Está en la página 1de 23

Niveles de madurez en

la función de Auditoría
Interna

Kori Liz Silva

Agosto 10, 2015


Autoevaluación 1
Contenido Transformación de la metodología de
2
Auditoría Interna

Perspectiva de los niveles de madurez 3

Capacidades analíticas 4

Preguntas estratégicas 5

Un camino de transformación enfocado


6
hacia una auditoria con análisis de datos

Desafíos clave 7

Conclusiones 8
Niveles de madurez de la Función de
Auditoría Interna

“Al comenzar con las fases de una metodología


de auditoría interna común y la identificación de
las características en los diferentes niveles de
madurez, una organización puede identificar
puntos de integración lógicos para un uso de
análisis de datos repetibles y sostenibles,
auditoría continua y otras iniciativas
relacionadas”
Autoevaluación

https://www.youtube.com/watch?v=gAHRQaPF7n0

● ¿Conoces el nivel de madurez de tu función de Auditoría Interna?


– Determinar las brechas en el enfoque que hay que abordar con el fin de alcanzar el estado
futuro deseado.
– No todas las organizaciones requieren el mismo nivel de madurez
● Presión continua de “hacer más con menos”
● Expectativas de agregar valor + agregar valor + agregar valor
● Mayor énfasis en gestión de riesgos y gobierno

3
Transformación de la metodología de auditoria

● Enfoque táctico y técnico relacionado al


¿Por qué las análisis de datos en cuanto a la planificación
organizaciones no pueden y ejecución de auditorías.
obtener múltiples
beneficios de la auditoría ● No conectar o combinar el uso del análisis
enfocada al análisis de de datos o auditoría continua a través de
datos? diversas fases de un ciclo de auditoría
interna.

● Enfoque estratégico y de transformación


que implique a las partes interesadas del
negocio.
¿De qué manera se puede
cumplir el aseguramiento ● Combinación de los análisis de datos y la
continuo a través de auditoría continua a través de una
análisis de datos metodología de auditoría interna.
continuos y sostenibles?
● Un camino de madurez puede ayudar a
iniciar efectivamente y progresar en el uso
de análisis de datos y auditoría continua.
4
Perspectiva de los niveles de madurez

El modelo de madurez mostrado a continuación representa las etapas de madurez desde la etapa
mínima de madurez de la auditoría tradicional hasta el estado más maduro del aseguramiento
continuo de la gestión de riesgo empresarial.

Menor madurez Mayor madurez

Nivel de Nivel de Nivel de Nivel de Nivel de


madurez I madurez II madurez III madurez IV madurez V

Auditoría Análisis Evaluación de Combinación de Aseguramiento


tradicional coordinado riesgo continuo y la auditoría continuo1 de la
ad hoc auditoría continua y gestiòn de riesgo
continua monitoreo empresarial
continuo

● Un primer paso clave dentro del modelo de madurez corresponde a la combinación exitosa
de los análisis de datos.

1Continuous assurance is a progressive shift in audit practices towards the maximum possible degree of audit automation as a way of taking advantage of
the technological basis of the modern entity in order to reduce audit costs and increase audit automation. Given the emphasis on the transformation of the
entire system of auditing, the development of continuous assurance requires a fundamental rethink of all aspects of auditing, from the way in which data is
made available to the auditor, to the kinds of tests the auditor conducts, how abnormalities are dealt with, what kinds of reports are issued, how often and
to whom they are issued, and many other factors, the importance of some of which will only become apparent as continuous assurance, is implemented.
“Continuous Assurance for the Now Economy,” Rutgers Business School, February 2010.
Definición de las capacidades analíticas

Las capacidades de análisis pueden ser definidas y organizadas en las siguientes


categorías de capacidad: Descriptivos, diagnóstico, pronóstico y prescriptivo.

Pronóstico
Descriptivo Preceptivo
Diagnóstico (¿Qué sucederá y qué
(¿Qué sucedió o que está (¿Cuál es la siguiente
(¿Por qué sucedió?) cosa es probable que
sucediendo?) acción recomendada?)
suceda?)

● Análisis/modelos ● Desarrollados para ● Desarrollados para ● Desarrollar medidas


descriptivos sobre el comprender las causas de predecir los valores de una (adaptación) en respuesta
estado de los eventos, los resultados, a menudo o más respuestas a un suceso o serie de
tendencias, relaciones en en un contexto de (dependientes) variables sucesos.
los datos existentes. procesos o sucesos de los valores de
relacionados. indicadores ● El modelo prescriptivo
● No existe una respuesta (independientes) variables puede ser utilizado para
(dependiente) variable de ● Se pueden utilizar varias en la serie de datos. definir y articular el
que alguien esté tratando técnicas y modelos para proceso ideal para dar
de predecir su valor. abstraer y explicar las ● Modelos históricos con seguimiento, abordar o
dependencias entre los respuestas conocidas para responder a un suceso.
factores causales. desarrollar (o estimar) un
modelo que pueda ser
utilizado para predecir
valores de los nuevos
datos.

Fuente: Best Practices in Analytics: Integrating Analytical Capabilities and Process Flows, Gartner, March 2012
Preguntas
estratégicas a
realizar
Preguntas que las empresas necesitan considerar.

