Auditoría ContinuaTendencia Global de la Auditoría Interna
Presentado por:
Ing. Pedwar Castillo L: NextPoint, Rep. Dom.
MAE, ITIL F., Cobit 5 F., ISO 31000 (Risk Manager)
Miembro de IIA, ISACA. Actual Director de Marketing del Capítulo Rep. Dom.
Auditoría ContinuaTendencia Global de la
Auditoría Interna
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
- Las organizaciones han sido
transformadas por las TI
- No existen fronteras de espacio, ni
de tiempo para desarrollar los
negocios
- Capacidad de desarrollar sus
operaciones en diferentes partes
del mundo de forma simultánea,
las 24/7, 365….
Antecedentes
Auditoría aún no ha evolucionado a la par de estasorganizaciones, desarrollando sus procesos deauditoría de forma tardía; días, meses e inclusive añosdespués de que ocurren los eventos económicos en lasorganizaciones…
Las continuas presiones económicas y de
los órganos reguladores, las
consideraciones sobre el coste y la
eficiencia, y la aparición de nuevos riesgos
empresariales contribuyen a modificar el
alcance de la gestión global de riesgos.
Antecedentes
Antecedentes
Diversas investigaciones originadas en el sector productivo y la academia plantean
retos que debe afrontar la auditoría interna para cumplir con uno de los principales
elementos que componen su definición –agregar valor- , elemento que ha sido
cuestionado en algunos de estas investigaciones, y que es ratificado por el Instituto
de Auditores Internos, en su editorial del último número de la revista Internal Auditor
al establecer:
“En el 2014 las partes interesadas de auditoría interna dejaron
perfectamente en claro que existe una brecha entre lo que
esperan de auditoría interna y lo que reciben” (Millage, 2014,30).
Fuente: Estudio realizado por Francisco Javier Valencia Duque, Universidad Nacional de Colombia
8
Tendencias
Tendencias
Impacto de las Tecnologías de Información en la mejora de Procesos
30/06/2014 31/12/2000
3,035 MM 361 MM
Número Mundial de Usuarios de Internet
El número mundial de usuarios de Internet al 30/06/2014 era de 3,035 MM contra los 361 MM que existían al 31/12/2000, según los datos de la World Stats, esto representa un incremento de un 741%.
Usuarios de Internet por zona geográfica
Región Cantidad de Usuarios %
África 297,885,898 9.8 %
Asia 1,386,188,112 45.7 %
Europa 582,441,059 19.2 %
Oriente Medio 111,809,510 3.7 %
Norte América 310,322,257 10.2 %
Latinoamérica/Caribe 320,312,562 10.5 %
Oceanía/Australia 26,789,942 0.9 %
Total General 3,035,749,340 100.00
Fuente: www.internetworldstats.com
“El mundo del Siempre Conectado”
Tendencias
Impacto de las Tecnologías de Información en la mejora de Procesos
No. de Computadoras producidas
Hasta 2007 Proyectado 2015
1 billón 2 billones
• En el año 2007 se llegó a la cantidad de un billón de computadorasproducidas, cifra que fue alcanzada luego de 27 años de habersefabricado la primera computadora personal. Se prevé que para este año2015 se llegará a los dos billones de computadoras
Tendencias
Impacto de las Tecnologías de Información en la mejora de Procesos
Tendencias
Impacto de las Tecnologías de Información en la mejora de Procesos
13
50%
37%
32%
34%
36%
11%
11%
12%
8%
10%
7%
2%
GARTNER: CIO’S PRIORITIES 2015enterprise applications legacy moderizationindustry-specific applications customer relationship/ experiencenetworking, voice and data comms securitydigitalization/ digital marketing mobileERP cloudinfraestructure and data center bi/ Analytics
Tendencias
Tendencias
• “La tecnología no solo ayudará a detectar el
riesgo de TI, también permitirá su integración
en la realización de trabajos de auditoría a
través del análisis masivo de datos”
• Este hecho proporcionará la posibilidad de
detectar los riesgos de una forma más eficaz
sin incurrir en un mayor coste”(Instituto de Auditores Internos de España, 2014,34).
