Chambers.
"La IA no tiene que volverse maliciosa para ser peligrosa. Solo debe ser competente y estar en manos equivocadas" –Elon Musk.
4. Referencias
Association of International Certified Professional Accountants, 2023, COSO Internal Control – Integrated Framework, 2023, de AICPA: https://us.aicpa.org/interestareas/businessindustryandgovernment/
resources/riskmanagmentandinternalcontrol/coso-integrated-framework-project
Sarbanes-Oxley Compliance Professionals Association, 2023, The Sarbanes Oxley Act, 2023, de SOXCPA: https://sarbanes-oxley-act.com/
The Institute of Internal Auditors, 2017, Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, 2023, de theiia: https://www.theiia.org/globalassets/site/standards/mandatory-guidance/ippf/2017/ippf-standards-2017-spanish.pdf
The Institute of Internal Auditors, 2018, Global Perspectives and Insights, Agility and Innovation, 2023, de L'Institut Français de l'Audit et du Contrôle Internes (IFACI): https://docs.ifaci.com/wp-content/uploads/2018/10/GPAI-Agility-and-Innovation-updated.pdf
The Institute of Internal Auditors, 2019, El Estatuto de Auditoría Interna, 2023, de theiia: https://www.theiia.org/globalassets/documents/resources/the-internal-audit-charter-a-blueprint-to-assurance-success-august-2019/pp-the-internal-audit-charter-spanish.pdf