● ¿Su enfoque de auditoría interna aporta valor a la perspectiva de la Alta Dirección con
respecto al riesgo del negocio y objetivos estratégicos?
● ¿Qué rol cumple la auditoría interna en la evaluación de los riesgos que impactan
directamente la capacidad de la organización para cumplir los objetivos estratégicos?
● ¿El departamento de auditoría interna es un socio en el desarrollo de las prioridades
estratégicas y visión de la compañía?
● ¿La metodología de auditoría interna beneficia efectivamente el análisis de datos con la
finalidad de evaluar continuamente los riesgos que inhibirían el cumplimiento de los objetivos
estratégicos de la organización?
● Con relación a los riesgos identificados, ¿de qué manera el enfoque determina cómo se está
identificando, planificando y ejecutando las auditorías?

8
Un camino de
transformación enfocado
hacia una auditoria con
análisis de datos

● Identificación del nivel actual de madurez y


evaluación de riesgos

● Desarrollo de un plan de AI tomando como base la


priorización de los riesgos identificados durante la
fase de evaluación de riesgos empresariales de una
metodología de auditoría.

● Llevar a cabo pasos de auditoría tomando como


base el alcance predefinido de cada auditoría,
llevando a cabo análisis de procesos de negocios,
identificando brechas de control, documentando
evidencia de auditoría y reportando los hallazgos.
Identificación del nivel actual de madurez y evaluación de riesgos
(modelo de madurez basado en la metodología de auditoría)

Metodología de Nivel de Nivel de Nivel de Nivel de Nivel de


AI madurez I madurez II madurez III madurez IV madurez V
Metodología de Evaluación de Combinación de la Aseguramiento
Análisis
AI Auditoría riesgo continuo y auditoría continua continuo de la
coordinado ad
tradicional auditoría y monitoreo administración de
hoc continuo
continua riesgo

Análisis
estratégico

Evaluación de
riesgo empresarial

Desarrollo del plan


de auditoría

Ejecución e
Información

Información
continua
Metodología de AI Descriptiva Descriptiva, Descriptiva, Descriptiva, Descriptiva,
diagnóstico diagnóstico diagnóstico, diagnóstico,
pronóstico pronóstico, pronóstico,
prescriptiva prescriptiva

Los análisis de datos se usan Los análisis de datos son utilizados


Generalmente no se usan los
parcialmente pero son sub efectivamente y de manera uniforme
análisis de datos
optimizados (optimizado)
Desarrollar un plan de AI
(desarrollo del plan de IA en los distintos niveles de madurez)
Nivel de Nivel de Nivel de Nivel de Nivel de
Análisis de
madurez I madurez II madurez III madurez IV madurez V
datos de AI y
Modelo de Aseguramiento
madurez Análisis Evaluación de Combinación de
Auditoría continuo de la
de auditoría coordinado Ad riesgo continuo y auditoría continua y
tradicional administración de
hoc auditoría continua monitoreo continuo
continua riesgos corporativos

Desarrollo del ● Uso limitado ● El uso de ● Se establece un ● Los sistemas de ● La meta y objetivos
plan de AI del análisis informes de conjunto gestión son estratégicos de las
descriptivo de gestión de datos predefinido de aprovechados para empresas están
datos subyacentes análisis para permitir la alineados con las
para llevar a identificar y evaluación continua prácticas de
cabo un análisis priorizar los y priorización de los administración de
amplio de datos riesgos. riesgos riesgos.
descriptivos (es ● Análisis e corporativos. ● Los objetivos y riesgos
decir, la Información ● Los análisis estratégicos para
evaluación automatizada de generados por dichos objetivos son
comparativa) extracción, sistemas y cuadros monitoreados y
● El uso de análisis transformación, y de mando son priorizados de manera
puede incluir carga (ETL). monitoreados por el continua.
algunos aspectos ● El uso de análisis negocio en función ● El plan de AI es
descriptivos y de puede incluir a criterios de riesgo dinámico y capaz de
diagnóstico análisis especificados. reaccionar ante
prescriptivo, de ● Los análisis cambios en el negocio.
diagnóstico, y predictivos y ● El uso consistente de
algunos análisis prescriptivos los análisis, incluyendo
de pronóstico. pueden ser los tipos descriptivos,
añadidos al análisis de diagnóstico,
descriptivo y de predictivo y
diagnóstico. prescriptivo.
Ejecución y presentación de reportes
(Ejecución y presentación de reportes en varios niveles de madurez)

