DCS

Departamento de Control
de Gestin y Sistemas de
Informacin

Monitoreo y Auditora Continua

Conceptos y fundamentos
Julio 2016

Agenda del da
Conceptos y fundamentos
Monitoreo Continuo
Auditora Continua

Experiencia en modelo de deteccin oportuna y tendencia a la

prediccin de fraudes
Ejemplo de aplicacin del modelo de monitoreo continuo
8/5/16

Evolucin
Predictivo
Respuesta

Alertas

Cobertura de Riesgos
Plan Anual
Anticipacin
Oportunidad

Cobertura de Procesos

Plan de Largo Plazo

Deteccin
8/5/16

Marco Conceptual GTAG 3

Se establece el modelo de auditora continua de

forma progresiva y transversal a las 3 lneas de
defensa
Se establece un proceso de monitoreo continuo
en las primera y segunda lnea de defensa
En la tercera lnea de defensa, se establece un
proceso gradual de implementacin del modelo,
pasando de un proceso de planificacin
tradicional de auditora interna a la Auditora
Continua
Auditora Interna logra un aseguramiento
continuo a travs de tcnicas de Auditora
Continua y Pruebas sobre el monitoreo continuo
realizado por la 1 y 2 lneas de defensa.
El objetivo es tener una adecuada cobertura de
riesgos y de la efectividad de los controles, sobre
una base continua, reduciendo el tiempo de
respuesta de la funcin de auditora, y asignando
eficientemente los recursos disponibles.

Aseguramiento Continuo a travs de Auditoria

Interna
3 Lnea de Defensa
Auditora Interna
2 Lnea de Defensa
Supervisin de
Riesgos y Controles
1 Lnea de Defensa
Controles de Lnea

Pruebas de
Auditoria sobre
1 y 2 lneas

Monitoreo
Continuo

Tcnicas
de
Auditora
Continua

Auditora
Continua
Monitoreo
permanente
de riesgos y
controles

Obtener mayor cobertura

Indicadores de Riesgos
Tiempo dedicado
al plan

Operacionales
Financieros

Base de
Riesgos

100%

Cumplimiento
Riesgos
Contingentes

Reputacin
Fraude

Priorizacin

Planificacin
Tradicional
0%

Tiempo

Implementacin Monitoreo
Continuo
8/5/16

Obtener Oportunidad en la Deteccin

Indicadores de Control
Detectar instancia

Sobre controlado
Nivel ptimo
Sub controlado

Revisin
Independiente

Revisin
Independiente

Objetivo Minimizar Brecha

El proceso

8/5/16

Porque Monitoreo y Auditora Continua

Monitoreo Tradicional

Requiere dedicacin del supervisor para:

Obtener datos,
Analizar,
Descartar,
Uso de herramientas de anlisis de datos,
Trabajo rutinario y repetitivo,
Prdida de foco de atencin sobre la gestin del negocio

Plazos de deteccin: Tarda

Tiempo de respuesta: Tarda
Claridad en reportar excepciones: Dificultad en reporte,
inconsistente
Demora en mostrar retorno sobre el control aplicado

Mayor tiempo
dedicado a
obtener y
procesar
informacin

Tiempo
reducido para
anlisis y
respuesta
8/5/16

Porque Monitoreo y Auditora Continua

Auditora Tradicional

Requiere dedicacin del auditor para:

Obtener datos,
Analizar documentacin,
Determinar validez de la informacin,
Detectar desviaciones del procedimiento,

Confiabilidad de la informacin obtenida: Baja

Pruebas de cumplimiento: En base a muestras
Evaluacin del riesgos: Estimacin sin determinar tendencia
Pruebas sustantivas: En base a muestras
Materializacin del riesgo: Estimado en base a nivel de confianza de la
muestra
Generacin de reporte: manual
Reiteracin de auditora sobre el proceso: Anual, si es que se mantiene
como prioridad ao a ao

Mayor tiempo
dedicado a
obtener y
procesar
informacin

Tiempo
reducido para
anlisis y
respuesta
8/5/16

El proceso

8/5/16

10

Porque Monitoreo y Auditora Continua

Monitoreo Continuo

Requiere dedicacin del supervisor para:

Analizar resultado de datos ya procesados

Determinar naturaleza de las desviaciones
Toma de decisiones: Error o Irregularidad
Determinacin de causa raz
Presentar resultados

Plazos de deteccin: En lnea

Tiempo de respuesta: Oportuna
Claridad en reportar excepciones: Estandarizado
Rpido retorno del control aplicado

Mayor tiempo
dedicado a
Anlisis y
respuesta

Tiempo
reducido para
obtener y
procesar
8/5/16

11

Porque Monitoreo y Auditora Continua

Auditora Continua

Requiere dedicacin del auditor para:

Ejecutar el script solo en caso que no est schedulado

automticamente,
Interpretacin de resultados,
Verificacin de acciones tomadas por la primera lnea de defensa,
Verificar la aplicacin consistente de controles,

