La evolución de la auditoría tras la pandemia

 La práctica de la auditoría es antigua, aunque los muchos modelos y métodos han evolucionado con el tiempo. La comunidad de auditoría se ha enfrentado a desafíos significativos, que van desde la desalineación con los auditados hasta la ignorancia sobre el cambio de las áreas de riesgo con los avances tecnológicos. Un área desafiante para los auditores es el entorno empresarial interconectado.


El papel del auditor en el entorno empresarial interconectado es complejo y vasto; de suma importancia es comprender cómo funciona el negocio y cómo se interrelacionan las diferentes verticales.

Incluso antes de comenzar la auditoría, es esencial que el auditor adopte un enfoque holístico para examinar el mecanismo general y las operaciones del entorno empresarial interconectado.

Para servir bien a las organizaciones y realizar auditorías de alta calidad, los auditores del mañana deberán ser expertos digitalmente. La adopción de análisis de datos, tecnología de contabilidad distribuida (DLT), automatización de procesos robóticos (RPA), tecnología de drones, aprendizaje automático (ML) y otras tecnologías emergentes está en aumento.

Muchas empresas se han visto obligadas a establecer operaciones de trabajo remoto y adoptar tecnologías digitales debido a la pandemia de coronavirus, ya sea que estuvieran listas o no. En consecuencia, COVID-19 ha acelerado sustancialmente el desarrollo de capacidades de auditoría virtual. Los vientos ya estaban cambiando, debido a la introducción de nuevas tecnologías y al aumento de las expectativas de los inversores, pero COVID-19 aumentó significativamente el ritmo. Los auditores han estado experimentando con nuevas tecnologías y trabajando con big data para ejecutar auditorías de mayor calidad, más eficientes y mejor dirigidas. La revolución digital está transformando el proceso de auditoría en algo completamente diferente: una experiencia de auditoría rediseñada.

El panorama de la auditoría

La profesión de auditoría está siendo interrumpida. La tecnología está evolucionando rápidamente, y la economía en tiempo real está transformando la forma en que se reciben y procesan los datos. Las auditorías todavía se llevan a cabo regularmente, expresando opiniones sobre datos pasados, pero COVID-19 rompió el status quo en un corto período de tiempo. Al comienzo de la pandemia, las autoridades federales y provinciales de valores dieron a las organizaciones cierto margen de maniobra con los plazos, pero aún necesitaban acelerar sus procedimientos digitales para continuar con los informes trimestrales y anuales. La pandemia empujó a todos los involucrados a adoptar un nuevo enfoque de auditoría, y las tecnologías de extracción de datos basadas en la nube se pusieron a prueba de inmediato. Algunos auditores de TI se han quedado rezagados en los avances tecnológicos y, como resultado, la brecha entre las prácticas tecnológicas actuales y los métodos de contabilidad y aseguramiento se ha vuelto más significativa tanto en el sector público como en el comercial. Con el avance de las tecnologías de computación en la nube, han surgido nuevos riesgos y se deben diseñar nuevos controles para garantizar la seguridad de la información administrada y almacenada en la nube. Las auditorías también deben adaptarse a los requisitos y características únicos de la nube.

En el futuro, los auditores deben continuar adaptándose a los modelos de negocio cambiantes y obtener una mejor comprensión de las diversas tecnologías digitales utilizadas por las organizaciones.

Las tecnologías emergentes tienen el potencial de aumentar la calidad de la auditoría al tiempo que agregan valor. La auditoría está pasando de una actividad reactiva y retrospectiva a una proactiva, predictiva y prospectiva que opera en tiempo real. Ofrece una forma de ayudar a las empresas mediante la entrega de información oportuna.

"LA PANDEMIA EMPUJÓ A TODOS LOS INVOLUCRADOS A ADOPTAR UN NUEVO ENFOQUE DE AUDITORÍA, Y LAS TECNOLOGÍAS DE EXTRACCIÓN DE DATOS BASADAS EN LA NUBE SE PUSIERON A PRUEBA DE INMEDIATO".