Análisis de Nivel de Nivel de Nivel de Nivel de Nivel de


datos de AI y madurez I madurez II madurez III madurez IV madurez V
Modelo de Evaluación de Combinación de Aseguramiento
madurez Análisis
Auditoría riesgo continuo y auditoría continua continuo de la
de auditoría coordinado Ad
tradicional auditoría y monitoreo administración de
continua hoc
continua continuo riesgos corporativos
Ejecución y ● Los análisis de ● El análisis de ● Los procesos ● Las técnicas ● Los procedimientos de
presentación de datos no son datos ad hoc es clave de negocio automatizadas de auditoría están
informes de AI usados para utilizado para tienen análisis auditoría alcanzan diseñados para verificar
impulsar la identificar las automatizados a varios objetivos de el análisis de datos
ejecución del transacciones disponibilidad del auditoría basándose subyacentes y los
plan de aisladas o para auditor durante la en la auditoría a las reportes de riesgos a
auditoría en la ayudar en la planificación para 'excepciones'. nivel empresarial para
auditoría determinación del determinar el ● AI está conectada a ayudar a asegurarse de
tradicional. alcance de alcance y los mismos datos y que estos se encuentran
auditoría. concentrar los presentación de alineados con las metas
● El uso de análisis esfuerzos de informes que los que y objetivos estratégicos
puede incluir auditoría. maneja la gerencia y de las empresas.
análisis ● Los análisis de evalúa la calidad de ● La auditoría
descriptivos y datos posibilitan los datos y los automatizada se enfoca
algunos de los programas de análisis en el análisis de causa
diagnóstico. auditoría. monitoreados por el raíz y las respuestas de
● El uso de los negocio. la administración ante
análisis puede ● Los análisis los riesgos, incluyendo
incluir análisis predictivos y anomalías de negocios
prescriptivo, de prescriptivos pueden y desencadenamiento
diagnóstico, y ser añadidos al de eventos.
algunos análisis análisis descriptivo y ● El uso consistente de
predictivos. de diagnóstico. los análisis, incluyendo
los tipos descriptivos,
de diagnóstico,
predictivo y prescriptivo.
Identificación
de desafíos
clave
Desafíos en la implementación de auditorías apoyadas en el
análisis de datos e iniciativas de auditoría continua

Disponibilidad y calidad
General Análisis de datos Gestión del cambio
de los datos
● Determinación y ● Falta de acceso a los ● Incapacidad para ● Gestión del impacto de
establecimiento de un datos aprovechar los análisis de datos, la
consenso sobre los ● Sistemas de eficazmente los auditoría continua, y
objetivos y criterios de información disparejos análisis de datos para los procesos de
éxito con diferentes formatos alcanzar los objetivos monitoreo continuo
● Medición y de datos de auditoría para los auditores y
demostración del éxito ● Conjunto de datos ● Definición de propietarios de los
● Recursos limitados incompletos, calidad de "excepción"; abordar procesos de negocio
(tecnología y datos inconsistentes "falsos positivos" y
conocimiento humano) ● Asuntos de "falsos negativos"
privacidad/seguridad ● Flujo de trabajo en
de datos para navegar torno a la resolución de
la excepción; gestionar
los volúmenes de
excepciones
Puntos a resolver – Limitaciones de Auditoría
Tradicional frente a Auditoría Continua

Evaluación de Evaluación de riesgos


riesgos tradicional continua
● Reactiva ● Proactiva
● Continua
● Anual o infrecuente
● Cuantitativa - mejorada
● Cualitativo - centrado ● Planeamiento dinámico
● Resultados - Plan ● Miradas en torno a los
estático riesgos emergentes y
cambiantes

15
Tip 1
No se trata de
herramientas,
Sino cómo
utilizarlas
Tip 2
Es un viaje,
no un
destino
Tip 3

Prepárate
para la
desilusión
Tip 4

Validar,
validar,
validar!
Tip 5
Data analytics
es como una
cebolla
(tiene capas)
Conclusiones

● Combinar el análisis de datos y la auditoría continua a lo largo de una metodología de


auditoría interna y evaluación continua del riesgo basada en un análisis cuantitativo para la
planificación de una auditoría dinámica.
● Identificar puntos de integración lógicos para el análisis de datos reproducibles y sostenibles,
auditoría continua, monitoreo continuo, e incluso aseguramiento continuo.
● Una nueva metodología de auditoría interna adaptada para representar una auditoría interna
basada en el análisis de datos en cada fase del proceso de auditoría.
● Aceptación y el respaldo de la gerencia y las principales partes interesadas del negocio son
fundamentales.

21
www.kpmg.com/pe

Gracias Kori Liz Silva


Senior Manager IARCS
korisilva@kpmg.com

KPMG en Perú
+51 (1) 611 3000

Este material ha sido preparado por KPMG únicamente para proporcionar educación profesional continua. Este material no debe ser utilizado para
referencia de uso.

KPMG Asesores S. Civil de R. L., sociedad civil peruana de responsabilidad limitada y firma miembro de la red de firmas miembro independientes de
KPMG afiliadas a KPMG International Cooperative (“KPMG International”), se reserva todos los derechos de este material.
Prohibida la reproducción total o parcial de este material a menos que se obtenga permiso escrito de KPMG

La información contenida en esta presentación y sus anexos son de naturaleza general y no está dirigido a ninguna circunstancia en particular de cualquier
individuo o empresa. Aunque hacemos el mejor esfuerzo para proveer información oportuna y exacta, no puede haber garantía que tal información es
exacta a la fecha o que continuará siendo exacta en el futuro.

Nadie debe actuar sobre esta información sin la debida asesoría profesional luego de un examen exhaustivo de la situación en particular

También podría gustarte