11

A D V I S O R Y

Auditoría Contínua / Monitoreo Contínuo (CA/CM) para administrar el riesgo y desempeño

Alain Bismark Almeida Diazabalmeida@kpmg.com+57 316 335 89 55

2

Auditoría ContinuaLa Teoría

33

Antecedentes de CA/CMQue es diferente esta vez?

“Historico”

• Concepto Teórico – “en sumayoría académico”

• Falta de soporte de la Alta Dirección

• Tecnológicamente pesado

• Implementación costosa

• Falta de Habilidades

• Auditoria basada en cumplimiento

“Actual”

• Avances significativos en tecnología

• Práctico y realista

• Drivers de negocio masevidentes

• Opciones de Tecnología con mejor relación costo-beneficio.

• Desarrollo de habilidades en la función de auditoríainterna

4

El Modelo de Madurez del Gobierno

Administración – Controles

Menos Maduro

Más Maduro

Controles Manuales

ControlesAutomatizados

Controles Establecidos

Pocos Controles con Amplio Cubrimiento

Monitoreo Automatizado

Monitoreo en TiempoReal

ValidacionesPeriódicas

Manual testing

Transaction based

Continuous testing

Data analysis

Automated alerts

ControlesDuplicados y Traslapados

Administración– CM de Controles

Absorción en el ambiente de control

Different controls for each ERP

No se ValidanControles

Control Manuals

Auditoría Externa– CA de CA y CM

Tableros de Control

PruebasManuales

PruebasSustantivas

Análisis de Datos

Basadoen el Riesgo

AlertasAutomatizadas

PruebasAutomatizadas

Auditoría Interna– CA de CM

Pruebas Manuales

AlertasAutomatizadas

Basado en Controles Basado en el

Riesgo

PruebasAutomatizadas

Pruebas Cíclicas

Análisis de Datos

Tableros de ControlAutoevaluación

Fuen

tede

Ase

gura

mie

nto

5

Aplicación PrácticaEl Modelo Adoptado

6

Principales Tipos de Tecnología

SAPOracle

SAP

Auditado Auditor

Extracción Carga Pruebas

Alternativa 1 – análisis de datosEjemplos : Bizrights, ACL CCM, Business Objects

Revisión Seguimiento

7

Principales Alternativas de Tecnología

SAPOracle

SAP

Auditado Auditor

Monitor Reporte Seguimiento

Alternativa 2 – monitor embebido en la fuenteEjemplos : SAP GRC, Xalerts (KOLA), Módulos de Auditoría Embebidos

Seguimiento

8

Servidores de Datos

Administador

Base de Datos

Base de Datos

Servidor de CorreosServidor de

CorreosEquipo de Auditoría

OFICINA DEL AUDITOR OFICINA DEL AUDITADO

Administrador de KOLA

Modelo de Auditoría KOLA

PC con KOLA

PRUEBAS DE AUDITORÍA•KPIs•Excepciones:

•Transacciones•Fallas de Control•Cambios en Control

•Análisis y Razones•Brechas de Seguridad•Segregación Funciones

1

2

3

4

5

9

Resumen KOLA – Ventajas

Trabaja con cualquier base de datos No se necesita “extraer” los datos fuera de

las instalaciones del cliente Configuración Rápida, esfuerzo mínimo por

parte del cliente No se instala ningún software en los sistemas

del cliente Los eventos de auditoría son notificados

por email Auditoría proactiva Auditoría de Controles , incluyendo los

preventivos Monitoreo de Sitios Remotos

DB2.

10

Ejemplo Pruebas de Auditoría

Indicadores Clave de Desempeño

Extracción mensual del balance del libro mayor y el TB Comparación de las pérdidas de inventario por depósito Relaciones calculadas

Reportes de Excepción

Brechas en los límites de crédito Variaciones en sucursales bancarias Ajustes de asientos de diario grandes, con valores redondeados

o en horarios extralaborales

Monitoreo de Datos Cambios en los maestros de costos y precios estándar Cambios a los datos de cuentas por pagar – Detalles

Bancarios Cambios en la Configuración de los Sistemas – controles

deshabilitados, cambios en el límite de crédito

Monitoreo de la Seguridad

Inicios de Sesión fallidos o en horarios extralaborales Debilidades en la segregación de funciones Cambios inusuales en los derechos de acceso, nuevos

super usuario creados

eMail report

Workpaper

KPI Report

Control change

1111

Beneficios implementación CA / CM

CA brinda mayor eficiencia, mejora los controles, información temprana y reduce complejidad.