Tendencias
KPMG & Instituto deAuditores Internos de España(2015) a través de sudocumento “Visión 2020Desafíos de Auditoría Internaen el horizonte 2020”,plantean la relación delauditor interno con lasnuevas tecnologías en tresniveles diferentes:
1
• La forma en que la tecnología está presente actualmente en todas las transacciones de una empresa, lo que implica un cambio en la planificación de las pruebas de auditoría tradicionales
2
• Las nuevas tecnologías ofrecen al auditor una serie de posibilidades para profundizar en su trabajo, aumentar el rendimiento del mismo y permitir un mayor control sobre cualquier tipo de operación
3
• Desarrollo de nuevastecnologías conlleva a un nuevo campo que debe ser objeto de supervisión por parte del auditor
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Auditoría Tradicional vs. Auditoría ContinuaE
fectivid
ad
de
lo
s
co
ntr
ole
s
Tiempo:
Auditoría 1
Auditoría2
Auditoría 3
Fuente: Continuous Auditing From a Practical Perspective, Kevin Handscombe
RealEsperadaEfectividad
Ciclo de las auditorías externas o los intervalos intermitentes dentro de los ciclos anuales, semestrales o de tres años
de la auditoría interna. Luego de cada auditoría, la eficiencia de los controles aumenta debido a la presencia de
los auditores o al impacto de las mejoras recomendadas de los auditores.
Conceptos de Auditoría Continua
Con Auditoría continua, las violaciones del control se detectan de inmediato mediante la provisión de auditorías
permanentes. El personal mantiene su participación en el proceso de control. Los riesgos emergentes se agregan a
los análisis existentes en el momento en el que se los detectaE
fectivid
ad
de
lo
s
co
ntr
ole
s
Tiempo:
AC
AC AC
ACAC
ACAC AC AC AC AC
AC
Fuente: Continuous Auditing From a Practical Perspective, Kevin Handscombe
Real
Esperada
Efectividad
Auditoría Tradicional vs. Auditoría ContinuaConceptos de Auditoría Continua
Conceptos de Auditoría Continua
Auditoría Tradicional Auditoría Continua
Naturaleza Control es manual y las pruebas sustantivas detalladas son desarrolladas periódicamente para evaluar las afirmaciones de la Administración
El monitoreo del control es continuo y automatizado y se requiere un aseguramiento continuo de los datos
Tiempo Las pruebas de control interno ocurren en la planeación y las pruebas sustantivas detalladas ocurren en la fase de trabajo de campo de la Auditoría
El monitoreo de los controles internos y las pruebas de los datos de las transacciones ocurren simultáneamente
Extensión Se usa el muestreo, debido a lo intensivo en tiempo y mano de obra que requieren las pruebas
Considera a toda la población de transacciones en el monitoreo y las pruebas
Chan & Vasarhelyi, 2011
El enfoque tradicional…
• Históricamente la auditoría
interna realizaba pruebas de los
controles en forma retrospectiva
y cíclica, con frecuencia muchos
meses después del momento en
el que ocurrían las actividades
de negocios.
Conceptos de Auditoría Continua
Auditoría Continua cambiará el paradigma de auditoría, por ejemplo:
• la naturaleza de la evidencia,
• los ritmos,
• los procedimientos
• y el grado de esfuerzo requerido por los auditores internos
AC: El cambio de Paradigma
Conceptos de Auditoría Continua
AC: El cambio de Paradigma• La Auditoría Continua es un método empleado para realizar
evaluaciones de riesgos y de controles de manera automática
y más frecuente.
• El poder de la auditoría continua reside en las pruebas
continuas, eficientes e “inteligentes” de controles y riesgos
que permiten una notificación oportuna de las brechas y
debilidades a fin de dar un seguimiento y la corrección
inmediata.
• Con este cambio de enfoque, los auditores logran entonces
comprender mejor el entorno de negocio y los riesgos
asociados, lo que le permitirá velar por el cumplimiento e
impulsar el desempeño del negocio.
Conceptos de Auditoría Continua
En la actualidad, la proliferación de sistemas de información en elentorno de negocio ofrece a los auditores un acceso más sencillo auna cantidad mayor de información relevante, pero tambiénimplica la gestión y la revisión de volúmenes de datos ytransacciones mucho más grandes.
