Desayuno PN [Sólo lectura] - Instituto de Auditores ... · • Adaptar el plan anual de auditoría...
Transcript of Desayuno PN [Sólo lectura] - Instituto de Auditores ... · • Adaptar el plan anual de auditoría...
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Pablo G. NessierMarcos F. Schnider
Auditoría Continua
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Por qué incorporar Auditoría Continua (AC)?
• Según la GTAG 3
• La organización lo necesita
• Los avances en tecnología lo permiten
• Adicionalmente
• El contexto externo condiciona
• Nuestra expectativa profesional lo requiere
• La Alta Dirección lo exige
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Definiciones previas (1):
• 1. Auditoría Continua: evaluaciones permanentes de riesgos y controles mediante el uso de Tecnología por parte de la Gerencia de Auditoría Interna.
• 2. Monitoreo Continuo: evaluaciones permanentes de riesgos y controles mediante el uso de Tecnología por parte de la Gerencia de Línea.
• 3. Aseguramiento Continuo: Existencia concomitante de Auditoría Continua (1) y la función de Monitoreo Continuo (2) auditada.
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Modelo de tres líneas de defensa:ECCIA-FERMA (Sep-10); BIS (Sep-11); IIA/PP (Ene-13).
Definiciones previas (2):
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
1986/91: AT&T + Universidad
Rutgers
2002: Sarbanes Oxley S404 y
S409
2005: IIA GTAG#3
2006/09: COSO
Monitoring
2010: ISACA -Guía 42
2010: ICAA 2013: COSO ERM
2006/092010
Antecedentes de AC
2014: IAI España
2015: IIA GTAG#3 2da
Edición
de 1992: Modelo de Control COSO
2010: Modelo de las Tres Líneas de
Defensa
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
GTAG 3 (1ra edición - 2005):
• Centrada en las ventajas del monitoreo transaccional.• Enmarca la Auditoría Continua en el modelo COSO (1992).• Brinda receta de “pasos claves”• Incluye un “Self Assessment” sobre Auditoría Continua
para conocer el estadío:• Introductorio
• Moderado
• Integrado / avanzado
Implicancias para el aseguramiento, monitoreo y evaluación de riesgos
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
GTAG 3 (2da edición - 2015):
Basa su Marco de Control en el modelo de las 3 LD
• Muestra el potencial del Aseguramiento Continuo (existiendo Monitoreo Continuo en 1 y 2 LD).
• Incorpora otras fuentes de datos, además de los transaccionales
• Delimita funciones y responsabilidades
• Perfecciona la receta de “pasos claves”
• Brinda marcos Básico y Optimizado de Aseguramiento Continuo
• Aplicaciones prácticas de Auditoría Continua (plan, ejecución, seguimiento de observaciones)
Coordinar Auditoría Continua y Monitoreo para proveer Aseguramiento Continuo
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
ROL RESPONSABILIDADES
Director Ejecutivo de
Auditoría
• Garantizar Presupuesto y Seguridad de Datos. Capacidad + Herramientas = Credibilidad
• Educar a Auditores, Auditados y Directores sobre las funciones de AI y las Gerencias
• Comprometer estrategia a largo plazo
• Comunicar los resultados
Auditores
Internos
• Planear el procedimiento de Auditoría Continua.
• Ejecutar la AC (considerar negocios, riesgos y controles y riesgos emergentes)
• Efectuar pruebas de cumplimiento sobre el Monitoreo Continuo.
• Aseguramiento sobre Integridad, Exactitud y Seguridad.
• Resguardar la seguridad de los datos.
Gerencias
de línea
1ra y 2da LD
• Diseñar y realizar monitoreo continuo (gestión de riesgos y controles)
• Hacer uso de los conocimientos de Gestión de Riesgos. Abordar las causas-raiz de los problemas.
• Acortar el tiempo en la toma de acciones.