El nuevo rol del auditor

Los auditores basan sus auditorías en la investigación, la observación y el desempeño. Durante generaciones, la auditoría se ha basado en la adhesión a los principios establecidos. Sin embargo, la tecnología está cambiando claramente la forma en que se realizan las auditorías hoy en día y cómo se llevarán a cabo en el futuro. Por ejemplo, los auditores pueden llevar a cabo una auditoría de manera diferente después de extraer y descargar todos los datos de informes financieros de un cliente, incluidos los documentos de respaldo. En el pasado, generalmente había una tasa de error anticipada cuando un auditor utilizaba una técnica de muestreo estadístico en un lote de facturas. Sin embargo, tener acceso remoto a todos los datos de un cliente ha permitido la implementación de nuevos y mejorados procedimientos de datos y análisis (D&A) que pueden verificar cada transacción, asegurando que cualquier error sea un error grave.

La pandemia requirió transformación, no hubo tiempo para el debate. Los obstáculos tradicionales para el acceso a los datos de los auditores (la oposición del cliente y la falta de preparación) se superaron rápidamente. La tecnología de auditoría se probó y tuvo éxito. A medida que la industria avanza hacia el objetivo de la auditoría continua, los clientes podrán ver información en tiempo real.

La pandemia ha acelerado la inversión tecnológica en auditoría continua. Como resultado, los auditores también se han convertido en analistas. Este cambio permite a los auditores dar información más significativa sobre los procesos organizacionales, ya que ahora son conscientes de todo el ciclo de vida del proceso y las tecnologías relacionadas. Para ser efectiva, una auditoría debe ayudar a los gerentes y directores de negocios a alcanzar sus objetivos estratégicos. Las auditorías futuras deben enfrentar este desafío, o la auditoría en sí misma podría quedar obsoleta.

La evolución de la auditoría tras la pandemiaLa nueva función de auditoría puede incluir funciones tales como (figura 1):

  • Proporcionar retroalimentación efectiva a la alta gerencia
  • Realización de pruebas de adaptabilidad de nuevas tecnologías
  • Dar aportes continuos para mejorar los procesos
  • Mejora de las normas operativas
  • Implementación manual de procedimientos operativos estándar (SOP)
  • Crear conciencia sobre la seguridad de los sistemas de información y la ciberseguridad

La nueva función del auditor puede incluir:

  • Capacidad para planificar y ejecutar, teniendo en cuenta el panorama general
  • Capacidad para integrar la adaptabilidad en el diseño de la auditoría
  • Capacidad para aumentar el enfoque en áreas de riesgo clave para mejorar la garantía
  • Capacidad de utilizar la minería de procesos para analizar datos

Desafíos futuros para el auditor

El futuro auditor debe estar equipado con conjuntos de habilidades específicas para adoptar un enfoque multidisciplinario. Los desafíos que el auditor tiene que enfrentar incluyen:

  • Comprender las operaciones comerciales complejas
  • Ser experto en tecnologías de tendencia
  • Ser capaz de utilizar las últimas herramientas y técnicas de auditoría
  • Adaptación a la necesidad de agilidad
  • Ser capaz de abordar el cumplimiento normativo en un panorama cambiante

Los auditores de TI reconocen la necesidad de aumentar su experiencia y ampliar sus habilidades al tiempo que actualizan sus políticas, procedimientos, personal y tecnologías para combatir las crecientes dificultades y peligros que plantea un panorama tecnológico en constante cambio. Las organizaciones que desean superar a sus competidores necesitarán auditores de TI que tengan la combinación correcta de experiencia, credenciales y habilidades para abordar la amplia gama de desafíos que presenta el mundo digital. Aquellas organizaciones que invierten en su fuerza laboral hoy estarán bien preparadas cuando ocurran cambios.

Tecnología y herramientas que ayudan al auditor

Los auditores internos han pasado de la auditoría alrededor de la computadora a la auditoría a través de la computadora, ya que las herramientas y tecnologías subyacentes utilizadas en las operaciones empresariales han mejorado con el tiempo con tecnologías y procesos complejos como se muestra en la figura 2. El aprendizaje automático (ML), la computación cognitiva y la inteligencia artificial (IA) se encuentran entre las tecnologías creativas y disruptivas que las organizaciones ahora adoptan a diario. Esto ha dado lugar a nuevos peligros que antes se desconocían, ya que la auditoría interna de tales procesos (es decir, aquellos que involucran tecnologías emergentes como ml, computación cognitiva e IA) es extremadamente difícil y requiere una amplia experiencia y capacitación. Sin embargo, al obtener una mayor conciencia y conocimiento de las nuevas tecnologías, los auditores internos pueden abordar tanto las áreas de riesgo existentes como las nuevas y proporcionar hallazgos que ayuden a los responsables de la toma de decisiones empresariales a actuar más rápido, con más confianza y con conocimientos más profundos, lo que resulta en un mayor valor. El análisis de auditoría interna, en particular, puede ayudar en el desarrollo de un proceso de planificación más eficiente y basado en el riesgo al detectar qué organizaciones están en mayor riesgo y requieren más atención, y al aumentar la eficiencia, la cobertura y el valor de las revisiones de auditoría discretas.

