Auditoría Continua Pablo G. Nessier Marcos F. Schnider
Por qué incorporar Auditoría Continua (AC)? Según la GTAG 3 La organización lo necesita Los avances en tecnología lo permiten Adicionalmente El contexto externo condiciona Nuestra expectativa profesional lo requiere La Alta Dirección lo exige
Definiciones previas (1): 1. Auditoría Continua: evaluaciones permanentes de riesgos y controles mediante el uso de Tecnología por parte de la Gerencia de Auditoría Interna. 2. Monitoreo Continuo: evaluaciones permanentes de riesgos y controles mediante el uso de Tecnología por parte de la Gerencia de Línea. 3. Aseguramiento Continuo: Existencia concomitante de Auditoría Continua (1) y la función de Monitoreo Continuo (2) auditada.
Definiciones previas (2): Modelo de tres líneas de defensa: ECCIA-FERMA (Sep-10); BIS (Sep-11); IIA/PP (Ene-13).
Antecedentes de AC 1986/91: AT&T + Universidad Rutgers 2005: IIA GTAG#3 2010: ICAA 2013: COSO ERM 2015: IIA GTAG#3 2da Edición 2002: Sarbanes Oxley S404 y S409 2006/09: COSO Monitoring 2010: ISACA - Guía 42 2014: IAI España 2006/09 2010 1992: Modelo de Control COSO 2010: Modelo de las Tres Líneas de Defensa
GTAG 3 (1ra edición - 2005): Implicancias para el aseguramiento, monitoreo y evaluación de riesgos Centrada en las ventajas del monitoreo transaccional. Enmarca la Auditoría Continua en el modelo COSO (1992). Brinda receta de pasos claves Incluye un Self Assessment sobre Auditoría Continua para conocer el estadío: Introductorio Moderado Integrado / avanzado
GTAG 3 (2da edición - 2015): Coordinar Auditoría Continua y Monitoreo para proveer Aseguramiento Continuo Basa su Marco de Control en el modelo de las 3 LD Muestra el potencial del Aseguramiento Continuo (existiendo Monitoreo Continuo en 1 y 2 LD). Incorpora otras fuentes de datos, además de los transaccionales Delimita funciones y responsabilidades Perfecciona la receta de pasos claves Brinda marcos Básico y Optimizado de Aseguramiento Continuo Aplicaciones prácticas de Auditoría Continua (plan, ejecución, seguimiento de observaciones)
Definición de roles y responsabilidades ROL RESPONSABILIDADES Garantizar Presupuesto y Seguridad de Datos. Capacidad + Herramientas = Credibilidad Director Ejecutivo de Auditoría Educar a Auditores, Auditados y Directores sobre las funciones de AI y las Gerencias Comprometer estrategia a largo plazo Comunicar los resultados Auditores Internos Planear el procedimiento de Auditoría Continua. Ejecutar la AC (considerar negocios, riesgos y controles y riesgos emergentes) Efectuar pruebas de cumplimiento sobre el Monitoreo Continuo. Aseguramiento sobre Integridad, Exactitud y Seguridad. Resguardar la seguridad de los datos. Gerencias de línea 1ra y 2da LD Diseñar y realizar monitoreo continuo (gestión de riesgos y controles) Hacer uso de los conocimientos de Gestión de Riesgos. Abordar las causas-raiz de los problemas. Acortar el tiempo en la toma de acciones.
