View
1.381
Download
1
Category
Preview:
DESCRIPTION
crozen@bdargentina.com
Citation preview
GRC | GoveRnanCe, Risk & ComplianCe
AudiTOríA iNTerNACONTiNuAUn momento opoRtUno paRa optimizaR la FUnCión de aUditoRía inteRna: MeTOdOLOGíA + TeCNOLOGíA
Auditoría Interna Continua Agosto 20124
iNTrOduCCióN
No es casualidad que a los pacientes que ingresan a un establecimiento hospitalario en estado crítico se les deba prestar atención en las “Unidadesde Cuidados intensivos“ o salas de “Terapia Intensiva”, para que puedansobrevivir a través de una atención mucho más especializada y permanente. Estas unidades se caracterizan por contar con tecnología dealta complejidad y por brindar al paciente crítico una atención desde unaperspectiva integral. Concretamente, las unidades de terapia intensivapermiten mediante la medición y cuidado continuo que los conocimientoscientífico- tecnológicos requeridos se traduzcan en menos complicaciones,menos secuelas, mejor calidad de vida y mayor probabilidad de recuperación.
La Real Academia define el concepto de “monitorizar” (lo mas cercano que en español hallamos de “monitoreo”), como “observar mediante aparatos especiales el curso de uno o varios parámetros fisiológicos o de otra naturaleza, para detectar posibles anomalías”. Se trata de una definición acertada ya que, aunque nos hable nuevamente de medicina, se acerca bastante a lo que entendemos como buenas prácticas en otros órdenes, especialmente en las organizaciones empresarias.
El monitoreo es, en efecto, un proceso que se supone inmerso dentro de la llamada función ejecutiva y hace referencia a la supervisión necesaria para la ejecución de la estrategia, procesos, actividades, controles y conductas encaminados al logro de objetivos. Es el proceso por medio del cual los líderes en las organizaciones pueden asegurar de manera razonable que el proceder de la organización esté encaminado adecuada y eficazmente hacia un resultado final, evitando las posibles desviaciones que pudieran presentarse.
De esto se trata el monitoreo o supervisión permanente en las organizaciones.Es una técnica que comenzó a aplicarse en algunas empresas -hace
algunos años en forma algo tímida- y que hoy se presenta como “el futuro del control y de la auditoría”. Su actual crecimiento tiene que ver no sólo con un mejor dominio metodológico por lecciones aprendidas, sino con una mejora sustancial en la tecnología disponible, incluyendo la facilidad en el acceso en materia de costos.
El buen management debe continuamente tomar muestras sobre el funcionamiento de sus controles. Si un sistema de control está bien diseñado y es revisado frecuentemente, podrá brindar la tranquilidad de que serán prevenidas las debilidades de control relacionadas con potenciales errores, omisiones y fraudes significativos o, en su defecto, detectadas para tomar cartas en el asunto.
Las actividades de monitoreo implican entonces que toda debilidad de control interno identificada deba comunicarse oportunamente a los responsables de procesos y, de acuerdo con su importancia, a la Alta Gerencia y al Directorio para que se lleven a cabo acciones correctivas. Así se mantendrá “vivo” el sistema de control interno. Esto no significa que tengan que revisarse todos los controles, ni mucho menos todos a la vez. Eso resultaría, además de cuasi impracticable, ineficiente y costoso.
El método, frecuencia y grado de automatización para realizarlo dependerá de un cuidadoso y nada sencillo análisis. No obstante y sin
5
lugar a dudas vale la pena transitar este camino. Monitoreo Continuo implica definir la frecuencia adecuada para realizar cada chequeo y en este orden de cosas, automatizar las comprobaciones.
La metodología que se recomienda aplicar es un mapeo de todas las actividades de control clave (que mitigan riesgos significativos) dentro decada proceso, así como el análisis de características detalladas de cadacontrol. Una vez finalizado este estudio se definirá la forma de automatizarlas actividades.
De esta forma, el Monitoreo Continuo implica la generación de notificaciones oportunas (alertas) sobre deficiencias de control y otras debilidades en procesos y controles, de los cuales el responsable de controlhace un seguimiento para la mejora continua del proceso en particular y de la organización en general.
Existen nuevas tecnologías muy recomendables de Business lntelligence, que mediante el “Análisis en Memoria” y la utilización de “Modelo Asociativo de Datos” dan mucha velocidad y solidez implementaciones, y ofrecen una experiencia de usuario muy positiva. Para conseguir estos tiempos de respuesta tan buenos, emplean lo que se denomina una “nube de datos” residente en memoria. Esto es algo diferente al “modelo relacional” y los clásicos “cubos”.
