25 de septiembre de 2025
Boletín de investigación

Perspectiva general de la metodología de Auditoría Continua en Tiempo Real

Comisión
T. Sector Empresa Auditoría Interna

Autores
C.P. Roberto Abad Sánchez

Presentación

Para apoyar el trabajo de los auditores internos, se han diseñado diversas metodologías, entre ellas la Auditoría Continua en Tiempo Real (ACTR), materia del presente boletín, que consiste, como dice su nombre, en auditar continuamente en tiempo real los objetivos estratégicos, riesgos, controles a nivel entidad y a nivel de mejora de los procesos clave y las transacciones que se realizan.

Además de la metodología ACTR, se revisarán algunos aspectos relacionados con la Tecnología de la Información (TI), como la robotización de procesos, que es un componente importante.

1. Introducción

Debido a la actividad que realizan, los comités de auditoría y los auditores internos cada vez tienen mayor necesidad de contar con alternativas que les permitan enfrentar de manera más eficiente los retos que presentan los negocios. Esta necesidad de contar con recursos suficientes para realizar el trabajo de auditoría es a veces limitada por cuestiones económicas, además de que se requiere contar con habilidades para enfrentar los riesgos de negocios, de fraude, de la evolución de las tecnologías de la información, de procesos cada vez más complejos, de regulaciones diversas, etc.

Normalmente, la auditoría interna revisa los aspectos de negocio que se han realizado en el pasado, es decir, asuntos ya consumados o históricos, con la consecuente limitación de la revisión de los enormes universos de transacciones que se ejecutan en las operaciones habituales.

En este contexto, la ACTR favorece el trabajo de los auditores internos al permitir, entre otras ventajas que se verán enseguida, que sea posible analizar las transacciones en el momento en que se efectúan, con un alcance que puede abarcar la totalidad de las operaciones.

1.1. Mejoras constantes

La ACTR permite a las organizaciones la mejora en sus negocios, ya que facilita:

El entendimiento, priorización y logro de consensos de directivos en los objetivos estratégicos de la empresa o de procesos en específico.
La ACTR se enfoca muy directamente en el seguimiento oportuno de riesgos, ambiente de controles internos y procesos, evaluando su efectividad.
Identificar, priorizar, medir y conocer de forma adecuada el origen de los riesgos en la entidad o en los procesos, lo que facilita su monitoreo, detección de fallas y remediación pertinente.
Favorece analizar la efectividad de los procesos en la compañía para mejorarlos.
Tener un alcance más amplio en las pruebas de auditoría al evaluar el universo completo de transacciones.
Aumento de la sensación de control, lo que aporta más valor a las organizaciones por parte de la auditoría interna.
Mejora en el monitoreo de transacciones financieras y no financieras.

1.2. Monitoreo continuo no es lo mismo que auditoría continua

Como preámbulo de la descripción de la metodología de ACTR es importante mencionar que el monitoreo y la auditoría continua tienen diferencias conceptuales y no son lo mismo, a saber:

Fuente: elaboración propia, con base en Deloitte 2010. Continuous monitoring and continuous auditing: From idea to implementation, en Instituto de Auditores Internos de España, octubre de 2014, p. 9.

2. Desarrollo

2.1. Consideraciones de la metodología ACTR

Dado que la ACTR permite utilizar el conocimiento en la empresa para identificar, analizar y que sea posible evaluar incertidumbres en el ambiente de control interno y sus riesgos críticos, de tal manera que se analice si las prácticas de mitigación son suficientes y apropiadas para lograr los objetivos estratégicos, sus principales consideraciones son:

Es un proceso continuo de análisis, supervisión y auditoría, por lo que debe considerarse como un tema estratégico para la auditoría interna, que le permitirá ampliar el espectro de revisiones.
Es indispensable incluir la TI en su organización, particularmente la robotización de procesos.
Se tienen que definir bien las bases y la manera como se llevará a cabo su implementación. Estas bases deben estar alineadas con los Key Performance Indicators (KPI o indicadores clave de resultados) y Key Risk Indicators (KRI o indicadores clave de riesgos).
Llevar a cabo consensos con los dueños de los procesos y directores de áreas para enfocar los esfuerzos a los aspectos más relevantes; no se trata sólo de consultas u opiniones, sino de estrategias bien fundamentadas, que proporcionen valor.
Esta metodología no quiere decir que se va a reducir al personal, más bien se le asignarán funciones de mayor valor agregado, mientras se analizan actividades repetitivas.

