Académique Documents
Professionnel Documents
Culture Documents
Auditoría Continua:
Coordinar Auditoría
Continua y Monitoreo
para proveer
Aseguramiento
Continuo
2da Edición
1
GTAG – Resumen Ejecutivo
Marzo de 2015
2
GTAG – Resumen Ejecutivo
INTRODUCCIÓN 5
ANEXO
ESTUDIOS DE CASOS 21
3
GTAG – Resumen Ejecutivo
1
Documento del IIA: Las Tres Líneas de Defensa para una gestión
de riesgos y controles efectiva.
4
GTAG – Resumen Ejecutivo
5
GTAG – Resumen Ejecutivo
GTAG 14: Auditoría de aplicaciones desarrolladas por Evaluación Continua de Riesgos - la identificación y
el usuario evaluación continua de los riesgos para el logro de los
objetivos de negocio, mediante el uso de técnicas de
GTAG 16: Tecnologías de análisis de datos auditoría basados en la tecnología.
6
GTAG – Resumen Ejecutivo
ROL RESPONSABILIDADES
Establecer la credibilidad de las actividades de auditoría continua garantizando la capacidad de los auditores internos y la
Director Ejecutivo de
suficiencia de sus herramientas, las medidas de seguridad de datos, y el presupuesto.
Auditoría (DEA)
Educar a los auditores internos, la alta Gerencia y el Consejo sobre las funciones y responsabilidades de la actividad de
Auditoría Interna y las Gerencias.
Comprometerse con una estrategia de varios años para incrementar el apoyo de las partes interesadas.
Comunicar los resultados de la evaluación de auditoría interna respecto de la eficacia del monitoreo continuo.
Planear la auditoría continua conjuntamente con las primera y segunda líneas de la defensa.
Auditoría Interna
Ejecutar la auditoría continua:
(tercera línea de
defensa)
o Vinculada al análisis de los objetivos de negocio.
o Alinear factores de riesgo y actividades de control.
o Añadir valor como un “asesor de confianza” mediante la evaluación de los nuevos riesgos de negocios.
Realizar pruebas de cumplimiento sobre el Monitoreo Continuo.
Proveer aseguramiento continuo en relación con los objetivos de auditoría tales como integridad, exactitud y seguridad.
Mantener efectivas las medidas de seguridad sobre datos.
Diseñar y realizar monitoreo continuo para evaluar la adecuación y eficacia de la gestión de riesgos y controles.
Gerencia
Hacer uso de los conocimientos sobre el proceso y gestión de riesgos. Desarrollar e implementar las acciones correctivas
(Primera y segunda que aborden las causas origen de los problemas.
línea de Defensa) Acortar el tiempo de toma de acciones.
7
GTAG – Resumen Ejecutivo
Tercera Línea de
Defensa:
Prueba de Auditoría
Auditoría Interna
sobre el Monitoreo
Provee aseguramiento
independiente Continuo de la 1ra y
2da línea de defensa
Auditoría
continua
Segunda Línea de basada en
Defensa: tecnología
Funciones de
Supervisión de Evaluación
Riesgos (Ej: gestión Continua de
de riesgos, Riesgos y
cumplimiento)
Controles
Monitoreo
Continuo
Primera Línea de
Defensa:
Gerencia de
Operaciones
Es dueña y gestiona
los Riesgos
Auditoría Continua
La auditoría continua se logra a través de evaluaciones permanentes de riesgos y controles, gracias a las técnicas de auditoría
basadas en tecnología tales como el software generalizado de auditoría, hojas de cálculo o archivos de procesamiento
desarrollados utilizando programas específicos de auditoría, utilitarios de auditoría especializados, CAATs, paquetes de
soluciones comercializados en el mercado y los sistemas desarrollados a medida.
