Auditoría Continua - isacapr · –Mayor capacidad para mitigar riesgos. –Reducciones en el costo que implica la evaluación de controles internos. –Mayor confianza en los resultados

Auditoría ContinuaTendencia Global de la Auditoría Interna

Presentado por:

Ing. Pedwar Castillo L: NextPoint, Rep. Dom.

MAE, ITIL F., Cobit 5 F., ISO 31000 (Risk Manager)

Miembro de IIA, ISACA. Actual Director de Marketing del Capítulo Rep. Dom.

Auditoría ContinuaTendencia Global de la

Auditoría Interna

Agenda

• Antecedentes y Tendencias

• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua

• Impulsores de la Auditoría Continua

• Implementación de Auditoría Continua

• Recursos Claves para la AC

• Ejemplos de Auditoría Continua

• Conclusiones

Agenda







• Conclusiones

- Las organizaciones han sido

transformadas por las TI

- No existen fronteras de espacio, ni

de tiempo para desarrollar los

negocios

- Capacidad de desarrollar sus

operaciones en diferentes partes

del mundo de forma simultánea,

las 24/7, 365….

Antecedentes

Auditoría aún no ha evolucionado a la par de estasorganizaciones, desarrollando sus procesos deauditoría de forma tardía; días, meses e inclusive añosdespués de que ocurren los eventos económicos en lasorganizaciones…

Las continuas presiones económicas y de

los órganos reguladores, las

consideraciones sobre el coste y la

eficiencia, y la aparición de nuevos riesgos

empresariales contribuyen a modificar el

alcance de la gestión global de riesgos.

Antecedentes

Antecedentes

Diversas investigaciones originadas en el sector productivo y la academia plantean

retos que debe afrontar la auditoría interna para cumplir con uno de los principales

elementos que componen su definición –agregar valor- , elemento que ha sido

cuestionado en algunos de estas investigaciones, y que es ratificado por el Instituto

de Auditores Internos, en su editorial del último número de la revista Internal Auditor

al establecer:

“En el 2014 las partes interesadas de auditoría interna dejaron

perfectamente en claro que existe una brecha entre lo que

esperan de auditoría interna y lo que reciben” (Millage, 2014,30).

Fuente: Estudio realizado por Francisco Javier Valencia Duque, Universidad Nacional de Colombia

8

Tendencias

Tendencias

Impacto de las Tecnologías de Información en la mejora de Procesos

30/06/2014 31/12/2000

3,035 MM 361 MM

Número Mundial de Usuarios de Internet

El número mundial de usuarios de Internet al 30/06/2014 era de 3,035 MM contra los 361 MM que existían al 31/12/2000, según los datos de la World Stats, esto representa un incremento de un 741%.

Usuarios de Internet por zona geográfica

Región Cantidad de Usuarios %

África 297,885,898 9.8 %

Asia 1,386,188,112 45.7 %

Europa 582,441,059 19.2 %

Oriente Medio 111,809,510 3.7 %

Norte América 310,322,257 10.2 %

Latinoamérica/Caribe 320,312,562 10.5 %

Oceanía/Australia 26,789,942 0.9 %

Total General 3,035,749,340 100.00

Fuente: www.internetworldstats.com

“El mundo del Siempre Conectado”

Tendencias


No. de Computadoras producidas

Hasta 2007 Proyectado 2015

1 billón 2 billones

• En el año 2007 se llegó a la cantidad de un billón de computadorasproducidas, cifra que fue alcanzada luego de 27 años de habersefabricado la primera computadora personal. Se prevé que para este año2015 se llegará a los dos billones de computadoras

Tendencias


Tendencias


13

50%

37%

32%

34%

36%

11%

11%

12%

8%

10%

7%

2%

GARTNER: CIO’S PRIORITIES 2015enterprise applications legacy moderizationindustry-specific applications customer relationship/ experiencenetworking, voice and data comms securitydigitalization/ digital marketing mobileERP cloudinfraestructure and data center bi/ Analytics

Tendencias

Tendencias

• “La tecnología no solo ayudará a detectar el

riesgo de TI, también permitirá su integración

en la realización de trabajos de auditoría a

través del análisis masivo de datos”

• Este hecho proporcionará la posibilidad de

detectar los riesgos de una forma más eficaz

sin incurrir en un mayor coste”(Instituto de Auditores Internos de España, 2014,34).

