ISSN 0798 1015
ISSN 0798 1015
Vol. 39 (Nº 04) Año 2018. Pág. 14
Francisco Javier VALENCIA-DUQUE 1; Fabio MEJIA SERNA 2; Carlos Eduardo MARULANDA 3
Recibido: 22/09/2017 • Aprobado: 20/10/2017
RESUMEN: El artículo presenta un caso aplicado de auditoría continua, para lo cual se plantea la metodología desarrollada y los resultados generados en su implementación, utilizando un enfoque basado en riesgos de una empresa del sector energético colombiano, asociado al proceso de adquisición de carbón, a partir de los diferentes referentes teóricos que al respecto existen. |
ABSTRACT: This paper presents an applied case of continuous audit, for which the methodology developed and the results generated in its implementation, using a risk-based approach of a company in the Colombian energy sector, associated to the process of coal acquisition, based on the different theoretical references that exist in this regard. |
El campo de la auditoría ha venido sufriendo durante los últimos años una serie de transformaciones en búsqueda de agregar valor a la organización y en respuesta a los cambios organizacionales, en especial a los cambios tecnológicos que han sido incorporados en sus diferentes procesos.
En respuesta a lo anterior, dos aspectos se resaltan dentro de esos cambios que afectan estructuralmente la función de auditoría, ellos son: el enfoque basado en riesgos (RBA por sus siglas en inglés Risk Based Approach) y la auditoría orientada a datos; la primera ya establecida por la comunidad profesional y académica desde hace varios años e incorporada en las normas de auditoría generalmente aceptadas, promulgadas por el IIA (The Institute of Internal Auditors); y la segunda de igual forma incorporada en las normas del IIA, pero aún en proceso de masificación en las áreas de auditoría interna, en respuesta a la realidad tecnológica que tienen los procesos organizacionales que son sujeto de auditoría, y en especial a la gran cantidad de datos que se generan diariamente en las organizaciones y que llevan a convertirlas en un insumo fundamental e ineludible al momento de desarrollar la función de auditoría.
Estos dos aspectos modernos de la auditoría serán materializados en el presente proyecto, cuyo objetivo es implementar la auditoría continua en el proceso de gestión de la adquisición del carbón como mecanismo para disminuir la latencia existente entre el momento en que se materializa el riesgo y/o se incumplen los controles y el momento en que son detectados. Para ello se desarrollará un proceso de gestión de riesgos basado en la ISO 31000 y la ISO/IEC 27005 y para el caso de auditoría orientada a datos, se acudirá a la auditoría continua, considerada por algunos autores como el nuevo paradigma de la auditoría.
Ambos aspectos tendrán como objeto de aplicación el proceso de gestión minera que desarrolla GENSA S.A. desde hace varios años, el cual cuenta actualmente con un alto nivel de automatización.
Como resultado de dicho proceso, el presente documento desarrolla los resultados alcanzados con la aplicación de estas dos realidades de la auditoría en el contexto del proceso de gestión minera, para lo cual se partirá de una breve descripción del problema, seguido de la metodología desarrollada y como producto de ello, los resultados arrojados.
La minería es un sector importante de la economía colombiana, caracterizada por una minería de pequeña escala, compuesta por 14357 unidades de producción minera identificadas por el Ministerio de Minas y Energía, en el cual el 72% corresponden a minería de pequeña escala (Mesa, 2016).
El Departamento de Boyacá, recoge cerca del 53% de los títulos mineros del país, según el Ministerio de Minas y Energía (Mesa, 2016), y es allí precisamente donde tiene presencia la empresa y la zona en la cual se desarrolla el proceso objeto de análisis del presente proyecto.
De acuerdo con el diario el Espectador, en su edición del 10 de marzo de 2016, el proceso de compra de carbón inició en el año 2014, momento en el cual la termoeléctrica GENSA S.A. E.S.P. involucró en la compra de carbón a los mineros de Boyacá, en un programa que fue reconocido por FENALCARBON dado el impacto positivo que tuvo en la promoción de una minería responsable. La compañía llevó a cabo una convocatoria dirigida a pequeños mineros en la que al final se recibieron 300 propuestas, de las cuales 136 cumplieron con los requerimientos de la empresa y ayudarían a cubrir la demanda de carbón de la termoeléctrica hasta 2018, la cual estaba estimada para un aprovisionamiento de 3’615.000 toneladas que permitían cubrir las necesidades estimadas para el periodo comprendido entre diciembre de 2014 a julio de 2018 (GENSA, 2015).