Auditoría Continua a nivel macro engloba dos actividades principales:
1. Evaluación continua de control, destinada a centrarse lo más prontoposible en las deficiencias de control.
2. Evaluación continua de riesgos, destinada a destacar los procesos osistemas que presentan niveles de riesgo más altos de lo esperado.
Conceptos de Auditoría Continua
Los beneficios esperados a partir de la implementaciónde un esquema de auditoría continua incluyen:
– Mayor capacidad para mitigar riesgos.
– Reducciones en el costo que implica la evaluación decontroles internos.
– Mayor confianza en los resultados financieros.
– Mejoras en las operaciones financieras.
– Reducciones en los errores financieros y la posibilidad defraude.
Conceptos de Auditoría Continua
Conceptos de Auditoría Continua
La AC está ganando terreno en las organizaciones que pretenden
un control continuo y una monitorización continua.
El grado de difusión, la creciente disponibilidad de herramientas y
la aspiración a una mayor eficiencia en el control son factores
importantes para un análisis más exhaustivo sobre lo que puede
aportar la AC.
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Impulsores de la AC
Cada estrategia de CA/CM en las organizaciones está influenciada por una variedad de impulsores estratégicos, operacionales y externos…
Ambiente económico
incierto que aumenta
el riesgo del negocio
Ambiente
regulatorio y de
riesgo legal en
expansión
Deseo de la
gerencia de
demostrar sanas
prácticas gobierno
Potencializar de
mejor manera
las estrategias
de manejo de
información
Deseo de la
Gerencia de
mejorar el
rendimiento y la
rendición de
cuentas
Impulsores
Estratégicos
Procesos de
negocio
ineficientes
Crecimiento y
desarrollo
organizacional
Conversión
/ cambio
de ERP
Ocurrencia o
riesgo de
fraude
Impulsores
Operacionales
CA/CM
Estrategias
Mayor
escrutinio por
los agentes
externos
Impulsores
Externos
Deseo de
reducir los
costos de SOX
Aumento en la
demanda de
información
más confiable
Globalización
Fuente KPMG
Soporte de la Alta Gerencia
Recursos
experimentados y
herramientas
tecnológicas
Factores críticos de éxito
Enfoque establecido para CA
Enfoque bien planificado
Alineación Organizacional
Fuente KPMG
Impulsores de la AC
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Implementación de Auditoría Continua
Planificar el
alcance y definir el
proceso
administración de
riesgo interno
Método de
Implementación
Llevar a cabo la
auditoria o
monitoreo
Planificar Diseñar ImplementarDiagnosticar Ejecutar Evaluar
Revisar el proceso
de acuerdo a los
resultados
producidos
Fuente KPMG
Enfoque está diseñado para proveer un proceso eficiente, consistente y repetible
- La guía 3 del IIA sobre Auditoría Continua establece 5 pasosclaves para la implementación del modelo:
OBJETIVOS DE LA AUDITORÍA CONTINUA
USO Y ACCESO A DATOS
EVALUACIÓN CONTINUA DE RIESGOS
EVALUACIÓN CONTINUA DEL CONTROL
INFORMAR Y GESTIONAR RESULTADOS
Implementación de Auditoría Continua
Fuente: GTAG, TheIIA.org
Estrategia: Identificar Riesgos y Controles
- Seleccionar los procesos críticos a evaluar
- Identificar el riesgo y categorizarlo
- Revisar los controles existentes
- Clasificar los riesgos y los controles que serán parte de AC
Implementación de Auditoría Continua
Estrategia de Implementación: Identificar Riesgos y Controles
Estrategia de Implementación: Identificar Riesgos y Controles
En resumen debe haber
una Cultura de Riesgo
Auditoría
Toda la Organización
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Ciclo de Madurez
Recursos Claves para la AC
COBIT propone un modelo de madurez de 6 niveles
para medir la efectividad del ambiente de control:
Ciclo de Madurez
Recursos Claves para la AC
- Nivel 0: "Inexistente" – Una función de auditoría no existe o no se realiza.
