SciELO - Scientific Electronic Library Online

 
vol.14 issue3INTERNET OF THINGS-BASED PRODUCTS/SERVICES: PROCESS AND CHALLENGES ON DEVELOPING THE BUSINESS MODELS author indexsubject indexarticles search
Home Pagealphabetic serial listing  

Services on Demand

Journal

Article

Indicators

Related links

Share


JISTEM - Journal of Information Systems and Technology Management

On-line version ISSN 1807-1775

JISTEM J.Inf.Syst. Technol. Manag. vol.14 no.3 São Paulo Sept./Dec. 2017

http://dx.doi.org/10.4301/s1807-17752017000300010 

Articles

MODELOS DE AUDITORÍA CONTINUA: UNA PROPUESTA TAXONÓMICA

Francisco Javier Valencia Duque1 
http://orcid.org/0000-0002-0617-2386

Johnny Alexander Tamayo Arias2 
http://orcid.org/0000-0002-6716-0258

1 Departamento de Informática y Computación, Universidad Nacional de Colombia, Manizales, Colombia

2 Departamento de Ingeniería Industrial, Universidad Nacional de Colombia, Manizales, Colombia

RESUMEN

La Auditoría Continua es considerada por diversos autores como un nuevo paradigma de la Auditoría, y su materialización se logra a través de la incorporación de modelos y metodologías en la actividad diaria de la función Auditora. Este artículo, previa conceptualización de las principales características de la Auditoría Continua, presenta una propuesta taxonómica de los modelos de Auditoría Continua, para lo cual se realizará un análisis estructural de 30 modelos que han sido divulgados en el ámbito profesional y científico entre 1989 y 2014, arrojando como resultado una propuesta taxonómica basada en 3 categorías y 8 tipologías y un análisis de la orientación que han tenido los modelos de Auditoría Continua.

Palabras clave: Auditoría Continua; Técnicas de auditoría concurrentes; TAAC’s; Modelos de Auditoría Continua; Taxonomía de Auditoría Continua; TIC; ISACA

INTRODUCCIÓN

Las organizaciones modernas han dejado de usar las Tecnologías de Información y Comunicaciones solo como herramientas de apoyo para convertirlas en parte del negocio, logrando disminuir las fronteras de espacio y de tiempo, generando organizaciones ubicuas, con la capacidad de desarrollar sus operaciones en diferentes partes del mundo de forma simultánea, las 24 horas del día, los 7 días de la semana, durante los 365 días del año, respondiendo en tiempo real a los cambios que se pueden suscitar en su entorno de negocios inmediato. Sin embargo, la auditoría aún no ha evolucionado a la par de estas organizaciones, desarrollando sus procesos de auditoría de forma tardía; días, meses e inclusive años después de que ocurren los eventos económicos, llevando a cabo un control tardío de los eventos económicos, detectando anomalías e irregularidades y en general incumplimiento de reglas de negocio mucho tiempo después de que ocurrieron, y generando reportes tardíos que ya no tienen valor para la organización, o si aún lo tienen, ya han perdido mucho de él.

Bajo la premisa de que los negocios en tiempo real, son impulsados por procesos en tiempo real y por lo tanto requieren de un control en tiempo real, es necesario que la auditoría responda a estos retos y uno de los mecanismos para lograrlo es hacer un uso intensivo de las TIC como parte del proceso auditor, que agregue valor en su función de aseguramiento.

En respuesta a este reto, la Auditoría continua juega un papel protagónico que pone en contexto no solo las tecnologías de información como apoyo al proceso auditor, sino como parte de este y ello se materializa a través de los diferentes modelos, metodologías, guías, casos de Auditoría que se han difundido desde 1989, año en el cual surgió el modelo de Groomer & Murthy (1989), como uno de los primeros modelos difundidos en la literatura científica, hasta una de las propuestas más recientes presentada por el Instituto de Auditores Internos de España a través de la fábrica de pensamiento. A la fecha existen más 30 modelos de Auditoría Continua divulgados en la literatura científica y profesional, cuyo origen es diverso, desde guías promulgadas por organizaciones de Auditoría tales como el IIA e ISACA, hasta experiencias en organizaciones como AT&T, Siemens, Unibanco, pasando por esquemas teóricos difundidos por diversos investigadores, entre los que se destaca Miklos Vasarhelyi, considerado por Krell (2004) como el padre de la Auditoría Continua.

No obstante lo anterior, la proliferación de modelos de Auditoría Continua genera desconcierto en el auditor al momento de seleccionar el más apropiado para su entorno inmediato, de allí la necesidad de contar con esquemas de clasificación de los modelos que permita seleccionar el modelo más adecuado a las necesidades del auditor y de este forma, facilitar su incorporación en la organización.

Para cumplir con este propósito, este artículo se centra un desarrollar una propuesta de taxonomía de modelos de Auditoría Continua que aporte de manera inicial a orientar a la comunidad de auditores en la selección del modelo que más se ajuste a su contexto, en la búsqueda de masificar esta importante alternativa de la Auditoría moderna. Para ello, inicialmente se ubicará al lector en el uso de las Tecnologías de Información y Comunicaciones en el proceso auditor, enmarcándolas en una de las clasificaciones más generalizadas por la comunidad científica, para posteriormente desarrollar el concepto de Auditoría Continua y los principales modelos que servirán de base para desarrollar la propuesta taxonómica, a partir de una metodología compuesta por cinco fases.

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN EL PROCESO AUDITOR: UN ANÁLISIS PREVIO

Antes de introducirnos en el campo de la Auditoría continua, es necesario presentar un análisis previo de cómo han evolucionado las tecnologías de información y comunicaciones en el proceso auditor, lo que nos lleva a lo que tradicionalmente se conoce como Técnicas y Herramientas de Auditoría Asistidas por Computador, (en adelante CAATT’s, por sus siglas en inglés Computer Assisted Audit Tools and Techniques), definidas por Ramamoorti & Weidenmier (2004) como herramientas o técnicas computarizadas que incrementan la eficiencia y eficacia de la Auditor, y son usados por los auditores (internos o externos) como parte de sus procedimientos de auditoría para procesar datos significativos para la auditoría que se encuentran en sistemas de información (Mahzan & Lymer, 2008).