Tendencias

KPMG & Instituto deAuditores Internos de España(2015) a través de sudocumento “Visión 2020Desafíos de Auditoría Internaen el horizonte 2020”,plantean la relación delauditor interno con lasnuevas tecnologías en tresniveles diferentes:

1

• La forma en que la tecnología está presente actualmente en todas las transacciones de una empresa, lo que implica un cambio en la planificación de las pruebas de auditoría tradicionales

2

• Las nuevas tecnologías ofrecen al auditor una serie de posibilidades para profundizar en su trabajo, aumentar el rendimiento del mismo y permitir un mayor control sobre cualquier tipo de operación

3

• Desarrollo de nuevastecnologías conlleva a un nuevo campo que debe ser objeto de supervisión por parte del auditor

Agenda







• Conclusiones

Auditoría Tradicional vs. Auditoría ContinuaE

fectivid

ad

de

lo

s

co

ntr

ole

s

Tiempo:

Auditoría 1

Auditoría2

Auditoría 3

Fuente: Continuous Auditing From a Practical Perspective, Kevin Handscombe

RealEsperadaEfectividad

Ciclo de las auditorías externas o los intervalos intermitentes dentro de los ciclos anuales, semestrales o de tres años

de la auditoría interna. Luego de cada auditoría, la eficiencia de los controles aumenta debido a la presencia de

los auditores o al impacto de las mejoras recomendadas de los auditores.

Conceptos de Auditoría Continua

Con Auditoría continua, las violaciones del control se detectan de inmediato mediante la provisión de auditorías

permanentes. El personal mantiene su participación en el proceso de control. Los riesgos emergentes se agregan a

los análisis existentes en el momento en el que se los detectaE

fectivid

ad

de

lo

s

co

ntr

ole

s

Tiempo:

AC

AC AC

ACAC

ACAC AC AC AC AC

AC

Fuente: Continuous Auditing From a Practical Perspective, Kevin Handscombe

Real

Esperada

Efectividad

Auditoría Tradicional vs. Auditoría ContinuaConceptos de Auditoría Continua


Auditoría Tradicional Auditoría Continua

Naturaleza Control es manual y las pruebas sustantivas detalladas son desarrolladas periódicamente para evaluar las afirmaciones de la Administración

El monitoreo del control es continuo y automatizado y se requiere un aseguramiento continuo de los datos

Tiempo Las pruebas de control interno ocurren en la planeación y las pruebas sustantivas detalladas ocurren en la fase de trabajo de campo de la Auditoría

El monitoreo de los controles internos y las pruebas de los datos de las transacciones ocurren simultáneamente

Extensión Se usa el muestreo, debido a lo intensivo en tiempo y mano de obra que requieren las pruebas

Considera a toda la población de transacciones en el monitoreo y las pruebas

Chan & Vasarhelyi, 2011

El enfoque tradicional…

• Históricamente la auditoría

interna realizaba pruebas de los

controles en forma retrospectiva

y cíclica, con frecuencia muchos

meses después del momento en

el que ocurrían las actividades

de negocios.


Auditoría Continua cambiará el paradigma de auditoría, por ejemplo:

• la naturaleza de la evidencia,

• los ritmos,

• los procedimientos

• y el grado de esfuerzo requerido por los auditores internos

AC: El cambio de Paradigma


AC: El cambio de Paradigma• La Auditoría Continua es un método empleado para realizar

evaluaciones de riesgos y de controles de manera automática

y más frecuente.

• El poder de la auditoría continua reside en las pruebas

continuas, eficientes e “inteligentes” de controles y riesgos

que permiten una notificación oportuna de las brechas y

debilidades a fin de dar un seguimiento y la corrección

inmediata.

