AGENDA METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines Introducción y antecedentes Consideraciones

Transcripción

1 METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines Claudia Gutiérrez MBA Gerente Senior Auditoría Interna y de TI de COPA Airlines Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit Quality Assessment Socio Director Global Advisory Solutions Julio 2015 Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

2 AGENDA METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines Introducción y antecedentes Consideraciones iniciales Estrategia de implementación Resultados/Desarrollo de pruebas Factores de éxito Próximos pasos Conclusiones Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

3 INTRODUCCIÓN Y ANTECEDENTES Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

4 Antecedentes Factores que influyen en la transformación de la función Auditoría Interna El entorno dinámico del negocio Expectativas de la Alta Gerencia y el Comité de Auditoría Uso creciente de las Tecnologías de la Información Rentabilidad Enfoque estratégico Todos los derechos reservados. Prohibida su reproducción no autorizada.

5 Antecedentes La Auditoría Interna está evolucionando.. TRADICIONAL Reactiva Financiera Alcance limitado El policía/vigilante Orientada al reporte Función separada EMERGENTE Proactiva Múltiples áreas de negocio Alcance toda la empresa El estratega/consejero Orientada a las relaciones Valor agregado en el negocio Todos los derechos reservados. Prohibida su reproducción no autorizada.

6 Antecedentes Las principales competencias requeridas en la contratación de un auditor Pensamiento analítico y crítico 75% Habilidades de comunicación 58% Risk Management Assurance 44% Conocimientos generales de TI 41% Data mining y análisis de datos 40% Conocimientos de la industria 36% Fuente: The Global Pulse of the Profession. July IIA. Audit Executive Center. Todos los derechos reservados. Prohibida su reproducción no autorizada.

7 Antecedentes El proceso de auditoría continua surgió alrededor de 1989 mediante los esfuerzos de Vasarhelyiy Halperpara medir y analizar el proceso de facturación en la empresa internacional AT&T. Se enfocaron al proceso de auditar extensas bases de datos, para establecer estándares y comparar las operaciones contra los mismos y emitir alarmas cuando sea necesario. Fuente: Vasarhelyi, M.A. and Halper, F. B., 1991, The Continuous Audit of Online Systems, Auditing: A Journal of Practice and Theory Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

8 Qué es auditoría continua? Es un proceso y metodología para auditar en tiempo real Auditoría continua es una nueva metodología en evolución con relevancia y aplicación potencial en empresas contemporáneas que sean ricas en tecnología [ ] que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua, y por ende alimentar la necesidad para auditoría y monitoreo continuo Fuente: Continuous Auditing: An Operational Model for Internal Auditors - Mohammad J. Abdolmohammadi, DBA, CPA & Ahmad Sharbatouglie, Ph.D (The IIA Research Foundation) Método automatizado utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia Global Technology Audit Guide (GTAG) Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

9 Qué NO es auditoría continua? Auditoría Continua NO ES Monitoreo continuo Mecanismo de retroalimentación, principalmente usado por la administración para asegurar que los sistemas de operación y las transacciones se procesan según lo prescrito. Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA) Auditoría Continua NO ES Aseguramiento Continuo -Proporcionar una opinión continua de aseguramiento sobre los sistemas o las transacciones. Una opinión continua puede representar la opinión de un auditor de que los controles están operando satisfactoriamente, a menos que se reporte lo contrario en un informe. Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA) Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

10 PRÁCTICA Proceso que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia. Lo anterior es. a) Monitoreo Continuo b) Aseguramiento Continuo c) Auditoría Continua d) Pruebas CAATs Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

11 PRÁCTICA El monitoreo continuo es responsabilidad de... a) Auditoría Interna b) Auditoría Externa c) La administración d) El Comité de Auditoría Interna Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

12 Efectividad de los controles Enfoque tradicional Se asume que la efectividad de los controles aumenta después de los resultados y recomendaciones de cada auditoría. Sin embargo, reduce con el pasar del tiempo hasta los resultados de la siguiente auditoría. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

13 Efectividad de los controles Enfoque Auditoría Continua La efectividad de los controles se mantiene a niveles aceptables dado que se están probando de manera continua y reportando los resultados con la ocurrencia de un evento o poco después del mismo. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