Las pruebas frecuentes sobre el funcionamiento de controles no traencomo resultado la explicación profunda de lo que sucedió, sino queconstituyen la “punta del ovillo “ de lo que a priori seria una inconsistencia,una anomalía o un hecho que se ha salido de los parámetros normales. Este hallazgo es lo que justifica la investigación en campo. Según la naturaleza de los hallazgos “a distancia”, se pueden definir luego
EL MONITOREO ES, EN EFECTO, UN PROCESO qUE SE SUPONE INMERSO DENTRO DE LA LLAMADA FUNCIóN EjECUTIvA y hACE REFERENCIA A LA SUPERvISIóN NECESARIA PARA LA EjECUCIóN DE LA ESTRATEGIA, PROCESOS, ACTIvIDADES, CONTROLES y CONDUCTAS ENCAMINADOS AL LOGRO DE OBjETIvOS.
procedimientos de indagación o bien de investigación en la cual el área involucrada no participa (estos últimos casos son excepcionales y ocurren cuando se presume la existencia de fraude).
Muchas veces reemplazar parte de la auditoría interna por este enfoque resulta altamente efectivo, pues no se centrará solo en auditorías programadas previsibles y dará la sensación en la organización de que “el auditor está en todos los temas importantes”, y mejor aún: ¡es la verdad!. Además, existirá una mayor presencia de auditaría con igual dotación y la organización se sentirá más observada por una “gran cámara que todo lo ve”. Por otra parte resulta posible analizar problemas dentro del universo de los registros (no solo muestralmente). y algo que no es poca cosa se descubre mayor cantidad de fraudes (recordemos que en promedio solo el 10% del fraude sale a la luz).
hoy “no son los grandes quienes se comen a los pequeños... son los veloces los que se comen a los lentos”. En esta línea de pensamiento, el control Interno es un gran escudo para las organizaciones que está pidiendo mayor frecuencia y velocidad.
Carlos Fernando Rozen, Socio de BDO.
Artículo extraído de la Revista de IDEA (Instituto para el Desarrollo Empresarial de la Argentina) de junio-julio 2012, Nº 256.
Auditoría Interna Continua Agosto 20126
AudiTOríA iNTerNA CONTiNuA:¿HACiA dóNde vAMOs?
AuTOMATizACióN de LOs prOCesOs iNTerNOs de AudiTOríA
Mayor alcance o alcance total sobre la información revisada
Mediante un enfoque de auditoría continua es posible revisar la totalidad de la información, no limitarlo a una muestra
Auditoría continua = vemos lo que necesitamos sobre el total de transacciones
Mayor frecuencia de revisiones y disponibilidad de la información
Auditoría puede contar con información en tiempo real de todos los procesos (en cuanto a los indicadores definidos en cada proceso, relacionado a su criticidad). De esta forma ya no es necesario que todos los temas relevantes deban esperar al momento en que se revise determinado proceso o ciclo de acuerdo al plan anual de auditoría.
Auditoría continua = revisión de aspectos críticos de los procesos al mismo tiempo= información en tiempo real
Automatización de reportes continuos
La auditoría continua permite contar con “informes spot”, los cuales pueden ser enviados en forma automática o con una instancia de validación previa.
Auditoría continua = mejora continua
Buceo en la información contenida en el modelo de datos
Auditoría continua permite “bucear” en la información contenida en un modelo de datos, y responder a múltiples preguntas por las características tecnológicas de lo que llamamos “modelo asociativo”. También ir desde un hallazgo general a encontrar la mínima unidad (Ej. documento correspondiente a una transacción, comprobante, cliente, vendedor, zona geográfica, entre muchos otros).
Auditoría continua = más inteligencia y mejor direccionamiento de la labor de campo
Uso de “Bookmarks” Las tecnologías de “business discovery” que ha comenzado a utilizar Auditoría Interna cuentan con la posibilidad de ir dejando “marcas” (Marcadores para identificar hallazgos o bookmarks).
Auditoría continua = “discovery audit” = hallazgos continuos
Alertas para identificar anomalías o comportamientos erráticos
Si somos capaces de definir una situación normal (que se corresponde con normas preestablecidas, escritas o no –buenas prácticas-), seremos capaces de determinar las que no se comportan de esa forma. El desafío de la auditoría continua será su automatización. La tecnología disponible permite mediante alertas y alarmas mostrarlas claramente.