• Con este cambio de enfoque, los auditores logran entonces

comprender mejor el entorno de negocio y los riesgos

asociados, lo que le permitirá velar por el cumplimiento e

impulsar el desempeño del negocio.


En la actualidad, la proliferación de sistemas de información en elentorno de negocio ofrece a los auditores un acceso más sencillo auna cantidad mayor de información relevante, pero tambiénimplica la gestión y la revisión de volúmenes de datos ytransacciones mucho más grandes.

Auditoría Continua a nivel macro engloba dos actividades principales:

1. Evaluación continua de control, destinada a centrarse lo más prontoposible en las deficiencias de control.

2. Evaluación continua de riesgos, destinada a destacar los procesos osistemas que presentan niveles de riesgo más altos de lo esperado.


Los beneficios esperados a partir de la implementaciónde un esquema de auditoría continua incluyen:

– Mayor capacidad para mitigar riesgos.

– Reducciones en el costo que implica la evaluación decontroles internos.

– Mayor confianza en los resultados financieros.

– Mejoras en las operaciones financieras.

– Reducciones en los errores financieros y la posibilidad defraude.



La AC está ganando terreno en las organizaciones que pretenden

un control continuo y una monitorización continua.

El grado de difusión, la creciente disponibilidad de herramientas y

la aspiración a una mayor eficiencia en el control son factores

importantes para un análisis más exhaustivo sobre lo que puede

aportar la AC.

Agenda







• Conclusiones

Impulsores de la AC

Cada estrategia de CA/CM en las organizaciones está influenciada por una variedad de impulsores estratégicos, operacionales y externos…

Ambiente económico

incierto que aumenta

el riesgo del negocio

Ambiente

regulatorio y de

riesgo legal en

expansión

Deseo de la

gerencia de

demostrar sanas

prácticas gobierno

Potencializar de

mejor manera

las estrategias

de manejo de

información

Deseo de la

Gerencia de

mejorar el

rendimiento y la

rendición de

cuentas

Impulsores

Estratégicos

Procesos de

negocio

ineficientes

Crecimiento y

desarrollo

organizacional

Conversión

/ cambio

de ERP

Ocurrencia o

riesgo de

fraude

Impulsores

Operacionales

CA/CM

Estrategias

Mayor

escrutinio por

los agentes

externos

Impulsores

Externos

Deseo de

reducir los

costos de SOX

Aumento en la

demanda de

información

más confiable

Globalización

Fuente KPMG

Soporte de la Alta Gerencia

Recursos

experimentados y

herramientas

tecnológicas

Factores críticos de éxito

Enfoque establecido para CA

Enfoque bien planificado

Alineación Organizacional

Fuente KPMG

Impulsores de la AC

Agenda







• Conclusiones

Implementación de Auditoría Continua

Planificar el

alcance y definir el

proceso

administración de

riesgo interno

Método de

Implementación

Llevar a cabo la

auditoria o

monitoreo

Planificar Diseñar ImplementarDiagnosticar Ejecutar Evaluar

Revisar el proceso

de acuerdo a los

resultados

producidos

Fuente KPMG

Enfoque está diseñado para proveer un proceso eficiente, consistente y repetible

- La guía 3 del IIA sobre Auditoría Continua establece 5 pasosclaves para la implementación del modelo:

OBJETIVOS DE LA AUDITORÍA CONTINUA

USO Y ACCESO A DATOS

EVALUACIÓN CONTINUA DE RIESGOS

EVALUACIÓN CONTINUA DEL CONTROL

INFORMAR Y GESTIONAR RESULTADOS


Fuente: GTAG, TheIIA.org

Estrategia: Identificar Riesgos y Controles

- Seleccionar los procesos críticos a evaluar

- Identificar el riesgo y categorizarlo

- Revisar los controles existentes

- Clasificar los riesgos y los controles que serán parte de AC


Estrategia de Implementación: Identificar Riesgos y Controles

Estrategia de Implementación: Identificar Riesgos y Controles

En resumen debe haber

una Cultura de Riesgo

Auditoría

Toda la Organización

Agenda







• Conclusiones

Ciclo de Madurez

Recursos Claves para la AC

COBIT propone un modelo de madurez de 6 niveles

para medir la efectividad del ambiente de control:

Ciclo de Madurez


- Nivel 0: "Inexistente" – Una función de auditoría no existe o no se realiza.

