Auditoría Continua - Global Advisory Solutions
METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines Claudia Gutiérrez MBA Gerente Senior Auditoría Interna y de TI de COPA Airlines Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit Quality Assessment Socio Director – Global Advisory Solutions Julio 2015 Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. AGENDA METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines • • • • • • • Introducción y antecedentes Consideraciones iniciales Estrategia de implementación Resultados/Desarrollo de pruebas Factores de éxito Próximos pasos Conclusiones Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. INTRODUCCIÓN Y ANTECEDENTES Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Antecedentes Factores que influyen en la transformación de la función Auditoría Interna • • • • • El entorno dinámico del negocio Expectativas de la Alta Gerencia y el Comité de Auditoría Uso creciente de las Tecnologías de la Información Rentabilidad Enfoque estratégico Todos los derechos reservados. Prohibida su reproducción no autorizada. Antecedentes La Auditoría Interna está evolucionando….. TRADICIONAL • Reactiva • Financiera • Alcance limitado • El policía/vigilante • Orientada al reporte • Función separada Todos los derechos reservados. Prohibida su reproducción no autorizada. EMERGENTE • Proactiva • Múltiples áreas de negocio • Alcance toda la empresa • El estratega/consejero • Orientada a las relaciones • Valor agregado en el negocio Antecedentes Las principales competencias requeridas en la contratación de un auditor • • • • • • Pensamiento analítico y crítico Habilidades de comunicación Risk Management Assurance Conocimientos generales de TI Data mining y análisis de datos Conocimientos de la industria Fuente: The Global Pulse of the Profession. July 2014. IIA. Audit Executive Center. Todos los derechos reservados. Prohibida su reproducción no autorizada. 75% 58% 44% 41% 40% 36% Antecedentes • El proceso de “auditoría continua” surgió alrededor de 1989 mediante los esfuerzos de Vasarhelyi y Halper para medir y analizar el proceso de facturación en la empresa internacional AT&T. • Se enfocaron al proceso de auditar extensas bases de datos, para establecer estándares y comparar las operaciones contra los mismos y emitir alarmas cuando sea necesario. Fuente: Vasarhelyi, M.A. and Halper, F. B., 1991, The Continuous Audit of Online Systems, Auditing: A Journal of Practice and Theory Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. ¿Qué es auditoría continua? • Es un proceso y metodología para auditar en tiempo real • “Auditoría continua es una nueva metodología en evolución con relevancia y aplicación potencial en empresas contemporáneas que sean ricas en tecnología […] que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua, y por ende alimentar la necesidad para auditoría y monitoreo continuo” Fuente: Continuous Auditing: An Operational Model for Internal Auditors - Mohammad J. Abdolmohammadi, DBA, CPA & Ahmad Sharbatouglie, Ph.D (The IIA Research Foundation) • “Método automatizado utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia” Global Technology Audit Guide (GTAG) Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. ¿Qué NO es auditoría continua? • Auditoría Continua NO ES … • Monitoreo continuo – Mecanismo de retroalimentación, principalmente usado por la administración para asegurar que los sistemas de operación y las transacciones se procesan según lo prescrito. Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA) • Auditoría Continua NO ES … • Aseguramiento Continuo - Proporcionar una opinión continua de aseguramiento sobre los sistemas o las transacciones. Una opinión continua puede representar la opinión de un auditor de que los controles están operando satisfactoriamente, a menos que se reporte lo contrario en un informe. Fuente: Continuous Auditing From a Practical Perspective - Kevin Handscombe, CISA, ACA (ISACA) Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. PRÁCTICA Proceso que permite a estas empresas a recibir, procesar y reportar grandes cantidades