Retos y lecciones aprendidas de un caso real en COPA...
Transcript of Retos y lecciones aprendidas de un caso real en COPA...
Claudia Gutiérrez MBAGerente Senior Auditoría Interna y de TI de COPA Airlines
Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit Quality Assessment Socio Director – Global Advisory Solutions
Julio 2015
METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
AGENDAMETODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines
• Introducción y antecedentes
• Consideraciones iniciales
• Estrategia de implementación
• Resultados/Desarrollo de pruebas
• Factores de éxito
• Próximos pasos
• Conclusiones
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
INTRODUCCIÓN Y ANTECEDENTES
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Factores que influyen en la transformación de la función Auditoría Interna
• El entorno dinámico del negocio
• Expectativas de la Alta Gerencia y el Comité de Auditoría
• Uso creciente de las Tecnologías de la Información
• Rentabilidad
• Enfoque estratégico
Antecedentes
Todos los derechos reservados. Prohibida su reproducción no autorizada.
La Auditoría Interna está evolucionando…..
TRADICIONAL• Reactiva• Financiera• Alcance limitado• El policía/vigilante• Orientada al reporte• Función separada
EMERGENTE• Proactiva• Múltiples áreas de negocio• Alcance toda la empresa• El estratega/consejero• Orientada a las relaciones• Valor agregado en el negocio
Antecedentes
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Las principales competencias requeridas en la contratación de un auditor
• Pensamiento analítico y crítico 75%
• Habilidades de comunicación 58%
• Risk Management Assurance 44%
• Conocimientos generales de TI 41%
• Data mining y análisis de datos 40%
• Conocimientos de la industria 36%
Fuente: The Global Pulse of the Profession. July 2014. IIA. Audit Executive Center.
Antecedentes
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• El proceso de “auditoría continua” surgió alrededor de 1989 mediante los esfuerzos de Vasarhelyi y Halper para medir y analizar el proceso de facturación en la empresa internacional AT&T.
• Se enfocaron al proceso de auditar extensas bases de datos, para establecer estándares y comparar las operaciones contra los mismos y emitir alarmas cuando sea necesario.
Fuente: Vasarhelyi, M.A. and Halper, F. B., 1991, The Continuous Audit of Online Systems, Auditing: A Journal of Practice and Theory
Antecedentes
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Es un proceso y metodología para auditar en tiempo real
• “Auditoría continua es una nueva metodología en evolución con relevancia y aplicación potencial en empresas contemporáneas que sean ricas en tecnología […] que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua, y por ende alimentar la necesidad para auditoría y monitoreo continuo”Fuente: Continuous Auditing: An Operational Model for Internal Auditors - Mohammad J. Abdolmohammadi, DBA, CPA & Ahmad Sharbatouglie, Ph.D(The IIA Research Foundation)
• “Método automatizado utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia”Global Technology Audit Guide (GTAG) Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
¿Qué es auditoría continua?
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Auditoría Continua NO ES …
• Monitoreo continuo – Mecanismo de retroalimentación, principalmente usado por la administración para asegurar que los sistemas de operación y las transacciones se procesan según lo prescrito.Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA)
• Auditoría Continua NO ES …
• Aseguramiento Continuo - Proporcionar una opinión continua de aseguramiento sobre los sistemas o las transacciones. Una opinión continua puede representar la opinión de un auditor de que los controles están operando satisfactoriamente, a menos que se reporte lo contrario en un informe.Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA)
¿Qué NO es auditoría continua?
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PRÁCTICA
Proceso que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia.
Lo anterior es….
a) Monitoreo Continuo
b) Aseguramiento Continuo
c) Auditoría Continua
d) Pruebas CAATs
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PRÁCTICA
El monitoreo continuo es responsabilidad de...
a) Auditoría Interna
b) Auditoría Externa
c) La administración
d) El Comité de Auditoría Interna
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Enfoque tradicional
– Se asume que la efectividad de los controles aumenta después de los resultados y recomendaciones de cada auditoría.
– Sin embargo, reduce con el pasar del tiempo hasta los resultados de la siguiente auditoría.