La evolución de la auditoría tras la pandemia

"LOS HALLAZGOS DE LA IA SON, EN EL MEJOR DE LOS CASOS, PREDICCIONES PROBABILÍSTICAS BASADAS EN INFERENCIAS DE CORRELACIÓN DE DATOS Y NO DEBEN CONSIDERARSE HECHOS ABSOLUTOS".

Como resultado de estos desarrollos, los auditores también están evolucionando. Hay un mayor énfasis en la calidad de la auditoría, con un mayor enfoque en el riesgo y el escepticismo profesional. Para abordar algunos de estos nuevos problemas, se están mejorando las normas de auditoría. Para ser efectivos al auditar sistemas y datos, los auditores deben utilizar herramientas de TI, como las herramientas de auditoría asistida por computadora (CAAT), y comprender tanto los propósitos comerciales de un sistema como su entorno operativo. Las auditorías internas pueden ayudar a navegar por circunstancias comerciales complicadas en una variedad de dominios comerciales mediante la incorporación de análisis en el proceso de auditoría. El análisis de auditoría basado en datos es una técnica novedosa para integrar el análisis en las auditorías internas. La técnica mejora la calidad de la auditoría porque permite a los auditores auditar de manera más efectiva las grandes cantidades de datos almacenados y procesados en los sistemas de TI de clientes más grandes. Los auditores pueden extraer y modificar los datos del cliente y analizarlos, lo que ayuda a los auditores a comprender mejor la información del cliente e identificar el riesgo.

Cómo la tecnología alterará la cara de la auditoría

Hay tres áreas importantes en las que la tecnología alterará la cara de la auditoría: análisis cognitivo, ML y automatización robótica inteligente (IRA) y RPA.

Análisis
cognitivo El análisis cognitivo, o IA, tiene la capacidad de examinar cantidades masivas de datos y realizar análisis digitales de maneras que son difíciles para los equipos de auditores. Los algoritmos en la tecnología cognitiva permiten que el software absorba información, razone y piense de manera humana. El análisis cognitivo incluye la tecnología ML, que permite a las computadoras ajustar sus caminos e intentar nuevas tácticas cuando se encuentran con barreras o incógnitas en el desempeño de sus tareas.

Machine Learning
ML is expected to have a significant influence on the audit profession. For example, KPMG’s cloud- based audit began with the launch of KPMG Clara, which employs IBM Watson (ML technologies).1 Smaller Certified Public Accountant (CPA) enterprises will have additional resources as ML techniques become more widely available.

IRA and RPA
RPA refers to software acting on other software instances to automate predictable and structured data operations. IPA differs from RPA in that it blends AI modules with RPA to handle inference-based procedures. Since audit automation is both a required and sufficient condition of continuous audit, it is worth looking at how RPA and IPA may help with constant audits. Furthermore, an exploration of cost-benefit analysis of RPA and IPA implementation and the influence of RPA and IPA on auditor time allocation may be useful.

Competencies Required for the Next-Generation Auditor

Although advanced technologies offer a great deal of data for an auditor to use in decision-making, the auditor is the one who ultimately must make the decisions. When it comes to detecting correlations between data sets or variables, technology is a game changer. However, understanding the context behind the result and the causality of the output in relation to the inputs supplied requires human insight and experience. AI findings are, at best, probabilistic predictions based on data correlation inferences and should not be considered absolute facts.

The digital revolution has enhanced and affected organization models, processes and efficiencies, and it has disrupted business models. Many organizations have incorporated ecommerce, mobile applications (apps), enterprise resource planning (ERP), blockchain, cloud computing, RPA, the Internet of Things (IoT), ML and AI technologies. Therefore, the internal audit function must be reoriented and improved to suit the strategies and methodologies in use in this digital age.