14 Efectividad de auditorías periódicas Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

15 Efectividad de las auditorías continuas Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

16 Auditoría Continua y el IIA Publicación 2015 PracticeAdvisory : AuditSampling(Muestreo de Auditoría) Programade trabajo Los auditores Internos deben desarrollar y obtener aprobación de sus programas de trabajo antes de iniciar la ejecución de su trabajo de auditoria. El programa de trabajo incluye las metodologías a utilizar, tales como auditorias basadas en tecnología y técnicas de muestreo. Según el IIA, la auditoría continua puede permitir al auditor revisar la totalidad de la población, mientras que técnicas de muestreo facilita la selección de menos de un 100% de la población. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

17 Auditoría Continua y el IIA Publicación 2015 Practice Advisory : Continuous Assurance (Aseguramiento continuo) 2320: Analysis and Evaluation Los auditores Internos deben basar sus conclusiones y resultados de sus evaluaciones en análisis apropiados. El IIA reconoce que el aseguramiento continuo puede obtenerse mediante una combinación de las responsabilidades de monitoreo continuo de la administración y las actividades de auditoría continua del auditor. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

18 PRÁCTICA En las prácticas de trabajo ( PracticeAdvisories del Marco Internacional de la Práctica Profesional (MIPP) del IIA, el estándar que habla de aseguramiento continuo es a) b) 2110 c) 2120 d) 2600 Aseguramiento Continuo Gobernabilidad Gestión de Riesgos No existe! Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

19 Antecedentes COPA Airlines Todos los derechos reservados. Prohibida su reproducción no autorizada.

20 Antecedentes COPA Airlines Mejor Aerolínea de Centro América y el Caribe y Mejor Personal de Cabina y Aeropuertos. SkyTraxjunio destinos en30 países LAS LOS VEGAS ANGELE S 280 Vuelos diarios CHIC AGO TORO NTO WASHINGTON D.C BOSTO N NUEVA YORK -JFK ORLAN DO MIA HAB MI NAS MONTE CANCU ANA SAU RREY MEXI PUN N KINGS SANTI GUADALAJ CO TA SAN MONTEGTON AGO ARA GUATE SAN POR SANTO CAN JUAN O BAY AR MALA PEDRO T AU DOMINGO A SAN TEGUCIG CURAÇ SMR MARACA UB SULA PRIN BARRANQUILL SALVADOR ALPASAN AO MANA CARTA IBO A CARA ANDRES CE A GUALIBE SAN GENACUCU VALECAS RIA BUCARAM JOSE MEDE TA NCIA PEREI ANGA LLINBOG CRA OTA A QUIT LI O GUAYA QUIL LIMA IQUI TOS LETICI A ST MAARTEN PORT OF SPAIN MANA US Miembro StarAlliance Connect Miles RE CIF E 99 aviones 90.5% puntualidad NOTE: Copa s Route Network for Jul-13 SANTIAG O SANTA CRUZ CORD OBA BUENOS AIRES ASUNCIO N MONTEVID EO BRASILIA BELO HORIZONTE SAO RIO DE PAULO JANEIRO PORTO ALEGRE Seis veces premiada como mejor Aerolínea de Centro América y el Caribe en los últimos diez años. Todos los derechos reservados. Prohibida su reproducción no autorizada.

21 CONSIDERACIONES INICIALES

22 Consideraciones iniciales Crecimiento sostenido Mayor competencia mercado Recursos limitados AI Cumplimiento regulatorio (Ley Sarbanes-Oxley) Auditoría basada en riesgo Certificación de Calidad Uso de TAAC s Evolución del perfil auditor Mayor volumen transacciones Mayor cobertura auditoría Mayor demanda valor agregado Auditorías eficientes y efectivas Matrices riesgo-control-test Narrativas procesos Normas, estándares, best practices Pruebas automáticas Pensamiento analítico, comunicación, riesgo, tecnología Todos los derechos reservados. Prohibida su reproducción no autorizada.