- Nivel 1: "Manual de Auditoría Informal" – Individuo(s) realiza(n) tareas de auditoría sobre una base ad hoc,pero sin una política formal.
- Nivel 2: "Manual de Auditoría Formal" – Una función de auditoría se establece con una cartera y un conjunto deprocedimientos operativos estándar que rigen sus tareas y funciones.
- Nivel 3: "Auditorías Desarrolladas con Tecnologías Ad hoc" – La función de auditoría formal utiliza la tecnologíapara completar sus auditorías, pero de una manera ad hoc. Si se utilizan herramientas específicas, no se utilizanconsistentemente ni el personal de auditoría se encuentra bien versado en el uso de ellas.
Ciclo de Madurez
Recursos Claves para la AC
- Nivel 4: "Auditorías Desarrolladas con Tecnología" - La función de auditoría formal utiliza la tecnología siempre quesea posible y trabaja para automatizar los procedimientos manuales restantes. El personal se encuentra cómodo y eshábil en el uso de herramientas de auditoría, tales como software generalizados de auditoría. Existen políticas yprocedimientos claros que rigen la planificación, diseño y ejecución de auditorías desarrolladas con tecnología.
- Nivel 5: "Auditoría Continua" – La evidencia de auditoría es recopilada en tiempo real o casi en tiempo real, y elauditor puede evaluar la fiabilidad de la información reportada sin esfuerzos manuales significativos.
- Nivel 6: "Monitoreo y Auditoría Continua Optimizados" – El Monitoreo Continuo es llevado a cabo por lospropietarios de los procesos de negocio y la Auditoría Continua se desarrolla para verificar continuamente la eficaciaoperativa de los procedimientos de Monitoreo Continuo.
Ciclo de Madurez
Recursos Claves para la AC
En este sentido, algunas publicaciones señalan que aún queda mucho trabajo por hacer para elevar
la madurez de la auditoría.
Algunas de las acciones que se pueden tomar en este sentido son:
- Formalizar los procedimientos de auditoría.
- Involucrar a la función de auditoría en el ciclo de vida de desarrollo de sistemas y el proceso
de gestión del cambio.
- Alentar a los auditores a explorar maneras de automatizar los procedimientos clave de
auditoría.
- Asegúrese de que los auditores sean capaces de utilizar la tecnología y herramientas de
auditoría, como el software generalizado de auditoría.
- Aumentar la claridad del proceso de auditoría a los propietarios de los procesos de negocio y
la alta dirección.
ERP SYSTEMS, DATABASES
BUSINESS
STAKEHOLDERSAUDIT
COLLABORATION
SECURITY
AUTOMATION
LARGER DATA SIZEAUDIT DEPT
IMPORT, EXPORTS, EXTRACTIONS
ANALYSIS, ADVANCED STATISTICS
AUDIT TRAIL, PROJECT OVERVIEW
SMART ANALYZERINDIVIDUAL
ORGANIZATION
CONTINUOUS MONITORING
EXCEPTION RESOLUTION
ISSUE MANAGEMENT WORKFLOW
ETL SOFTWAREIT TEAM
Soporte a herramientas de análisis
Y otros lenguajes de script
Monitor Analítico
(Analytics)
Herramienta
de AC
Conectores de datos especializados
Smart
Exporter
• Notificación• Flujo de Trabajo• “Monitoreo”• Reportería
Recursos Claves para la AC: “Cómo funciona?”
43
Recursos Claves para la AC: “Inteligencia en el manejo de las Excepciones”
Escalamiento de la Excepción
Recursos Claves para la AC: “Inteligencia en el manejo de las Excepciones”
45
Asociar las excepciones con su categoría de Riesgo
Recursos Claves para la AC: “Inteligencia en el manejo de las Excepciones”
Recursos Claves para la AC: Casos de éxito
Recursos Claves para la AC: Casos de éxito
Recursos Claves para la AC: Casos de éxito
Recursos Claves para la AC: “Inteligencia en el manejo de las Excepciones”
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Proceso de Negocio: “Ingresos”
Proceso de Negocio: Ingresos
• Las Empresas deben establecer rutinas paraverificar las transacciones de ingresos.
