Las organizaciones están empezando a conocer las ventajas de mejorar las herramientas de análisis de datos que utilizan en sus auditorías. En este artículo, nos centraremos en la decisión sobre la madurez del análisis de datos: ¿qué combinación de análisis de datos y nivel de potencia analítica es adecuado para una organización dada?
Para responder a esto, examinaremos cinco consideraciones esenciales:
- diferentes tipos de análisis de datos,
- ventajas potenciales del análisis de datos automatizado,
- escala de madurez del análisis de datos,
- consideraciones generales en la toma de decisiones sobre madurez analítica,
- la decisión sobre madurez y la auditoría de cumplimiento.
1. Diferentes tipos de análisis de datos
El análisis de datos, en palabras sencillas, es el examen de los datos y la deducción de conclusiones a partir de esos datos. Tomado al pie de la letra, el análisis de datos es central en la auditoría interna tradicional: un auditor que rastrea los pagos duplicados de pedidos en asientos contables está utilizando el análisis de datos. Por lo tanto, la pregunta que se tiene que hacer la organización no es si usar o no el análisis de datos en la auditoría interna, sino cómo hacerlo.
Para responder a esta pregunta, considere los diferentes tipos de análisis de datos:
- el análisis descriptivo interpreta los datos históricos. El auditor con el libro descrito anteriormente está realizando análisis descriptivos,
- el análisis predictivo predice resultados futuros basados en datos históricos. Un ejemplo sencillo de análisis predictivo en auditorías, que es además conocido y efectivo, es el uso de la ley de Benford para detectar transacciones potencialmente fraudulentas. Se puede usar una distribución predecible de números en muchos conjuntos de números naturales para identificar transacciones irregulares,
- el análisis de diagnóstico examina los datos y pregunta «¿por qué?». Un ejemplo sencillo podría ser un aumento en los impagos de préstamos en un banco correlacionado con un aumento en los préstamos aprobados, lo cual indicaría que criterios de préstamos relajados son la causa del incumplimiento,
- el análisis prescriptivo identifica el mejor curso de acción basándose en el análisis de datos. Por ejemplo, al comparar sospechas de fraude en dos áreas separadas con dos controles separados, el análisis prescriptivo podría recomendar qué controles son los preferibles.
2. Ventajas potenciales del análisis de datos automatizado
Los diferentes tipos de análisis definidos antes podrían implementarse manualmente, sin embargo, las ventajas clave radican en la automatización de los análisis, por ejemplo:
- Prueba de controles: el software permite a los auditores usar scripts o conjuntos de instrucciones para que el software examine los datos e identifique si se han infringido controles internos. Además de reducir el riesgo de introducir errores, inevitable en una revisión manual, el script permite que la acción sea fácilmente repetible;
- Integridad de los datos: la transferencia o extracción manual de datos para el proceso de auditoría interna aumenta el riesgo de corrupción, algo evitable mediante la automatización;
- Auditoría de «todos» los datos: tradicionalmente, la auditoría se ha basado en gran medida en el muestreo para extraer conclusiones sobre los datos en su conjunto. La velocidad del análisis de datos automatizado significa tener la oportunidad de evaluar los controles en todo el conjunto de datos;
- Carga financiera reducida: en algunos casos, el análisis de datos puede encargarse de las tareas rutinarias y dar más tiempo al auditor para centrarse en actividades de auditoría que aportan valor agregado a la organización.
3. Escala de madurez del análisis de datos
Independientemente de identificar las ventajas de automatizar el análisis de datos, la organización necesita determinar estratégicamente la contribución potencial del análisis de datos a sus objetivos de auditoría. Esto incluye identificar su contribución en las etapas de selección, planificación, ejecución, creación de informes y seguimiento de la auditoría.
Esta actividad estratégica puede beneficiarse de evaluar el análisis de datos en términos de «madurez». Una escala de madurez de análisis de datos va de 1 a 5 y la puntuación depende del tipo de análisis, el nivel de automatización, su periodicidad y su integración con otros sistemas empresariales.
Las escalas de madurez son una fórmula que se usa con frecuencia para explicar la capacidad de análisis de datos en diferentes industrias. KPMG ha sugerido la siguiente escala de cinco puntos para la auditoría interna (aunque en este caso, se centra en las etapas de planificación y ejecución):
- Auditoría tradicional: se puede utilizar el análisis de datos, pero es principalmente descriptivo y se aplica durante la etapa de planificación;
- Análisis integrado a la medida: puede incluir tanto análisis descriptivos como diagnósticos en las etapas de planificación y ejecución (por ejemplo, identificación de valores atípicos), pero se lleva a cabo de manera personalizada en lugar de sistemática;
- Evaluación continua de riesgos y auditoría: puede incluir todos los tipos o categorías de análisis de datos en un conjunto automatizado predefinido. Este conjunto proporciona información continua a los auditores;
- Auditoría continua integrada y supervisión continua: se implementa un conjunto completo de análisis automatizados, y permite la supervisión continua por parte de la administración, así como un flujo continuo de datos para los auditores. Los sistemas funcionan en gran medida sin interrupciones y están integrados;
- Control continuo de la gestión de riesgos empresariales: se implementa un conjunto completo de análisis automatizados, como con el nivel 4. Además, se pone más énfasis en sincronizar el análisis de datos continuo con los objetivos estratégicos de la empresa. El plan de auditoría interna es «dinámico» en respuesta a la fluctuación del riesgo.