23 PRÁCTICA Cuáles de los factores debe ser una consideración para implementar auditoría continua? a) Nivel de tecnología de la empresa. b) Entorno regulatorio. c) Alcance de las revisiones. d) Trabajar menos. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

24 ESTRATEGIA DE IMPLEMENTACIÓN Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

25 Pasos de implementación ENTENDIMIENTO DEL NEGOCIO Identificar Riesgos y Controles Planificación de la Auditoría Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte ENTENDIMIENTO DEL NEGOCIO Actividades Conocer la Estructura Organizacional y ubicaciones importantes Evaluar los planes estratégicos vigentes Identificar y comprender las unidades de negocio y/o procesos críticos Evaluar el entorno de Tecnología de Información que soporta los unidades de negocio y/o procesos críticos Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

26 Pasos de implementación Entendimiento del Negocio IDENTIFICAR RIESGOS Y CONTROLES Planificación de la Auditoría Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte IDENTIFICAR RIESGOS Y CONTROLES Actividades Seleccionar las unidades de negocio y/o procesos críticos que deben evaluarse Revisar métricas de riesgo y categorización Revisar los controles claves existentes para mitigar los riesgos significativos Seleccionar riesgos y controles a ser considerados en el proceso de Auditoría Continua Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

27 Ejemplo Categoría de Riesgos Ejemplos de consideraciones de métricas y categorización de riesgos Estratégico Operativo Cumplimiento Financieros Riesgos relacionados con la implementación de estrategias de negocio equivocadas. Riesgos relacionados a la operación diaria del negocio. Riesgos relacionados a violar legislaciones relevantes y obligaciones contractuales. Riesgos relacionados a gestionar, controlar y reportar riesgos financieros. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

28 Ejemplo Escala de categorización de Riesgos Impacto El impacto a las operaciones del negocio y su habilidad para cumplir objetivos estratégicos. Bajo Moderado Alto Bajo impacto a las operaciones y la habilidad para cumplir con los objetivos estratégicos. Impacto considerable a las operaciones y la habilidad para cumplir con los objetivos estratégicos. Alto impacto a las operaciones y la habilidad para cumplir con los objetivos estratégicos. Probabilidad Posibilidaddequeeleventoocurraenlossiguientes1a3años Baja Bajaprobabilidaddequeocurraenlossiguientes1-3años. Media Alta Probabilidadmediadequeocurraenlossiguientes1-3años. Altaprobabilidaddequeocurraenlossiguientes1-3años. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

29 Ejemplo Mapa de Riesgos Escala de Categorización Probabilidad Probable Posible Impacto: El impacto a las operaciones del negocio y la habilidad de cumplir con los objetivos estratégicos. Probabilidad: Posibilidad de que el evento ocurra en 1 a 3 años Improbable Alto Medio Alto Impacto Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

30 Ejemplo Mapa de Riesgos Alta Los riesgos en esta categoría son significantes en consecuencias y amenazan la habilidad de la organización para cumplir sus objetivos estratégicos y son de alta probabilidad de ocurrencia. Medio Los riesgos en esta categoría pueden tener altas consecuencias pero son menos probables de que ocurran. Alternativamente, pueden tener bajas consecuencias pero con más probabilidad de ocurrencia. Bajo El riesgo en esta categoría tendrá consecuencias limitadas para que la organización cumpla sus objetivos estratégicos y son poco probables de que ocurran. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

31 Ejemplo Narrativas y Diagramas de Proceso CONTROL CONTROL Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

32 Ejemplo Modelo General de Matriz de Riesgos y Controles Modelo General de Matriz de Riesgos y Controles OBJETIVO DISEÑO DE PRUEBA DE DESCRIPCIÓN DEL IMPACTO TIPO DESCRIPCIÓN CONTROL RESPONSABLE DE DEL AUDITORÍA RIESGO PROBABILIDAD Automático CONTROLES CONTROL CONTINUA CATEGORÍA Manual EXISTENTES Preventivo Detectivo Correctivo Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

33 PRÁCTICA Las narrativas de procesos nos pueden ayudar a... a) Identificar controles claves b) Conocer más a las personas del proceso c) Saber cómo eliminar los riesgos d) Determinar el tiempo de la auditoría Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

34 PRÁCTICA Una matriz de riesgos y controles no necesita incluir... a) Dueños del control b) Tipo de riesgo c) Tiempo de existencia del control d) Si el control es manual o automático Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