• Estos procedimientos proporcionan unasalvaguarda continua en contra de errores,fraudes y negligencias.
Proceso de Negocio: Ingresos
• Una serie de actividades contribuyen con la fuga deingresos. Estas pueden incluir cuentas de clientes ycontratos incorrectos, facturaciones incorrectas, cobrosineficaces, robo, etc.
• Los estudios revelan que las fugas representan del 1% al5% de los ingresos por servicios en países desarrollados yhasta un 20% en países en vías de desarrollo paradiversos sectores de la Industria.
Proceso de Negocio: Ingresos
• Funciones Típicas de un ciclo de Ingresos y podrían serlas siguientes
– Otorgamiento de crédito
– Toma de pedidos
– Entrega o embarque de mercancía y/o prestación del servicio
– Facturación
– Contabilización de comisiones
– Contabilización de garantías
– Cuentas por cobrar
– Ingreso del efectivo
– Ajuste a Facturas y/o notas de crédito
– Determinación del costo de ventas
Facturación Cuentas por Cobrar
Proceso de Negocio: Ingresos
Ventas / Cuentas por Cobrar (algunos ejemplos)
a. Importación de registros de facturación/ventas. Verificación de “Totales de control”.
b. Indexar campos en orden Ascendente y Descendente.c. Estadísticas de campo, extracción de montos de venta negativos. d. Extracción de reversiones de ingresos desde la base de datos principal para
determinar si estos ítems encubren ventas falsas.e. Sumarizaciones por Campos Clave disponibles en los datos de Cuentas por
Cobrar para identificar patrones inusuales de actividad.
i. Cuentas por cobrar en moraii. Notas de crédito por número de cliente y por quien autorizó la notaiii. Reversiones de ventas e invalidaciones por cuenta y quien autorizóiv. Pase a cuentas incobrables por cuenta
Proceso de Negocio: Ingresos
Ventas / Cuentas por Cobrar (algunos ejemplos)
e. Estratificación por fecha para visualizar ventas registradas en las últimas dos semanas del fin de un período y conciliar contra la documentación soporte para probar la legitimidad de la ventas.
f. Unión de base de datos de ventas con la de despachos o envíos para rastrear cada despacho por factura.
g. Extracción de todas las cuentas por cobrar en las cuales la cuenta del cliente excede su límite de crédito en el período bajo revisión.
h. Efectúe un análisis de omisiones en facturas de ventas y registros de despacho. Evaluación de las omisiones para determinar si esos documentos de venta realmente faltan.
i. Comparar fechas en los registros de venta con las fechas del correspondiente documento de despacho de mercancía usando la función @age.
Proceso de Negocio: Ingresos, “Tec. de Conciliación”
Proceso de Negocio: Ingresos, “Errores en Facturación”
Proceso de Negocio: Ingresos, “Estadísticas de Campo”
Proceso de Negocio: Ingresos, “Estadísticas de Campo”
Proceso de Negocio: Ingresos, “Detección de Duplicados”
Proceso de Negocio: Ingresos, “Detección de Omisiones”
Proceso de Negocio: Ingresos, “Antigüedad de Saldos”
Agenda
• Antecedentes y Tendencias
• Conceptos de Auditoría Continua– Auditoría Tradicional vs. Auditoría Continua
• Impulsores de la Auditoría Continua
• Implementación de Auditoría Continua
• Recursos Claves para la AC
• Ejemplos de Auditoría Continua
• Conclusiones
Conclusiones
• La Auditoría Continua es un método empleado para
realizar evaluaciones de riesgos y de controles de
manera automática y más frecuente
• AC debe ir más allá de las fronteras de AI
• Debe lograr la integración de personas, procesos y
la tecnología
• Mayor eficiencia de la auditoría al cubrir al 100% de
las transacciones electrónicas y permitir la
detección temprana del fraude
• AC muchas veces genera auditorías especiales,
concentrando las esfuerzos de auditorías en áreas
de alta riesgo
Muchas GraciasPedwar Castillo,
NextPoint - Caseware Analytics
8092215810, 8092211984