DCS

Departamento de Control
de Gestin y Sistemas de
Informacin

Monitoreo y Auditora Continua

Conceptos y fundamentos

Julio 2016
Agenda del da
Conceptos y fundamentos
Monitoreo Continuo
Auditora Continua

Experiencia en modelo de deteccin oportuna y tendencia a la

prediccin de fraudes

Ejemplo de aplicacin del modelo de monitoreo continuo

8/5/16 2
Evolucin

Predictivo
Respuesta Alertas

Cobertura de Riesgos

Plan Anual

Anticipacin

Cobertura de Procesos Oportunidad

Plan de Largo Plazo Deteccin

8/5/16 3
 Marco Conceptual GTAG 3

Se establece el modelo de auditora continua de Aseguramiento Continuo a travs de Auditoria

forma progresiva y transversal a las 3 lneas de Interna
defensa
Se establece un proceso de monitoreo continuo
en las primera y segunda lnea de defensa 3 Lnea de Defensa
Pruebas de
En la tercera lnea de defensa, se establece un Auditora Interna
Auditoria sobre
proceso gradual de implementacin del modelo, 1 y 2 lneas Tcnicas Auditora
pasando de un proceso de planificacin 2 Lnea de Defensa de Continua
tradicional de auditora interna a la Auditora Supervisin de Auditora
Continua Riesgos y Controles Continua Monitoreo
permanente
Auditora Interna logra un aseguramiento Monitoreo de riesgos y
continuo a travs de tcnicas de Auditora 1 Lnea de Defensa Continuo controles
Continua y Pruebas sobre el monitoreo continuo Controles de Lnea
realizado por la 1 y 2 lneas de defensa.
El objetivo es tener una adecuada cobertura de
riesgos y de la efectividad de los controles, sobre
una base continua, reduciendo el tiempo de
respuesta de la funcin de auditora, y asignando
eficientemente los recursos disponibles.
Obtener mayor cobertura

Indicadores de Riesgos

Tiempo dedicado
Operacionales al plan

Financieros 100%

Base de Cumplimiento
Riesgos Riesgos
Reputacin Contingentes

Fraude Priorizacin Planificacin

Tradicional
0%
Tiempo
Implementacin Monitoreo
Continuo
8/5/16 5
Obtener Oportunidad en la Deteccin

Indicadores de Control

Detectar instancia

Sobre controlado

Nivel ptimo

Sub controlado

Revisin Revisin
Independiente Independiente

Objetivo Minimizar Brecha

El proceso

8/5/16 7
Porque Monitoreo y Auditora Continua

Monitoreo Tradicional
Requiere dedicacin del supervisor para:
Obtener datos,
Analizar,
Descartar, Mayor tiempo
dedicado a
Uso de herramientas de anlisis de datos,
obtener y
Trabajo rutinario y repetitivo,
procesar
Prdida de foco de atencin sobre la gestin del negocio
informacin

Plazos de deteccin: Tarda

Tiempo de respuesta: Tarda
Claridad en reportar excepciones: Dificultad en reporte,
inconsistente Tiempo
Demora en mostrar retorno sobre el control aplicado reducido para
anlisis y
respuesta
8/5/16 8
Porque Monitoreo y Auditora Continua

Auditora Tradicional
Requiere dedicacin del auditor para:
Obtener datos,
Analizar documentacin,
Determinar validez de la informacin, Mayor tiempo
Detectar desviaciones del procedimiento, dedicado a
obtener y
Confiabilidad de la informacin obtenida: Baja procesar
Pruebas de cumplimiento: En base a muestras informacin
Evaluacin del riesgos: Estimacin sin determinar tendencia
Pruebas sustantivas: En base a muestras
Materializacin del riesgo: Estimado en base a nivel de confianza de la
muestra
Generacin de reporte: manual Tiempo
Reiteracin de auditora sobre el proceso: Anual, si es que se mantiene reducido para
como prioridad ao a ao anlisis y
respuesta
8/5/16 9
El proceso

8/5/16 10
Porque Monitoreo y Auditora Continua
Monitoreo Continuo
Requiere dedicacin del supervisor para:
Analizar resultado de datos ya procesados
Determinar naturaleza de las desviaciones Mayor tiempo
Toma de decisiones: Error o Irregularidad dedicado a
Anlisis y
Determinacin de causa raz
respuesta
Presentar resultados

Plazos de deteccin: En lnea

Tiempo de respuesta: Oportuna
Claridad en reportar excepciones: Estandarizado Tiempo
Rpido retorno del control aplicado reducido para
obtener y
procesar
8/5/16 11
Porque Monitoreo y Auditora Continua
Auditora Continua
Requiere dedicacin del auditor para:
Ejecutar el script solo en caso que no est schedulado
automticamente,
Interpretacin de resultados, Mayor tiempo
Verificacin de acciones tomadas por la primera lnea de defensa, dedicado a
Verificar la aplicacin consistente de controles,
Anlisis y
respuesta
Confiabilidad de la informacin obtenida: Alta
Pruebas de cumplimiento: al 100%
Evaluacin del riesgos: Estimacin basada en 100% de
casos y permite determinar tendencias
Pruebas sustantivas: al 100%
Materializacin del riesgo: Valor exacto de la desviacin
Tiempo
Generacin de reporte: Automtico
reducido para
Reiteracin del control sobre el proceso: Permanente obtener y
procesar
8/5/16 12
 Identificacin de riesgos factibles de monitoreo
continuo