Efectividad de los controles
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Enfoque Auditoría Continua
– La efectividad de los controles se mantiene a niveles aceptables dado que se están probando de manera continua y reportando los resultados con la ocurrencia de un evento o poco después del mismo.
Efectividad de los controles
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Efectividad de auditorías periódicas
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Efectividad de las auditorías continuas
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Practice Advisory 2320-3: Audit Sampling (Muestreo de Auditoría)– 2240 – 1 Programa de trabajo
– Los auditores Internos deben desarrollar y obtener aprobación de sus programas de trabajo antes de iniciar la ejecución de su trabajo de auditoria. El programa de trabajo incluye las metodologías a utilizar , tales como auditorias basadas en tecnología y técnicas de muestreo.
Según el IIA, la auditoría continua puede permitir al auditor revisar la
totalidad de la población, mientras que técnicas de muestreo facilita la
selección de menos de un 100% de la población.
Auditoría Continua y el IIAPublicación 2015
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Practice Advisory 2320-4: Continuous Assurance(Aseguramiento continuo)
• 2320: Analysis and Evaluation
• Los auditores Internos deben basar sus conclusiones y resultados de sus evaluaciones en análisis apropiados.
El IIA reconoce que el aseguramiento continuo puede obtenerse mediante
una combinación de las responsabilidades de monitoreo continuo de la
administración y las actividades de auditoría continua del auditor.
Auditoría Continua y el IIAPublicación 2015
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PRÁCTICA
En las prácticas de trabajo (“Practice Advisories” del Marco Internacional de la Práctica Profesional (MIPP) del IIA, el estándar que habla de aseguramiento continuo es
a) 2320-4
b) 2110
c) 2120
d) 2600
Aseguramiento Continuo
Gobernabilidad
Gestión de Riesgos
No existe!
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Antecedentes – COPA Airlines
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Antecedentes – COPA Airlines
QUIT
O
POR
T AU
PRIN
CEVALE
NCIA
CARTA
GENA
LOS
ANGELE
S
GUADALAJ
ARA
MEXI
CO
NUEVA
YORK - JFKWASHINGTON
D.C
ORLAN
DOMIA
MI
CANCU
N
HAB
ANA
GUATE
MALASAN
SALVADOR
PUN
TA
CAN
A
SANTI
AGOSAN
JUAN
PORT OF
SPAIN
AR
UB
A
MARACA
IBO CARA
CAS
BARRANQUILL
A
GUAYA
QUIL
LIMA
BELO
HORIZONTE
RIO DE
JANEIRO
MONTEVID
EO
BUENOS
AIRES
CORD
OBASANTIAG
O
C
A
LI
MANA
US
TEGUCIG
ALPA
SANTO
DOMINGO
BOG
OTA
SAN
PEDRO
SULA
SAO
PAULO
SAN
ANDRES
MEDE
LLIN
SANTA
CRUZ
KINGS
TON
MANA
GUA SAN
JOSE
SMR
CUCU
TABUCARAM
ANGA
ST
MAARTEN
PORTO
ALEGRE
NAS
SAU
TORO
NTO
BRASILIA
ASUNCIO
N
PEREI
RA
LETICI
A
CHIC
AGO
MONTE
RREY
MONTEG
O BAY
LAS
VEGAS
LIBE
RIA
CURAÇ
AO
RE
CIF
E
IQUI
TOS
BOSTO
N
73 destinos
en 30 países
99 aviones
NOTE: Copa’s Route Network for Jul-13
280 Vuelos diarios
Miembro Star Alliance
Connect Miles
90.5% puntualidad
Seis veces premiada como mejor Aerolínea de Centro América y el Caribe en los últimos diez años.
“Mejor Aerolínea de Centro América y el Caribe y Mejor Personal de Cabina y Aeropuertos”. SkyTrax junio 2013.