Auditoría continua = alertas = obtención de explicaciones y detección oportuna
Adecuación de la frecuencia de las pruebas para detectar problemas significativos
La frecuencia de las pruebas es definida por el auditor de acuerdo al análisis que requiera efectuar.
Auditoría continua = testing a medida
Sinergia entre la auditoría tradicional y la auditoría continua
La revisión de los ciclos planeados más las principales pruebas de auditoría en forma continuada sobre la totalidad de los ciclos genera una posibilita la consolidación de hallazgos obtenidos en auditorías continuas en informes anuales.
Auditoría continua = mayor cobertura
Auditorías con foco en incumplimientos
Facilita la identificación de incumplimientos o situaciones anormales. No se limita más a “lo que se encuentre en campo” sino que se ha realizado un monitoreo previo del proceso.
Auditoría continua = foco en incumplimientos
Validación continua Permite verificar la existencia de comportamientos inusuales luego de las remediaciones efectuadas. La validación es continua, como lo son las remediaciones, entonces la mejora es continua.
Auditoría continua = validación continua
7
MONiTOreO CONTiNuO + AudiTOríA CONTiNuA = AseGurAMieNTO CONTiNuO
El Monitoreo Continuo es un proceso que asiste al management en elcumplimiento de sus objetivos de negocio, permitiéndole sacar conclusiones en forma constante del funcionamiento de su sistema de control interno.
La Auditoría Continua, es un proceso que consiste en realizar comprobaciones de auditoría relevantes, y que evalúa controles clave existentes dentro de los procesos de negocio en forma recurrente, con el fin de asegurarse que los objetivos establecidos por el management se ejecutan de forma aceptable.
Por lo expresado, la Auditoría Continua fortalece al Monitoreo Continuo dado que contribuye a un mejor nivel de Aseguramiento Continuo sobre la ejecución de los procesos de negocio, la gestión de riesgos, y su mitigación mediante los controles existentes. De esta forma la auditoría interna continua es una gran aliada en dar seguridad razonable del cumplimiento de los objetivos establecidos por el management.
AseGurAMieNTO CONTiNuO
Responsabilidad de líderes de negocios
Auditoría Continua Monitoreo Continuo
Responsabilidad de auditoría interna
Auditoría Interna Continua Agosto 20128
AudiTOríA iNTerNA TrAdiCiONAL vs.CONTiNuA
Un enfoque de auditoría interna continua, potenciado con adecuada tecnología ayuda a planificar, ejecutar y concluir trabajos de auditoría interna más eficaces y eficientes, agregar valor a la labor, mostrarlo mejory de manera más fácil a la alta dirección de la organización, y a minimizar
Análisis de casos puntuales
Revisión documental
Alta dotación
Auditoría “añeja”
Puede detectar fraude con baja posibilidad
Utiliza técnicas de auditoría
Requiere conocimientos de normas de la empresa
Tiempo de confección de informes
Auditoría siempre presencial
Análisis del universo
Revisión registros
Dotación mínima
Auditoría ex post pero diaria
Previene el fraude y lo detecta con mayor posibilidad
Utiliza tablero de control
Las exigencias normativas están en los indicadores
Memos estándares
Ante hallazgos, se termina en una auditoría presencial
los costos debido a que implica una salto cualitativo en sus procesos, método de trabajo y aprovechamiento de la tecnología.Se exponen a continuación en forma sintética los aspectos distintivos que diferencian ambos enfoques:
Auditoría tradicional Auditoría continua
9
BusiNess iNTeLLiGeNCe
Tecnología de Inteligencia en los Negocios (Business Intelligence) hace posible aplicar la metodología de Auditoría Continua
Un enfoque de auditoría interna tradicional, descripto en forma muy sintética, comienza con el desarrollo de una evaluación anual del riesgo y el plan anual de auditoría, ambos actualizados sobre la base de los hallazgos referidos a debilidades de control del año anterior, y las remediaciones llevadas a cabo o no por la gerencia. El mencionado plan de auditoría incorpora como ingrediente indispensable el conocimiento e información que maneja el equipo de auditoría.
El trabajo periódico de campo, en general, se realiza sin suficiente información previa, los hallazgos que se detectan son producto del análisis de la información disponible. Normalmente las revisiones de lasdistintas unidades auditables (procesos, áreas, gerencias, sucursales, ubicaciones físicas, entre otras) son anuales, por lo que los hallazgos detectados pierden oportunidad. Incluso a veces “ya es demasiado tarde”.