Es a partir de allí donde se inicia precisamente el proceso de manera formal para la empresa, y si bien, y dada las exigencias contractuales, una vez firmados los contratos entre la termoeléctrica GENSA y los propietarios mineros se han generado una serie de tensiones entre las partes, en esencia debido a las calidades exigidas del carbón, es precisamente la necesidad de garantizar un adecuado aseguramiento de los diferentes flujos de información que tiene el proceso lo que impulsa este proyecto, teniendo presente la necesidad no solo de tener una visión holística del proceso, sino y a partir de allí de garantizar un adecuado aseguramiento de la información con procesos que detectan a tiempo la ocurrencia de riesgos y/o desviación de controles identificados en los diferentes flujos de información.
Para cumplir con los objetivos de este negocio estratégico para la empresa, se ha venido automatizando el proceso a través de una solución tecnológica desarrollada a la medida, denominada “Minero” con la cual se lleva un control del ciclo de vida del proceso, desde su entrega a través de la recepción del carbón transportado desde las minas hacia las instalaciones de GENSA en Paipa (municipio de Boyacá) a través de diferente medios de transporte en especial volquetas, pasando por el pesaje, descarga, toma de muestras para la revisión de la calidad del carbón hasta llegar al proceso de liquidación del carbón, incorporando una serie de controles para garantizar la disminución de riesgos que puedan afectar técnica, financiera y operacionalmente la empresa.
No obstante lo anterior, tanto los procesos de contratación, programación, suministro, análisis y liquidación del carbón que actualmente incorpora la solución tecnológica han venido creciendo con el tiempo, generando mayores niveles de complejidad, lo que le dan al proceso un nivel de robustez suficiente como para ser considerado tanto al proceso, como la solución tecnológica, crítica para el negocio, sin que hasta la fecha se tenga una perspectiva sistémica y holística del proceso, debido al bajo nivel de documentación no solo del proceso, sino de los riesgos y controles, requisito esencial para establecer el nivel de aseguramiento del proceso y de la información e incorporar mecanismos más eficientes de trazabilidad y auditabilidad, representados en la disminución de la latencia que debe existir entre el momento en que ocurre un riesgo o se incumple un control y el momento en que es detectado por el área de auditoría interna o los demás miembros de la organización que se encuentran relacionados de manera directa con el proceso.
Tomando como referencia los conceptos teóricos de aseguramiento tecnológico y auditoría continua y en contexto con la problemática particular del proceso en la empresa, se estableció el siguiente esquema metodológico:
Contexto y modelación del proceso: fase necesaria para tener un pleno entendimiento del proceso y su articulación con los flujos de información desarrollados a través del sistema de información “minero” que da soporte actualmente al proceso. Para ello se acudió la técnica de descomposición del trabajo o WBS (por sus siglas en ingles de Work BreakDown Structure).
Evaluación del nivel de digitalización del proceso: El índice de digitalización del proceso representa el nivel en el cual los datos e información que se generan, almacenan, procesan, consultan y agrupan están soportados en sistemas de información. A efectos de determinar el nivel de digitalización del proceso, se establecieron para cada uno de los procedimientos, las categorías de información relevantes y a partir de allí, se determinaron aquellas que se encontraban soportadas en sistemas de información.
Establecimiento de la matriz de riesgos y controles: El proceso de aseguramiento integral del proceso de gestión minera está basado en la interrelación existente entre el riesgo, el control y la auditoría. El riesgo entendido como aquellos eventos que pueden afectar los diferentes activos que hacen parte del proceso y que pueden afectar el cumplimiento de sus objetivos. El control, como aquellas actividades y mecanismos existentes para mitigar el riesgo y llevarlo a un nivel aceptable por la organización. La auditoría, como aquella actividad independiente encargada de evaluar los controles para garantizar su eficacia y eficiencia y proteger a la organización de la ocurrencia de los riesgos. Para lograr lo anterior y tal como se puede observar en la figura 1, se referenciarán las mejores prácticas a nivel internacional.
