Uso de tecnologías de automatización en auditoría interna

La primavera pasada, leí un artículo sobre el uso de tecnologías de automatización, como la automatización de procesos robóticos (RPA) y la minería de procesos, en auditoría interna. Fue una experiencia reveladora.

Para ser justos, realmente no había puesto en práctica la RPA en ese momento. Había leído sobre él y pensé que entendía su alcance, pero nada más. El análisis de datos había sido una constante durante los proyectos, pero el enfoque consumía mucho tiempo y suponía una carga para el equipo de auditoría interna. Era hora de cambiar de marcha y mejorar el enfoque.

El artículo fue “Poniendo esos bots a trabajar” por Mike Jacka. En él, instó a la comunidad de auditoría interna a “darse una patada en el tuchus” y utilizar tecnologías de automatización para evitar “volverse irrelevantes”. Fue un artículo provocativo y una bienvenida llamada de atención. Jacka afirma con razón que “casi todo lo relacionado con las auditorías de cumplimiento es materia de RPA”.

Si vamos al grano, el trabajo es sencillo: descargamos datos, los analizamos y los usamos para discutir procesos y controles. Con base en lo que vemos y escuchamos, notamos las debilidades de control y hacemos recomendaciones a la gerencia. El problema es que perdemos mucho tiempo obteniendo y formateando datos para cada auditoría: las mismas tablas y gráficos repetidamente. Día de la Marmota, pero sin las festividades.

Dos áreas están listas para la automatización (1) la descarga y el análisis de datos para identificar señales de alerta y (2) la visualización de datos para respaldar las entrevistas de auditoría.

Uso de RPA para identificar banderas rojas
Para probar y evaluar los beneficios prácticos de RPA, revisé nuestra cartera de análisis de auditoría.

Las entradas de diario manuales surgieron como una excelente elección para un bot piloto. El objetivo del análisis es simple: identificar todas las entradas del diario con una bandera roja. En una auditoría, una bandera roja es un indicador de que existe un posible problema de cumplimiento o fraude. El trabajo realizado es repetitivo. El auditor interno descarga tablas del ERP, que son grandes, por lo que el auditor pasa mucho tiempo mirando la pantalla. Cuando el extracto finalmente está disponible, el auditor fusiona diferentes tablas aplicando filtros estándar para mostrar valores atípicos y transacciones inusuales. Una gran tarea para un bot.

Para poner en marcha el piloto, obtuve una licencia de prueba gratuita de un proveedor que asignó el desafío a un auditor que había dejado en claro que quería aprender a escribir secuencias de comandos. La mayoría de los proveedores de RPA ofrecen una academia de capacitación en línea gratuita para construir la comunidad de usuarios. El auditor interno tardó aproximadamente 40 horas en completar todos los módulos del curso, desde el nivel de “analista de negocios” hasta el de “desarrollador”, donde aprende a configurar las variables, los flujos de trabajo y los controles del bot. Luego, el auditor tardó otros siete días en diseñar y probar el bot para el análisis manual de entradas de diario.

El resultado fue muy positivo. El auditor ahora simplemente presiona un botón, luego el bot hace todo el trabajo. Al iniciar sesión en el ERP, el bot ingresa a la transacción para acceder a todas las tablas, selecciona las tablas, define el período y la entidad en alcance. Al tomar la descarga de ERP, el bot guarda el archivo en una carpeta específica, abre una hoja de cálculo separada, transfiere y formatea los datos en la hoja de cálculo, ejecuta un conjunto de filtros predeterminados, visualiza la salida en el gráfico apropiado, crea una hoja de trabajo separada con todas las excepciones y envía el archivo al auditor.

Todo esto sucede a una velocidad muy alta, incluso cuando no está en el trabajo. Con solo presionar el botón, el auditor puede identificar publicaciones los fines de semana, fuera del horario comercial, en cuentas del libro mayor de alto riesgo, con valores redondos o texto sospechoso, o ligeramente por debajo del umbral de aprobación de la administración. Factores críticos para iniciar nuestro trabajo de auditoría.