Recurso

Group Company: Back to Menu

Segment:
Period:
Generate Report
Total number of project days 217
Days required for Follow up -
Total available to perform IAP 217

Days Contracted

In Audit Scope
Acumulated
Field Work

Post Audit
Pre Audit
Sub

Priority
To be Included in the

Total
Processes Subprocesses IA Plan

Recurso Recurso
1. Marketing and Sales 1.3 Pricing (incl. rebates and discounts) 3 15 3 21 21 Included 1 Y

Proceso
1. Marketing and Sales 1.4 Selling and account management 3 16 5 24 45 Included 1 Y
1. Marketing and Sales 1.6 Sales service 3 6 3 12 57 Included 1 Y
8. Purchasing 8.4 Purchasing of goods & services 2 20 3 25 82 Included 1 Y
2. Manufacturing 2.4 Inventories 3 20 3 26 108 Included 1 Y
2. Manufacturing 2.2 Maintenance 2 22 3 27 135 Included 1 Y
6. Human Resources 6.2 Payroll 2 15 3 20 155 Included 1 Y
8. Purchasing 8.5 Contracting services 2 15 3 20 175 Included 1 Y
8. Purchasing 8.2 Vendor selection 3 10 3 16 191 Included 2 Y
5. Finance & Controlling 5.3 Accounts receivables & credit mgt. 3 20 3 26 217 Included 2 Y
3. Logistics 3.1 Terminal operations 3 20 3 26 243 Not Included 2 Y
1. Marketing and Sales 1.5 Sales order management 3 12 3 18 261 Not Included 2 Y
5. Finance & Controlling 5.1 Treasury and cash management 3 12 3 18 279 Not Included 2 Y
5. Finance & Controlling 5.9 Capital expenditure 3 10 3 16 295 Not Included 2 Y
6. Human Resources 6.5 Loans and advances 3 10 3 16 311 Not Included 2 Y
5. Finance & Controlling 5.6 Financial accounting & fixed assets 2 10 5 17 328 Not Included 2 Y
3. Logistics 3.2 Intra-company shipping 3 20 3 26 354 Not Included 2 Y
6. Human Resources 6.8 Health & Safety 3 15 3 21 375 Not Included 2 Y
5. Finance & Controlling 5.2 Accounts payables 3 20 4 27 402 Not Included 2 Y
3. Logistics 3.3 Shipping to customers 3 20 4 27 429 Not Included 2 Y
5. Finance & Controlling 5.7 Cost accounting & controlling 3 20 4 27 456 Not Included 2 Y
2. Manufacturing 2.7 AFR 3 15 4 22 478 Not Included 2 Y

Eecurso
5. Finance & Controlling 5.8 Taxation 3 10 3 16 494 Not Included 2 Y

El modelo propuesto est
estructurado para asegurar la
Universalidad de la organizacin,
a travs de la identificacin de
procesos y subprocesos va
Cadena de Valor del negocio.
Se realiza un recorrido de los
productos y servicios para
determinar la cadena de valor,
identificando procesos Core,
Soporte o Estratgicos
Para cada sub proceso, se realizan
talleres con usuarios claves, con la
finalidad de identificar los riesgos
operacionales a travs de:
Identificacin de recursos
utilizados en el subproceso
Eventos que pueden afectar los
recursos del subproceso
Ubicacin fsica de las
actividades de riesgos
Cada riesgo operacional es
evaluado de forma inherente segn
matriz de evaluacin diseada para
la organizacin.
Se identifican los controles
establecidos para mitigar los riesgos
y se evala su diseo para
determinar el nivel de exposicin
residual de cada riesgo, y de cada
subproceso a travs de una frmula
predefinida
Utilizando los resultados de la
evaluacin de los riesgos
residuales, se genera una lista
priorizada de procesos y
subprocesos, identificando
aquellos que se encuentran
mas expuestos y los riesgos
que requieren ser mitigados
con mayor prioridad.
Metodologa y enfoque

Categorizacin de Riesgos / Controles

Procesos y Subproce Identificados y Priorizados en

Clasificacin Riesgos: Clasificacin de Seleccin de Riesgos y

Verificacin de Riesgos Identificacin de
Automticos / Controles Automticos Controles a
Operacionales Controles
Manuales / Manuales monitorear

Determinacin de
base a Riesgos

procesos a
Estrategia de Auditora Interna incorporar en
plan tradicional y
procesos a
Procedimientos
Planificacin de Determinacin Desarrollo de
manuales y muestrales
Determinacin de incorporar a
Auditora Objetivos y Alcance Programas de Trabajo Cobertura de riesgos auditora
vs monitoreo continuo
continua