CONSIDERACIONES INICIALES
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Consideraciones iniciales
• Crecimiento sostenido• Mayor competencia mercado• Recursos limitados AI• Cumplimiento regulatorio (Ley
Sarbanes-Oxley)• Auditoría basada en riesgo• Certificación de Calidad• Uso de TAAC´s• Evolución del perfil auditor
• Mayor volumen transacciones• Mayor cobertura auditoría• Mayor demanda valor agregado• Auditorías eficientes y efectivas• Matrices riesgo-control-test• Narrativas procesos• Normas, estándares, best
practices• Pruebas automáticas• Pensamiento analítico,
comunicación, riesgo, tecnología
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PRÁCTICA
¿Cuáles de los factores debe ser una consideración para implementar “auditoría continua”?
a) Nivel de tecnología de la empresa.
b) Entorno regulatorio.
c) Alcance de las revisiones.
d) Trabajar menos.
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
ESTRATEGIA DE IMPLEMENTACIÓN
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
ENTENDIMIENTO DEL NEGOCIOActividades
• Conocer la Estructura Organizacional y ubicaciones importantes
• Evaluar los planes estratégicos vigentes• Identificar y comprender las unidades de negocio y/o
procesos críticos• Evaluar el entorno de Tecnología de Información que
soporta los unidades de negocio y/o procesos críticos
Pasos de implementación
Identificar Riesgos y Controles
Planificación de la Auditoría
Ejecución de la Auditoría Continua
Evaluar Resultados y
Emitir Reporte
ENTENDIMIENTO DEL NEGOCIO
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
IDENTIFICAR RIESGOS Y CONTROLES Actividades
• Seleccionar las unidades de negocio y/o procesos críticos que deben evaluarse
• Revisar métricas de riesgo y categorización• Revisar los controles claves existentes para mitigar los
riesgos significativos• Seleccionar riesgos y controles a ser considerados en el
proceso de Auditoría Continua
Pasos de implementación
Entendimiento del Negocio
Entendimiento del Negocio
Planificación de la Auditoría
Ejecución de la Auditoría Continua
Evaluar Resultados y
Emitir Reporte
IDENTIFICAR RIESGOS Y
CONTROLES
IDENTIFICAR RIESGOS Y
CONTROLES
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
• Ejemplos de consideraciones de métricas y categorización de riesgos
Ejemplo – Categoría de Riesgos
Estratégico Operativo Cumplimiento Financieros
Riesgos relacionados con la implementación de estrategias de negocio equivocadas.
Riesgos relacionados a la operación diaria del negocio.
Riesgos relacionados a violar legislaciones relevantes y obligaciones contractuales.
Riesgos relacionados a gestionar, controlar y reportar riesgos financieros.
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Ejemplo – Escala de categorización de Riesgos
ImpactoEl impacto a las operaciones del negocio y su habilidad para cumplir objetivos estratégicos.
BajoBajo impacto a las operaciones y la habilidad para cumplir con los objetivosestratégicos.
ModeradoImpacto considerable a las operaciones y la habilidad para cumplir con losobjetivos estratégicos.
AltoAlto impacto a las operaciones y la habilidad para cumplir con los objetivosestratégicos.
ProbabilidadPosibilidad de que el evento ocurra en los siguientes 1 a 3 años
BajaBaja probabilidad de que ocurra en los siguientes 1 - 3 años.
MediaProbabilidad media de que ocurra en los siguientes 1 - 3 años.
AltaAlta probabilidad de que ocurra en los siguientes 1 - 3 años.
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Ejemplo – Mapa de Riesgos
Escala de Categorización
Impacto:El impacto a las operaciones del negocio y la habilidad de cumplir con los objetivos estratégicos.
Probabilidad:Posibilidad de que el evento ocurra en 1 a 3 añosP
rob
abili
dad
Impacto
Probable
Posible
Improbable
Alto Medio Alto
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Ejemplo – Mapa de Riesgos
AltaLos riesgos en esta categoría son significantes en consecuencias y amenazan la habilidad de la organización para cumplir sus objetivos estratégicos y son de alta probabilidad de ocurrencia.
Medio
Los riesgos en esta categoría pueden tener altas consecuencias pero son menos probables de que ocurran. Alternativamente, pueden tener bajas consecuencias pero con más probabilidad de ocurrencia.