de datos de manera continua utilizado para realizar evaluaciones de controles y riesgos con mayor frecuencia. Lo anterior es…. a) b) c) d) Monitoreo Continuo Aseguramiento Continuo Auditoría Continua Pruebas CAATs Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. PRÁCTICA El monitoreo continuo es responsabilidad de... a) b) c) d) Auditoría Interna Auditoría Externa La administración El Comité de Auditoría Interna Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Efectividad de los controles • Enfoque tradicional – Se asume que la efectividad de los controles aumenta después de los resultados y recomendaciones de cada auditoría. – Sin embargo, reduce con el pasar del tiempo hasta los resultados de la siguiente auditoría. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Efectividad de los controles • Enfoque Auditoría Continua – La efectividad de los controles se mantiene a niveles aceptables dado que se están probando de manera continua y reportando los resultados con la ocurrencia de un evento o poco después del mismo. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Efectividad de auditorías periódicas Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Efectividad de las auditorías continuas Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Auditoría Continua y el IIA Publicación 2015 • Practice Advisory 2320-3: Audit Sampling (Muestreo de Auditoría) – 2240 – 1 Programa de trabajo – Los auditores Internos deben desarrollar y obtener aprobación de sus programas de trabajo antes de iniciar la ejecución de su trabajo de auditoria. El programa de trabajo incluye las metodologías a utilizar , tales como auditorias basadas en tecnología y técnicas de muestreo. Según el IIA, la auditoría continua puede permitir al auditor revisar la totalidad de la población, mientras que técnicas de muestreo facilita la selección de menos de un 100% de la población. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Auditoría Continua y el IIA Publicación 2015 • Practice Advisory 2320-4: Continuous Assurance (Aseguramiento continuo) • 2320: Analysis and Evaluation • Los auditores Internos deben basar sus conclusiones y resultados de sus evaluaciones en análisis apropiados. El IIA reconoce que el aseguramiento continuo puede obtenerse mediante una combinación de las responsabilidades de monitoreo continuo de la administración y las actividades de auditoría continua del auditor. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. PRÁCTICA En las prácticas de trabajo (“Practice Advisories” del Marco Internacional de la Práctica Profesional (MIPP) del IIA, el estándar que habla de aseguramiento continuo es a) b) c) d) 2320-4 2110 2120 2600 Aseguramiento Continuo Gobernabilidad Gestión de Riesgos No existe! Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Antecedentes – COPA Airlines Todos los derechos reservados. Prohibida su reproducción no autorizada. Antecedentes – COPA Airlines “Mejor Aerolínea de Centro América y el Caribe y Mejor Personal de Cabina y Aeropuertos”. SkyTrax junio 2013. CHIC AGO LAS TORO NTO WASHINGTON D.C BOSTO N NUEVA YORK - JFK Miembro Star Alliance VEGAS LOS ANGELE S Connect Miles ORLAN DOMIA 73 destinos en 30 países 280 Vuelos diarios MONTE RREY MEXI CO GUADALAJ ARA NAS HAB MI SAU CANCU ANA PUN N KINGS SANTI TA SAN MONTEGTON AGO SANTO CAN JUAN POR SAN O BAY GUATE AR A CURAÇ T AU DOMINGO PEDRO MALA TEGUCIG UB SMR MARACA SAN AO BARRANQUILL PRIN SAN SULA A CARTA IBO MANA ALPA CARA SALVADOR A CE ANDRES LIBE GUA SAN GENA CUCU VALECAS BUCARAM RIA NCIA TA MEDE JOSE PEREIANGA LLINBOG CRA OTA A QUIT LI O LETICI GUAYA IQUI A QUIL TOS ST MAARTEN PORT OF SPAIN MANA US RE CIF E LIMA 99 aviones BRASILIA SANTA CRUZ ASUNCIO N 90.5% puntualidad SANTIAG O CORD OBA BUENOS AIRES NOTE: Copa’s Route Network for Jul-13 Todos los derechos reservados. Prohibida su reproducción no autorizada. BELO HORIZONTE RIO DE SAO JANEIRO PAULO PORTO ALEGRE MONTEVID EO Seis veces premiada como mejor Aerolínea de Centro América y el Caribe en los últimos diez años. CONSIDERACIONES INICIALES Consideraciones iniciales • • • • • • • • Crecimiento sostenido