35 Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles PLANIFICACIÓN DE LA AUDITORÍA Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte PLANIFICACIÓN DE LA AUDITORÍA CONTINUA Actividades Determinar el nivel de automatización de los controles claves Identificar y comprender si los controles claves están basados en datos de los Sistemas de Información (SI) Conocer y comprender las fuentes de datos de los SI Evaluar las herramientas de Auditoría Continua existentes (Desarrollo interno, análisis de datos, Business Intelligence, etc.) Evaluar competencias del personal de Auditoría Interna para realizar las pruebas de Auditoría Continua Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

36 Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles PLANIFICACIÓN DE LA AUDITORÍA Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte PLANIFICACIÓN DE LA AUDITORÍA CONTINUA Actividades Definir los objetivos de la Auditoría Continua Obtener aprobación del Comité de Auditoría, Alta Dirección y/o Junta Determinar el nivel en que la Administración ha implementado monitoreo continuo Considerar el área de Tecnología (TI) durante todo el proceso Determinar el alcance y nivel de frecuencia de las pruebas Establecer fuentes de información para realizar las pruebas Asegurar tener los accesos requeridos a dichas fuentes de información Determinar confiabilidad de los datos Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

37 PRÁCTICA Posibles fuentes de información para un esquema de auditoría continua pueden ser... a) Registros de acceso a una aplicación b) Creación de cuentas de cliente en el sistema c) Firmas de autorización en actas de trabajo d) Comprobantes de cheques firmados Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

38 Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles Planificación de la Auditoría EJECUCIÓN DE LA AUDITORÍA CONTINUA Evaluar Resultados y Emitir Reporte EJECUCIÓN DE LA AUDITORÍA CONTINUA Actividades Realizar pruebas sobre los controles identificados. Identificar desviaciones o deficiencias en los controles identificados. Investigar las razones de las deficiencias identificadas. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

39 Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles Planificación de la Auditoría Diseño de la Auditoría Continua EVALUAR RESULTADOS Y EMITIR REPORTE EVALUAR RESULTADOS Y EMITIR REPORTES Actividades Establecer niveles de prioridad sobre los resultados. Preparar recomendaciones y emitir informes. Re-evaluar y actualizar (de ser necesario) el diseño de las pruebas de Auditoría Continua. Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

40 RESULTADOS/DESARROLLO DE PRUEBAS Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

41 Establecer niveles Establecer por ejemplo, tres (3) niveles para la medición de los posibles hallazgos identificados: Nivel 1= Envío de la situación al dueño del proceso con copia a su superior. Esto Implicaría la resolución inmediata del problema y posible llamado de atención verbal. Nivel 2= Envío de la situación al encargado del área con copia a la Alta Dirección. Integraría la resolución inmediata del problema y un llamado de atención escrita. Nivel 3= Envío de la situación al encargado del Área con copia al Comité de Auditoría. Esto contemplaría la resolución inmediata del problema y notificación escrita con copia al expediente de las personas involucradas. FUENTE: Cobit 4.1 Resumen Ejecutivo, ISACA Todos los derechos reservados. Prohibida su reproducción no autorizada.

42 Desarrollar pruebas: Creación de proveedores Objetivo de la Prueba: Verificar que se de una depuración oportuna de la información de los maestros de proveedores, y asegurar la calidad e integridad de los datos de proveedores. Pruebas a realizar: Obtener los maestros de proveedores en los sistemas correspondientes y verificar: Que no existan proveedores que no hayan sido utilizados en un periodo. Que no existan proveedores duplicados (por número de auxiliar, NIT, nombre -similitud-, cuenta bancaria, etc.), o con información faltante (descripción, cuenta, nombre genérico). Que no existan auxiliares vigentes correspondientes a empleados con estatus de BAJA Que no existan auxiliares de proveedores correspondientes a empleados (activos o inactivos). Frecuencia Sugerida: Diaria Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC y del personal de empresa en sistema XYZ. Todos los derechos reservados. Prohibida su reproducción no autorizada.