BajoEl riesgo en esta categoría tendrá consecuencias limitadas para que la organización cumpla sus objetivos estratégicos y son poco probables de que ocurran.
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Ejemplo – Narrativas y Diagramas de Proceso
CONTROL
CONTROL
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Ejemplo Modelo General de Matriz de Riesgos y Controles
OBJETIVO
DESCRIPCIÓN DEL RIESGO
• IMPACTO• PROBABILIDAD
• CATEGORÍA
TIPO DE CONTROLAutomático
ManualPreventivoDetectivoCorrectivo
DESCRIPCIÓN DE CONTROLES EXISTENTES
DISEÑO DE PRUEBA DE AUDITORÍA CONTINUA
Modelo General de Matriz de Riesgos y Controles
RESPONSABLE DEL CONTROL
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PRÁCTICA
Las narrativas de procesos nos pueden ayudar a...
a) Identificar controles claves
b) Conocer más a las personas del proceso
c) Saber cómo eliminar los riesgos
d) Determinar el tiempo de la auditoría
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PRÁCTICA
Una matriz de riesgos y controles no necesita incluir...
a) Dueños del control
b) Tipo de riesgo
c) Tiempo de existencia del control
d) Si el control es manual o automático
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PLANIFICACIÓN DE LA AUDITORÍA CONTINUAActividades
• Determinar el nivel de automatización de los controles claves• Identificar y comprender si los controles claves están basados en datos
de los Sistemas de Información (SI)• Conocer y comprender las fuentes de datos de los SI• Evaluar las herramientas de Auditoría Continua existentes (Desarrollo
interno, análisis de datos, Business Intelligence, etc.) • Evaluar competencias del personal de Auditoría Interna para realizar
las pruebas de Auditoría Continua
Pasos de implementación
Entendimiento del Negocio
Identificar Riesgos y Controles
Ejecución de la Auditoría Continua
Evaluar Resultados y
Emitir Reporte
PLANIFICACIÓN DE LA
AUDITORÍA
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
PLANIFICACIÓN DE LA AUDITORÍA CONTINUAActividades
• Definir los objetivos de la Auditoría Continua• Obtener aprobación del Comité de Auditoría, Alta Dirección y/o Junta• Determinar el nivel en que la Administración ha implementado
monitoreo continuo• Considerar el área de Tecnología (TI) durante todo el proceso• Determinar el alcance y nivel de frecuencia de las pruebas• Establecer fuentes de información para realizar las pruebas• Asegurar tener los accesos requeridos a dichas fuentes de información• Determinar confiabilidad de los datos
Pasos de implementación
Entendimiento del Negocio
Identificar Riesgos y Controles
Ejecución de la Auditoría Continua
Evaluar Resultados y
Emitir Reporte
PLANIFICACIÓN DE LA
AUDITORÍA
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Posibles fuentes de información para un esquema de auditoría continua pueden ser...
a) Registros de acceso a una aplicación
b) Creación de cuentas de cliente en el sistema
c) Firmas de autorización en actas de trabajo
d) Comprobantes de cheques firmados
PRÁCTICA
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
EJECUCIÓN DE LA AUDITORÍA CONTINUAActividades
• Realizar pruebas sobre los controles identificados.• Identificar desviaciones o deficiencias en los controles
identificados.• Investigar las razones de las deficiencias identificadas.
Pasos de implementación
Entendimiento del Negocio
Identificar Riesgos y Controles
Planificación de la Auditoría
Evaluar Resultados y
Emitir Reporte
EJECUCIÓN DE LA AUDITORÍA
CONTINUA
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
EVALUAR RESULTADOS Y EMITIR REPORTESActividades
• Establecer niveles de prioridad sobre los resultados. • Preparar recomendaciones y emitir informes.• Re-evaluar y actualizar (de ser necesario) el diseño de
las pruebas de Auditoría Continua.