Framework Aseguramiento continuo Pruebas de auditoría sobre los monitoreos continuos de la primera y segunda líneas de defensa. Auditoría Continua 3er Línea Auditoría Interna (Evaluación independiente) 2da Línea Funciones de supervisión de riesgos y controles (p.e.: Compliance) 1er Línea Controles de línea (p.e.: Gestión operativa) Pruebas de auditoría de la 1er y 2da línea de defensa Monitoreo Continuo Técnicas de Auditoría Continua Auditoría Continua Permanente evaluación de riesgos y controles
Relación de esfuerzos De las Gerencias (1er y 2da LD) De Auditoría (3er LD)
Los Key Steps Pasos Claves para implementación 1 Establecer una estrategia de Auditoría Continua: Coordinar con la primer y segunda línea de defensa Establecer prioridades y obtener apoyo de la gerencia Adaptar el plan anual de auditoría para especificar indicadores en curso 2 Adquirir datos para uso rutinario Establecer rutinas de acceso al ambiente productivo Desarrollar capacidades de análisis Desarrollar habilidades y conocimientos técnicos de auditoría Evaluar la fiabilidad de las fuentes de datos Preparar y validar los datos 3 Construir indicadores de Auditoría Continua Evaluación de Riesgos Desarrollar indicadores de riesgo Diseño de análisis para medir los niveles de riesgo se incrementaron Evaluación de Controles Relativo a Objetivos de control Determinar controles clave Evaluar la condición de línea base y cambios en los controles 4 Informar y gestionar los resultados Establecer una metodología repetible Reportar resultados Facilitar acciones de gestión Alinearse con monitorización continua y adaptar la estrategia de auditoría continua
Los Key Steps (GTAG3.2e) 1 Establecer una estrategia de Auditoría Continua: Coordinar con la primer y segunda línea de defensa Coordinar con la primer y segunda línea de defensa Establecer prioridades y obtener apoyo de la gerencia Adaptar el plan anual de auditoría para especificar indicadores en curso Dependerá de la madurez de la organización: Si no están claramente definidas las líneas de defensa? Qué coordinar con la 1ra y 2da línea de defensa?
Los Key Steps (GTAG3.2e) 1 Establecer una estrategia de Auditoría Continua: Coordinar con la primer y segunda línea de defensa Establecer prioridades y obtener apoyo de la gerencia Adaptar el plan anual de auditoría para especificar indicadores en curso Establecer prioridades y obtener apoyo de la gerencia Proyecto de Auditoría Continua debe contemplar: Estructura (RRHH) Equipamiento Sistemas aplicativos Cambios metodológicos Capacitaciones específicas El clave lograr el apoyo del Comité de Auditoría.
Los Key Steps (GTAG3.2e) 1 Establecer una estrategia de Auditoría Continua: Coordinar con la primer y segunda línea de defensa Establecer prioridades y obtener apoyo de la gerencia Adaptar el plan anual de auditoría para especificar indicadores en curso Adaptar el plan anual de auditoría para especificar indicadores en curso Los resultados deben retroalimentar el planeamiento (alcance y oportunidad de procedimientos). Este paso no resulta de aplicación para el inicio del proyecto.
Los Key Steps (GTAG3.2e) 2 Adquirir datos para uso rutinario Establecer rutinas de acceso al ambiente productivo Establecer rutinas de acceso al ambiente productivo Desarrollar capacidades de análisis Desarrollar habilidades y conocimientos técnicos de auditoría Evaluar la fiabilidad de las fuentes de datos Preparar y validar los datos Indispensable: accesos de lectura a los datos de origen Mantener el debido cuidado de seguridad y privacidad de los datos.
Los Key Steps (GTAG3.2e) 2 Adquirir datos para uso rutinario Desarrollar capacidades de análisis Desarrollar habilidades y conocimientos técnicos de Establecer rutinas de acceso al ambiente productivo Desarrollar capacidades de análisis Desarrollar habilidades y conocimientos técnicos de auditoría auditoría Evaluar la fiabilidad de las fuentes de datos Preparar y validar los datos La eficiencia de Auditoría Continua depende fuertemente de las capacidades de los recursos. Todo el equipo debe poseer: Comprensión del negocio. Conocimientos de los sistemas y del modelos de datos. El APETITO de hacer más eficiente su Auditoría.
Los Key Steps (GTAG3.2e) 2 Adquirir datos para uso rutinario Establecer rutinas de acceso al ambiente productivo Desarrollar capacidades de análisis Desarrollar habilidades y conocimientos técnicos de auditoría Evaluar la fiabilidad de las fuentes de datos Preparar y validar los datos Evaluar la fiabilidad de las fuentes de datos Preparar y validar los datos Acceso independiente a los datos Repositorio propio Considerar diversos orígenes
Los Key Steps (GTAG3.2e) 3 Construir indicadores de Auditoría Continua Evaluación de Riesgos Evaluación de Riesgos Desarrollar indicadores de riesgo Diseño de análisis para medir los niveles de riesgo se incrementaron Evaluación de Controles Relativo a Objetivos de control Determinar controles clave Evaluar la condición de línea base y cambios en los controles Indicadores que monitorean los riesgos identificados: Considerar si las variaciones ameritan concretar cambios en la planificación de auditoría. Ejemplos: evolución de la mora por línea de producto, volumen de transacciones en recicle, volumen relativo de producto.