Some competencies that may be required for the next generation auditor include:

  • Holistic understanding of business
  • Interdisciplinary approach to audit
  • Effective communication skills at all business levels
  • Ability to understand emerging technologies
  • Ability to predict future challenges
  • Ability to take a business-centric approach
  • Ability to plan and execute, keeping the big picture in mind
  • Ability to integrate adaptability into the audit design
  • Ability to increase focus on key risk areas to improve assurance
  • Ability to use process mining to analyze data

Adapting to Audit in Interconnected Business

Policymakers must develop suitable audit standards and appropriate analytic tools for big data. They must combine and clarify practical demands in light of business trends to further smart audit practices that increase audit assurance and audit quality. The guidelines should encourage businesses to handle internal data consistently and effectively and to validate exogenous data regularly for adequate evidence and confidence. New standards should be established not only to manage data, but also to review and regulate the inclusion of new technologies in audit procedures for analytical uses (such as distributed ledger and neural networks).

“THE NEED FOR MORE CREATIVE AUDITING STANDARDS FOR BIG DATA AND ANALYTICS MIGHT BE A CATALYST FOR ADVANCEMENT IN SMART AUDITING METHODS AND PROCESSES.”

La necesidad de estándares de auditoría más creativos para big data y análisis podría ser un catalizador para el avance en los métodos y procesos de auditoría inteligentes. Las empresas de auditoría deben establecer planes estratégicos para la gestión y el análisis de datos en el futuro y aumentar los esfuerzos para adoptar nuevas técnicas dentro de sus negocios. Las empresas de auditoría pueden ofrecer capacitación e incentivos adecuados para alentar a los auditores a utilizar big data y análisis en su trabajo de campo para obtener mejores conocimientos. Además de apoyar las iniciativas organizacionales, los profesionales de auditoría deben tratar de cultivar actitudes favorables hacia las formas en que el big data y el análisis pueden mejorar el proceso de auditoría y fomentar el desarrollo de conjuntos de habilidades y capacidades relacionadas con las últimas tecnologías, como la IA y el ML.

Eficacia de un programa de auditoría

La evolución de la auditoría tras la pandemiaUn programa de auditoría eficaz requiere la consideración de cinco aspectos importantes (figura 3):

  1. Entorno: el tono de la gestión de una organización es la base de los controles internos. El entorno de control abarca la integridad y los principios éticos, la filosofía de gestión y el estilo operativo, y la delegación de poder y responsabilidad.
  2. Calidad: el objetivo, la amplitud y la profundidad de una auditoría están determinados por una variedad de factores, incluidas las necesidades de la organización, las evaluaciones de riesgos y las normas de auditoría. Aunque el Instituto de Auditores Internos (IIA), la Sociedad Americana para la Calidad (ASQ) y la Organización Internacional de Normalización (ISO) tienen ciertos métodos comparables, sus requisitos generales de auditoría difieren. Por ejemplo, es más probable que los compromisos de AII se centren en datos financieros y control interno, mientras que es más probable que los compromisos de ASQ se concentren en bienes, procesos y sistemas. Aunque la auditoría de calidad se asocia más comúnmente con la fabricación, también se puede utilizar para evaluar la eficiencia operativa en las empresas de servicios. La ISO desarrolla estándares de calidad para la tecnología y los negocios en una variedad de campos. El más popular de ellos son las normas ISO 9000, que se ocupan de la gestión de la calidad. La documentación, la planificación de procesos, la gestión de recursos, los recursos humanos, los procedimientos del cliente y la satisfacción del cliente están cubiertos por estos estándares. Por ejemplo, ISO 9001:2015 Quality Management Systems—Requirements está dedicada a la auditoría interna de una organización.2 Por lo tanto, las empresas que se preparan para las auditorías o que desean mejorar sus procesos de recursos humanos deben comprender este estándar a fondo.
  3. Eficiencia: una auditoría de eficiencia destaca el uso antieconómico de los recursos; la capacidad desperdiciada de maquinaria y equipo inactivos; malas decisiones y las pérdidas resultantes incurridas; menor rendimiento causado por la rivalidad y la falta de cooperación entre los departamentos; e insuficiencia de personal, tanto en términos de número como de conocimientos en áreas específicas. Una auditoría de desempeño y eficiencia es un método de evaluación de diagnóstico para analizar objetivos, planes, políticas y acciones en cada paso de una operación para identificar fallas ocultas y proporcionar sugerencias de mejora en áreas que han pasado desapercibida la atención de la administración.
  4. Impacto: a través del procesamiento electrónico de datos y la auditoría electrónica, TI contribuye a la reducción del riesgo de auditoría. TI ayuda a los auditores a reducir la posibilidad de errores en las tareas de auditoría y aumentar la probabilidad de descubrimiento, disminuyendo en última instancia el riesgo de auditoría. El impacto de TI en los auditores es evidente en el campo del control interno, que se está desplazando hacia el aumento del control y la auditoría al tiempo que disminuye el riesgo. Está claro que el nuevo procesamiento electrónico de datos, las técnicas avanzadas de ML e IA tendrán un impacto cuantitativo y cualitativo significativo en la reducción del riesgo de auditoría. Estas tecnologías están agregando nuevos medios, mecanismos y capacidades para que TI reduzca la probabilidad de errores de auditoría y aumente la posibilidad de éxito de la auditoría.
  5. Resultados: la mayoría de las auditorías incluyen aspectos de auditorías de productos y procesos, pero se centran más en el panorama general. Por ejemplo, las auditorías del sistema pueden ayudar a descubrir los procesos o productos que afectan los resultados del sistema si no cumplen con las expectativas del cliente. Aunque estas auditorías necesitan un equipo de auditores, tienen éxito en la identificación de prácticas beneficiosas o negativas. Los hallazgos se compilan en un informe de auditoría para que la administración los revise al igual que con otros tipos de auditorías.