Las Técnicas de Auditoría Asistidas por computador, no son nuevas, aparecieron en la década del 70 y han venido evolucionando a la par de la Tecnología, como se puede observar en la Tabla 1, hoy su uso no es exclusivo de la fase de ejecución de la Auditoría para la obtención de evidencia, sino que se encuentran presente en las diferentes fases de la auditoría, desde la planeación hasta el seguimiento.

Tabla 1 Evolución de las Técnicas y Herramientas de Auditoría 

1970’s 1980’s 1990’s 2000’s
Aplicaciones con lenguajes de programación Aplicaciones con lenguajes de programación de tercera generación Aplicaciones con lenguajes de programación de cuarta generación Software habilitado para la web (XBRL)
Software de Auditoría de primera generación (batch) Software de Auditoría de segunda generación (interactivo y en batch) Software de Auditoría de tercera generación (Interactivo y en batch basado en PC’s) Auditoría Continua
Simulaciones en paralelo simples Simulaciones en paralelo extensivas Análisis de datos y pruebas exhaustivas Análisis Digital
Lotes de pruebas /Utilitarios de pruebas Integradas. Lotes de pruebas/Utilitarios de pruebas Integradas. Auditoría del Software Software de Aseguramiento de Auditoría
Pruebas de entrada/salida SCARF/SARF (Definición en Texto)
Revisión de Control Interno Cuestionarios automatizados de revisión del control interno Cuestionarios automatizados de revisión del control interno Autoevaluación del control.
Cuestionarios de Control de diagramas de flujo Diagramas de flujo del programa Flujos de procesos con énfasis en Auditoría de datos Visualización del software
Primer computador - basado en muestreo de unidades monetarias Más desarrollados, unidad de muestreo en dólares Diversas opciones de muestreo, incluyendo el estratificado Menos énfasis en muestreo.
Matrices de Control Un mejor control Sistemas expertos Redes neuronales y matrices de inteligencia artificial.

Fuente: Coderre, 2009.

Una de las clasificaciones más difundidas en la literatura académica para caracterizar la forma como se usa el computador en la Auditoría es la planteada por autores como Pinilla Forero (1997), Loh (2002), Cerullo & Cerullo (2003) y Smieliauskas & Bewley (2010), quienes establecen tres enfoques generales:

La Auditoría alrededor del computador (Auditing around the computer), consistente en conciliar los documentos fuente asociados a las transacciones de entrada al computador con los resultados generados por este, mientras que el procesamiento realizado por la aplicación de computador es tratado como una caja negra, según Braun & Davis (2003). Para Smieliauskas & Bewley (2010), fue el primer enfoque utilizado por los auditores con la aparición del computador, y es adecuado su uso si los controles y el sistema de información proporcionan suficiente evidencia visible. Es el enfoque más simple de utilizar, en el cual se requieren pocos conocimientos de Tecnologías de Información, sin embargo, no es un enfoque adecuado para evaluar la efectividad de los controles en los sistemas de información.

La Auditoría con el computador (Auditing with the computer), es asociado por autores como Cerullo & Cerullo (2003) y Smieliauskas & Bewley (2010) con el uso de software generalizado de auditoría (Generalized Audit Software, GAS), que consiste en utilizar el computador para desarrollar labores de auditoría en sus diferentes fases, y cuenta con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de diferentes aplicaciones, algunas especializadas y otras genéricas.

La Auditoría con el computador, hace un uso más intensivo de las herramientas tecnológicas que de las técnicas de auditoría propiamente dichas. Dentro de esta categoría, pueden encontrarse desde suites ofimáticas hasta herramientas especializadas en auditoría tales como aplicaciones de análisis de datos (IDEA, ACL, Easytrieve, SAS, PICALO), herramientas de administración de la gestión total o parcial de Auditoría (PENTANA, TeamMate, Autoaudit, Proaudit).

La Auditoría a través del computador (Auditing through the computer), asociado directamente por Smieliauskas & Bewley (2010) a las CAATT’s propiamente dichas, está inscrito en las técnicas que requieren probar controles automatizados, consiste en que el auditor evalúa la tecnología para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo humano y prueba la efectividad operacional de los controles relacionados con el computador, según aseguran Louwers et al. (2011).

A diferencia de los dos anteriores, las técnicas que hacen parte de la Auditoría a través del computador, tratan de permear la tecnología, para evaluar los controles inmersos en esta y hace un uso más intensivo de las técnicas que de las herramientas tecnológicas, las cuales pueden ser automatizadas por los mismos auditores que cuenten con conocimientos profundos de Tecnología, o con el apoyo del área de tecnología de información. Dentro de esta clasificación se enmarca la Auditoría Continua.

LA AUDITORÍA CONTINUA

La Auditoría Continua tiene varias acepciones en la literatura académica y profesional, sin embargo, la más reconocida es la planteada desde 1999, por el Instituto Americano de Contadores Públicos Certificados (The American Institute of Certified Public Accountants (AICPA)) y el Instituto Canadiense de Contadores Públicos (The Canadian Institute of Chartered Accountants (CICA)) quien la define como una metodología para la emisión de informes de auditoría simultáneamente, o un corto periodo de tiempo después de la ocurrencia de los hechos relevantes (Searcy, Woodroof, & Behn, 2003; Alles, Brennan, Kogan, & Vasarhelyi, 2006; Blundell, 2007; Ye, Chen, & Gao, 2008; Murcia, 2008;Ye, He, & Xiang, 2008; Baksa & Turoff, 2010).

Por su parte el IIA a través de su Guía de Auditoría de Tecnología Global (GTAG en inglés) número 3, define la Auditoría Continua, como “todo método utilizado por los auditores para realizar actividades relacionadas con la auditoría en forma (más) continua. Es la secuencia de actividades que abarcan desde la evaluación continua de control hasta la evaluación continua de riesgos” (Coderre, 2005, p.7).

ISACA en la directriz de Auditoría de Sistemas de Información, número 42, define la Auditoría Continua, como:

Un método utilizado por los profesionales de Auditoría y Aseguramiento de TI para llevar a cabo evaluación de riesgos y controles, sobre una base más frecuente. Es un método que utiliza TAAC’s que permite a los profesionales de auditoría y aseguramiento de TI monitorear los riesgos y controles en forma continua. Este enfoque permite a los profesionales de auditoría y aseguramiento de TI reunir evidencia selectiva de auditoría a través del computador (ISACA, 2010, p. 3).