Figura 1
Proceso de aseguramiento integral
Fuente: los autores
Diseño del modelo de auditoría continua: a partir del análisis de los diferentes referentes teóricos y seleccionando aquellos riesgos y controles del proceso asociados a tecnologías de información, se desarrolló un modelo de auditoría continua.
Desarrollo de módulos de auditoría continua: teniendo en cuenta los altos costos de soluciones tecnológicas de auditoría continua, se procedió a desarrollar un sistema de información ajustado a las necesidades de la empresa, que permitiera automatizar el modelo desarrollado.
El desarrollo metodológico del proyecto conllevo a la generación de los siguientes resultados:
Acudiendo a la técnica de descomposición del trabajo o WBS (por sus siglas en ingles de Work BreakDown Structure) las diferentes etapas que hacen parte del proceso objeto de análisis se caracterizaron a través de procedimientos que han sido delineados con el apoyo de los expertos funcionales en el proceso, dando como resultado una secuencia general tal como se puede observar en la figura 2, y una descripción detallada de las diferentes actividades y flujos de información que allí se manejan.
Figura 2
Ciclo del proceso
Fuente: los autores
Como resultado del análisis de cada una de las categorías de información que hacen parte de los procedimientos del proceso, se estableció un nivel de digitalización promedio del proceso del 71,1%, en función del nivel en el cual estas categorías de información se encuentran inmersas en sistemas de información, tal como se puede observar en la tabla 1.
Tabla 1
Índice de digitalización de procedimientos
Procedimiento |
Nro categorías de información evaluados |
Índice promedio de digitalización |
Contratación del carbón |
14 |
42.9% |
Programación del suministro de carbón |
4 |
100% |
Recepción del carbón |
9 |
77.8% |
Toma de muestras |
2 |
100% |
Análisis físico químico del carbón |
2 |
100% |
Liquidación del carbón |
4 |
75% |
Fuente: los autores.
En concordancia con lo expuesto en el proceso metodológico, se llevaron a cabo cada una de las fases de la gestión del riesgo, de acuerdo a lo establecido en la ISO 31000:2009 y con algunos aspectos propios de la ISO/IEC 27005, obteniendo los siguientes resultados:
Establecimiento de contexto: además de los factores internos y externos del proceso, se establecieron como parámetros de evaluación del riesgo, los siguientes; parámetros de probabilidad: en este aspecto, se tuvieron en cuenta los parámetros que utiliza la empresa para llevar a cabo sus procesos de análisis de riesgos, los cuales pueden ser observados en la tabla 2.
Tabla 2
Parámetros de probabilidad del riesgo
VALOR |
PROBABILIDAD |
DESCRIPCIÒN |
1 |
REMOTO |
Es muy poco factible que el hecho se presente |
2 |
IMPROBABLE |
Es poco factible que el hecho se presente |
3 |
MODERADO |
Es factible que el hecho se presente |
4 |
PROBABLE |
Es posible que el hecho se presente |
5 |
CASI CIERTO |
Es muy factible que el hecho se presente |
Fuente: elaboración propia.
Parámetros de impacto: teniendo presente que la esencia del proyecto está orientada al aseguramiento de la información, los parámetros de impacto con los cuales se mide la seguridad de la información está asociada a la triada Confidencialidad, Integridad y Disponibilidad (conocido como CIA, sigla en inglés correspondiente a los términos Confidentiality, Integrity, Availability), no obstante existir otros atributos que son complementarios como son la autenticidad, responsabilidad, no repudio y la confiabilidad (ISO/IEC, 2014). En tal sentido se establecieron como parámetros los establecidos en la tabla 3.