Enseguida se desarrolla más a detalle cada una de las consideraciones previas.

a. Es un proceso continuo de análisis, supervisión y auditoría, por lo que debe considerarse como un tema estratégico para la auditoría interna, que le permitirá ampliar el espectro de revisiones.

Dado que los beneficios que resultan de la adopción de la ACTR son trascendentales, su implementación debe considerarse como un tema de suma importancia y tomarse con la debida seriedad y profundidad. No debe ser el resultado de un estudio sin la debida participación de la Dirección General, direcciones de la empresa y comité de auditoría, que deben ser los promotores principales de la iniciativa. Adicionalmente, se requiere:

Llevar a cabo la gestión del cambio y la comunicación a todos los involucrados de la adopción de la metodología.
Incluir la iniciativa en el plan anual de auditoría interna.
Informar continuamente los resultados de la aplicación de la metodología a los involucrados, alta dirección y comité de auditoría, para evaluarlos.
Realizar los ajustes y adaptaciones necesarios, conforme vaya madurando la adopción de la ACTR.

b. Es indispensable incluir la TI en su organización, particularmente la robotización de procesos.

Está por demás mencionar que el uso de la TI es un apoyo crucial e indispensable para la metodología ACTR, particularmente para:

Facilitar el proceso y obtención de la información financiera y no financiera.
Reducir la dificultad en la obtención de datos incluidos en distintas plataformas de la organización.
Reducir los problemas de la integridad de la información.
Tener en cuenta y respetar la privacidad y seguridad de los datos.

En efecto, es de mucha importancia apoyarse en herramientas para el análisis de datos, minería de procesos, aprendizaje automático, Inteligencia Artificial (IA), Celonis y robotización de procesos. Normalmente, se requiere un esfuerzo adicional para que la TI apoye la metodología ACTR. Como ejemplo, se muestran los pasos que se deben seguir en la implementación de la robotización de procesos, lo cual requiere de una publicación por separado:

Fuente: elaboración propia.

Estrategia en la elaboración de BOT para la robotización de procesos y sus riesgos

Fuente: elaboración propia. Nota: “BOT” es una aféresis de “robot”, que es un programa informático que efectúa automáticamente tareas automatizadas.

La perspectiva para la evaluación de controles en la robotización de procesos requiere utilizar un enfoque moderado para evaluar si una actividad/proceso es un buen candidato para Robotic Process Automation (RPA o automatización robótica de procesos). Es de destacar que se debe resistir la tentación de robotizar todo si no se está convencido de sus beneficios y del valor agregado que el BOT producirá.

Fuente: elaboración propia.

c. Se tienen que definir bien las bases y la manera como se llevará a cabo su implementación, alineadas con los KPI y KRI.

Como toda adopción de metodologías nuevas y cambios estructurales, el plan estratégico y la adecuada definición de bases deben estar perfectamente documentados para evitar confusiones, retrasos, falta de definiciones, responsabilidades, fechas críticas, etc. Por lo tanto, el diseño conceptual es fundamental en su adopción. De igual manera, se deberá tener claramente definida la manera como el área de Auditoría Interna implementará la ACTR y cómo se adaptará en sus planes y actividades actuales.

Dicha definición conceptual debe estar bien alineada con la estrategia empresarial y, para medir los resultados, deberá contemplar los KPI y KRI como, por ejemplo, el tiempo en que se deberá tener la definición de la participación del área tecnológica, cada cuándo se deberán auditar las transacciones, cuál el nivel de aceptación de riesgo, el umbral de dichos riesgos, etc.

d. Llevar a cabo consensos con los dueños de los procesos y directores de áreas para enfocar los esfuerzos a los aspectos más relevantes; no se trata sólo de consultas u opiniones, sino de estrategias bien fundamentadas, que proporcionen valor.