LOS MODELOS DE AUDITORÍA CONTINUA Y SU TAXONOMÍA

En la literatura científica y profesional existen diversos términos para describir las fases y actividades desarrolladas por una persona u organización para llevar a cabo un proceso de Auditoría Continua, entre ellos se pueden encontrar términos como: metodologías, guías, modelos y casos; por tal razón y para efectos de este escrito, los llamaremos genéricamente esquemas de Auditoría, como un término que puede recoger estas cuatro expresiones.

Desde 1989, fecha en la cual surge el primer referente de Auditoría Continua, se han propuesto diversos esquemas para abordar la forma como se debería desarrollar un proceso de Auditoría Continua, en diferentes sectores, con diversas perspectivas, con diferentes niveles de complejidad y niveles de detalle, a través de los cuales se han propuesto formas alternas de llevar a cabo este proceso en una organización.

La revisión bibliográfica realizada como parte de este trabajo, a partir de la búsqueda en bases de datos científicas como Science Direct, EBSCO, Emerald, Taylor & Francis, Wilson Web, IACIS, alrededor de taxonomías de modelos de Auditoría Continua existentes, no permitió establecer una propuesta en tal sentido, tan solo trabajos como los desarrollados por Blundell (2007) y (Aboa, 2014) quienes realizan una comparación de tres modelos (el modelo Woodroof, Rezaee y Onions), sin estar orientado a establecer alguna taxonomía.

De acuerdo a lo anterior y ante la importancia de poder contar con una clasificación de los modelos de Auditoría Continua, que sirvan de base para seleccionar aquellos que cumplen con ciertos criterios para su aplicación en un contexto específico, se ha construido una taxonomía, siguiendo para ello la siguiente metodología:

  • Identificación del foco orientador de búsqueda y análisis

  • Identificación de los esquemas sujetos de análisis

  • Análisis de la estructura metodológica de los esquemas

  • Definición de categorías y propuesta taxonómica

  • Explicación de cada una de las categorías taxonómicas.

  • Cada una de estas etapas se desarrolla a continuación:

Identificación del foco orientador de búsqueda y análisis

El objetivo inicial que llevo a la realización de un análisis de las estructuras de los esquemas de Auditoría Continua, para conformar una propuesta taxonómica, se originó en un proyecto con una cobertura más amplia, cuyo objetivo era establecer un modelo de Auditoría Continua para el Control Fiscal Colombiano, lo que requería la búsqueda y análisis de modelos que estuvieran orientados hacia el sector público y con enfoque hacia la Auditoría Externa.

Esta necesidad, llevo a realizar un amplio análisis bibliográfico que permitiera establecer no solo la existencia de este tipo de modelos, sino sus principales características. En tal sentido, el foco orientador inicial será la búsqueda de esquemas orientados al sector público, desde una perspectiva de Auditoría Externa.

Identificación de los esquemas sujetos de análisis

A partir de la revisión bibliográfica realizada, y sin ser exhaustivos, se han logrado identificar aproximadamente 30 esquemas para llevar a cabo un proceso de Auditoría Continua en un periodo comprendido entre 1989 y 2014, como se pueden observar en orden cronológico en la tabla 2.

Tabla 2 Modelos, Metodologías, guías y casos de Auditoría Continua. 

NRO AÑO ESQUEMAS REFERENCIAS
1 1989 Modelo de Groomer & Murthy. Groomer & Murthy, 1989
2 1991 Continuous Process Auditing System (CPAS) (Caso AT & T). Vasarhelyi & Halper, 1991; Du & Roohani, 2007
3 2001 Continuous Audit: Model Development and Implementation within a debt covenant compliance domain. (Modelo Woodroof) Woodroof & Searcy, 2001; Searcy & Woodroof, 2003; Blundell, 2007; Ye & Li, 2010; Aboa, 2014
4 2002 Modelo Rezaee. Rezaee, Sharbatoghlie, Elam, & McMickle, 2002; Rezaee, McMickle, Sharbatoghlie, & Elam, 2004; Blundell, 2007; Ye & Li, 2010; Abdolmohammadi & Sharbatoghlie, 2005; Aboa, 2014
5 2002 Oficina de Auditoria Nacional de China. Wenming, 2007
6 2003 Model for secure continuous auditing (Modelo Onions) Onions, 2003; Blundell, 2007; Ye & Li, 2010, Aboa, 2014
7 2004 Hospital corporation of America (HCA). Kevin, 2004; Alles, Tostes, Vasarhelyi, & Riccio, 2006; Chan & Vasarhelyi, 2011
8 2004 A continuous auditing web services model for XML-based accounting systems Murthy & Groomer, 2004
9 2005 Caso de Implementación en la Policía Montada Real de Canadá (RCMP). Baksa & Turoff, 2010; IIA, 2005
10 2005 Modelo de Auditoría Continua del Instituto de Auditores Internos. IIA, 2005
11 2005 Model for transaction-based continuous auditing Abdolmohammadi & Sharbatoghlie, 2005; Sharbatoghlie & Sepehri, n.d.
12 2005 Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality. Debreceny, Gray, Ng, Lee, & Yau, 2005
13 2006 Continuous Monitoring of Business Process Controls (CMBPC) (Caso SIEMENS). Alles, Brennan, et al., 2006; Alles, Kogan, & Vasarhelyi, 2008
14 2007 Agent-based Continuous Audit Model (ABCAM). Chou, Du, & Lai, 2007; Ye & Li, 2010
15 2007 A Theoretical and Technical Model of an External Continuous Auditing System. Lee & Chou, 2007
16 2007 Continuous Auditing from a practical perspective. Handscombe, 2007
17 2007 Continuous Auditing Model in the context of independent audits. Du & Roohani, 2007
18 2008 On application of SOA to Continuous Auditing. Ye, Chen, et al., 2008
19 2008 The Web-service-based Continuous Auditing Model (WSCAM) Ye, He, et al., 2008
20 2008 Modelo Audit Server, de la Empresa Provincial de Energía de Córdoba (Argentina). Castello, Morales, & Wolfmann, 2008
21 2010 Continuous Assurance - Guía 42 de ISACA. ISACA, 2010
22 2010 Continuous Auditing Immune Model based on Object-oriented Rule Base (CAIMOR). Ye & Li, 2010
23 2010 Caso UNIBANCO (Brasil). De Aquino, Lopes da Silva, Sigolo, & Vasarhelyi, 2010
24 2010 Auditoría Continua: mejores prácticas y caso real. Jolly & Alcarraz, 2010
25 2010 Modelo de Auditoría Continua propuesto por el Instituto de Contadores Públicos de Australia. Vasarhelyi, Alles, & Williams, 2010a
26 2010 Modelo CRCA (Continuous Risk and Control Assurance) Marks, 2010
27 2011 Innovation and Practice of Continuous Auditing Chan & Vasarhelyi, 2011
28 2011 Metodologia Mainardi Mainardi, 2011
29 2013 The Predictive Audit Framework Kuenkaikaew & Vasarhelyi, 2013; Kuenkaikaew, 2013
30 2014 Guía para implantar con éxito un modelo de Auditoría Continua Instituto de Auditores Internos de España, 2014