Las técnicas de auditoría basadas en el uso de tecnología deben ser flexibles y escalables para jugar un papel clave en la
optimización de:
8
GTAG – Resumen Ejecutivo
cambios, seguridad, incidentes, desvíos y transacciones. La Detectar desvíos en las unidades de negocio, sucursales
auditoría continua mejora la capacidad de los auditores o procesos que pueden estar asumiendo un mayor
internos para opinar sobre la disponibilidad y utilidad de riesgo o que experimentan cambios en forma atípica.
los datos, comprender los controles de las aplicaciones y
Resaltar zonas donde los controles son inexistentes o
optimizar los procesos de negocio automatizándolos.
donde no se encuentran operando de forma adecuada,
Cuando se implementa de manera efectiva, la auditoría
lo que sugiere que los auditores deban realizan
continua:
evaluaciones de control más exhaustivas en áreas
Se centra en objetivos y afirmaciones de auditoría tales específicas.
como integridad, exactitud, y autorización para Administrar hojas de cálculo de negocios críticos y
determinar la confiabilidad de la información utilizada otras aplicaciones desarrolladas por el usuario
2
9
GTAG – Resumen Ejecutivo
Monitoreo Continuo
La Gerencia debe poseer y ejecutar monitoreo continuo.
Muchas de las técnicas que la Gerencia utiliza para
monitorear continuamente los controles son similares a las
técnicas de auditoría continua utilizados por los auditores
internos. Los principios de monitoreo continuo incluyen:
10
GTAG – Resumen Ejecutivo
Tercera Línea de
Defensa:
Prueba de Auditoría
Auditoría Interna
sobre el Monitoreo
Provee aseguramiento
independiente Continuo de la 1ra y
2da línea de defensa
Auditoría
continua
Segunda Línea de
Transición de las basada en
técnicas de tecnología
Defensa:
Funciones de
Auditoría
Supervisión de Continua Evaluación de
Riesgos (Ej.: Controles y
Gestión de riesgos, Riesgos en
cumplimiento)
Curso
Monitoreo
Primer Línea de Continuo
Defensa:
Gerencia de
Operaciones
Es dueña y gestiona
los Riesgos
Cuando las técnicas de auditoría continua son adoptadas por la Gerencia para el monitoreo continuo, se introduce una
delgada línea de diferenciación, porque hay una probable superposición entre el monitoreo continuo y la auditoría continua
y entre la segunda y tercera líneas de defensa. Cuando las técnicas de auditoría continua se están transfiriendo a la Gerencia
deben tomarse resguardos para asegurar que los auditores no asuman un rol de “dueño” respecto del monitoreo continuo, lo
que cual puede afectar su objetividad.
11
GTAG – Resumen Ejecutivo
Relación entre Auditoría Continua y Monitoreo Estos procedimientos son similares a los Controles
Continuo Generales de TI y deben ser ejecutados durante el proceso
normal de auditoría para evaluar la confiabilidad de las
Existe una relación inversa entre la Auditoría Continua y Técnicas de Auditoría Asistidas por Computadora.
el Monitoreo Continuo. Las tres líneas de defensa
contribuyen a la medición y el fortalecimiento de la
eficacia de la gestión de riesgos y control. La Auditoría
Interna debe ajustar el alcance de su trabajo de auditoría
continua teniendo en cuenta la adecuación y coherencia
que la Gerencia despliega sobre el Monitoreo Continuo.
Si el Monitoreo Continuo ejecutado por la primera y
segunda líneas de defensa es insuficiente o inconsistente,
la Auditoría Interna debe incrementar sus esfuerzos de
auditoría continua de manera proporcional, tal como se
ilustra en La Figura 4:
Monitoreo exhaustivo
de Controles Internos
Esfuerzos
escasos
Monitoreo escaso de
Controles
Internos Incrementar los
Esfuerzos / Mayores
recursos
12
GTAG – Resumen Ejecutivo
AUDITORÍA CONTINUA
Desarrollar Plan de Auditoría
Apoyar trabajos de Auditoría
Seguir Recomendaciones
Identificar indicadores de riesgo.