El espíritu de la metodología ACTR no trata de obtener y medir información por el simple hecho de hacerlo, sino que los dueños de los procesos y los directores de áreas deben ser quienes mejor conozcan las actividades de su área de injerencia. En consecuencia, son una excelente fuente de buenas ideas para que la estrategia, en su adopción, sea útil para la empresa y agregue valor a la operación y a las actividades de auditoría interna.

Otras ventajas de involucrar al equipo directivo son:

Gestión eficiente de los riesgos de negocios y del cumplimiento normativo. Antes de que los riesgos se materialicen, la ACTR permite conocer la necesidad de un mayor monitoreo y seguimiento. De igual manera, las empresas pueden mejorar la certeza de que se está cumpliendo con todas aquellas regulaciones, evitando sorpresas.
Mejora la visibilidad del ambiente de control interno. La ACTR favorece que exista una mejor visibilidad sobre el ambiente de control interno, proporciona certeza de que los controles internos están operando como debe ser y da al equipo directivo y dueños de procesos la adecuada y continua visión de la situación de la organización, lo que permite ejercer un mayor y mejor control y tomar decisiones con más elementos. En otras palabras, se fomenta una mejor comprensión del negocio para la toma de decisiones oportunas sobre bases sólidas y realistas.
Reduce sorpresas por debilidades de control, riesgos reputacionales, fraudes, usos indebidos y abusos. Al tenerse un seguimiento de los asuntos en forma continua y tiempo real, la metodología posibilitará reducir la ocurrencia de aquellas transacciones que puedan comprometer el ambiente de control interno de la empresa y sobre todo en aspectos relacionados con la ética empresarial.
Integridad de la información y datos confidenciales, así como protección de datos personales. Con una adecuada ACTR, se facilitará el control de accesos no autorizados y ataques de seguridad, a la par de la protección de violaciones al sistema de ciberseguridad, lo que refuerza la importancia de la seguridad en las TI.
Auditorías más eficientes y eficaces. Se pueden reducir los costos inherentes a los trabajos que realiza Auditoría Interna, haciendo más eficiente y eficaz esta labor. Cuando los problemas se conocen con la oportunidad debida, se facilita la mitigación temprana de riesgos y se genera la posibilidad de reducir los costos que están relacionados con incidentes de control interno, seguridad, cumplimiento y fallas operativas.

e. Esta metodología no quiere decir que se va a reducir al personal, más bien se le asignarán funciones de mayor valor agregado, mientras se analizan actividades repetitivas.

Existe la creencia de que uno de los objetivos de la ACTR es la eliminación de puestos del personal por la automatización de ciertas funciones, lo cual es un concepto alejado de la realidad. En lugar de reducir empleados, se pretende que éstos tengan funciones que agreguen mayor valor a la operación, quitándoles actividades repetitivas que no necesariamente son fundamentales para fortalecer el control.

2.2. ACTR es una metodología que sólo debe utilizarse en los casos en que se requiera externa atención

¿Qué es lo que la organización requiere conocer en tiempo real? ¿Qué se debe hacer con estos temas en términos de la ACTR? ¿Se necesita cambiar el enfoque y la frecuencia de supervisión o pruebas?

Pocos aspectos de negocio requieren análisis o auditoría “permanente” al ser ininterrumpidos y tener la atención constante en tiempo real. En lugar de ello, se requiere un proceso apropiado para determinar la “frecuencia” adecuada de la actividad de monitoreo o auditoría, que abarque localidades, procesos, transacciones, etc. en una organización.

En este tenor, es necesario hacer estas preguntas y otras tantas:

¿Qué información, actividades, procesos, controles, riesgos, etc., son tan críticos que deben monitorearse todo el tiempo, en tiempo real?
¿Existe información clave que debe monitorearse frecuentemente? ¿Cuál es dicha información? ¿Cuál es la frecuencia apropiada?
Las unidades de negocio, procesos, áreas, ¿monitorean dichos aspectos con la frecuencia apropiada?
¿Necesita Auditoría Interna cambiar la frecuencia con que se realizan las revisiones de estos aspectos?
¿Hace sentido identificar el concepto sobre la frecuencia óptima para monitorear y auditar?