43 Desarrollar pruebas: Procesamiento de Pagos Objetivo de la Prueba: Identificar de forma oportuna la ejecución de pagos duplicados. Pruebas a realizar: Obtener el listado de pagos diarios y verificar que no existan pagos duplicados en un periodo determinado. Identificar pagos duplicados a proveedores. Pagos realizados en Panamá al mismo proveedor en otras ubicaciones. Posibles pagos en la cta. x pagar de proveedores y en otra diferente. Posibles cargos a la cta. de gastos y a la cta. x pagar de proveedores. Coincidencia por Auxiliar, Factura, Descripción, Monto, Finiquito. Asegurar la revisión de las cuentas por pagos duplicados en moneda local y en dólares. Identificar pagos de los sistemas ABC, realizados también por Cheques manuales. Frecuencia Sugerida: Diaria Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC Todos los derechos reservados. Prohibida su reproducción no autorizada.

44 Desarrollar pruebas: Ejecución de Pagos Objetivo de la Prueba: Asegurar que los pagos sean aprobados por personal autorizado y de acuerdo a los montos. Pruebas a realizar Verificar la autorización de los pagos en banco de acuerdo a los niveles y montos autorizados. Adicional, verificar que no existan pagos fraccionados que superen los límites de autoridad. Frecuencia Sugerida: Diaria Alcance: Bases de datos del sistema XYZ Todos los derechos reservados. Prohibida su reproducción no autorizada.

45 Resultados de Auditoría Continua de Pagos 1. Comparación Mensual de Excepciones 2. Excepciones del sistema de contabilidad 3. Excepciones del sistema para pago de proveedores internacionales Todos los derechos reservados. Prohibida su reproducción no autorizada.

46 Proceso de Pago a Proveedores Todos los derechos reservados. Prohibida su reproducción no autorizada.

47 Comparación Mensual de Excepciones Auditoría Continua - Proceso de Pagos Sistema CG CitiDirect Enero Febrero Marzo Abril Mayo Junio Julio Excepciones mensuales identificadas entre Enero y Julio 2013 Todos los derechos reservados. Prohibida su reproducción no autorizada.

48 Excepciones del sistema de contabilidad Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

49 Todos los derechos reservados. Prohibida su reproducción no autorizada. Pagos a Proveedores Enero 13 Febrero 13 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13 Pago a Empleados Registrados como Proveedor Pagos Sin Numero de Docs

50 Pagos a Empleados Registrados como Proveedor Cierre de Julio 2013 Auxiliar Empleado Comprobante Status Tipo Codigo Nombre NIT Zona ID Estado Cedula Empresa Fecha Numero Importe V PN DANIELA BRANDIMARTI ATORP ACTIVO HEADQ V PN PAGES DEBORA ATOPE ACTIVO HEADQ V PN MARTHA SOFIA ANDA LOPEZ CGAPE ACTIVO HEADQ V PN WILSON DANIEL BRIONES ECHEVERRIA COMPE ACTIVO HEADQ V PN CONTRERAS CHACON LILIAN VANESSA ATOPE ACTIVO HEADQ V PN JUAN FRANCISCO CONFIDENCIAL TROYA SZTANKAY COMPE ACTIVO HEADQ V PN CAMARGO GONZALEZ SANDRA LETICIA PMAPE ACTIVO CMCOL V PN RICARDO VIERA ATOPE ACTIVO HEADQ V PN LEONARDO BUSTAMANTE ATOPL ACTIVO HEADQ V PN ANDREA FERREIRA COMPL ACTIVO HEADQ Transacciones de Pagos realizadas a Empleados que se encuentran registrados en el Sistema de contabilidad con un Auxiliar tipo Proveedor. Todos los derechos reservados. Prohibida su reproducción no autorizada.

51 Revisión de Proveedores Empleados Registrados como Proveedores Nit Duplicados Nombre de Proveedor Duplicado Proveedores Sin Dirección Proveedores Sin Nit Empleados Inactivos con Status Vigente en CG Enero 13 Febrero 13 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13 Todos los derechos reservados. Prohibida su reproducción no autorizada.

52 Excepciones del sistema para pago de proveedores internacionales Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

53 Revisión de Usuarios Usuarios No Autorizados para Realizar Pagos Usuarios No Autorizados para Aprobar Pagos Enero Febrero Marzo Abril Mayo Junio Julio Todos los derechos reservados. Prohibida su reproducción no autorizada.