Tabla 3
Parámetros de impacto del riesgo
IMPACTO |
BAJO (1) |
MODERADO (2) |
INTERMEDIO (3) |
ALTO (4) |
CRITICO (5) |
CONFIDENCIALIDAD |
la divulgación no autorizada de información podría tener un efecto adverso limitado en el proceso de carbón, los activos relacionados o sus individuos |
se podría esperar que la divulgación no autorizada de información tenga un efecto adverso considerable en el proceso de carbón, los activos relacionados, o sus individuos. |
la divulgación no autorizada de información podría tener un efecto adverso importante en el proceso de carbón, los activos relacionados, o sus individuos. |
la divulgación no autorizada de información podría tener un efecto adverso serio en el proceso de carbón, los activos relacionados, o sus individuos. |
la divulgación no autorizada de información podría tener un efecto adverso grave o catastrófico en el proceso de carbón, los activos relacionados, o sus individuos. |
INTEGRIDAD |
La modificación o destrucción no autorizada de información podrían tener un efecto adverso limitado en el proceso de carbón, los activos relacionados o sus individuos |
La modificación o destrucción no autorizada de información podrían tener un efecto adverso considerable en el proceso de carbón, los activos relacionados, o sus individuos. |
La modificación o destrucción no autorizada de información podrían tener un efecto adverso importante en el proceso de carbón, los activos relacionados, o sus individuos. |
La modificación o destrucción no autorizada de información podrían tener un efecto adverso serio en el proceso de carbón, los activos relacionados, o sus individuos. |
La modificación o destrucción no autorizada de información podrían tener un efecto adverso grave o catastrófico en el proceso de carbón, los activos relacionados, o sus individuos. |
DISPONIBILIDAD |
La interrupción del acceso o uso de información o a un sistema de información podría tener un efecto adverso limitado en el proceso de carbón, los activos relacionados, o sus individuos. |
La interrupción del acceso o uso de información o a un sistema de información podría tener un efecto adverso considerable en el proceso de carbón, los activos relacionados, o sus individuos. |
La interrupción del acceso o uso de información o a un sistema de información podría tener un efecto adverso importante en el proceso de carbón, los activos relacionados, o sus individuos. |
La interrupción del acceso o uso de información o a un sistema de información podría tener un efecto adverso serio en el proceso de carbón, los activos relacionados, o sus individuos. |
La interrupción del acceso o uso de información o a un sistema de información podría tener un efecto adverso grave o catastrófico en el proceso de carbón, los activos relacionados, o sus individuos. |
Fuente: elaboración propia
Por último, se tomaron como referencia los parámetros de aceptabilidad del riesgo que tiene establecidos la empresa para aquellos riesgos operativos, como se puede observar en la tabla 4.
Tabla 4
Parámetros de aceptabilidad del riesgo
RIESGO/ VULNERABILIDAD |
CRITERIO |
DESCRIPCIÒN |
MONITOREO |
1 a 5 /<=20% |
TOLERABLE |
Se deben conservar las acciones y controles implementados para mantener el nivel de riesgo en este estado y monitorear constantemente su situación. |
Realizar seguimiento mínimo cada 120 días |
6 a 10 /21% AL 40% |
ADMINISTRABLE |
Se requieren acciones preventivas que disminuyan el impacto, así como el análisis de estrategias de sesión del riesgo y revisar la eficacia de los controles y mejorarlos para disminuir la probabilidad de ocurrencia. |
Realizar seguimiento mínimo cada 90 días |
11 a 15 /41 AL 60% |
MODERADO |
Se deben implementar y documentar controles a la mayor brevedad con el fin de disminuir la probabilidad de ocurrencia. |
Realizar seguimiento mínimo cada 60 días |
16 a 20/61 AL 80% |
ALTO |
Se deben priorizar planes de acción y tomar medidas que permitan gestionar el riesgo y evitar su impacto negativo en el logro de los objetivos. |
Realizar seguimiento mínimo cada 30 días |
21 a 25/> AL 80% |
EXTREMO |
Se hace indispensable desarrollar planes de acción y tomar medidas que permitan gestionar el riesgo de inmediato, y evitar su impacto negativo en el logro de los objetivos. |
Realizar seguimiento mínimo cada 15 días |
Fuente: elaboración propia
Identificación y análisis del riesgo: Para el análisis del riesgo y teniendo en cuenta el nivel de automatización del proceso, se adicionaron a los procedimientos del proceso, una serie de activos tecnológicos que fueron considerados por los actores de este, como críticos para una adecuada gestión del riesgo. Para ello y acudiendo a la técnica de juicio de expertos (expertos funcionales en el día a día del proceso), para la identificación de los escenarios de riesgos, se lograron identificar 72 escenarios de riesgo, distribuidos en 6 procesos y 9 activos tecnológicos críticos, para un promedio aproximado de 5 escenarios de riesgo.