4. Consideraciones generales para la decisión sobre madurez
La ventaja de la escala de madurez es que muestra que el análisis de datos no es un «todo o nada»: la mayoría de las auditorías internas usa cierto nivel de análisis de datos. Por otro lado, se podría pensar que la escala de madurez implica que hay algo «mejor» si se asciende en la escala.
Hay otra forma de verlo.
El nivel de madurez deseado depende de los riesgos específicos a los que se enfrenta la empresa, su apetito de riesgo, limitaciones y objetivos de auditoría (por ejemplo, en organizaciones más pequeñas, una inversión en análisis de datos de nivel 5 probablemente no sería rentable).
Además de decidir sobre la madurez del análisis de datos, deben decidir qué herramientas se utilizarán. Es necesario contar con soluciones más especializadas o potentes para obtener más funciones de análisis. Si bien los paquetes de cálculo y bases de datos (por ejemplo, Excel o Access) son suficientes en algunos casos, software empresarial (por ejemplo, SAS u Oracle) o soluciones de auditoría especializadas (como CaseWare IDEA) podrían ser necesarias en otros casos.
Además, al tomar la decisión sobre madurez, necesitará averiguar cuál es el mejor conjunto de habilidades de auditoría interna. La madurez exige la combinación adecuada de conocimientos y experiencia en análisis de datos. Esto podría lograrse mediante la formación de auditores existentes o la contratación directa de especialistas en análisis de datos.
5. La decisión sobre madurez y la auditoría de cumplimiento
Como se mencionó anteriormente, la decisión sobre madurez no se puede tomar sin considerar las ventajas del análisis de datos en la mitigación de los riesgos particulares que enfrenta esa organización. A modo de ejemplo, consideramos a continuación tres riesgos de cumplimiento diferentes y cómo el análisis de datos los puede identificar durante una auditoría:
- Protección de datos: el Reglamento general de protección de datos (GDPR) y la ley californiana de protección de datos del consumidor (CCPA) establecen normas estrictas para las empresas que tratan con consumidores europeos o californianos, respectivamente. Dos áreas de riesgo de cumplimiento significativos son las infracciones relacionadas con los datos y las relacionadas con los tiempos de respuesta a las solicitudes de los clientes respecto a la protección de sus propios datos. En este caso se pueden usar scripts en los datos de la organización para probar la validez de los controles existentes;
- Normas contra el blanqueo de capitales (AML) y requisitos de conocimiento de clientes (KYC): algo crucial en el cumplimiento de estas normas es la verificación de identidad. En lugar de tomar una muestra aleatoria de identidades verificadas, se podrían hacer análisis predictivos para identificar una muestra de esas identidades que indiquen más riesgo de fraude;
- Acceso a utilidades: en muchas jurisdicciones, los proveedores de servicios públicos tienen la obligación de no desconectar a los clientes que son elegibles para recibir ayuda financiera. Las consecuencias de incumplimiento pueden ser graves (por ejemplo, la vida de alguien conectado a un sistema de respiración asistida puede depender de una conexión eléctrica). El análisis de diagnóstico podría usarse para examinar varios conjuntos de datos y determinar qué datos se correlacionan con un alto nivel de desconexión errónea. Por ejemplo, el análisis de diagnóstico podría comparar conjuntos de datos de clientes a los que se les ha cortado la luz, con conjuntos de datos de clientes elegibles para recibir ayuda financiera y determinar qué datos no se han cruzado correctamente.
¿Qué combinación de análisis y automatización es adecuada?
La pregunta clave para las organizaciones no es la introducción o no del análisis de datos en la auditoría interna, sino qué combinación de análisis y automatización de análisis es adecuada para esa organización. Una forma práctica de conceptualizar esto es usar una escala de madurez del análisis de datos: la organización puede situarse en la escala dependiendo de los riesgos a los que se enfrenta, su apetito de riesgo, limitaciones y objetivos de auditoría.
Hemos considerado tres ejemplos de auditoría de cumplimiento en los que el análisis de datos podría ser útil, pero cada organización debe preguntarse, como parte de su decisión sobre madurez, cómo usar el análisis de datos para auditar sus riesgos particulares.
Paul Leavoy lleva escribiendo sobre tecnología de gestión empresarial más de una década. En la actualidad, investiga y escribe sobre análisis de datos y tecnología de auditoría interna para CaseWare IDEA.