En la ACTR, es una tarea fundamental determinar la frecuencia de las pruebas, puesto que, en función de su riesgo, disponibilidad de información y necesidad de analizar, se pueden establecer las frecuencias más apropiadas.

Fuente: elaboración propia.

En el esquema anterior, “Permanente” se encuentra en el extremo de la escala de frecuencia y no necesariamente se puede aplicar en todos los casos. La frecuencia de monitoreo y auditoría debe estar basada en la evaluación de riesgos y considerar aspectos críticos, tomando en cuenta el nivel de cambios que exista en el proceso de adaptación.

En diversos casos, es preferible para las unidades de negocios, procesos, etc., establecer un monitoreo basado en frecuencias, en lugar de solamente un proceso de auditoría frecuente. La tecnología puede o no aplicarse de manera constante en el 100% de todas las transacciones que no necesariamente tienen que ser probadas o evaluadas, dependiendo de los objetivos, riesgos, controles u otros aspectos.

La tecnología es claramente un diferenciador para lograr la eficiencia y práctica de liderazgo, ya que, dado el constante cambio a nivel mundial en los negocios e industrias, hace sentido que la frecuencia del monitoreo y auditoría experimente un cambio en el mismo sentido.

Por consiguiente, los departamentos de auditoría interna deben interactuar con la gerencia, terceros interesados y el comité de auditoría para evaluar este aspecto y llegar a una combinación adecuada de monitoreo, auditoría, alcances y frecuencias.

Así pues, si se necesita auditar “permanentemente”, ¿existen oportunidades de mejora en el diseño de controles internos?

Fuente: elaboración propia.

2.3. Retos y consideraciones de la ACTR y ejemplos de su utilización

Dar preferencia a la ACTR permite nivelar en forma efectiva el esfuerzo de la gente y del ambiente de control.
Ajustar el enfoque de auditoría para cuestionar la ACTR y evaluarlo es necesario para cada área, unidad de negocios, procesos, localidades, etc.
Considerar el entrenamiento a la gerencia y personal para capacitarse en ACTR, lo cual puede apoyar a definir el término “frecuencia de la ACTR” en la manera conceptual de la organización, así como para lograr un avance en el tema relacionado con: ¿qué tan seguido se debe de analizar, auditar, supervisar la información, los procesos, los riesgos, los controles, etc.?
Hacer recomendaciones apropiadas en los reportes de auditoría interna para sugerir cambios relacionados con el monitoreo que hace la gerencia y, conforme sea oportuno, basarse en riesgos, valor agregado y el nivel de cambio requerido.
Nivelar las evaluaciones sobre los análisis y las decisiones que se hacen para su implementación sobre un más amplio y cambiante enfoque de la gerencia acerca de las unidades de negocio, etc., en relación con la frecuencia de auditoría.
Retar los esfuerzos de la gerencia respecto a la ACTR que se hace para asegurar su apropiada aplicación y efectividad.
Evaluar críticamente el diseño de controles para cualquier aspecto en donde se deba considerar la frecuencia en contra de la continuidad en la auditoría interna.
La auditoría permanente puede/debe ser un último recurso sobre la frecuencia en el análisis como primer recurso.

En cuanto a ejemplos de la utilización de la metodología ACTR, a manera enunciativa, éstas son algunas áreas en las que se puede aplicar:

Fuente: elaboración propia.

Otros ejemplos de su aplicabilidad en la vida real son los siguientes:

Fuente: elaboración propia.

Por una parte, el Institute of Internal Auditors (IIA) reconoce y promueve la metodología de ACTR: “La Guía de Auditoría de Tecnología Global sobre Auditoría Continua […] (GTAG 3) la define como ‘todo método utilizado por los auditores internos para realizar actividades relacionadas con la auditoría en forma –más– continua’” (Instituto de Auditores Internos de España, octubre de 2014, p. 9).