Confiabilidad de la informacin obtenida: Alta

Pruebas de cumplimiento: al 100%
Evaluacin del riesgos: Estimacin basada en 100% de
casos y permite determinar tendencias
Pruebas sustantivas: al 100%
Materializacin del riesgo: Valor exacto de la desviacin
Generacin de reporte: Automtico
Reiteracin del control sobre el proceso: Permanente

Mayor tiempo
dedicado a
Anlisis y
respuesta

Tiempo
reducido para
obtener y
procesar
8/5/16

12

Identificacin de riesgos factibles de monitoreo

continuo
Recurso
Group Company:

Back to Menu

Segment:
Period:

Generate Report

El modelo propuesto est

estructurado para asegurar la
Universalidad de la organizacin,
a travs de la identificacin de
procesos y subprocesos va
Cadena de Valor del negocio.
Se realiza un recorrido de los
productos y servicios para
determinar la cadena de valor,
identificando procesos Core,
Soporte o Estratgicos

Para cada sub proceso, se realizan

talleres con usuarios claves, con la
finalidad de identificar los riesgos
operacionales a travs de:
Identificacin de recursos
utilizados en el subproceso
Eventos que pueden afectar los
recursos del subproceso
Ubicacin fsica de las
actividades de riesgos

Cada riesgo operacional es

evaluado de forma inherente segn
matriz de evaluacin diseada para
la organizacin.
Se identifican los controles
establecidos para mitigar los riesgos
y se evala su diseo para
determinar el nivel de exposicin
residual de cada riesgo, y de cada
subproceso a travs de una frmula
predefinida

To be Included in the
IA Plan

21
24
12
25
26
27
20
20
16
26
26
18
18
16
16
17
26
21
27
27
27
22
16

21
45
57
82
108
135
155
175
191
217
243
261
279
295
311
328
354
375
402
429
456
478
494

Included
Included
Included
Included
Included
Included
Included
Included
Included
Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included
Not Included

In Audit Scope

3
5
3
3
3
3
3
3
3
3
3
3
3
3
3
5
3
3
4
4
4
4
3

Priority

15
16
6
20
20
22
15
15
10
20
20
12
12
10
10
10
20
15
20
20
20
15
10

Acumulated

3
3
3
2
3
2
2
2
3
3
3
3
3
3
3
2
3
3
3
3
3
3
3

Total

Eecurso

Subprocesses
1.3 Pricing (incl. rebates and discounts)
1.4 Selling and account management
1.6 Sales service
8.4 Purchasing of goods & services
2.4 Inventories
2.2 Maintenance
6.2 Payroll
8.5 Contracting services
8.2 Vendor selection
5.3 Accounts receivables & credit mgt.
3.1 Terminal operations
1.5 Sales order management
5.1 Treasury and cash management
5.9 Capital expenditure
6.5 Loans and advances
5.6 Financial accounting & fixed assets
3.2 Intra-company shipping
6.8 Health & Safety
5.2 Accounts payables
3.3 Shipping to customers
5.7 Cost accounting & controlling
2.7 AFR
5.8 Taxation

Days Contracted

Processes
1. Marketing and Sales
1. Marketing and Sales
1. Marketing and Sales
8. Purchasing
2. Manufacturing
2. Manufacturing
6. Human Resources
8. Purchasing
8. Purchasing
5. Finance & Controlling
3. Logistics
1. Marketing and Sales
5. Finance & Controlling
5. Finance & Controlling
6. Human Resources
5. Finance & Controlling
3. Logistics
6. Human Resources
5. Finance & Controlling
3. Logistics
5. Finance & Controlling
2. Manufacturing
5. Finance & Controlling

Recurso

Post Audit

Sub
Proceso

Field Work

Recurso

217
217

Pre Audit

Total number of project days

Days required for Follow up
Total available to perform IAP

1
1
1
1
1
1
1
1
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2

Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y

Utilizando los resultados de la

evaluacin de los riesgos
residuales, se genera una lista
priorizada de procesos y
subprocesos, identificando
aquellos que se encuentran
mas expuestos y los riesgos
que requieren ser mitigados
con mayor prioridad.

Procesos y Subproce Identificados y Priorizados en

base a Riesgos

Metodologa y enfoque
Categorizacin de Riesgos / Controles
Verificacin de Riesgos
Operacionales

Clasificacin Riesgos:
Automticos /
Manuales

Identificacin de
Controles

Clasificacin de
Controles Automticos
/ Manuales

Seleccin de Riesgos y
Controles a
monitorear

Estrategia de Auditora Interna

Planificacin de
Auditora

Determinacin
Objetivos y Alcance

Desarrollo de
Programas de Trabajo

Procedimientos
manuales y muestrales
vs monitoreo continuo

Determinacin de
Cobertura de riesgos

Proceso de implementacin del monitoreo continuo en 1 y 2 lnea de defensa,

comunicacin y gestin del cambio.