Es importante resaltar que los escenarios de riesgos debían contemplar en su definición las amenazas y los activos amenazados para ser considerado realmente un escenario de riesgo.
Como producto del análisis de riesgo, se calculó el riesgo inherente (riesgo sin controles), obteniendo un nivel de vulnerabilidad promedio del proceso de 48,4%, distribuidos los escenarios de riesgos de acuerdo a su nivel de vulnerabilidad, tal como se pueden observar en la tabla 5.
Tabla 5
Análisis del riesgo inherente
PROCESO/TECNOLOGIA |
INDICE DE VULNERABILIDAD PROMEDIO |
T |
Ad |
M |
Al |
CONTRATACIÒN |
46,4% |
|
2 |
2 |
1 |
RECEPCIÒN DEL CARBÒN |
45,5% |
1 |
3 |
3 |
4 |
PROGRAMACIÒN |
48,0% |
|
|
2 |
|
TOMA DE MUESTRAS |
48,0% |
|
|
3 |
|
ANÀLISIS FÌSICO QUÌMICO |
44,8% |
1 |
4 |
2 |
3 |
LIQUIDACIÒN |
54,4% |
|
|
3 |
2 |
SOFTWARE MINERO |
45,3% |
1 |
8 |
8 |
4 |
SOFTWARE DE BASCULA |
60,0% |
|
|
1 |
|
COMPUTADOR PERSONAL USUARIOS SOFTWARE MINERO |
36,0% |
|
1 |
|
|
BASE DE DATOS ORACLE |
52,8% |
|
1 |
3 |
1 |
SISTEMA OPERATIVO LINUX |
70,0% |
|
|
1 |
1 |
SERVIDOR DE PRODUCCIÒN |
48,0% |
|
|
1 |
|
RED LOCAL |
62,7% |
|
|
2 |
1 |
RED WAN |
60,0% |
|
|
1 |
|
SUMINISTRO DE ENERGIA |
48,0% |
|
|
1 |
|
T: Tolerable Ad: Administrable M: Moderado Al: Alto
Fuente: elaboración propia
Valoración del riesgo: equivale a determinar el riesgo residual, cuyo concepto está basado en establecer el riesgo resultante, luego de aplicar los controles existentes en la organización, en otras palabras, equivale a estimar el riesgo existente actualmente en la organización.
Una vez identificados los controles por cada uno de los riesgos, se encontraron 77 controles, siendo el proceso de recepción del carbón, el que cuenta con la mayor cantidad de controles, con un total de 22 (28,6% del total de los controles)
Como producto de esta fase, se logró determinar un índice de vulnerabilidad promedio después de aplicar los controles existentes del 35,3% es decir la efectividad de los controles existentes (si llevar aún a cabo un proceso de auditoría formal), disminuyo la vulnerabilidad del proceso en un13,1%. Es de anotar que se cuentan con diferentes tipologías de controles, dese automáticos a manuales, desde preventivos, pasando por detectivos y correctivos.
Figura 3
Relación de riesgos y controles por procesos y tecnología
Tratamiento del riesgo: esta fase de la gestión del riesgo equivale a establecer el plan de controles a implementar para garantizar niveles aceptables de riesgo de aquellos riesgos cuyo apetito de riesgo supera el umbral aceptado por la empresa. Para tal fin y de acuerdo al resultado de los riesgos residuales establecidos en la fase anterior, se desarrollaron planes de mitigación para aquellos riesgos que están por encima de los riesgos tolerables, los cuales corresponden a un 11,1% de riesgos ALTOS, 12,5% de riesgos MODERADOS, y un 25% de riesgos ADMINISTRABLES. Cada uno de estas acciones que hacen parte del plan de mitigación cuenta con su respectivo responsable y presupuesto.