Evaluar desvíos Evaluar y dimensionar riesgos.
Profundizar alcance y objetivos. Determinar si se implementaron
Definir alcance, enfoque y las recomendaciones.
oportunidad. Determinar ubicaciones
específicas a auditar Identificar si la remediación
reduce el nivel de riesgo.
Revisiones analíticas
Establecer puntos de partida y
comparar resultados.
13
GTAG – Resumen Ejecutivo
14
GTAG – Resumen Ejecutivo
• Evaluatebaselineconditionandchangestocontrols.
4. REPORTAR y ADMINISTRAR RESULTADOS
• Establecer una metodología repetible.
• Reportar los resultados.
• Facilitar la acción de la Gerencia.
• Alinear con el Monitoreo Continuo y adaptar la estrategia de Auditoría Continua.
15
GTAG – Resumen Ejecutivo
Establecer prioridades y obtener apoyo de la gerencia Establecer accesos de rutina al entorno de producción
La auditoría continua requiere acceso permanente a las El DEA debe trabajar con la gerencia para asegurar que
aplicaciones y datos productivos. Las tecnologías el acceso y uso de los datos de los sistemas del negocio
confiables pueden requerir una inversión significativa y no afecten negativamente la desempeño operacional del
varios años de esfuerzos de implementación. Por lo tanto, entorno productivo y los sistemas relacionados, y que la
el apoyo de la dirección y la alta gerencia es esencial. tecnología de auditoría es compatible con el ambiente de
Una estrategia que contemple la implementación TI de la empresa. La auditoría interna debe evaluar las
3
gradual durante dos o más años le ayudará a manejar el regulaciones aplicables en materia de privacidad , y
ritmo y las expectativas y, sostenidamente, mostrar los mantener los estándares de seguridad y privacidad que
beneficios de las tecnologías y metodologías de auditoría cumplan o excedan los establecidos para el ambiente de
continua. producción.
Adaptar el Plan de Auditoría a ciertos indicadores Desarrollar capacidades de análisis
continuos
Construir capacidades de análisis de acuerdo con la
Desarrollar una hoja de ruta para las áreas de grandes estrategia de auditoría continua y los objetivos de
procesos tales como contrataciones por pagar o negocios antes de la automatización del monitoreo. Las
cobranzas, y luego relacionar las técnicas de auditoría pruebas de auditoría continua a menudo son
continua a tres categorías de riesgo: operaciones de TI, suficientemente persuasivas usando una combinación de
aplicaciones y procesos transaccionales. Aprovechar el indicadores tales como los cambios en los controles
análisis de auditoría para diseñar especificaciones de los automatizados, la seguridad del sistema, incidentes,
indicadores de riesgo y controles. Coordinar el plan de desvíos y transacciones. Las discusiones con los dueños
auditoría interna para identificar las áreas y auditorías de de los sistemas del negocio pueden ayudar a los auditores
procesos a los efectos de especificar los indicadores de a determinar el método de transferencia, el cronograma y
riesgos clave (KRI) y medidas de control para su uso el protocolo de datos más adecuado para la auditoría
posterior en la evaluación continua. A través de continua.
auditorías planificadas, los equipos de auditoría y la
gerencia pueden en conjunto identificar indicadores de
tendencia o de desempeño que midan los riesgos y
controles vinculados a objetivos del negocio. Por lo
tanto se aprovechan los resultados de las auditorías para
desarrollar especificaciones con una mirada a futuro
(véase Figura 6).
16
GTAG – Resumen Ejecutivo
PROCEDIMIENTO DE AUDITORÍA
Especificaciones
prospectivas
Universo de Auditoría
Monitoreo de la Gerencia
Construir Habilidades Técnicas y Conocimiento de Revisar los metadatos creados por funciones
auditoría aplicadas a los datos.
Comprobar la oportunidad de los datos.