- Nivel 1: "Manual de Auditoría Informal" – Individuo(s) realiza(n) tareas de auditoría sobre una base ad hoc,pero sin una política formal.

- Nivel 2: "Manual de Auditoría Formal" – Una función de auditoría se establece con una cartera y un conjunto deprocedimientos operativos estándar que rigen sus tareas y funciones.

- Nivel 3: "Auditorías Desarrolladas con Tecnologías Ad hoc" – La función de auditoría formal utiliza la tecnologíapara completar sus auditorías, pero de una manera ad hoc. Si se utilizan herramientas específicas, no se utilizanconsistentemente ni el personal de auditoría se encuentra bien versado en el uso de ellas.

Ciclo de Madurez


- Nivel 4: "Auditorías Desarrolladas con Tecnología" - La función de auditoría formal utiliza la tecnología siempre quesea posible y trabaja para automatizar los procedimientos manuales restantes. El personal se encuentra cómodo y eshábil en el uso de herramientas de auditoría, tales como software generalizados de auditoría. Existen políticas yprocedimientos claros que rigen la planificación, diseño y ejecución de auditorías desarrolladas con tecnología.

- Nivel 5: "Auditoría Continua" – La evidencia de auditoría es recopilada en tiempo real o casi en tiempo real, y elauditor puede evaluar la fiabilidad de la información reportada sin esfuerzos manuales significativos.

- Nivel 6: "Monitoreo y Auditoría Continua Optimizados" – El Monitoreo Continuo es llevado a cabo por lospropietarios de los procesos de negocio y la Auditoría Continua se desarrolla para verificar continuamente la eficaciaoperativa de los procedimientos de Monitoreo Continuo.

Ciclo de Madurez


En este sentido, algunas publicaciones señalan que aún queda mucho trabajo por hacer para elevar

la madurez de la auditoría.

Algunas de las acciones que se pueden tomar en este sentido son:

- Formalizar los procedimientos de auditoría.

- Involucrar a la función de auditoría en el ciclo de vida de desarrollo de sistemas y el proceso

de gestión del cambio.

- Alentar a los auditores a explorar maneras de automatizar los procedimientos clave de

auditoría.

- Asegúrese de que los auditores sean capaces de utilizar la tecnología y herramientas de

auditoría, como el software generalizado de auditoría.

- Aumentar la claridad del proceso de auditoría a los propietarios de los procesos de negocio y

la alta dirección.

ERP SYSTEMS, DATABASES

BUSINESS

STAKEHOLDERSAUDIT

COLLABORATION

SECURITY

AUTOMATION

LARGER DATA SIZEAUDIT DEPT

IMPORT, EXPORTS, EXTRACTIONS

ANALYSIS, ADVANCED STATISTICS

AUDIT TRAIL, PROJECT OVERVIEW

SMART ANALYZERINDIVIDUAL

ORGANIZATION

CONTINUOUS MONITORING

EXCEPTION RESOLUTION

ISSUE MANAGEMENT WORKFLOW

ETL SOFTWAREIT TEAM

Soporte a herramientas de análisis

Y otros lenguajes de script

Monitor Analítico

(Analytics)

Herramienta

de AC

Conectores de datos especializados

Smart

Exporter

• Notificación• Flujo de Trabajo• “Monitoreo”• Reportería

Recursos Claves para la AC: “Cómo funciona?”

43

Recursos Claves para la AC: “Inteligencia en el manejo de las Excepciones”

Escalamiento de la Excepción


45

Asociar las excepciones con su categoría de Riesgo


Recursos Claves para la AC: Casos de éxito




Agenda







• Conclusiones

Proceso de Negocio: “Ingresos”

Proceso de Negocio: Ingresos

• Las Empresas deben establecer rutinas paraverificar las transacciones de ingresos.