Junta Directiva / Comité Auditoría

Administración Internal Audit

Mejora el entendimiento de riesgos de negocio en la organización.

Mejora el Gobierno Corporativo

Mejora reporte a la junta y CA

Permite a la alta dirección tener una mejor visibilidad de la organización mejorando su capacidad de supervisión .Mejora el Gobierno Corporativo.

Mejora la información para toma de decisiones.

Reducción de esfuerzos de trabajo.

Mejora aprovechamiento inversión tecnología.

Reduce sorpresas.

Identificación de ‘issues’ cerca a la ocurrencia.

Mejora la capacidad de probar un rango de controles mas amplio incluyendo seguridad, segregación de funciones y controles a nivel de procesos a un costo reducido y de manera mas oportuna.

Mejora velocidad de reporte al negocio.

Mejora información para focalizar esfuerzos de auditoría.

Mejora el mantenimiento del perfil de riesgos.

12

Metodología KPMGComo Implementar la Auditoría Continua

13

Metodología CA

Examinar el Plan de Auditoría

Diseñar lasPruebas de Auditoría

Implementarlas Pruebasde Auditoría

Seguimientoa

Excepciones

Refinamiento de las Pruebas de Auditoría

14

Sistema A

Metodología CA - adaptación

SistemaAuditado

Configuraciónde

KOLAMonitoreo

Sistema B

SistemaAuditado

Configuraciónde

KOLAMonitoreo

Sistema C

SistemaAuditado

Configuraciónde

KOLAMonitoreo

Un enfoque para una auditoría nueva , o para los casos donde no se encuentra un entendimiento detalladode los sistemas

15

El SoftwareVistas Seleccionadas

16

Administración de las Pruebas de Auditoría

Carpetas para las pruebas

Lista de todas las pruebas disponibles. Biblioteca de las pruebas que puedenser personalizadas y agregadas

KOLA test folders

17

Interfaz GUI Intuitiva

Las pruebas se construyen arrastrando los módulos apropiados al escritorio y

enlazándolos para ser ejecutados en la secuencia requerida.

Modulosde

IniciaciónMódulosde Salida

Modulos de Formato

Módulos de Procesamiento

Módulosde

Auditoría

Módulo de Entrada de

DatosMódulos de

Destinatarios

18

El Tablero de ControlVistas Seleccionadas

19

Página de Resumen de los resultados

Resumen de las pruebas que se han corrido

Filtros para cambiar la visualización de los resultados– ID de la prueba o por fechas

Seleccionarpara obtenermas detalles

Fecha y Hora de Revisión por parte del

auditor

Nombre de la Prueba

Descripción del Reporte

Excepciones reportadas y el progreso para seguimiento,

rojo= O/S, amarillo = en progreso, verde = completo

Fecha y Hora de la corrida

Lista de pruebasconfiguradas en Xalerts

20

Página de Detalle del Tablero de Control

Ampliación del detalle de las

transacciones y de los resultados de las

pruebas

Visualización del trabajo completado

y pendiente

21

Como KPMG puede ayudar?

• Diseñar e implementar CA/CM enfoquebasado en riesgos:

- Dashboards- Analíticos (incluyendo fraude y

riesgos específicos)- Reportes (Basados en áreas,

procesos o transacciones)- Protocolos de Administración

• Notificación• Reporte• Respuesta• Investigación

• Ejecutar proyectos individuales de CA

• Evaluar procesos anti-fraude comoparte del enfoque de CA/CM

• Automatización de Controles

• Integración con iniciativas de Gobierno, Riesgo y Cumplimiento

• Integración con iniciativas de inteligencia de negocios

• Análisis sofisticados de datos

• Evaluación y recomendación de herramientas

• Entrenamiento

• Evaluación de Riesgos y alcance

22

Alain Bismark Almeida Diazabalmeida@kpmg.com

+57 316 335 89 55