Determinacin de
procesos a
incorporar en
plan tradicional y
procesos a
incorporar a
auditora
continua

Factores a considerar
Riesgos

Controles

Actividad de Riesgo Automtica

Control Automtico

Masividad de la actividad de riesgo

Preventivo

Impacto del Riesgo

Redundancia de Control

Historia de errores / irregularidades

Efecto de mitigacin

Metodologa para Auditora Continua

Inputs

Elementos Crticos

Categorizacin de Riesgos

Monitoreo Continuo

Desarrollo de flujo del proceso desde el

sistema fuente

Identificar sistema fuente y flujo de datos

requeridos

Desarrollo de reglas de negocio, con ajustes

iterativos

Establecimiento de la organizacin requerida

para el modelo

Identificar riesgos y controles de los procesos

a ser evaluados con pruebas analticas

Extraccin de datos y verificacin de

integridad de datos y pruebas requeridas

Desarrollo del modelo analtico para determinar

anomalas

Aplicacin del modelo para el monitoreo

continuo

Determinar pruebas analiticas alineadas con

los controles y reglas de negocio

Anlisis y verificaciones para detectar

desviaciones de los datos obtenidos

Determinar causa raz de anomalas detectadas

Identificar y tratar hallazgos en los procesos

y gestin del cambio

Mapa de procesos
Flujos de procesos

Resultados

Anlisis de Indicadores

Obtencin de Datos

Fuente de Datos

Requerimientos y
especificaciones de datos

ETL

Desarrollo de alertas

Reportes de Excepcin

Reportes de Excepcin

Anlisis de datos

Indicadores y Alertas

DCS

Departamento de Control
de Gestin y Sistemas de
Informacin

reas de aplicacin

reas de aplicacin
Compliance

Fraudes

Operaciones en lnea

Esquemas de Fraude

Riesgos Normativos

Operaciones de clientes

Patrones de conducat

Controles para el Cumplimiento

Uso de sistemas

Pistas en los sistemas

Tendencia de sanciones

Acceso a sistemas

Historia

Eventos frecuentes

Operaciones inusuales

Prdidas / Mermas

Desviaciones

Riesgos Operacionales
Errores

Ejemplo Gestin de Cumplimiento ISO 19.600

Alta Direccin Direccin y Gobernabilidad del Compliance

Requerimientos legales

Compromisos de
cumplimiento

Determinacin
del Alcance

Sistema de Gestin de
Cumplimiento
Obligaciones de Compliance

Compromisos

Requisitos

Acceso Directo

Independencia

Requisitos de Stakeholders

Autoridad y recursos

Identificacin de
Stakeholders

Ejemplo Gestin de Cumplimiento ISO 19.600

Sistema de Gestin de Cumplimiento
Obligaciones de Compliance

Riesgos de Cumplimiento

Transformar Obligaciones en
Riesgos

Sanciones, Reputacin,
Permisos, Ambiental

Evaluacin de Riesgos

Matriz de Evaluacin de
Riesgos

Monitoereo de Riesgos

Indicadores

Operacin del Sistema de Gestin de Cumplimiento

DCS

Departamento de Control
de Gestin y Sistemas de
Informacin

Conclusiones

En la ejecucin de Auditora con Monitoreo Continuo

Programa de Auditora
Controles Asociados
a Riesgos
Control
Control

Prueba de
Cumplimiento
Pruebas
Pruebas

Riesgo

Control
Control

Pruebas
Pruebas

Pruebas

Riesgo

Control
Control

Pruebas
Pruebas

Pruebas

Riesgo

Control
Control

Pruebas
Pruebas

Pruebas

Riesgo

Control
Control

Pruebas
Pruebas

Pruebas

Riesgo

Control
Control

Pruebas
Pruebas

Pruebas

Riesgos a Auditar en
el proceso
Riesgo

Pruebas Sustantivas
Pruebas

Pruebas asociadas a
riesgos y controles
monitoreados
continuamente,
reducen el tiempo de
ejecucin de la
auditoras.
La auditora en estos
casos se limita a
verificar que la
primera lnea ha
tomado las medidas
correspondientes.

En la planificacin de Auditora con Auditora Continua

Procesos

Riesgos

Controles

Procesos

Riesgo
Riesgo

Control
Control

Procesos

Riesgo
Riesgo

Control
Control

Procesos

Riesgo
Riesgo

Control
Control

Procesos

Riesgo
Riesgo

Control
Control

Procesos

Riesgo
Riesgo

Control
Control

Procesos

Riesgo
Riesgo

Control
Control

Los controles que son

auditados de forma
continua, no son
considerados en el
alcance de las
revisiones, por lo que
reduce el tiempo
necesario para
auditarlos.
Esto permite aumentar
los proyectos que son
incorporados al plan
anual de auditora
interna

Algunos Riesgos de Auditora y Monitoreo

Continuo
Cambios en los procesos pueden dejar obsoletos los indicadores.
La primera lnea de defensa puede descansar excesivamente en el
monitoreo de la segunda lnea y estas dos a su vez en la Auditora
Continua.
Dejar de realizar revisiones tradicionales en procesos con riesgos
y/o controles incluidos en el modelo.
Utilizar indicadores no depurados, que generan alertas excesivas
afectando la eficiencia del proceso.
8/5/16

24