Estos 30 esquemas se convierten en los esquemas sujetos de análisis para lograr el propósito previsto.

Análisis de la estructura metodológica de los esquemas de Auditoría Continua

Tomando como punto de análisis las fases planteadas y el contexto específico en que se llevaron a cabo los esquemas planteados, se desarrolló una revisión de cada una de ellos, caracterizándolas y clasificándolas de manera inicial en función del foco orientador previsto (orientado a lo público y en auditoría externa). No obstante, a partir de la evolución en la revisión, se encontraron coincidencias en algunos de los esquemas, que llevaron a considerar una ampliación de las categorías, dando origen a una primera aproximación a la clasificación. A partir de allí y con un refinamiento de los criterios que podrían servir de base para una adecuada clasificación de los esquemas, desde la perspectiva del autor, se lograron establecer tres niveles de clasificación: categorías, tipologías y subdivisiones de cada tipología, las cuales son explicadas a continuación, como parte de la siguiente fase.

Definición de categorías y propuesta taxonómica

A partir del análisis realizado en la fase anterior, se lograron establecer tres categorías, y 8 tipologías, estas últimas a su vez con algunas subdivisiones, como se puede observar en la figura 1, haciendo claridad que un esquema de Auditoría Continua se puede estar clasificada en las tres categorías.

Figura 1 Taxonomía de esquemas de Auditoría Continua. 

Al analizar la distribución porcentual de los 30 modelos de Auditoría Continua objeto de análisis, frente a esta taxonomía, tal como se puede observar en la tabla 3, se puede establecer como una característica del conjunto de esquemas de Auditoría Continua existentes, que aproximadamente el 70% son teóricos (incluyendo las guías), y por lo general formulados para ambos tipos de auditorías, las cuales se encuentran orientadas casi en igual porcentaje hacia lo metodológico y lo técnico, siendo en esta última la técnica MCL(Monitor Control Layer) la más utilizada

Tabla 3 Distribución porcentual de la taxonomía de modelos de Auditoría Continua 

CATEGORIA TIPOLOGIA % SUBDIVISION %
PÚBLICO 10%
ORIGEN APLICADO 30% PRIVADO 13%
S.D.* 7%
TEÓRICOS 57%
GUÍAS 13%
ORIENTACIÓN METODOLOGÍA 47%
TÉCNICA 53% EAM 17%
MCL 36%
INTERNA 27%
TIPO DE AUDITORÍA EXTERNA 13%
AMBAS 60%

*S.D.: Sin Determinar

A continuación se entra a explicar en detalle cada una de las categorías, tipologías y subdivisiones resultantes.

Explicación de cada una de las categorías taxonómicas

De acuerdo a su origen

Esta clasificación parte de la necesidad de establecer la génesis de los esquemas, la forma como surgieron, lo que ha permitido establecer a su vez tres tipologías: aquellos que surgen a partir su aplicación en un contexto organizacional en particular (aplicados); aquellos que surgen por organismos que proponen esquemas para el desarrollo de la Auditoría Continua y los divulgan a sus afiliados, denominados tradicionalmente guías y aquellos que surgen a partir de propuestas teóricas, generalmente basados en la revisión de la literatura existente (teóricos), siendo estos últimos los que representan la mayor proporción de modelos desarrollados, con un 57%, como se puede apreciar en la figura 2.

Figura 2 Modelos de Auditoría de acuerdo a su origen. 

Esquemas aplicados: Estos esquemas han sido fruto de la implementación en un ambiente específico, por profesionales que los han desarrollado o han participado en su implementación, y divulgado a la comunidad académica a través de artículos o eventos científicos o profesionales. La principal característica de este tipo de esquemas, es el planteamiento de aspectos técnicos ò tecnologías específicas aplicadas en la solución de problemáticas de auditoría o monitoreo continuo de procesos organizacionales.

Dentro de los más difundidos en la literatura académica y profesional se han encontrado nueve (9) casos llevados a cabo en diferentes épocas, entidades y sectores, como se pueden observar en la siguiente tabla.

Tabla 4 Modelos Aplicados de Auditoría Continua difundidos en la Literatura Académica y Profesional. 

PROCESO EMPRESA MODELO SECTOR
Medición y Análisis del processo de facturación. AT & T CPAM -The Continuous Process Auditing System Privado
Convenios de pago de deudas en un banco Sector Bancario Continuous audit Model development and implementation within a debt covenant compliance domain (Modelo Woodroof) S.D.*
Monitoreo Continuo de Recursos Humanos, nómina, proveedores y cuentas por pagar. Hospital Corporation of America (HCA) Hospital corporation of America (HCA). Privado
Cuentas por cobrar Policía Montada Real de Canadá (RCMP) Policía Montada Real de Canadá Público
Procesos genéricos Diferentes ERP’s Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality S.D.
Auditoría a módulos de SAP SIEMENS Corporation CMBPC - Continuous Monitoring of Business Process Controls Privado
Construcción de un sistema de información de Auditoría gubernamental para promover un nuevo modelo de Auditoría. Oficina de Auditoría Nacional de China Auditoría continua online en el sector gobierno Chino Público
Sistema de nómina Empresa Provincial de Energía de Córdoba (Argentina). Modelo Audit Server. Público
Procesos Bancarios UNIBANCO (BRASIL) Six Steps to an Effective Continuous Audit Process Privado

S.D.: Sin Determinar.