54 Revisión de Usuarios Cierre de Julio 2013 Usuarios No Autorizados para Realizar Pagos Nombre Apellido Activo Perfil ID Posición Estatus GABRIELA - GRU DE OLIVEIRA Y GRU PAGOS CTA ROT IMPORTACION CONTADOR ACTIVO HELEN CONFIDENCIAL LACERDA FARIAS - GRU Y GRU PAGOS CTA ROT IMPORTACION CONTADOR ACTIVO NANCY UREÑA Y PTY PAGOS DE ESTACIONES IMPORTACION ANALISTA DE PLANILLAS ACTIVO Todos los derechos reservados. Prohibida su reproducción no autorizada.

55 Revisión de Proveedores Proveedor Vigente No Registrado en CG Proveedor Vigente Inactivo en CG Número de Proveedor de Citi Diferente al CG Proveedores Duplicados Proveedores con Cuenta Duplicada Proveedores con Info. Incompleta Enero Febrero Marzo Abril Mayo Junio Julio Todos los derechos reservados. Prohibida su reproducción no autorizada.

56 OTROS EJEMPLOSDE MODELOS DE AUDITORIA CONTINUA Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.

57 Proceso de Compensación a Pasajeros Todos los derechos reservados. Prohibida su reproducción no autorizada.

58 Proceso de Compensación a Pasajeros Todos los derechos reservados. Prohibida su reproducción no autorizada.

59 Efectividad vs Total de inconsistencias (Excepciones otorgadas en reservas) Todos los derechos reservados. Prohibida su reproducción no autorizada.

60 Efectividad vs Total de inconsistencias (Excepciones otorgadas en reservas aeropuerto) Todos los derechos reservados. Prohibida su reproducción no autorizada.

61 Excepciones sin código definido Todos los derechos reservados. Prohibida su reproducción no autorizada.

62 Excepciones con código inválido. Todos los derechos reservados. Prohibida su reproducción no autorizada.

63 Algunos beneficios de la Auditoría Continua Aumento de la eficiencia y eficacia en el trabajo de Auditoría Interna Mayor profundidad y alcance Detección temprana de incidencias Reducción de gastos de viaje(traslado de auditores) Mejora del entorno global de control. ERM Refuerza aún más la objetividad y la independencia de Auditoría. Todos los derechos reservados. Prohibida su reproducción no autorizada.

64 PRÁCTICA Beneficios de un esquema de Auditoría Continua pueden ser... a) Garantía de evitar excepciones en los procesos b) Respuesta rápida y ágil a las excepciones de los controles c) Mayor efectividad de los controles d) Eliminación de riesgos identificados Todos Global los Advisory derechos Solutions. reservados. Todos Prohibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada.

65 FACTORES DE ÉXITO

66 Factores de éxito COPA Airlines Alineación con la estrategia del negocio. Camino recorrido. Matrices riesgo-control-test Ley Sarbanes-Oxley Certificación de Calidad Inventario de TAAC s Nuevos skills auditor Tecnología. Cultura organizacional de control. Apoyo del Comité de Auditoría y de la Alta Gerencia. Equipo de proyecto: auditores de TI y auditores financieros. Actualización de las reglas de negocio: administración cambios en los modelos. Todos los derechos reservados. Prohibida su reproducción no autorizada.

67 PRÓXIMOS PASOS

68 Próximos pasos Plan de Auditoría Auditorías cuando se dan cambios importantes en los perfiles de riesgo más que por planes anuales tradicionales. De acuerdo al nivel de riesgo será la respuesta de auditoría en intensidad y urgencia. Algunas auditorías completas, otras cortas que requieren una respuesta de la Administración. Evaluación continua para medir el nivel de riesgo inherente (indicadores), con el fin de que las auditorías planificadas aborden los riesgos actuales o emergentes. Nivel de detalle de la AC proporcional al nivel de confianza en el monitoreo continuo por parte de la Administración. Aseguramiento continuo. Apalancar AC con la nueva tecnología. Auditoría virtual?. Todos los derechos reservados. Prohibida su reproducción no autorizada.