Pasos de implementación
Entendimiento del Negocio
Identificar Riesgos y Controles
Planificación de la Auditoría
Diseño de la Auditoría Continua
EVALUAR RESULTADOS Y
EMITIR REPORTE
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
RESULTADOS/DESARROLLO DE PRUEBAS
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Establecer niveles
Establecer por ejemplo, tres (3) niveles para la medición de los posibles hallazgos identificados:
• Nivel 1= Envío de la situación al dueño del proceso con copia a su superior. Esto Implicaría la resolución inmediata del problema y posible llamado de atención verbal.
• Nivel 2= Envío de la situación al encargado del área con copia a la Alta Dirección. Integraría la resolución inmediata del problema y un llamado de atención escrita.
• Nivel 3= Envío de la situación al encargado del Área con copia al Comité de Auditoría. Esto contemplaría la resolución inmediata del problema y notificación escrita con copia al expediente de las personas involucradas.
FUENTE: Cobit 4.1 – Resumen Ejecutivo, ISACA www.isaca.org
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Desarrollar pruebas: Creación de proveedoresObjetivo de la Prueba: Verificar que se de una depuración oportuna de la información de los maestros de proveedores, y asegurar la calidad e integridad de los datos de proveedores.
Pruebas a realizar: Obtener los maestros de proveedores en los sistemas correspondientes y verificar:
• Que no existan proveedores que no hayan sido utilizados en un periodo.
• Que no existan proveedores duplicados (por número de auxiliar, NIT, nombre -similitud-, cuenta bancaria, etc.), o con información faltante (descripción, cuenta, nombre genérico).
• Que no existan auxiliares vigentes correspondientes a empleados con estatus de BAJA
• Que no existan auxiliares de proveedores correspondientes a empleados (activos o inactivos).
Frecuencia Sugerida: Diaria
Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC y del personal de empresa en sistema XYZ.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Desarrollar pruebas: Procesamiento de PagosObjetivo de la Prueba: Identificar de forma oportuna la ejecución de pagos duplicados.
Pruebas a realizar: Obtener el listado de pagos diarios y verificar que no existan pagos duplicados en un periodo determinado.
• Identificar pagos duplicados a proveedores.
• Pagos realizados en Panamá al mismo proveedor en otras ubicaciones.
• Posibles pagos en la cta. x pagar de proveedores y en otra diferente.
• Posibles cargos a la cta. de gastos y a la cta. x pagar de proveedores.
• Coincidencia por Auxiliar, Factura, Descripción, Monto, Finiquito.
• Asegurar la revisión de las cuentas por pagos duplicados en moneda local y en dólares.
• Identificar pagos de los sistemas ABC, realizados también por Cheques manuales.
Frecuencia Sugerida: Diaria
Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Desarrollar pruebas: Ejecución de PagosObjetivo de la Prueba: Asegurar que los pagos sean aprobados por personal autorizado y de acuerdo a los montos.
Pruebas a realizar
• Verificar la autorización de los pagos en banco de acuerdo a los niveles y montos autorizados. Adicional, verificar que no existan pagos fraccionados que superen los límites de autoridad.
