Desayuno PN [Sólo lectura] - Instituto de Auditores ... · • Adaptar el plan anual de auditoría...

Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016

Pablo G. NessierMarcos F. Schnider

Auditoría Continua


Por qué incorporar Auditoría Continua (AC)?

• Según la GTAG 3

• La organización lo necesita

• Los avances en tecnología lo permiten

• Adicionalmente

• El contexto externo condiciona

• Nuestra expectativa profesional lo requiere

• La Alta Dirección lo exige


Definiciones previas (1):

• 1. Auditoría Continua: evaluaciones permanentes de riesgos y controles mediante el uso de Tecnología por parte de la Gerencia de Auditoría Interna.

• 2. Monitoreo Continuo: evaluaciones permanentes de riesgos y controles mediante el uso de Tecnología por parte de la Gerencia de Línea.

• 3. Aseguramiento Continuo: Existencia concomitante de Auditoría Continua (1) y la función de Monitoreo Continuo (2) auditada.


Modelo de tres líneas de defensa:ECCIA-FERMA (Sep-10); BIS (Sep-11); IIA/PP (Ene-13).

Definiciones previas (2):


1986/91: AT&T + Universidad

Rutgers

2002: Sarbanes Oxley S404 y

S409

2005: IIA GTAG#3

2006/09: COSO

Monitoring

2010: ISACA -Guía 42

2010: ICAA 2013: COSO ERM

2006/092010

Antecedentes de AC

2014: IAI España

2015: IIA GTAG#3 2da

Edición

de 1992: Modelo de Control COSO

2010: Modelo de las Tres Líneas de

Defensa


GTAG 3 (1ra edición - 2005):

• Centrada en las ventajas del monitoreo transaccional.• Enmarca la Auditoría Continua en el modelo COSO (1992).• Brinda receta de “pasos claves”• Incluye un “Self Assessment” sobre Auditoría Continua

para conocer el estadío:• Introductorio

• Moderado

• Integrado / avanzado

Implicancias para el aseguramiento, monitoreo y evaluación de riesgos


GTAG 3 (2da edición - 2015):

Basa su Marco de Control en el modelo de las 3 LD

• Muestra el potencial del Aseguramiento Continuo (existiendo Monitoreo Continuo en 1 y 2 LD).

• Incorpora otras fuentes de datos, además de los transaccionales

• Delimita funciones y responsabilidades

• Perfecciona la receta de “pasos claves”

• Brinda marcos Básico y Optimizado de Aseguramiento Continuo

• Aplicaciones prácticas de Auditoría Continua (plan, ejecución, seguimiento de observaciones)

Coordinar Auditoría Continua y Monitoreo para proveer Aseguramiento Continuo


ROL RESPONSABILIDADES

Director Ejecutivo de

Auditoría

• Garantizar Presupuesto y Seguridad de Datos. Capacidad + Herramientas = Credibilidad

• Educar a Auditores, Auditados y Directores sobre las funciones de AI y las Gerencias

• Comprometer estrategia a largo plazo

• Comunicar los resultados

Auditores

Internos

• Planear el procedimiento de Auditoría Continua.

• Ejecutar la AC (considerar negocios, riesgos y controles y riesgos emergentes)

• Efectuar pruebas de cumplimiento sobre el Monitoreo Continuo.

• Aseguramiento sobre Integridad, Exactitud y Seguridad.

• Resguardar la seguridad de los datos.

Gerencias

de línea

1ra y 2da LD

• Diseñar y realizar monitoreo continuo (gestión de riesgos y controles)

• Hacer uso de los conocimientos de Gestión de Riesgos. Abordar las causas-raiz de los problemas.

• Acortar el tiempo en la toma de acciones.