Mayor competencia mercado Recursos limitados AI Cumplimiento regulatorio (Ley Sarbanes-Oxley) Auditoría basada en riesgo Certificación de Calidad Uso de TAAC´s Evolución del perfil auditor Todos los derechos reservados. Prohibida su reproducción no autorizada. • • • • • • • Mayor volumen transacciones Mayor cobertura auditoría Mayor demanda valor agregado Auditorías eficientes y efectivas Matrices riesgo-control-test Narrativas procesos Normas, estándares, best practices • Pruebas automáticas • Pensamiento analítico, comunicación, riesgo, tecnología PRÁCTICA ¿Cuáles de los factores debe ser una consideración para implementar “auditoría continua”? a) b) c) d) Nivel de tecnología de la empresa. Entorno regulatorio. Alcance de las revisiones. Trabajar menos. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. ESTRATEGIA DE IMPLEMENTACIÓN Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Pasos de implementación ENTENDIMIENTO DEL NEGOCIO Identificar Riesgos y Controles Planificación de la Auditoría Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte ENTENDIMIENTO DEL NEGOCIO Actividades • Conocer la Estructura Organizacional y ubicaciones importantes • Evaluar los planes estratégicos vigentes • Identificar y comprender las unidades de negocio y/o procesos críticos • Evaluar el entorno de Tecnología de Información que soporta los unidades de negocio y/o procesos críticos Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Pasos de implementación Entendimiento del Negocio IDENTIFICAR RIESGOS Y CONTROLES Planificación de la Auditoría Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte IDENTIFICAR RIESGOS Y CONTROLES Actividades • Seleccionar las unidades de negocio y/o procesos críticos que deben evaluarse • Revisar métricas de riesgo y categorización • Revisar los controles claves existentes para mitigar los riesgos significativos • Seleccionar riesgos y controles a ser considerados en el proceso de Auditoría Continua Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Ejemplo – Categoría de Riesgos • Ejemplos de consideraciones de métricas y categorización de riesgos Estratégico Operativo Cumplimiento Financieros Riesgos relacionados con la implementación de estrategias de negocio equivocadas. Riesgos relacionados a la operación diaria del negocio. Riesgos relacionados a violar legislaciones relevantes y obligaciones contractuales. Riesgos relacionados a gestionar, controlar y reportar riesgos financieros. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Ejemplo – Escala de categorización de Riesgos Impacto El impacto a las operaciones del negocio y su habilidad para cumplir objetivos estratégicos. Bajo Bajo impacto a las operaciones y la habilidad para cumplir con los objetivos estratégicos. Moderado Impacto considerable a las operaciones y la habilidad para cumplir con los objetivos estratégicos. Alto Alto impacto a las operaciones y la habilidad para cumplir con los objetivos estratégicos. Probabilidad Posibilidad de que el evento ocurra en los siguientes 1 a 3 años Baja Media Alta Baja probabilidad de que ocurra en los siguientes 1 - 3 años. Probabilidad media de que ocurra en los siguientes 1 - 3 años. Alta probabilidad de que ocurra en los siguientes 1 - 3 años. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Ejemplo – Mapa de Riesgos Escala de Categorización Probabilidad Probable Impacto: El impacto a las operaciones del negocio y la habilidad de cumplir con los objetivos estratégicos. Posible Probabilidad: Posibilidad de que el evento ocurra en 1 a 3 años Improbable Alto Medio Alto Impacto Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Ejemplo – Mapa de Riesgos Alta Los riesgos en esta categoría son significantes en consecuencias y amenazan la habilidad de la organización para cumplir sus objetivos estratégicos y son de alta probabilidad de ocurrencia. Medio Los riesgos en esta categoría pueden tener altas consecuencias pero son menos probables de que ocurran. Alternativamente, pueden tener bajas consecuencias pero con más probabilidad de ocurrencia. Bajo El riesgo en esta categoría tendrá consecuencias limitadas para que la organización cumpla sus objetivos estratégicos y son poco probables de que ocurran. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Ejemplo – Narrativas y Diagramas de Proceso CONTROL CONTROL Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Ejemplo Modelo General de Matriz de Riesgos y Controles Modelo General de Matriz de Riesgos y Controles OBJETIVO DISEÑO DE PRUEBA DE DESCRIPCIÓN DEL • IMPACTO TIPO DE DESCRIPCIÓN CONTROL RESPONSABLE DE DEL AUDITORÍA RIESGO • PROBABILIDAD Automático CONTROLES CONTROL CONTINUA • CATEGORÍA Manual EXISTENTES Preventivo Detectivo Correctivo Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. PRÁCTICA Las narrativas de procesos nos pueden ayudar a... a) b) c) d) Identificar controles claves Conocer más a las personas del proceso Saber cómo eliminar los riesgos Determinar el tiempo de la auditoría Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. PRÁCTICA Una matriz de riesgos y controles no necesita incluir... a) b) c) d) Dueños del control Tipo de riesgo Tiempo de existencia del control Si el control es manual o automático Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles PLANIFICACIÓN DE LA AUDITORÍA Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte PLANIFICACIÓN DE LA AUDITORÍA CONTINUA Actividades • Determinar el nivel de automatización de los controles claves • Identificar y comprender si los controles claves están basados en datos de los Sistemas de Información (SI) • Conocer y comprender las fuentes de datos de los SI • Evaluar las herramientas de Auditoría Continua existentes (Desarrollo interno, análisis de datos, Business Intelligence, etc.) • Evaluar competencias del personal de Auditoría Interna para realizar las pruebas de Auditoría Continua Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles PLANIFICACIÓN DE LA AUDITORÍA Ejecución de la Auditoría Continua Evaluar Resultados y Emitir Reporte PLANIFICACIÓN DE LA AUDITORÍA CONTINUA Actividades • Definir los objetivos de la Auditoría Continua • Obtener aprobación del Comité de Auditoría, Alta Dirección y/o Junta • Determinar el nivel en que la Administración ha implementado monitoreo continuo • Considerar el área de Tecnología (TI) durante todo el proceso • Determinar el alcance y nivel de frecuencia de las pruebas • Establecer fuentes de información para realizar las pruebas • Asegurar tener los accesos requeridos a dichas fuentes de información • Determinar confiabilidad de los datos Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. PRÁCTICA Posibles fuentes de información para un esquema de auditoría continua pueden ser... a) b) c) d) Registros de acceso a una aplicación Creación de cuentas de cliente en el sistema Firmas de autorización en actas de trabajo Comprobantes de cheques firmados Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles Planificación de la Auditoría EJECUCIÓN DE LA AUDITORÍA CONTINUA Evaluar Resultados y Emitir Reporte EJECUCIÓN DE LA AUDITORÍA CONTINUA Actividades • Realizar pruebas sobre los controles identificados. • Identificar desviaciones o deficiencias en los controles identificados. • Investigar las razones de las deficiencias identificadas. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. Pasos de implementación Entendimiento del Negocio Identificar Riesgos y Controles Planificación de la Auditoría Diseño de la Auditoría Continua EVALUAR RESULTADOS Y EMITIR REPORTE EVALUAR RESULTADOS Y EMITIR REPORTES Actividades • Establecer niveles de prioridad sobre los resultados. • Preparar recomendaciones y emitir informes. • Re-evaluar y actualizar (de ser necesario) el diseño de las pruebas de Auditoría Continua. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. RESULTADOS/DESARROLLO DE PRUEBAS Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Establecer niveles Establecer por ejemplo, tres (3) niveles para la medición de los posibles hallazgos identificados: • Nivel 1= Envío de la situación al dueño del proceso con copia a su superior. Esto Implicaría la resolución inmediata del problema y posible llamado de atención verbal. • Nivel 2= Envío de la situación al encargado del área con copia a la Alta Dirección. Integraría la resolución inmediata del problema y un llamado de atención escrita. • Nivel 3= Envío de la situación al encargado del Área con copia al Comité de Auditoría. Esto contemplaría la resolución inmediata del problema y notificación escrita con copia al expediente de las personas involucradas. FUENTE: Cobit 4.1 – Resumen Ejecutivo, ISACA www.isaca.org Todos los derechos reservados. Prohibida su reproducción no autorizada. Desarrollar pruebas: Creación de proveedores Objetivo de la Prueba: Verificar que se de una depuración oportuna de la información de los maestros de proveedores, y asegurar la calidad e integridad de los datos de proveedores. Pruebas a realizar: Obtener los maestros de proveedores en los sistemas correspondientes y verificar: • Que no existan proveedores que no hayan sido utilizados en un periodo. • Que no existan proveedores duplicados (por número de auxiliar, NIT, nombre -similitud, cuenta bancaria, etc.), o con información faltante (descripción, cuenta, nombre genérico). • Que no existan auxiliares vigentes correspondientes a empleados con estatus de BAJA • Que no existan auxiliares de proveedores correspondientes a empleados (activos o inactivos). Frecuencia Sugerida: Diaria Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC y del personal de empresa en sistema XYZ. Todos los derechos reservados. Prohibida su reproducción no autorizada. Desarrollar pruebas: Procesamiento de Pagos Objetivo de la Prueba: Identificar de forma oportuna la ejecución de pagos duplicados. Pruebas a realizar: Obtener el listado de pagos diarios y verificar que no existan pagos duplicados en un periodo determinado. • Identificar pagos duplicados a proveedores. • Pagos realizados en Panamá al mismo proveedor en otras ubicaciones. • Posibles pagos en la cta. x pagar de proveedores y en otra diferente. • Posibles cargos a la cta. de gastos y a la cta. x pagar de proveedores. • Coincidencia por Auxiliar, Factura, Descripción, Monto, Finiquito. • Asegurar la revisión de las cuentas por pagos duplicados en moneda local y en dólares. • Identificar pagos de los sistemas ABC, realizados también por Cheques manuales. Frecuencia Sugerida: Diaria Alcance: Bases de datos de proveedores en el sistema de información de sistema ABC Todos los derechos reservados. Prohibida su reproducción no autorizada. Desarrollar pruebas: Ejecución de Pagos Objetivo de la Prueba: Asegurar que los pagos sean aprobados por personal autorizado y de acuerdo a los montos. Pruebas a realizar • Verificar la autorización de los pagos en banco de acuerdo a los niveles y montos autorizados. Adicional, verificar que no existan pagos fraccionados que superen los límites de autoridad. Frecuencia Sugerida: Diaria Alcance: Bases de datos del sistema XYZ Todos los derechos reservados. Prohibida su reproducción no autorizada. Resultados de Auditoría Continua de Pagos 1. Comparación Mensual de Excepciones 2. Excepciones del sistema de contabilidad 3. Excepciones del sistema para pago de proveedores internacionales Todos los derechos reservados. Prohibida su reproducción no autorizada. Proceso de Pago a Proveedores Todos los derechos reservados. Prohibida su reproducción no autorizada. Comparación Mensual de Excepciones Auditoría Continua - Proceso de Pagos 2500 2052 2144 2000 1604 1500 1400 1295 1301 Sistema CG 1085 1000 840 839 888 Enero Febrero Marzo 893 754 863 CitiDirect 767 500 0 Abril Mayo Junio Excepciones mensuales identificadas entre Enero y Julio 2013 Todos los derechos reservados. Prohibida su reproducción no autorizada. Julio Excepciones del sistema de contabilidad Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Pagos a Proveedores 10 9 9 9 8 8 7 6 6 5 Pago a Empleados Registrados como Proveedor 5 4 Pagos Sin Numero de Docs 4 4 3 3 3 3 2 2 1 1 0 0 0 Enero 13 Febrero 13 Marzo 13 Abril 13 Todos los derechos reservados. Prohibida su reproducción no autorizada. Mayo 13 Junio 13 Julio 13 Pagos a Empleados Registrados como Proveedor Cierre de Julio 2013 Auxiliar Status V V V V V V V V V V Tipo PN PN PN PN PN PN PN PN PN PN