Conclusión

El futuro de la auditoría ya no es hipotético. El futuro está aquí, y el cambio se está acelerando por la pandemia de COVID-19, que está proporcionando el impulso para tecnologías e innovaciones más avanzadas que beneficiarán el futuro de la auditoría.

Los avances en la tecnología crean desafíos y oportunidades para la auditoría futura, pero algunos fundamentos permanecen sin cambios:

  • La competencia sigue siendo relevante.
  • Las herramientas automatizadas ayudarán, pero no pueden reemplazar el juicio.
  • La función de auditoría debe seguir siendo independiente y separada de otras operaciones.
  • La agilidad, la necesidad de la hora, debe aplicarse donde tenga sentido y se requiera.
  • Las preguntas correctas, las propias ideas creativas del auditor, siguen siendo las herramientas esenciales para una evaluación inicial de auditoría.
"EL FUTURO ESTÁ AQUÍ, Y EL CAMBIO SE ESTÁ ACELERANDO POR LA PANDEMIA DE COVID-19".

Además de dominar un conjunto cada vez más complicado de herramientas y técnicas de auditoría, los futuros auditores deben ser más flexibles y adoptar cambios en TI, ciencia de datos y prácticas comerciales generales. Mientras que las auditorías anteriores fueron principalmente transaccionales, las auditorías futuras estarán más vinculadas. Las empresas de auditoría deben ser conscientes de los cambios en los conjuntos de habilidades de los auditores para gestionar el riesgo de interrupción asociado con tecnologías avanzadas como el aprendizaje automático y la IA, proporcionando oportunidades de entrenamiento y aprendizaje de auditoría que permitan a los auditores evaluar los vínculos internos sistemáticos y las influencias ambientales externas. Los auditores también deben demostrar una comprensión exhaustiva de la ingesta, el procesamiento y la salida de datos de diversas fuentes. Además, si bien estas tecnologías pueden liberar significativamente a los auditores para explorar su intuición, los auditores deben modificar su pensamiento para ser receptivos a sus propias ideas creativas. Aunque es difícil predecir exactamente cómo estas tecnologías afectarán el proceso de auditoría en el futuro, ahora es el momento de comenzar a pensar en su influencia actual y las posibles consecuencias futuras.

Las características de la auditoría están cambiando drásticamente con cada día que pasa, con nuevos elementos tecnológicos que reemplazan totalmente o rediseñan la metodología antigua. Específicamente, la auditoría interna está evolucionando continuamente, y los futuros auditores deben ampliar sus horizontes y educarse sobre las últimas tecnologías, no solo para un proceso de auditoría eficiente, sino también para permitir el buen funcionamiento del negocio.

Fuente: ISICA Recursos

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más