A su vez esta tipología de modelos, presentan una subdivisión en relación con el sector donde se aplican, en respuesta a la necesidad de identificar aquellos esquemas que han sido formulados y/o aplicados tanto para el sector público, como privado y poder desde el punto de vista metodológico establecer si existen características diferenciales en su aplicación.

Para efectos de esta clasificación se identificaron proyectos aplicados donde se logró identificar explícitamente la organización en la cual se aplicó, ello debido a que existen algunos esquemas que a pesar de ser considerados teóricos, han sido aplicados en alguna organización, pero no se específica en cual entidad, como para llegar a categorizarlos como público o privado.

Esquemas Teóricos: Dentro de los diferentes esquemas difundidos en la literatura académica y profesional, los teóricos son los que representan una mayor proporción, con un total de 17 sobre 30, como se puede observar en la tabla 5. Algunos modelos clasificados como teóricos podrían entrar en la categoría de aplicados, pero dado que tan solo se presenta la metodología seguida y no la organización, ni el contexto específico en el cual se desarrolló, se clasifican en el rango de los teóricos.

Tabla 5 Modelos Teóricos de Auditoría Continua. 

AÑO ESQUEMAS
1989 Modelo de Groomer & Murthy.
2002 Modelo Rezaee.
2003 Model for secure continuous auditing (Modelo Onions)
2004 A continuous auditing web services model for XML-based accounting systems
2005 Model for transaction-based continuous auditing
2007 Agent-based Continuous Audit Model (ABCAM).
2007 A Theoretical and Technical Model of an External Continuous Auditing System.
2007 Continuous Auditing from a practical perspective.
2007 Continuous Auditing Model in the context of independent audits.
2008 On application of SOA to Continuous Auditing.
2008 The Web-service-based Continuous Auditing Model (WSCAM)
2010 Continuous Auditing Immune Model based on Object-oriented Rule Base (CAIMOR).
2010 Auditoría Continua: mejores prácticas y caso real.
2010 Modelo CRCA (Continuous Risk and Control Assurance)
2011 Innovation and Practice of Continuous Auditing
2011 Metodologia Mainardi
2013 The Predictive Audit Framework

Guías de Auditoría Continua: Tres de las organizaciones más importantes e influyentes en el campo de la contaduría y auditoría a nivel internacional, han establecido guías y directrices para su comunidad alrededor de la Auditoría Continua, ellas son el Instituto de Auditores Internos (IIA), la Asociación de Control y Auditoría de Sistemas de Información (ISACA) y el Instituto de Contadores públicos de Australia. A estas tres organizaciones, se le suma, la guía desarrollada recientemente por el Instituto de Auditores Internos de España.

Tabla 6 Guías de Auditoría Continua establecidas por organismos Internacionales. 

AÑO GUÍA ENTIDAD
2005 GTAG 3 - Guía de Auditoría de Tecnología Global sobre Auditoría Continua (recientemente actualizada) Instituto de Auditores Internos
2010 Continuous Assurance - Guía 42 de ISACA. ISACA
2010 Continuous Assurance for the now economy Instituto de Contadores Públicos de Australia
2014 Guía para implantar con éxito un modelo de auditoría Continua Instituto de Auditores Internos de España

Las guías de Auditoría continua son elementos esenciales para la comunidad profesional de Contadores y Auditores, si se tiene en cuenta que son los instrumentos a través de los cuales se ponen en práctica la Auditoría continua por parte de la comunidad que hacen parte de cada uno de estos organismos.

De acuerdo a su orientación

El desarrollo de un esquema de auditoría continua, puede estar orientado a ofrecer una solución técnica o a definir un esquema metodológico y en algunos casos pueden aportar ambos enfoques, en este sentido se han clasificado los esquemas teniendo en cuenta su enfoque exclusivamente hacia lo técnico o hacia lo metodológico, tomando como criterio para su clasificación el involucramiento de técnicas o tecnologías específicas para su desarrollo. Como resultado se ha encontrado un 47% de los esquemas con un enfoque eminentemente metodológico y el restante 53% obedece a una orientación técnica.

Orientación hacia a lo metodológico: Este tipo de esquemas sugieren una serie de fases a desarrollar y en la mayoría de los casos presentan neutralidad tecnológica. En la siguiente tabla se listan los esquemas que entran en esta categoría.

Tabla 7 Modelos de Auditoría Continua orientados a lo metodológico  

MODELO ORIENTACION
Innovation and practice of continuous auditing Metodológica
Model for Transaction-based continuous auditing Metodológica
Metodologia Mainardi Metodológica
Caso de Implementación en la Policía Montada Real de Canada (RCMP). Metodológica
Continuous Assurance for the now economy Metodológica
Modelo Rezaee Metodológica
G42 Continuous Assurance Metodológica
GTAG 3 - Guía de Auditoría de Tecnología Global sobre Auditoría Continua. Metodológica
Guía para implantar con éxito un modelo de Auditoría Continua Metodológica
Auditoría Continua: Mejores Prácticas y Caso Real Metodológica
Continuous Auditing From a Practical Perspective Metodológica
CAIMOR - Continuous Auditing Immune Model based on Object-Oriented Rule base. Metodológica
Six Steps to an Effective Continuous Audit Process Metodológica
The Predictive Audit Framework Metodológica

Orientación hacia lo técnico: Dentro de esta tipología, se encuentran aquellos que por lo general pueden estar orientados a una tecnología específica para dar solución a un problema donde se requiera la Auditoría Continua. Desde este punto de vista, existe una variedad de tecnologías, desde aquellas cuyo foco está orientado a analizar los módulos de Auditoría Continua con que cuentan las principales ERP’s del mercado, hasta soluciones orientadas a web services, XML, SOA, agentes inteligentes entre otros. A continuación se listan los esquemas orientados a lo técnico:

Tabla 8 Modelos de Auditoría Continua orientados a lo técnico 

MODELO TÉCNICA
Modelo de Groomer & Murthy. EAM
Audit Server MCL
A continuous auditing web services model for XML-based accounting systems MCL
CPAS -The Continuous Process Auditing System EAM
Continuous Auditing Model in the context of independent audits. MCL
Continuous Auditing From a Practical Perspective MCL
Hospital corporation of America (HCA). MCL
Continuous audit Model development and implementation within a debt covenant compliance domain (Modelo Woodroof) MCL
Model for secure continuous auditing (Modelo Onions) MCL
Auditoría Continua online en el sector gobierno Chino EAM
Modelo CRCA (Continuous Risk and Control Assurance) MCL
A Theoretical and Technical Model of an external Continuous Auditing System EAM
The Web-service-based Continuous Auditing Model (WSCAM) MCL
Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality EAM
On Application of SOA to Continuous Auditing MCL
ABCAM - system for continuous auditing called the agent-based continuous audit model (ABCAM) MCL

Para la implementación de la Auditoría Continua desde el punto de vista técnico, los esquemas de Auditoría Continua han propuesto dos enfoques: el primero es el de módulos embebidos de auditoría (Embedded Audit Module - EAM) y el segundo es el de capa de monitoreo y control (Monitoring and Control Layer - MCL) (Best, Rikhardsson, & Toleman, 2009;C. Yeh & Shen, 2010;Vasarhelyi, Alles, & Williams, 2010b; Alles & Vasarhelyi, 2009). A pesar de ello, Kuhn & Sutton (2010), han propuesto un enfoque híbrido, denominado EAM Ghosting.

Los Módulos Embebidos de Auditoría son subrutinas dentro de un programa de aplicación de una entidad que ejecuta procedimientos de control y auditoria de forma concurrente con el procesamiento normal de la aplicación (Ye, He, et al., 2008), y contempla la instalación de archivos o segmentos de código dentro de un sistema objeto de control (Groomer & Murthy, 1989).

La primera herramienta que muchos auditores internos consideraron al momento de utilizar la tecnología en un modelo de Auditoría Continua fue el uso de módulos embebidos de auditoría (Warren & Ley Parker, 2003). Esta técnica fue propuesta inicialmente en Groomer & Murthy (1989).

La Capa de Monitoreo y Control, por su parte, es una solución de software independiente, no integrada con el sistema de información, para lo cual se usa middleware para extraer datos y realizar análisis, frente a unas reglas previamente definidas (Best et al., 2009), este enfoque surgió como una alternativa a EAM, propuesto por una gran cantidad de modelos. Este tipo de técnica, es un módulo de software que opera de forma independiente al sistema objeto de monitoreo y se presenta como uno de los esquemas ideales en procesos de auditoría externa.

De acuerdo al tipo de Auditoría

Las diferencias existentes entre auditoría interna y externa no son radicales, dado que por lo general se basan en la misma metodología, utilizan las mismas técnicas y en esencia cumplen la misma función, sin embargo su principal diferencia se encuentre en el personal que la ejerce, en el nivel de independencia y en el acceso a la información.

Dentro de los esquemas de Auditoría Continua propuestos por académicos y profesionales, el 60% de los modelos no tienen orientación específica, mientras que el restante 40% obedecen a una tipología de auditoría específica.

Figura 3 Esquemas de Auditoría Continua por Tipo 

Dentro de los esquemas que se orientan específicamente a Auditoría interna se encuentra ocho (8), mientras que los que están orientados de manera específica a la Auditoría externa en menor proporción tan solo son representados por cuatro (4), como se puede apreciar en la siguiente tabla.

Tabla 10 Modelos de Auditoría Continua orientados a la Auditoría tanto interna como externa. 

Modelo de Auditoría Tipo de Auditoría
Auditoría Continua: Mejores Prácticas y Caso Real Interna
CPAS - The Continuous Process Auditing System Interna
Six Steps to an Effective Continuous Audit Process Interna
Audit Server Interna
CMBPC - Continuous Monitoring of Business Process Controls Interna
GTAG 3 - Guía de Auditoría de Tecnología Global sobre Auditoría Continua. Interna
Hospital corporation of America (HCA). Interna
Caso de Implementación en la Policía Montada Real de Canadá (RCMP). Interna
The Web-service-based Continuous Auditing Model (WSCAM) Externa
Continuous Auditing Model in the context of independent audits. Externa
A Theoretical and Technical Model of an external Continuous Auditing System Externa
Auditoría Continua online en el sector gobierno Chino Externa

CONCLUSIONES

La Auditoría Continua es una alternativa y un complemento de la auditoría tradicional que agrega valor a la función de aseguramiento en la organización y para su incorporación como parte de la labor del Auditor, es necesario contar con esquemas que articulen las diversas actividades requeridas para el cumplimiento de sus objetivos. En la literatura académica y profesional se han encontrado, sin ser exhaustivos, aproximadamente 30 esquemas diferentes para llevarla a cabo, los cuales han tomado diversos nombres: modelos, metodologías, guías, casos, lo que hace de la Auditoría Continua una disciplina prolífica en alternativas de implementación, a pesar de ser una disciplina joven, si se tiene en cuenta que aún no es una práctica generalizada en las organizaciones. No obstante, ante la cantidad de esquemas existentes, y la poca existencia en la literatura académica de taxonomías, se desarrolló una propuesta taxonómica que permite tipificar la forma como se ha venido desarrollando la Auditoría Continua durante los últimos 25 años, compuesta por tres categorías, 8 tipologías, con algunas subdivisiones, concluyendo a partir de ello, que cerca del 70% de las propuestas existentes para el desarrollo de la Auditoría Continua son esquemas teóricos, con muy pocas aplicaciones orientadas al sector público y en una gran proporción diseñadas de manera indistinta hacia la Auditoría tanto interna como externa, siendo, desde el punto de vista técnico, MCL (Monitor Control Layer) la técnica más utilizada.

Trabajos futuros

La construcción de una taxonomía sienta las bases para el desarrollo de esquemas de homogeneización de las fases de Auditoría Continua que permitan establecer elementos comunes para el desarrollo de meta modelos de Auditoría Continua, incorporando prácticas generalizadas en los diferentes esquemas propuestos, combinando teoría y práctica, con orientaciones especificas hacia el sector público o privado o hacia la Auditoría Interna o externa. Estos meta modelos permitirán allanar el camino hacia la construcción de esquemas solidos con prácticas generalmente aceptadas.