Mientras tanto, bots adicionales se han unido a las filas con un enfoque en datos maestros, recuento de inventario, descripción de activos fijos y más.

Minería de procesos para respaldar entrevistas
Realizar un recorrido de proceso eficaz puede ser una fuente de frustración y una tarea que se vuelve aún más compleja durante la auditoría remota. Los flujos de procesos y otras hojas de cálculo son estáticos, difíciles de compartir en pantalla y no son efectivos para discusiones de auditoría interactivas.

La minería de procesos se anuncia como la herramienta definitiva para el descubrimiento y la auditoría de procesos, y les puedo asegurar que lo es.

La minería de procesos es una técnica analítica que permite al usuario reconstruir, monitorear y mejorar los procesos comerciales en tiempo real mediante la extracción de datos de los archivos de registro del sistema. El punto de venta de la aplicación es su capacidad para revisar toda la población de transacciones y comprender cómo se realiza el trabajo más allá de la subjetividad de la persona que realiza la actividad.

Tomé la decisión de aprender, implementar y usar la tecnología con tres objetivos claros en mente:

  • Dedique tiempo a transacciones y eventos de alto riesgo.
  • Realice fácilmente recorridos remotos con los clientes
  • Comunicar el impacto real de una debilidad de control.

Si su empresa está utilizando la minería de procesos en otras partes del negocio, la adopción es una obviedad total. Mi consejo es comenzar con el proceso desde la compra hasta el pago, un tema habitual en la mayoría de los programas de auditoría. Las tablas de datos y las transacciones son relativamente conocidas por la mayoría de los auditores y la perspectiva de mejorar la gestión de gastos facilita la decisión de inversión.

Los beneficios para la planificación y ejecución de una auditoría desde la compra hasta el pago son enormes. Para cualquier entidad dada y en menos de 30 minutos, el personal de auditoría puede comprender el gasto por proveedores y categorías, el número de órdenes de compra emitidas, la antigüedad de las órdenes de compra abiertas, la combinación de facturas sin órdenes de compra, la existencia de órdenes de compra emitidas. después del hecho, y muchos más.

Cada transacción está disponible por entidad, proveedor, comprador, contador y se puede analizar con tablas y diagramas de flujo de procesos. Para verificar e investigar la existencia de documentos fuente adecuados, el auditor interno puede ponerse manos a la obra rápidamente, profundizar en las transacciones, explorar casos y seleccionar muestras.

El fundamento para asegurar los recursos
A pesar de los beneficios obvios, obtener financiación puede ser un desafío para los directores de auditoría interna. Por experiencia, vimos que la minería de procesos ahorra aproximadamente el 20 por ciento de las horas necesarias para la ejecución de una auditoría de entidad regular. La mayor ganancia viene con la recopilación de datos y la selección de muestras, ya que los datos se actualizan constantemente y son accesibles para el auditor.

Los ahorros de tiempo del orden del 20 por ciento pueden ser un argumento convincente si la gerencia busca reducir los costos de cumplimiento. Pero el argumento más crítico es que la herramienta proporciona capacidades de monitoreo continuo. Como tal, le permite evaluar rápidamente la necesidad de una auditoría y evitar la implementación de recursos de auditoría en actividades innecesarias: una ganancia del 100 por ciento.

Finalmente, la selección de una herramienta de minería de procesos ya no es un salto hacia lo desconocido. El mercado ha madurado con algunos proveedores como Celonis, Software AG, UiPath o Minit liderando el juego. Más allá del costo del software, es fundamental asociarse con TI y tener un ingeniero de datos para diseñar el cubo de datos, asignando cada transacción a un paso del proceso. La configuración de cuadros de mando, diagramas de flujo y nivel de tolerancia es una habilidad accesible para los auditores internos.

El impacto de esas dos tecnologías para la función de auditoría no es discutible: usted gana tiempo, ahorra dinero, hace mejores preguntas y tiene una discusión más útil con los auditados. No hay razón para posponer las cosas.

Fuente: https://internalaudit360.com/