Los Key Steps (GTAG3.2e) 3 Construir indicadores de Auditoría Continua Evaluación de Riesgos Desarrollar indicadores de riesgo Diseño de análisis para medir los niveles de riesgo se incrementaron Evaluación de Controles de Controles Relativo a Objetivos de control Determinar controles clave Evaluar la condición de línea base y cambios en los controles Determinar controles claves Identificar cambios en los controles. Considerar la frecuencia y magnitud de los mismos.
Los Key Steps (GTAG3.2e) 4 Informar y gestionar los resultados Establecer una metodología repetible Establecer una metodología repetible Reportar resultados Facilitar acciones de gestión Alinearse con monitorización continua y adaptar la estrategia de auditoría continua Es deseable un marco metodológico para: Reporte y gestión oportuna de los casos. Facilitar análisis de causa raíz (diseño). Registrar y hacer seguimiento de los planes de acción. Con administración manual la carga de trabajo crece proporcionalmente a los indicadores
Los Key Steps (GTAG3.2e) 4 Informar y gestionar los resultados Establecer una metodología repetible Reportar resultados resultados Facilitar acciones de gestión Alinearse con monitorización continua y adaptar la estrategia de auditoría continua Exponer resultados según destinatarios: Información resumida para determinados niveles Información detallada para la línea
Los Key Steps (GTAG3.2e) 4 Informar y gestionar los resultados 4 Informar y gestionar los resultados Establecer una metodología repetible Facilitar Reportar resultados acciones la Gerencia de gestión Facilitar acciones de gestión Alinearse con con monitorización monitorización continua y adaptar continua la estrategia y adaptar de auditoría la continua estrategia de auditoría continua Cada plan de acción debe tener un dueño, responsable hasta su remediación. La línea, a través de su monitoreo continuo debe asegurar que la solución se sostiene en el tiempo. Permanecer atentos a: Variaciones en riesgos y controles. Variaciones en los esfuerzos de Monitoreo Continuo.
Aplicaciones prácticas de AC MOMENTO PLAN EJECUCIÓN SEGUIMIENTO UTILIDAD Identificar indicadores de riesgo Evaluar los desvíos Definir alcance, enfoque y oportunidad Evaluar y dimensionar riesgos Profundizar alcance y objetivos Determinar ubicaciones específicas a auditar Concretar Revisiones analíticas Determinar si se implementaron las recomendaciones Identificar si la remediación reduce el nivel de riesgo Establecer puntos de partida y comparar resultados
Guía para implementar Auditoría Continua Eminentemente práctica Brinda un decálogo de Buenas Prácticas Distingue entre Monitoreo (Línea) y Auditoría Continua Plantea un modelo de madurez (5 niveles) Respeta el modelo de 3 Líneas de Defensa Brinda asesoramiento para elegir la herramienta Incluye un ejemplo práctico de implementación
Guía para implementar Auditoría Continua Decálogo de Buenas Prácticas de AC (1/2) Considere a la AC un proyecto estratégico Defina desde el primer momento cómo medir la rentabilidad AC no es sinónimo de reducción de personal : que no sea su objetivo Un conjunto de consultas no es un modelo de AC Defina el modelo antes de los indicadores
Guía para implementar Auditoría Continua Decálogo de Buenas Prácticas de AC (2/2) Involucre al Departamento de TI cuanto antes Las áreas de negocio son una fuente de ideas Cuanto más configurable sea, mucho mejor Tenga cuidado con el umbral de tolerancia Su negocio no deja de evolucionar, acompáñelo con su modelo
Guía para implementar Auditoría Continua Modelo de madurez planteado Niveles: Considera: Básico Las herramientas utilizadas Evolutivo Enfoque de Auditoría Establecido Avanzado Liderazgo Cobertura de testeos AC/Tradic Existencia de procedimientos Recursos afectados Los usuarios de la metodología