Frecuentemente los Informes de Auditoría se emiten en forma extemporánea debido no solo a lo antedicho, sino a que la discusión de hallazgos, confección, revisión, y aprobaciones internas llevan tu tiempo. Consecuentemente la comunicación también pierde oportunidad. Los hallazgos aceptados producen compromiso de remediación por parte de las diferentes gerencias (responsables de procesos); sin embargo su
seguimiento por parte de Auditoría Interna no resulta ser nada sencillo.El método de auditoría interna continua no implica un “borrón y cuentanueva”, sino incorporar determinados elementos en el enfoque (soportadosalgunos de ellos en tecnología) que marcarán sustanciales diferencias.
La auditoría interna continua posibilita modificarel alcance y frecuencia de las auditorías previstasde acuerdo a las “situaciones irregulares o anormales” detectadas, otorgando mayor flexibilidad al Plan de Auditoría para cumplir conlas necesidades de la organización.
Las observaciones puntuales obtenidas con la aplicación de la auditoríacontinua, ayudan a su vez al desarrollo de mejores auditorías tradicionales,evitando iniciar el trabajo de campo “a ciegas” dado a que se contará con información de gran calidad de manera previa al inicio de cada proyecto de auditoría.
A su vez la auditoría interna continua posibilita ver la pre-existencia (o no) de las anomalías ya observadas luego de efectuarse las remediaciones correspondientes.
Evaluación Anual de Riesgo
Trabajo Periódico de Campo
Informe de Auditoría del Ciclo de Negocio
Seguimiento de los planes de remediación
Elementos de auditoría tradicionalElementos de auditoría continua
Plan de Auditoría
Evaluación continua Más flexible Auditoría Continua Tablero de control En forma continuada
Informe de ObservacionesPuntuales
Ejecución automática de los controles
Auditoría Interna Continua Agosto 201210
veNTAjAs de LA AudiTOríA CONTiNuA iMpLeMeNTAdA CON TeCNOLOGíA de BusiNess iNTeLiGeNCie
Business Intelligence (BI) presenta la ventaja de una evaluación inteligente e ininterrumpida de las operaciones, sus riesgos y controles.
Genera notificaciones oportunas sobre deficiencias y puntos débiles, de los cuales el auditor interno hace un seguimiento para la mejora continua del proceso en particular y de la organización en general.
Es muy importante determinar la “Frecuencia” del Monitoreo Continuo, para ello debemos considerar los siguientes puntos:
• Características propias del proceso• Naturaleza de la actividad de control a monitorear (preventiva,
detectiva, manual, automática, frecuencia)• Nivel de riesgo involucrado (Probabilidad x Impacto ($))• vulnerabilidades existentes• Otros factores de riesgo en los EECC: (Materialidad, volatilidad,
subjetividad, historial de hallazgos anteriores)• Relevancia de las transacciones a controlar• Requisitos externos o del entorno relacionados con Compliance• Ciclos de actualización de los orígenes de los datos• Accesibilidad a los datos / información• Relación costo / beneficio estimada
11
iMpLeMeNTACióN deL eNfOque de AudiTOríA CONTiNuA
El Proyecto de Auditoría Continua se compone de distintas fases las cuales hay que completar para lograr los resultados esperados.
Alcance inicial
Identificación de equipos
Cronograma preliminar
Definir
Diseño de la solución
Desarrollo de las aplicaciones
Armado de ambientes y arquitectura
Desarrollar
Relevamientos detallados
Documentación técnico / funcional
Categorización del proyecto
Preparar
validación de datos
validación de cálculos
Revisión interfaz
Testear
Capacitación usuarios finales
Pasaje a producción
Sing off
Puesta en Marcha
Un Proyecto de Auditoría Continua se compone de distintas etapas, las cuales hay que completar para lograr los resultados esperados.