Frecuencia Sugerida: Diaria
Alcance: Bases de datos del sistema XYZ
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Resultados de Auditoría Continua de Pagos
1. Comparación Mensual de Excepciones
2. Excepciones del sistema de contabilidad
3. Excepciones del sistema para pago de proveedores internacionales
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Proceso de Pago a Proveedores
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Comparación Mensual de Excepciones
1295
20522144
1604
1085
14001301
840 839 888754
893 863767
0
500
1000
1500
2000
2500
Enero Febrero Marzo Abril Mayo Junio Julio
Auditoría Continua - Proceso de Pagos
Sistema CG
CitiDirect
Excepciones mensuales identificadas entre Enero y Julio 2013
Excepciones del sistema de contabilidad
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Pagos a Proveedores
4
8
6
4
3
9
3
1
0
3
2
9
0
5
0
1
2
3
4
5
6
7
8
9
10
Enero 13 Febrero 13 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13
Pago a Empleados Registrados como Proveedor
Pagos Sin Numero de Docs
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Pagos a Empleados Registrados como Proveedor
Status Tipo Codigo Nombre NIT Zona ID Estado Cedula Empresa Fecha Numero ImporteV PN 1000113 DANIELA BRANDIMARTI 29126337 ATORP 12834 ACTIVO 29126337 HEADQ 1130607 5 188.85V PN 16269 PAGES DEBORA 0922005160 ATOPE 11305 ACTIVO 0922005160 HEADQ 1130627 49 221.07V PN 17134 MARTHA SOFIA ANDA LOPEZ 1710743764 CGAPE 08800 ACTIVO 1710743764 HEADQ 1130704 9 275.28V PN 17312 WILSON DANIEL BRIONES ECHEVERRIA 1710818913 COMPE 15434 ACTIVO 1710818913 HEADQ 1130711 28 23.68V PN 17328 CONTRERAS CHACON LILIAN VANESSA 0909049306 ATOPE 15633 ACTIVO 0909049306 HEADQ 1130606 7 340.56V PN 17369 JUAN FRANCISCO TROYA SZTANKAY 1713676532 COMPE 16490 ACTIVO 1713676532 HEADQ 1130606 7 241.00V PN 176656 CAMARGO GONZALEZ SANDRA LETICIA 46365210 PMAPE 20214 ACTIVO 46365210 CMCOL 1130604 4 1069.92V PN 31074 RICARDO VIERA 18954538 ATOPE 23835 ACTIVO 18954538 HEADQ 1130610 3 742.32V PN 37071 LEONARDO BUSTAMANTE 30543086 ATOPL 11632 ACTIVO 30543086 HEADQ 1130729 13 730.97V PN 37100 ANDREA FERREIRA 41340631 COMPL 11694 ACTIVO 41340631 HEADQ 1130701 1 2000.64
Auxiliar Empleado Comprobante
Transacciones de Pagos realizadas a Empleados que se encuentran registrados en el Sistema de contabilidad con un Auxiliar tipo Proveedor.
Cierre de Julio 2013
CONFIDENCIAL
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Revisión de Proveedores
501 502
550
598554
587557
88 92 80113 114 101 101
138108
155124 108
131167
15 15 13 18 10 19 19
495411 416
514
314
419
508
800
633 646
943969
910
970
0
200
400
600
800
1000
1200
Enero 13 Febrero 13 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13
Empleados Registrados como Proveedores
Nit Duplicados
Nombre de Proveedor Duplicado
Proveedores Sin Dirección
Proveedores Sin Nit
Empleados Inactivos con Status Vigente en CG
Excepciones del sistema para pago de proveedores internacionales
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Revisión de Usuarios
5 5
1 1
5
1 1
2
0
1 1
2
1
3
0
1
2
3
4
5
6
Enero Febrero Marzo Abril Mayo Junio Julio
Usuarios No Autorizados para Realizar Pagos
Usuarios No Autorizados para Aprobar Pagos
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Revisión de Usuarios
Usuarios No Autorizados para Realizar Pagos
Nombre Apellido Activo Perfil ID Posición EstatusGABRIELA - GRU DE OLIVEIRA Y GRU PAGOS CTA ROT IMPORTACION 14178 CONTADOR ACTIVOHELEN LACERDA FARIAS - GRU Y GRU PAGOS CTA ROT IMPORTACION 15198 CONTADOR ACTIVONANCY UREÑA Y PTY PAGOS DE ESTACIONES IMPORTACION 13005 ANALISTA DE PLANILLAS ACTIVO
Cierre de Julio 2013
CONFIDENCIAL
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Revisión de Proveedores
291
225
150
221
176
300288
4131
47
14
45
23 24
178
157
80
118
184
161
174
45 50 4755
47 43
57
1811
2012 11
25
103 6 8 7 9 8 9
0
50
100
150
200
250
300
350
Enero Febrero Marzo Abril Mayo Junio Julio
Proveedor Vigente No Registrado en CG
Proveedor Vigente Inactivo en CG
Número de Proveedor de Citi Diferente al CG
Proveedores Duplicados
Proveedores con Cuenta Duplicada
Proveedores con Info. Incompleta
OTROS EJEMPLOS DE MODELOS DE AUDITORIA CONTINUA
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Proceso de Compensación a Pasajeros
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Proceso de Compensación a Pasajeros
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Efectividad vs Total de inconsistencias(Excepciones otorgadas en reservas)
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Efectividad vs Total de inconsistencias(Excepciones otorgadas en reservas aeropuerto)
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Excepciones sin código definido
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Excepciones con código inválido.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Algunos beneficios de la Auditoría Continua
• Aumento de la eficiencia y eficacia en el trabajo de AuditoríaInterna
• Mayor profundidad y alcance
• Detección temprana de incidencias
• Reducción de gastos de viaje (traslado de auditores)
• Mejora del entorno global de control.