La Norma 1210 indica que la auditoría interna debe
¿La información es actual?
poseer u obtener los conocimientos, habilidades, y otras
¿Con qué frecuencia se actualiza la información?
competencias necesarias para llevar a cabo sus
¿Cuándo fue la última actualización?
responsabilidades. Distintos niveles de competencias
Determinar si la información es íntegra y exacta.
de TI serán requeridos durante el desarrollo e Verificar los supuestos y el análisis del auditor con
implementación de auditoría continua. Por ejemplo, en los programadores de la aplicación.
las primeras etapas de implementación: Verificar la integridad de los datos realizando
La sensibilidad de los parámetros, la profundidad diversas pruebas tales como razonabilidad, controles
del análisis y otros factores pueden resultar en un de edición, y comparación con otras fuentes,
alto volumen de casos detectados. La carga de incluyendo investigaciones realizadas con
trabajo necesaria para discernir sobre los resultados anterioridad o informes de auditoría (por ejemplo,
disminuirá en la medida en que se mejoren los sintáctica, semántica y pragmática).
controles, se afina el análisis y la auditoría continua Aprovechar el conocimiento obtenido de los
madure. trabajos de auditoría interna.
Los resultados pueden inducir errores en la
interpretación de los datos. Las inexactitudes Evaluar la confiabilidad de las fuentes de datos
pueden deberse a la falta de entendimiento y La confiabilidad de los datos es fundamental para una
familiaridad con los sistemas del negocio y a la exitosa implementación de auditoría continua y debe ser
naturaleza de las pruebas realizadas. evaluada desde el inicio de la auditoría. Los datos
Para mejorar el dominio de TI se debe: procedentes de un entorno de producción sujeto a
controles generales de TI son más confiables que
Revisar los campos de datos y elementos clave. aquellos originados desde aplicaciones desarrolladas por
el usuario final. A medida que la confiabilidad aumenta,
17
GTAG – Resumen Ejecutivo
el nivel de las pruebas y verificaciones necesarias para tiempo (diseñar KRIs para identificar
reducir el riesgo de auditoría a un nivel aceptable, tendencias)
disminuye. Para más información ver GT A G 14: resultar una combinación entre los indicadores
“A uditoría a aplicaciones desarrolladas por los usuarios predictivos basados en procesos e indicadores
("A uditing User-developed A pplications"). detectivos basados en síntomas.
Preparar y validar los datos identificar un número suficiente de casos que al
realizar las comparaciones rutinarias permita
Desarrolle capacidades de validación de datos robustas aislar desvíos que se encuentran por encima del
para asegurar la integridad previamente al análisis. Una nivel de riesgos establecido
de las mayores ventajas de auditoría continua es la
extracción de datos de diferentes sistemas de la Evaluación continua de los controles
organización y relacionarlos para su posterior análisis
multiplataforma. La combinación de datos de sistemas Una evaluación continua de control proporciona
dispersos requiere de validaciones para eliminar independiente análisis de los controles de aplicación
transacciones no confiables y preparar los datos en un automatizados y de controles generales de TI a través de
formato estándar de auditoría. La existencia de fuentes considerar sus condiciones iniciales y los cambios
de datos automatizadas pueden reducir los tiempos de posteriores en la configuración. Debido a la degradación
validación y aumentar la frecuencia de análisis. que a menudo ocurre en los controles de TI que preceden
a errores en los datos, el uso de la evaluación continua de
Construir indicadores de auditoría continua control permite el DEA proporcionar a la Gerencia una
alerta temprana de fallas de control o deficiencias. Las
Construir una hoja de ruta integrada con el plan de actividades claves y consideraciones para realizar una
auditoría. Diseñar y construir técnicas de auditoría evaluación continua de control incluyen:
continua basadas en el aprendizaje y especificaciones
resultantes de las auditorías tradicionales anteriores. Con relación a objetivos de control.