Para el abordaje de un proyecto de estas características recomendamos los siguientes pasos
definir el alcance del proyecto, los objetivos de control y proceso/s de negocios que serán evaluados
Conocer el presupuesto y los recursos disponibles (internos o externos) y las habilidades funcionales de los mismos
Comprender la tecnología disponible en la compañía, y de ser necesario evaluar la compra de una nueva
definir los participantes del proyecto ( auditoría interna, tecnología de la información, Responsables de procesos de negocios, Colaboradores externos), establecer claramente sus funciones y responsabilidades dentro del mismo.
determinar con los participantes del proyecto, un plan de trabajo que incluya el la inversión de tiempo necesaria de cada uno, y el monitoreo del proyecto.
involucrar a los interesados en el proyecto en todas las fases del mismo, incluyendo la figura del sponsor por parte la compañía (preferentemente Ceo/Comité de auditoría).
identificar los orígenes de los datos y fuentes de información (tablas, bases, sistemas). elegir las bases adecuadas, conocer su estructura
Comprometer al área de tecnología de la información en el proyecto, ellos nos ayudarán a obtener los datos y a los Responsables de los procesos de negocio, quienes validarán la información obtenida para el desarrollo del modelo.
determinar la naturaleza, frecuencia, alcance y oportunidad de los análisis (controles, pruebas de auditoría y sus alertas) a requerir de las aplicaciones.
Cerrar “mini proyectos”, probarlos, calibrarlos, usarlos en un caso real, transformarlos en casos de éxito.
difundir los resultados del nuevo enfoque de auditoría interna como caso de éxito (vender el proyecto), incorporar nuevos procesos al enfoque y logrando un crecimiento en el mismo. lograr entonces completar el “tablero de auditoría interna online”.
mejorar continuamente
1
2
3
4
5
6
7
8
9
10
11
12
Auditoría Interna Continua Agosto 201212
esTruCTurA deL prOYeCTO
A continuación se propone una estructura organizativa básica para este tipo de proyecto
Sponsor Comité Ejecutivo
Sponsor Auditoría Interna
Equipo de Auditoría Interna
Líder de la Unidad de Negocio / TI/ AI
Directorio (Comité de AI, CEO, CFO)
Director Auditoría Interna
Directores /Gerente de Negocio
Directores / Gerente de TI
Expertos en Auditoría Continua
Líder del proyecto (Auditoría Interna)
Auditores Internos
Asesor Experto en Auditoría Continua
Analistas Expertos en Sistemas
Asesores externos ( mejores prácticas / benchmarking)Colaboradores importantes para el éxito de proyectoEquipo del Proyecto
13
HACiA uN MOdeLO de AudiTOríA iNTerNA CON uN “TABLerO de CONTrOL de LOs prOCesOs”
5 Elementos del Modelo de Auditoría Interna Continua
1 2
345
eLeMeNTOs pArA Medir eL reTOrNO de LA iNversióN
AudiTOríA iNTerNA CONTiNuA
100 % de cobertura en la revisión de datos Mayor control en procesos críticos Aumenta la frecuencia de las revisiones en
aquellos procesos que reportan desvíos
Utilización de una herramienta ágil y flexible que permite una rápida implementación
Mejora en el ambiente de controlMayor probabilidad de prevención de
fraudes, por su efecto disuasivo y alto poder de detección de los mismos
Tablero de Auditoría Interna Continua Modelo de Auditoría Continua (para cada proceso)
Desagregación en Indicadores de AuditoríaContinua (para cada proceso)
Informe “Spot” con Casos Anómalos (para cada indicador)
Bookmarks, Informes Automáticos y Alertas de Auditoría Continua de Compras
Compras
Comercial
RRhh
Accounting
Activo Fijo
Producción
Logística
6
9
7
7
7
8
8
Becher y Asociados S.R.L, una sociedad Argentina de responsabilidad limitada, es miembro de BDO International Limited, una compañía limitada por garantía del Reino Unido, y forma parte de la red internacional BDO de empresas independientes asociadas. BDO es el nombre comercial de la red BDO y de cada una de las empresas asociadas de BDO. Esta publicación ha sido elaborada detenidamente, sin embargo, ha sido redactada en términos generales y debe ser considerada, interpretada y asumida únicamente como una referencia general. Usted no debe actuar o abstenerse de actuar de conformidad con la información contenida en este documento sin obtener asesoramiento profesional específico. Becher y Asociados S.R.L., sus socios, empleados y agentes no aceptan ni asumen ninguna responsabilidad o deber de cuidado ante cualquier pérdida derivada de cualquier acción realizada o no por cualquier individuo al amparo de la información contenida en esta publicación o ante cualquier decisión basada en ella.
CONTACTO
Carlos Rozen, Socio crozen@bdoargentina.com Carina Espeche, Gerente cespeche@bdoargentina.com Maipú 942 1° pisoC1006ACN Buenos Aires, ArgentinaTel.: 54 11 4106 7000 Fax: 54 11 4106 7255
www.bdoargentina.com
Si su dispositivo móvil lo permite, escanee el código
y acceda a nuestra web.
Recommended