BIBLIOGRAFIA

Abdolmohammadi, M. J., & Sharbatoghlie, A. (2005). Continuous Auditing: An Operational Model for Internal Auditors. The IIA Research Foundation. [ Links ]

Aboa, Y. P. J. D. (2014). Continuous Auditing : Technology Involved. East Tennessee State University. [ Links ]

Alles, M. G., Brennan, G., Kogan, A., & Vasarhelyi, M. A. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at Siemens. International Journal of Accounting Information Systems, 7(2), 137-161. doi: 10.1016/j.accinf.2005.10.004 [ Links ]

Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Audit Automation for Implementing Continuous Auditing: Principles and Problems. [ Links ]

Alles, M. G., Tostes, F., Vasarhelyi, M. A., & Riccio, E. L. (2006). Continuous Auditing: The USA experience and considerations for its implementation in Brazil. Journal of Information Systems and Technology Management, 3(2), 211-224. doi: 10.4301/S1807-17752006000200007 [ Links ]

Alles, M. G., & Vasarhelyi, M. A. (2009). Principles and Problems of Audit Automation as a Precursor to Continuous Auditing. [ Links ]

Baksa, R., & Turoff, M. (2010). The Current State of Continuous Auditing and Emergency Management ’ s Valuable Contribution. In 7th International ISCRAM Conference (pp. 1-10). [ Links ]

Best, P. J., Rikhardsson, P., & Toleman, M. (2009). Continuous Fraud Detection in Enterprise Systems through Audit Trail Analysis. Journal of Digital Forensics, Security and Law, 4(1), 39-61. [ Links ]

Blundell, A. (2007, July). Continuous auditing technologies and models. Computers & Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964Links ]

Braun, R. L., & Davis, H. E. (2003). Computer-assisted audit tools and techniques: analysis and perspectives. Managerial Auditing Journal, 18(9), 725-731. doi:10.1108/02686900310500488 [ Links ]

Castello, R. J., Morales, H. R., & Wolfmann, A. G. (2008). AUDIT SERVER - Una implementación piloto de un sistema de Auditoria Continua. Normaria, (19). Retrieved from http://www.iaia.org.ar/elauditorinterno/19/Articulo2.htm#Links ]

Cerullo, M. V., & Cerullo, M. J. (2003). Impact of SAS No. 94 on Computer Audit Techniques. Information Systems Control Journal, 1(94). [ Links ]

Chan, D. Y., & Vasarhelyi, M. A. (2011). Innovation and practice of continuous auditing. International Journal of Accounting Information Systems , 12(2), 152-160. doi:10.1016/j.accinf.2011.01.001 [ Links ]

Chou, C. L., Du, T., & Lai, V. S. (2007). Continuous auditing with a multi-agent system. Decision Support Systems, 42(4), 2274-2292. doi:10.1016/j.dss.2006.08.002 [ Links ]

Coderre, D. (2009). Internal Audit. Efficiency through Automation. John Wiley & Sons, Inc. [ Links ]

De Aquino, C. E., Lopes da Silva, W., Sigolo, N., & Vasarhelyi, M. A. (2010). Six Steps to an Effective Continuous Audit Process. Internal Auditor, 1-5. [ Links ]

Debreceny, R. S., Gray, G. L., Ng, J. J.-J., Lee, K. S.-P., & Yau, W.-F. (2005). Embedded Audit Modules in Enterprise Resource Planning Systems: Implementation and Functionality. Journal of Information Systems, 19(2), 7-27. doi:10.2308/jis.2005.19.2.7 [ Links ]

Du, H., & Roohani, S. (2007). Meeting Challenges and Expectations of Continuous Auditing in the Context of Independent Audits of Financial Statements. International Journal of Auditing, 11(2), 133-146. doi:10.1111/j.1099-1123.2007.00359.x [ Links ]

Groomer, S. M., & Murthy, U. S. (1989). Continuous auditing of database applications: An embedded audit module approach. Journal of Information Systems, 3(2), 53-69. [ Links ]

Handscombe, K. (2007). Continuous Auditing From a Practical Perspective. Information Systems Control Journal, 2, 1-5. [ Links ]

IIA. (2005). Guide 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment. The Institute of Internal Auditors. [ Links ]

Instituto de Auditores Internos de España. (2014). Guía para implantar con éxito un modelo de Auditoría Continua. [ Links ]

ISACA. (2010). IS Auditing Guideline: G42 Continuous Assurance. ISACA. Retrieved from http://www.isaca.org/Knowledge-Center/Standards/Documents/G42-Continuous-Assurance-18Feb10.pdfLinks ]

Jolly, J. R., & Alcarraz, G. (2010). Auditoría Continua : Mejores Prácticas y Caso Real. In Congreso Latinoamericano de Auditoría Interna 2010. [ Links ]

Kevin, M. HCA: Mitigación de riesgos por medio del monitoreo continuo (2004). [ Links ]

Krell, E. (2004). “ Continuous ” Will Be Key to Compliance. Business Finance, 1-6. [ Links ]

Kuenkaikaew, S. (2013). Predictive Audit Analytics: Evolving to a new era. The State University of New Jersey. [ Links ]

Kuenkaikaew, S., & Vasarhelyi, M. A. (2013). The Predictive Audit Framework. The International Journal of Digital Accounting Research, 13(April), 37-71. doi:10.4192/1577-8517-v13 [ Links ]

Kuhn, J. R., & Sutton, S. G. (2010). Continuous Auditing in ERP System Environments: The Current State and Future Directions. Journal of Information Systems , 24(1), 91-112. doi:10.2308/jis.2010.24.1.91 [ Links ]

Lee, C. S., & Chou, C. (2007). A Theoretical and Technical Model of an external Continuous Auditing System. In The Sixth Wuhan International Conference on e-business (pp. 1870-1875). [ Links ]

Loh, S. (2002). Using Continuous Assurance to Detect Fraud in e-commerce Transactions. Design. The University of New South Wales. [ Links ]