Evaluación continua de riesgos o Precaución con la tendencia de automatizar cada
paso de un programa de auditoría existente. Es
De acuerdo con la Norma 2120, la auditoría continua preferible identificar un número menor de
permite a los auditores "evaluar la eficacia y contribuir a evaluaciones que se relacionen con objetivos de
la mejora de los procesos de gestión de riesgos". Las control de alto nivel.
principales actividades y consideraciones en la
o El verdadero poder de la evaluación continua de
realización de una evaluación continua de riesgos
control radica en la capacidad de proporcionar
incluyen:
aseguramiento pertinente de manera efectiva y
Desarrollar indicadores de riesgo: oportuna.
o La recopilación y el análisis de los datos que o Dado que los controles generales de TI posibilitan
soportan los procesos de negocio clave y áreas de confiabilidad permanente a los controles
alto riesgo deben ser obtenidas desde múltiples automatizados, la evaluación de los controles
niveles de la organización para identificar, evaluar generales de TI y los controles automatizados de
y responder a los riesgos. la aplicación es parte fundamental para optimizar
el proceso de aseguramiento y cumplimiento.
o Colaborar con los dueños del negocio y
profesionales de TI para el desarrollo de o Los controles automatizados se configuran en las
indicadores de riesgo que sean fácilmente aplicaciones para alcanzar exactitud, integridad, y
medibles y sensibles a los cambios. autorización de las transacciones. Obtener una
comprensión de los controles automatizados a
o Hacer uso de los resultados de la evaluación de través de las discusiones conjuntas con la
riesgos para, eventualmente, modificar el plan de Gerencia y los expertos en TI.
auditoría, así como los alcances y objetivos de
auditorías individuales. Determinar los controles clave.
Diseñar métricas para detectar el incremento en los o Recorrer el escenario de negocios y considerar
niveles de riesgo. qué podría salir mal. Determinar cómo han sido
diseñadas y configuradas las técnicas
o Los KRIs deben: automatizadas en el sistema para el control de la
enfocar en la magnitud del cambio autorización, la integridad y la exactitud de las
experimentado por una entidad a través del transacciones.
18
GTAG – Resumen Ejecutivo
o Cuestionar los controles configurados Para los puntos de control críticos, definir un
sistemáticamente para determinar sus condiciones apropiado análisis para cada objetivo de control
actuales y de origen y evaluar si están operando
efectivamente, tal como han sido diseñados. Evaluar el estado actual de la configuración de
los controles automatizados, en comparación
o Los cambios al monitoreo, los cuales deberían ser con valor inicial.
poco frecuentes, a controles configurables Determinar si la condición de los controles
automatizados. Los controles automatizados que
automatizados han cambiado desde la
no están bien configurados o cambian
auditoría inicial.
frecuentemente, disminuyen la confianza del
Considere la frecuencia y magnitud de los
auditor en la eficacia de las actividades de
cambios a los controles automatizados.
control.
Disponga de excepciones de para corroborar
Evaluar el estado inicial de los controles. su efectividad.
o Una vez que los procesos claves del negocio, los Como ejemplo, la Figura 7 describe la evaluación de un
objetivos de control relacionados y los controles control continuo en un proceso de cobro a clientes
automatizados están definidos, ordénelos
decreciente para identificar los puntos de control
críticos (el más alto impacto / riesgo).
19
GTAG – Resumen Ejecutivo
4. Registro y seguimiento del plan de acción de la Cada plan de acción debe tener un dueño responsable de
Gerencia para la remediación. la remediación hasta su resolución. La excepción debe ser
seguida y, una vez reportada como resuelta, el monitoreo
Informar de los resultados continuo posterior debe evaluar si la resolución es
Es preferible informar de los resultados de auditoría sustentable en el tiempo.
continua a través de una página web en lugar de enviar Alinearse con el Monitoreo Continuo y adaptar la
archivos sensibles y de gran tamaño a través del correo estrategia de Auditoría Continua
electrónico.