Proceso de implementacin del monitoreo continuo en 1 y 2 lnea de defensa,

comunicacin y gestin del cambio.
Factores a considerar

Riesgos Controles

Actividad de Riesgo Automtica Control Automtico

Masividad de la actividad de riesgo Preventivo

Impacto del Riesgo Redundancia de Control

Historia de errores / irregularidades Efecto de mitigacin

 Metodologa para Auditora Continua
Categorizacin de Riesgos Obtencin de Datos Anlisis de Indicadores Monitoreo Continuo

Desarrollo de flujo del proceso desde el Identificar sistema fuente y flujo de datos Desarrollo de reglas de negocio, con ajustes Establecimiento de la organizacin requerida
sistema fuente requeridos iterativos para el modelo
Elementos Crticos

Identificar riesgos y controles de los procesos Extraccin de datos y verificacin de Desarrollo del modelo analtico para determinar Aplicacin del modelo para el monitoreo
a ser evaluados con pruebas analticas integridad de datos y pruebas requeridas anomalas continuo

Determinar pruebas analiticas alineadas con Anlisis y verificaciones para detectar Identificar y tratar hallazgos en los procesos
Determinar causa raz de anomalas detectadas
los controles y reglas de negocio desviaciones de los datos obtenidos y gestin del cambio

Desarrollo de alertas Reportes de Excepcin

Inputs

Mapa de procesos ETL

Flujos de procesos Fuente de Datos

Requerimientos y
especificaciones de datos
Resultados

Reportes de Excepcin

Anlisis de datos Indicadores y Alertas

 DCS
Departamento de Control
de Gestin y Sistemas de
Informacin

reas de aplicacin
 reas de aplicacin

Fraudes Compliance Operaciones en lnea

Esquemas de Fraude Riesgos Normativos Operaciones de clientes

Patrones de conducat Controles para el Cumplimiento Uso de sistemas

Pistas en los sistemas Tendencia de sanciones Acceso a sistemas

Historia Eventos frecuentes Operaciones inusuales

Riesgos Operacionales
Errores Prdidas / Mermas Desviaciones
Ejemplo Gestin de Cumplimiento ISO 19.600
Alta Direccin Direccin y Gobernabilidad del Compliance

Identificacin de
Stakeholders

Autoridad y recursos
Independencia
Acceso Directo

Requisitos de Stakeholders

Compromisos de
Requerimientos legales
cumplimiento

Determinacin

Compromisos
Requisitos

del Alcance

Sistema de Gestin de
Cumplimiento

Obligaciones de Compliance
Ejemplo Gestin de Cumplimiento ISO 19.600

Sistema de Gestin de Cumplimiento

Obligaciones de Compliance

Riesgos de Cumplimiento

Transformar Obligaciones en Sanciones, Reputacin,

Riesgos Permisos, Ambiental

Evaluacin de Riesgos Matriz de Evaluacin de

Riesgos

Monitoereo de Riesgos Indicadores

Operacin del Sistema de Gestin de Cumplimiento

 DCS
Departamento de Control
de Gestin y Sistemas de
Informacin

Conclusiones
En la ejecucin de Auditora con Monitoreo Continuo

Programa de Auditora
Riesgos a Auditar en Controles Asociados Prueba de Pruebas Sustantivas
el proceso a Riesgos Cumplimiento
Control Pruebas Pruebas asociadas a
Riesgo Pruebas
Control Pruebas riesgos y controles
monitoreados
Control Pruebas
Riesgo Pruebas continuamente,
Control Pruebas
reducen el tiempo de
Control Pruebas ejecucin de la
Riesgo Pruebas
Control Pruebas auditoras.
Control Pruebas
Riesgo Pruebas La auditora en estos
Control Pruebas
casos se limita a
Control Pruebas
Riesgo Pruebas verificar que la
Control Pruebas
primera lnea ha
Control Pruebas tomado las medidas
Riesgo Pruebas
Control Pruebas correspondientes.
En la planificacin de Auditora con Auditora Continua

Procesos Riesgos Controles

Riesgo Control Los controles que son
Procesos
Riesgo Control auditados de forma
continua, no son
Riesgo Control
Procesos considerados en el
Riesgo Control
alcance de las
Riesgo Control revisiones, por lo que
Procesos
Riesgo Control reduce el tiempo
Riesgo Control necesario para
Procesos auditarlos.
Riesgo Control
Esto permite aumentar
Riesgo Control
Procesos los proyectos que son
Riesgo Control
incorporados al plan
Riesgo Control anual de auditora
Procesos
Riesgo Control interna
Algunos Riesgos de Auditora y Monitoreo
Continuo
Cambios en los procesos pueden dejar obsoletos los indicadores.

La primera lnea de defensa puede descansar excesivamente en el

monitoreo de la segunda lnea y estas dos a su vez en la Auditora
Continua.

Dejar de realizar revisiones tradicionales en procesos con riesgos

y/o controles incluidos en el modelo.

Utilizar indicadores no depurados, que generan alertas excesivas

afectando la eficiencia del proceso.
8/5/16 24