• Estos procedimientos proporcionan unasalvaguarda continua en contra de errores,fraudes y negligencias.


• Una serie de actividades contribuyen con la fuga deingresos. Estas pueden incluir cuentas de clientes ycontratos incorrectos, facturaciones incorrectas, cobrosineficaces, robo, etc.

• Los estudios revelan que las fugas representan del 1% al5% de los ingresos por servicios en países desarrollados yhasta un 20% en países en vías de desarrollo paradiversos sectores de la Industria.


• Funciones Típicas de un ciclo de Ingresos y podrían serlas siguientes

– Otorgamiento de crédito

– Toma de pedidos

– Entrega o embarque de mercancía y/o prestación del servicio

– Facturación

– Contabilización de comisiones

– Contabilización de garantías

– Cuentas por cobrar

– Ingreso del efectivo

– Ajuste a Facturas y/o notas de crédito

– Determinación del costo de ventas

Facturación Cuentas por Cobrar


Ventas / Cuentas por Cobrar (algunos ejemplos)

a. Importación de registros de facturación/ventas. Verificación de “Totales de control”.

b. Indexar campos en orden Ascendente y Descendente.c. Estadísticas de campo, extracción de montos de venta negativos. d. Extracción de reversiones de ingresos desde la base de datos principal para

determinar si estos ítems encubren ventas falsas.e. Sumarizaciones por Campos Clave disponibles en los datos de Cuentas por

Cobrar para identificar patrones inusuales de actividad.

i. Cuentas por cobrar en moraii. Notas de crédito por número de cliente y por quien autorizó la notaiii. Reversiones de ventas e invalidaciones por cuenta y quien autorizóiv. Pase a cuentas incobrables por cuenta


Ventas / Cuentas por Cobrar (algunos ejemplos)

e. Estratificación por fecha para visualizar ventas registradas en las últimas dos semanas del fin de un período y conciliar contra la documentación soporte para probar la legitimidad de la ventas.

f. Unión de base de datos de ventas con la de despachos o envíos para rastrear cada despacho por factura.

g. Extracción de todas las cuentas por cobrar en las cuales la cuenta del cliente excede su límite de crédito en el período bajo revisión.

h. Efectúe un análisis de omisiones en facturas de ventas y registros de despacho. Evaluación de las omisiones para determinar si esos documentos de venta realmente faltan.

i. Comparar fechas en los registros de venta con las fechas del correspondiente documento de despacho de mercancía usando la función @age.

Proceso de Negocio: Ingresos, “Tec. de Conciliación”

Proceso de Negocio: Ingresos, “Errores en Facturación”

Proceso de Negocio: Ingresos, “Estadísticas de Campo”

Proceso de Negocio: Ingresos, “Estadísticas de Campo”

Proceso de Negocio: Ingresos, “Detección de Duplicados”

Proceso de Negocio: Ingresos, “Detección de Omisiones”

Proceso de Negocio: Ingresos, “Antigüedad de Saldos”

Agenda







• Conclusiones

Conclusiones

• La Auditoría Continua es un método empleado para

realizar evaluaciones de riesgos y de controles de

manera automática y más frecuente

• AC debe ir más allá de las fronteras de AI

• Debe lograr la integración de personas, procesos y

la tecnología

• Mayor eficiencia de la auditoría al cubrir al 100% de

las transacciones electrónicas y permitir la

detección temprana del fraude

• AC muchas veces genera auditorías especiales,

concentrando las esfuerzos de auditorías en áreas

de alta riesgo

Muchas GraciasPedwar Castillo,

NextPoint - Caseware Analytics

“[email protected]”

8092215810, 8092211984

Documents

Auditoría Continua - isacapr · –Mayor capacidad para mitigar riesgos. –Reducciones en el costo que implica la evaluación de controles internos. –Mayor confianza en los resultados