Definición de roles y responsabilidades


3er LíneaAuditoría Interna

(Evaluación independiente)

2da LíneaFunciones de

supervisión de riesgos y controles

(p.e.: Compliance)

1er LíneaControles de línea(p.e.: Gestión operativa)

Aseguramiento continuo•Pruebas de auditoría sobre los monitoreos continuos de la primera y segunda líneas de defensa.•Auditoría Continua

Monitoreo Continuo

de defensa

Pruebas de auditoría de la 1er y 2da línea

de defensaAuditoría Continua

Permanente evaluación de

riesgos y controles

Técnicas de Auditoría Continua

Framework


De las Gerencias (1er y 2da LD)

De Auditoría (3er LD)

Relación de esfuerzos


Pasos Claves para implementación1 – Establecer una estrategia de Auditoría Continua:

Coordinar con la primer y segunda línea de defensaEstablecer prioridades y obtener apoyo de la gerenciaAdaptar el plan anual de auditoría para especificar indicadores en curso

2 – Adquirir datos para uso rutinarioEstablecer rutinas de acceso al ambiente productivoDesarrollar capacidades de análisisDesarrollar habilidades y conocimientos técnicos de auditoríaEvaluar la fiabilidad de las fuentes de datosPreparar y validar los datos

3 – Construir indicadores de Auditoría ContinuaEvaluación de Riesgos

Desarrollar indicadores de riesgoDiseño de análisis para medir los niveles de riesgo se incrementaron

Evaluación de ControlesRelativo a Objetivos de controlDeterminar controles claveEvaluar la condición de línea base y cambios en los controles

4 – Informar y gestionar los resultadosEstablecer una metodología repetibleReportar resultadosFacilitar acciones de gestiónAlinearse con monitorización continua y adaptar la estrategia de auditoría continua

Los “Key Steps”


1 – Establecer una estrategia de Auditoría Continua:• Coordinar con la primer y segunda línea de defensa• Establecer prioridades y obtener apoyo de la gerencia• Adaptar el plan anual de auditoría para especificar indicadores en curso

• Dependerá de la madurez de la organización:

• Si no están claramente definidas las líneas de defensa?

• Qué coordinar con la 1ra y 2da línea de defensa?

Los Key Steps (GTAG3.2e)Coordinar con la primer y segunda línea de defensa



• Proyecto de Auditoría Continua debe contemplar:• Estructura (RRHH)• Equipamiento• Sistemas aplicativos• Cambios metodológicos• Capacitaciones específicas

• El clave lograr el apoyo del Comité de Auditoría.

Los Key Steps (GTAG3.2e)

Establecer prioridades y obtener apoyo de la gerencia



• Los resultados deben retroalimentar el planeamiento (alcance y oportunidad de procedimientos).

• Este paso no resulta de aplicación para el inicio del proyecto.


Adaptar el plan anual de auditoría para especificar indicadores en curso


2 – Adquirir datos para uso rutinario• Establecer rutinas de acceso al ambiente productivo• Desarrollar capacidades de análisis• Desarrollar habilidades y conocimientos técnicos de auditoría• Evaluar la fiabilidad de las fuentes de datos• Preparar y validar los datos

• Indispensable: accesos de lectura a los datos de origen

• Mantener el debido cuidado de seguridad y privacidad de los datos.

Establecer rutinas de acceso al ambiente productivo




• La eficiencia de Auditoría Continua depende fuertemente de las capacidades de los recursos.

• Todo el equipo debe poseer:• Comprensión del negocio.• Conocimientos de los sistemas y del modelos de datos.• El “APETITO” de hacer más eficiente su Auditoría.

Los Key Steps (GTAG3.2e)Desarrollar capacidades de análisisDesarrollar habilidades y conocimientos técnicos de auditoría



• Acceso independiente a los datos

• Repositorio propio

• Considerar diversos orígenes


Evaluar la fiabilidad de las fuentes de datosPreparar y validar los datos


3 – Construir indicadores de Auditoría Continua• Evaluación de Riesgos

• Desarrollar indicadores de riesgo• Diseño de análisis para medir los niveles de riesgo se incrementaron

• Evaluación de Controles• Relativo a Objetivos de control• Determinar controles clave• Evaluar la condición de línea base y cambios en los controles

• Indicadores que monitorean los riesgos identificados:• Considerar si las variaciones ameritan concretar cambios

en la planificación de auditoría.• Ejemplos: evolución de la mora por línea de producto,

volumen de transacciones en recicle, volumen relativo de producto.