La auditoría continua debe permanecer flexible y atenta a
Las estrategias de reporte varían desde la simple los cambios que se producen en la exposición al riesgo y en
exportación de excepciones en una carpeta compartida en el entorno de control.
una unidad de red, hasta las notificaciones por correo
electrónico, seguimiento de acciones de remediación El DEA debe actualizar periódicamente la estrategia del
mediante herramientas de flujo de trabajo (workflow), programa de auditoría continua para adaptarse a las nuevas
tableros de comando y visualización de datos. Se puede prioridades y temáticas. Puede resultar necesario añadir
implementar una variedad de soluciones de reporte para puntos de control adicionales o exposiciones al riesgo, u
satisfacer las necesidades de la primera, segunda, y tercera otros que pueden ser migrados a los esfuerzos de monitoreo
líneas de defensa, la Gerencia y el Consejo. Las continuo de la Gerencia. A través del tiempo,
consideraciones claves para informar los resultados de probablemente sea necesario ajustar o relajar umbrales,
auditoría continua incluyen: pruebas de control y parámetros para diferentes análisis.
Con posterioridad a la implementación, el DEA debe
publicar regularmente un amplio conjunto de registrar los beneficios alcanzados por el monitoreo
informes a una unidad de red a nivel de detalle continuo en otras iniciativas de la Gerencia tales como
requerido para apoyar el monitoreo continuo y la Gestión Integral de Riesgos de la empresa y medidas de
auditoría continua. desempeño. La cuantificación de los beneficios
Almacenar los resultados de excepciones en una experimentado por los auditores y otros proveedores de
base de datos segura. aseguramiento documenta el retorno de la inversión,
Presentar información de tendencias en un tablero mejora la reputación y justifica la financiación de nuevas
de comandos en la web o en un “mapa de calor”. inversiones y desarrollo estratégico.
20
GTAG – Resumen Ejecutivo
Las respuestas a estas preguntas pueden determinar la Luego de que los datos fueron extraídos, fueron
necesidad de un mayor número de pruebas y comparados con un período base. El reporte de
potencialmente incrementar la eficiencia y efectividad comparación identificó los controles automáticos claves
de la auditoría. que fueron sujetos de cambio luego del período base, y el
tipo de cambio (Ver figura 8). Idealmente, los controles
En este caso de estudio, una evaluación continua de los
de aplicación no deberían cambiarse.
controles de aplicación estuvo atada a una reducción en
las pruebas de casi 6000 horas de trabajo comparadas con Los auditores seleccionaron controles clave y los
el año anterior. Luego de obtener el soporte de las partes analizaron en profundidad para evaluar el cambio. Como
interesadas clave tales como la Gerencia, IT, auditores es apropiado, los reportes de comparación fueron
externos, y dueños de aplicaciones, los auditores internos incorporados en los papeles de trabajo de auditoría, ya
identificaron objetos clave del control de configuración, sea para proveer evidencia de que no era necesario
extracción automatizada de datos y resultados profundizar más sobre las pruebas de los controles o bien
comparados. para soportar la necesidad de realizar la prueba
nuevamente. En este sentido, la comparación facilitó un
abordaje basado en riesgos para la nueva prueba,
21
GTAG – Resumen Ejecutivo
Luego de la implementación de la evaluación continua El tiempo requerido para la evaluación de los controles
del control, el 58% de los controles de aplicación de aplicación disminuyó de 6300 a 352 horas de trabajo,
pudieron ser validados sin pruebas. Del 42% remanente, lo que implica un 94% de disminución año a año (ver
el 16% fue probado durante la primera mitad del año, y figura 9).
el 26% fueron evidenciados nuevamente durante la
segunda mitad del año.
Luego de 352
implementar
122; 58% 55; 26% 5,948 Horas menos
Revisión anterior
6300
Horas
trabajadas
0 4000
8000
Probados en la primera mitad del año
Probados en la segunda mitad del año
Validados sin pruebas
22
GTAG – Resumen Ejecutivo
Auditar en forma continua es potencialmente más Enfrentados con estos desafíos, los auditores internos
efectivo cuando se aplica a sistemas de alto volumen que trataron de encontrar la mejor forma de evaluar la
son accedidos por un gran número de usuarios. Este caso validez de las transacciones de gastos.
ilustra cómo los auditores internos aplicaron técnicas de
auditoría continua a un sistema de gastos de un La solución de auditoría contínua
empleado.
