El análisis de datos es una nueva disciplina para los auditores. Requiere una inversión sustancial en hardware, software, habilidades y control de calidad. Es una parte importante de la respuesta de las empresas más grandes y de nivel medio, a las demandas del mercado en el mercado de auditoría de empresas más grandes. El análisis de datos se puede aplicar a una amplia gama de trabajos de aseguramiento, no solo a auditorías financieras.

El análisis de datos permite a los auditores manipular un conjunto de datos completo (el 100% de las transacciones en una población) y a los no especialistas visualizar los resultados de forma gráfica, fácil y rápida. Éstas son sus características definitorias.

«… cuando funcionan bien, las nuevas soluciones pueden extraer todos los datos de una única plataforma de todo el mundo. Aún no llegamos allí, pero en algún momento entregarán conjuntos de datos completos para que los analicen nuestros equipos, todos preestructurados y formateados para que se ajusten directamente a nuestros programas de auditoría «.

‘… solíamos tener soluciones a pequeña escala para partes individuales de la auditoría en forma de CAAT(Computer Assisted Audit Techniques)  y podíamos hacer una selección de muestras simple con ellos sobre la base de los volúmenes de existencias, pero no se parecen en nada a lo que tenemos hoy.

El análisis de datos permite a los auditores mejorar el proceso de evaluación de riesgos, los procedimientos sustantivos y las pruebas de los controles. A menudo implica rutinas muy simples, pero también implica modelos complejos que producen proyecciones de alta calidad. Los auditores que utilizan tales modelos deben comprenderlos y ejercer un juicio significativo para determinar cuándo y cómo deben usarse.

Los auditores no inventaron el análisis de datos. Los sistemas de supervisión de gobernanza, riesgo y control y cumplimiento que suelen utilizar las empresas más grandes incluyen sistemas desarrollados por Oracle, SAP y RSA Archer. Oracle y SAP también tienen negocios en el lado de las aplicaciones, sistemas de inteligencia centrados en almacenes comerciales. Lavastorm, Alteryx y el servidor SQL de Microsoft proporcionan herramientas avanzadas para especialistas como analistas de negocios y, cada vez más, para no especialistas.

Todas estas plataformas son actualmente el dominio exclusivo de grandes integradores de sistemas, consultoras de empresas de nivel medio y grande y analistas de datos especializados. Sin embargo, parece probable que con el tiempo estos sistemas se trasladen internamente o se proporcionen como servicios gestionados. 

Algunas empresas ya analizan sus propios datos de manera similar a los auditores y cubren algunos de los mismos campos. A medida que estos análisis comerciales se vuelven más profundos, más amplios y más sofisticados, con un enfoque en el riesgo y el desempeño, parece probable que se alineen, al menos en parte, con los riesgos evaluados por los auditores externos. Eso, a su vez, afectará las expectativas de la administración sobre el enfoque y el alcance de la auditoría externa.

¿La auditoría ha cerrado el círculo?

En el pasado la auditoría implicó un examen exhaustivo de cada transacción y saldo, siguiendo todas (o la mayoría) a través del sistema. Los auditores comenzaron a cuestionar este enfoque totalmente sustantivo en la década de 1950. A mediados de la década de 1970, el análisis de riesgos y las pruebas de controles, el muestreo y los diagramas de flujo, los estándares de auditoría basados ​​en el riesgo y el concepto de materialidad eran la norma. Desde entonces, han sido el sello distintivo de la auditoría externa. Pero si hubiera sido posible en cualquiera de esos momentos examinar todas las facturas de forma automática, económica y rápida, es muy poco probable que estuviéramos donde estamos hoy. Para algunos, el análisis de datos desafía muchos conceptos establecidos.

Incluyendo el concepto de auditoría en sí, así como la forma en que se realizan y regulan. Surgen preguntas sobre la importancia de la distinción entre evaluación de riesgos, procedimientos sustantivos y pruebas de controles cuando se examina un conjunto de datos completo y, en un nivel, el análisis de datos debe permitir a los auditores volver a ver el panorama general, más fácilmente de lo que han podido. a en el pasado reciente.
Las empresas de tecnología que ahora están utilizando para desarrollar análisis de datos se basan en software desarrollado originalmente a principios de la década del 2000 para realizar minería de datos en los sectores bancario y minorista, y para el diseño y modelado en servicios financieros e ingeniería. Los entusiastas describen los volúmenes de datos que se pueden manejar como «a escala industrial» y los cálculos se realizan «en una fracción de segundo». Hay más de una pizca de verdad en ambas descripciones. El tipo de tareas que el software de auditoría puede realizar y las conexiones que puede hacer empequeñecen lo que antes era posible.

«… no se trata solo de hacer las cosas más rápido. La incorporación de datos externos y elementos no financieros a la evaluación de riesgos y elementos más predictivos es lo que realmente distingue a la nueva oferta. Las habilidades han madurado y los datos básicos en los que estamos trabajando son mucho mejores de lo que eran «.

“… Las mejoras en la captura y transferencia de datos han sido los verdaderos impulsores. Lo más difícil del análisis de datos sigue siendo obtener los datos e introducirlos en la herramienta, pero esta capacidad es nuestro mayor activo ahora. Las técnicas de auditoría en sí mismas son relativamente sencillas en comparación «.

El análisis de datos representa una inversión a gran escala y a largo plazo para los auditores. Si bien los proveedores externos pueden convertir algunos de los costos de desarrollo fijos en costos variables, la mayoría de las grandes empresas hasta la fecha han optado por construir sus propias plataformas. Las empresas aún no han logrado la eficiencia que requieren dichos proyectos, pero esto debería cambiar con el tiempo a medida que
los auditores, reguladores y emisores de normas determinan cómo integrar estas nuevas técnicas en la infraestructura regulatoria.
Si bien los comités de auditoría siguen fascinados con la información sobre quién está trabajando el fin de semana y qué están haciendo, también se preguntan cómo se pueden utilizar las técnicas para mejorar la calidad de la auditoría. Existe un consenso entre los entrevistados sobre los principales problemas operativos que se enfrentarán a los auditores, que parecen ser:

•  cómo extraer evidencia de auditoría de buena calidad de los análisis, teniendo en cuenta la calidad de los datos subyacentes;
• qué tipo de análisis dan la mejor evidencia de auditoría; y
• La incertidumbre con respecto al desafío regulatorio.

Las normas de auditoría se redactan bajo el supuesto de que rara vez es posible probar el 100% de las transacciones realizadas por cualquier entidad. Esto ya no es verdad. Una opinión es que la magnitud del trabajo que se puede realizar utilizando técnicas de análisis de datos cambia todo y que, como resultado, los estándares de auditoría necesitan una modernización de raíz y rama para reflejar las nuevas técnicas. Otro punto de vista es que los conceptos básicos son sólidos y que los estándares de auditoría simplemente necesitan ser modernizados para reflejar algunas técnicas de auditoría nuevas y poderosas.
Todos los involucrados están en una curva de aprendizaje empinada. El desafío no es solo garantizar que las normas de auditoría puedan adaptarse a las nuevas herramientas, sino también garantizar que contribuir a la calidad de la auditoría, el nivel de garantía obtenido por los auditores y el valor de la auditoría para los inversores y otras partes interesadas. Las normas de auditoría y el escrutinio reglamentario de su aplicación también deben seguir fomentando la innovación en la auditoría. 

Traducción de «Data Analytics for External Auditors», ICAEW