La auditoría continua ha sido estudiada desde hace varios años en la academia y ampliamente discutida en la práctica (Vasarhelyi, Alles, & Williams, 2010), no obstante, existen diferentes ideas de lo que significa y la forma como trabaja (Flowerday, Blundell, & Vonsolms, 2006), de allí que una de las definiciones que ha generado consenso en la comunidad académica y profesional es la planteada en 1999 por el Instituto Americano de Contadores Públicos Certificados (The American Institute of Certified Public Accountants –AICPA-) y el Instituto Canadiense de Contadores Públicos (The Canadian Institute of Chartered Accountants –CICA-) y referenciada por (Searcy, Woodroof, & Behn, 2003),(Alles, Brennan, Kogan, & Vasarhelyi, 2006),(Blundell, 2007) quienes la definen como una metodología para la emisión de informes de auditoría simultáneamente, o un corto periodo de tiempo después de la ocurrencia de los hechos relevantes.
A nivel internacional existen más de 30 modelos de auditoría continua (Valencia Duque, 2015), entre los que se encuentran modelos teóricos, modelos aplicados a contextos específicos y guías, siendo estas últimas las más conocidas por estar dirigidas de manera específica a la comunidad de contadores y auditores que se encuentran adscritos a organizaciones que los agremian.
Para la implementación del modelo de auditoría y monitoreo continuo en GENSA S.A. E.S.P. se estableció un esquema compuesto por las siguientes fases:
Identificación de riesgos y/o controles sujetos de auditoría y monitoreo continuo
Definición de KCI (Indicadores Claves de Control)
Análisis detallado y depuració de fuentes de datos
Definición de estrategia tecnológica para implementar módulo y Plan de infraestructura tecnológica para el funcionamiento de la auditoría continua
Diseño de algoritmos de auditoría y monitoreo continuo (casos de uso)
Desarrollo de un sistema de información de auditoria continua para validar el diseño.
Identificación de riesgos y/o controles sujetos de auditoría continua: tomando como referencia los controles identificados en la fase de valoración del riesgo, se clasificaron los riesgos en manuales y automáticos, seleccionando estos últimos como base para la implementación del modelo de auditoría continua. Producto de esta clasificación se identificaron 19,5% de los 77 controles como susceptibles de auditoría continua, cada uno de ellos asociados a sus respectivos riesgos.
Definición de KCI (Indicadores Claves de Control): por cada uno de los controles identificados, se han desarrollado indicadores claves de control que permitan establecer el tipo y frecuencia del evento a generar en caso de incumplimiento del control. Un ejemplo de estos indicadores de pueden observar en la figura 4.
Análisis detallado y depuración de fuentes de datos: Se definió como técnica de auditoría continua a implementar, la técnica de módulos embebidos de auditoría, de allí la necesidad de identificar las fuentes de datos que se tendrán en cuenta, para lo cual se analizaron cada uno de los indicadores claves de control y las estructuras de datos con que cuenta el software minero. De allí, que para cada uno de los indicadores claves de control, se ha desarrollado una ficha, a través del cual se detallan las estructuras de datos relacionadas para su respectiva automatización.
Definición de estrategia tecnológica para implementar módulo y Plan de infraestructura tecnológica para el funcionamiento de la auditoría continua: se analizaron las diversas alternativas tecnológicas para llevar a cabo el proyecto, la cual incluyo el análisis de dos alternativas tecnológicas, la primera orientada a la adquisición de dos de las principales alternativas existentes en el mercado como son: analytics exchange y CASEWARE analytcis monitor y la segunda, un desarrollo interno ajustada las especificidades propias de la empresa.
Una vez evaluadas las alternativas desde el punto de vista técnico y financiero se seleccionó la opción de desarrollar una solución ajustada a las necesidades de la empresa.
Figura 4
Ejemplo de definición de indicadores claves de control
4.5. Desarrollo de solución tecnológica de auditoría continua
Tomando como referencia el modelo desarrollado se construyó una solución de auditoría continua denominada “ACG” (Auditoría Continua GENSA) a través del cual se gestionan todos los controles automáticos identificados previamente, con un alto nivel de parametrización, para efectos de involucrar nuevos controles y nuevos scripts de control (ver figura 5).