• ERM
• Refuerza aún más la objetividad y la independencia deAuditoría.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Beneficios de un esquema de Auditoría Continua pueden ser...
a) Garantía de evitar excepciones en los procesos
b) Respuesta rápida y ágil a las excepciones de los controles
c) Mayor efectividad de los controles
d) Eliminación de riesgos identificados
PRÁCTICA
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
FACTORES DE ÉXITO
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Factores de éxito – COPA Airlines
• Alineación con la estrategia del negocio.• Camino recorrido.
– Matrices riesgo-control-test– Ley Sarbanes-Oxley– Certificación de Calidad– Inventario de TAAC´s– Nuevos skills auditor
• Tecnología. • Cultura organizacional de control.• Apoyo del Comité de Auditoría y de la Alta Gerencia.• Equipo de proyecto: auditores de TI y auditores financieros.• Actualización de las reglas de negocio: administración cambios en
los modelos.
PRÓXIMOS PASOS
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Próximos pasos
• Plan de Auditoría– Auditorías cuando se dan cambios importantes en los perfiles de riesgo más
que por planes anuales tradicionales. – De acuerdo al nivel de riesgo será la respuesta de auditoría en intensidad y
urgencia. – Algunas auditorías completas, otras cortas que requieren una respuesta de
la Administración.– Evaluación continua para medir el nivel de riesgo inherente (indicadores), con
el fin de que las auditorías planificadas aborden los riesgos actuales o emergentes.
• Nivel de detalle de la AC proporcional al nivel de confianza en el monitoreo continuo por parte de la Administración.
• Aseguramiento continuo.• Apalancar AC con la nueva tecnología.• Auditoría virtual?.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Retos Auditoría Continua
• Acceso a la data.• Acceso a herramientas de software.• Conocimiento de técnicas de análisis de datos.• Conocimiento del negocio.• Identificar las fuentes de data más efectivas y los puntos de riesgo y control
para las pruebas y el análisis.• Confiabilidad de los SI.• Automatización del proceso de AC y conexión efectiva entre los sistemas de AI
y el área auditada.• Reportes de AC precisos, comprensibles y oportunos.• Monitorear los modelos utilizados y realizar los ajustes necesarios.• Balance entre costo y esfuerzo versus la exposición a riesgo.• Salvaguardar el acceso a los sistemas de AC.
Fuente: GTAG (Global Technology Audit Guide). Continuous Auditing: Implication for Assurance, Monitoring and Risk Assessment.
CONCLUSIONES
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Todos los derechos reservados. Prohibida su reproducción no autorizada.
Conclusiones
• Auditoría Continua es un método para evaluar la eficiencia de controles automatizados con mayor frecuencia, manteniendo así su nivel de eficiencia.
• Permite medir de manera concreta un aumento en el nivel de riesgo de la entidad, unidad de negocio y/o proceso.
• La Alta Gerencia recibe alertas simultáneamente o poco después de la ocurrencia de una falla/debilidad en un control.
• Mayor cobertura en la auditoría con la habilidad de hacer pruebas sobre el 100% de la población y reducción de costos de auditoría.
• Evitar enfocar los esfuerzos solamente a la herramienta (Software) y darle mayor relevancia a la metodología detrás del proceso de auditoría continua.
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
GRACIASMETODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines
Claudia Gutiérrez MBAGerente Senior Auditoría Interna y de TI de COPA Airlines
Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit QualityAssessmentSocio Director – Global Advisory Solutions
Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.