Definición de roles y responsabilidades
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
3er LíneaAuditoría Interna
(Evaluación independiente)
2da LíneaFunciones de
supervisión de riesgos y controles
(p.e.: Compliance)
1er LíneaControles de línea(p.e.: Gestión operativa)
Aseguramiento continuo•Pruebas de auditoría sobre los monitoreos continuos de la primera y segunda líneas de defensa.•Auditoría Continua
Monitoreo Continuo
de defensa
Pruebas de auditoría de la 1er y 2da línea
de defensaAuditoría Continua
Permanente evaluación de
riesgos y controles
Técnicas de Auditoría Continua
Framework
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
De las Gerencias (1er y 2da LD)
De Auditoría (3er LD)
Relación de esfuerzos
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Pasos Claves para implementación1 – Establecer una estrategia de Auditoría Continua:
Coordinar con la primer y segunda línea de defensaEstablecer prioridades y obtener apoyo de la gerenciaAdaptar el plan anual de auditoría para especificar indicadores en curso
2 – Adquirir datos para uso rutinarioEstablecer rutinas de acceso al ambiente productivoDesarrollar capacidades de análisisDesarrollar habilidades y conocimientos técnicos de auditoríaEvaluar la fiabilidad de las fuentes de datosPreparar y validar los datos
3 – Construir indicadores de Auditoría ContinuaEvaluación de Riesgos
Desarrollar indicadores de riesgoDiseño de análisis para medir los niveles de riesgo se incrementaron
Evaluación de ControlesRelativo a Objetivos de controlDeterminar controles claveEvaluar la condición de línea base y cambios en los controles
4 – Informar y gestionar los resultadosEstablecer una metodología repetibleReportar resultadosFacilitar acciones de gestiónAlinearse con monitorización continua y adaptar la estrategia de auditoría continua
Los “Key Steps”
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
1 – Establecer una estrategia de Auditoría Continua:• Coordinar con la primer y segunda línea de defensa• Establecer prioridades y obtener apoyo de la gerencia• Adaptar el plan anual de auditoría para especificar indicadores en curso
• Dependerá de la madurez de la organización:
• Si no están claramente definidas las líneas de defensa?
• Qué coordinar con la 1ra y 2da línea de defensa?
Los Key Steps (GTAG3.2e)Coordinar con la primer y segunda línea de defensa
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
1 – Establecer una estrategia de Auditoría Continua:• Coordinar con la primer y segunda línea de defensa• Establecer prioridades y obtener apoyo de la gerencia• Adaptar el plan anual de auditoría para especificar indicadores en curso
• Proyecto de Auditoría Continua debe contemplar:• Estructura (RRHH)• Equipamiento• Sistemas aplicativos• Cambios metodológicos• Capacitaciones específicas
• El clave lograr el apoyo del Comité de Auditoría.
Los Key Steps (GTAG3.2e)
Establecer prioridades y obtener apoyo de la gerencia
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
1 – Establecer una estrategia de Auditoría Continua:• Coordinar con la primer y segunda línea de defensa• Establecer prioridades y obtener apoyo de la gerencia• Adaptar el plan anual de auditoría para especificar indicadores en curso
• Los resultados deben retroalimentar el planeamiento (alcance y oportunidad de procedimientos).
• Este paso no resulta de aplicación para el inicio del proyecto.
Los Key Steps (GTAG3.2e)
Adaptar el plan anual de auditoría para especificar indicadores en curso
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
2 – Adquirir datos para uso rutinario• Establecer rutinas de acceso al ambiente productivo• Desarrollar capacidades de análisis• Desarrollar habilidades y conocimientos técnicos de auditoría• Evaluar la fiabilidad de las fuentes de datos• Preparar y validar los datos
• Indispensable: accesos de lectura a los datos de origen
• Mantener el debido cuidado de seguridad y privacidad de los datos.
Establecer rutinas de acceso al ambiente productivo
Los Key Steps (GTAG3.2e)
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
2 – Adquirir datos para uso rutinario• Establecer rutinas de acceso al ambiente productivo• Desarrollar capacidades de análisis• Desarrollar habilidades y conocimientos técnicos de auditoría• Evaluar la fiabilidad de las fuentes de datos• Preparar y validar los datos
• La eficiencia de Auditoría Continua depende fuertemente de las capacidades de los recursos.
• Todo el equipo debe poseer:• Comprensión del negocio.• Conocimientos de los sistemas y del modelos de datos.• El “APETITO” de hacer más eficiente su Auditoría.
Los Key Steps (GTAG3.2e)Desarrollar capacidades de análisisDesarrollar habilidades y conocimientos técnicos de auditoría
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
2 – Adquirir datos para uso rutinario• Establecer rutinas de acceso al ambiente productivo• Desarrollar capacidades de análisis• Desarrollar habilidades y conocimientos técnicos de auditoría• Evaluar la fiabilidad de las fuentes de datos• Preparar y validar los datos
• Acceso independiente a los datos
• Repositorio propio
• Considerar diversos orígenes
Los Key Steps (GTAG3.2e)
Evaluar la fiabilidad de las fuentes de datosPreparar y validar los datos
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
3 – Construir indicadores de Auditoría Continua• Evaluación de Riesgos
• Desarrollar indicadores de riesgo• Diseño de análisis para medir los niveles de riesgo se incrementaron
• Evaluación de Controles• Relativo a Objetivos de control• Determinar controles clave• Evaluar la condición de línea base y cambios en los controles
• Indicadores que monitorean los riesgos identificados:• Considerar si las variaciones ameritan concretar cambios
en la planificación de auditoría.• Ejemplos: evolución de la mora por línea de producto,
volumen de transacciones en recicle, volumen relativo de producto.