Figura 5
Interfaz de acceso a ACG
Fuente: elaboración propia
Esta solución tecnológica desarrollada bajo ambiente ORACLE monitorea en línea el sistema de información “MINERO”, verificando el cumplimiento de los diferentes controles programados y genera alertas a través del correo electrónico, tanto a un auditor del área de control interno como a una persona de la administración quien debe llevar a cabo las acciones pertinentes para dar cumplimiento a los controles establecidos. Algunas interfaces del sistema, se pueden observar en la figura 6.
Figura 6
Interfaces del sistema a ACG
Fuente: elaboración propia.
La auditoría continua es considerada por algunos autores como un nuevo paradigma de auditoría(Valencia Duque, 2016), sin embargo existe poca evidencia de su aplicación masiva en las organizaciones, por lo que la metodología establecida en el presente proyecto aporta en la integración entre la gestión de riesgos y la auditoría continua, utilizando como medio los controles requeridos para mitigar los riesgos y en especial aquellos clasificados como automatizados, si tenemos en cuenta que la auditoría continua requiere de ellos para su adecuada implementación.
La implementación del proyecto de auditoría continua en GENSA S.A. E.S.P. aporto a la disminución de la latencia entre el momento en que se incumple un control y el momento en que es detectado por la auditoría, aportando de esta forma a la administración en el aseguramiento de un proceso considerado crítico para la organización y en la cual la auditoría puede agregar valor.
Alles, M. G., Brennan, G., Kogan, A., & Vasarhelyi, M. A. (2006). Continuous monitoring of business process controls: A pilot implementation of a continuous auditing system at Siemens. International Journal of Accounting Information Systems, 7(2), 137–161. http://doi.org/10.1016/j.accinf.2005.10.004
Blundell, A. (2007, July). Continuous auditing technologies and models. Computers & Security. NELSON MANDELA METROPOLITAN UNIVERSITY. Retrieved from http://linkinghub.elsevier.com/retrieve/pii/S0167404806000964
Flowerday, S., Blundell, A., & Vonsolms, R. (2006). Continuous auditing technologies and models: A discussion. Computers & Security (Vol. 25). http://doi.org/10.1016/j.cose.2006.06.004
GENSA. (2015). Informe de gestión sostenible 2014.
ISO/IEC. (2014). INTERNATIONAL STANDARD ISO / IEC 27000. Information technology — Security techniques — Information security management systems — Overview and vocabulary (Vol. 2014).
Mesa, J. (2016, March 10). El viacrucis de los pequeños mineros en Boyacà. El Espectador, p. 14. Bogotá.
Searcy, D., Woodroof, J., & Behn, B. (2003). Continuous audit: the motivations, benefits, problems, and challenges identified by partners of a Big 4 accounting firm. In 36th Annual Hawaii International Conference on System Sciences (Vol. 0, pp. 1–10). Ieee. http://doi.org/10.1109/HICSS.2003.1174565
Valencia Duque, F. J. (2015). La Auditoría Continua, una herramienta para la modernización de la función de auditoría en las organizaciones y su aplicación en el Control Fiscal Colombiano. Universidad Nacional de Colombia. Retrieved from http://www.bdigital.unal.edu.co/50332/1/10280374.2015.pdf%5Cnhttp://www.bdigital.unal.edu.co/50332/
Valencia Duque, F. J. (2016). Auditoría continua. Un nuevo paradigma de auditoría. In Sistemas y Tecnologías de Información. Actas de la 11a Conferencia Ibérica de Sistemas y Tecnologías de Información (pp. 110–116).
Vasarhelyi, M. A., Alles, M. G., & Williams, K. (2010). Continuous Assurance for the Now Economy (First Edit). Sidney (Australia): The Institute of Chartered Accountants in Australia.
1. PhD en Ingeniería, Industria y Organizaciones. Profesor asociado Departamento de Informática y Computación Universidad Nacional de Colombia sede Manizales. fjvalenciad@unal.edu.co
2. Contador Público. Director de Control Interno de GENSA S.A. E.S.P. Fabio.mejia@gensa.com.co
3. PhD en Ingeniería, Industria y Organizaciones. Profesor Departamento de Administración. Universidad Nacional de Colombia sede Manizales y de la Facultad de Ingeniería de la Universidad de Caldas. cemarulandae@unal.edu.co