Evaluación de Riesgos


3 – Construir indicadores de Auditoría Continua• Evaluación de Riesgos

• Desarrollar indicadores de riesgo• Diseño de análisis para medir los niveles de riesgo se incrementaron

• Evaluación de Controles• Relativo a Objetivos de control• Determinar controles clave• Evaluar la condición de línea base y cambios en los controles

• Determinar controles claves

• Identificar cambios en los controles.

• Considerar la frecuencia y magnitud de los mismos.


Evaluación de Controles


4 – Informar y gestionar los resultados• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de gestión• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua

• Es deseable un marco metodológico para:• Reporte y gestión oportuna de los casos.• Facilitar “análisis de causa raíz” (diseño).• Registrar y hacer seguimiento de los planes de acción.

• Con administración manual la carga de trabajo crece proporcionalmente a los indicadores


Establecer una metodología repetible


• Exponer resultados según destinatarios:

• Información resumida para determinados niveles

• Información detallada para la línea

Los Key Steps (GTAG3.2e)4 – Informar y gestionar los resultados

• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de gestión• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua

Reportar resultados


4 – Informar y gestionar los resultados• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de la Gerencia• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua

• Cada plan de acción debe tener un dueño, responsable hasta su remediación.

• La línea, a través de su monitoreo continuo debe asegurar que la solución se sostiene en el tiempo.

• Permanecer atentos a:• Variaciones en riesgos y controles.• Variaciones en los esfuerzos de Monitoreo Continuo.

Los Key Steps (GTAG3.2e)4 – Informar y gestionar los resultados

• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de gestión• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua

Facilitar acciones de gestiónAlinearse con monitorización continua y adaptar la estrategia de auditoría continua


MOMENTO UTILIDAD

PLAN

• Identificar indicadores de riesgo• Evaluar los desvíos• Definir alcance, enfoque y oportunidad

EJECUCIÓN

• Evaluar y dimensionar riesgos• Profundizar alcance y objetivos• Determinar ubicaciones específicas a auditar• Concretar Revisiones analíticas

SEGUIMIENTO• Determinar si se implementaron las recomendaciones• Identificar si la remediación reduce el nivel de riesgo• Establecer puntos de partida y comparar resultados

Aplicaciones prácticas de AC


Guía para implementar … Auditoría Continua

• Eminentemente práctica

• Brinda un decálogo de Buenas Prácticas

• Distingue entre Monitoreo (Línea) y Auditoría Continua

• Plantea un modelo de madurez (5 niveles)

• Respeta el modelo de 3 Líneas de Defensa

• Brinda asesoramiento para elegir la herramienta

• Incluye un ejemplo práctico de implementación



• Considere a la AC un proyecto estratégico

• Defina desde el primer momento cómo medir la rentabilidad

• AC no es sinónimo de “reducción de personal”: que no sea su objetivo

• Un “conjunto de consultas” no es un modelo de AC

• Defina el modelo antes de los indicadores

Decálogo de Buenas Prácticas de AC (1/2)



• Involucre al Departamento de TI cuanto antes

• Las áreas de negocio son una fuente de ideas

• Cuanto más configurable sea, mucho mejor

• Tenga cuidado con el “umbral de tolerancia”

• Su negocio no deja de evolucionar, acompáñelo con su modelo

Decálogo de Buenas Prácticas de AC (2/2)



Niveles:

• Básico

• Evolutivo

• Establecido

• Avanzado

• Liderazgo

Modelo de madurez planteado

Considera:

Las herramientas utilizadas

Enfoque de Auditoría

Cobertura de testeos AC/Tradic

Existencia de procedimientos

Recursos afectados

Los usuarios de la metodología

Desayuno PN [Sólo lectura] - Instituto de Auditores ... · • Adaptar el plan anual de auditoría...

Documents

Transcript of Desayuno PN [Sólo lectura] - Instituto de Auditores ... · • Adaptar el plan anual de auditoría...