Los Key Steps (GTAG3.2e)
Evaluación de Riesgos
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
3 – Construir indicadores de Auditoría Continua• Evaluación de Riesgos
• Desarrollar indicadores de riesgo• Diseño de análisis para medir los niveles de riesgo se incrementaron
• Evaluación de Controles• Relativo a Objetivos de control• Determinar controles clave• Evaluar la condición de línea base y cambios en los controles
• Determinar controles claves
• Identificar cambios en los controles.
• Considerar la frecuencia y magnitud de los mismos.
Los Key Steps (GTAG3.2e)
Evaluación de Controles
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
4 – Informar y gestionar los resultados• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de gestión• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua
• Es deseable un marco metodológico para:• Reporte y gestión oportuna de los casos.• Facilitar “análisis de causa raíz” (diseño).• Registrar y hacer seguimiento de los planes de acción.
• Con administración manual la carga de trabajo crece proporcionalmente a los indicadores
Los Key Steps (GTAG3.2e)
Establecer una metodología repetible
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
• Exponer resultados según destinatarios:
• Información resumida para determinados niveles
• Información detallada para la línea
Los Key Steps (GTAG3.2e)4 – Informar y gestionar los resultados
• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de gestión• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua
Reportar resultados
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
4 – Informar y gestionar los resultados• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de la Gerencia• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua
• Cada plan de acción debe tener un dueño, responsable hasta su remediación.
• La línea, a través de su monitoreo continuo debe asegurar que la solución se sostiene en el tiempo.
• Permanecer atentos a:• Variaciones en riesgos y controles.• Variaciones en los esfuerzos de Monitoreo Continuo.
Los Key Steps (GTAG3.2e)4 – Informar y gestionar los resultados
• Establecer una metodología repetible• Reportar resultados• Facilitar acciones de gestión• Alinearse con monitorización continua y adaptar la estrategia de auditoría continua
Facilitar acciones de gestiónAlinearse con monitorización continua y adaptar la estrategia de auditoría continua
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
MOMENTO UTILIDAD
PLAN
• Identificar indicadores de riesgo• Evaluar los desvíos• Definir alcance, enfoque y oportunidad
EJECUCIÓN
• Evaluar y dimensionar riesgos• Profundizar alcance y objetivos• Determinar ubicaciones específicas a auditar• Concretar Revisiones analíticas
SEGUIMIENTO• Determinar si se implementaron las recomendaciones• Identificar si la remediación reduce el nivel de riesgo• Establecer puntos de partida y comparar resultados
Aplicaciones prácticas de AC
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Guía para implementar … Auditoría Continua
• Eminentemente práctica
• Brinda un decálogo de Buenas Prácticas
• Distingue entre Monitoreo (Línea) y Auditoría Continua
• Plantea un modelo de madurez (5 niveles)
• Respeta el modelo de 3 Líneas de Defensa
• Brinda asesoramiento para elegir la herramienta
• Incluye un ejemplo práctico de implementación
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Guía para implementar … Auditoría Continua
• Considere a la AC un proyecto estratégico
• Defina desde el primer momento cómo medir la rentabilidad
• AC no es sinónimo de “reducción de personal”: que no sea su objetivo
• Un “conjunto de consultas” no es un modelo de AC
• Defina el modelo antes de los indicadores
Decálogo de Buenas Prácticas de AC (1/2)
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Guía para implementar … Auditoría Continua
• Involucre al Departamento de TI cuanto antes
• Las áreas de negocio son una fuente de ideas
• Cuanto más configurable sea, mucho mejor
• Tenga cuidado con el “umbral de tolerancia”
• Su negocio no deja de evolucionar, acompáñelo con su modelo
Decálogo de Buenas Prácticas de AC (2/2)
Comisión de Auditoría Continua – IAIA | Desayuno de trabajo | Septiembre 2016
Guía para implementar … Auditoría Continua
Niveles:
• Básico
• Evolutivo
• Establecido
• Avanzado
• Liderazgo
Modelo de madurez planteado
Considera:
Las herramientas utilizadas
Enfoque de Auditoría
Cobertura de testeos AC/Tradic
Existencia de procedimientos
Recursos afectados
Los usuarios de la metodología