Louwers, T. J., Ramsay, R. J., Sinason, D. H., Strawser, J. R., & Thibodeau, J. (2011). Auditing & Assurance Services (4th ed.). New York: McGraw-Hill. [ Links ]

Mahzan, N., & Lymer, A. (2008). Adoption of Computer Assisted Audit Tools and Techniques ( CAATTs ) by Internal Auditors : Current issues in the UK Adoption of Computer Assisted Audit Tools and Techniques ( CAATTs ) by Internal Auditors. Innovation, (April 2008), 1-46. [ Links ]

Mainardi, R. L. (2011). Harnessing The Power of Continuous Auditing (1a ed., p. 285). John Wiley & Sons, Inc. [ Links ]

Marks, N. (2010). Continuous Auditing Reexamined. ISACA Journal Online, 1, 1-5. Retrieved from http://www.isaca.org/Journal/Past-Issues/2010/Volume-1/Pages/Continuous-Auditing-Reexamined1.aspxLinks ]

Murcia, F. D. (2008). Continuous Auditing : A Literature Review Auditoria Contínua : uma revisão da literatura. Organizações Em Contexto, 4(7), 1-17. [ Links ]

Murthy, U. S., & Groomer, S. M. (2004). A continuous auditing web services model for XML-based accounting systems. International Journal of Accounting Information Systems , 5(2), 139-163. doi:10.1016/j.accinf.2004.01.007 [ Links ]

Onions, R. L. (2003). Towards a Paradigm for continuous Auditing. Retrieved May 10, 2011, from http://www.auditsoftware.net/community/how/run/tools/Towards a Paradigm for continuous Auditin1.docLinks ]

Pinilla Forero, J. D. (1997). Auditoría de Sistemas en funcionamiento (1a ed., p. 278). Santafé de Bogota: ROESGA. [ Links ]

Ramamoorti, S., & Weidenmier, M. L. (2004). CHAPTER 9 THE PERVASIVE IMPACT OF INFORMATION TECHNOLOGY. In Information Systems (pp. 1992-2004). [ Links ]

Rezaee, Z., McMickle, P. L., Sharbatoghlie, A., & Elam, R. (2004). Auditoría continua : Construyendo capacidades para una auditoría automatizada Resumen. Revista Internacional LEGIS de Contabilidad & Auditoria, 9-40. [ Links ]

Rezaee, Z., Sharbatoghlie, A., Elam, R., & McMickle, P. L. (2002). Continuous Auditing: Building Automated Auditing Capability. Auditing: A Journal of Practice & Theory, 21(1), 147-163. doi:10.2308/aud.2002.21.1.147 [ Links ]

Searcy, D., & Woodroof, J. (2003). CONTINUOUS AUDITING: LEVERAGING TECHNOLOGY. THE CPA JOURNAL, 43-48. [ Links ]

Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations, benefits, problems, and challenges identified by partners of a Big 4 accounting firm. In 36th Annual Hawaii International Conference on System Sciences (Vol. 00, pp. 1-10). Ieee. doi:10.1109/HICSS.2003.1174565 [ Links ]

Sharbatoghlie, A., & Sepehri, M. (2015). An Integrated Continuous Auditing Project Management Model ( CAPM ). In 6th International Management Conference (pp. 1-11). [ Links ]

Smieliauskas, W., & Bewley, K. (2010). APPENDIX 9A : U NDERSTANDING I NFORMATION S YSTEMS AND INTERNAL CONTROL , INFORMATION SYSTEMS , AND THE AUDIT PLAN. In Auditing: An International Approach (5th ed., pp. 1-28). Retrieved from http://highered.mcgraw-hill.com/sites/dl/free/0070968292/815271/smi68292_app9A.pdfLinks ]

Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010a). Continuous Assurance for the Now Economy (First Edit.). Sidney (Australia): The Institute of Chartered Accountants in Australia. [ Links ]

Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010b). Continuous Assurance for the Now Economy A Thought Leadership Paper for the Institute of Chartered Accountants in Australia. Information Systems . [ Links ]

Vasarhelyi, M. A., & Halper, F. B. (1991). The Continuous Audit of Online Systems. Auditing: A Journal of Practice & Theory , 10(1), 110-125. [ Links ]

Warren, J. D., & Ley Parker, X. (2003). Continuous Auditing: Potential for Internal Auditors. The IIA Research Foundation. Retrieved from http://www.theiia.org/bookstore/product/continuous-auditing-potential-for-internal-auditors-1136.cfmLinks ]

Wenming, Z. (2007). Continuous Online Auditing in the Government Sector. Internal Auditor, 10, 1-6. Retrieved from http://www.theiia.org/intAuditor/itaudit/archives/2007/june/continuous-online-auditing-in-the-government-sector/?search=“continuous audit”Links ]

Woodroof, J., & Searcy, D. (2001). Continuous audit Model development and implementation within a debt covenant compliance domain. International Journal of Accounting Information Systems , 2(3), 169 - 191. [ Links ]

Ye, H., Chen, S., & Gao, F. (2008). On Application of SOA to Continuous Auditing. WSEAS Transactions on Computers, 7(5), 532-541. [ Links ]

Ye, H., He, Y., & Xiang, Z. (2008). Continuous Auditing System Based on Registration Center. WSEAS Transactions on Information Science and Applications, 5(5). [ Links ]

Ye, H., & Li, Y. (2010). Research Of Continuous Auditing Immune Model based on Object-Oriented Rule. In 2nd International Conference on Computer Engineering and Technology (Vol. 3, pp. 0-4). IEEE. [ Links ]

Yeh, C., & Shen, W. (2010). Using continuous auditing life cycle management to ensure continuous assurance. African Journal of Business Management, 4(12), 2554-2570. [ Links ]

Received: May 21, 2015; Accepted: December 27, 2017

Address for correspondence: Francisco Javier Valencia Duque, Profesor Asociado, Departamento de Informática y Computación, Universidad Nacional de Colombia, Manizales, Colombia. E-mail: fjvalenciad@unal.edu.co; Johnny Alexander Tamayo Arias, Profesor Asociado, Departamento de Ingeniería Industrial, Universidad Nacional de Colombia, Manizales, Colombia. E-mail: jatamayoar@unal.edu.co

Creative Commons License This is an open-access article distributed under the terms of the Creative Commons Attribution License