Codigo 1000113 16269 17134 17312 17328 17369 176656 31074 37071 37100 Nombre DANIELA BRANDIMARTI PAGES DEBORA MARTHA SOFIA ANDA LOPEZ WILSON DANIEL BRIONES ECHEVERRIA CONTRERAS CHACON LILIAN VANESSA JUAN FRANCISCO TROYA SZTANKAY CAMARGO GONZALEZ SANDRA LETICIA RICARDO VIERA LEONARDO BUSTAMANTE ANDREA FERREIRA CONFIDENCIAL NIT 29126337 0922005160 1710743764 1710818913 0909049306 1713676532 46365210 18954538 30543086 41340631 Zona ATORP ATOPE CGAPE COMPE ATOPE COMPE PMAPE ATOPE ATOPL COMPL ID 12834 11305 08800 15434 15633 16490 20214 23835 11632 11694 Empleado Estado Cedula ACTIVO 29126337 ACTIVO 0922005160 ACTIVO 1710743764 ACTIVO 1710818913 ACTIVO 0909049306 ACTIVO 1713676532 ACTIVO 46365210 ACTIVO 18954538 ACTIVO 30543086 ACTIVO 41340631 Transacciones de Pagos realizadas a Empleados que se encuentran registrados en el Sistema de contabilidad con un Auxiliar tipo Proveedor. Todos los derechos reservados. Prohibida su reproducción no autorizada. Comprobante Empresa Fecha Numero Importe HEADQ 1130607 5 188.85 HEADQ 1130627 49 221.07 HEADQ 1130704 9 275.28 HEADQ 1130711 28 23.68 HEADQ 1130606 7 340.56 HEADQ 1130606 7 241.00 CMCOL 1130604 4 1069.92 HEADQ 1130610 3 742.32 HEADQ 1130729 13 730.97 HEADQ 1130701 1 2000.64 Revisión de Proveedores 1200 1000 943 970 969 910 800 800 Empleados Registrados como Proveedores 633 646 Nit Duplicados 598 600 554 550 501 495 514 502 411 587 557 508 Empleados Inactivos con Status Vigente en CG 400 314 200 Proveedores Sin Dirección Proveedores Sin Nit 419 416 Nombre de Proveedor Duplicado 155 138 88 108 92 80 15 15 Enero 13 Febrero 13 167 124 113 114 108 131 101 13 18 10 19 19 Marzo 13 Abril 13 Mayo 13 Junio 13 Julio 13 101 0 Todos los derechos reservados. Prohibida su reproducción no autorizada. Excepciones del sistema para pago de proveedores internacionales Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Revisión de Usuarios 6 5 5 5 5 4 3 Usuarios No Autorizados para Realizar Pagos 3 Usuarios No Autorizados para Aprobar Pagos 2 2 2 1 1 Marzo Abril 1 1 Junio Julio 1 0 0 Enero Febrero Todos los derechos reservados. Prohibida su reproducción no autorizada. Mayo Revisión de Usuarios Cierre de Julio 2013 Usuarios No Autorizados para Realizar Pagos Nombre GABRIELA - GRU HELEN NANCY Apellido DE OLIVEIRA LACERDA FARIAS - GRU UREÑA CONFIDENCIAL Activo Y Y Y Perfil GRU PAGOS CTA ROT IMPORTACION GRU PAGOS CTA ROT IMPORTACION PTY PAGOS DE ESTACIONES IMPORTACION Todos los derechos reservados. Prohibida su reproducción no autorizada. ID 14178 15198 13005 Posición CONTADOR CONTADOR ANALISTA DE PLANILLAS Estatus ACTIVO ACTIVO ACTIVO Revisión de Proveedores 350 300 300 291 288 250 225 221 Proveedor Vigente No Registrado en CG 200 184 176 178 157 174 Número de Proveedor de Citi Diferente al CG 161 150 Proveedores Duplicados 150 Proveedores con Cuenta Duplicada 118 100 50 Proveedor Vigente Inactivo en CG Proveedores con Info. Incompleta 80 45 41 50 47 55 57 47 45 31 43 25 23 3 11 6 20 8 14 12 7 11 9 8 24 10 9 Enero Febrero Marzo Abril Mayo Junio Julio 18 0 Todos los derechos reservados. Prohibida su reproducción no autorizada. OTROS EJEMPLOS DE MODELOS DE AUDITORIA CONTINUA Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Proceso de Compensación a Pasajeros Todos los derechos reservados. Prohibida su reproducción no autorizada. Proceso de Compensación a Pasajeros Todos los derechos reservados. Prohibida su reproducción no autorizada. Efectividad vs Total de inconsistencias (Excepciones otorgadas en reservas) Todos los derechos reservados. Prohibida su reproducción no autorizada. Efectividad vs Total de inconsistencias (Excepciones otorgadas en reservas aeropuerto) Todos los derechos reservados. Prohibida su reproducción no autorizada. Excepciones sin código definido Todos los derechos reservados. Prohibida su reproducción no autorizada. Excepciones con código inválido. Todos los derechos reservados. Prohibida su reproducción no autorizada. Algunos beneficios de la Auditoría Continua • Aumento de la eficiencia y eficacia en el trabajo de Auditoría Interna • Mayor profundidad y alcance • Detección temprana de incidencias • Reducción de gastos de viaje (traslado de auditores) • Mejora del entorno global de control. • ERM • Refuerza aún más la objetividad y la independencia de Auditoría. Todos los derechos reservados. Prohibida su reproducción no autorizada. PRÁCTICA Beneficios de un esquema de Auditoría Continua pueden ser... a) b) c) d) Garantía de evitar excepciones en los procesos Respuesta rápida y ágil a las excepciones de los controles Mayor efectividad de los controles Eliminación de riesgos identificados Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. FACTORES DE ÉXITO Factores de éxito – COPA Airlines • Alineación con la estrategia del negocio. • Camino recorrido. – – – – – • • • • • Matrices riesgo-control-test Ley Sarbanes-Oxley Certificación de Calidad Inventario de TAAC´s Nuevos skills auditor Tecnología. Cultura organizacional de control. Apoyo del Comité de Auditoría y de la Alta Gerencia. Equipo de proyecto: auditores de TI y auditores financieros. Actualización de las reglas de negocio: administración cambios en los modelos. Todos los derechos reservados. Prohibida su reproducción no autorizada. PRÓXIMOS PASOS Próximos pasos • Plan de Auditoría – Auditorías cuando se dan cambios importantes en los perfiles de riesgo más que por planes anuales tradicionales. – De acuerdo al nivel de riesgo será la respuesta de auditoría en intensidad y urgencia. – Algunas auditorías completas, otras cortas que requieren una respuesta de la Administración. – Evaluación continua para medir el nivel de riesgo inherente (indicadores), con el fin de que las auditorías planificadas aborden los riesgos actuales o emergentes. • Nivel de detalle de la AC proporcional al nivel de confianza en el monitoreo continuo por parte de la Administración. • Aseguramiento continuo. • Apalancar AC con la nueva tecnología. • Auditoría virtual?. Todos los derechos reservados. Prohibida su reproducción no autorizada. Retos Auditoría Continua • • • • • • • • • • • Acceso a la data. Acceso a herramientas de software. Conocimiento de técnicas de análisis de datos. Conocimiento del negocio. Identificar las fuentes de data más efectivas y los puntos de riesgo y control para las pruebas y el análisis. Confiabilidad de los SI. Automatización del proceso de AC y conexión efectiva entre los sistemas de AI y el área auditada. Reportes de AC precisos, comprensibles y oportunos. Monitorear los modelos utilizados y realizar los ajustes necesarios. Balance entre costo y esfuerzo versus la exposición a riesgo. Salvaguardar el acceso a los sistemas de AC. Fuente: GTAG (Global Technology Audit Guide). Continuous Auditing: Implication for Assurance, Monitoring and Risk Assessment. Todos los derechos reservados. Prohibida su reproducción no autorizada. CONCLUSIONES Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada. Conclusiones • Auditoría Continua es un método para evaluar la eficiencia de controles automatizados con mayor frecuencia, manteniendo así su nivel de eficiencia. • Permite medir de manera concreta un aumento en el nivel de riesgo de la entidad, unidad de negocio y/o proceso. • La Alta Gerencia recibe alertas simultáneamente o poco después de la ocurrencia de una falla/debilidad en un control. • Mayor cobertura en la auditoría con la habilidad de hacer pruebas sobre el 100% de la población y reducción de costos de auditoría. • Evitar enfocar los esfuerzos solamente a la herramienta (Software) y darle mayor relevancia a la metodología detrás del proceso de auditoría continua. Todos los Global Advisory derechos Solutions. reservados. TodosProhibida los derechos su reproducción reservados. Prohibida no autorizada. su reproducción no autorizada. GRACIAS METODOLOGÍA DE AUDITORÍA CONTINUA: Retos y lecciones aprendidas de un caso real en COPA Airlines Claudia Gutiérrez MBA Gerente Senior Auditoría Interna y de TI de COPA Airlines Julio R. Jolly Moore, MBA, MSI, CRMA, CFE, CGEIT, CRISC, ISO, Internal Audit Quality Assessment Socio Director – Global Advisory Solutions Global Advisory Solutions. Todos los derechos reservados. Prohibida su reproducción no autorizada.
© Copyright 2024