En resumen, los auditores internos determinaron:
Antecedentes y desafíos
1. Los detalles de las transacciones de tarjetas de
Las auditorías previas de los sistemas de gastos de crédito estaban disponibles desde el emisor de la
empleados consumían tiempo y requerían de una labor tarjeta, y comparando los datos del sistema
intensiva, y el alcance de la auditoría era a veces electrónico de gastos con los del emisor de la
limitado por restricciones de recursos. El sistema de tarjeta, se logró un mejor panorama de la
gastos de empleados estaba basado en reglas con validez de los gastos.
numerosos controles automáticos implementados en 2. Una vez que el reporte de datos del emisor de la
múltiples niveles, para gestionar la calidad de los datos tarjeta fue comparado con los datos del sistema
ingresados e iniciar el proceso de aprobación de gastos. electrónico de gastos por número de empleado,
Los ejemplos incluyen: fecha de carga, y monto de carga, la
categorización del gasto y los comentarios
Un control de envío de datos: pudieron ser comparados con el código del
o Si se ingresan gastos duplicados para la comerciante de la transacción y la descripción
misma fecha, categoría y monto, el de la transacción. Por ejemplo, se podía
sistema podría indicar al usuario una identificar una transacción con un código de
alerta que requeriría una aprobación comerciante de una tienda de zapatos, pero
gerencial, y marcaría la transacción categorizado en el registro de gastos como de
para una revisión de la operación. alimentos.
Controles activos de aprobación 3. El emisor de la tarjeta proveyó “reportes
o Las transacciones de riesgo fueron cuestionables” que podían ser personalizados
retenidas a la espera de una revisión de para identificar tipos específicos de comercios y
un supervisor. correrlos con una frecuencia mensual o
o Un empleado no puede aprobar su cuatrimestral.
propio envío de gastos.
A continuación se encuentran ejemplos de técnicas de
Los controles típicamente se enfocaron en límites o auditorio continuo que fueron usadas para identificar
autorizaciones, pero no necesariamente se comprueba la deficiencias de control, anomalías y banderas rojas
validez o la exactitud de los datos ingresados. Una indicando potencial fraude o abuso. A pesar de que no
categorización inadvertida o intencionalmente fueron cuantificados aquí, los auditores internos
incorrecta o comentarios confusos ingresados por un reportaron una reducción en la cantidad de horas que
empleado podían pasar inadvertidos. La efectividad del eran previamente necesarias para adquirir la
sistema basado en reglas dependía de: información, ejecutar el análisis de datos, y revisar los
resultados, comparados con las auditorías previas del
La exactitud y honestidad de las
sistema electrónico de gastos.
entradas del empleado que ingresa el
ítem del gasto Métricas de consumos cuestionables
La predisposición y habilidad de los
gerentes para revisar precisamente y
23
GTAG – Resumen Ejecutivo
Identificación de todos los gastos cuestionables sitios con una mezcla de gastos y actividad personal,
acumulados por código de comerciante, empleado y transacciones de alto valor divididas, y palabras clave
establecimiento. restringidas (por ejemplo niños, hospital, club nocturno,
caballeros, casinos, Premium, upgrade).
Consumos cuestionables en establecimientos
restringidos Resumen de categorización incorrecta
Identificación de toda la actividad de gastos para los Identificación de todos los gastos no relacionados con
establecimientos restringidos facturados como un gasto alimentos (por ejemplo gastos de indumentaria)
de un empleado. Los establecimientos restringidos fueron incorrectamente categorizados como alimentos o
identificados a través de indicadores tales como nombres entretenimiento.
legales de proveedores, coincidencia de direcciones,
Ítems restringidos
Identificación de palabras clave restringidas (por ejemplo niño, hospital, club nocturno, caballeros, casinos, premium y
upgrade) en los campos de identificación de la transacción. Este tipo de análisis generalmente requiere el uso de software
de análisis de datos.