Por su parte, la Information Systems Audit and Control Association (ISACA), otra organización importante en el campo de la auditoría y el control de sistemas de información, también ha contribuido a la difusión y desarrollo de la auditoría continua. ISACA considera que permite la autocrítica, la autorevisión y la auditoría de los controles por parte de quienes están más cerca de los procesos. En suma, que promueve la participación de los dueños de los procesos en un rol activo para monitorear riesgos y controles.

2.4. Prácticas de liderazgo de la metodología de ACTR

Liga el proceso de autoevaluación a lo importante: permite unir los temas prioritarios y hace parte a la autoevaluación del proceso de revelación.
Considera la cultura organizacional: considera adecuadamente los canales de retroalimentación ascendente, asuntos de pertenencia de los procesos y otros relacionados con la habilitación del cambio.
Asegura que la ACTR sea un proceso con trascendencia: involucrar a los dueños de los procesos permite el logro de expectativas y resultados de auditorías internas.
Permite que la gerencia se involucre: involucra a la gerencia en el proceso de dar seguimiento a los resultados.
Coordina la autoevaluación con el esfuerzo de reporteo: permite asegurar la entrega de información a entidades reguladoras (Securities and Exchange Commission [SEC], Comisión Nacional Bancaria y de Valores [CNBV], Bolsa Mexicana de Valores [BMV], etc.).
Seguimiento oportuno de resultados: define cómo tratar los asuntos identificados durante las sesiones de ACTR relacionadas con cambios, deficiencias y excepciones.
Empezar con su implementación, mientras más pronto mejor: define un plan para llevar a cabo la implementación piloto, antes de hacerlo en toda la organización.

3. Conclusiones

Una vez desarrollado todo lo anterior, es posible llegar a estas conclusiones:

La ACTR conlleva conceptos importantes, pero es posible tener percepciones equivocadas en su terminología, que se han aclarado en el contenido de este boletín.
Los aspectos que sean realmente relevantes tienen que ser analizados y auditados “permanentemente”; es decir, todo el tiempo, en tiempo real. La frecuencia dependerá de su importancia para la empresa y su gestión de riesgos a nivel entidad y a nivel procesos.
Más aun, la “frecuencia” deseada y la manera en que los diversos aspectos de negocios son analizados y auditados necesitan ser evaluadas para llegar a conclusiones con respecto a los cambios que se requieren en la frecuencia del análisis y de su auditoría interna.
Es importante que exista un responsable con la suficiente autoridad para dar mantenimiento a los aspectos que están siendo auditados continuamente en tiempo real, evaluando la efectividad de la metodología para realizar los ajustes y/o cambios necesarios.

En definitiva, no sólo es lo “permanente”, sino qué tan seguido, cuánto y por qué se audita.

4. Referencias

Grupo Cynthus, 5 de julio de 2021, Auditoría Interna, su transformación hacia un Modelo de Auditoría Continua y Prevención de Fraudes, 2025, de YouTube: https://www.youtube.com/watch?v=OjuXwUxIj3k

Instituto de Auditores Internos de España, octubre de 2014, Guía para implantar con éxito un modelo de Auditoría Continua, 2025, de Instituto de Auditores Internos de España: https://auditoresinternos.es/wp-content/uploads/2022/07/2014_10_Guia-para-implantar-con-exito-un-modelo-de-Auditoria-Continua.pdf

Texto de investigación editado por el Colegio de Contadores Públicos de México, A.C. con el objeto investigar y analizar temas de actualidad relacionados con la contaduría pública y los negocios como una aportación técnica y objetiva para los lectores. El contenido de este material es responsabilidad exclusiva de sus autores y no refleja la opinión o postura del Colegio de Contadores Públicos de México, A.C. sobre los temas abordados en él. Se prohíbe la reproducción total o parcial del material contenido en esta publicación sin autorización previa de los autores y el Colegio de Contadores Públicos de México, A.C.