24
GTAG – Resumen Ejecutivo
Identificación de los gastos de alto valor dentro de cada categoría de gastos que fueron enviados sin recibo.
Identificación de actividad ininterrumpida de la tarjeta en el domicilio o ciudad del tarjetahabiente y en sus alrededores.
Identificación de todos los gastos cuestionables de la factura del hotel acumulados por ítem, empleado y hotel. Esto incluyó
ítems no reembolsados bajo la política de gastos que fueron ocultados dentro del cargo total del hotel.
Tarifas de aerolíneas
Identificación de todos los gastos de viajes aéreos donde había una falta de correlación entre el comentario / categoría del
gasto y la descripción del proveedor de la tarifa. Por ejemplo, ítems como mejoras de asientos o cabinas que fueron
ingresados como tarifas de aire o de equipaje.
Identificación de toda actividad personal y no gastada con tarjeta comparada con los reclamos de dinero en efectivo.
Gastos divididos
Identificación de gastos que podrían haber sido divididos para evadir los umbrales por transacción. Este análisis fue
ejecutado a través de la búsqueda de transacciones con igual vendedor y fecha. Herramientas de análisis de datos con
funcionalidades incorporadas para analizar duplicados fueron muy útiles.
A.3 Evaluación continua de riesgo de un Este caso resalta los pasos tomados por los auditores
proceso de comprobantes de diario Una internos para desarrollar e implementar una evaluación
evaluación continua de riesgo a nivel de proceso puede: de riesgo continua de un proceso de comprobantes de
diario manual.
Identificar riesgos nuevos y emergentes dentro
de un tiempo corto desde la transacción inicial
asociada.
Ayudar a los auditores a identificar tendencias 1. Entender el proceso
anormales y evaluar el impacto acumulativo y el El primer paso para desarrollar la evaluación continua de
valor total de riesgo. riesgo fue desarrollar un entendimiento directo del
proceso. En este caso, los auditores llevaron a cabo una
investigación externa y recabaron información relevante
25
GTAG – Resumen Ejecutivo
de la Gerencia y de los dueños de los procesos para lograr independientes, el porcentaje de ingreso de
la comprensión total de la población, los reportes comprobantes manuales del libro diario y los
disponibles, las áreas no estándar, y las dependencias con montos del balance general. En la siguiente grilla,
otros procesos. El paso siguiente fue construir un fueron segmentados 10 países para mostrar los
prototipo de base de datos de atributos de riesgos que países más riesgosos a primera vista, así como los
podrían impactar en el proceso del Diario. países con mejor desempeño, los que fueron
capitalizados para compartir las mejores prácticas.
2. Crear un prototipo de base de datos de
riesgos
Se utilizaron herramientas analíticas y estadísticas para
crear un prototipo de base de datos de riesgos. La base de
datos fue desarrollada a través de un proceso repetitivo
que revisaba la integridad de los datos, completitud y
exactitud lógica. Por ejemplo, los atributos de riesgo de
la base de datos de riesgos del proceso manual de asiento
diario incluyeron:
Resultados de riesgo
26
GTAG – Resumen Ejecutivo
27
GTAG – Resumen Ejecutivo
Patricia Geugelin-Dannegger
Peter B. Millar
Revisores y colaboradores:
David Coderre
Peter Schraeder
28
GTAG – Resumen Ejecutivo
www.globaliia.org
TRADUCIDO POR EL INSTITUTO DE AUDITORES INTERNOS DE ARGENTINA
Traductores: NESSIER, Pablo,CISA;
VEXINA, Inés,
SCHNIDER, Marcos.
Revisión de: SERRACIN, Aixa, CRMA
FALEATO, Javier, CIA, CCSA, CRMA.
29